COLUMN - De massale surveillance die de NSA en haar Britse evenknie GCHQ stiekem uitvoeren, was voor de twee inlichtingendiensten niet genoeg. Behalve ongericht ieders internetverkeer onderscheppen, wilden ze hetzelfde ook doen met mobiel verkeer. Maar aangezien mobiel verkeer standaard wordt versleuteld, hadden ze een probleem.
Ze besloten Gemalto onder handen te nemen. Dat bedrijf, dat haar hoofdvestiging in Nederland heeft, levert jaarlijks ruim twee miljard chips die wereldwijd in mobieltjes worden gebruikt. Via hun illegale surveillance identificeerden de NSA en het GCHQ een aantal ‘interessante’ mensen binnen Gemalto, wier gangen vervolgens digitaal tot in detail werden nagetrokken. Hun e-mail werd uitgeplozen, hun contacten werden geïnventariseerd, hun wachtwoorden werden onderschept.
Stukje bij beetje wisten de inlichtingendiensten dieper in het netwerk van Gemalto door te dringen. Hun eigen hackers schreven intussen scripts om geautomatiseerd informatie bij het bedrijf te onderscheppen en weg te sluizen.
Wat de NSA en het GCHQ er stalen? De geheime sleutels die in de chips zijn meegebakken, en die enerzijds dienen om de kaarthouder identificeren en anderzijds om het verkeer met de provider te versleutelen. In porties van soms miljoenen tegelijk ontvreemdden de inlichtingendiensten die sleutels.
Het effect: al het verkeer van de bijbehorende mobieltjes is op slag volkomen transparant voor de inlichtingendiensten. Nooit meer hoeven aankloppen bij providers voor gegevens, doelgerichte telefoontaps zijnn niet meer nodig, nergens hoeft een rechter aan te pas te komen, en als bonus: de NSA en het GCHQ hoeven nergens verantwoording over af te leggen, aangezien niemand wist dat ze dit deden.
U kunt uw mobieltje dus niet meer vertrouwen, dat kan zo worden afgeluisterd. O niet omdat uzelf verdacht bent, hoor, nee wees gerust: ze luisteren u uitsluitend af omdat u ergens werkt waar volgens hen mogelijk interessante gegevens worden verwerkt, gegevens waarvan zij als inlichtingendiensten menen dat ze er zonder last of ruggespraak bij moeten kunnen. U bent geen doel, U bent alleen maar hun instrument. Zij willen graag illegaal al uw gegevens hebben, opdat ze illegaal – en zonder dat er enige verdenking jegens hen bestaat – ook de rest van de mensheid overal kunnen afluisteren.
De hack van de NA en het GCHQ heeft ongekende repercussies. Want de chips van Gemalto beveiligen tevens bankpassen, creditcardsleutels, toegangspasjes en chips voor mobiel betalen. Gemalto’s klanten zijn niet de minsten: Vodafone, Orange, AT&T, Verizon, T-Mobile, MasterCard, American Express. Al dat verkeer hebben de veiligheidsdiensten in één klap gecompromitteerd. Voor uw en onze veiligheid…!
Gemalto beweert nu dat er niet veel aan de hand is. Allicht: ze zijn als de dood dat hun klanten een zaak tegen ze beginnen. Maar als ik Gemalto was, zou ik als de sodemieter aangifte doen van malversaties door de overheid.
Deze column van Karin Spaink verscheen eerder in het Parool.
Reacties (10)
Ik zeg zet er Ronald Plasterk op!
Verschrikkelijk dat Nederland geen handelsboycot instelt tegen de USA. Dit is een regelrechte vijandige aanval die met de zwaarte middelen bestraft moet worden en verregaande sancties. Maar het is stil bij de VVD.
@0: Is het al een uitgemaakte zaak dat NSA/GCHQ inderdaad de sleutels te pakken hebben gekregen? Gemalto zelf beweert van niet, maar dat kan natuurlijk enkel gezegd worden om schade te beperken. Maar welke info heb jij om te beweren dat de sleutels wel en masse bemachtigd zijn? (Behalve dat dat best zou kunnen).
Los daarvan is de poging alleen al natuurlijk schandalig, en zou dit inderdaad diplomatieke gevolgen moeten hebben.
Het wordt tijd om GB uit de EU te zetten.
Bizar dat die sleutels online te benaderen zijn…
Geen enkel westers land zal hier daadwerkelijk iets aan doen. Hun eigen geheime inlichtingendiensten zijn immers met wortel en stok aan die grote landen verbonden. Zij kunnen niet functioneren als de geheime info van de US en UK wegvalt.
Zelfs chantage door de US of UK is niet uitgesloten, zij weten immers ook alles over de bewindslieden.
Bovendien kun je het moeilijk verkopen dat je tegen de acties van de UK en US fel protesteert en tegelijkertijd lokaal massaal kentekens volgt en belgedrag opslaat.
Dus net als met de vorige affaires protesteert men een beetje voor de vorm. Al snel is er een IS- of Poetin-actie die alle aandacht verlegt, men doet een plas en alles blijft zoals het was.
P.S. Hoeveel wordt er aan bedrijfsspionage gedaan onder het mom van terreurbestrijding? Zegt men dan nog steeds zo overmoedig ‘ik heb niks te verbergen?’
Gemalto komt goed weg hier. Het eigenlijke nieuws is immers dat ze hun beveiliging niet op orde hebben. Dat we daar achter komen via Snowden is natuurlijk alleen omdat de Chinese geheime dienst geen Snowden heeft. Ondertussen gaan wij liever zaniken op de NSA dan op de incompetente SIM-kaarten-monopolist. Typisch weer.
De burger wordt niet beschermd tegen spionage. De burger wordt ook niet beschermd tegen hackers. Spionage en hacking gaan hand in hand. Politiek (oppositie) en bedrijfsleven grijpen niet in.
Tijd voor een burger contra-spionage initiatief. Iemand?
Waarom zit Luigi C. (de mini-NSA) eigenlijk nog vast?
Ik bedoel, als die minderjarige hockeymeisjes toch niks te verbergen hebben?
Wellicht nog even voor de volledigheid en ter nuancering: die sleutels van simkaarten hebben geheime diensten alleen nodig als ze het verkeer tussen een mobiele telefoon en de zendmast willen onderscheppen. Alleen op dat draadloze stuk is de communicatie namelijk versleuteld. Op het achterliggende vaste netwerk van de provider gaat het gewoon onversleuteld (“leesbaar”) verder.
Het op grotere schaal onderscheppen van zulk draadloos verkeer van mobiele telefoons doen de NSA en GCHQ alleen bij militaire operaties, zoals bijv. in Afghanistan. De gepubliceerde documenten noemen ook duidelijk Somalie, Jemen, Afghanistan, Iran e.d. als de landen waarvan ze de sleutels willen hebben. Voor gewone Nederlandse en Europese burgers dus (wederom) geen reden tot ongerustheid.