NSA logo

Dossier: Spionage

Spionage op de iPhone door de NSA en Britse GCHQ roept veel vragen op. Zijn de gegevens op je iPhone nog wel veilig?

NSA logoIn juni 2013 werd de wereld geschokt door Edward Snowden’s onthulling van het PRISM programma van de National Security Agency (NSA). Sindsdien is er geleidelijk steeds meer duidelijk geworden wat betreft de mogelijkheden en de werkwijze van veiligheidsdiensten zoals de Amerikaanse NSA en de Britse GCHQ. In dit artikel geven we een overzicht van de belangrijkste onthullingen die relevant zijn voor gebruikers van Apple-producten. Daarbij lees je op hoofdlijnen op welke wijze er wordt gespioneerd in de cloud, in dataverkeer en op iPhones, iPods touch en iPads, maar ook wie er door de spionage geraakt worden en hoe je jezelf daartegen kunt proberen te beschermen.

In juli 2014 maakte een beveiligingsonderzoeker bekend dat er bewuste achterdeurtjes in iOS zitten. Apple ontkende dat en legde in een apart document uit dat die zogenaamde achterdeurtjes bedoeld zijn voor diagnostische activiteiten. In september 2015 sprak CEO Tim Cook zich uit tegen het gebruik van dergelijke achterdeuren in de software. Begin 2016 kwam Apple’s standpunt op het gebied van achterdeurtjes en privacy in de schijnwerpers te staan dankzij een rechtszaak met de FBI. De FBI vroeg Apple om hulp bij het kraken van de iPhone van een terrorist, maar Apple weigerde dit omdat het een gevaarlijk precedent zou vormen. Je leest alles over Apple’s rechtszaak tegen de FBI in ons dossier.

Spionage in de cloud

PRISM

Het programma waar in de loop der tijd waarschijnlijk de meeste aandacht naar uit is gegaan is PRISM. In het kader van PRISM kan de NSA zich toegang verschaffen tot de gegevens van gebruikers die zijn opgeslagen bij de grote Amerikaanse technologiebedrijven. Hoe lang de NSA deze mogelijkheid al heeft verschilt per bedrijf. Terwijl Microsoft de NSA in september van 2007 al toegang bood, kreeg de NSA pas toegang tot Apple’s diensten in oktober 2012, een jaar na de dood van Steve Jobs. Het PRISM-programma biedt de NSA en gelieerde veiligheidsdiensten de mogelijkheid om bijvoorbeeld e-mail, chats en VoIP onversleuteld in te zien. SSO - PRISMDaarnaast kunnen bepaalde gebeurtenissen zoals het inloggen, versturen of ontvangen van een e-mail, aanleiding zijn om daarover real-time notificaties naar de NSA te sturen. De mogelijkheden zullen per technologiebedrijf verschillen, maar het is aannemelijk dat in het geval van Apple bijvoorbeeld gegevens van gebruikers uit alle onderdelen van iCloud opvraagbaar zijn.

Een element van het PRISM-programma waar initieel veel om te doen is geweest is de vraag of de NSA directe toegang heeft tot alle relevante gegevens van de Amerikaanse technologiebedrijven, of dat de technologiebedrijven deze op individuele basis op basis van een gerechtelijke machtiging aan veiligheidsdiensten verstrekken. De technologiebedrijven ontkenden in sterk op elkaar lijkende bewoordingen dat de NSA directe toegang zou hebben tot hun systemen en benadrukten dat toegang tot gegevens alleen werd verleend op basis van een daartoe strekkende machtiging. Uit documenten die sindsdien zijn gelekt komt het beeld naar voren dat op basis van een beperkt aantal algemeen geformuleerde machtigingen, van de in het geheim opererende FISA-rechtbank, de gegevens van alle personen mogen worden opgevraagd die geen Amerikaanse staatsburger zijn en die zich op dat moment niet in de Verenigde Staten bevinden.

SSL added and removed hereDe vraag of de technologiebedrijven veiligheidsdiensten directe toegang tot hun systemen verlenen is in de loop der tijd echter van minder belang geworden, omdat is gebleken dat GCHQ en de NSA ook op andere manieren toegang kunnen krijgen tot de gegevens van gebruikers in de cloud. De veiligheidsdiensten blijken zich namelijk ook zonder medewerking van de technologiebedrijven toegang te verschaffen tot het veelal onversleutelde verkeer tussen datacenters, door taps te plaatsen bij de telecommunicatieproviders van de technologiebedrijven. In antwoord op deze onthulling maken steeds meer technologiebedrijven bekend dat ze hun interne verkeer ook gaan versleutelen, zodat deze niet meer onversleuteld kunnen worden afgetapt bij de telecommunicatieproviders.

Spionage van dataverkeer

Data in transitDe mogelijkheid om dataverkeer te tappen bij telecommunicatieproviders wordt op een onvoorstelbaar grote schaal ingezet door GCHQ en de NSA. Vrijwel al het verkeer dat langs het Verenigd Koninkrijk of de Verenigde Staten wordt gerouteerd wordt gefilterd, geanalyseerd en voor een bepaalde duur opgeslagen. Het is daarbij van belang om te begrijpen dat dataverkeer niet zozeer de fysiek kortste route, maar de goedkoopste route volgt.

In de enorme hoeveelheid dataverkeer die op deze wijze wordt onderschept kan een selectie worden gemaakt van de data die op een later moment interessant kan blijken te zijn en daarom opgeslagen wordt (bijvoorbeeld in XKEYSCORE). Gegevens die in dit kader interessant zijn, zijn bijvoorbeeld zoekopdrachten die gebruikers uitvoeren en interacties op sociale media. Verder is het duidelijk geworden dat diagnostische gegevens die van Windows-machines afkomstig zijn op deze wijze worden gefilterd en opgeslagen, Diagnostische gegevenswat doet vermoeden dat een vergelijkbaar middel gebruikt kan worden om de diagnostische gegevens van iPhones te verzamelen. Gegevens over diagnose en gebruik worden op iOS dagelijks automatisch verstuurd en kunnen ook locatiegegevens bevatten. De overige diagnostische gegevens kunnen de veiligheidsdiensten later van pas komen als ze bijvoorbeeld willen weten welke software op een systeem aanwezig is, om deze gericht aan te kunnen vallen.

LocatiegegevensDe veiligheidsdiensten zijn bijzonder geïnteresseerd in het verzamelen van locatiegegevens. Voor dit doeleinde is een specifiek programma genaamd CO-TRAVELER opgericht, waarmee dagelijks circa 5 miljard keer wordt opgeslagen waar mobiele telefoons zich over de hele wereld bevinden. De database zou worden gevoed uit diverse bronnen, waaronder gegevens afkomstig van zendmasten en locatiegegevens die worden verzonden door applicaties en advertentiediensten (HAPPYFOOT). De NSA zou ook dankbaar gebruik hebben gemaakt van het feit dat locatiegegevens tot iOS 4.3.3 voor onbepaalde tijd werden opgeslagen op iDevices.

HAPPYFOOT

De gegevens kunnen later bevraagd worden om te bepalen waar een persoon zich op een bepaald moment bevond. Programma’s zoals CO-TRAVELER worden door velen als beangstigend ervaren, omdat de gegevens gebruikt worden om geautomatiseerd nieuwe verdachten op het spoor te komen. Zo kun je als doelwit van spionage worden aangemerkt omdat jij je in de buurt hebt bevonden van een ander doelwit, omdat je dezelfde route hebt gevolgd als een ander doelwit of simpelweg omdat je iPhone is uitgeschakeld net voordat iemand in je omgeving dat ook deed.

Plans are also underway to identify targets based on COMSEC behaviors such as identifying mobiles that are turned off right before convergence between two travel paths occurs.

Naast de passieve spionage van dataverkeer hebben GCHQ en NSA de mogelijkheid om hun toegang tot het dataverkeer actief uit te buiten. De meest in het oog springende mogelijkheid hierbij is om legitieme servers van vertrouwde partijen te imiteren door systemen te infecteren met malware (Quantum Insert). Daarbij injecteren veiligheidsdiensten kwaadaardige code in legitiem datacommunicatieverkeer met vertrouwde partijen, zonder dat een gebruiker daar iets van merkt. Van deze mogelijkheid zou gebruik zijn gemaakt om medewerkers van de Belgische provider Belgacom ongemerkt te infecteren bij het bezoeken van de LinkedIn-website. Op deze wijze kan in principe elk kwetsbaar systeem dat gebruik maakt van het internet heimelijk worden geïnfecteerd met malware.

Spionage op iPhone en iPad

iPhone spionage: 1984

Een vraag waar momenteel nog veel over wordt gespeculeerd, is op welke wijzen veiligheidsdiensten zich toegang kunnen verschaffen tot gegevens die op de mobiele telefoons van gebruikers staan. Uit de gelekte documenten is in ieder geval duidelijk geworden dat de NSA computers infecteert, om vervolgens de vertrouwensrelatie uit te buiten die bestaat tussen de computer en iDevices die daarmee verbonden worden. Vervolgens kunnen er diverse scripts worden uitgevoerd om geautomatiseerd locatiegegevens te verzamelen, maar ook voicemails, foto’s en gegevens uit de Facebook en Yahoo Messenger applicaties.

DROPOUTJEEPEen andere mogelijkheid, die blijkt uit recent gelekte documenten, is het direct infecteren van iDevices. In dit kader is aan het licht gekomen dat de NSA beschikt over een specifiek voor iDevices bedoelde software implant genaamd DROPOUTJEEP. Deze malware kan gebruikt worden om onder andere locatiegegevens, bestanden, SMS’jes, voicemails en contactpersonen te exfiltreren, maar ook om de microfoon of de camera te activeren. Het beheer van en de communicatie met geïnfecteerde toestellen vindt heimelijk en versleuteld plaats.

(DROPOUTJEEP wordt vanaf 44:32 tot 45:40 besproken)

Volgens documenten die uit 2008 dateren bestond destijds alleen de mogelijkheid om de DROPOUTJEEP malware te installeren als iemand fysieke toegang tot een toestel kon verkrijgen. Een mogelijkheid die hierbij bijvoorbeeld werd ingezet was het onderscheppen van bestellingen van apparatuur die voor specifieke personen bedoeld zijn, zodat deze geïnfecteerd kunnen worden voordat ze bij hun nieuwe eigenaar arriveren. In de documenten wordt ook gesteld dat de mogelijkheid om infectie op afstand te realiseren in de toekomst zou worden nagestreefd. Aangezien in de jaren daarna is gebleken dat individuele onderzoekers op afstand toegang hebben kunnen verkrijgen tot iDevices, is het aannemelijk dat tegenwoordig op afstand uitbuitbare kwetsbaarheden door de veiligheidsdiensten worden gebruikt om iPhones vanaf het internet te kunnen infecteren.

Wie wordt er bespioneerd?

Om de vraag te beantwoorden wie er door de NSA en GCHQ (en de andere leden van de Five Eyes) worden bespioneerd, is het van belang om het onderscheid te benadrukken dat gemaakt wordt tussen het opslaan en het doorzoeken van informatie. De interpretatie van regelgeving door veiligheidsdiensten van het juridische kader waarbinnen zij behoren te opereren is dat er geen sprake is van inbreuk op de privacy van gebruikers wanneer hun dataverkeer in grote databases wordt opgeslagen. Ook geautomatiseerde analyse van de verzamelde gegevens zou geen inbreuk van de privacy opleveren. Pas wanneer de gegevens van een doelwit door een persoon worden onderzocht zijn er daarom restricties van toepassing.

De restricties voor de NSA zijn erop gericht om zoveel mogelijk te beperken dat Amerikanen (of personen die zich op Amerikaans grondgebied bevinden) bespioneerd worden, aangezien de NSA daartoe geen bevoegdheid heeft. Dit neemt overigens niet weg dat de Britse veiligheidsdienst GCHQ wel gegevens mag verzamelen over Amerikanen en deze ook uit kan wisselen met de NSA. Gegevens over personen die geen Amerikaans staatsburger zijn en zich niet in de Verenigde Staten bevinden mogen momenteel vrijwel ongelimiteerd verzameld, geanalyseerd en onderzocht worden.

De rechtvaardiging die over het algemeen wordt aangehaald voor de vergaande spionagepraktijken is de bestrijding van terrorisme. Hoewel terrorisme al een zorgelijk rekbaar begrip is, blijkt echter dat de doelgroep voor spionage breder is en in ieder geval elke persoon omvat die informatie heeft die betrekking heeft op een buitenlandse overheid. Zo wordt elke medewerker van een buitenlandse overheid en iedereen die direct contact heeft met deze personen expliciet als potentieel doelwit aangemerkt. Het feit dat de buitenlandse overheid een bondgenoot betreft, lijkt daarbij geen grote beperking te hebben opgeleverd. Bedrijfsspionage: PetrobrasIn de afgelopen maanden is bovendien gebleken dat medewerkers in de private sector doelwit kunnen zijn, bijvoorbeeld wanneer zij werkzaam zijn bij een bedrijf dat toegang heeft tot grote hoeveelheden gegevens over personen (Belgacom) of wanneer het bedrijf in een competitieve sector opereert waarin tevens Amerikaanse bedrijven opereren (Petrobras).

Three degrees of separation

De NSA hanteert bovendien de regel dat vanaf een bepaald doelwit spionage plaats mag vinden voor iedereen die zich binnen three degrees of separation daarvan bevindt. Als voorbeeld kan gewezen worden op Facebook, waar de gemiddelde gebruiker 190 vrienden heeft, wat ertoe leidt dat iets meer dan 5 miljoen mensen zich binnen drie stappen van een gemiddelde gebruiker bevinden. Het bepalen van welke personen interessant zijn voor spionagedoeleinden gebeurt dus niet alleen op basis van de criteria die je zou verwachten. Uit gelekte documenten is bovendien naar voren gekomen dat doelwitten geautomatiseerd kunnen worden vastgesteld. Het risico is daarbij natuurlijk dat wanneer een onschuldige burger op deze manier onterecht als doelwit wordt aangemerkt mensen in zijn of haar omgeving ook als doelwit worden aangemerkt, en dat de privegegevens van deze personen onterecht zullen worden doorgelicht.

Wat kun je doen ter bescherming?

Zelfs al vertrouw je nu en in de toekomst de veiligheidsdiensten van bondgenoten blind, dan moet je jezelf realiseren dat ook mogendheden als China en Rusland vergaande spionageprogramma’s hebben. Als ze nog niet over dezelfde middelen beschikten als de Amerikanen en de Britten is het dan ook aannemelijk dat ze deze middelen zullen proberen te verkrijgen. De veelgehoorde stelling dat je nergens voor hoeft te vrezen als je niets hebt te verbergen, kan dan ook op basis van diverse argumenten genuanceerd worden.

Een pleister op de wondeDe enige manier om je echt te onttrekken aan de digitale spionage is door geen gebruik te maken van telecommunicatieapparatuur. Het belang van telecommunicatieapparatuur heeft in de afgelopen jaren echter zo’n vlucht genomen, dat dit voor de meeste mensen geen reële optie is. Het treffen van beschermende maatregelen, zoals het gebruik versleuteling of het uitzetten van je mobiele telefoon op bepaalde momenten, zouden er juist toe kunnen leiden dat je als potentieel doelwit wordt gemarkeerd. Je kunt wel proberen de hoeveelheid gevoelige informatie die er over het internet gaat te beperken, door bijvoorbeeld handmatig de verzameling van locatiegegevens uit te schakelen wanneer je deze niet gebruikt en het verzenden van diagnostische gegevens te voorkomen.

Gebruikers kunnen zich individueel maar beperkt beschermen tegen de omvattende middelen die overheden tot hun beschikking hebben. Voor de beveiliging van data zijn gebruikers dan ook veelal afhankelijk van de grote technologie- en telecommunicatiebedrijven. De onthulling van Edward Snowden roepen de vraag op in hoeverre de bescherming van data aan deze partijen kan worden toevertrouwd. In de QUANTUMTHEORY documenten stelt de NSA dat elke poging om iDevice te infecteren altijd succesvol eindigt. Deze stelling was aanleiding voor Jacob Appelbaum (@ioerror) om openlijk de vraag te stellen of Apple actief meewerkt om de NSA een achterdeur te bieden. Apple heeft sindsdien deze beschuldiging ontkend; Apple zou nooit samen hebben gewerkt met de NSA om een achterdeur in een van het producten aan te brengen en het bedrijf zou ook niet op de hoogte zijn van DROPOUTJEEP.

Apple has never worked with the NSA to create a backdoor in any of our products, including iPhone. Additionally, we have been unaware of this alleged NSA program targeting our products. We care deeply about our customers’ privacy and security.

LavabitDaarbij behoort echter wel een belangrijke kanttekening te worden gemaakt: elk Amerikaans bedrijf kan in het geheim gedwongen worden om medewerking te verlenen aan politie, justitie en veiligheidsdiensten. Afhankelijk van de omstandigheden kan het daarbij zelfs proportioneel worden geacht om inbreuk te maken op de confidentialiteit van alle gebruikers om een enkeling te kunnen bespioneren. Een prominent voorbeeld is de e-mailaanbieder Lavabit, die gedwongen werd om de private sleutel af te staan waarmee al het getapte en met behulp van SSL versleutelde verkeer van al hun gebruikers ontsleuteld kon worden, omdat Edward Snowden gebruik maakte van deze e-maildienst.

iCloud uitgeschakeldWees je dus bewust van de risico’s als je gebruik maakt van clouddiensten van Amerikaanse technologiebedrijven. Zelfs als je datacommunicatie met deze partijen versleuteld plaats vindt, wat betekent dat het verkeer onderschept kan worden maar dan niet direct inzichtelijk is, blijft het mogelijk de gegevens (in)direct bij de technologiebedrijven op te vragen. Dergelijke clouddiensten zijn dan ook niet geschikt voor de opslag van gegevens die interessant kunnen zijn voor buitenlandse overheidsdiensten, zoals vertrouwelijke gegevens die betrekking hebben op de publieke of private sector in Nederland. Als je besluit om privegegevens aan bijvoorbeeld Apple of Google toe te vertrouwen, wees je dan bewust van welke gegevens je deelt. De meest verstrekkende vorm daarvan is het maken van een backup in iCloud, waarbij een kopie van vrijwel alle relevante privegegevens op een presenteerblaadje wordt aangeboden, ook als je de synchronisatie van specifieke onderdelen van iCloud hebt uitgeschakeld.

Hoewel de onthullingen van Edward Snowden zich primair richten op de mogelijkheden en werkwijze van GCHQ en de NSA zijn er natuurlijk nog veel meer inlichtendiensten die zich met digitale spionage bezig houden. Dit biedt ten dele een verklaring voor het feit dat de reactie van andere regeringen op de onthullingen opvallend mild zijn en van structurele hervormingen voorlopig nog geen sprake is. Kenners spreken daarom de hoop uit dat de oplossing niet zozeer op juridische vlak maar op het technische vlak gezocht zou kunnen worden. Door bijvoorbeeld gegevens end-to-end te versleutelen zou deze niet meer ingezien kunnen worden door telecommunicatieproviders of technologiebedrijven en daardoor ook niet meer via deze partijen door inlichtingendiensten.

End-to-end encryption

Een fors obstakel voor de implementatie van dergelijke veilige diensten is overigens wel het business model van veel technologiebedrijven gebaseerd is op de mogelijkheid om zelf kennis te kunnen nemen van privegegevens om daardoor gerichte advertenties te kunnen tonen. In de komende maanden en jaren zal moeten blijken of bedrijven fundamenteel veiligere diensten winstgevend kunnen realiseren en of privacy gebruikers voldoende waard is om naar die diensten over te stappen.

Over de auteur

Paul Pols (@paulpols) schrijft sinds oktober 2009 voor iPhoneclub over onderwerpen die gerelateerd zijn aan beveiliging en/of jailbreaken. Sinds oktober 2011 is Paul tevens werkzaam als Cybercrime Security Expert bij Fox-IT en voert in dat kader onder andere penetratietesten uit op iOS apparatuur en applicaties. Het bovenstaande blogartikel is is echter op persoonlijke titel gepubliceerd.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt maart 2016