Zijn mijn telefoon en tv gehackt? Vijf antwoorden over het CIA-lek
Klokkenluiderssite WikiLeaks is begonnen met het publiceren van duizenden documenten over geheime hackoperaties van de CIA. De geheime dienst kon onder meer inbreken in laptops, smartphones en zelfs smart-tv's.
Hoewel nog niet bevestigd is dat de documenten authentiek zijn, denkt onder meer NSA-klokkenluider Edward Snowden van wel. De CIA heeft nog niet laten weten of de onthullingen kloppen, maar stel dat dat zo is - wat zijn dan de gevolgen voor jou?
Zijn mijn telefoon en smart-tv gehackt?
Waarschijnlijk niet. Hoewel nog niet alle details bekend zijn, lijken de uitgelekte digitale wapens te zijn bedoeld om gericht te worden ingezet. Het is dus geen sleepnet of massasurveillance, waar gemakkelijk data van onschuldige burgers in verzeild raken. "Je kunt het natuurlijk nooit uitsluiten, maar de CIA heeft heel specifieke doelen en is vaak dus niet geïnteresseerd in jou of mij", zegt Sico van der Meer. Hij is veiligheidsonderzoeker bij instituut Clingendael.
De uitgelekte hacktools zijn in feite beveiligingsproblemen in software, voor een deel nog onbekend bij de fabrikant en daardoor nog niet opgelost. Die zijn veel geld waard op de zwarte markt, en worden dus vaak gericht ingezet voor zogenoemde high value targets. De beveiligingsproblemen kunnen namelijk worden gebruikt om binnen te dringen op apparaten als telefoons, tablets en laptops.
Hoewel de kans dat ze tegen jou zijn gebruikt dus niet heel groot is, is hij niet afwezig. Want de beveiligingsproblemen die de CIA-hackers misbruiken, zijn ook aanwezig op telefoons, smart-tv's en computers van onschuldige burgers. Die zijn daardoor ook kwetsbaar. Dat de CIA er dan ook voor koos om de beveiligingsproblemen achterwege te houden in plaats van te melden, is controversieel.
Des te ernstiger is dat de CIA de controle over de digitale wapens is kwijtgeraakt. Ze circuleren in een circuit van oud-CIA-medewerkers. Het is onduidelijk wie er precies toegang toe heeft. Als ze in de verkeerde handen vallen, kan dat ernstige gevolgen hebben.
Apple heeft aangegeven dat een deel van de kwetsbaarheden inmiddels is opgelost. Andere fabrikanten onderzoeken de onthullingen nog.
Heeft de CIA WhatsApp gekraakt?
WikiLeaks meldt dat de CIA de encryptie van chat-apps als WhatsApp, Telegram en Signal kan omzeilen. Dat betekent echter niet dat de encryptie zelf is gekraakt, maar dat de geheime dienst een andere manier heeft gevonden om toch bij die gesprekken te kunnen komen.
WhatsApp biedt sinds enige tijd zogenoemde end-to-end-versleuteling aan. Dat betekent dat zelfs WhatsApp de inhoud van je gesprekken niet kan achterhalen, of het nou gaat om kattenfilmpjes, gevoelige documenten die je wil lekken naar een journalist of voorbereidingen voor een terroristische aanslag. Niets van dat alles is af te tappen: de inhoud is ijzersterk versleuteld. Het plaatsen van een internettap heeft dus weinig zin: er is momenteel geen aanwijzing dat de versleuteling onveilig is en de overheid de inhoud kan achterhalen.
Toch willen geheime diensten graag meelezen met bepaalde WhatsApp-gesprekken. Daarvoor kunnen ze de telefoon van het doelwit kraken en er een virus op installeren. Hoewel de gesprekken via WhatsApp versleuteld zijn, kan dat virus ze onderscheppen voordat de versleuteling wordt opgezet. Daardoor kan de overheid gesprekken toch meelezen. Het kraken van telefoons is echter veel moeilijker en duurder dan het plaatsen van een internettap, en gebeurt waarschijnlijk op veel minder grote schaal.
Wat wil de CIA doen met deze hacktools?
Wie de doelwitten van de digitale CIA-wapens zijn, weten we niet; WikiLeaks heeft de namen van doelwitten niet gepubliceerd. Volgens WikiLeaks gaat het om 'tienduizenden' doelwitten. Waarschijnlijk gaat het vooral om doelwitten van buiten de Verenigde Staten, omdat de CIA zich daar voornamelijk op richt.
De afgelopen jaren is de CIA zich meer gaan richten op het bestrijden van terrorisme. Daarbij richt de CIA zich niet alleen meer op het verzamelen van inlichtingen, maar ook het uitschakelen (lees: doden) van doelwitten. Of de digitale wapens daarvoor ook zijn gebruikt, is heel onduidelijk. Volgens WikiLeaks heeft de CIA onderzocht of auto's konden worden gehackt; dat zou 'vrijwel onopgemerkte killings' mogelijk maken. Er is geen bewijs dat dat ook is gebeurd.
Moet ik nog iets doen om mezelf te beschermen?
Dit antwoord klinkt wellicht wat onbevredigend, maar tegen gerichte aanvallen is weinig te doen. Tegen aanvallen door criminelen kun je je meestal wapenen door je software goed up-to-date te houden, zodat bekende beveiligingsproblemen worden opgelost. Maar omdat geheime diensten vaak onontdekte beveiligingsproblemen gebruiken, heeft dat voor dergelijke aanvallen geen zin.
Gelukkig is de kans dat je dat overkomt niet zo groot. Maar heb je te maken met informatie die gevoelig is voor overheids- of bedrijfsspionage, dan is extra waakzaamheid geboden. Misschien dat je de smart-tv in de directiekamer waar ultrageheime, beursgevoelige overnameplannen worden besproken, maar niet moet aansluiten op internet. En als je een klokkenluider bent die geheime informatie met journalisten bespreekt: laat je telefoon dan thuis.
Doen Nederlandse inlichtingendiensten dit ook?
Ja, de Nederlandse geheime diensten AIVD en MIVD (Militaire Inlichtingen- en Veiligheidsdienst) mogen ook hacken. Als de nieuwe wet op de inlichtingendiensten door de Eerste Kamer wordt goedgekeurd, mogen de geheime diensten bovendien onschuldige burgers hacken als ze op die manier kunnen inbreken bij doelwitten van de geheime dienst. Een andere wet die momenteel bij de Eerste Kamer ligt, laat ook de politie inbreken op telefoons van verdachten.
Daarbij mogen de geheime diensten en de politie ook kwetsbaarheden in software achterwege houden om mensen te kunnen hacken, net zoals de CIA heeft gedaan. Dat is controversieel, omdat ook onschuldige burgers dan kwetsbaar blijven voor hackaanvallen.