De documenten die Wikileaks vrijgeeft doen vermoeden dat de CIA gelijkaardige afluisterpraktijk hanteert als de NSA. In praktijk lijkt het er iets gematigder aan toe te gaan. Zo zouden smart tv’s niet vanop afstand worden misbruikt om af te luisteren. Een analyse van wat we nu weten.
Makkelijk maakt Wikileaks het niet. Op dit moment heeft de organisatie een hoop uittreksels van documenten online staan, maar achterhalen in welke mate alles klopt blijft moeilijk. Wel hebben verschillende security-experts aan de Wall Street Journal laten weten dat de inhoud echt lijkt. Ook Edward Snowden schrijft dat de gegevens echt lijken. Het Witte Huis en de CIA zelf reageren niet op de beweringen.
Samsung tv’s: niet van op afstand
Tegelijk zijn er wel enkele nuanceringen te maken die u mogelijk wat geruster doen slapen. Zo merkt de securityblog Erratasec terecht op dat het hacken van Samsung TV’s enkel gebeurt via de usb-poort. Dat wil zeggen dat de CIA je toestel enkel kan afluisteren als het fysiek inbreekt in je woning en niet dat dit op massale schaal gebeurt. Ook het hacken van wagens zou volgens hen niet van op afstand gebeuren.
Signal: niet gekraakt, maar niet noodzakelijk veilig
In sommige media werd al snel gezegd dat de CIA door zijn digitale tools beveiligde apps als Signal kan afluisteren. Dat is juist en fout in die zin dat de beveiliging van Signal niet omzeild kan worden. Maar met de tools die het heeft om Android en iOS te hacken, kan informatie van de app weliswaar onderschept worden. In het kort: ja het kan, maar dan ligt het aan uw telefoon, niet aan Signal.
Zero day lekken: niet opgepot, wel gebruikt
Een andere verwarring is het ‘verzamelen’ van zero day (onontdekte) lekken. Letterlijk gezien klopt het niet omdat de organisatie enkel lekken zou hebben die het actief gebruikt. Zo betaalt de organisatie hackers om lekken te bemachtigen, maar dat zou dat niet gebeuren om ze pas op een later moment te gebruiken. Dat is logisch, want eens het lek wordt ontdekt door iemand anders en wordt opgelost, is zo’n zero day onbruikbaar.
Daar tegenover staat dat de Wall Street Journal schrijft dat de inlichtingendienst wel een bibliotheek zou hebben van malafide softwareonderdelen die het ‘in het veld’ heeft gevonden. Het gaat daarbij onder meer om malware, maar ook om technologie van commerciële spelers en buitenlandse bronnen.
Geen massaspionage
Errata Security merkt ook op dat de CIA geen mass surveillance doet zoals bij de NSA. De dienst richt zich in eerst instantie op specifieke spionagedoelwitten. Dat betekent dat de kans zeer klein is dat u specifiek slachtoffer zal worden. Al blijft het interessant om te weten dat als u ooit wordt gezocht door de Amerikaanse overheid, dat de trukendoos van de CIA een pak complexere kunstjes bevat dan een verrekijker en een glas tegen de muur.
Fout opgemerkt of meer nieuws? Meld het hier