Alles wat je wil weten over WikiLeaks' Vault 7-CIA-lek

Het is ruim een dag geleden dat WikiLeaks een groot archief aan gelekte documenten over de CIA online zette. Na de aanvankelijke schok hebben we nu meer tijd gehad om te kijken naar de impact van het lek. Welke informatie is echt nieuw? En waarom moet je je eigenlijk druk maken om dit lek?

Wat is er nou precies gelekt?

WikiLeaks publiceerde gisteren 8,761 documenten, die afkomstig zijn van interne bronnen binnen de Central Intelligence Agency. Dat is een eerste selectie, schrijft Wikileaks, dat zegt dat er nog veel meer aan zit te komen. De data is door een anonieme klokkenluider aan de website overhandigd, maar er gaan inmiddels geruchten dat het archief al een tijdje rondgaat onder ex-medewerkers van de inlichtingendienst.

Wikileaks is de klokkenluiderssite die destijds ook de grote datadump deed van Amerikaanse diplomatieke kabels die werden gelekt door Chelsea Manning. Het zou kunnen dat de klokkenluider zich op een later tijdstip bekend maakt. Dat deed Edward Snowden ook pas na 3 dagen.

Het cijfer van 9.000 documenten moet je overigens met een korreltje zout nemen. Het merendeel van de documenten is behoorlijk nietszeggend en veel zijn zelfs helemaal leeg, omdat ze door WikiLeaks geanonimiseerd zijn. De website lijkt te hebben geleerd van kritiek uit het verleden, toen het alle informatie één-op-één doorplaatste en zelfs nog zei dat 'redactie een vorm van censuur was'.

Wat is het nieuws en waarom moet ik me er druk om maken?

Het feit dat de CIA geavanceerde hacking-tools heeft is niet nieuw - het is een spionage-agentschap, en het afluisteren van verdachten om informatie te verzamelen is nu eenmaal hun werk. Dat is niet zo heel schokkend. Toch zijn er een paar dingen aan het lek die wél opvallend.

In de eerste plaats geeft het lek ons een idee van de exacte mogelijkheden van de CIA, die logischerwijs al die tijd 'vertrouwelijk' waren om de modus operandi niet in gevaar te brengen. We weten daarom nu beter welke apparaten de CIA kan hacken en op welke manier. Daarbij moet je overigens nog een slag om de arm houden. WikiLeaks heeft namelijk niet de hacks zélf bekend gemaakt, maar vooral memo's waarin wordt gesproken over zulke mogelijkheden. Het is dus niet bekend of exploits daadwerkelijk zijn ingezet, en hoe vaak. Mogelijk wordt dat later nog wel bekend.

Op zoek naar zero-days

De CIA is de controle over de verzamelde zero-days kwijtgeraakt

Interessanter is dat de CIA actief op zoek ging naar zero-days, gaten in software die nog niet bekend zijn bij de maker. Je kunt hier meer lezen over zero-days en wat dat zijn. Het zoeken en uitbuiten van zero-days is controversieel. Als een overheid weet dat er een gat is in iOS dat niet gedicht is door Apple, waarom zou een land als Rusland dat dan niet weten? Of een hackersgroep? Een softwaregat maakt iedereen die die software gebruikt kwetsbaar. Aan de andere kant kunnen de lekken door instanties zoals de CIA ingezet worden om terroristen te stoppen. De afweging beslaat dus een grijs gebied, waar geen eenduidig antwoord op is.

Uit de documenten blijkt dat de CIA wel érg veel gebruik maakte van zero-days, zonder die aan de makers te melden. Zo bezat het voor Android niet minder dan 24 meer of minder ernstige zero-days. Ter vergelijking, het cyberwapen Stuxnet maakte in 2009 gebruik van een toen ongekende 4 zero-days. Bovendien blijkt uit de documenten dat de CIA uiteindelijk de controle is verloren over het gebruik van de zero-days.

Hoe kwetsbaar ben ik?

De grote vraag is natuurlijk of je zelf kwetsbaar bent. Dat is niet heel vreemd als zoveel zero-days zijn gelekt. Toch valt dat uiteindelijk mee, want hoewel dit lek groot is betekent het niet dat alle exploits door iedereen kunnen worden uitgebuit. Zo zijn de details van de exploits niet bekend. WikiLeaks heeft flinke redactie gedaan over de documenten en bracht de tools zelf niet naar buiten.

Daar komt nog bij dat veel gaten die ooit zijn misbruikt inmiddels alweer zijn gedicht. Veel Android-exploits richtten zich bijvoorbeeld op Android 4.x, en iOS is maar te kraken tot versie 9.2 terwijl iOS 10 allang uit is. Dat wil niet zeggen dat de CIA geen exploits heeft voor die nieuwe besturingssystemen, maar daar is vooralsnog in ieder geval geen bewijs van.

Repareren

Veel bedrijven zijn inmiddels bezig met het repareren van veel lekken

Veel fabrikanten, zoals Google en Apple, hebben inmiddels aangegeven het lek goed te bestuderen. Als blijkt dat de CIA exploits gebruikt in Android en iOS, fixen ze dat zo snel mogelijk. Dat is een positief bijproduct van het lek.

Maar misschien wel belangrijker dan de technische mogelijkheden is de modus operandi van de CIA. We beschreven hierboven al dat de CIA veel gerichter naar informatie zoekt dan de NSA. Bovendien ben je niet snel een doelwit voor de CIA, die zich vooral bezig houdt met counterterrorisme en serieuze bedreigingen op internationaal niveau.

Wat verandert er in de toekomst?

Het is nog moeilijk te zeggen wat het lek voor impact gaat hebben op de toekomst van de inlichtingendiensten of van je privacy. Je kunt daar wel over speculeren.

Het meest schokkende aan de onthulling is de manier waarop de CIA met zero-days omgaat. Als we in de toekomst een nog beter beeld krijgen van hoe dat precies werkt, kun je er vanuit gaan dat daar wel vragen over gesteld gaan worden. Is het namelijk wel ethisch wat er gebeurt? Is het nodig? En moet er niet strenger toezicht komen op het gebruik en het verhandelen en uitwisselen van zulke exploits?

Veel fabrikanten zijn inmiddels ook bezig met het updaten van hun software naar aanleiding van het lek. Apple zegt dat 'het merendeel' van de exploits inmiddels is gedicht, Google zegt de situatie nog te onderzoeken.

Het zou overigens nog kunnen zijn dat het lek iets te maken heeft met de huidige politieke situatie in Amerika. President Duck heeft een moeizame relatie met de inlichtingendiensten, en zou er veel bij gebaat zijn als die in kwaad daglicht worden gesteld. Bovendien werd WikiLeaks tijdens de verkiezingscampagne ingezet door Rusland om onder andere de emails van de DNC te lekken. Vooralsnog lijkt dat echter pure speculatie.

Wat is het verschil tussen de CIA en de NSA?

Op het eerste gezicht lijkt er weinig verschil tussen de CIA en de National Security Agency, waarvan Edward Snowden in 2013 informatie lekte. Naast de NSA en de CIA heb je ook nog de FBI (de Amerikaanse nationale politie), de DIA (Defense Intelligence Agency) en een handjevol andere agentschappen die zich op de één of andere manier allemaal bezig lijken te houden met spionagepraktijken. Toch zijn er een paar belangrijke verschillen tussen vooral de NSA en de CIA die hier belangrijk zijn.

De CIA houdt zich vooral bezig met gerichte zoekacties in plaats van sleepnetsurveillance

De CIA ('Central Intelligence Agency') houdt zich voornamelijk bezig met gericht onderzoek naar inlichtingen in het buitenland. Dat betekent dat de dienst gericht op zoek gaat naar personen of groepen die zich bezig houden met bijvoorbeeld terrorisme. Wat daar vervolgens mee gebeurt, kan verschillen van uitschakelen tot het verzamelen van gerichte data die bijvoorbeeld iets vertelt over andere terroristische netwerken.

De NSA ('National Security Agency') is het agentschap dat zich meer met data-analyse bezighoudt. De organisatie onderschept grote hoeveelheden data en analyseert die om te kijken waar gevaren vandaan komen. Dat zijn soms gerichte onderscheppingen zoals de CIA die ook doet, maar vaak ook bredere. Zo kan de NSA een hele groep gebruikers van een bepaald apparaat afluisteren, of van een dienst. Dat gebeurde bijvoorbeeld bij het PRISM-programma, één van de eerste onthullingen van Edward Snowden in de NSA-leaks. Ook probeert de NSA encryptie te kraken en versleutelde communicatie te ontcijferen.

Grof gezien is het verschil dus dat de CIA gerichte taps plaatst, en de NSA data in bulk verzamelt om mogelijk misdaden te onderscheppen. Daar zit nog veel nuance in, maar dat is de grote lijn. De CIA en de NSA hebben eigen divisies die zoeken naar zero-days en datalekken, en wisselen die in sommige gevallen ook uit met elkaar.

Wat kan de CIA concreet doen?

Mobiele besturingssystemen hebben een prominente rol in het lek. Zo zijn er een flink aantal zero-days gevonden voor Android en iOS, maar ook voor praktisch iedere vorm van software. Dat gaat van Internet Explorer tot VLC.

Uit één van de documenten blijkt dat de CIA al sinds 2014 interesse heeft in het hacken van auto's en andere voertuigen. Tijdens een meeting keek de 'Embedded Development Branch' onder andere naar het hacken van de firmware van 'Vehicle Systems', maar er wordt in het archief verder niet bekend gemaakt op welke wijze of met welk doel dat moet gebeuren.

Er is vaak nog fysieke toegang tot een apparaat nodig voor het gehackt kan worden

Je kunt er echter wel naar speculeren. Het overnemen van auto's van een afstand is al een tijdje mogelijk als proof-of-concept, zoals journalisten van Wired ooit lieten zien. De CIA kan met zulke mogelijkheden veel schade aanrichten.

Televisies
Veel van de documenten hinten op exploits, en 'onderzoeken de mogelijkheden', maar er zitten een aantal opvallende concrete exploits bij voor onder andere Samsung-tv's. Via het programma Weeping Angel was het mogelijk bepaalde oude smart-tv's (uit 2011 en 2012, met oude firmware) in een 'fake off mode' te zetten. Zo leek het apparaat uit te staan, maar kon de microfoon alsnog worden gebruikt om gesprekken af te luisteren.

Problemen met encryptie
Wat ook belangrijk is: de CIA heeft moeite met de encryptie van apps zoals Signal en WhatsApp. Die is namelijk nog steeds niet te breken, ondanks een verwarrende tweet van WikiLeaks die gisteren door onder andere de New York Times werd overgenomen:

WikiLeaks

-

In werkelijkheid worden Signal en WhatsApp niet specifiek genoemd in het hele gelekte archief - in ieder geval niet met naam en toenaam. Wel zegt de CIA te worstelen met het lezen van communicatie, juist omdat de versleuteling zo goed is. Dat lijkt goed nieuws, maar het heeft ook een keerzijde: de inlichtingendienst probeert namelijk niet meer om een WhatsApp-gesprek te kraken, maar juist het hele toestel. Daarmee kan alle communicatie worden onderschept - niet alleen WhatsApp.

Overigens is dat ook wel een goed teken. Inlichtingendiensten klagen al langer over het toevoegen van encryptie aan software, zoals het standaard versleutelen van de schijf op Android en iOS en de eind-tot-eind-encryptie die inmiddels aan WhatsApp is toegevoegd. Uit de lekken blijkt dat dat geen onterechte klachten zijn - de encryptie werkt goed.

Deel dit artikel
Voeg toe aan favorieten