Iedereen zou zich zorgen moeten maken over nieuws dat CIA zo makkelijk je toestellen kan hacken. Dit is waarom

Wikileaks publiceerde gisteren 8.761 documenten van de CIA. Daarin staat uitgebreid beschreven hoe kwetsbaarheden in Android, iOS, Windows en smart-tv’s van Samsung gebruikt worden om te spioneren. De CIA heeft de mogelijkheid om die toestellen over te nemen. En da’s echt wel een probleem waar iedereen, ook wie niet in het vizier van de CIA loopt, zich zorgen moet over maken.

De klokkenluiderswebsite van Julian Assange kreeg duizenden vertrouwelijke documenten toegespeeld van een “verontruste burger” werkzaam binnen de CIA waaruit blijkt hoe de CIA mobiele telefoons, computers en zelfs smart-tv’s kan hacken om “ons” af te luisteren.

Volgens WikiLeaks is de CIA zelfs in staat de beveiliging van iPhones en android-telefoons te omzeilen. De CIA wil niet reageren op de onthulling, maar een anonieme overheidsfunctionaris bevestigt tegenover de New York Times dat de documenten authentiek zijn.

Big deal

Edward Snowden is de WikiLeaks-publicatie aan het bestuderen en noemt het een “big deal”. Snowden noemt het verontrustend dat de Amerikaanse inlichtingendiensten kennelijk al jaren op de hoogte waren van zwakke plekken in de systemen van mobiele telefoons, maar dat ze dat bewust geheim hielden om te kunnen spioneren. En hij heeft gelijk.

Het probleem is in eerste instantie, tenminste voor de meeste mensen die dit lezen, niet zozeer dat de CIA het kan. Wel dat 1) de toestellen die we allemaal gebruiken en waarvan ons voorgespiegeld wordt dat ze veilig zijn, zo lek als een mandje blijken te zijn en 2) het een kwestie van tijd is voordat ook criminelen met de technieken die de CIA gebruikt aan de haal gaan. Als dat laatste al niet het geval is. Eerlijk gezegd kunnen we moeilijk geloven dat dat niet zo zou zijn.

De leaks van gisteren maken ook brandhout met een mythe: namelijk dat geëncrypteerde apps en software veilig zouden zijn. Die zijn dat an sich wel, maar niet wanneer het toestel waarop ze draaien gecompromitteerd is, valt af te leiden uit de Wikileaks.

100% veilig?

Gisteren hoorden we op de radio, naar aanleiding van de lancering van Android Pay, nog iemand die sprak namens de bankensector erg vastberaden vertellen dat betalen via je smartphone “gegarandeerd 100% veilig is”, even goed beveiligd als bijvoorbeeld online bankieren. Dat is onzin. Wat de banken 100% kunnen garanderen aan hun klanten is misschien dat als ze gehackt worden, ze garant staan voor de opgelopen schade. Maar stellen dat die dingen 100% veilig zijn, is leven in dromenland.

We weten van onze eigen klokkenluiders dat banken overigens niet geneigd zijn om aan de grote klok te hangen wanneer ze gehackt worden. Swift, dat wordt gebruikt door duizenden banken en bedrijven om geld rond te pompen, en werd gezien als het veiligste financiële systeem ter wereld, is vorig jaar minstens drie keer gehackt.

De dieven konden de hand leggen op netwerkgegevens, frauduleuze transfers in werking zetten en malware op bankcomputers installeren om hun handelingen te verhullen.

Kwestie van tijd

Wat niet willen zeggen dat banken niet alles doen wat ze kunnen om je geld zo veilig mogelijk te houden, maar, het is onzin om te verkondigen dat het “100% veilig is” wanneer zelfs de backbone van het hele systeem dat niet blijkt te zijn.

En zoals gezegd: wat gisteren is uitgekomen, namelijk dat de CIA relatief makkelijk controle over het toestel kan nemen waarmee je die verrichtingen en betalingen uitvoert, haalt sowieso beveiligingen die in de betalingsapps zelf zitten onderuit.

Het geluk dat we momenteel nog hebben, zeggen experts, is dat de in de Wikileaks onthulde methodes nu wellicht nog uitsluitend in handen van veiligheidsdiensten zijn die dit heel gericht inzetten tegen mensen die zij volgen. Maar, zeggen dezelfde experts, omdat steeds meer van onze apparaten computers worden, zullen ook cybercriminelen hier op termijn grootschalig gebruik van maken.

Cybercriminelen kunnen via zo'n lek bijvoorbeeld ransomware op je smart-tv zetten. Dan moet je eerst betalen voordat je je tv weer kunt gebruiken.

Alles is te koop

Opvallend aan de Wikileaks is ook dat ze onthullen hoe de CIA (en wellicht andere inlichtingendiensten) aan de methodes komen om in onze apparaten in te breken en ze over te nemen: die kopen ze van commerciële aanbieders. Dat zijn bedrijven die zwakke plekken ontdekken in de software van bijvoorbeeld smartphones en smart-tv's, en daar vervolgens virus-achtige programma's voor bedenken waarmee ze het apparaat over kunnen nemen.

Die bedrijven delen de informatie over de kwetsbaarheden niet met de fabrikant van de apparaten zelf, maar ze verkopen hun kennis per opbod aan de hoogste bieder. Dat zijn dus vaak inlichtingendiensten, want “die hebben daar veel geld voor over."

Machteloos als consument

Ook opvallend is hoe machteloos we als consument staan. Zolang de fabrikanten van je apparatuur niet ingrijpen, kun je als consument weinig doen tegen dat soort afluisterpraktijken en hacks. Of het gaat om je smartphone of om bijvoorbeeld een zelfrijdende auto, waar ook veel software bij komt kijken, je bent overgeleverd aan hoe goed de fabrikant het apparaat heeft beveiligd.

In de documenten wordt bijvoorbeeld gerefereerd naar 14 beveiligingsgaten in iOS. Daarmee is het mogelijk om gebruikers van iPhones, iPads en Apple computers te volgen, communicatie af te luisteren en controle over de telefoon, tablet of laptop te nemen.

Apple beweert dat het (bijna) alle beveiligingsgaten heeft gedicht waarmee de CIA je iPhone of tablet kan overnemen. Het specificeert daarbij niet welke. En: het ontkent dus ook niet wat er in de Wikileaks staat.

Apple adviseert klanten om “de laatste versie van iOS te installeren, om te verzekeren dat zoveel mogelijk beveiligingslekken zijn verholpen”. Bijster geruststellend is dat niet.

Uit de Wikileaks blijkt trouwens nog maar eens dat zelfs het uitzetten van je apparaat je niet beschermt tegen afluisterpraktijken of hacks. Als je je smart-tv uitzet, werkt het apparaat nog steeds. Anders zou het niet reageren op de afstandsbediening. De computer in je tv is dan nog steeds actief en die kan dan nog steeds dingen doen voor de CIA of wie dan ook. Hetzelfde geldt voor elk apparaat dat op een of andere manier verbonden is aan een netwerk.

Lees meer