brandpunt+
brandpunt+

Inlichtingendiensten op zoek naar jong cyber-talent

Door Jos Slats - in Brandpunt+

Op een geheime locatie zitten 28 jonge mensen naar hun laptop te loeren, voorzien van bergen gevulde koeken, balen chips en energiedrankjes met een krankzinnig hoog cafeïne gehalte. Welkom op de summer school van de AIVD en de MIVD. Hier keuren de inlichtingendiensten deze maand twee weken lang digitaal toptalent. Brandpunt+ schuift aan bij de 26 jongens en 2 meisjes (kom op, meiden!) die, wie weet, straks hacken voor volk en vaderland.

....Slagboom door,…..(“Nee”, zegt een intercom, “eerst paspoort laten zien bij de wachtcommandant”)….toegangspasje halen,….dan alsnog slagboom door,…..een deur,…..weer paspoort laten zien,…..toegangspasje omruilen voor een ander toegangspasje (“gast MIVD”),……mobiele telefoon (“mag niet mee”) opbergen in kluisje,…..draaideur,….lange gangen...

Bleke, geconcentreerde koppies achter beeldschermen

Pffff. Nooit zo veel moeite hoeven doen om een klaslokaal te bereiken. Maar eindelijk,…. daar zitten ze dan in een zaaltje zonder ramen, de deelnemers aan de summer school van  - hou je vast -  de Joint Signal Intelligence Cyber Unit (JSCU) van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de militaire zusterorganisatie MIVD. Bleke, geconcentreerde koppies achter computerschermen, de voeten tussen een wirwar aan snoeren, druk in de weer met reverse engineering, het uit elkaar halen van malware, gewoon om te begrijpen hoe kwaadaardige software in elkaar zit.

We zijn op een zwaar beveiligd kazernecomplex, ergens in het oosten van het land. Meer mogen we er niet over zeggen van de MIVD. Anders staat hier straks misschien wel volk met kwade bedoelingen voor de poort (Russische spionnen!) om te kijken wie er allemaal op de summer school zitten, zegt Marcel (“alleen mijn voornaam”), de baas van de cyber-afdeling van de JSCU. De deelnemers logeren niet op de kazerne, maar in een hotel een eindje verderop. Ze komen gewoon op de fiets.

In het hotel werd meteen de wifi router gehackt

In het hotel bewezen ze op de eerste avond al dat ze uit het goede hout zijn gesneden. Ze hackten meteen (de matig beveiligde) wifi router van het logement. Niet omdat het moest, maar omdat het kon. Gewoon, voor de gein. Overigens hebben ze het ding daarna wel gefikst en voorzien van wat meer robuust digitaal hang- en sluitwerk. Hotelbaas dik tevreden.

Deelnemers summer school allemaal gescreend

De meeste deelnemers aan de summer school studeren informatica aan een universiteit of een hogeschool, maar er zitten ook een paar selfmade  wizzkids tussen. Ze zijn geselecteerd uit ruim 120 aanmeldingen. “We hebben iedereen zorgvuldig gescreend”, zegt cyber-chef Marcel. De inlichtingendiensten kunnen natuurlijk niet hebben dat de summer school wordt geïnfiltreerd door een under cover Igor of Nikita van de Russische geheime dienst.

De eerste schoolweek startte begin augustus met een driedaagse cursus malware, boosaardige software die zich kan gedragen als een digitale spion. De geheime diensten proberen de netwerken van vitale bedrijven (denk: energie, lucht- en ruimtevaart, technologie) en overheden tegen digitale indringers te beschermen. Rusland, China, Iran en Noord-Korea zijn beruchte tegenstanders op het wereldwijde web. Maar Nederland wordt net zo goed digitaal begluurd door z’n bondgenoten.

Doping voor digi's

Voor de liefhebbers: Het ging in week één ook over advanced persistant threats, botnets, binary packers, infection vectors, unpacking, exploits, anti-virus en sandbox-bypassing met tools als IDA, Windows debuggers en Kali Linux. Dit alles, zoals gezegd, rijkelijk besprenkeld met energie drankjes, doping voor digi’s.

Vervolgens mochten de deelnemers onder leiding van offensieve security specialisten van de JSCU zelf “helemaal los gaan” op fictieve, afgeschermde netwerken om hun hackers-kwaliteiten te bewijzen. Daar moet het toptalent komen bovendrijven.

Rusland, China, Iran en Noord-Korea zijn beruchte tegenstanders op het wereldwijde web

Maria, begin twintig, studeert aan een van de ttechnische universiteiten. Ze had natuurlijk op het strand kunnen gaan liggen. Nu zit ze in haar vakantie in een niet al te fris ruikend lokaal zonder daglicht te turen op het scherm van haar laptop. Geen pina colada, maar computercode. Data, data, data. Helemaal in haar element. Ze heeft het hartstikke naar haar zin, zegt ze. “Ik heb in een paar dagen heel veel nieuwe dingen geleerd.” Ze denkt er serieus over om na haar studie bij een van de inlichtingendiensten te gaan werken. “Natuurlijk is dat spannend en uitdagend, maar het is ook relevant werk, je doet iets wat maatschappelijke betekenis heeft. Dingen die van echt belang zijn. Die combinatie spreekt me heel erg aan.” Waarna ze monter verder roffelt op haar toetsenbord.

“Geen naam” (24) vertelt dat hij vooral voor de “kick” is aangeschoven in de bankjes van de summer school, gewoon om eens rond te neuzen in de wereld van de geheime diensten. Hij kon al “best een hoop”, maar geeft schoorvoetend toe dat hij er ook “best wel wat” van opsteekt. Nee, in details treedt hij niet. En hij wil liever ook meteen weer aan de slag met zijn opdracht. Nog één vraag dan…. Ziet hij zichzelf dit werk ooit doen voor volk en vaderland? “Nou, dat soort motieven heb ik niet echt. Het gaat mij vooral om het doen, de challenge.”

De cyber-dreiging is serieus

“Jazeker,” zegt “alleen voornaam” Marcel, de baas van de cyber afdeling, “we zijn op zoek naar personeel. We hebben die cyber-specialisten hard nodig bij onze diensten, want de dreiging is serieus. Natuurlijk kijken we deze weken ook naar het type student dat zich hier heeft aangemeld. Niet iedereen is geschikt om te werken bij een inlichtingendienst. Maar er zijn andere overheidsorganisaties die deze jonge mensen ook heel goed kunnen gebruiken. Denk aan bijvoorbeeld de Belastingdienst. Ook die moet de IT-security goed op orde hebben.”

In de tweede week van augustus verhuist de summer school naar een ander, alweer geheim adres, nu ergens in de buurt van Den Haag. Het gastheerschap wordt dan overgenomen door de Algemene Inlichtingen- en Veiligheidsdienst, de zusterorganisatie van de MIVD. Vijf dagen lang zullen de zomerschoolstudenten hun tanden moeten stukbijten op de praktijk. Dat wil zeggen: geanonimiseerde voorbeelden van cyberspionage, waarmee de dienstenin de afgelopen jaren te maken hebben gekregen. In wisselende teams moeten de toekomstige digitale spionnen die zaken tot op de bodem uitspitten.