‘Vault 7’ heet het: het meest omvangrijke lek van geheime CIA-documenten in de geschiedenis van de organisatie. Afgelopen dinsdag publiceerde klokkenluider-website Wikileaks de eerste lading, met daarin 8761 bestanden. Dat zou pas het begin zijn: de website stelde op Twitter dat het ‘minder dan een procent’ van het gehele Vault 7-archief had gedumpt.

Minder dan een procent of niet, het was genoeg om wereldwijd de voorpagina’s te vullen. Ook in Nederland: ‘Wikileaks onthult hackmethoden CIA,’ kopte De Volkskrant; ‘CIA kijkt mee via apparaten,’ aldus de NRC. Het Parool: ‘Tegen spionage sta je machteloos.’ De Telegraaf besteedde de voorpagina liever aan het nieuws over een ‘afgeslachte’ neushoorn, maar pakte uit op de binnenpagina’s: ‘Pas op voor een rat in je laptop.’ Het NOS achtuurjournaal kon natuurlijk niet achterblijven: 'CIA luistert op grote schaal smartphones en smarttelevisies af,' zo was te horen in de introductie.

Maar klopt dat allemaal wel? Wat kunnen we nu echt van deze CIA-leaks leren? We zetten het op een rijtje.

Eerst een korte samenvatting: het op dinsdag gepubliceerde archief omvat 7818 webpagina’s en 943 bijlagen en is in zijn geheel op de website van Wikileaks te vinden. Volgens de website zijn de bestanden afkomstig uit een streng beveiligd intern netwerk van het Center for Cyber Intelligence (CCI), een afdeling binnen het omvangrijke complex van de Amerikaanse inlichtingendienst.

1. Spionnen doen nog steeds waar ze voor betaald krijgen

Op de webpagina’s staan handleidingen, specificaties en discussies tussen CIA-medewerkers. Daar valt uit af te leiden dat de CIA zich in ieder geval tussen 2013 en 2016 bezig heeft gehouden met de heimelijke productie van malware. Daarnaast zochten de hackers van de CIA naar digitale achterdeurtjes die ze konden gebruiken om doelwitten te bespioneren. De digitale spionagepraktijken van de CIA vonden wereldwijd plaats, ook in Europa: het Amerikaanse consulaat in Frankfurt fungeerde als uitvalsbasis voor CIA-hackers.

Dat inlichtingendiensten zich bezig houden met afluisteren, hacken en het produceren van malware mag ondertussen echter nauwelijks meer nieuws heten. Dat weten we namelijk in elk geval al sinds de NSA-onthullingen van Edward Snowden, in de zomer van 2013. En in ons eigen land gaat het er niet heel anders aan toe: afgelopen december stemde onze volksvertegenwoordiging nog in met een wet die de Nederlandse politie toestaat kwaadaardige software aan te kopen en te gebruiken om doelwitten op afstand te hacken.

Dat de CIA zich bezig houdt met afluisteren, hacken en malware mag nauwelijks meer nieuws heten

Wat wél nieuw is: in het archief bevindt zich bewijs dat de CIA forse bedragen betaald heeft om beveiligingslekken — bijvoorbeeld in iOS en Android — geheim te houden. Het gaat hier om zogeheten zero-day exploits. Deze ‘zero-days’ zijn lekken in software die niet bekend zijn bij de ontwikkelaar. Zo lang de ontwikkelaar niet van het lek af weet, kan deze logischerwijs ook geen update maken die het lek dicht. Op dat moment is kennis over die lekken uitzonderlijk waardevol voor hackers, omdat het ze een methode geeft om een ook een goedbeveiligd en up-to-date computersysteem binnen te dringen.

Het geheim houden van dergelijke lekken voor eigen gewin wordt binnen de wereld van cybersecurity beschouwd als een doodzonde, omdat het iedereen minder veilig maakt. De Amerikaanse overheid heeft dit desondanks — en in strijd met eerdere beloftes onder president Obama — meermaals gedaan: uit de documenten blijkt dat de CIA tientallen, zo niet honderden kwaadaardige programmaatjes heeft gebouwd die gebruik maken van voorheen onbekende lekken.

2. De CIA kan geen televisies of auto (op afstand) hacken

Eén onthulling die veel verwijzingen naar een zeker boek van George Orwell oproept betreft het Weeping Angel-programma. Dat programma richt zich op zogeheten Smart TV's die gemaakt zijn door Samsung. De hackers van de CIA hebben een stukje kwaadaardige code ontwikkeld dat bepaalde modellen uit 2012 en 2013 verandert in verborgen microfoons voor de inlichtingendienst. De gehackte televisies nemen continu op; wanneer een gebruiker het apparaat 'uit' zet, wordt simpelweg het beeld zwart gemaakt. Ondertussen blijft de televisie gewoon doorluisteren.

Een kleine nuance die Wikileaks zelf echter onvermeld laat in zijn analyse, is dat het hacken van de Smart TV niet op afstand gebeurt. Zoals digitale veiligheidsexpert Robert Graham uitlegt, moet een CIA-agent fysiek toegang hebben tot het apparaat om deze in een verborgen microfoon te kunnen veranderen — de kwaadaardige CIA-software wordt geïnstalleerd via een usb-stick. Daar komt ook nog eens bij dat de televisie moet draaien op verouderde versies van het besturingssysteem; in nieuwe versies is het veiligheidslek verholpen.

De kans dat de tv in je woonkamer is geïnfecteerd is dus klein. Deze tweet van het officiële Wikileaks-account is daarom ook enigszins misleidend te noemen:

Volgens Graham is het waarschijnlijk dat het hacken van auto’s op een vergelijkbare manier gebeurt. CIA-hackers zouden bijvoorbeeld gebruik kunnen maken van de OBDII-poort in een auto om een kwaadaardig programma op de boordcomputer te installeren. Graham: ‘zie het als normale spionage-activiteit (b.v. het saboteren van de remmen van een slachtoffer), maar dan digitaal’.

3. WhatsApp, Signal en Telegram zijn niet onveilig — juist het tegenovergestelde

In de berichtgeving over het lek wordt veelvuldig verwezen naar versleutelde berichtendiensten als WhatsApp, Signal en Telegram. Deze zouden als doelwit gelden voor de hackers van de CIA. Het is echter niet zo dat de apps (of de gegevensversleuteling die ze gebruiken) zélf zijn gekraakt. De kwaadaardige programmaatjes van de CIA richten zich in plaats daarvan op de telefoon waar de apps zich op bevinden. Dit wordt ook wel endpoint hacking genoemd.

Het is een vrij logische tactiek: als je het hele systeem over kunt nemen, kun je natuurlijk ook meekijken in de programma’s die op dat systeem draaien. Zo kunnen de hackers bijvoorbeeld een keylogger op een telefoon installeren om berichtjes al tijdens het typen — en dus vóór ze versleuteld en verstuurd worden — te onderscheppen.

Zelfs het stukje duiding van de Volkskrant gaat de mist in

Desondanks zijn verscheidene media onjuist of onduidelijk in hun berichtgeving over dit belangrijke verschil. Zo heeft NRC het over ‘veilig gewaande berichtenapps’. Het AD stelt zelfs ronduit dat de CIA berichten ‘verstuurd via bijvoorbeeld WhatsApp en Telegram’ kan ‘onderscheppen’. Zelfs het stukje duiding van de Volkskrant gaat de mist in: nadat de auteurs eerst uitgebreid uitleggen dat de versleuteling níét gekraakt is, stellen ze later alsnog dat de programma’s ‘de encryptie die bijvoorbeeld WhatsApp, Telegram en Signal gebruiken onderuit [kunnen] halen’. 

Ook de Amerikaanse media trapten in de spraakverwarring. Zo suggereerde de New York Times in een (later verwijderde) tweet dat de CIA de versleuteling van ‘populaire diensten als Signal, WhatsApp en Telegram’ wist te ‘omzeilen’.

Eigenlijk is het tegenovergestelde waar: de inhoud van de CIA-leaks betekent juist goed nieuws voor Signal, WhatsApp en Telegram. Steven Bellovin, hoogleraar informatica op Columbia University, legt op zijn blog uit dat de lekken laten zien dat de apps wel degelijk veilig zijn: ‘Het bestaan van deze hack-programmaatjes is bewijs voor de kracht van de versleuteling. Die is moeilijk of onmogelijk te kraken, dus moet de CIA zich wenden tot dure, gerichte aanvallen.’ Met andere woorden: om iemand te bespioneren volstaat het niet meer om zijn of haar berichtjes simpelweg te onderscheppen, zoals de NSA in zomer 2013 op grote schaal bleek te doen. De CIA moet actief inbreken in de telefoon om nog mee te kunnen lezen, iets dat veel meer tijd en geld kost.

4. Update in vredesnaam je apparaten

De kwaadaardige CIA-software zelf is — in tegenstelling tot wat sommige media beweren — vooralsnog niet uitgelekt. Op de plekken in het archief waar de programmaatjes zouden moeten staan, heeft Wikileaks meldingen geplaatst dat het de bestanden nog aan het onderzoeken is en dat deze ‘mogelijk’ binnenkort gepubliceerd worden.

Het is echter hoogstwaarschijnlijk dat de software uiteindelijk op de een of andere manier op het internet terecht komt. Wikileaks geeft aan dat de CIA de ‘macht over het grootste deel van haar hackarsenaal’ kwijt is geraakt. Volgens de website is het dus een kwestie van tijd voor iedere (amateur)hacker ‘the entire hacking capacity of the CIA’ in handen krijgt.

Dit is niet de eerste keer dat er een lading overheidsmalware uitlekt

Dat is echter niet meteen een reden tot paniek. Ten eerste: de programma’s en praktijken van de CIA zijn al wat ouder. Ze dateren van grofweg 2013 tot 2016 en vallen ongeveer in dezelfde categorie als de miljoenen bekende lekken die al op het internet te vinden zijn. Een groot deel van de security-gaten is daarnaast inmiddels al gedicht: de hackers van de CIA zijn niet de enigen die ze kunnen vinden. In het slechtste geval — bijvoorbeeld met de eerder genoemde zero-day exploits — kun je op korte termijn een update voor de getroffen software verwachten die het probleem verhelpt.

Ten tweede is dit niet de eerste keer dat er een lading overheidsmalware uitlekt. In augustus vorig jaar overkwam de NSA namelijk hetzelfde. Destijds plaatste een anonieme groep, die zichzelf The Shadow Brokers noemt, een lading kwaadaardige software online. De programma’s bleken afkomstig te zijn van de Tailored Access Operations (TAO)-unit, een afdeling binnen de NSA die zich richt op digitale oorlogsvoering. Ook toen werden de technieken binnen de kortste keren veelvuldig gebruikt door amateurhackers; ook toen kwamen er spoedig updates uit die de beveiligingslekken dichtten.

Hier zit natuurlijk wel een belangrijke ‘maar’ aan: als je geen software-update wil of kan uitvoeren (bijvoorbeeld omdat je een verouderd Android-toestel gebruikt), dan blijft het lek aanwezig. Het is daarom dus van belang dat je recente software gebruikt en deze altijd zo up-to-date mogelijk houdt.

5. Onthoud: Wikileaks is geen neutrale bron

Tot slot zitten er ook nog wat haken en ogen aan het lek zelf. Het Wikileaks van nu is namelijk niet meer wat het was ten tijde van de cablegate-lekken in 2010. De website, ooit begonnen als een open initiatief om overheden transparanter te maken, heeft in de afgelopen jaren steeds meer een politiek kleurtje gekregen. Frontman Julian Assange steekt zijn afkeer voor Hillary Clinton en het Amerikaanse politieke establishment niet onder stoelen of banken; ook zijn er hardnekkige geruchten dat de website wordt beïnvloed door de Russische overheid.

De publicatie van de documenten wordt in Washington als een politieke actie gezien

De CIA is al maanden bezig met een onderzoek naar de Russische banden van president Trump; daar blijven maar onplezierige details uit voortkomen. Zo schreef Politico op de dag dat het lek uit kwam nog dat de inlichtingendienst ‘raw intelligence’ over vermeende Russische invloed in de presidentsverkiezingen deelt met leden van de Amerikaanse Senaat en het Huis van Afgevaardigden. Het is dan ook begrijpelijk dat de publicatie van de documenten door veiligheidsbonzen in Washington als een politieke actie wordt gezien.

Dat wil geenszins zeggen dat de documenten die Wikileaks publiceert nep zijn. Het is zo goed als zeker dat het hier wel degelijk gaat om authentieke informatie; de FBI en CIA zijn inmiddels begonnen met een zoektocht naar de oorsprong van het lek. Desondanks is het van belang te onthouden dat ingewikkelde technische verhalen als deze gemakkelijk kunnen worden aangedikt of vertekend ten behoeve van sensatie of politiek gewin.