Ik had eerlijk gezegd wel een beetje verwacht dat ergens de afgelopen weken het internet zou uitvallen, of dat het logo van Google in een jihadistische vlag zou zijn veranderd, maar het valt tot nog toe erg mee allemaal. Een kleine maand geleden heeft een groep Duitse jihadisten namelijk een tijdschrift uitgebracht waarin ze jihadisten van over heel de wereld uitleggen hoe ze deel kunnen nemen aan de cyberoorlog tegen het Westen, zonder gesnapt te worden door de autoriteiten. Stapsgewijs wordt uitgelegd hoe je het beste encryptieprogramma’s kunt gebruiken en hoe je daarmee onder de radar kunt blijven. De eerste editie van Kybernetiq is in het Duits en wordt dus al een paar weken via social media verspreid. Teksten als: “Ons lot ligt in jouw handen. Blijf alert en wees je vijand altijd een stap voor. Wees niet roekeloos en laat je niet meeslepen door paranoia,” sieren de bladzijdes.
De groep vertelde via Twitter aan Radio Free Europe dat “het meer dan genoeg is om te weten dat we niet van IS zijn,” maar wilde niet vertellen of ze deel uitmaken van een andere terroristische groepering. Het blad staat vol met afbeeldingen van geëncrypteerde codes, ingewikkelde handleidingen en screenshots van schermpjes met codeertaal. Zelf ben ik een totale cyberanalfabeet en ik snapte dan ook geen zak van het tijdschrift, dus vroeg ik IT-kenner Brenno de Winter of deze adviezen eigenlijk wel deugen en of we binnenkort nog een gigantische storing in het westerse netwerk kunnen verwachten.
Videos by VICE
VICE: Hallo Brenno, wat zijn de belangrijkste tips die Kybernetiq geeft om de autoriteiten te omzeilen?
Brenno de Winter: Ze adviseren eigenlijk de standaard tools die er op dit moment zijn, zoals het versleutelen van emailberichten en andere online communicatiemanieren, en anoniem internetten via het Tor or Tails-netwerk. Dit laatste is een downloadbare browser waar Tor-gebruikers verbinding kunnen maken via virtuele tunnels, in plaats van een directe verbinding. Zo kan je anoniem informatie verspreiden. Deze tools worden ook gebruikt door activisten en criminelen om informatie uit te wisselen. Het is een standaard technologie die ook door bonafide bedrijven wordt gebruikt om hun bedrijfsgeheimen te beveiligen tegen spionage.
Oké, dus wereldschokkende nieuwe trucs staan er niet in?
Niet echt. Al-Qaeda heeft bijvoorbeeld echt een eigen encryptieprogramma ontwikkeld, volgens mij in 2007. Hoe goed dat programma in elkaar zit weet ik niet, maar het werd in ieder geval veel gebruikt. WhatsApp wordt ook veel gebruikt door terroristische groeperingen. Dat is makkelijk communiceren en aanvankelijk was het ook een hele veilige manier, omdat inlichtingendiensten zich daar eigenlijk nauwelijks mee bezighielden. Maar nu steeds meer groeperingen, waaronder IS, Whatsapp gebruiken, wordt het steeds minder veilig omdat inlichtingendiensten de boel beter in de gaten houden.
Kunnen die inlichtingendiensten, of wie dan ook, de verspreiding van zo’n tijdschrift als dit niet tegenhouden? Je hebt bijvoorbeeld de Ghost Security Group, een organisatie die onlineterrorisme bestrijdt, en die heeft al meer dan 100 sites van IS en 57.000 accounts waarop propaganda werd verspreid verwijderd.
Ik betwijfel of dat nuttig is. Kijk naar de The Pirate Bay. Iedere keer als je iets weghaalt, verschijnt het ergens anders. De oprichters van The Pirate Bay veranderen gewoon van server; Kybernetiq zal waarschijnlijk telkens vanaf een ander account verspreid worden.
Hoe je onder de radar blijft kun je ook gewoon in boeken lezen [voor de mensen die graag willen leren hoe: zie hier]. Deze informatie is makkelijk af te drukken, waardoor het ook handmatig verspreid kan worden. Je kunt het verspreiden van kennis over het algemeen moeilijk tegenhouden – wat voor kennis het ook is – en zeker sinds het internet bestaat. We zullen dus met andere strategieën moeten komen om de jihadisten uit de cyberwereld te verdrijven.
Hoe nuttig zijn de tips eigenlijk, voor cyberjihadisten?
Het zijn goede trucs, maar je moet het belang ervan niet overdrijven. Het is namelijk zo dat als er gevaarlijke mensen zijn die wél op de radar verschijnen, het evengoed mis kan gaan. Bijvoorbeeld als de overheid te laat of zelfs helemaal niet handelt als iemand gesignaleerd staat, zoals bij de laatste aanslagen in Parijs. Deze terroristen communiceerden via sms – gewoon toegankelijk en aftapbaar. Overigens in een land dat sinds Charlie Hebdo draconische bevoegdheden aan de overheid heeft gegeven, die dus blijkbaar ook niet heel erg effectief zijn gebleken. Dat mensen zich online groeperen en zich beveiligen is lastig, maar dat is op dit moment niet de kern van het probleem.
In het tijdschrift staat het citaat “We doden op basis van metadata.” Waar halen ze dit vandaan?
Dit is een uitspraak van de voormalige CIA- en NSA-chef Micheal Hayden. Waar Amerika lang de schijn ophield dat metadata niks voorstelde, vermoordde de NSA en de CIA er toch een hoop mensen om en leverde het vaak genoeg bewijs op om terroristen op te pakken en zelfs te doden. Metadata is het beste wat inlichtingendiensten ooit is overkomen.
Kybernetiq gebruikt – en leert men – vrijwel dezelfde technieken die de Amerikaanse inlichtingendienst ook gebruikt. Ik denk dat ze dit citeren om een vergelijkbare boodschap uit te brengen: ‘wat de NSA kan, kunnen wij ook’.
Bijten ze zichzelf niet in hun staart door hun trucs openbaar te maken?
Het is niet zonder risico’s. Je moet begrijpen dat anonimisering uit een duister netwerk bestaat, waar veel risico’s aan vastzitten.
Een voorbeeld. Je wil een plek creëren waar wereldwijd mensen zich anoniem kunnen verzamelen om informatie uit te delen. Dan moet je eerst die plek creëren, en vervolgens moet je mensen rekruteren en ze vertellen waar ze die plek kunnen vinden. Deze informatie-uitwisseling moet natuurlijk geheel anoniem verlopen, anders verzamelt de rest van de wereld zich ook voor een online thee-uurtje in jouw geheime plek. Bovendien kan iets of iemand – bijvoorbeeld de inlichtingendienst – zich voordoen als jihadist en de geheime groep infiltreren, om informatie over mogelijke aanslagen in te winnen.
Waarom nemen ze dan toch die risico’s en stoppen ze er zoveel tijd en moeite in?
Ik denk dat ze vooral willen laten zien dat ze mensen onder zich hebben die flink begaafd zijn; ze geven zeker een aantal goede tips die de pakkans aanzienlijk kleiner maken.
Denk je dat er in Nederland mensen zijn die zich door een tijdschrift als dit geroepen voelen om mee te strijden in de jihad?
Ik denk het niet – een tijdschrift an sich is geen middel om te rekruteren. Het richt zich op het creëren van een infrastructuur voor mensen die al gerekruteerd zijn.
Moeten we ons zorgen maken over een jihadistische cyberaanval?
Op het moment dat er cijfers zijn van de hoeveelheid online jihadisten in Nederland kunnen we daar meer over zeggen, maar die zijn er nu niet. Het aantal cyberdreigingen is wel flink gestegen in de afgelopen jaren. Tegelijkertijd denk ik dat we niet heel bang hoeven te zijn voor een cyberaanval, maar we moeten ons wel beter beseffen dat fysieke aanslagen online afgesproken en geregeld worden. Dit moeten we zien te onderscheppen.
Heb je zelf nog iets opgestoken uit de informatie?
Technisch gezien niet, praktisch gezien zeker wel. Het is nu duidelijk hoe dit soort dingen echt professioneel worden opgezet. Technisch hebben ze dus begaafde mensen rondlopen. Dat vermoedde ik al en dat is nu bewezen.