Dat de CIA allerlei onfrisse methoden heeft om doelwitten af te luisteren mag eigenlijk niemand verbazen. Nu blijkt dat de organisatie ook telefoons, computers en smart tv’s te kraken, heeft het uitlekken ervan een veel groter gevolg. Zowel Wikileaks als de CIA tonen onverantwoord gedrag.
De CIA kruipt in al onze apparaten, kan televisies tot afluisterapparatuur maken en buit allerlei kwetsbaarheden in telefoons uit. Niemand is meer veilig. Onacceptabel! Zo waren de reacties na de onthulling van het notoire Wikileaks. Hoe kan het dat er zoveel kwetsbaarheden in onze apparaten zitten? Moeten we nu allemaal terug naar een offline-telefoon en niet-luisterende televisies?
Afluisteren
De paniek is niet onterecht. Het idee dat je huis, computer of telefoon met een paar muisklikken kan veranderen in een afluisterapparaat is meer dan griezelig. Aan de andere kant: dit is wat de CIA doet. Het is de grootste (Westerse) geheime dienst, en afluisteren en op onfrisse wijze informatie verzamelen is hun grootste vaardigheid. Sinds jaar en dag plaatsen CIA-agenten microfoons en camera’s bij verdachte personen in huis om hun bewegingen te volgen en zo, hopelijk voor er iets ergs gebeurt, een boef te vangen.
Het hacken van met internet verbonden apparaten past in dat takenpakket. De makkelijkste manier om iemand anno 2017 in de gaten te houden zit verstopt in de smartphone. GPS-signalen, telefoongesprekken, foto’s, smsjes - een schat aan mogelijk belastende informatie. En microfoontjes hoeven niet meer stiekem in een woning te worden verstopt: hij staat er al, in de vorm van een televisie of digitale assistent.
Niet de informatie die met het lek naar boven is gekomen levert een groot gevaar, maar vooral het lekken op zich door Wikileaks
In wezen is het uitbuiten van de exploits, zoals beschreven in de door Wikileaks uitgelekte informatie, niet anders dan het plaatsen van een bug. Het is waarschijnlijker makkelijker voor de CIA, en het geeft meer informatie. Maar het doel is hetzelfde: zo veel mogelijk informatie verzamelen over een individu.
Dat verschilt fundamenteel van wat de NSA bleek te doen, toen de onthullingen van Edward Snowden verschenen. Daaruit bleek dat massasurveillance via zogenoemde metadata een feit was. Onschuldige burgers tot regeringsleiders van trouwe bondgenoten aan toe werden (en worden) en masse getapt, waardoor de NSA kan zien wie met wie communiceert en waar. Daarover was terecht veel ophef.
Geen massa
Is dergelijke ophef nu ook gerechtvaardigd? De CIA richt zich op individuen. Net zoals de Nederlandse AIVD dat doet, of de politie. Als een agent een drugsdealer wil vangen, kan hij of zij toestemming krijgen om een microfoontje te plaatsen of de telefoon van de dealer af te luisteren. Zo gaat het ook voor de CIA. Natuurlijk moet je kritisch en wantrouwend zijn tegen deze deep state, en moeten inlichtingendiensten gecontroleerd worden door rechters en politiek, maar nieuw is het allemaal niet. Het afluisteren en hacken hoort bij het takenpaket van die diensten.
Afluisteren en op onfrisse wijze informatie verzamelen is nu eenmaal de grootste vaardigheid van een geheime dienst
De ophef zou zich ergens anders op moeten richten. Nu levert niet de informatie die met het lek naar boven is gekomen het grote gevaar, maar vooral het lekken zelf door Wikileaks. Door alles op straat te gooien beschikt iedereen over uitgebreide instructies om de vele veiligheidsgaten in apparaten uit te buiten. Niet alleen de CIA, die het (in principe) voor ‘nationale veiligheid’ gebruiken, maar ook buitenlandse spionnen, hackers op zolderkamertjes of criminele organisaties die bijvoorbeeld op zoek zijn naar chantagemateriaal. De mogelijkheden voor 'het kwaad' zijn met de publicatie door Wikileaks plotseling verveelvoudigd.
Ethisch hacken
Dat lekken door Wikileaks is onethisch, en verschilt wezenlijk van het ethische lekken dat in de hackerscommunity gebruikelijk is. Ontdekt een computerkenner een gat of een softwarefout die vanwege misbruik gevaarlijk kan zijn, dan meldt hij of zij dat aan de eigenaar van de software en krijgt deze de tijd om het probleem op te lossen. Daarna kan de hacker de credits oogsten en bekendmaken waar het lek om ging - ook om andere bedrijven te attenderen op fouten die zij mogelijk kunnen maken.
De CIA moet toch beseffen dat zijn hackinformatie altijd wel een keer op straat komt te liggen
Dat is de ethische methode. Wikileaks heeft deze aanpak niet gevolgd, heeft de makers van afluistertv's en dergelijke niet gewaarschuwd en geen tijd gegeven om de lekken te dichten. De aanpak van Wikileaks is dan ook onethisch en gevaarlijk, zowel voor overheden als beveiligingsdiensten en burgers, en laat iedereen kwetsbaar achter. Helaas valt er van de lekorganisatie weinig beters te verwachten.
Achterhouden
Wikileaks treft overigens niet alleen blaam. De CIA ontdekte in de loop der jaren steeds meer manieren om apparaten te kraken. Ze hielden deze informatie voor zichzelf om in het geniep iedereen te hacken. Dat lijkt voor een organisatie als de CIA handig, maar het agentschap vergeet daarbij de ijzeren waarheid van internetgekoppele informatie: je houdt het nooit lang voor jezelf. De kans op lekken is nou eenmaal te groot om zulke gevoelige informatie zomaar te hebben. Wat de intelligence agency had moeten doen? Zodra ze het lek ontdekken op vertrouwelijke basis het betrokken bedrijf informeren, en ze verzoeken om het lek voorlopig niet te dichten. Als er dan uiteindelijk iets uitlekt - en dat gebeurt vrijwel zeker - dan hebben de bedrijven als Apple of Google meteen een fix klaarliggen, zodat de schade beperkt blijft.
Wikileaks heeft de ethische hackmethode willens en wetens niet gevolgd
Misschien is het naïef om te denken dat de wapens van de CIA alleen maar gericht op verdachte personen worden gebruikt. Misschien is het ook onnozel om te denken dat de CIA kan en wil samenwerken met bedrijven om apparaten veilig te maken. Maar de manier waarop het nu gaat is onacceptabel. Niet alleen omdat de CIA apparaten kan hacken, maar omdat nu iedereen het kan.
Beeld: Colin
Nieuwsbrief
Vond je dit een interessant artikel, abonneer je dan gratis op onze wekelijkse nieuwsbrief.