Publicatie

2024/03/07

Jeroen Hermans

Translations of this article:
EN EN EN

Het onderzoek wat begon met een eenvoudige vraag per email blijft groeien en groeien. Op een gegeven moment lijkt het dan ook een logische stap om de resultaten te gaan publiceren. Het is een proces wat ik zelf nog nooit met externe journalisten heb gedaan en het was een leuke en leerzame ervaring.

Tijdens een lunch bij een klant vertel ik aan een security expert dat het onderzoek het punt bereikt dat er eigenlijk wel gepubliceerd kan gaan worden. Ik ben op zoek naar een publicatie medium hiervoor. De security expert suggereert dat Follow The Money (FTM) een geschikte partij kan zijn om deze publicatie te doen.
Ik ken FTM als een gedegen onderzoeksplatform waar mensen werken die hun sporen in de onderzoeksjournalistiek hebben verdiend.

Midden maart stuur ik een email bericht aan FTM. Ik sluit af met

Het is niet nodig om versleuteld te gaan communiceren. Mijn gegevens zijn uitgebreid bekend bij de partijen. Ik denk dat dat e.e.a. ook eenvoudiger maakt.

Het laat wederom zien hoe ik gedurende het verloop van het gehele onderzoek en de daarop volgende publicatie met open vizier heb gewerkt. Ik krijg diezelfde week nog een emailbericht terug van Siem Eikelenboom . Hij wil graag met mij afspreken om het over mijn onderzoek te hebben. Ik stel voor om in een bar-restaurant aan het Plein in Den Haag af te spreken.

Tijdens de eerste meeting leg ik mijn volledige dossier op tafel. Ik heb problemen gevonden met encryptie, de firmware en jaarstukken die niet kloppen of afwezig zijn. Het is mij duidelijk dat dit dossier gevoelig kan zijn. Lydis heeft inmiddels al aangegeven dat door hen geleverde apparatuur ook bij zeer gevoelige overheidsorganisaties gebruikt wordt. Op het moment wanneer twee zwijgende mannen dan ook aan het tafeltje naast ons gaan zitten in een verder lege zaak stel ik voor om toch maar even ergens anders te gaan zitten. Als ik mijn papieren bij elkaar pak en wegloop word ik nagestaard door de twee zijgende mannen. Laten we er van uitgaan dat het om overdreven voorzichtigheid van mijzelf gaat.

Siem bedankt mij voor de informatie bij het afscheid. We zorgen dat we elkaar via een versleutelde chat kunnen bereiken en lopen weer naar buiten. De chat krijgt een Haagse codenaam mee. Het geeft ook wel aan hoe voorzichtig we zijn. Je wil eigenlijk te voorzichtig zijn, want als informatie te vroeg of incompleet lekt, dan kan dat het dossier, FTM of mij schade berokkenen.
Een aantal dagen later vraagt Siem mij of het goed is als er een tweede journalist bij betrokken raakt. Uiteraard vind ik dat geen enkel probleem en zo wordt Sebastiaan Brommersma aan de versleutelde chat toegevoegd. Sebastiaan is opgeleid als IP advocaat en houdt zich bij FTM bezig met cybercrime en security. Hij woont niet in Nederland en de eerste meeting met hem vindt dan ook plaats via een video meeting.

Ik merk dat ik al zo diep in de materie gedoken ben dat het lastig is om eenvoudig duidelijk te maken wat er aan de hand is. En dat is juist heel erg goed. Siem en Sebastiaan zorgen er voor dat ik kan en moet uitleggen wat het probleem nou eigenlijk is. Wellicht zou men zelfs kunnen stellen dat zij hier ook wel de basis hebben gelegd voor deze publicatieserie.

Het is indrukwekkend om te zien hoe twee professionele journalisten te werk gaan. Checken, dubbel checken en dan toch “weten we dat wel zeker?”. Hoewel frustrerend in het begin leer ik er heel erg veel van. Het verzamelen van feiten, zorgen dat er externe bronnen zijn die dit kunnen verifiëren en alle feiten in een verhaal compileren is een technisch proces.

En dus krijg ik van FTM een hele voorzichtige vraag of ik het goed zou vinden als mijn bevindingen voorgelegd kunnen worden aan andere experts. Ik reageer hier meteen enthousiast op. Een artikel waar Jeroen (wie?) iets zegt is uiteraard veel minder krachtig dan een verhaal waar verschillende academische experts bevestigen dat er inderdaad beveiligingsproblemen zijn.
En dus worden verschillende experts aan het onderzoek toegevoegd. Elk met hun eigen expertise, zoals reverse engineering of cryptografie. Het valt mij op dat deze experts soms heel voorzichtig willen zijn met hun naam aan het onderzoek te verbinden. Met de kennis van nu begrijp ik beter waarom, maar toen deze gesprekken plaatsvonden kon ik mij hier lastig in verplaatsen.
Tijdens de vaak hectische meetings die volgen blijkt duidelijk dat de taktiek van Lydis en Yealink om opzettelijk vaag te zijn over security vruchten afwerpt. De groep experts heeft allemaal duidelijke ideeën over wat er aan de hand kan zijn, maar er zijn maar enkele theorieën die ook staafbaar zijn en zo gepubliceerd kunnen worden.
Zo gaat een van de vraagstukken over hoe het kan dat een groot techbedrijf fouten blijft maken in de authenticatie van hun producten en meerdere malen op een vrij knullige manier hun geheime sleutels lekt. De theorieën gaan van “incompetentie” tot “plausible deniability” en alles daar tussen in. Uiteraard is dit nou juist iets waar we geen bewijs voor kunnen vinden en dus blijft het bij speculaties.

Op het moment dat het dossier vorm begint te krijgen bij FTM nemen zij contact op met Lydis voor wederhoor. En er wordt een bezoek in Almere op het hoofdkantoor van Lydis ingepland. Ik word door Siem meegevraagd. In de zomer van 2023 rij ik naar de woning van Siem om hem op te halen. Tijdens de rit van zijn woning naar Almere blijft informatie over het dossier binnenkomen. De telefoon van Siem gaat meerdere keren wanneer er informatie binnenkomt over grote klanten van Yealink. Het is achteraf interessant om te zien hoe deze informatie uiteindelijk in het artikel terecht komt.

Als ik voor de tweede keer het pand van Lydis binnenstap, dit keer samen met Siem, worden we wederom vriendelijk ontvangen. Ik besef mij dat we met iets belangrijks bezig zijn wat echte mensen met echte gezinnen beïnvloed. Een dossier is vaak heel abstract en afstandelijk totdat je de mensen ziet die elke dag heel oprecht met enthousiasme werken aan de apparatuur waar jij over wil gaan publiceren. Ik heb dit ook gezien bij mijn werk aan het dossier van Paxton en ook bij het dossier van Comelit . Als de vriendelijke mevrouw aan de receptie Siem en mij koffie komt brengen besef ik mij maar al te goed dat het van het allergrootste belang is om heel erg nauwkeurig te werk te gaan.

We gaan zitten in de mooie vergaderruimte samen met de algemeen directeur en de technisch directeur van Lydis. De algemeen directeur van Lydis stelt meteen voor om het gesprek op te nemen om er voor te zorgen dat we achteraf geen onduidelijkheden hebben over de inhoud van het gesprek. Siem en ik kijken elkaar even aan, halen allebei ons opname apparaat uit de binnenzak, drukken op start en leggen het naast die van Lydis. De schermpjes van de drie opname apparaten laten in sync de waveform van onze stemmen zien.
Het is goed dat deze vraag gesteld werd. Het blijkt tijdens het latere traject, wanneer de verhoudingen met Lydis verder verzuurd raken, dat het van belang is dat het precies duidelijk is wat er gezegd is

Als we de meeting verlaten, hebben we een aantal stevige vragen kunnen stellen. Uiteraard krijgen we daar niet ter plekke antwoord op, maar we hebben er wel vertrouwen in dat dat antwoord er nog gaat komen.
Na de meeting krijgen we een net mailtje van de algemeen directeur:

Naar ons idee was het een goed en prettig gesprek waarin we hopelijk hebben kunnen verduidelijken wat voor soort bedrijven Lydis en Yealink zijn en dat er geen reële veiligheidsrisico’s aan de orde zijn. Ook van jullie kant hebben we niets gehoord wat daarop wijst.

Ik stuur een bericht in de chatgroep of wij in een andere meeting hebben gezeten, want dit staat totaal haaks op mijn beleving van deze meeting. Ik krijg antwoord dat ik niet de enige ben dit die deze beleving heeft.
De email van de directeur van Lydis gaat verder om te vermelden dat

Zoals aangegeven zien wij niet in waarom deze items aanleiding zouden zijn voor een nieuwswaardig artikel.
Hier komt wel duidelijk bloot te liggen waar het probleem hier ligt. Of iets al dan niet nieuwswaardig is, is niet aan Lydis.
Maar de ontevredenheid van Lydis heeft ook een bedrijfseconomische achtergrond, want volgens de directeur zijn er inmiddels bestellingen van het Ministerie van Defensie gecanceld of on-hold gezet.
En: “Het is ons tot op heden niet gelukt om Ministerie van Defensie volledig gerust te stellen”. Maar daar heeft de directeur van Lydis wel een mooie oplossing voor verzonnen. De vraag is of FTM contact wil opnemen met de Lydis klanten in de vorm van een toelichting.
Die toelichting kan er bijvoorbeeld in bestaan dat Follow The Money weliswaar onderzoek doet naar het gebruik van Chinese apparatuur op de Nederlandse markt in algemene zin maar geen aanleiding heeft om te veronderstellen dat rond de Yealink (video-)producten enig veiligheidsrisico speelt. Eventueel zouden we deze partijen gezamenlijk kunnen benaderen.
Er is inmiddels al grote schade ontstaan zo beweert de directeur en FTM “behoort mee te werken om deze schade te beperken”

Journalisten krijgen er ongetwijfeld regelmatig mee te maken, maar ik was best wel….onder de indruk van deze werkwijze. Onafhankelijke journalisten vragen om klanten te overtuigen aangezien het Lydis zelf niet lukt om ongeruste klanten “gerust te stellen”.
Onverrassend reageert FTM in een net mailtje met “nee”. De directeur van Lydis laat het er niet bij zitten en probeert het nog een keer, maar faalt ook hier. Geen verrassing eigenlijk.

In de laatste fase van de publicatie gaat alles vrij stormachtig. Er worden lange documenten opgesteld met de status van wederhoor bij Lydis, Yealink, TÜV Rheinland en Microsoft. Ook ontstaat er een lang document met de antwoorden die zijn binnengekomen op de vragen die FTM heeft rondgestuurd in Nederland. Er ontstaat een duidelijker beeld van de klantenkring van Yealink en om wat voor apparatuur het gaat. Ministeries, veiligheidsregio’s en andere overheidsorganisaties prijken inderdaad op deze lijst. Hier heeft Lydis inderdaad de waarheid gesproken.

Op het moment dat het richting publicatie gaat, wordt er een laatste keer om wederhoor gevraagd bij zowel Yealink als Lydis. Dit keer komt er geen antwoord van Yealink zelf, maar van Amsterdam advocatenbureau Fruytier Lawyers in Business. We kennen deze firma al uit het artikel over Yealink Europe. De advocaat geeft aan dat hij door Yealink is gevraagd om antwoord te geven op de vragen, maar dat hij de deadline veel te kort vindt

In all honesty, that would be a disgrace and a disqualification of FTM as an investigative journalist platform.
en
I personally support FTM with my EUR 11 monthly membership, as I consider free press and in depth journalism as an important counter balance against government and corporate powers.
Ik kan alleen maar concluderen dat deze medewerker van Fruytier Lawyers in Business veel beter in ironie is dan ikzelf ooit zal zijn.
Hij vervolgt met “How is this different from any second tier gossip paper?”

FTM geeft aan dat het toch geen probleem moet zijn om even te bevestigen wat Yealink al (uit naam van Fruytier Lawyers in Business) aan mij heeft gestuurd in juli. Maar hij geeft aan dat:

The mere fact that my client has provided you with a statement on July 13th, 2023, does not mean that therefor the questions that are asked now do not require a thorough investigation before answering them.

Interessant. De antwoorden van de advocaat die geen advocaat bleek te zijn in juli moeten toch nog even goed doorgekeken worden op correctheid. Ik kan mij bijna niet voorstellen dat ik met een kluitje het riet in ben gestuurd dus laten we het houden op professionele grondigheid van deze, echte, advocaat.

Maar het lukt Yealink toch om voor de deadline met een antwoord te komen. Een van de antwoorden gaat over de (overduidelijk) onvolledige lijst van Open Source software. Zij geven hier ruiterlijk toe dat ze zich niet aan de GPL houden want

Currently, the usage status of OSS for the IP PHONE product line has been disclosed on the official website, and we are still disclosing the usage status of OSS for other products.
Dit betekent dus alle video apparatuur, USB cams, alle tooling, YMDP, “Configuration Encryption Tool” en de “IP Discovery Tool”. Het is een lange lijst aan software en apparatuur waar de OSS niet vermeld wordt en ondanks het antwoord van Yealink op 14 september 2023 is deze lijst mirror in maart 2024 nog steeds niet aangevuld.

Lydis heeft op dit moment nog het idee om dit op hun eigen manier zonder advocaat te kunnen oplossen. En dus stuurt de directeur van Lydis opnieuw een email aan FTM met mij in de CC:

De suggestie die Hermans doet is werkelijk lasterlijk. Wij snappen zijn beweegredenen niet. Dat jullie op basis van het bestaande dossier voornemens waren dit over te nemen vinden wij echt zorgelijk. Graag de bevestiging dat dit citaat van de baan is en dat wij het gehele artikel waar jullie kennelijk mee bezig zijn ruim voorafgaand aan publicatie ontvangen.

Kijk…niemand is het er over oneens dat Lydis mijn beweegredenen niet snapt. Maar zelfs als ik beweegredenen zou hebben die onredelijk zouden zijn, dan nog staat het mij vrij om met journalisten te praten. Journalisten, en Siem en Sebastiaan in het bijzonder, zijn professionals die echt wel door een fake verhaal heen kunnen prikken.
Toch probeert de directeur hier opnieuw invloed uit te oefenen op Nederlandse journalisten door hun bron (mij) in diskrediet te brengen, gebiedt om een citaat te verwijderen en zelfs vooraf volledige inzage in de publicatie te krijgen.
Vooral dit laatste is interessant, want tijdens mijn contacten met Lydis in de afgelopen weken over deze publicatiereeks is dat ook een verzoek wat herhaaldelijk is teruggekomen. Laten we het er op houden dat het niet begrijpen van de beweegredenen wederzijds is.

En ook Lydis vindt dat FTM zich als roddelpers gedraagt:

Ik moet eerlijk zeggen dat ik hoop dat FTM zich naar zijn reputatie gaat gedragen en feitelijke juistheid gaat hanteren en zich niet verlaagt tot beweringen die in de roddelpers thuis horen.

Terwijl de directeur van Lydis meteen zijn verhaal vervolgd met een herhaald verzoek (blijkbaar aan de roddelpers) om toch echt samen met Lydis een reactie op te stellen naar hun klanten toe.

Ik wil je ook nog vragen wanneer ik een reactie op mijn mail naar jou kan verwachten over het benaderen van klanten en aangeven dat je klanten gegevens van Lydis hebt ontvangen, wat totaal niet juist is zoals je weet.
Ik moet het Lydis nageven. Het is lef hebben!

Maar Lydis heeft er zelf ook geen vertrouwen meer in zo blijkt als op 14 september 2023 een aangetekende brief in Amsterdam bij de directie van FTM wordt afgeleverd.
Het is een onsamenhangende brief van een advocaat van AKD N.V. De brief gaat pagina’s lang in op het in diskrediet brengen van mij en mijn onderneming. Er worden bewoordingen gebruikt als “hetze van Hermans” en na een lang betoog sluit hij af dat “De onafhankelijkheid van Hermans als bron is zoals hierboven aangegeven bovendien twijfelachtig”

Maar dan maakt de advocaat een interessante opmerking die wellicht verklaart waarom Lydis zo graag inzage wil hebben in publicaties op voorhand:

verzoek ik u deze publicatie in het kader van wederhoor minimaal één week voorafgaand aan de daadwerkelijke publicatie in concept aan ondergetekende toe te sturen

Het heeft dus alle schijn van dat de definitie van wederhoor van Lydis heel anders is dan die van de rest van de wereld . Want het heet niet voor niets wederhoor en niet wederpraat. Dat Lydis tot op de dag van vandaag nog steeds hun eigen definitie aanhoudt van wederhoor blijkt ook wel uit het feit dat ik, nu ook voor deze publicatiereeks, weer hetzelfde verzoek krijg.

Het is geen brief die aan mij gericht is en dus kan en wil ik deze hier ook niet beschikbaar stellen, maar ik hoop dat ik met bovenstaande tekststukken duidelijk heb kunnen maken hoe Lydis mij in diskrediet heeft proberen te brengen.
Toen Lydis dit stelselmatig is blijven doen, ook na de publicatie in FTM, met termen als “zelfbenoemde security export” doormiddel van publicaties in vakbladen, heb ik besloten om met deze serie publicaties te beginnen. Dan maar alles op tafel en dan kan iedereen zijn eigen oordeel vellen over mijn “gebrek aan kennis bij Hermans over hoe SIP-telefonie werkt”.

Het is de avond voor de publicatie. Al het harde werk zit er op. Het is wachten op de release van het artikel. Mijn telefoon gaat redelijk laat op de avond. Er is nog overleg geweest bij FTM over het artikel en aan de andere kant van de lijn is de hoofdredacteur van FTM. Het is een redelijk kort gesprek, maar hij wil mij even zelf gesproken hebben. “Kan ik je vertrouwen” vraagt hij? Ik geef aan dat dat uiteraard zo is, maar dat hij voor die vraag beter andere mensen kan bellen. Het is blijkbaar het correcte antwoord, want hij reageert met “Dan gaan we er voor…”.
De volgende ochtend schittert het artikel in FTM, De Tijd en l’Echo. Op de voorpagina van de Franstalige krant staat de kop “Des grandes entreprises belges s’exposent à l’espionnage chinois”. Het betekent het begin van een nieuwe, voor de buitenwereld stille, fase van het verhaal. Stil voor de buitenwereld, maar zeer zeker niet voor mij.

En tot hier de publicatie over de publicatie. De reden dat ik uitgebreid op het publicatieproces ben ingegaan is omdat het, volgens mij, niet vaak gebeurt dat er op deze manier samengewerkt wordt met journalisten om een verhaal naar buiten te brengen. Ik denk dat het interessant is om aan te geven hoe zo’n proces gaat en waar het toe gan leiden. Wellicht dat er beveiligingsonderzoekers zijn in de toekomst die hier dan iets aan hebben. Als er iets is wat ik geleerd heb is het:

  • Vertel je verhaal. Bitjes en bytes zijn niet te publiceren. Waarom is iets belangrijk? Waarom is het relevant?
  • Ben open en eerlijk. Als je open bent over alles dan kun je ook niet in diskrediet gebracht worden. Er zijn soms zaken die je niet onafhankelijk kunt staven. Dat is heel jammer, maar maak het dan niet mooier dan het is.
  • Controleer al je findings en het liefst: laat het controleren. Je wil geen sommatie van 7mln op je deurmat hebben als je iets gepubliceerd hebt wat achteraf niet waar blijkt te zijn.
  • Houd de menselijke maat ook in gedachte. Niet iedereen met vreselijke security maatregelen is een bad guy. Er werken echte mensen met echte gezinnen met grote passie aan een product. Niet iedereen duikt er zo diep in als jij zelf. Probeer een probleem eerst op te lossen samen met de fabrikant en maak de maatschappij op die manier veiliger. Wat hier is gebeurd is heel ongewenst en een last resort.

Dinsdag is de volgende publicatie. Dan ga ik in op de historische staat van beveiliging van Yealink. Zijn er andere beveiligingsonderzoekers die eerder met Yealink zijn bezig geweest? Kun je CVE’s verbergen? Wat betekenen de pentest rapporten die Yealink trots presenteert? En lekt de YMCS nu persoonsdata van de directeur van Lydis?

Tot dinsdag!