NSA verzwakt internetveiligheid

Het Amerikaanse NSA zou bedrijven beïnvloeden om hun encryptieproducten af te zwakken, en zou internet beveiligingstechnologieën zoals HTTPS en SSL kraakbaar maken.

In de serie onthullingen op basis van de Snowden lekken, brengen kranten als The Guardian, de Washington Post en de New York Times, nieuwe informatie hoe de Amerikaanse security-organisatie NSA beveiligde mails kan lezen, maar ook bedrijven beïnvloedt om hun producten af te zwakken. Dat betreft ook technologieën die een veilig gebruik van het internet moeten garanderen.

Bullrun en het internet

Een en ander is de verantwoordelijkheid van het ‘Bullrun’ project voor het afluisteren en decrypteren van elektronisch verkeer, dat met een jaarbudget van ca. 254 miljoen dollar ver het bedrag van het PRISM project (ca. 20 miljoen dollar jaarlijks) overstijgt. Naast onderzoek om encryptiesystemen te kraken, “gaat het programma ervoor om de VS en buitenlandse IT industrieën te betrekken bij het verdoken beïnvloeden van en/of openlijk beïnvloeden van het ontwerp van hun commerciële producten.” In het kader hiervan zijn al grote hoeveelheden “geëncrypteerde internet data die voordien werden afgevoerd, nu bruikbaar” geworden.

Concreet zou Bullrun cruciale internet technologieën als HTTPS (het beveiligde http protocol, onder meer gebruikt voor home banking en e-commerce), Voice-over-IP en Secure Sockets Layer (SSL) hebben beïnvloed, zodat de NSA dergelijk verkeer kon afluisteren. Dat betekent dat ook beveiligde VPN’s (onder meer gebruikt door bedrijven om werknemers van buiten het bedrijf een veilige toegang tot bedrijfsgegevens te bieden) voor de NSA geen problemen meer vormen. Ook de beveiliging van het 4G mobiel (data)verkeer zou zijn verzwakt. Een en ander zou onder meer de rol zijn van het NSA Commercial Solutions Center, waar bedrijven hun security producten voor evaluatie kunnen voorleggen… Ook de Britse pendant van NSA, het GCHQ, zou actief betrokken zijn bij Bullrun, onder meer bij de decryptie research.

Slecht voor het vertrouwen

Experten stellen uitdrukkelijk dat het verzwakken van internet beveiligingssystemen en het inbouwen van ‘achterpoortjes’ wellicht goed zijn voor het monitoren van mogelijke dreigingen, maar het vertrouwen in het internet fundamenteel aan het wankelen brengen. 3Cryptografie vormt de basis van het vertrouwen in het internet, “stelt security goeroe Bruce Schneier, “door opzettelijk de online beveiliging te ondermijnen in het kader van een kortzichtige afluisterpraktijk, ondermijnt de NSA het weefsel zelf van het internet.” Achterdeurtjes maken het voor iedereen onveilig, want kunnen/zullen uiteindelijk uiteindelijk toch in verkeerde handen vallen. Dat kunnen misdadigers zijn, grote bedrijven of ‘niet vriendelijke’ staten.

Overigens heeft de NSA en kompanen nog niet geheel vrij spel, want het ziet encryptie nog steeds als erg werkzaam in het beveiligen van informatieverkeer. Er werd druk uitgeoefend op derden om niet over Bullrun of zijn voorganger te publiceren om gebruikers niet aan te zetten over te stappen op andere encryptie technologieën. Ook menen encryptie onderzoekers als Phil Zimmerman, ontwikkelaar van het Pretty Good Privacy (PGP) algoritme, dat dit nog steeds niet werd gekraakt.