Ga naar de inhoud

Contrast.network: een leerzame mislukking voor veilig internetten

De wereld is een gevaarlijke plek om te leven als je geen kastelen en legers tot je beschikking hebt. En soms zelfs voor degenen die dat wel hebben. Maar als je ook nog eens politieke strijd wilt organiseren om daar wat aan te doen, dan zijn de rapen helemaal gaar. Het is daarom belangrijk om de risico’s voor onnodige repressie en verlies aan rechten te beperken. Een van die plekken waar mensen extra bloot staan aan gevaren, vaak omdat ze de technische zaken achter de middelen die ze gebruiken niet kunnen overzien, is het internet.

18 min leestijd

(Foto Stuart Caie Flickr/CC2.0)

Tegelijkertijd is internet een steeds belangrijkere plaats in gaan nemen bij politieke (en persoonlijke) projecten en communicatie. Om de gevaren van onnodige lekken en fouten te bestrijden, werd in 2015 een project opgericht waar mensen een deel van hun digitale activiteiten konden onderbrengen: Contrast.network. Het project is onlangs weer afgesloten, nadat het ten onder ging aan een aantal problemen waarvan een kostbare juridische ‘aanval’ door de staat de grootste was. Hierover is tot dusver niet heel veel naar buiten gebracht.

Contrast presenteerde zich in 2015 als een nieuw netwerk dat bedoeld was om ‘digital awareness’ onder activisten te stimuleren, en ze daarbij ook technisch te ondersteunen.

Contrast wilde een complete palet aan diensten kunnen leveren, tegen geringe betaling: email, mailing lijsten, websites en DNS beheer, cloud opslag, eigen VPS. Zo’n twintig deelnemers sluiten aan, van een Marokkaanse Vrouwenvereniging tot activisten die een eigen website willen voor hun bandje. Het project groeide niet buitensporig hard, maar deed zijn werk.

In 2017 diende zich een nieuwe deelnemer aan, waarvan alleen het emailadres van de afzender bekend was: stopdtenv@riseup.net. Ze vroegen om een domeinnaam om een website te beginnen: stopdtenv.nl. Op die website werd uiteindelijk informatie gezet, onder andere over personeel van de dienst die zorgt voor jacht op vluchtelingen en uitzettingen uitvoert, de Dienst Terugkeer en Vertrek (DT&V). Het waren voornamelijk links naar zaken die de medewerkers zelf publiek online hadden gezet, bij facebook en linkedin.

De makers van de website schreven er bij dat alle informatie afkomstig was van openbare bronnen. Maar dat vermocht de Staat der Nederlanden niet te vermurwen en ze stonden dan ook al snel dreigend op de stoep bij Contrast. Ze eisten dat de informatie verwijderd zou worden en dat anders de naam van de opdrachtgever/uitvoerder aan hen zou worden gegeven. Contrast stuurde de eis door naar bovengenoemd emailadres, dat ook op de website vermeld stond, en de betreffende pagina werd door hen van de website verwijderd.internet2

(Foto Laurent Jegou CC2.0/Flickr)

Binnen Contrast gaf de website en de actie van het OM aanleiding tot de nodige discussie. De vrijwilligers bij Contrast.network hadden om principiële redenen helemaal niet het oogmerk om zich te bemoeien met de inhoud van de websites van hun ‘klanten’. Maar dat is natuurlijk niet altijd mogelijk, Zeker niet als je met je project zo’n positie inneemt tussen de ‘staat’ en de leden in. Ook was er binnen de vrijwilligers best discussie over de ‘methode’ van de bewuste website om persoonlijke gegevens van individuen te openbaren. Dat staat nogal op gespannen voet met privacy. Maar de informatie was al openbaar en toen de staat meteen ging eisen dat de informatie weer verwijderd zou worden en de groep dat ook deed, was de discussie eigenlijk alweer in de kiem gesmoord.

Maar hiermee was het dus niet afgelopen. In februari 2018 stond de landsadvocaat namens de staat namelijk weer op de stoep, figuurlijk dan.

Ze stuurden een brief met een herhaling van het verzoek om de naam van de makers. Er bleek namelijk een nieuwe website te zijn opgedoken, bij wordpress.com (waar Contrast niets mee te maken heeft, het betreft een grote gratis provider in de VS) met diezelfde gegevens als eerst erop ditmaal onder de naam ‘ontmaskerDTenV’. WordPress bleek niet onder de indruk van het verzoek tot verwijdering en vond dat de eiser dat maar via een (Amerikaanse) rechter moest spelen. Die ging daarentegen weer naar Contrast, met als eis dat deze alle beschikbare gegevens zou geven die zouden kunnen leiden tot opsporing van de makers. Contrast stuurde dit verzoek wederom door naar het bekende emailadres, maar de staat wilde niet eens de uitslag hiervan afwachten en daagde Contrast meteen voor de rechter, zodat deze de gewenste informatie af zou dwingen. Paniek bij Contrast, en het begin van een lange en vooral zeer dure juridische strijd.

Wat de landsadvocaat eiste ging namelijk nog veel verder dan alleen wat gegevens, er werd geëist dat Contrast volledig met het onderzoek mee zou werken en een forensisch expert toe zou laten tot de servers om daar van af te halen wat deze nodig zou achten.

Juist omdat Contrast opgericht was om veilig internet te propageren en te ondersteunen, werden er zo weinig mogelijk gegevens van gebruikers ‘gelogd’ en opgeslagen. Dat was natuurlijk ook het antwoord dat naar de eiser werd gestuurd.

Er was wat dat betreft ook niets te halen bij Contrast. Achteraf hebben de mensen achter Contrast de sterke overtuiging dat het team van de landsadvocaat dat ook wel wist en een leuke manier had bedacht om het project het leven zuur te maken en misschien andere gegevens binnen te halen als ze van de rechter toestemming zouden krijgen om de server overhoop te halen.

Om principiële redenen wilde Contrast verder niet dat de staat zomaar toegang kon krijgen tot alle gegevens op de servers. Maar ook om hele praktische: er waren veel meer groepen die een website onder Contrast hadden lopen, en hun veiligheid en privacy moest gegarandeerd kunnen worden. Maar hoe sterk zou Contrast juridisch staan als ze de eisen van de staat zou weigeren in te willigen?

Er werden allerlei verschillende juridische experts geraadpleegd en daar bleek uit dat de kans groot was dat Contrast een rechtszaak zou verliezen. De advocaat van Contrast vroeg de landsadvocaat vervolgens om het geding in te trekken en te bekijken of er een manier was dat Contrast inzage kon geven in haar technische omstandigheden, zonder dat de staat de hele server in handen zou krijgen. Immers, als een onafhankelijke derde partij kan verklaren dat er inderdaad geen logs of andere relevante informatie /kan zijn/ op de server door de manier waarop deze is ingericht, valt de noodzaak van een geding weg. Het betekende veel heen-en-weer gepraat en de voortdurend terugkerende dreiging om Contrast toch weer te dagen, en langdurig gesteggel over details die steeds handenvol geld kostten. Want gespecialiseerde advocaten zijn schaars en (dus) duur.

Uiteindelijk kwam er de formule uit dat een ’team’ van twee mensen, waarvan een expert van een IT-bedrijf de servers van Contrast mocht checken. Een groot deel van het gesteggel ging over welk IT-bedrijf ingeschakeld zou worden: Contrast had geen zin in de door de overheid gewenste FOX-IT, omdat die aantoonbaar samenwerkt met de geheime dienst. Ze kwamen toen met een nieuw bedrijf (kandidaten van Contrast werden niet aanvaard). De vervanger van FOX-IT was ook allerminst ideaal, en er werd daarom ingezet op het indammen van risico’s dat ze buiten het boekje zouden werken. Er werd daarom onderhandeld over een ‘non disclosure agreement’. Ze moesten zwart op wit verklaren dat ze alleen op zoek gingen naar de vraag van de staat en dat ze andere mogelijke info over de Contrast infrastructuur die ze al onderzoekend zouden tegenkomen, niet mochten doorgeven. Wassen neus natuurlijk, maar toch interessant dat je kennelijk ook hierover kunt onderhandelen en je enigszins juridisch kunt indekken.

Toen het moment suprême daar was kon worden geconstateerd dat de mededelingen van Contrast klopten over het beleid ten aanzien van het bijhouden van log-files en dergelijke. Het ‘onderzoek’ hield in dat ze met hun team op een plek naar keuze van Contrast samen achter de laptop van een van de vrijwilligers van Contrast zijn gaan zitten, en dat deze in de server inlogde en hun de stukjes code en bestanden heeft laten zien die ze wilden zien. Daarbij bleek dat een van de twee medewerkers van het team ook werkelijk verstand van IT en servers had. Deze kon eigenlijk vrij makkelijk aan de hand van de conf-bestanden die hij zag bevestigen dat mogelijke sporen van het oorspronkelijke email verkeer met die site-makers allang automatisch en grondig van de server waren gewist. De expert concludeerde daarom dat het geen zin had om de servers bijvoorbeeld onder handen te gaan nemen op zoek naar mogelijk slecht verwijderde bestanden, en dergelijke.

De landsadvocaat weigerde uiteindelijk om te verklaren dat ze hiermee tevreden waren gesteld, en heeft ook nog steeds niet laten weten of Contrast nu van verdere juridische stappen gevrijwaard is, of niet.

De hele operatie trok een zware wissel op Contrast, dat geheel door vrijwilligers werd gerund.

Zo lang alles goed ging, was het project nog wel te doen, maar bij zulke problemen kwamen al snel de zwakke plekken boven water. De grootste dobber was daarbij nog wel de enorme juridische kosten waar de organisatie mee opgezadeld werd, en waar nu nog steeds met hangen en wurgen uit de privé-zakken van de medewerkers aan afbetaald wordt. De druk en zorgen waren ook slecht voor de onderlinge sfeer en betekenden dus het einde van het project: Eind september 2019 werden de laatste servers uitgezet, nadat alle websites tijdig bericht waren over de besluiten en andere hosts hadden gezocht.

Om de lessen niet ook in lucht te laten opgaan, werd er begin 2020 een gesprek gehouden over de haken en ogen die er aan zo een idealistisch project zitten, in tijden van Surveillance Capitalism.

—————————–

Interview

Terwijl de laatste hand wordt gelegd aan de opheffing van contrast, voeren we met drie mensen een gesprek ter evaluatie, van de problemen die er zijn geweest, maar ook van de kansen en het resultaat dat er wel was. De antwoorden van de drie lopen hier door elkaar, alsof het om een enkel persoon gaat.

Vraag: is de conclusie nu dat het niet mogelijk is, om een collectieve oplossing te bieden voor het ‘veilig internetten’?

Antwoord: Niet echt, maar wel dat deze aanpak hiervoor niet de goede was. Daar valt natuurlijk veel aan te verbeteren en anderen zullen vast weer nieuwe projecten starten. Er zijn ook al anderen – personen, bedrijven of projecten, die advies geven, veelal gekoppeld aan open source-kennis.

internet3

(foto Scott Beale CC2.0/Flickr)

Maar het was wel een dobber en dat komt ook door de specifieke Nederlandse situatie. Van de juridische experts die we hebben moeten raadplegen hebben we meerdere keren te horen gekregen dat Nederland misschien wel het slechtste westerse land is om zo’n project te beginnen. De bescherming van je rechten als internetgebruiker en je privacy zijn hier veel minder goed geregeld dan het lijkt. Daarentegen zijn de mogelijkheden van de overheid om tegen je op te treden juist tamelijk ver gevorderd. Het is een typisch Nederlandse situatie: het grote publiek moet denken dat we een liberaal gedoogbeleid hebben waar veel ‘kan’, maar als je de grenzen van dat beleid opzoekt of anderszins opvalt, dan heeft dezelfde overheid helemaal geen probleem ermee om de eigen regels te misbruiken om een paar voorbeeld-gevallen flink te grazen te nemen. Daardoor krijg je juist een zelfopgelegde voorzichtigheid, een trieste eenheidsworst.

Qua download-beleid bijvoorbeeld lijkt het goed te gaan, dat is tamelijk liberaal voor de consument, maar mensen die actief werken aan downloadplatforms worden wel aangepakt. Waar het om gaat is dat de belangen van het bedrijfsleven goed bewaakt worden. Van “sharen” (onderling delen) moeten ze niets hebben, zodra het op grote schaal of erg openlijk gebeurt kun je problemen verwachten.

Is het project nu mislukt? Was het misschien een illusie om als project te proberen de twee grote veiligheidsaspecten die er aan internet zitten, tegelijk op te lossen? Namelijk die van laten we het noemen de individuele rechten en vaardigheden van internetgebruikers, en die van de politieke activist. Dat gaat niet een op een samen, toch?

Het was inderdaad een vrij onmogelijke puzzel tussen veiligheid als privacy, en veiligheid jegens politiek activisme en repressie. Dat zijn twee verschillende soorten veiligheid, die niet goed te combineren zijn en ook beide verschillende structuren en instructies vergen, die echter ook weer overlappen. Zo raar was het dus niet om beide te proberen te ondervangen. Maar ja, de vraag is dan of je alles kunt ondervangen..

In het begin was het idee dat dat wel kon, naarmate je groter bent, kun je ook de verschillende problemen makkelijker opvangen, zoals bij xs4all ooit de bedoeling was.

Het is ook een gemis dat we ervoor kozen om te voorkomen dat het daadwerkelijk tot rechtszaken zou komen. We hadden namelijk ook uitdagend kunnen zeggen; zoek het maar uit, laat de rechter maar bepalen of we de wet hebben overschreden of niet. Maar uiteindelijk vonden we het risico te groot dat we zouden verliezen, en dat ze dan de hele server in beslag zouden nemen en dat dan de privacy van alle klanten en users op straat zou komen te liggen. Het was ook geen strafzaak met een duidelijk ‘schuldig’ of ‘niet-schuldig’ einde. De landsadvocaat was gewoon op ramkoers, voor hun maakt het namelijk niet uit of ze zo’n zaak ‘winnen’ of niet: ze weten dat een kleine club als Contrast het sowieso zwaar gaat krijgen met zo’n zaak.

Normaal zou een provider, wanneer de landsadvocaat vraagt om Naam Adres Woonplaats van de maker van een bepaalde website, zeggen: het was Pietje Puk en klaar. Bij Contrast wilde de staats(advocaat) niet geloven dat we nauwelijks gegevens van Pietje Puk hadden, en die wilde dat controleren. Maar het is tegenwoordig niet zo dat Pietje Puk een eigen server heeft, die je eventueel na uitspraak van de rechter in beslag kan laten nemen (en dan mag Pietje Puk zelf ervoor gezorgd hebben dat ie geen sporen heeft achtergelaten, dan wel mag Pietje Puk in de rechtszaal de gewraakte Stop DT&V pagina verdedigen). Tegenwoordig werkt iedere provider met virtuele servers. Dit betekent per definitie dat als de overheid, of een bedrijf in hun opdracht, je server ondersteboven mag halen, alle gegevens van alle websites en gebruikers dan bekeken konden worden. Dat was ook een van de reden waarom de server van Contrast zo ingericht was dat er überhaupt geen loggegevens bewaard werden.

In theorie had de rechter ook kunnen besluiten alleen dat deel van Pietje Puk te onderzoeken?

Dat is een beetje een theoretisch probleem. Eerst moet je toevallig bij een rechter terecht komen die de moeite wil doen om te begrijpen hoe een virtual omgeving in elkaar zit, en daadwerkelijk in zijn/haar oordeel (als hij/zij al oordeelt dat je als provider aan onderzoek mee moet werken) heel duidelijke grenzen stelt aan de werkwijze van het technische onderzoek dat je daarna gaat krijgen. En dan zou je erop moeten vertrouwen dat de technische onderzoekers van de staat zich hier daadwerkelijk aan houden. Onze dure advocaat dacht dat je dat niet zou kunnen binnenhalen. We hadden ook echt geen logfiles, zoals dat heet, dus gegevens van het verkeer van gebruikers. Maar er staat natuurlijk toch wel meer op die servers dat de staat niets aangaat, vooral niet bij linkse websites. Er waren bij ons ook wel twijfels over hoe goed alles correct gewist wordt. Dat bleek trouwens achteraf bij de ‘onafhankelijke inspectie’ door een door de staat aangewezen bedrijf wel goed te zitten. Toch hadden we, in het geval dat we de rechtszaak waren aangegaan en verloren, alle servers moeten vernieuwen, omdat je er niet zeker van kunt zijn dat ze na inbeslagname niet voorzien zijn van spyware. Dat was een ongeveer even grote kostenpost geweest, als nu de advocaatskosten.

Als we beter in de slappe was hadden gezeten, en hordes strijdbare vrijwilligers paraat hadden gehad, hadden we daar dus makkelijker voor kunnen kiezen.

Waren er geen eerdere gevallen die als voorbeeld konden dienen, waardoor je wist hoe ze in het geval van een inbeslagname te werk zouden gaan?

Heel veel zijn er niet, er wordt veel geschikt. Ook dit is een typische gedoog-situatie: geen rechtszaken met zwart-wit uitspraken, wel veel ‘bargain-pleas’. En dan zijn er zaken die duidelijk veel crimineler zijn, grootschalige oplichting enzo, dan hanteren ze ook een veel breder vangnet. In ons geval zochten ze duidelijk naar de makers van een bepaalde website, in een politieke context.

Er is wel jurisprudentie van websites die gelinkt hadden naar zaken die illegaal waren verklaard, bij Geenstijl geloof ik, maar verder is er weinig dat op ons geval lijkt. Het zal vast vaker voorkomen, maar dan komt het niet tot een rechtszaak en hoor je er dus niet over. Dan strandt het in een soort koehandel en dat is per definitie duur.

Vraag: In hoeverre speelde de persoonlijke invulling van het collectief een rol? De stemming was al snel niet goed tussen leden van het collectief. Daar wordt natuurlijk zelden over gesproken.

internet4

(Foto Sandor Weisz CC2.0/Flickr)

Laten we in ieder geval zeggen dat er niet goed nagedacht was over de de structuur, er was niet voorgesorteerd op mogelijke problemen, en er waren ook niet genoeg mensen voor de verschillende taken (technisch, administratief, vertegenwoordiging, etc.). Dan raak je al snel overbelast als er extra werk bij komt en dan gaat er spelen dat bepaalde mensen meer werk moeten verrichten dan anderen. En als er dan ook nog geld opgehoest moet worden dat er niet is, en schulden gemaakt moeten worden, dat is geen prettige combinatie.

Je kunt ook zeggen dat het niet mislukt is, want de boel is officieel doorgelicht en de staat en hun IT-expert hebben ingestemd dat de veiligheid goed in elkaar zat?

Ja het geval over de mensen die werken bij DtenV waar het allemaal om gaat, vinden we ook nog steeds interessant. Het was eigenlijk best interessant geweest om een rechterlijke oordeel te krijgen over die publicatie. Waarom zou je die informatie niet mogen openbaren? Het ging tenslotte puur en alleen om informatie (zoals facebookpagina’s en linkedin) die de medewerkers van DT&V zelf al openbaar hadden gemaakt. Daar werd dan naar gelinkt. Iedereen die op internet gaat zitten zoeken was er ook op gekomen. Kennelijk is het dan (mogelijk) strafbaar als je het bij elkaar zet. Maar ze hadden hun privacy zelf al te grabbel gegooid, en dan is het de vraag of je ze nog moet beschermen. Privacy is natuurlijk een groot goed, voor iedereen. Maar als activist heb je ook een verantwoordelijkheid om zaken op te pakken. Neem als voorbeeld fascisten; het is belangrijk om alles wat je over hen online kunt vinden, goed bij te houden en te delen met organisaties en mensen die bescherming organiseren tegen hun smerige activiteiten. En met iedereen eigenlijk; als er een actieve fascist bij je in de buurt woont, is het in ieders belang dat dat bekend wordt.

Is de conclusie dan dat er niets kan in Nederland, dat je voor het minste geringste vervolgd wordt, Of had het anders kunnen aflopen?

Nee, het antwoord is dat er juist wel van alles kan, maar dat er soms wat mis kan gaan, en dat je daar van tevoren goed over na moet denken. De kopie van die website staat trouwens nog steeds op wordpress.com, open voor iedereen. Verder heb je de factor geld, als er wat mis gaat, ook op dat gebied zijn we in Nederland misschien niet goed voorbereid. Er zullen hopelijk weer nieuwe projecten opstaan die proberen deze problematiek voor linkse groepen op te lossen. Er bestaan ook alternatieve hosts die een deel van de veiligheidsproblemen oplossen: (Greenhost, de nieuwe freedom.nl, antenna, etc.). En op kleinere schaal zijn er vriendenkringen of individuele deskundigen die verstand van zaken hebben en bereid zijn hun kennis met anderen te delen.

Collectieve servers moeten goed voorbereid zijn, en een goede scheiding maken tussen zaken die ze wel en niet kunnen bieden en oplossen. Ondertussen blijft het natuurlijk, voor activisten en actiewebsites altijd zaak om zelf goed te blijven nadenken en informeren over de gevaren (en mogelijkheden) van internet. Vooral als je zaken doet die door de staat of andere machtsgroepen niet fijn gevonden worden, moet je weten welke sporen je kunt nalaten. Je kunt nooit vertrouwen op een project voor je veiligheid. Dat is natuurlijk allemaal moeilijk en daarom moeten we elkaar steunen, met advies, technische hulp, maar ook in geval van repressie.

En die repressie heeft nu toegeslagen bij ons, op een heel ingewikkelde manier, die moeilijk uit te leggen is en waar moeilijk solidariteit voor op te halen is.

Je zou kunnen zeggen dat de makers van de website hebben kunnen voorkomen dat ze in de problemen kwamen dankzij de manier waarop Contrast is opgezet, maar dat dat ons een bom duiten heeft gekost, die we niet hebben.

Over welk bedrag hebben we het?

We hebben al een deel uit eigen zak betaald. Maar die zak is nu aardig leeg. We moeten nog 2900 euro bij elkaar brengen aan advocatenkosten. Die moeten we wel betalen. We hopen van harte dat andere mensen of organisaties, op basis van dit verhaal, bereid zijn om ons met een solidaire bijdrage uit de brand te helpen.

Bijdragen kunnen overgemaakt worden naar NL75INGB0004253090 tnv Ithaka ovv ‘ Steun Contrast’

We zijn natuurlijk altijd bereid om toelichting te geven. Contact opnemen kan via de mail: steuncontrast@riseup.net