Russische roulette

Afbeelding via Pixabay

Soms pik je een bericht van de radio op waarbij je denkt: “Hè? Dat heb ik vast niet goed gehoord.” Zoals het bericht dat Pavel Doerov zijn fortuin nalaat aan al zijn honderd kinderen.

De man blijkt twee ‘echte’ kinderen te hebben, bij de overige – in totaal zijn dat er 104 – is bij slechts betrokken geweest als zaaddonor. Nou hoeven al die kinderen niet te vrezen dat ze niks overhouden als ze met zoveel halfbroertjes en -zusjes moeten delen. Ieder van hen kan, uitgaande van het huidige banksaldo van hun vader/donor, ruim 160 miljoen dollar tegemoet zien. Waar ze waarschijnlijk wel nog even op moeten wachten, want Doerov is pas veertig en springlevend. Zijn naam prijkt op indrukwekkende lijstjes: de op 119 na rijkste persoon ter wereld, de rijkste expat in de Verenigde Arabische Emiraten, de machtigste ondernemer in Dubai – dat soort dingen.

In Doerovs portefeuille zitten maar liefst vier paspoorten: hij is staatsburger van Rusland (hij is geboren in de Sovjet-Unie), Saint Kitts and Nevis (eilandjes in de Caribische Zee waar hij de suikerindustrie met een kwart miljoen dollar steunde), de Verenigde Arabische Emiraten en Frankrijk. De aanvraag voor dat laatste paspoort zou volgens Paul du Rove, zoals hij zich in dat land noemt, een 1-aprilgrap zijn geweest, die per ongeluk via een speciale procedure zou zijn goedgekeurd. Maar daardoor werd hij wél ook EU-burger.

Al deze feitjes (en nog veel meer) kun je ook nalezen op Wikipedia, maar waarom besteed ik er hier aandacht aan? Omdat Pavel Valerjevitsj Doerov ook nog de geestelijk vader en oprichter is van Telegram, de berichtendienst à la WhatsApp en Signal. En Telegram is nou niet bepaald een dienst die security- en privacymensen een warm hart toedragen. Ik zal uitleggen waarom dat zo is. Houd daarbij in gedachten dat de term cryptografie, die ik hier gebruik, niets te maken heeft met crypto-valuta zoals Bitcoin.

Als je berichten met iemand uitwisselt (met iemand appt), dan wil je doorgaans dat andere mensen, bedrijven of overheden niet mee kunnen lezen. Berichten worden daarom versleuteld. Deze encryptie zorgt ervoor dat alleen jij en je gesprekspartner de berichten kunnen lezen, omdat alleen jullie over de bijbehorende sleutels beschikken (dat heet end-to-end encryptie). Het mechanisme, dat de encryptie verzorgt, heet een cryptografisch protocol, dat op zijn beurt gebruikmaakt van cryptografische algoritmes. Doorgaans worden daar internationaal erkende standaarden voor gebruikt, die uitvoerig en door veel verschillende deskundigen zijn onderzocht. Dat maakt ze betrouwbaar. Bij Telegram vonden ze dat ze beter een eigen crypto-protocol konden maken. Dat geldt in de cryptografie als een doodzonde, omdat de kans groot is dat je je eigen fouten over het hoofd ziet. Hun protocol is ook niet volledig openbaar, waardoor onderzoek lastig is. Bovendien staat de versleuteling niet standaard aan. Bij andere berichtenapps is dat wel het geval.

Telegram en zijn oprichters kennen een turbulente geschiedenis. Doerov verliet Rusland na geruzie over zijn eerdere onderneming, VKontakte (het Russische Facebook). In het kort: hij had geweigerd om persoonlijke informatie over demonstranten aan de autoriteiten te overhandingen. In 2014 verliet hij Rusland en zette hij Telegram op. Volgens Doerov maakte Telegram tien jaar later voor het eerst winst, bij een omzet van meer dan een miljard dollar. Hoe Telegram in de tussenliggende tijd gefinancierd is, blijft wazig.

Ondanks het geruzie in Rusland weten we niet of er achterdeurtjes in Telegram zijn ingebouwd. Zo te lezen heeft Doerov een redelijke staat van dienst als het gaat om weerstand bieden aan graaiende autoriteiten. Op het wereldwijde toneel van spionage weet je echter nooit zeker of dat niet slechts voor de bühne is en of er, buiten ons zicht, niet toch het een en ander bekonkeld is. Het platform wordt door criminelen graag gebruikt om zaken te doen, misschien wel omdat Doerov c.s. hen geen strobreed in de weg leggen. In deze context heeft Frankrijk hem vorig jaar gearresteerd (en weer op borgtocht vrijgelaten). In ieder geval maken de ondoorzichtigheid en, eerlijk gezegd, ook de Russische roots, dat Telegram een platform is waarvan ik sterk afraad om het te gebruiken. Gebruik liever Signal – dat heeft een sterke positie op cryptografisch en privacy-gebied. Daar hoort wel met de kanttekening bij dat dit een Amerikaans product is en daarmee onder Amerikaanse wetgeving valt, die opsporingsdiensten allerlei mogelijkheden geeft om gegevens te vorderen. Overigens kunnen ze alleen gegevens afstaan die ze hebben; de inhoud van jouw berichten zijn end-to-end versleuteld en daardoor redelijk veilig. WhatsApp werkt precies zo, maar heeft een minder goede naam op het gebied van privacy omdat ze jouw profiel en gedrag te gelde maken.

Ook al heb je honderd kinderen en een bovengemiddeld vette bankrekening, dat maakt nog niet dat je een goede  huisvader bent. Ik zie teveel rode vlaggen om Doerov en zijn Telegram te kunnen vertrouwen.

 

En in de grote boze buitenwereld …

• Heeft zelfs het Amerikaanse Huis van Afgevaardigden WhatsApp in de ban gedaan.
• Heeft het continent van de Nigeriaanse prins nu zelf last van cybercrime.
• Is AI-manipulatie soms ook voor experts moeilijk te herkennen.
• Heeft Iran zijn internettoegang geblokkeerd om het land te beschermen tegen cyberaanvallen, zegt Iran.
• Is Iran in ieder geval al tientallen miljoenen in crypto-valuta kwijtgeraakt aan hackers.
• Zijn gehackte vliegtuigmaatschappijen er altijd als de kippen bij om te melden dat de vliegveiligheid niet is geraakt.
• Kunnen ook printers kwetsbaar zijn.
• Zijn sommige servers zelfs kwetsbaar als ze uit staan.
• Promoot het Britse NCSC het gebruik van password managers en vooral van passkeys.