Voor de NSA is de burger een ‘tegenstander’

Inlichtingendiensten NSA en GCHQ kunnen goed versleuteld en beveiligd internetverkeer kraken, aldus The Guardian en The New York Times.

Illustratie Rik van Schagen

Bullrun heet het programma van de Amerikaanse geheime dienst NSA dat als doel heeft om encryptie te ontcijferen. Het is genoemd naar een slag uit de Amerikaanse burgeroorlog. De Britse tegenhanger, Edgehill, is genoemd naar een slag uit de Engelse burgeroorlog.

Uit het taalgebruik in de geheime, door Edward Snowden verzamelde NSA-documenten die gisteravond laat door The Guardian, The New York Times en de website Pro Publica onthuld werden, blijkt dat de NSA het hacken van privégegevens als een oorlog ziet; het doel van Bullrun is het ‘verslaan’ van versleuteling op internet. De burger die de geheime dienst geacht wordt te beschermen, geldt hierbij als ‘tegenstander’, blijkt uit de frase: „Voor de consument en andere tegenstanders blijft de veiligheid van het systeem intact.”

De nieuwe documenten laten een nog voortvarender NSA zien dan al bekend was. Door internationale beveiligingsstandaarden naar zijn hand te zetten en door het ontwerp van door internetbedrijven aan de overheid aangeboden beveiligingssystemen te verzwakken, kon de NSA zich makkelijker toegang verschaffen tot versleutelprogramma’s. De dienst richt zich met name op alledaagse technieken als SSL, VPN en de versleuteling in de nieuwste 4G-smartphones.

De opmerkelijkste methode om toegang te krijgen blijkt evenwel de samenwerking met internetbedrijven om in versleutelprogramma's al bij voorbaat een ‘backdoor’, of achterdeurtje voor de dienst in te bouwen. De NSA heeft zo alsnog bereikt wat in de jaren negentig mislukte, toen de regering-Clinton na breed verzet een voorstel introk om in alle encryptieprogramma’s een ‘achterdeurtje’ in te bouwen waarvan de overheid de sleutel zou hebben.

Bedrijfsnamen worden in het document niet genoemd, en ook Snowden heeft geen namen genoemd. Internet- en telecombedrijven zelf hebben steeds volgehouden dat ze alleen gegevens hebben overlegd als ze daartoe wettelijk werden gedwongen. Maar volgens The Guardian heeft in elk geval Microsoft meegewerkt aan het omzeilen van encryptie van het emailprogramma Outlook. Ditzelfde bedrijf heeft overigens, net als Google, aangekondigd de overheid te zullen aanklagen omdat die hen verbiedt meer openheid van zaken te geven.

De Britse geheime dienst GCHQ volgde de vorderingen en assertiviteit van de collega’s bij de NSA met ijver en enige nijd, zo blijkt uit de documenten. Na een briefing in 2010 door de NSA bleven Britse geheim agenten gobsmacked, sprakeloos achter, staat in een memo. Maar de GCHQ zelf was ook ambitieus: het stelde zich voor 2015 toegang tot doel tot de versleuteling van 15 providers en 300 Vïrtuele Privé Netwerken (VPN’s). Een ander GCHQ-team probeerde ondertussen door te dringen tot versleuteld dataverkeer van wat de dienst ‘de grote vier’ noemde: Hotmail, Google, Yahoo en Facebook. In 2012 werd met name aan Google gewerkt, ‘vanwege nieuw ontwikkelde toegangsmogelijkheden’. De GCHQ probeerde ook digitale sleutels te stelen, en wierf en plaatste via weer een andere afdeling geheim agenten bij telecommunicatiebedrijven.

Ook de GCHQ maakte zich overigens enige zorgen over wat er zou gebeuren bij ontdekking. De relaties met de branche zouden schade oplopen, en toenemend publiek bewustzijn zou ‘onwelkome publiciteit voor ons en onze politieke meesters’ met zich meebrengen.

De onthullingen kunnen president Obama in de problemen brengen. Tot nu toe heeft de president alleen een onafhankelijke onderzoekscommissie ingesteld. Een wetsvoorstel om bepaalde, eerder onthulde controversiële programma’s van de NSA niet langer te financieren haalde het niet. Tijdens een bezoek aan Zweden eerder deze week zei de president voor het eerst dat misschien aanvullende wetgeving nodig was omdat door de technologische veranderingen „de risico’s van misbruik groter zijn dan in het verleden.”

The Guardian en The New York Times benadrukken dat de documenten topgeheim waren, maar constateren ook dat, als Snowden er de hand op kon leggen, nog 850.000 andere NSA-medewerkers op zijn niveau dit konden. Internetdeskundigen zeggen dan ook dat ze steeds vermoed hebben dat de NSA hiertoe in staat was, al was er nog geen bewijs voor. „Dat ze encryptie proberen te doorbreken is niet verrassend, we weten dat de NSA de grootste werkgever is van versleutelanalisten”, zegt de vice-president van beveiligingsbedrijf Veracode in de Britse zakenkrant Financial Times.

Maar hoofdwetenschapper Paul Kocher van encryptiebedrijf Cryptography Research zegt in de FT: „Er zijn nu dingen onthuld waarvan we dachten dat men er verre van bleef, zo niet op technische dan wel op juridische of ethische gronden.” In The Guardian schrijft een andere versleutelspecialist, Bruce Schneier, vandaag in een column dat de NSA ‘het sociale contract’ van cyberspace gebroken heeft door internet ‘op elk niveau aan te wenden als een platform voor spionage’.