‘Stel, ik ben een activist in Saoedi-Arabië. Wat moet ik doen om me te beschermen tegen spyware?’
Sociale media, hackers en algoritmes: tech-journalist Gerard Janssen legt in deze rubriek uit waar het botst met mensenrechten. Deze keer: chaos tegen spyware.
Tussen Kerst en Oud en Nieuw 2022 bezocht ik in Berlijn de hackersconferentie Hacking In Parallel. Een paar honderd hackers verzamelden zich in een theaterschool naast C-Base – ‘die Raumstation unter Berlin’. C-Base is zogenaamd een neergestorte vliegende schotel onder de grond. Het interieur is dat van een ruimteschip, met een eigen fantasietaal.
Ik bezocht op de conferentie een lezing van Duitse onderzoekers die telefoons van journalisten en activisten inspecteren om te onderzoeken of die besmet zijn met surveillance software. Het bekendste voorbeeld van dergelijke malware is Pegasus van het Israëlische bedrijf NSO Group. Maar er zijn er meer. De software van NSO is in staat om een mobiele telefoon te besmetten zonder dat de eigenaar iets hoeft te doen. ‘Zero click’ noemen ze dat. Vanaf dat moment is je telefoon een afluisterapparaat, geo-tagger en spy-camera.
Maliënkolder
De lezing was een opsomming van technieken om te achterhalen of er ‘iets geks’ op je telefoon stond.
Na afloop sprak ik een van de onderzoekers.
Stel, ik ben een activist in Iran of Saoedi-Arabië, wat moet ik doen? Wat kan ik doen om mezelf te beschermen tegen dit soort spionagesoftware?
Hij haalde zijn schouders op.
Niks eigenlijk.
Ik vroeg hem naar de hoesjes waar sommige mensen hun telefoon in doen. Een soort maliënkolder.
De onderzoeker uit Berlijn merkte op dat dat de telefoon afsluit van wifi en bluetooth, maar dat de microfoon nog gewoon geluid kan opnemen. Die opname kan dan misschien niet real time afgeluisterd worden, maar wel opgenomen en later alsnog verstuurd. En daarbij: als je je telefoon de hele tijd in een afgesloten envelop bewaart, waarom neem je hem dan mee?
Als je echt een doelwit bent, kom je ook zonder telefoon wel in beeld. Letterlijk. Overal hangen camera’s. Het Israëlische bedrijf Toka verkoopt software waarmee het mogelijk is om camera’s die in de buurt zijn te hacken, en zelfs de opname te veranderen, zoals in de film Ocean’s Eleven. Toka is mede-opgericht door Ehud Barak, voormalig premier van Israël. Een van de adviseurs is Yaakov Frenkel, oud-voorzitter van de Amerikaanse banken JPMorgan Chase en Merrill Lynch.
Bizarre woorden Googlen
Bovendien is er het gevaar van advertenties. Via gratis apps worden locatiedata, browsergeschiedenis, en contactenlijsten gedeeld met bedrijven die gerichte advertenties willen sturen. Sommige bedrijven verkopen deze data weer aan overheidsdiensten overal ter wereld. Het is mogelijk om een cirkel te tekenen op een kaart, en te kijken welke telefoons in die cirkel zijn geweest. ADINT wordt dit genoemd, advertisement intelligence.
‘Vroeger ging je wandelen in het park als je discreet iemand wilde spreken. Nu moet je naar de woestijn’, zei een andere onderzoeker tegen me. ‘Ik ga er gewoon van uit dat ik altijd gevolgd kan worden.’
Deze onderzoeker wilde niet precies zeggen hoe hij daarmee omging, maar deelde wel een van zijn tactieken: ‘Heel veel ruis genereren, online veel onzin verkopen in message-apps.’ Zodat de agent die je gegevens binnenhaalt, moedeloos wordt van alle chaos die er op zijn beeldscherm verschijnt.
De moderne variant van ondergronds gaan is bizarre woorden zoeken op Google, doodlopende straatjes in lopen, rare online vrienden maken, gekke filmpjes plaatsen en in een niet-bestaande alien-taal communiceren.
