Met update – De NSA is naar verluid een deel van hun spionagepraktijken op vooral hun landgenoten aan het afbouwen. Dat klinkt hoopgevend, maar is het nauwelijks. Al zou de organisatie acuut worden opgedoekt dan is de schade voor het bedrijfsleven, banken, burgers en overheden nog jaren voelbaar. Internet is onveiliger geworden. Het recht om op Amerikanen te spioneren ontleent de NSA aan de Patriot Act, een tijdelijke wet, die na de aanslagen van 11 september 2001 in het leven is geroepen. Daarna is de wet diverse malen verlengd, maar nu lijkt hij te verlopen omdat de verlenging niet geregeld is. Tot er een reparatiewet of een andere oplossing komt, worden wat praktijken afgebouwd.
Maar de echte pijn zit hem niet in wat de NSA al dan niet bij Amerikanen doet. Uit de gelekte documenten die klokkenluider Edward Snowden naar buiten bracht, wordt duidelijk dat er zwakheden in versleuteling zitten. Daarmee zou het mogelijk zijn een beveiligde verbinding razendsnel te ontcijferen.
Wat de Amerikanen nodig hebben is toegang tot het uitwisselen van sleutels bij het beginnen van een beveiligde verbinding. Daarna is alles eenvoudig te ontcijferen. Veel aandacht was er eerder niet voor dit probleem, omdat nog niet duidelijk was hoe dat kraken precies werkt. Het harde bewijs ontbrak.
Inmiddels hebben wetenschappers onderzoek gedaan naar dit statement en achterhaald hoe die aanval werkt. Er is nu een wetenschappelijke paper geschreven, die dit helemaal uitlegt. Het blijkt dat grote delen van de beveiligde verbindingen volledig af te luisteren zijn. Het grootste gedeelte van onze beveiligde infrastructuur is daarmee kapot. Het duurt even voor je de totale impact doorgrond.
De zwakheid raakt VPN-verbindingen die door veel bedrijven worden gebruikt. Dus wie dacht bedrijfsgeheimen veilig over het internet te sturen moet daadwerkelijke vrezen voor economische spionage. Het raakt de veiligheid van onze banken, omdat veel van onze bancaire infrastructuur dit soort verbindingen gebruikt. Niet alleen voor internetbankieren, maar ook onderling.
Maar het gaat over veel meer, want dit lek raakt ook verbindingen tussen mailservers, het veilig internetbankieren en het veilig bezoeken van websites. Dat laatste werkt op twee niveaus: diverse webbrowsers zijn kwetsbaar voor het lek en ook webservers. Of uw webbrowser lek is kunt u online testen. Maar zelfs al is dat niet het geval is dan is het hoogst onzeker of de verbinding nog te vertrouwen is, omdat u niet ziet welke versleuteling u precies gebruikt.
Op hackersbijeenkomsten werd al begin deze eeuw gezegd dat cryptografie die vanuit de Verenigde Staten geëxporteerd mag worden door de NSA te kraken zou zijn. Dat was een verwachting, maar nooit bewezen. Nu we wetenschappelijk bewijs hebben, is die inschatting realistisch te noemen.
Door het lek niet te dichten of publiek te maken, maar juist te misbruiken heeft de NSA internet ernstige schade toegebracht. Want grote delen van alles wat vertrouwelijk is, werkt met deze versleuteling en is nu kwetsbaar. In het donkerste scenario schatten de wetenschappers dat tweederde van de VPN-verbindingen niet meer veilig zijn.
Dat betekent niet dat het alleen te misbruiken is door de Amerikanen, maar ook door andere landen. Omdat het niet automatisch zo is dat internetverkeer de kortste verbinding neemt, kun je niet uitsluiten dat vreemde mogendheden misbruik maken van onze vertrouwde verbindingen.
Nu we het weten, kunnen we beginnen met het opruimen van de schade. Het oplossen van deze problemen is een enorme klus voor alle betrokkenen: overheden, bedrijfsleven en ook wijzelf. Er zullen nog veel testen moeten worden gedaan om te weten of de gebruikte beveiliging nog wel iets waard is.
Wanneer de NSA stelt het bijhouden van contactgegevens van Amerikanen af te bouwen dan betekent dat vervolgens dat de gevoelige inhoud van ons nog steeds wordt bekeken door onbevoegden. Zelfs al zou de NSA worden opgedoekt blijven wij kwetsbaar. Dit is het logisch gevolg van het investeren van honderden miljarden in spionage, terwijl aan beveiliging slechts een fractie wordt besteed.
Update 15.53 – PvdA-Kamerlid Astrid Oosenbrug zal de kwestie aan de orde stellen bij het Vragenuurtje dinsdag. Wordt vervolgd.
Mondelinge Vraag aangemeld voor morgen in het vragenuurtje n.a.v. dit bericht: http://t.co/0N1QnPyMsW #NSA #NCSC cc @brenno
— Astrid Oosenbrug (@AstridOosenbrug) May 25, 2015