Ondergrondsbij Wikileaks

WikiLeaks. Wie nog nooit deze naam heeft gehoord, heeft de laatste maanden onder een steen geleefd. Een ding is duide-

lijk: deze klokkenluiderssite heeft veel los-gemaakt. Een aspect bleef onderbelicht: de techniek en de architectuur van de site. Hoe zijn alle bits en bytes achter de scher-men georganiseerd?

Wikileaks noemt zich een journalistieke organisatie met als doel volledig transpa-rantie van informatie. Wereldwijd zijn er ongeveer 800 vrijwilligers bij WikiLeaks betrokken. Dit zijn techneuten, journalisten en juristen. Daarnaast werkt WikiLeaks ook samen met traditionele nieuwsmedia, zoals Der Spiegel en The New York Times.

Aanvankelijk kunnen bezoekers van de website artikelen en pagina’s aanpassen. Tegenwoordig kan dat niet meer, waardoor de site strikt genomen geen wiki meer is. WikiLeaks draait nog wel op het content-managementsysteem MediaWiki. Wel is het mogelijk om op indirecte wijze docu-menten, foto’s en video’s aan WikiLeaks toe te voegen. Op de website is gedetail-leerde informatie te vinden hoe mensen,

www.pcmweb.nlPCM maart 201134

032 Wikileaks.indd 1 03-02-2011 15:03:49

internet n

De techniek achter WikiLeaksDe afgelopen weken heeft de media veel aandacht besteed aan de onthullingen van WikiLeaks.

Hoe komt het dat WikiLeaks nog steeds bereikbaar is, ondanks alle politieke druk en

cyberaanvallen? En hoe doorzoek je die gigantische hoeveelheid informatie die WikiLeaks

beschikbaar stelt?

volledig anoniem, informatie kunnen geven aan WikiLeaks. Op de site bevindt zich een Electronic Drop Box, waarmee volle-dig anoniem via internet informatie kan worden gezonden. Men heeft liever niet dat je Word-documenten stuurt, omdat in deze documenten vrijwel altijd informatie valt te lezen over de eigenaar van het tekstverwerkingsprogramma. WikiLeaks adviseert om een Word-document om te zetten naar een pdf. Een pdf kan overigens ook informatie bevatten over de eigenaar. Verder is het mogelijk om gevoelige infor-matie te branden op cd of dvd en te ver-sturen per post. Op gebrande schijfjes staat soms ook informatie te lezen over de brander. WikiLeaks adviseert om een brander met contante betaling te kopen bij een computerwinkel waar geen camera hangt, zodat nooit valt te achterhalen wie de aankoop heeft gedaan.

HostingWikiLeaks is een controversiële organisatie. Sommige overheden blokkeren websites

met een domeinnaam waarin het woord WikiLeaks voorkomt. Ondanks alle interna-tionale druk en cyberaanvallen is de site nog steeds in de lucht. Sterker nog, er zijn wereldwijd vele mirrors actief, die vrijwel al-lemaal door vrijwilligers zijn opgezet. Wiki-Leaks maakt gebruik van meerdere servers die over de wereld verspreid staan. De op-zet van de hosting kan elke dag verande-ren. De centrale servers van WikiLeaks staan momenteel in Zweden.

Op hostinggebied heeft WikiLeaks een bewogen periode achter de rug. Zonder opgaaf van redenen geeft Julian Assange in oktober 2010 aan de beheerders van WikiLeaks de opdracht om gegevens van

de servers van het Zweedse hostingbedrijf PRQ te verwijderen. Bij dit hostingbedrijf staat overigens nog een andere beruchte site gehost: PirateBay.org. Het grootste gedeelte van de WikiLeaks-hosting staat nu op de servers van de Zweedse internet-provider Bahnhof. Deze servers staan der-tig meter onder de grond in het Pionen Data Center in het centrum van Zweden. Dit datacenter bevindt zich in een voorma-lige atoomvrije schuilkelder, die geheel is uitgehakt in graniet. Voor de noodstroom-voorziening staan er een aantal Duitse on-derzeebootmotoren. WikiLeaks kiest be-wust voor het plaatsen van servers in Zweden vanwege de wettelijke bescher-

35PCM maart 2011www.pcmweb.nl

032 Wikileaks.indd 2 03-02-2011 15:03:52

www.pcmweb.nlPCM maart 201136

ming die dit land biedt wat betreft website-content.

De domeinnaam Wikileaks.org wordt lan-ge tijd doorverwezen door everyDnS. Als bezoekers wikileaks.org in hun browser inty-pen, zorgt everyDnS ervoor dat de bezoe-kers worden doorgestuurd naar het ip-adres 213.251.145.96, zodat ze de WikiLeaks op hun scherm te zien krijgen. Maar begin de-cember 2010 krijgt ook everyDnS te maken met cyberaanvallen. Het betreft aanvallen die tot doel hebben de site wikileaks.org on-bereikbaar te maken. Wikileaks is dan nog wel bereikbaar via het eerdergenoemde ip-adres. Onder andere dankzij het gebruik van social media, waaronder twitter, wordt dit ip-adres snel bekend bij een grote groep mensen, waardoor de site nog steeds door veel mensen wordt bezocht. Als reactie op de aanvallen komt WikiLeaks bovendien met het adres wikileaks.ch, een Zwitsers do-mein. Ook andere sites die gebruikmaken van everyDnS’ dns-diensten lijden onder de cyberaanvallen. Als gevolg hiervan stopt everyDnS met de dienstverlening aan Wiki-Leaks.

Vanwege de cyberaanvallen heeft Wiki-Leaks in deze periode ook nog gebruikge-maakt van hostingdiensten van de Ameri-kaanse partij Amazon. een gedeelte van de

site heeft daar maar een paar dagen ge-staan, want al vrij snel beëindigt Amazon de overeenkomst, omdat WikiLeaks de alge-mene voorwaarden van het hostingbedrijf zouden schenden. Volgens WikiLeaks zou Amazon door de Amerikaanse regering on-der druk zijn gezet om de hosting te beëin-digen. Medio december 2010 gaat de hos-ting gedeeltelijk over op de Franse aanbie-der OVH, maar ondertussen wordt de hoofdsite van WikiLeaks steeds minder be-langrijk, want er zijn namelijk inmiddels al meer dan 2.000 mirrors op internet te vin-den.

insurance.aes256er is nog één bestand dat op internet circu-leert: insurance.aes256. Het is ongeveer 1,5 GB groot. Het versleutelde bestand schijnt veel explosief materiaal te bevatten, maar boze tongen beweren dat er ook nepbestan-den tussen zitten. De inhoud van het versleu-telde bestand kun je alleen lezen als je de beschikking hebt over de sleutel. in de nieuwsgroepen en op bittorrent kun je het bestand downloaden. Begin december 2010 meldt Julian Assange dat hij, in het geval hij wordt gearresteerd, het wachtwoord van het bestand insurance.aes256 bekend zal ma-ken. toch heeft hij dat na zijn arrestatie en borgtocht niet gedaan.

Volgens experts is het bestand insurance.aes256 zonder sleutel niet te openen. na-tuurlijk kun je alle wachtwoordcombinaties uitproberen, maar dan zal het een behoorlij-ke tijd duren voordat de juiste sleutel is ge-vonden. Wordt de sleutel door WikiLeaks wel openbaar gemaakt, dan is het openen van dit bestand uiteraard een fluitje van een cent. Ga dan als volgt te werk: verander de bestandsextensie .aes256 naar .aes. De naam aes is een afkorting voor advanced encryption standard. Download het gratis programma AeS Crypt op aescrypt.com. Dit programma is verkrijgbaar voor meerdere besturingssystemen, waaronder Windows en Linux. Aescrypt bedien je via het context-menu: rechtsklik op het versleutelde be-stand en kies voor Decrypt. Zelf een be-

stand versleutelen met het bestand AeS Crypt kan ook. rechtsklik op een bestand, kies encrypt en voer tweemaal een wacht-woord in. Het versleutelde bestand heeft nu de extensie .aes. Bedenk wel dat het origi-nele, niet-versleutelde bestand ook nog op je computer staat.

anonymousAls Julian Assange zich begin december 2010 meldt bij de politie en wordt gearres-teerd, gaat Operation Avenge Assange van start: een virtuele guerrilla-actie van hackers-groep Anonymous. Deze actie heeft als doel sites plat te leggen van bedrijven die zich in de ogen van de hackers tegen WikiLeaks hebben gekeerd. een van de doelen is de Zwitserse bank PostFinance, die op maan-dag 7 december 2010 een bedrag van € 31.000 van WikiLeaks-voorman Julian Ass-ange heeft bevroren. Dankzij de actie kunnen de klanten van PostFinance op deze dag geen geld meer overboeken. Ook PayPal, die donaties van derden aan WikiLeaks niet meer wil faciliteren, wordt aangevallen. in de chatruimte van Anonymous wordt de voort-gang van de cyberaanvallen besproken. Ano-nymous wordt op hun beurt ook weer aan-gevallen, waardoor hun site voortdurend plat ligt. in deze periode worden eveneens door nederlandse WikiLeaks-sympathisanten aan-vallen uitgevoerd, waaronder op MasterCard en Visa. Ook blijkt dat vanuit een datacen-trum in Haarlem aanvallen worden geïniti-eerd.

DiPLomatieKin totaal heeft WikiLeaks de beschikking over 251.287 diplomatieke telexen, ook wel ca-bles genoemd. De cables zijn afkomstig van 274 ambassades en bestrijken de periode december 1966 tot februari 2010. Deze ca-bles worden normaliter verstuurd via SiPrnet (Secret internet Protocol router network), een soort geheim internet. Dit net-werk wordt gebruikt door de Amerikaanse ministeries van Defensie en Buitenlandse Za-ken om alle geclassificeerde informatie te

JuLian assangeJulian Assange is het gezicht van WikiLeaks. Hij voert het woord en staat in de spot-lights. Hij is 39 jaar oud en geboren in Twille, Australië. In zijn puberjaren leerde hij enkele programmeertalen en begon met inbreken in com-puters. Hij genoot bekendheid onder de naam Mendax en samen met twee vrienden vormde hij een hackersclub-

je. In 1995 kreeg hij een boe-te van A$ 2100 vanwege een cyberinbraak in een universi-teit en Canadees telecombe-drijf. Tevens heeft hij in de ja-ren negentig samen met Su-ellette Dreyfus een boek over hacken, genaamd Under-ground, geschreven. Omdat de Amerikanen achter hem aan zitten, heeft hij geen vas-te verblijfplaats. In december 2010 geeft Assange zich vrij-

willig aan bij de Engelse poli-tie. Hij wordt onmiddellijk ge-arresteerd. Na betaling van een borgsom van bijna 300.000 euro komt hij weer op vrije voeten. Zijn paspoort heeft hij uit handen moeten geven, hij draagt nu een elec-tronische enkelband waar-mee hij traceerbaar is en hij heeft een dagelijkse meld-plicht bij de Engelse politie.

In het Pionen Data Center zorgen onderzeebootmotoren voor noodstroom.

032 Wikileaks.indd 3 03-02-2011 15:03:57

37PCM maart 2011www.pcmweb.nl

internet n

versturen. De cables schijnen gekopieerd te zijn door Bradley Manning, een Amerikaanse militair die hiervoor is gearresteerd en nog steeds vastzit. Momenteel zijn er slechts een paar duizend cables door WikiLeaks vrijge-geven. Bradley Manning wordt eind mei 2010 opgepakt nadat hij in een chatsessie tegen een hacker opschepte over de data-diefstal.

eind november 2010 begint WikiLeaks met het publiceren van deze cables. Ze wor-den niet in één keer vrijgegeven. WikiLeaks kiest voor een gefaseerde aanpak op de website. De documenten vind je op wiki-leaks.nl/cablegate.html. De cables op de website zijn geen losse bestanden, maar tekst op een html-pagina. Op bittorrent en in de nieuwsgroepen zijn wel cables in pdf-for-maat te vinden. Het gaat hier om html-pagi-na’s die in pdf-formaat zijn omgezet. Het is wel oppassen geblazen als je deze informa-tie uit deze bronnen downloadt. er kunnen namelijk grappenmakers en kwaadwillenden actief zijn, waardoor je ongewild computer-virussen binnenhaalt. Op de site van Wiki-Leaks staat wel een torrent-bestand waar-mee je de reeds beschikbare cables kunt downloaden. Als je deze torrent gebruikt, weet je zeker dat je geen virussen binnen-haalt.

cabLes DoorzoeKenAls we kijken naar de cables op de site van WikiLeaks, valt op dat er geen zoekvak aan-wezig is. Je kunt niet zoeken op trefwoord, maar wel op criteria als ambassade, classifi-catie en tijdvak. Het ontbreken van een zoek-

vak is waarschijnlijk een bewuste keuze: een zoekapplicatie zou massaal worden gebruikt, waardoor de site overbelast kan raken. er zijn verschillende manieren waarop je de in-formatie van WikiLeaks goed kunt doorzoe-ken. ten eerste kun je de site integraal via het programma Httrack naar je eigen harde schijf downloaden en via de desktopzoekma-chine Copernic laten indexeren. Ook kun je Google inzetten. Google biedt de mogelijk-heid om binnen een website naar trefwoor-den te zoeken. Ga naar Google en kies voor Geavanceerd Zoeken. Bij domein voer je de website wikileaks.nl in en in het zoekvak voer je een trefwoord in. Deze methode werkt in de praktijk goed. Bedenk wel dat Google eni-ge tijd nodig heeft om een website te indexe-ren. Als WikiLeaks nieuwe informatie aan de sites toevoegt, kost het enige tijd voordat Google alles heeft geïndexeerd.

Henk van ess, voorzitter van de Vereni-ging van Onderzoeksjournalisten, is de site cablesearch.org begonnen. tijdens de bouw heeft hij overleg gepleegd met de site WikiLeaks. Op cablesearch.org kun je zoe-ken op verschillende criteria, zoals tref-woord, bron en security classification. Je kunt ook automatisch op de hoogte worden gebracht van nieuwe informatie. Op de pa-gina new Message Alerts voer je een bron (bijvoorbeeld een ambassade in een be-paald land) en een trefwoord in. Op het mo-ment dat het woord in de door jouw opge-geven bron voorkomt, krijg je hiervan auto-matisch een notificatie. Het is gratis als je wekelijks, dagelijks of elke acht uur op de hoogte gebracht wilt worden. Wil je direct een notificatie ontvangen, dan betaal je daar

$ 50 per maand voor. Heb je het geduld om vier uur te wachten, dan kost je dat $ 10 per maand.

Leger Vs: usb-sticKs VerboDen Ondanks alle encryptiemethoden en veilig-heidsprocedures blijven mensen een zwakke schakel in het systeem. Als reactie op het lekken van Bradley Manning heeft het Ameri-kaanse leger maatregelen genomen. Ameri-kaanse militairen mogen geen usb-stick naar het werk meenemen. Ook is het verboden om (beschrijfbare) cd’s en dvd’s op de werk-plek te hebben. Als een Amerikaanse militair een usb-stick of ander (mobiel) opslagmedi-um in een pc van het Amerikaanse leger steekt, pleegt hij een strafbaar feit en riskeert hij een gang naar de krijgsraad. Dit dienstbe-vel staat bekend onder de naam Cyber Con-trol Order. Critici vragen zich af of het leger wel kan functioneren zonder mobiele opslag-media. Veel informatie kan versleuteld via in-ternet worden verstuurd maar het kan voor-komen dat het leger in een oorlogsgebied over geen of een trage internetverbinding be-schikt. een usb-stick of een ander opslag-medium kan dan uitkomst bieden. Als deze oplossing niet meer gebruikt mag worden, kunnen er in de praktijk vervelende dilemma’s ontstaan. Zestig procent van alle computers van het Amerikaanse leger is aangesloten op Host Based Security System, waarmee afwij-kend dataverkeer kan worden getraceerd. Als er dan toch data naar een ongewenste locatie gaan, kan er direct worden ingegre-pen. Tekst: Marc Boersma

Op de site cablesearch.org kun je vrijgegeven cables doorzoeken op trefwoord.

Het versleutelde bestand Insurance.aes256 is ruim beschikbaar op bittorrent.

2006Eerste publicaties op web-site WikiLeaks.org

2007Corruptie KeniaHandleiding van Guantàna-mo Bay-gevangenis

2008 Materiaal Scientology Kerk Gehackte mailbox Sarah PalinLedenlijst British National PartyE-mailberichten klimaaton-derzoekers

2009Minton-rapport over firma Trafigura

ontwiKKeLingen wiKiLeaKs

2010Video Collateral Murder (beschieting vanuit helikopter)Amerikaanse documenten over oorlog in AfghanistanAmerikaanse documenten over oorlog in IrakAmerikaanse cables vrijgevenJulian Assange gearresteerd en later op borgtocht vrijHackersaanval Anonymous

032 Wikileaks.indd 4 03-02-2011 15:04:00