De gouden eeuw van internetspionage

Analyse

De gouden eeuw van internetspionage

De gouden eeuw van internetspionage
De gouden eeuw van internetspionage

Arthur Debruyne

28 januari 2015

De Snowden-onthullingen schetsen een alsmaar duidelijker beeld van een Westerse internetsurveillance die planetair en allesomhelzend is. Journalisten, onderzoekers, advocaten, enzovoorts, maken zich ernstig zorgen om de integriteit en veiligheid van hun communicatie en informatie. 'De veiligheidsdiensten zijn volledig op hol geslagen', zegt cybersecuritylegende Phil Zimmerman.

Het National Security Operations Center van de Amerikaanse veiligheidsdienst NSA in Fort Meade.

In juni 2013 werd Amerikaan Ladar Levison, de baas van versleutelde e-mailprovider Lavabit, benaderd door de Amerikaanse recherchedienst FBI met een bevelschrift voor de zogenaamde metadata over het e-mailverkeer van een specifieke gebruiker: informatie over afzender en ontvanger, tijdstip en plaats van verzending, enzovoorts; alles behalve de inhoud van een bericht.

Gage Skidmore (CC BY-SA 2.0)

Ladar Levison

Gage Skidmore (CC BY-SA 2.0)

Lavabit was een tiental jaren voordien opgericht deels vanuit bezorgdheid over de privacy van Gmail, waarvan Google de inhoud scant op trefwoorden om zijn gebruikers gerichte advertenties voor te schotelen. Bij versleuteling (of encryptie) is de inhoud van een bericht ontoegankelijk zonder een sleutel, de zogenaamde ‘encryption key’. Wie het bericht onderschept, kan het zonder de sleutel niet lezen.

Levison had in het verleden al meegewerkt aan zo’n onderzoek en toegang verleend tot de gegevens van een pedofilieverdachte, bijvoorbeeld, en ook nu deed hij aanvankelijk wat van hem gevraagd werd. Kort nadien werd hem echter gevraagd, mét bijkomende voorwaarde van een zwijgverbod, om de algemene key (de zogenaamde SSL-sleutel) van al het versleutelde e-mailverkeer,   waardoor de FBI toegang zou hebben tot alle mails van elk van zijn 410.000 gebruikers, onder wie, zo bleek uit berichtgeving, voormalig NSA-medewerker en klokkenluider Edward Snowden. Die was tijdens een tussenstop onderweg naar Cuba, op vlucht voor de Amerikaanse overheid, gestrand in de transitzone van de luchthaven van Moskou.

Snowden had zich enkele weken voordien geuit als de bron van het grootste lek in de geschiedenis van de Amerikaanse veiligheidsdiensten. Uit de eerste, interne documenten die door Snowden en de journalisten met wie hij samenwerkte onthuld werden, bleek onder meer dat inlichtingendienst NSA systematisch al het dataverkeer van technologiereuzen zoals Facebook, Google en Skype, systematisch verzamelde en analyseerde.

Uit de Snowden-onthullingen zou eind 2014 ook blijken dat de Britse inlichtingendienst GCHQ vanaf 2011 minstens twee en een half jaar onopgemerkt toegang had tot Belgacom en dochterbedrijf BICS, een hoofdader voor honderden internationale telecomproviders. De GCHQ forceerde zich binnen middels de beruchte malware Regin, dat volgens recente berichtgeving aangeleverd is door de NSA.

In zijn getuigenis voor het Europese Parlement in oktober 2013 beschrijft een bijwijlen zichtbaar bewogen Levison wat hij ervoer als een buitenproportionele en onwettelijke schending van de privacy van zijn klanten. In plaats van toe te geven aan de eisen, trok Levison daarom de stekker uit Lavabit. Het was de eerste keer dat een technologiebedrijf zoiets deed.

Daags nadien deed de Amerikaan Phil Zimmerman, uitvinder van de meest gebruikte e-mailversleutelingssoftware Pretty Good Privacy (PGP) en cybersecuritylegende, hetzelfde met zijn versleutelde e-mailprovider Silent Mail, omdat hij naar eigen zeggen de tekens aan de wand zag en vreesde dat zijn e-mailprogramma hetzelfde lot beschoren zou zijn.

Politiestaat

Phil Zimmerman, uitvinder van Pretty Good Privacy, een software pakket voor e-mail encryptie.

We ontmoetten Phil Zimmerman in de wandelgangen van de ‘Computers, Privacy & Data Protection’-conferentie (CPDP), die vorige week in Schaarbeek plaatsvond. De CPDP verzamelde een duizendtal academici, advocaten, journalisten, internetactivisten, enzovoorts, die drie dagen ideeën uitwisselden - nu eens met academische distantie, dan weer met bezorgde urgentie - over cyberveiligheid, databescherming en privacy. Het spook van de NSA was er nooit veraf.

‘Na 9/11 zijn de Amerikaanse veiligheidsdiensten volledig op hol geslagen’, zei Zimmerman net nog tijdens een panelgesprek. ‘En dat baart me zorgen. De surveillance van de NSA verstoort de democratie. Kijk naar China: daar is de politieke oppositie bijna onbestaande omdat men er in een panopticon van surveillance leeft.’ (Een panopticon is een conceptueel gebouw waarin één enkele bewaker zicht heeft op alle gevangen, zonder dat die laatsten zelf kunnen zien of ze al dan niet bekeken worden.)

Zimmerman staat vandaag samen met twee ex-Navy SEALs aan het roer van het in 2012 opgerichte Silent Circle, een bedrijf dat zich specialiseert in veilige en geëncrypteerde communicatietools. Het bedrijfshoofdkwartier is overigens verhuisd naar Genève, voor de Zwitserse neutraliteit en grotere rechtsbescherming.

Zimmerman wordt vergezeld door Toby Weir-Jones, de CEO van Silent Circle-dochterbedrijf Blackphone. De Blackphone is een versleutelde smartphone met een aantal veilige apps zoals een anonieme webbrowser en instant messenger die niet kan worden afgeluisterd of gekraakt. Je kan hem online kopen en binnenkort zou hij ook in Belgische winkels beschikbaar zijn. Toen hij afgelopen juni gelanceerd werd, verkocht hij algauw vijf keer meer dan verwacht. Er zit ook een tablet aan te komen, al moet dat nog officieel aangekondigd worden.

Zimmerman is inmiddels een soort van legende in het cybersecuritywereldje. Hij wordt wijd bewonderd en gelauwerd, zo ook in de marge van CPDP. Veel van zijn spitse observaties ontlokken spontaan applaus en hij heeft altijd wel een bewonderaar in het kielzog.

Weir-Jones is een boomhoge man met een zachte inborst en een bedachtzame en didactische manier van praten. Beide mannen zijn bijzonder ad rem, geoefend bijna, in hun beschouwingen op hedendaagse spionagepraktijken.

‘Massale, automatische surveillance is frictionless. Maar het is net die friction, het concrete werk van ordediensten, dat de politiestaat tegenhoudt.’

‘Het probleem is vandaag dat het zo makkelijk en relatief goedkoop is om aan massale surveillance te doen’, zegt Weir-Jones. ‘In de goeie, ouwe tijd moest er nog iemand de telefoonpaal op om iemand zijn telefoon af te tappen. Dat was heel zichtbaar en arbeidsintensief. Vandaag kan je iemand aan de andere kant van de wereld afluisteren met slechts enkele toetsaanslagen. De specifieke architectuur van het internet leent zich daartoe, samen met al die mogelijkheden die internetserviceproviders erin bouwen.’

‘Massale, automatische surveillance is frictionless’, valt Zimmerman hem bij, ‘dat vergt amper moeite, het kost geen bloed, zweet en tranen. Maar het is net die friction, het concrete werk van ordediensten, dat de politiestaat tegenhoudt.’

Het is precies die lage kost van internetsurveillance die volgens gerespecteerd cybersecurityresearcher en internetactivist Jacob Appelbaum heeft geleid tot wat hij en ook de NSA zélf de ‘gouden eeuw van internetspionage’ noemen.

‘Een belangrijke strategie van repressieve regimes vroeger en nu is het onderdrukken van de mogelijkheid tot vrije en private communicatie’, zegt Weir-Jones. ‘Privacyverlies is symptomatisch voor het soort machtsmisbruik en onevenwicht dat we vandaag zien.’

‘Je moet zelfs helemaal niets verkeerd gedaan hebben om hier mogelijk een slachtoffer van te worden. Al de onderschepte data wordt voor onbepaalde tijd opgeslagen, dus als je in de toekomst van iets verdacht wordt, mogelijks onterecht, dan heeft men met terugwerkende kracht toegang tot een berg informatie. Die hebben ze van jou genomen zonder enige keuze van jouw kant, zonder dat je er bewust mee hebt ingestemd.’

Maar: is het mogelijk dat bedrijven als Silent Circle het probleem van intersurveillance overdrijven omdat ze een dienst te verkopen hebben? We vroegen het aan Hans De Zwart, directeur van Bits of Freedom, een Nederlandse belangenorganisatie die opkomt voor digitale burgerrechten. Wanneer hij enkele dagen na ons gesprek nog wat nuance wil aanbrengen, doet hij dat nota bene met een bericht dat geëncrypteerd is volgens het PGP-protocol ontworpen door Zimmerman.

‘Of de angst wordt aangewakkerd door Silent Circle en consorten? Antivirusbedrijven doen dat natuurlijk al veel langer: zij hebben er baat bij om het gevaar groot te laten lijken en de oplossing simpel. Maar bedrijven zoals Silent Circle proberen te beschermen tegen een reëel gevaar: al onze data gaat sowieso door een enorme datafuik, alles wordt gescand en gelezen.’

Snapchat en WhatsApp zijn terroristengereedschap

Het waren al enkele bewogen weken geweest in het cybersecuritywereldje. Eind november werd entertainmentbedrijf Sony slachtoffer van een bijzonder gesofistikeerde cyberaanval. Hackers, volgens de Amerikaanse overheid Noord-Koreaans, gingen aan de haal met gevoelige interne communicatie die vervolgens breed werd uitgesmeerd in de pers, paswoorden en personeelsinformatie werden op het net gegooid, en servers gewist.

Voor veel bedrijven is zoiets een nachtmerrie, waar men vandaag regelmatig van hoort. Behalve dan voor ondernemingen als Zimmermans Silent Circle, die door het incident plots aanzienlijk meer producten verkopen aan de entertainmentsector, zo blijkt.

Niet lang daarna, in de nasleep van de aanslagen in Frankrijk op weekblad Charlie Hebdo en op een kosjere supermarkt, en ook het oprollen van een vermoedelijke islamterroristische cel in het Belgische Verviers, gingen in Europa stemmen op om de surveillancecapaciteiten van inlichtingendiensten uit te breiden. Het debat over het evenwicht tussen veiligheid en burgerrechten woedt weer volop.

Zo kondigde Brits premier David Cameron aan dat hij encryptie wil verbieden, indien Britse inlichtingendiensten geen toegang krijgen tot communicatietools zoals Snapchat en WhatsApp, die ook versleuteld zijn. Mocht de rechts-conservatieve Cameron de verkiezingen in mei winnen, dan zou hij de ‘mogelijkheden verkennen’ om zulke communicatiemiddelen die mogelijk door terroristen gebruikt worden, te laten verbieden zei hij.

Enkele dagen later schrijft de Belgische antiterrorismecoördinator van de EU Gilles de Kerckhove in een gelekt document, gedateerd 17 januari, onder meer dat de Europese Commissie regels moet bedenken om Europese internet- en telecombedrijven te kunnen verplichten hun encryptiesleutels te overhandigen.

Of zulke maatregelen nodig dan wel wenselijk of zelfs haalbaar zijn, is (nog) niet duidelijk. Pleiten voor een uitbreiding van de surveillancemiddelen is in ieder geval op z’n minst voorbarig, zegt Hans De Zwart van Bits of Freedom.

‘Je zit met een asymmetrie in het angstdiscours, de terrorisme- en surveillanceretoriek krijgt de bovenhand. Sinds Charlie Hebdo is er bij bepaalde overheden weer een roep om meer surveillance. Maar het is niet aangetoond dat meer surveillance aanslagen voorkomt. Het aantal aanvallen wat door het Amerikaanse metadataprogramma is voorkomen is bijvoorbeeld nul.’

De vraag of je kan aantonen dat meer surveillance echt geen aanslagen gaat voorkomen, is verkeerd denkt hij. ‘Want je draait de bewijslast om. Als jij mijn mensenrechten wilt inperken, dan is het aan jou om te bewijzen waarom.’

Camerons plannen werden hoe dan ook op brede kritiek onthaald. Belgisch cryptoloog Bart Preneel noemde het plan tijdens CPDP ‘ongelooflijk dom.’ Een manager bij een cybersecuritybedrijf, die liever anoniem wilde blijven, wist ons te vertellen dat zij en haar collega’s er vooral om lachen omdat het plan technisch totaal onhaalbaar is.

Gevraagd wat hij ervan denkt, zegt ook Toby Weir-Jones dat Camerons ideeën volledig onafdwingbaar zijn en ze vooral gezien moeten worden als hengelen naar stemmen. Zoiets is volgens hem niet mogelijk zonder ‘controlemechanismen over het internet die zondanig overdreven zijn dat het absurd wordt.’

Meer misschien dan vroegtijdige verkiezingskoorts, wijzen de uitingen van Cameron op een fundamentele onwetendheid en technische onkunde vanuit het beleid en bijgevolg in het toezicht op inlichtingendiensten, klinkt het bij experts. ‘Er zijn maar heel weinig politici die deze technologieën begrijpen’, zegt Weir-Jones.

De watchlist

Veel mensen in de cybersecurity- en privacycommunity, veelal goed ingelichte en koelbloedige advocaten en onderzoekers, journalisten en researchers, maken zich vandaag ernstig zorgen om de veiligheid en integriteit van hun communicatie en persoonlijke informatie. Mogelijke achterpoortjes in digitale communicatiemiddelen, voor overheidsspionage of nog kwaadwillige hackers, zijn een reële bezorgdheid.

Veel van hen gebruiken geëncrypteerde e-mail, of de webbrowser Tor die je toelaat anoniem te surfen. Bijzonder gevoelige informatie wordt verwerkt op zogenaamde ‘air-gapped’ computers, die volledig afgesloten blijven van het internet. Dat allemaal om hun digitale voetafdruk te verstoppen en hun communicatie te beschermen. Het is blijkbaar vanzelfsprekendheid om het webcameraatje van je laptop te bedekken met een stickertje, zo stelden we vast.

In de recent verschenen, alom geprezen en oscargenomineerde documentaire Citizenfour van Amerikaanse filmmaakster en onderzoeksjournaliste Laura Poitras, praat Edward Snowden over zijn beweegredenen.

Snowden beschrijft hoe mensen uit zijn omgeving aan zelfcensuur begonnen te doen en grapten over hoe ze op de ‘de lijst’ (van verdachte personen) zouden belanden indien ze geld schenken voor een politieke zaak, deze of gene website bezoeken of een gevoelige zoekterm in Google intypen (Poitras staat overigens zelf op zo’n watchlist en wordt elke keer ze een Amerikaanse grens oversteekt tegengehouden en ondervraagd - daarom woont ze nu in Berlijn).

Heel wat vooraanstaande Amerikaanse en internationale onderzoeksjournalisten die over deze onderwerpen berichten gebruiken inmiddels bijzonder verregaande veiligheidsmaatregelen, zowel on- als offline, in hun communicatie met bronnen én met elkaar.

De job van een onderzoeksjournalist is aanzienlijk moeilijker geworden, zeggen ze. Zeker in de V.S., waar de regering-Obama klokkenluiders erg streng aanpakt, meer dan welke voorgaande president dan ook.

Zo werden in 2013 de telefoongegevens van persbureau Associated Press opgevraagd door het gerecht, op zoek naar de overheidsbron van een artikel over een vermeden aanslag. De Britten dwongen de krant The Guardian haar kopie van het Snowden-archief te vernietigen. Deze week is gebleken dat Google interne mails van klokkenluidersorganisatie WikiLeaks heeft overgedragen aan de Amerikaanse overheid.

De vrees dat journalisten afgeluisterd worden door mensen op zoek naar hun bronnen is reëel.

De vrees dat journalisten afgeluisterd worden door mensen op zoek naar hun bronnen is reëel. Dat veroorzaakt mogelijk een chilling effect: een remming op de persvrijheid uit vrees vervolgd of ernstig belemmerd te worden.

Of de vrees dat big brother écht meekijkt al dan niet terecht is, is eigenlijk de vraag niet, zegt Toby Weir-Jones. Het gevoel dat er iemand over je schouders meekijkt, is al voldoende om je vrije meningsuiting te remmen.

‘We krijgen het gevoel dat privételefoontjes en -mails, onschuldig gebabbel en domme grapjes opeens niet meer zo privé zijn als we ooit dachten. En als je denkt dat er iemand over je schouders meekijkt, ga je het uiteindelijk geloven en je ernaar gedragen.’

‘Je moet vertrouwen hebben in de mogelijkheid om vrij en privé te communiceren, met een publiek dat jij hebt gekozen. De vrees voor een ander soort situatie is schadelijk voor je vrije meningsuiting, en dat rijmt niet met je fundamenteel recht op privacy, op vrije meningsuiting en op vrije vergadering.’

Samen met Phil Zimmerman vergelijkt Weir-Jones het gebruik van veilige en geëncrypteerde communicatie met de veiligheidsgordel in een auto. Vroeger werd die amper omgedaan, en vandaag is bijna iedereen overtuigd van het belang ervan.