In juni 2013 werd de wereld geschokt door Edward Snowden’s onthulling van het PRISM programma van de National Security Agency (NSA). Sindsdien is er geleidelijk steeds meer duidelijk geworden wat betreft de mogelijkheden en de werkwijze van veiligheidsdiensten zoals de Amerikaanse NSA en de Britse GCHQ. In dit artikel geven we een overzicht van de belangrijkste onthullingen die relevant zijn voor gebruikers van Apple-producten. Daarbij lees je op hoofdlijnen op welke wijze er wordt gespioneerd in de cloud, in dataverkeer en op iPhones, iPods touch en iPads, maar ook wie er door de spionage geraakt worden en hoe je jezelf daartegen kunt proberen te beschermen.
Het programma waar in de loop der tijd waarschijnlijk de meeste aandacht naar uit is gegaan is PRISM. In het kader van PRISM kan de NSA zich toegang verschaffen tot de gegevens van gebruikers die zijn opgeslagen bij de grote Amerikaanse technologiebedrijven. Hoe lang de NSA deze mogelijkheid al heeft verschilt per bedrijf. Terwijl Microsoft de NSA in september van 2007 al toegang bood, kreeg de NSA pas toegang tot Apple’s diensten in oktober 2012, een jaar na de dood van Steve Jobs.
Het PRISM-programma biedt de NSA en gelieerde veiligheidsdiensten de mogelijkheid om bijvoorbeeld e‑mail, chats en VoIP onversleuteld in te zien. Daarnaast kunnen bepaalde gebeurtenissen zoals het inloggen, versturen of ontvangen van een e‑mail, aanleiding zijn om daarover real-time notificaties naar de NSA te sturen. De mogelijkheden zullen per technologiebedrijf verschillen, maar het is aannemelijk dat in het geval van Apple bijvoorbeeld gegevens van gebruikers uit alle onderdelen van iCloud opvraagbaar zijn.
Een element van het PRISM-programma waar initieel veel om te doen is geweest is de vraag of de NSA directe toegang heeft tot alle relevante gegevens van de Amerikaanse technologiebedrijven, of dat de technologiebedrijven deze op individuele basis op basis van een gerechtelijke machtiging aan veiligheidsdiensten verstrekken. De technologiebedrijven ontkenden in sterk op elkaar lijkende bewoordingen dat de NSA directe toegang zou hebben tot hun systemen en benadrukten dat toegang tot gegevens alleen werd verleend op basis van een daartoe strekkende machtiging. Uit documenten die sindsdien zijn gelekt komt het beeld naar voren dat op basis van een beperkt aantal algemeen geformuleerde machtigingen, van de in het geheim opererende FISA-rechtbank, de gegevens van alle personen mogen worden opgevraagd die geen Amerikaanse staatsburger zijn en die zich op dat moment niet in de Verenigde Staten bevinden.
De vraag of de technologiebedrijven veiligheidsdiensten directe toegang tot hun systemen verlenen is in de loop der tijd echter van minder belang geworden, omdat is gebleken dat GCHQ en de NSA ook op andere manieren toegang kunnen krijgen tot de gegevens van gebruikers in de cloud. De veiligheidsdiensten blijken zich namelijk ook zonder medewerking van de technologiebedrijven toegang te verschaffen tot het veelal onversleutelde verkeer tussen datacenters, door taps te plaatsen bij de telecommunicatieproviders van de technologiebedrijven.
In antwoord op deze onthulling maken steeds meer technologiebedrijven bekend dat ze hun interne verkeer ook gaan versleutelen, zodat deze niet meer onversleuteld kunnen worden afgetapt bij de telecommunicatieproviders.
-Auteur: Paul Pols
