Het PRISM-programma van de Amerikaanse NSA lijkt een reeks gespecialiseerde "deep packet inspection"-filters te zijn, gecombineerd met reeds bestaande afluisterpunten bij internetbedrijven in de Verenigde Staten. Sinds de onthulling van het programma afgelopen weekend, is de media de speculatie niet schuw gebleven: over hoe ver dit programma reikt, en wie wat doet om deze nachtmerrie van een surveillancestaat mogelijk te maken. Alles in acht genomen, lijkt het dat de sociale techbedrijven niet vrijwillig bulkdata naar de Amerikaanse overheid sturen, maar dat maakt de situatie niet beter voor jou, als eindgebruiker.Afgelopen weekend kwam – nee, ontplofte – het nieuws dat de NSA negen internetbedrijven als "providers" voor af te luisteren data gebruikten. Onder die bedrijven zaten Microsoft, Hotmail, Skype, Apple en Facebook – daar is weinig verrassends in te vinden, activisten in landen met een repressief regime zeggen "Use once, die once" over Skype – maar ook bedrijven als Google en Gmail. Dit zorgde voor een hoop verontwaardiging en woede.
Het idee dat de bedrijven die je vertrouwt met je meest waardevolle privédata die data volledig overdragen naar Stasi-equivalenten was ongelooflijk kwaadaardig en cynisch. Wanneer het nieuws bekend werd, hadden de bedrijven in kwestie PR-technisch waarschijnlijk nog liever dat ze in het nieuws kwamen met iets zoals levende kinderen opeten.
De indruk dat bedrijven een actieve rol spelen in het leveren van privédata aan de NSA, werd versterkt door de precisie van de presentatie – dat er data waren met wanneer elk bedrijf zich, ogenschijnlijk, vrijwillig bij het surveillanceprogramma had gevoegd.
Dat de bedrijven in kwestie – eerst via perswoordvoerders met hun gepolijste facade, en later de CEO's – snel de aantijgingen omtrent de NSA ontkenden, was de onvermijdelijke stap die volgde. Maar dit is waar zaken interessant werden. Hoewel de eerste gepolijste facade nauwelijks geloofwaardig was, kwamen de CEO's over als verrast, open, en oprecht.
Tot nu toe, zijn er drie partijen in dit verhaal: de NSA met hun gelekte slides die de negen bedrijven als dataleveranciers noemen, de media die erover rapporteren, en de bedrijven die elke actieve rol in de spionagepraktijken van de NSA ontkennen. De eerste gedachte is dat minstens één van die partijen moet liegen. Maar het is mogelijk dat geen enkele partij liegt. Waarschijnlijk zijn de slides van de NSA legitiem, waarschijnlijk hebben de Washington Post en The Guardian geen samenzweringscomplot om dit te verzinnen, en de reactie van de bedrijven klinkt geloofwaardig. Hoe is dit mogelijk?
Op dit moment, zijn er drie mogelijkheden in wat PRISM precies is:
1: Internetbedrijven sturen de NSA privédata automatisch, volledig en/of op verzoek. Dit was de eerste indruk van de slides en de artikelen van The Guardian en The Washington Post, gecombineerd met het woord "provider" van de NSA om de negen bedrijven te benoemen.
2: De NSA luistert real-time een aantal sleutelpunten af op het internet, en hebben gespecialiseerde, real-time filters om informatie te verzamelen wanneer mensen de diensten van deze negen bedrijven gebruiken. We kennen de fiber split box al bij AT&T, we weten van Echelon, en we weten van minstens één gerechtelijk bevel richting Verizon. Het feit dat het internet afgeluisterd wordt door inlichtingendiensten is alom bekend. Hoe die data echter gebruikt en geanalyseerd wordt, dat niet.
Er is ook een derde mogelijkheid, te weten het conventionele gerechtelijk bevel om privédata van een gebruiker af te staan. Dit is wat de speculatie van de New York Times is over het PRISM programma:
3: Wanneer ze een gerechtelijk bevel ontvangen, handelen bedrijven conform de wet en geven ze de wettelijk vereiste informatie, maar niet meer dan dat. Dit is al een tijdje het geval, en stamt van ver voor het digitale tijdperk.
Van deze drie mogelijkheden, zijn waarschijnlijk 2 en 3 waar. Mogelijkheid 1 niet. Dit is waarom:
Wanneer de CEO van Google en de Chief Legal Officer gezamenlijk een blogpost publiceren met de naam "What the Fuck?", is er een sprake van een oprecht en verrast element. Wanneer ze hun reactie verwoorden op een manier die geen loopholes op wat voor manier dan ook achterlaat,
"Press reports that suggest that Google is providing open-ended access to our users' data are false, period."
…dan komt dat over als een oprecht feit. Dus, om alle mogelijkheden af te gaan, kan het zijn dat ze zonder het te weten alsnog liegen – is het mogelijk dat een willekeurige systeembeheerder een geheime brief van de NSA heeft ontvangen, en verplicht was om mee te werken aan een grootschalig afluisterproject? Is het mogelijk dat de CEO er helemaal niet vanaf weet? Simpel gezegd, nee. Nee. Dat is echt onmogelijk, gezien de hoeveelheid data en patronen wat over en weer verstuurd zou moeten worden.
Ten tweede, verdient deze nu beruchte presentatie van de NSA wat extra aandacht:
De 41-slides-tellende presentatie wordt blijkbaar gebruikt om het PRISM-programma te introduceren bij mensen binnen de NSA. Als bedrijven vrijwillig de volledige privédata overdragen volgens de eerdergenoemde mogelijkheid 1, dan is deze slide – die de wereldwijde bandbreedte en routingpaden toont – compleet irrelevante ruis in de presentatie. Echter, als mogelijkheid 2 waar is, dan is deze specifieke slide onmisbaar om te begrijpen hoe en waarom het programma werkt. Je kunt geen goed gebruik maken van de data-analyse zonder de beperkingen te begrijpen van hoe data verzameld wordt – en deze slide beantwoordt die vraag perfect, al dan niet op een hoog niveau.
Dit brengt ons tot de volgende conclusies:
– De FISA-bevelen die inzage eisen in specifieke informatie over specifieke gebruikers zijn niet gerelateerd aan PRISM. Ze bestaan, maar zijn verder niet relevant.
– De negen bedrijven die genoemd worden als "providers" hebben niet de actieve rol gespeeld die de naam impliceert, of überhaupt een actieve rol gespeeld.
In conclusie,
PRISM schijnt een analysemethode te zijn om al het internet af te tappen waar we al van wisten, een methode die zich specifiek richt op dataverkeer van en naar de negen genoemde bedrijven.
Dit is natuurlijk ook slechts speculatie op basis van de momenteel beschikbare informatie, maar het is de manier waarop alle stukjes van de puzzel tot zo ver schijnen te passen.
De eerdere conclusies dat privacy op dit moment je eigen verantwoordelijkheid is, en de gevaren van het gebruik van een gecentraliseerde dienst, dat blijft het geval helaas. Deze diensten zijn schijnbaar niet medeplichtig aan afluisterprogramma's van de Amerikaanse overheid. Maar, actief of niet, de belangrijkste boodschap is dat je nog steeds afgeluisterd wordt. Je wordt nog steeds afgeluisterd wanneer je deze diensten gebruikt, ongeacht van wie nu precies daadwerkelijk luistert, wie meewerkt, en wie niet.
Tot op zekere hoogte, kan versleuteling van data helpen om de situatie te verlichten. Maar weet je hoe je al je verkeer en data moet versleutelen? Doe je dat ook? Als het antwoord nee is, dan wordt je sociale leven gearchiveerd bij de hedendaagse Stasi. (Wist je dat Stasi een Duitse afkorting is voor Ministerium für Staatssicherheit, wat letterlijk vertaalt naar National Security Agency?) En dat is waarom de Piratenpartij hard nodig is in de regering. De komende week zullen we ook diverse howto's plaatsen in hoe je je data kunt versleutelen.
Mogelijkheid 3 is wat hier http://www.thedailyshow.com/watch/mon-june-10-2013/good-news–you-re-not-paranoid—nsa-oversight zo mooi beschreven wordt. Officieel is er een rechtelijke toets (alleen voor afluisteren van US-burgers overigens), maar dat lijkt wassen neus te zijn.
Voor meer achtergrondinfo, lees het artikel over ECHELON, de Nederlandse PRISM