Hoe onderschept de NSA ons dataverkeer?
Door de vele onthullingen van Edward Snowden is het haast niet meer bij te houden hoe de NSA ons dataverkeer onderschept. Een eerste uitleg.
Wat is BLARNEY? Hoe verhoudt zich dat tot PRISM? Waarop is EGOTISTICAL GIRAFFE gericht? Wat doet TAO? En SSO? Hoe werkt de NSA samen met GHCQ? Wat is TEMPORA?
Sinds juni zijn er tientallen onthullingen geweest over de afluisterprogramma’s van onder meer de NSA. Edward Snowden blijkt vooral powerpoint-presentaties vrij te geven met daarop veel jargon en weinig context. Het is voor techneuten al een enorm gepuzzel om er wijs uit te worden, laat staan dat het grote publiek er nog een touw aan vast kan knopen.
Toch zijn de technische details belangrijk. Daarom probeer ik ze begrijpelijk uit te leggen op mijn blog: Top Level Telecommunications. De komende tijd zal ik ook voor De Correspondent aan aantal uitlegstukken schrijven. Vandaag geef ik een algemeen overzicht van de afluistermethoden van de NSA, op basis van de kaart die NRC Handelsblad onlangs publiceerde. Als je nog vragen hebt, stel ze in vooral het bijdrageveld eronder.
Inmiddels is het een halfjaar geleden dat de Snowden-onthullingen over de afluisterpraktijken van de Amerikaanse National Security Agency (NSA) begonnen. Sindsdien werden er bijna elke week nieuwe documenten gepubliceerd, verspreid over media uit ongeveer tien verschillende landen, waardoor het zelfs voor geïnteresseerden erg moeilijk werd om alles goed bij te houden.
Om toch enig overzicht te scheppen, bespreek ik op welke manieren de NSA wereldwijd zijn gegevens verzamelt. Als uitgangspunt dient een wereldkaart uit een interne NSA-presentatie waarop de locaties van de meeste afluisterposten staan aangegeven. Deze kaart werd op 23 november door NRC Handelsblad gepubliceerd. De legenda vermeldt vijf "Classes of Accesses", die overeenkomen met de vijf kanalen waarmee de NSA informatie verzamelt:
1. Informatie-uitwisseling met Third Party-landen.
2. Spionage-eenheden in Amerikaanse ambassades.
3. Het hacken van computernetwerken.
4. Het aftappen van belangrijke internetkabels.
5. Het afluisteren van buitenlandse satellieten.
Daarnaast vergaart de NSA informatie via een hele reeks spionagesatellieten en -vliegtuigen, alsmede via systemen die op tactisch niveau worden ingezet bij militaire operaties. Dat laatste is een van de minder bekende activiteiten van deze dienst, terwijl die door de Amerikaanse operaties in Irak en Afghanistan toch een niet onaanzienlijk beslag op de beschikbare middelen legt.
1. Informatie-uitwisseling met Third Party-landen
Anders dan veel mensen denken, verzamelt de NSA haar informatie niet allemaal zelf. Een groot deel is afkomstig van bevriende afluisterdiensten uit andere landen, waarmee de NSA formele overeenkomsten heeft voor het uitwisselen van zowel ruwe data als eindrapportages.
Deze landen zijn in twee categorieën verdeeld: de belangrijkste is de Second Party-landen, de zogenoemde ‘Five Eyes’, die samenwerken op basis van een overeenkomst uit 1946. Naast de Verenigde Staten zijn dit Groot-Brittannië, Canada, Australië en Nieuw-Zeeland. Hun onderlinge samenwerking is bijzonder intensief.
Daarnaast heeft de NSA ook overeenkomsten met diensten uit zo’n dertig andere landen, die Third Party-partners worden genoemd. Deze samenwerking is weliswaar ook geformaliseerd en op regelmatige basis, maar een belangrijk verschil is dat de NSA deze landen waar nodig ook bespioneert, iets waar de Five Eyes-landen zich onderling in principe van onthouden.
Op basis van de Snowden-documenten zijn tot nu toe slechts zeven Europese landen als Third Party onthuld: Duitsland, Frankrijk, Oostenrijk, Denemarken, België, Polen en Zweden. Volgens NRC Handelsblad zou ook Nederland een Third Party zijn, maar toonde daarvoor geen bewijsstukken. Nederlandse onderzoekers op het gebied van inlichtingendiensten achten het niet zo waarschijnlijk gezien de cultuurverschillen die er tussen Nederlandse en Amerikaanse diensten bestaan.
Dat neemt niet weg dat Nederland altijd een trouwe bondgenoot is als het gaat om deelname aan militaire operaties en in dat kader vindt regelmatige uitwisseling van inlichtingen tussen de MIVD en de NSA plaats. Daarnaast kunnen zowel de AIVD en de MIVD rekenen op advies en technische ondersteuning van de NSA.
2. Spionage-eenheden in Amerikaanse ambassades
Vanuit Amerikaanse ambassades en consulaten werken Special Collection Service (SCS)-eenheden, die bestaan uit een klein aantal specialisten van zowel de NSA als de CIA. Hun taak is het afluisteren van belangrijke, hooggeplaatste personen. De samenwerking bestaat er doorgaans uit dat de NSA de technische apparatuur levert en dat medewerkers van de CIA deze aanbrengen in bijvoorbeeld overheidsgebouwen en communicatieknooppunten.
De wereldkaart die door de NRC gepubliceerd werd, vermeldt zo’n tachtig steden waar een dergelijke spionagegroep actief is. Zo zijn er SCS-units in de Amerikaanse ambassades in de belangrijkste Europese hoofdsteden. Den Haag staat hier niet bij. Of dat ook betekent dat er vanuit deze ambassade helemaal geen afluisteractiviteiten ontplooid worden, valt niet met zekerheid te zeggen. Wel dat Nederland kennelijk niet interessant of groot genoeg is om een volledige SCS-eenheid te stationeren.
3. Het hacken van buitenlandse computernetwerken
Een relatief nieuwe spionage-activiteit van de NSA is het inbreken in buitenlandse computernetwerken. Dit wordt gedaan door de divisie Tailored Access Operations (TAO), die in 2012 beschikte over meer dan 50.000 geïnfiltreerde netwerken. The Washington Post berichtte afgelopen augustus dat de NSA in 2008 zo’n 20.000 computernetwerken had geïnfiltreerd, een aantal dat inmiddels dus ruimschoots verdubbeld is. Waarschijnlijk heeft TAO, al dan niet in samenwerking met Israëlische diensten, ook het Stuxnet-virus ontwikkeld, dat in 2010 werd ontdekt en bedoeld bleek om Iraanse ultracentrifuges voor de productie van nucleaire brandstof te saboteren.
Uit onthullingen op basis van de Snowden-documenten weten we dat Tailored Access Operations de beschikking heeft over een reeks van zeer geavanceerde methoden om bij computernetwerken binnen te komen. Zo is er onder de codenaam FOXACID een netwerk van geheime internetservers opgezet, waar verdachte gebruikers heen worden gelokt om vervolgens spionagesoftware op hun computer te installeren. Ook probeert TAO, onder codenamen als ERRONEOUSINGENUITY en EGOTISTICALGIRAFFE, toegang te krijgen tot het TOR-netwerk, waarmee mensen volledig anoniem van het internet gebruik kunnen maken.
4. Het aftappen van belangrijke internetkabels
Het grootste deel van de informatie die de NSA verzamelt, komt tegenwoordig uit het aftappen van internetkabels. Dat is niet verwonderlijk, aangezien inmiddels bijna alle internationale communicatie op de een of andere manier via het internet verloopt. Verantwoordelijk voor deze aftapoperaties is de divisie Special Source Operations (SSO).
De benaming ‘Special Source’ geeft aan dat het om een zeer gevoelige aangelegenheid gaat omdat hierbij wordt samengewerkt met commerciële telecommunicatiebedrijven en de onderschepte datastromen ook data van Amerikaanse burgers kunnen bevatten.
Het aftappen van de kabels gebeurt waarschijnlijk in de meeste gevallen in de verdeelstations van telecommunicatieproviders. Daartoe hebben de NSA en de Britse evenknie GCHQ geheime overeenkomsten met een reeks van deze bedrijven gesloten en omdat slechts een handjevol van hen het grootste deel van de intercontinentale kabels beheert, kan zo toegang tot een groot deel van het internetverkeer verkregen worden.
De belangrijkste programma’s van de NSA voor het aftappen van internetkabels zijn BLARNEY, FAIRVIEW, STORMBREW en OAKSTAR. Deze omvatten diverse subprogramma’s, waaronder het roemruchte PRISM. Dat laatste is echter niet bedoeld om fysieke kabels af te tappen, maar om communicatiegegevens van Facebook, Google, Apple, Microsoft en andere grote bedrijven in handen te krijgen.
Daarnaast zijn er nog vier omvangrijke programma’s waarbij de Britse zusterdienst GCHQ kabels aftapt en deze data vervolgens aan de NSA doorgeeft. Een voorbeeld daarvan is het programma MUSCULAR waarmee de verbindingen tussen de datacenters van Google en Yahoo worden afgetapt.
5. Het onderscheppen van buitenlandse satellieten
Ten slotte kent de NSA nog de divisie Global Access Operations (GAO), die verantwoordelijk is voor wat we de klassieke afluistermethodes kunnen noemen. Deze vinden allemaal buiten de VS plaats en er is geen medewerking van bedrijven voor nodig. Het gaat hierbij om spionagevliegtuigen, -schepen en -satellieten en om het onderscheppen van verkeer dat via buitenlandse communicatiesatellieten verloopt, in NSA-jargon FORNSAT genoemd.
Dat laatste kan relatief simpel worden gedaan door in het te bereiken gebied van de satelliet een schotelantenne neer te zetten. Om te verhullen op welke satellieten deze afluisterschotels gericht staan, bevinden deze zich doorgaans in een grote witte bol. Sommige stations, zoals het Engelse Menwith Hill en het vroegere Duitse Bad Aibling, tellen tientallen grote en kleinere van zulke bollen.
De NSA-wereldkaart uit 2012 vermeldt naast twaalf grote grondstations ook veertig regionale posten voor het aftappen van satellietverkeer. Hierbij gaat het om de SCS-eenheden die zich stiekem in Amerikaanse ambassades bevinden en die dus kennelijk ook op beperkte schaal satellietcommunicatie onderscheppen. Deze taak verklaart ook de mysterieuze en ogenschijnlijk raamloze constructies die op de daken van talrijke Amerikaanse ambassadegebouwen te zien zijn.
Die constructies, die soms in het hoofdgebouw geïntegreerd zijn en soms meer op een tent lijken, bevatten echter wel degelijk openingen, alleen zijn die afgedekt met ondoorzichtige, elektromagnetische straling doorlatende materialen. Daarachter zullen dan antennes staan opgesteld, die niet alleen gericht zijn op communicatiesatellieten, maar ook bedoeld zijn voor het onderscheppen van mobiel telefoonverkeer uit de omgeving. Op die manier is hoogstwaarschijnlijk ook de (onbeveiligde) mobiele telefoon van de Duitse bondskanselier Merkel jarenlang in de gaten gehouden.