Kan ik mijn eigen computer nog vertrouwen?
Uit vanochtend door Der Spiegel gepubliceerde Snowdenlekken blijkt dat het inbreken van de NSA nog verder gaat dan we tot nu toe wisten. Niet alleen houdt de NSA massaal onze communicatie in de gaten, maar nu blijkt dat zij via haar afdeling Tailored Access Operations (TAO) exploits inzet om op grote schaal onze hardware te hacken. Daarmee maakt zij doelbewust onze wereldwijde communicatieinfrastructuur onveilig en ondermijnt ze het vertrouwen in technologie.
In een presentatie op het Chaos Communication Congress van de hackersvereniging CCC werden de slides toegelicht. De bekende hacker Jacob Appelbaum liet slides uit de catalogus van de NSA zien met daarin surveillanceopties die direct inzetbaar zijn. Zo blijkt onder andere dat firmware van harde schijven aangepast kan worden om zo backdoors te maken, extra chips bij netwerkkaarten toegevoegd worden waardoor de netwerkkaart zonder dat je het weet contact legt met de NSA en zelfs “waveform devices” worden gebruikt waarmee vanaf een afstand op toetsenborden en schermen gekeken kan worden.
Ook blijkt dat de NSA 100% succesvol is in het infecteren van Apple iOS devices. Dat kan twee dingen betekenen: Apple werkt bewust mee aan de onveiligheid van haar gebruikers of er is een set aan veiligheidslekken die door de NSA gebruikt kan worden om telefoons over te nemen. Als veiligheidslekken niet gedicht worden heeft dit tot gevolg dat ook andere partijen hier misbruik van kunnen maken. Een in de NSA slides besproken mogelijke hack van SIM-kaarten is bijvoorbeeld ook door Karsten Nohl gevonden. En hij zal niet de enige zijn.
Vorige week bestelden een collega en ik nieuwe laptops. De levering van de laptops werd ineens uitgesteld, maar via de tracker die we eerder ontvangen hadden konden we zien dat de laptops wel degelijk verstuurd waren. Gek. Vervolgens bleven de laptops om onverklaarbare redenen drie dagen lang in Keulen staan. We maakten grappen dat de reden hiervan was dat de Chinese spyware vervangen moest worden door die van de Westerse geheime diensten.
Hoe grappig is die gedachte nog nu blijkt dat de NSA ook in de fysieke wereld man-in-the-middle aanvallen gebruikt? Uit de presentatie bleek dat de NSA hardware leveringen bij postdienstverleners onderschept (“interdiction”), de hardware infecteert, en dan de post doorstuurt. Mij is het lachen in ieder geval vergaan nu vaststaat dat deze tactieken daadwerkelijk worden toegepast. En dat is erg. Ik moet een laptop kunnen bestellen via het internet zonder enige vorm van bezorgdheid of die te vertrouwen is. Dat is vanaf vandaag niet meer het geval.