Op maandag 3 juni, een mooie zomerdag, was ik onderweg naar huis vanaf
school. Toen ik naar de parkeerplaats liep om met mijn auto naar huis te rijden
keek ik op mijn telefoon: 1 gemiste oproep. Dit van een voor mij onbekend
nummer. Ik belde terug, echter kreeg ik geen gehoor. Enkele minuten later werd
ik weer (terug)gebeld, door het zelfde nummer en ik nam niks vermoedend op: “Ja
hallo?”. Een man met een Haags accent aan de andere kant van de lijn. Een man
die mij gevonden had via internet.
Voor het gemak noem ik de man in dit verhaal: Pieter.
Het gesprek verliep normaal, Pieter wilde een afspraak met mij maken om
het te hebben over: “Web beveiliging en dat soort dingen....”. Prima dacht ik,
een zakelijke afspraak over beveiliging van websites, dat is mijn ding.
Aangezien Pieter het geen probleem vond om 2 uur te rijden voor de afspraak
spraken we af bij een lounge/koffiebar in mijn woonplaats.
Enkele dagen later begon ik met de voorbereiding van het gesprek.
Uiteraard had ik enkele websites ontworpen- en gebouwd maar weinig ervaring met
legale penetratietesten. Vandaar dat ik een 'collega', genaamd Edwin, om hulp vroeg. Achteraf gezien was dit
allemaal verspilde tijd.
Nadat ik de voorbereidingen voor het gesprek had getroffen restte mij
eigenlijk nog maar een belangrijk ding in mijn ogen. Dit was het (op)zoeken van
de Haagse man, om zo te kijken met wie- en welk bedrijf ik te maken zou gaan
krijgen. Tot mijn verbazing was er eigenlijk niks opmerkelijks te vinden. Tot op dit moment had ik nog geen enkel
vermoeden met wie (of wat) ik te maken zou gaan krijgen.
De dagen verstreken en toen was het dan zover; woensdag ochtend om
11:00 uur bij de betreffende lounge/koffiebar in mijn woonplaats. Ik arriveerde
met mijn auto en was 10 minuten te vroeg. Ik bleef netjes in mijn auto wachten en enkele minuten later
zag ik een oude man die stond te telefoneren. Op dat moment ging mijn telefoon
over. Het was Pieter.
Ik ben naar Pieter gelopen en we hebben elkaar de hand geschud en namen
plaats buiten op het terras.
De eerste vraag was natuurlijk wie deze Pieter was. Voor welk bedrijf
werkte hij? Hij vroeg mij: “Waar denk je dat ik van ben?” Op dat moment kreeg
ik een vervelend onderbuik gevoel, ik wilde antwoorden met: “Ehh, bent u van de
krant?”. Daarop zei ik dat ik geen idee had van welk bedrijf hij zou moeten
zijn. Pieter antwoordde met: “Ik ben van de AIVD”. Pieter maakte zijn tas open,
die voor hem op tafel lag, waaruit hij zijn pasjes haalde. Een pasje van het
Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en een
AIVD-toegangspas (dacht ik).
Daar zat ik dan, tegenover een medewerker van de AIVD. Voor mij was dit
een verrassing. Ik probeerde het gesprek te vervolgen met de vragen waarom hij
mij wilde spreken en uiteraard waarover. Het eerste wat in mijn op kwam was de
zaak omtrent Sven Olaf Kamphuis, die kort daarvoor gearresteerd was in Spanje
voor “de grootste aanval in de geschiedenis van het internet”.
De beste man wilde het hebben over mijn visie op de aanvallen van
vitale systemen (DigiD/banken) des tijds. Ik heb Pieter verteld hoe ik erover
dacht, dat het wellicht een afleidingsmanoeuvre zou kunnen zijn voor een hack
of iets dergelijks. Hier hebben we een hele tijd over zitten praten.
Pieter deed alsof hij maar weinig verstand had van het hele gebeuren,
hij merkte op een boek te hebben gelezen over computer begrippen zodat hij
alles een beetje kon volgen. Uiteraard is dit natuurlijk wel opmerkelijk, want
waarom zou de AIVD iemand sturen die totaal NIKS van computers af weet? Waarom
zou de AIVD uitgerekend Pieter langs sturen om met mij, een IT'er, te praten?
Na nog een aantal keer te hebben gevraagd aan Pieter hoe hij mij echt
gevonden had zei hij dat hij zag dat ik het op Twitter vaak op had genomen voor
Sven Olaf Kamphuis. Sven, die inmiddels uitgeleverd was aan Nederland.
Interessant.
Pieter heb ik uitgelegd in het gesprek dat Sven naar mijn weten NIKS
met de DDoS aanvallen te maken zou hebben. Dat deze Spamhaus-aanvallen een
actie van een paar gekke Russen, Chinezen en mensen uit Engeland zou moeten
zijn en dat Sven hier niks aan kon doen.
Zover ik wist had Stophaus, een groep mensen tegen Spamhaus, enkele
leden die via een niet-legale manier hun 'probleem' met Spamhaus op wilden
lossen oplossen door DDoS aanvallen uit te voeren. Klaarblijkelijk heb ik met
deze mensen gechat. Mensen die nu natuurlijk veelal van het internet verdwenen
zijn.
Pieter heeft mij dus (deels?) benaderd door mijn connectie met deze
mensen en door mijn connectie met Sven, dit getuige het feit dat Sven de vraag
kreeg van THTC/Fox-IT of hij “Goo” kende. Verder natuurlijk totaal irrelevant
omdat ik hier niks mee te maken heb. Maar wat moest ik hier dan WEL van denken?
Geen idee.
Ik heb Pieter meerdere malen doorverwezen naar personen als Ronald
Prins of ex-boefje Rickey Gevers, die ook veel over cybercrime weten. Dat
beweren ze althans (knipoog), maar helaas, Pieter wilde iemand hebben die in
zijn ogen toch wat meer over het wereldje zou weten. Het wereldje van
kwaadwillende hackers.
Het gesprek verliep na enige tijd nogal moeizaam omdat ik verder niet
veel wist te vertellen. Hierop stuurde
Pieter het gesprek richting het einde en wilde graag nog een vervolg afspraak
maken. Een vervolg afspraak om mijn visie over wat andere onderwerpen aan te
horen. Dit eventueel tegen betaling. Eh ok? Volgens Pieter was tijd immers
geld en heeft de AIVD daar (ik citeer): “Wij hebben daar een budget voor”. Ik
vertelde Pieter dat ik er nog over na zou gaan denken, dit omdat ik op dat
moment nogal verbaasd was dat ze mij als een soort informant wilden hebben. Nam
mijn laatste slok Spa blauw en liep maar richting mijn auto om naar huis te
gaan.
Een week later heb ik de AIVD opgebeld om te kijken of er wel ene
Pieter werkt. Dit was het geval en ik werd doorverbonden. Telefonisch heb ik
Pieter kenbaar gemaakt dat ik geen behoefte heb om informantje te gaan zitten
spelen en dat ik nog altijd vind dat ze beter bij de ECHTE cybercrime
deskundigen zoals Ronald Prins- en Rickey Gevers aan kunnen kloppen voor de
nodige informatie/visie op bepaalde (cruciale) zaken.
Er verstreken vervolgens een maand- of anderhalf maand tot ik toch weer
werd gebeld door Pieter. Pieter, die mij opnieuw probeerde mij over te halen en
ik bedankte weer. Wellicht had ik nog interesse een afspraak te maken over
waarom ik geen informant wilde zijn? Nou, nee. Ik heb Pieter zijn aanbod
vriendelijk afgeslagen. Hierop wenste de AIVD'er mij veel succes in de toekomst
en zei op een vervelende toon dat we elkaar wellicht nog wel een keer eens
tegen zouden komen. Nou Pieter, ik wens
jou ook veel succes toe.
“Goo”
/offtopic: Jij kan echt niet voetballen hè, Pietertje.
BeantwoordenVerwijderenRicky "huur ex-cybercrimenelen in" Gevers? Ik moet altijd lachen als ik dat hoor; ja vooral de mensen inhuren die gearresteerd en veroordeeld zijn, er zijn tenslotte niet genoeg professionals die niet tegen de lamp zijn gelopen ;)
BeantwoordenVerwijderenZe hoeven niet perse naar Rickey Gevers te gaan, die kwam eigenlijk even snel in mij op. Er zijn inderdaad zat professionals te vinden die geen strafblad hebben en ook nog eens willen helpen.
BeantwoordenVerwijderenGroet,
Goo
AIVD probeert in dit soort gevallen misbruik te maken van de burger zijn/haar rechten en kunnen, omdat de AIVD bijna geen rechten heeft
BeantwoordenVerwijderenWat weet Ronald Prins nou van hacken of spionnen?
BeantwoordenVerwijderen