De digitale achterdeur is niet te sluiten
Axel Arnbak schreef het allereerste juridische proefschrift ter wereld over het beveiligen van online communicatie. Toen hij begon, was hij een vreemde eend in de bijt. Nu zien we massaal het belang van beveiligde communicatie in, zeker in de strijd tegen terrorisme. ‘Communicatie moet beveiligd zijn, maar tegelijkertijd moeten de geheime diensten overal in kunnen. Dat kan dus niet.’
Het is vijf dagen na de terroristische aanslagen in Parijs als we Axel Arnbak spreken. Twee dagen geleden sprak de Franse president François Hollande het Congres en de Senaat toe in verenigde vergadering. Daarin bepleitte de president onder meer een verandering van de Franse grondwet, die verouderd zou zijn. Bij een noodtoestand wil hij beschikken over ruimere bevoegdheden op technologisch gebied.
Axel Arnbak wordt er een beetje moedeloos van. ‘Het klinkt heel logisch: iedereen in de gaten houden en dan weten we alles. Maar kijk eens naar de aanslagen op de Boston Marathon; daar was al een concrete tip aan voorafgegaan van de Russische veiligheidsdiensten. De onderbroekterrorist in het vliegtuig van Northwest Airlines was twee weken van tevoren al aangegeven door zijn vader. We geloven heel erg in de beloften van big data als opsporingsmethode, maar al het empirische materiaal wijst erop dat het een totaal verkeerd pad is.’
Extreem link
Toch schrijft Arnbak zijn scriptie niet over toezicht, maar promoveert hij op het allereerste juridische proefschrift over beveiliging van online communicatie. Daarin beschrijft hij twee grote casussen: de hack van Diginotar en de onthullingen van Edward Snowden. Diginotar was een Nederlands bedrijf dat beveiligingscertificaten voor websites verzorgde, waaronder die voor een aantal Nederlandse overheidswebsites. Een 21-jarige Iraanse man kreeg in juli 2011 door een hack de mogelijkheid om valse beveiligingscertificaten uit te geven voor websites. Certificaten van bijvoorbeeld de Nederlandse overheid werden daardoor niet aan de overheid uitgegeven, maar aan andere partijen. Daardoor kon de versleutelde communicatie tussen internetgebruikers, bijvoorbeeld van DigiD, worden uitgelezen door derden. Het was de eerste grootscheepse aanval op de online communicatie van de Nederlandse overheid.
De zaak-Snowden, bracht Arnbak terug bij één van zijn favoriete onderwerpen: massasurveillance. ‘Een van de belangrijkste lessen uit de onthullingen van Snowden is hoe zeer beveiliging van communicatie verbonden is met de mogelijkheid om mensen massaal digitaal te volgen. Het keert ook steeds terug in de discussie over terrorisme: communicatie moet beveiligd zijn, maar tegelijkertijd moeten de geheime diensten overal in kunnen. Dat kan dus niet.’
Arnbak lijkt gepikeerd over de steeds terugkerende discussie over die achterdeur voor de geheime dienst. ‘Achterdeurtjes zijn extreem link, want vaak zijn mensen buiten de overheid veel handiger in het vinden van de achterdeurtjes dan mensen die voor de overheid werken. De Snowden-onthullingen zijn bovendien het allerbeste bewijs dat je achterdeuren niet geheim kunt houden. Lekken gebeurt altijd en overal.’ Een achterdeur voor de overheid alleen bestaat niet, wil hij maar zeggen. Zet je de achterdeur open voor de overheid, dan zet je hem ook open voor kwaadwillenden. ‘In principe staan overheden voor de keuze: maken we het internet veilig voor iedereen, of maken we het kwetsbaar voor alle aanvallers? Het kan niet allebei. Veilig voor iedereen betekent ook veilig voor de 0,0001 procent die echt kwaad in de zin heeft.’
Spammende koelkasten
Nu internet steeds meer verandert in ‘The Internet of ThingsDat houdt kortgezegd in dat alle apparaten die we gebruiken een computer worden en met elkaar in verbinding staan. Denk bijvoorbeeld aan een 'slimme energiemeter', fototoestellen met wifi, kopieerapparaten, et cetera.’ wordt dat probleem volgens Arnbak steeds nijpender. ‘Veel spam wordt verzonden door koelkasten met slecht beveiligde software. Daar wordt van op afstand een programmaatje op geïnstalleerd, waardoor die koelkasten massaal spam gaan versturen waar de eigenaar niets van merkt.’ De spammende koelkasten lijken een onschuldig voorbeeld, ‘maar alles is tegenwoordig een computer. Ook een pacemaker, om maar een eng voorbeeld te noemen. Deze zomer nog hackten twee experts de software van een Jeep, waardoor ze de auto van een afstand konden besturen, ook als er mensen in zaten.’
Om de absurditeit van de situatie aan te tonen, geeft Arnbak in zijn lezingen vaak het volgende voorbeeld. ‘Stel, ik wil een auto kopen bij een dealer en ga een proefrit maken. Op de snelweg hapert de rem, rijd ik de vangrail in en zo beland ik zwaargewond in het ziekenhuis. Als de rem door een mechanisch defect niet functioneert, krijg ik een schadevergoeding. Maar als de rem door slechte of slecht beveiligde software niet functioneert, is dat helemaal niet zo zeker. Autofabrikanten zijn namelijk niet aansprakelijk voor hun software.’
Hoe kan de Europese Unie ervoor zorgen dat online communicatie beter wordt beveiligd? Gaat dat op korte termijn ook echt gebeuren? En hoe beveiligt Arnbak eigenlijk zijn eigen communicatie? Lees dat en meer in het uitgebreide wetenschapsartikel in Folia 11, die morgen in de bakken ligt.
Axel Arnbak
1984 Geboren in Den Haag
2009 Afgestudeerd in de rechtsgeleerdheid
2009 Lid van kernteam dat Bits of Freedom heroprichtte
2010 Winnaar UvA Scriptieprijs en Internet Scriptieprijs
2013 Resident Research Fellow bij Center for Information Technology Policy van Princeton University
2014-2015 Research Fellow en later Affiliate bij Harvard University’s Berkman Center
2014-heden Columnist voor Het Financieele Dagblad
Axel Arnbak promoveert op woensdag 25 november in de rechtsgeleerdheid op de rol van de Europese Unie bij het beveiligen van online communicatie. Zijn promotie vindt om 11.00 uur plaats in de Aula – Oude Lutherse Kerk.
