Nieuwe onthullingen van The Guardian en de New York Times wijzen erop dat de Amerikaanse inlichtingendiensten zwakheden verwerken in versleutelingsproducten. De NSA omschrijft het grootschalige decryptieprogramma Bullrun, waar bedrijven aan zouden meewerken, als “de prijs om zaken te mogen doen in de cyberspace van de VS”. Ook de nieuwe lekken zijn afkomstig van klokkenluider Edward Snowden.

Zwakheden voorgebakken

Bij het budget dat is uitgetrokken voor deze operatie om de kern van beveiligde communicatie te kraken (bijna 260 miljoen dollar per jaar) valt dat van afluisterprogramma PRISM (20 miljoen) in het niet. Met dat geld zouden tech-bedrijven worden beïnvloed om zwaktes in hun programmatuur in te bouwen die door de inlichtendiensten gebruikt kunnen worden.

De NSA werkt hierin samen met zijn Britse evenknie GCHQ, waar The Guardian ook interne memo’s van lekt. Over de precieze capaciteiten van het decryptieprogramma wordt zelfs binnen de organisatie weinig losgelaten. De inlichtingendiensten spreken in de documentatie over het meevormen van de wereldwijde online marktplaats door de beveiliging van 4G-producten te kraken. Al in 1999 is de dienst volgens de kranten begonnen met het corrumperen van encryptiemethodes.

Basis internet ondermijnd

De onthullingen vallen slecht bij deskundigen. Zo haalt de krant securitygoeroe Bruce Schneier aan die zegt dat versleuteling aan de basis staat van het vertrouwen dat mensen hebben in internetverkeer. “Door doelbewust online beveiliging te ondermijnen in een kortzichtige poging om af te luisteren, ondermijnt de NSA de basisstructuur van het internet”, aldus Schneier.

De NSA zou zich niet beperken tot producten, maar ook zijn invloed uitoefenen om zwaktes op te nemen in standaardtechnologieën. Voor een beveiligingsstandaard die door NIST werd ontworpen in 2006 zou de NSA volgens de documenten de hoofdontwerper zijn geweest.

SSL/TLS gebroken

Op deze manier zou beveiligd verkeer via HTTPS al bij voorbaat te ontsleutelen zijn. Met het ontsleutelen van TLS/SSK dringt de NSA binnen op het diepste verkeer waarop internetbeveiliging is gebaseerd. Ook werkt de dienst samen met VoiP-leveranciers en zou remote toegang via SSH te volgen zijn.

De inlichtingendiensten hebben de drie publicerende entiteiten, de Guardian, New York Times en ProRepublica gevraagd om niets te publiceren uit vrees dat buitenlandse doelwitten overstappen op andere encryptiemethodes waardoor ze niet meer te traceren zijn. Daarom hebben de drie naar eigen zeggen enkele details uit het verhaal gelaten.