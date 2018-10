Ik twijfel heel erg aan het waarheidsgehalte van een Bloomberg-artikel dat stelt dat diverse Amerikaanse bedrijven zijn aangevallen door China doordat spionnen heimelijk chips toevoegden aan moederborden. Het artikel is een goed beginpunt om eens goed na te denken over al vaker opgemerkte toeleverancierrisico's, maar laten we beginnen met feiten en bewijs in plaats van anonieme beweringen.

We weten in ieder geval zeker dat de Chinese overheid bij duizenden Amerikaanse bedrijven heeft ingebroken, zowel met menselijke spionnen als via digitale inbraken. Ik wil ook zeker niet beweren dat Bloomberg geen goed werk heeft geleverd met die beweringen. De journalisten van deze site zijn goed, maar ik heb zo mijn twijfels bij de anonieme beweringen die zijn opgetekend.

Lenovo-laptop verboden

Het verhaal dat China spioneert via hardware is verre van nieuw; ik hoor dit al decennia. Het verhaal gaat bijvoorbeeld dat het Witte Huis Chinese chips had ontdekt in computers en onofficieel een beleid voert om niets aan te besteden bij bedrijven die Chinese onderdelen gebruiken. In sommige gevallen wordt Chinese hardware niet toegestaan bij overheidsdiensten.

Ik heb hier enige ervaring mee, aangezien ik als consultant bij overheidsdiensten mijn Lenovo-laptop niet mocht meenemen naar binnen toe: ik moest de Chinese laptop in m'n auto laten liggen. In sommige gevallen werd zelfs dat risicovol gevonden en mocht ik mijn auto met de Lenovo-laptop niet eens op het terrein parkeren en moest ik het apparaat in mijn hotel achterlaten.

Iedereen die me uitlegde waarom ik mijn in China geproduceerde laptop niet mocht meenemen vertelde dat een vriend het topgeheime document van het Witte Huis had gezien met 'bewijs' om de bewering te ondersteunen. Ik heb tientallen jaren geprobeerd om dit document in te zien, maar ik heb nooit iemand die ik goed vertrouw gesproken die het document heeft ingezien. Het was altijd het verhaal van 'een vriend van een vriend'.

Tastbaar bewijs ontbreekt

Om die reden heb ik hier al eerder over geschreven. Tien jaar geleden had ik het bijvoorbeeld hierover nadat ik jarenlang geruchten en beschuldigingen hoorde. Ik was toentertijd gefrustreerd dat die zo serieus werden behandeld zonder een spoor van bewijs. De afgelopen tien jaar heb ik niets gezien wat me anders heeft doen laten denken over deze kwestie.

Misschien is het inderdaad gebeurd, maar waar is in dat geval tastbaar bewijs? Wat is er überhaupt de reden van dat mensen zouden willen verbergen dat er spionagechips in onze computers zitten? Moeten we kortom geloven dat pc's vol Chinese afluisterapparatuur zit, maar dat het om de een of andere schimmige reden beter is om hier bedrijven niet voor te waarschuwen? Dat klinkt erg ongeloofwaardig.

Hoezo reputatieschade?

Sterker nog, elk bedrijf dat genoemd is in het artikel stelt dat dit niet zo is. Apple ging zelfs zo ver in zijn ontkenning dat het bedrijf specifiek benoemde geen dwangbevel te hebben om niks te mogen bevestigen, zoals je nog merkte bij eerdere incidenten als Prism. Wat zou de reden zijn dat Apple hierover liegt? Volgens sommige mensen zou dat zijn omdat consumenten anders het vertrouwen in deze bedrijven zouden verliezen.

Alsjeblieft zeg. Deze bedrijven zijn aan de lopende band gehackt en geplunderd de afgelopen jaren. Miljarden records zijn inmiddels gestolen van diverse bedrijven die nog altijd door iedereen worden gebruikt, waaronder grote namen als LinkedIn, Sony, Adobe en Dropbox. En dat zijn alleen nog maar de inbraken die openbaar zijn gelekt - het werkelijke aantal ligt waarschijnlijk veel hoger. Er is geen man of vrouw (en steeds vaker kind, zoals de Vtech-diefstal illustreert) wiens persoonlijke gegevens nog niet zijn gestolen.

En deze bedrijven blijven we gebruiken, ook al worden ze aan alle kanten bestolen door zowel criminelen als overheidshackers. Als het Chinese chipverhaal waar blijkt te zijn zal dat niemand meer doen verbazen. Ik denk zelfs dat veel mensen allang aannemen dat dit gebeurt.

Alleen maar chips uit Azië

Een tweede punt is natuurlijk dat vrijwel alle hardware wordt geïmporteerd vanuit het buitenland, veelal vanuit Azië. Ik moest er daarom ook altijd om lachen dat ik mijn Lenovo-laptop niet mee mocht nemen, maar mijn Dell-laptop wel mee mocht nemen, die tjokvol Aziatische chips zit.

Als je bezorgd bent om toeleveranciers-aanvallen, en dat zou je inderdaad moeten zijn, dan is het niet alleen die ene spionagechip waar je je zorgen over zou moeten maken. Vind in de VS maar eens een computer die géén buitenlandse chips bevat. Er is geen instantie die heimelijk al deze apparaten beoordeelt om te zien of er beveiligingskwetsbaarheden of backdoors inzitten.

Het idee dat China een gespecialiseerde kleine chip in apparaten stopt, terwijl veel makkelijk is om bewust een kwetsbaarheid of zelfs backdoor toe te voegen in de bestaande chips, vind ik hilarisch. Het is zoveel gemakkelijker om je te verbergen in de bestaande chipsets dan om een dedicated spionagechip toe te voegen die elke hardwarespecialist direct zou opvallen en waar hij of zij vragen over zou gaan stellen.

Zoals de waard is...

Nou ken ik wel een machtige staat die spionagechips en softwarematige backdoors in computers heeft geplaatst die vervolgens werden geëxporteerd naar het buitenland. En dat is de VS zelf. Nou ben ik zelf Amerikaan, maar het zou hypocriet zijn om dit feit onvermeld te laten in een bespreking van landen die vanuit overheidswege computerapparatuur voorzien van spionagemiddelen.

De inlichtingen- en opsporingsdiensten van de VS voorzien regelmatig versleutelingshardware die naar het buitenland verscheept worden van backdoors. Daarmee kunnen ze groepen bespioneren die denken dat ze 's werelds beste cryptografie gebruiken om hun digitale communicatie te beschermen. De VS en diens bondgenoten gebruikten dit bijvoorbeeld tegen drugkartels in Zuid-Amerika en terroristen in het Midden-Oosten.

De VS onderschept versleutelingshardware en mobiele telefoons die worden geleverd aan groepen die ze monitoren om ofwel de geheime sleutels te kopiëren zodat ze de versleuteling ongedaan kunnen maken, of door de beveiliging in zijn geheel te verwijderen. Verder moeten we ook het Nederlandse Gemalto noemen, 's werelds grootste maker van simkaarten, waar de VS en het VK bij inbraken om encryptiecodes te stelen. Zo kunnen ze nu bij iedere mobiele telefoon, hoogstwaarschijnlijk ook de jouwe.

Een van de beruchtere gevallen is de NSA die Cisco-apparatuur voorzag van backdoors en andeere spionagemiddelen. Het netwerkbedrijf zegt niets te weten of geholpen te hebben met deze actie en ik vertrouw erop dat dit waar is. En laten we het ten slotte niet eens meer hebben over het bewust verzwakken van de cryptografie die door iedereen gebruikt wordt (DES en Dual-EC_DRGB).

Wat werkelijk ironisch is, is dat juist de Amerikaanse overheid iedereen waarschuwt geen technische producten te gebruiken uit China, zoals mobiele telefoons van Huawei en ZTE, terwijl de NSA erop is betrapt backdoor-software te implanteren bij Huawei-servers om op Huawei en diens klanten te spioneren.

Spionagechips zijn economische zelfmoord

Cisco zei nadat het NSA-incident bekend werd dat het bedrijf zich niet bewust was van ongeautoriseerde aanpassingen en sprak zijn afkeuring uit over het gedrag van de dienst. Dat moest ook wel. Zoals de meeste netwerkleveranciers en computerbedrijven is Cisco een wereldwijde speler en het is afhankelijk van buitenlandse bedrijven voor veel van zijn omzet.

Als namelijk vast zou komen te staan dat Cisco afwist van het NSA-plan zou dat de reputatie van het bedrijf onherroepelijk hebben beschadigd in het buitenland. Ik weet zeker dat sommige klanten in het buitenland dan geen Cisco-producten meer zouden kopen en het zou het netwerkbedrijf decennia kosten om die verloren klanten terug te winnen. Geen enkel bedrijf zit te wachten op zulke slechte PR.

Datzelfde geldt voor China. Als deze speciale chips zouden toevoegen aan apparatuur bestemd voor de VS, zou dat op z'n zachtst gezegd schadelijk zijn voor de Chinese economie. Bedrijven zouden geen apparatuur meer kopen die afkomstig is uit China en dat zou China's plek als een van de grote financiële leiders van de wereld forse schade berokkenen.

Het zou bijzonder dwaas zijn om te spioneren via speciale chips, omdat dit eenvoudig te ontdekken is en er meteen tastbaar bewijs zou zijn voor spionage. Het is nog onwaarschijnlijker als je bedenkt dat Chinese hackers toegang hebben gekregen tot vrijwel ieder bedrijf via traditionele aanvalsmethoden die de dominante chipindustrie niet bedreigen. Staatshackers zijn al succesvol genoeg zonder dat de financiële stabiliteit van hun thuisland in het geding raakt.