Wat ziet de vlieg op de muur allemaal? Dit weten we nu over de NSA-spionage
© THINKSTOCK

Wat ziet de vlieg op de muur allemaal? Dit weten we nu over de NSA-spionage

Sinds Edward Snowden begon te lekken over de Amerikaanse inlichtingendienst NSA, tuimelen de onthullingen over elkaar heen. Ook maandag was het weer raak, met onthullingen over de 1,8 miljoen afgetapte telefoontjes per maand in Nederland. Wat weten we inmiddels over de NSA? En hoe erg is het? Een tussenstand.

 
Jullie overleven hangt van Mij af. Want Ik zorg voor Veiligheid. Om de vijand te verslaan moet je kennis hebben van de vijand. Ik ben die Kennis.
Koperen plaat bij NSA-kantoor

Spionage is van alle tijden. Waarom is er pas de laatste tijd zo'n ophef over?
Veel aan de NSA is geheim, maar de afluisterdienst verraadt zijn bedoelingen. Op een kleine koperen plaat vlak bij het NSA-kantoor. Daar staat een boodschap, kennelijk bedoeld voor Amerikaanse lezers: 'Jullie overleven hangt van Mij af. Want Ik zorg voor Veiligheid. Om de vijand te verslaan moet je kennis hebben van de vijand. Ik ben die Kennis.' Zo zien de jongens van de NSA zichzelf graag. Inclusief de hoofdletters. Kennis.

Vroeger vertaalde dat parmantige motto zich in pogingen het morseverkeer tussen Russische onderzeeërs en hun thuisbasis te onderscheppen of de gecodeerde berichten tussen Moskou en Havana te ontcijferen. Maar de vijand is veranderd. De vijand schuilt tegenwoordig overal - en als iedereen de vijand kan zijn, is elk bericht een bron van kennis. Nu zijn de Amerikanen op zoek naar welk bericht van wie ook, waar ook ter wereld.

Die geïnstitutionaliseerde paranoia was bij de buitenwereld allang bekend - in elk geval sinds de onthulling van het Echelon-programma in de jaren negentig. Daarmee probeerden de Amerikanen en een handvol bondgenoten alle telefoontjes en e-mailtjes op te vangen die via satellieten overzee werden gestuurd. De ontdekking leidde tot grote verontwaardiging, vooral in Brussel, en tot een lijvig rapport waarin de Amerikanen en hun Britse partners in crime, de GCHQ, de wacht werd aangezegd.

Het belangwekkende rapport verscheen op 5 september 2001. Een week later lag het in de prullenbak.

Sinds 11 september heeft de NSA pas echt werk gemaakt van zijn rol als informatieverzamelaar, weten we door de onthullingen van Edward Snowden. De onthulde programma's buitelden de afgelopen maanden over elkaar heen, met namen als Prism, Marina, TrafficThief, Xkeyscore, Fairview. De NSA wil echt alles weten. Bij een bezoek aan Groot-Brittannië gaf NSA-baas Keith Alexander een inkijkje in zijn denkwereld. 'Waarom kunnen we niet voortdurend alle signalen verzamelen?', vroeg hij zich af.

'Ik moet eerlijk zeggen: wat er in de zomer naar buiten kwam, was een bevestiging van wat we al wisten', zegt Europarlementariër Sophie in 't Veld, een veteraan in de strijd voor behoud van burgerrechten. 'Maar ik wist niet dat het zo gigantisch was. Ik krijg een beeld van een systeem dat totaal op hol is geslagen. Er zit geen rem meer op.'

 
Ze kunnen luisteren naar welke e-mails ze maar willen, welk telefoontje dan ook, internetgeschiedenis, Word-documenten.
Klokkenluider Edward Snowden

Hoe verzamelt de NSA al die informatie?
Om zo veel mogelijk communicatie te verzamelen - van e-mails tot zoekopdrachten op internet, van telefoontjes tot tweets - gebruikt NSA de sleepnetmethode. Alles wat op een bepaalde plek in zee zwemt, wordt eerst aan boord gehesen en vervolgens geselecteerd: alleen de bruikbare vissen worden meegenomen.

Uit de documenten die de afgelopen maanden door Snowden naar buiten zijn gebracht, blijkt dat de inlichtingendiensten hier grofweg twee methoden voor hebben. De eerste manier is om het net uit te gooien bij de servers waar de gegevens worden opgeslagen. De tweede manier is om de data op te vangen wanneer ze voorbij stromen in glasvezelkabels. Dat zijn complementaire methodes, schrijft de NSA zelf in het door Snowden onthulde cursusmateriaal voor zijn cyberspionnen. 'Je moet ze allebei gebruiken.'

Het programma Prism, dat als eerste door Snowden werd verklapt, mikt vooral op de servers waarop data wordt opgeslagen. De NSA heeft namelijk toegang tot de computers van Amerikaanse bedrijven als Google, Microsoft, Yahoo, Facebook en Apple. Een zoekopdracht, een skypegesprek, Facebook-pagina's: alles is in principe voor de NSA toegankelijk. Hoe vaak de NSA iets van de servers aftapt weten we alleen niet. Er bestaan geheime wetten waaraan deze bedrijven moeten gehoorzamen - en onderdeel van die wet is dat ze niet verklappen waaraan ze precies moeten gehoorzamen.

Minder bekend is het programma Xkeyscore - het bestaan ervan werd in augustus onthuld, toen de halve wereld op vakantie was. En na Prism leek het geen nieuws meer. Maar Xkeyscore doet iets wezenlijk anders: het is een programma waarmee live gegevens kunnen worden opgevist uit glasvezelkabels, om te worden afgevoerd en later te worden geanalyseerd. Xkeyscore kan dingen die Prism niet kan: e-mail analyseren, bijvoorbeeld, en ál je internetverkeer vastleggen. De Britten hebben een vergelijkbaar programma.

'Ze kunnen luisteren naar welke e-mails ze maar willen, welk telefoontje dan ook, internetgeschiedenis, Word-documenten', zei Snowden in een interview met Guardian-journalist Glenn Greenwald.

Maar zo simpel zal dat niet zijn, en zeker niet goedkoop, zegt Cees de Laat, hoogleraar Systemen en Netwerken aan de Universiteit van Amsterdam. Het internet bestaat uit tienduizenden afzonderlijke netwerken, die allemaal op verschillende manieren aan elkaar gekoppeld zijn. Omdat je niet weet welke route een mailtje kiest, zou de NSA, om alle mailtjes op te vangen, alle routes moeten controleren. Er is niet één punt waar alles samenkomt.

Er zijn wel kruispunten waar veel samenkomt - bijvoorbeeld mailtjes die van de ene naar de andere provider moeten. Eén daarvan is de Amsterdam Internet Exchange, die een kwart van alle Nederlandse e-mailtjes ziet passeren. Dit kruispunt wordt door een paar honderd glasvezelkabels met de rest van Nederland en de wereld verbonden. Als de Exchange niet meewerkt met de geheime dienst (en daar hebben ze geen enkele reden toe) dan moet de NSA op honderden plekken een soort spiegeltje aan de vezels plakken om de lichtsignalen te kopiëren. 'Dat is op zich niet onmogelijk, maar je moet er wel op al die plekken de straat voor openbreken', zegt Henk Steenman, de technische man van de Amsterdam Internet Exchange.

Daarnaast heb je ook nog rechtstreekse verbindingen van provider naar provider, buiten de kruispunten om. Het is onwaarschijnlijk dat al die kabels worden afgetapt, maar op sommige plekken gebeurt het wel degelijk. De Amerikanen laten in hun Xkeyscore-presentatie trots honderdvijftig rode stippen zien, verspreid over de wereld. Naar eigen zeggen vangen ze daar de verkeersstromen van een paar honderd servers op.

Daarnaast hebben de NSA en de GCHQ zich geworpen op de dikke onderzeese kabels tussen de continenten, waar bijzonder veel verkeer doorheen gaat. De Britten zouden tweehonderd van deze kabels onder controle hebben, waarvan ze er op enig moment een stuk of vijftig tegelijk kunnen afluisteren - dat komt neer op een paar honderd Koninklijke Bibliotheken aan langsstromende gegevens per dag.

 
We hebben een hooiberg nodig om de naald te vinden.
NSA-directeur Keith Alexander

Hoe schept de NSA orde in de chaos?
Het gaat om veel data, heel veel data, te veel data. De stroom is bijna niet te hanteren, erkent de NSA ook zelf. De e-mailtjes en internetpagina's die de Amerikanen en Britten van de kabels opvissen, blijven maximaal drie dagen bewaard; daarna bewaren ze de metadata (wie met wie mailde of belde, en wanneer) een maand. Na die periode worden alleen de belangrijkste resultaten opgeslagen. Het is dus niet zo dat alle communicatie van iedereen, waar ook ter wereld, eeuwig in de systemen van de NSA blijft hangen (wel in die van Google en Facebook).

In die drie dagen moeten de belangrijke vissen dus van de bijvangst worden gescheiden. Dat leverde de NSA in maart 2013 wereldwijd 97 miljard 'stukjes informatie' op. Stel dat een gemiddelde internetgebruiker in een dag dertig keer mailt of iets op internet opzoekt, dan komen die stukjes neer op ongeveer 100 miljoen gebruikers. Dat is veel, maar niet de hele wereld.

Overigens kwamen de meeste stukjes informatie in die periode uit Iran, Pakistan en Jordanië. In Duitsland onderschepte de NSA in een maand tijd 500 miljoen gegevens, in Nederland zo'n 5 miljoen. Dat laatste zou, volgens bovenstaande natte-vingerschatting, neerkomen op zo'n vijfduizend gevolgde Nederlandse internetgebruikers.

Vervolgens moet de NSA orde in die chaos zien te scheppen. Een gerichte zoektocht via bijvoorbeeld een naam of een e-mailadres levert het meeste op. Daarmee kan in kaart worden gebracht wie met wie belt of mailt, waarna via een netwerkanalyse kan worden gevonden wie de spin in een bepaald web is. Ook de onthulling van The Washington Post deze week, dat de NSA adresboeken uit mailprogramma's vist, past daarbij. 'Daaruit kunnen mensen opduiken die je nog niet scherp in beeld had', zegt Arno Siebes, hoogleraar datamining aan de universiteit van Utrecht. 'Dat is een nuttige manier om data te analyseren.'

Maar steeds vaker zoekt de NSA ook zonder te weten wat er wordt gezocht. 'We hebben een hooiberg nodig om de naald te vinden', zei NSA-directeur Keith Alexander onlangs, als rechtvaardiging voor zijn speurwerk. In de cursusdocumentatie voor onlinespionnen staat het zo: 'We kunnen het dataverkeer gebruiken om anomalieën te detecteren.'

Op zoek naar rare dingen dus. Dat kunnen alle mensen zijn die Duits spreken in Pakistan, of iedereen in Somalië die zijn e-mail versleutelt. Volgens Siebes is het nut daarvan twijfelachtiger. 'Mensen die kwaad willen weten echt wel welke woorden ze moeten omzeilen. Die gaan het over pompoenen hebben in plaats van bommen. Je moet alleen oppassen dat je geen rare woorden kiest. Als je het heel vaak over pompoenen hebt, gaat dat opvallen.'

De NSA weet zelf ook dat het sleepnet niet altijd even effectief is. Daarom probeert de organisatie steeds vaker gericht bij computers binnen te komen van mensen die ze interessant vinden. Met 'botnets', een techniek die hackers ook gebruiken, wordt in de computer meegekeken naar alle communicatie van het slachtoffer. Ook de GCHQ ging zo te werk, bij de onlangs onthulde infiltratie bij het Belgische telecombedrijf Bel- gacom. De route zou een opmaat zijn geweest om in smartphones van bijvoorbeeld Europarlementariërs binnen te dringen.

De NSA zegt met XKeyscore driehonderd terroristen-in-de-dop te hebben gevangen. Ook Ronald Plasterk, minister van Binnenlandse Zaken, zei woensdag tijdens een kamerdebat dat hij het om die reden niet erg vindt als de NSA Nederlanders bespioneert. 'Ik wil dan ook wel oppassen om in het woordgebruik bijvoorbeeld te zeggen: ja maar, er mag nooit naar Nederlandse burgers worden gekeken. Want die Nederlandse burger kan natuurlijk een keiharde terrorist zijn.

In 't Veld vindt die houding 'naïef' en 'zorgwekkend'. 'Voor een deel gaat het heus om veiligheid, maar voor een veel groter deel is het schijnveiligheid, en dan heb je ook nog eens economische en politieke spionage. En dat gebeurt allemaal met geheime budgetten, met geheime wetten die getoetst worden door geheime rechtbanken. Daar kun je toch niet zo mee instemmen?'

Wat doen landen om deze spionage tegen te gaan?
In Brazilië, waar deze zomer bleek dat zelfs presidente Dilma Rousseff en de nationale oliemaatschappij Petrobras waren afgeluisterd, pakken ze het voortvarender aan. Daar wordt over twee weken een nieuw e-mailsysteem operationeel, dat de NSA buiten de deur moet houden.

In Brussel is wel iets van een democratisch proces op gang gekomen, maar dat wordt er een van het stroperige soort. Maandag stemt het Europees Parlement over een nieuwe Europese richtlijn die de gegevens van Europese burgers beter moet beschermen. Zo zouden de data die nu door bedrijven als Apple en Google naar de andere kant van de oceaan worden gebracht, hier moeten blijven. 'We zijn de controle verloren over onze informatie', zei Jan Philipp Albrecht, de Duitse Europarlementariër die het wetsvoorstel voorbereidt. 'We moeten die terughebben.'

Europa wil wel, maar zo'n voorstel moet ook door de lidstaten worden bekrachtigd - waaronder landen die nu maar al te graag meewerken met de Amerikanen. Zoals het Verenigd Koninkrijk, met zijn GCHQ. En zoals Nederland, waar juist wordt gewerkt aan een nieuw 'gezamenlijk loket voor informatie-uitwisseling en samenwerking op het gebied van cyberactiviteiten met buitenlandse collega-diensten', zo blijkt uit het jaarverslag van de Militaire Inlichtingen- en Veiligheidsdienst (MIVD).

Wat nou als ik per se niet wil worden bespioneerd?
Voor de particuliere internetter die zich zorgen maakt, zit er niets anders op dan e-mails voortaan te versleutelen. En dan maar hopen dat de NSA dat niet verdacht vindt.

Dit artikel verscheen dit weekend in het Volkskrant-katern Vonk.