The NSA spying program

NSA : Documentary on the Secret Intelligence Agency NSA

CHRISTOPHER SOGHOIAN | OVER PRIVACY EN SURVEILLANCE

HET IDEE
‘SURVEILLANCETECHNOLOGIE IS ONTWORPEN OM MISBRUIKT TE WORDEN’

HET IS TE MAKKELIJK en te goedkoop geworden voor overheden om iedereen in de gaten te houden. Activist en computerwetenschapper Christopher Soghoian strijdt voor beleid en technologieën om daar iets aan te doen. ‘Ik ben banger voor de overheid dan voor Google.’

TEKST GERARD JANSSEN FOTO’S STEPHEN VOSS

IN DE ZOMER VAN 2006 KOCHT DE TOEN VIJFENTWINTIGJARIGE CHRISTOPHER SOGHOIAN op het vliegveld van Reno in Nevada een bakje hummus. Hij had het Burning Man festival bezocht en wachtte op de vlucht naar Indianapolis, op weg terug naar zijn huis Bloomington, waar hij informatica studeerde. Soghoian, een korte baard en zijn donkere haar in een staartje, wilde het bakje hummus meenemen langs de beveiliging, maar een beveiliger van Transportation Security Administration (TSA) hield hem tegen.

‘Het is verboden om vloeistoffen mee te nemen,’ zei de beveiliger. ‘Maar hummus is vast voedsel,’ zei Soghoian, ‘het is meer een soort pasta dan een vloeistof.’

Soghoian had gelijk. Hummus is een puree van kikkererwten en formeel gezien geen vloeistof. Maar het bakje hummus belandde in de vuilnisemmer. Een andere beveiliger haalde Soghoian uit de rij voor een vervelende ‘random’ security check.

En dat hadden ze niet moeten doen. Soghoian wilde wraak. Weer terug in Bloomington, waar hij op de universiteit van Indiana net een promotieonderzoek was begonnen, dook hij in de veiligheidsprocedures van de TSA. Soghoian ontdekte dat het voor iemand op de no-fly list relatief makkelijk was om een vliegtuig binnen te komen. Een terrorist kon online reserveren onder een valse naam en de boarding pass thuis twee keer afdrukken. De eerste keer met de valse naam, en de tweede nadat hij de valse naam met een teksteditor veranderde in zijn eigen naam. Met de valse pas kon hij zich legitimeren bij de security gate en met de echte pas (met de valse naam) kon hij boarden. In tien stappen legde hij alles precies uit op zijn blog, met de naam ‘slight paranoia’.

Toen hij een paar dagen later ’s avonds laat thuis kwam, zag hij dat het glas van zijn voordeur was ingeslagen. Er was ingebroken. Misschien was de inbreker nog wel binnen. Hij belde de politie, die hem verbood om zijn eigen huis te betreden. Niet veel later arriveerden een paar agenten. Voorzichtig betraden ze het pand. Al snel liepen ze weer naar buiten met de mededeling dat ze niks konden doen. Ze stapten in hun auto en reden hard weg. Soghoian bleef verbaasd achter. De student stapte voorzichtig zijn huis binnen en zag dat wel degelijk alles overhoop was gehaald. Zijn computers waren gestolen! Toen pas zag hij dat aan de keukentafel een papiertje hing, vastgeplakt met crime scene-tape. ‘Do not cross.’ Het was een huiszoekingsbevel van de FBI. Zijn computers waren in beslag genomen. ‘Dat was een heel onplezierige ervaring,’ zegt Soghoian over de telefoon. ‘Het heeft me genoeg angst ingeboezemd om vanaf dat moment meer tijd door te brengen met advocaten. Ik ben daarna ook rechtscolleges gaan volgen. Ik realiseerde me dat ik techniek en rechten met elkaar moest combineren om effectief te kunnen zijn.’

De blogpost van Soghoian was rondgegaan over het internet en op het bureau beland van Edward Markey, lid van de Homeland Security Commissie. Hij had meteen de FBI op de blogger afgestuurd. Toen Markey begreep dat het om een talentvolle techniekstudent ging, veranderde zijn houding. Hij prees Soghoian omdat hij een gevaarlijk lek had gevonden en vond zelfs dat Homeland Security deze talentvolle jongeman in dienst zou moeten nemen. De leidinggevenden bij Homeland Security waren minder enthousiast.
SPIONNEN

Drie jaar later kwam Soghoian toch bij de overheid terecht, en wel bij de Federal Trade Commissie (FTC), een agentschap dat grote bedrijven in de gaten houdt. Voor de FTC onderzocht hij de praktijken van Facebook, Twitter, MySpace en Netflix. Deze baan stelde hem in staat om de Intelligence Support Systems World (ISS) conferentie te bezoeken, een besloten bijeenkomst van spionnen, politiemensen en handelaars in spionageapparatuur.

‘Het staat ook wel bekend als the wire tappers ball. Ik nam met de opnamefunctie van mijn telefoon op hoe een topman van het telecommunicatiebedrijf Sprint opschepte dat zijn bedrijf tussen september 2008 en oktober 2009 acht miljoen keer GPS-gegevens van klanten aan de politie had gegeven.’

Ook deze opname plaatste Soghoian op zijn blog, en nieuwssites namen het geluidsfragment over.

‘Ik heb sindsdien weinig fans meer bij de overheid,’ zegt Soghoian. Hij werkt nu als activist en onderzoeker bij de American Civil Liberties Union (ACLU), een organisatie die de rechten zoals vastgelegd in de grondwet bewaakt en verdedigt. Hij is de belangrijkste technoloog van de organisatie. ‘Ik probeer bedrijven onder druk te zetten om beter hun best te doen om privacy bovenaan te zetten, en ik werk ook heel nauw samen met de advocaten van de ACLU die de politie en de inlichtingendiensten aanklagen.’
DE COMPANIES

Als Soghoian een privacylek of misbruik van militaire technologie op het spoor is, neemt hij contact op met zijn doelwit. Als niet snel iets verbetert, maakt hij zijn vondst openbaar, meestal via bevriende journalisten van The Washington Post. Hij is met trots een grote lastpost voor overheidsdiensten en bedrijven als Google en Facebook, die ons bespioneren om effectiever te kunnen adverteren.



Veel van wat de overheid en bedrijven als Google en Facebook doen, is strikt geheim. Waar haalt u uw informatie vandaan?

‘Door mijn studie ken ik veel mensen die nu werken bij the companies.’

Soghoian heeft het consequent over ‘the companies’. Hij bedoelt daarmee niet alleen Facebook, Google en Twitter, maar ook de bedrijven die spionagesoftware en apparatuur ontwikkelen. Een miljardenindustrie.

‘Bij conferenties komen ze ’s avonds laat naast me aan de bar zitten. Of ze komen mijn kantoor binnenlopen in Washington om even te kletsen. Soms ken ik ze niet eens en weet ik niet hoe ze heten. Er zijn veel mensen die voor deze bedrijven werken die een geweten hebben, maar die tegelijkertijd hun goede baan niet op het spel willen zetten. Ze maken zich zorgen over het gebruik van militaire technologie door de politie en over de landen waar hun producten aan verkocht wordt. Als je programmeur bent bij Google of een beveiligingsbedrijf, 150.000 dollar per jaar verdient en je hebt twee kinderen op school zitten, dan is het moeilijk om je zorgen openbaar te maken. In veel gevallen is het voor deze mensen beter om contact op te nemen met mij. Zo kunnen ze hun banen houden terwijl de wereld te weten komt wat de wereld moet weten.’

Op deze manier kwam Soghoian achter het gebruik van de IMSI-catcher, een apparaat zo groot als een spelcomputer dat je aan een kleine antenne en een laptop kan koppelen. Het werkt als een mobiele zendmast. Iedere telefoon zoekt contact met de dichtstbijzijnde zendmast. Met de IMSI-catcher kun je zo alle telefoontjes in een straal rond die zendmast aftappen. De nieuwste generatie IMSI-catchers kan ook worden gebruikt om malware op een telefoon te zetten zodat die daarna gehackt kan worden. Soghoian kwam erachter dat militairen de IMSI-catchers al vanaf 1995 gebruiken. Ze hangen aan drones die over Afghanistan, Jemen en Somalië vliegen.

Vier jaar had Soghoian ervoor nodig om het gebruik van IMSI-catchers door de politie te openbaren. De IMSI-catchers worden in Nederland ook gebruikt. De Nederlandse politie heeft toestemming van een officier van justitie nodig. Als een nieuw wetsvoorstel het haalt, mag de FIOD de IMSI-catcher op eigen initiatief inzetten, net als de AIVD en de Militaire Inlichtingen- en Veiligheidsdienst MIVD (de Militaire Inlichtingen- en Veiligheidsdienst). Alle telefoons in de buurt van een IMSI-catcher zullen contact maken en kunnen afgeluisterd worden.

‘In 2011 begon ik ermee en deze zomer kondigde het departement van justitie aan dat er een opsporingsbevel nodig is, getekend door een rechter, voor iedere keer dat de politie een IMSI-catcher gebruikt.’ Soghoian is duidelijk trots dat hij dit, bijna in zijn eentje – na vier jaar hard werken – voor elkaar heeft gekregen.
TERUGHACKEN

Een andere kwestie waar hij zich de laatste jaren in vastbijt, is het gebruik van hacking software door de NSA, de FBI en de politie. Bedrijven als het Italiaanse Hacking Team en Gamma in Engeland en Duitsland leveren software waarmee je kunt inbreken op computers en telefoons. Deze spionagebedrijven leveren hun programma’s ook aan SaoediArabië, Egypte en Zuid-Soedan. Uit WikiLeaks-documenten blijkt dat ook de MIVD contact heeft met Hacking Team, en de Nederlandse politie en de belastingdienst hebben ook interesse getoond. Met de wet computercriminaliteit III, die nu op stapel staat, heeft ook de politie verregaande bevoegdheid in te breken in computers. ‘Terughacken,’ wordt dit eufemistisch genoemd. ‘Om dat in Amerika in de openbaarheid te brengen, daar ben ik de komende jaren nog wel mee bezig.’

Soghoian vermoedt dat hacken de komende jaren een grote vlucht zal nemen bij de politie. De reden daarvoor is encryptie.

‘Bij Apple zien we wel dat ze niet langer onderdeel willen zijn van de handel in surveillance. Apple en WhatsApp (van Facebook) maken gebruik van sterke encryptie. We zien nu dat FBI-directeur James Comey en David Cameron daarover kwaad over zijn. Ze bekritiseren Apple. Je zult zien dat hoe meer encryptie er is, hoe meer er gehackt gaat worden door de politie, omdat dat dan de enige manier is om de berichten te lezen.’

Soghoian is enthousiast over Signal, een gratis applicatie waarmee iedereen versleuteld kan bellen en appen.

Zullen de overheden encryptie niet gaan verbieden?

‘Het is altijd een risico dat overheden technologieën willen verbieden die hun macht bedreigen. Maar op een gekke manier heb ik nu miljardenbedrijven aan mijn kant. Als Apple en Facebook geld kunnen verdienen met het verdedigen van privacy, dan wordt het weer makkelijker om de overheden terug te drukken en te voorkomen dat ze versleuteling gaan reguleren of verbieden. Apple lobbyt voor privacy. Facebook doet het achter de schermen ook. WhatsApp heeft een miljard gebruikers en het gebruikt dezelfde encryptie als Signal. Facebook adverteert er niet publiekelijk mee, maar WhatsApp is heel veilig.’

Bent u niet bang zelf gehackt te worden?

‘Het zou aardig stom zijn als de Amerikaanse overheid mij zou hacken. Dat zou er slecht uitzien. Als ze gepakt worden, zou ze dat veel problemen opleveren.’

Google, Facebook en de NSA kunnen machtige prbedrijven inschakelen om u zwart te maken.

‘De eerste keer dat een groot bedrijf me bedreigde was dat een beetje griezelig, maar het wordt makkelijker als het vaker gebeurt. De tweede en derde keer was het al minder eng. Facebook en Google zijn een paar keer heel vervelend geweest. Ik maak me tegenwoordig niet meer zo’n zorgen over de grote bedrijven. Ik ben niet bang voor reputatieschade. Ik doe dit nu acht jaar en de meeste bedrijven weten wat ik doe en waarom ik het doe. Ze begrijpen dat ik er geen financiële belangen bij heb. Niettemin blijft het lastig als je effectief wilt blijven. De bedrijven geven veel geld uit om het mij en gelijkgestemden moeilijk te maken. Maar ik ben banger voor de overheid. Google kan mij niet in de gevangenis zetten, de overheid kan dat wel.

Bent u tegen alle vormen van surveillance? Is het soms niet prettig dat de politie kan inbreken in de computer van een terrorist?

‘Ja, ik ben tegen alle vormen van surveillance. Hoe kun je een systeem verzinnen waarin alleen de slechteriken worden gevolgd? Ik denk dat surveillance nuttig kan zijn en dat het zeker kan helpen om slechte mensen te weerhouden van het doen van slechte dingen, maar als je kijkt naar de geschiedenis van surveillance, wordt het áltijd gebruikt tegen politieke opponenten en de media. Het is té aantrekkelijk voor de machthebbers om het te gebruiken. Surveillance ondermijnt de democratie meer dan dat het de democratie helpt. De dreiging ervan is groter dan welke individuele slechterik dan ook. Ik heb ervaring met hacken. Ik ken de technologie. Als je ziet hoe het werkt, zie je meteen het potentieel aan misbruik. Je geeft een agent de software om een computer te hacken en de webcam te gebruiken en het eerste waar je aan denkt, is hoe hij dat kan gebruiken om zijn ex-vriendin of ex-vrouw te bespioneren. Deze technologie is ontworpen om misbruikt te worden. Zelfs als het gebruikt wordt door verantwoordelijke mensen is het onverantwoordelijke technologie.’

Als u iets zou mogen wensen, wat zou dat dan zijn?

‘Dan zou ik de wereld zo veranderen dat de overheid nooit je e-mails zal kunnen lezen en nooit je telefoon zal kunnen afluisteren, maar in die wereld zal ik nooit leven.

Ken je Chris Rock, de stand-up comedian? Die heeft een grap dat hij niet denkt dat wapens illegaal moeten zijn, maar dat hij wel vindt dat kogels te goedkoop zijn. Een kogel zou een miljoen moeten kosten. Als een kogel zo duur is, denken mensen wel drie keer na voor ze hem afschieten. Dat is een grap, maar dat is precies zoals ik tegen surveillance aankijk.

Ik zie het nu als een economisch probleem. In de jaren zestig kon de FBI ook iemand dag en nacht volgen, maar had er alleen wel vijf of tien man voor nodig. Dat is duur. De FBI moest een target heel bewust uitkiezen. De laatste vijftien jaar is surveillance erg goedkoop geworden. Vanwege de mobiele telefoons in onze zakken is het nu mogelijk voor overheden om te zien met wie we bellen, waar we heengaan en met wie we zijn. Alleen maar door deze dingen te vragen aan een telefoonbedrijf of een internetbedrijf. Dat betekent dat één enkele agent van achter zijn bureau honderden of duizenden mensen tegelijk kan volgen. En als surveillance bijna gratis is, dan doet de politie het te veel. Kijk maar naar Nederland. De politie luistert daar meer af dan in alle andere landen van Europa, op Italië na. Het is net als bij een all you can eat buffet. Als je niet betaalt voor het eten, dan eet je teveel. Ik zie mijn baan als het verhogen van de kosten van surveillance. Ik denk niet dat ik het onmogelijk kan maken voor de FBI of de NSA, maar ik denk wel dat ik het duurder kan maken. En als het duurder wordt, dan moeten ze kiezen wie ze gaan volgen. Bulk surveillance is in mijn ogen het grootste probleem dat we hebben, en het is mijn doel om ervoor te zorgen dat er beleid en technologieën komen die dat te duur maken.’

En als u iets van de daken zou willen schreeuwen, wat zou dat zijn?

‘Het is zo makkelijk om jezelf te beschermen tegen afluisteren. Dat is zo frustrerend voor mij als technoloog. Na het nieuws dat Amerikanen Angela Merkel en andere Europese leiders bespioneerden, was het erg frustrerend voor mij om de respons van de Europese beleidsmakers te zien. Ze klaagden erover en vroegen de Amerikanen om te beloven te stoppen met spioneren. Maar wat de Europeanen niet deden, was de mensen aansporen om technologie te gebruiken die het de NSA moeilijk zouden maken om hen te bespioneren. Het ligt binnen de mogelijkheden om de gemiddelde persoon encryptie te geven voor telefoongesprekken. En dat gegeven lijkt te ontbreken in het debat. Ik weet niet of dit zo is omdat de politici weinig van nieuwe technologie begrijpen, of dat – en dit is een cynischer perspectief – ze niet willen dat de Amerikanen de Europese burgers spioneren, maar dat ze het zelf wel willen kunnen doen. Als de Europeanen echt begaan waren met privacy, zouden ze zorgen dat de communicatie van hun burgers veilig was. Ze zouden strenge beveiliging moeten leveren aan hun burgers. Maar dat doen ze niet. Wat ik wel hoor, zijn lege woorden. Wat ik van het dak zou willen schreeuwen is dit: “Het is zo makkelijk om je telefoongesprekken te versleutelen. Begin daar meteen mee.”’

Uit "Vrij Nederland"