Deze huurling maakte onderdrukking mogelijk. Nu heeft hij spijt
Als medewerker van het Italiaanse softwarebedrijf Hacking Team hielp Alberto Pelliccione om een van de vernuftigste spionagetools ter wereld te ontwikkelen. Jarenlang geloofde hij dat dit de wereld beter en veiliger zou maken. Nu zegt hij dat die gedachte naïef was.
Lange tijd zag Alberto Pelliccione zichzelf als een van de ‘good guys.’ Als iemand die de wereld beter en veiliger maakte door zijn werk. Een soort Q uit James Bond, maar dan echt.
Het begon allemaal in 2007, toen de Italiaanse programmeur en zijn collega’s van het bedrijf Hacking Team aan een spionagetool werkten die zo geavanceerd was, dat de Oost-Duitse inlichtingen- en veiligheidsdienst, de Stasi, er jaloers op zou zijn geweest.
Wat dat voor tool was? Een softwareprogramma dat elke smartphone, tablet of computer kon infecteren met een virus. Door het virus zou de gehele inhoud van de apparaten zichtbaar zijn voor de indringer. Het programma kon real-time updates van de gehackte persoon doorgeven, inclusief gegevens over met wie diegene contact had. Ook de webcam en microfoon konden worden aangezet om stiekem mee te luisteren en kijken. En dat alles zonder ontdekt te worden door antivirusscanners.
Dit programma, genaamd Remote Control System (RCS), werd verkocht aan inlichtingen- en opsporingsdiensten over de hele wereld. En terwijl Alberto Pelliccione niet precies wist hoe klanten de tool gebruikten, pikte hij her en der signalen op van individuele gevallen. Naar eigen zeggen ging het om maffiabazen, mensensmokkelaars en vermeende terroristen.
‘We gingen ervan uit dat onze software op de juiste manier werd gebruikt, omdat onze klanten legitieme overheidsdiensten waren,’ zegt hij. ‘Dus ik dacht dat we echt goed bezig waren.’
Vandaag de dag gelooft Pelliccione dat die gedachte naïef was.
Een nieuwe markt voor spionagesoftware
Er was ooit een tijd dat geavanceerde surveillance- en spionagetools een privilege van ‘s werelds militaire mogendheden waren. Maar de opkomst van een nieuwe private surveillanceindustrie heeft dit soort technologieën de afgelopen decennia zo goedkoop en toegankelijk gemaakt, dat ook de opsporings- en veiligheidsdiensten van minder ontwikkelde landen er toegang tot hebben. Van rijke olielanden als de Verenigde Arabische Emiraten als armere dictaturen als Soedan en Ethiopië.
Op 23 februari onthulden wij met een internationaal consortium van journalisten dat Europese lidstaten de afgelopen twee jaar goedkeuring hebben gegeven voor 317 exports van dit soort surveillancesystemen naar landen buiten de Unie. Dertig procent van de export gaan naar onvrije landen en vijftig procent naar landen die door Freedom House gekenmerkt worden als ‘deels vrij.’
In goede handen kunnen surveillancetools worden gebruikt om criminelen te vangen en terroristische aanslagen te verijdelen. Maar zonder adequaat toezicht en sterke wetgeving die burgers beschermt, kunnen de tools worden ingezet om activisten, journalisten en kritische burgers te bespioneren en op te pakken.
Spionagesoftware komt niet zonder controverse
De twijfels sloegen toe op een doodgewone dag in oktober 2012, in een restaurant van het Bethesda North Marriott Hotel in Washington DC.
Pelliccione en een paar collega’s van Hacking Team waren in de Verenigde Staten voor het jaarlijkse ISS World Event – ‘s werelds belangrijkste conferentie voor veiligheidsdiensten – toen het nieuws binnenkwam.
Een team van researchers van het Canadese Citizen Lab van de Universiteit van Toronto, claimde bewijs te hebben dat Hacking Teams software werd gebruikt tegen mensenrechtenactivisten in de Verenigde Arabische Emiraten en een groep van onafhankelijke journalisten in Marokko.* Tijdens het diner hadden de Hacking Team-medewerkers een verhitte discussie over de bevindingen van Citizen Lab.
We voelden dat alles in gevaar was
‘Onze eerste reactie was woede,’ zegt Pelliccione. Maar die woede, legt hij uit, had niks te maken met het feit dat de software was misbruikt. In plaats daarvan waren ze boos dat interne fouten en slecht programmeren het mogelijk maakte dat de software naar Hacking Team te herleiden viel.
‘We voelden dat alles in gevaar was. We begonnen ons pas later af te vragen wie bespioneerd werd met onze software.’
Na het incident verwachtte Pelliccione dat het managementteam van Hacking Team actie zou ondernemen door het contract met de klant te annuleren – of de zaak op z’n minst uitvoerig zou onderzoeken. Maar eenmaal terug in het hoofdkantoor in Milaan kwam hij van een koude kermis thuis. Ja, er was wel een noodvergadering, maar met ‘nood’ werd vooral de reikwijdte van de onthulling bedoeld, en niet het daadwerkelijke misbruik van de apparatuur.
‘Het management zei dat we geen vakantie mochten opnemen tot we een nieuwe versie van de software hadden ontwikkeld die niet getraceerd zou kunnen worden. Ze zeiden dat het bestaan van het bedrijf er vanaf hing.’
‘Ze zeiden dat we ons niet hoefden druk te maken om wat Citizen Lab schreef, omdat onze klant een legitieme autoriteit was, en dat betekende dat de klant volgens de wetten van dat land handelde. Ze benadrukten ook dat de personen van wie Citizen Lab zei dat het journalisten waren, misschien toch wel terroristen konden zijn. En daarom moesten we de klant blijven ondersteunen.’
Het stelde Pelliccione kort gerust.
‘Ik dacht: oké, misschien heeft het management gelijk. Misschien weet de klant wel iets over deze mensen dat wij niet weten. We moeten hen het voordeel van de twijfel geven.’
Maar toen verscheen opeens een ander rapport.
Incidenten bleven zich opstapelen
Ethiopische journalisten werden bespioneerd met software van Hacking Team. Daarna volgden tal van ‘kleinere incidenten, die geen internationale aandacht kregen.’
Pelliccione begon weer te twijfelen. Hij begon zich in te lezen om na te gaan wat er met de slachtoffers van Hacking Teams software gebeurde.
‘Ik voelde een persoonlijke verantwoordelijkheid,’ zegt hij. ‘Niet dat ik wakker lag, maar... De vragen bleven terugkeren, steeds weer. Gebeurde dit écht? En dan de moeilijkere vraag: deed de software echt meer slecht dan goed? Ik wist namelijk wel dat er ook gevallen waren waarin onze software voor een goed doel werd ingezet.’
‘Het is bij dit soort technologieën extreem moeilijk om te controleren hoe ze worden ingezet door eindgebruikers. Dat betekent dat het kiezen van klanten heel nauwkeurig moet gebeuren, zeker omdat we hun operationele grenzen van tevoren nauwelijks in kaart kunnen brengen.’
In februari 2014 trok Pelliccione de conclusie. Hij ging weg bij Hacking Team en verhuisde naar Malta, waar hij het bedrijf ReaQt opzette, dat zich specialiseert in verdedigingstools voor hacking en cybercrime.
Is het gangbaar dat bedrijven in deze sector voor het geld kiezen en ethische vraagstukken sneller aan de kant schuiven, of is dat alleen aan Hacking Team voorbehouden? ‘Ik weet dat er bedrijven zijn die nagenoeg hetzelfde opereren,’ zegt Pelliccione.
‘Een bedrijf is nooit ethisch. Een bedrijf bestaat om geld te verdienen. De enige ethiek die er is komt van wetgeving, of wordt gevraagd van klanten. De klanten leven in landen met minimale wetgeving, en ze kunnen bijna altijd alles doen wat ze willen. Er zijn geen grenzen.’
De onthullingen van Citizen Lab leidden ertoe dat de exportregels in Europa en van het zogenoemde Wassenaar Arrangement zijn aangescherpt.
In de Europese Unie werd nieuwe wetgeving op 31 december 2014 geïmplementeerd. Dat betekent dat surveillancetechnologieën alleen geëxporteerd kunnen worden naar landen buiten de EU als ze door een controleproces gaan.
In de zomer van 2015 werd duidelijk hoezeer die aangescherpte controle nodig is. Toen werd Hacking Team zelf gehackt door een activist die zich Phineas Fisher noemt. Alle communicatie, maar ook alle software van Hacking Team kwamen op straat te liggen. Onder de lange lijst van afnemers zit ook de wie-is-wie van onderdrukkende regimes. Hacking Team heeft flinke schade opgelopen door het lek, maar heeft vorig jaar een doorstart gemaakt.
Ook andere landen worden nauwelijks gehinderd door de strengere Europese en internationale regelgeving.
Vorige week donderdag onthulden wij dat vanuit verschillende Europese landen, waaronder Denemarken, Finland en het Verenigd Koninkrijk, exports naar autoritaire landen als Vietnam, de Verenigde Arabische Emiraten en Egypte zijn goedgekeurd.
De Europese Commissie heeft beloofd de wetgeving aan te pakken. Maar volgens Pelliccione is er gewoon geen makkelijke manier om de verkoop van surveillancetechnologieën aan dictaturen te stoppen. ‘Je kunt het moeilijker maken. Maar er blijft altijd een manier. In de toekomst kan een bedrijf weliswaar niet meer naar China exporteren, maar gaan ze gewoon in de Emiraten zitten en exporteren ze het vanaf daar naar China.’
Hacking Team wilde niet reageren op ons artikel.
Dit verhaal verscheen eerder in het Deens bij Dagbladet Information en kwam tot stand in het kader van Security for Sale, een internationaal onderzoeksproject over de Europese veiligheidsindustrie onder leiding van De Correspondent. Voor dit project werkten wij samen met meer dan twintig Europese journalisten. Het consortium kreeg een werkbeurs van Journalismfund.eu.
Vertaling vanuit het Engels door Maaike Goslinga.