Nieuws

Hoe de FBI en de CIA je mails lezen

Generaal David Petraeus, voormalig hoofd van de Amerikaanse inlichtingendienst CIA heeft zijn ontslag ingediend nadat hij betrapt werd op een buitenachtelijke affaire. Wat hem de das omdeed was zijn gebruik van Googles online maildienst Gmail.

Dit zorgde er niet alleen voor dat de voormalige CIA-baas in nauwe schoentjes kwam, maar heeft ook het debat geopend over hoe, wanneer en waarom overheden en ordehandhavers de mogelijkheid hebben om burgerlijke emailaccounts te lezen. Zelfs als ze aan het hoofd staan van ’s werelds machtigste inlichtingenorganisatie.

Als je je er beter bij voelt, de kans is klein dat een buitenlandse overheid je zal afluisteren. Het is veel waarschijnlijker voor de gemiddelde persoon (dus niet voor terroristen en vliegtuigkapers) dat in je mailaccount wordt ingebroken door een vreemde die je zwak wachtwoord misbruikt of een ex met wraakgevoelens.

Vergeet Echelon of de onderschepping van communicatie via zwarte dozen die verdoken in datacenters staan. Inlichtingendiensten en ordehandhavers kunnen door de opkomst van interentdiensten makkelijk aan je email. Maar het is niet zo Jack Bauerachtig als je hoopt.

De makkelijkste manier om in iemand zijn mailbox te gaan neuzen verloopt via de rechtbank. (Sorry om je illusies te doorprikken, maar het is waar.)

Het trucje met ‘concept opslaan’

Petraeus heeft een privé-account opgezet onder een pseudoniem en heeft er mails mee opgesteld maar nooit verstuurd. Hij heeft ze enkel opgeslagen als concept. Zijn liefje, Paula Broadwell, zou inloggen op dezelfde account, de mail lezen en antwoorden zonder ooit echt een mail te versturen. Het netwerkverkeer zou niet doorheen de datacenters van Google vliegen waardoor de transmissie afluisteren zo goed als onmogelijk wordt.

En ja, van terroristen en pedofielen is bekend dat ze deze truc gebruiken, maar ook gesofistikeerde criminelen doen eraan mee. Het elimineert netwerkverkeer tot op zekere hoogte, waardoor het moeilijker wordt om te traceren.

Maar er worden toch IP-adressen genoteerd? Als er mails verstuurd worden wel, maar concepten worden niet verzonden. Google kan nog wel bijhouden welke IP-adressen in het account inloggen.

De meeste internetproviders voorzien dynamische IP-adressen die na een tijd veranderen en een IP-adres verwijst dus niet steeds naar dezelfde computer of naar dezelfde regio. En zelfs als je het fysieke adres van een IP-adres vindt, is de kans groot dat de rechtbank dat verwerpt wegens te grote onzekerheid.

Zoals zo vaak kan een menselijke fout iemand in het gerechtelijke vizier brengen. De 37 jarige Jill Kelley uit Florida, een vriend van de familie Petraeus kreeg mails van een anonieme account met de waarschuwing uit de buurt te blijven van de CIA-baas. Mails die van Petraeusliefje Broadwell kwamen.

Maar toen Broadwell deze boodschappen verstuurde, heeft ze kleine fragmentjes gegevens aan de e-mail toegevoegd. Elke mail die je stuurt draagt extra gegevens mee. De eerste stap voor de FBI richting kantoor van Petraeus.

Gerechtelijk bevel, gericht aan Google

Er is niet zoiets als een anonieme e-mail en hoe hard je ook probeert om de inhoud van je mail te versleutelen, er worden altijd kleine fragmenten gegevens toegevoegd door mailservers en messangingdiensten. Dat is hoe mail werkt en het is onvermijdelijk.

Elke verstuurde mail heeft communicatiegegevens, metadata. Dat zijn deeltjes infoe die het adres van de bestemmeling en de verzender bevat en zelfs routinggegevens zoals elk IP-adres van elke computer die het tegenkomt: die van de verzender en elke server die de mail behandelt. Het is niet moeilijk om die metadata te vinden. In feite kan iedereen dat doen. Maar je hebt wel de wettelijke tools nodig om vast te stellen waar een e-mail is behandeld en of dat in de VS was.

E-mail lijkt verrassend hard op het postsysteem, vooral als het op metadata aankomt. Je kan de enveloppe verzegelen en geheimhouden wat er verstuurd wordt. Maar er staat wel een stempel op die zegt waar de brief gepost is. En er staat ook op waar de brief heen gaat. Er staan misschien zelfs vingerafdrukken op. Al die info op de enveloppe is de metadata.

Dat gezegd zijnde, zelfs als je een nieuw Gmail-account aanmaakt zoals ikbeneenanoniemeafzender@gmail.com, dan kan je nog steeds zien dat het over een gmail-account gaat. Soms is boerenverstand het enige wat je nodig hebt.

Enkel Google heeft toegang tot de mails van dat account. Omdat het een privébedrijf is, moeten de overheidsdiensten nog steeds een gerechtelijk bevel hebben als ze die mails willen zien.

In dit geval zou de Amerikaanse wet Foreign Intelligence Services Act (FISA) en zelfs de Patriot Act niet van toepassing zijn. Die staat de FBI en andere agentschappen toe om emails te doorzoeken. Maar dit geval valt onder de privacywetgeving van digitale communicatie, de Stored Communications Act.

Die laatste wet staat toe dat elektronische gegevens mogen gelezen worden als ze jonger zijn dan 180 dagen. Daarna moet er gerechtelijke toestemming zijn. En in dit geval ging het zo. De FBI kreeg het gerechtelijk bevel dat toegang gaf tot de anonieme mailaccount.

En dat is hoe het gaat. Het maakt niet uit hoe je ernaar kijkt en het maakt niet uit hoe erg de overheidsdiensten de gegevens willen, ze moeten altijd een gerechtelijk bevel halen.

Petraeus is niet anders dan eender welke burger in de VS of daarbuiten. Het komt allemaal neer op een gerechtelijk bevel en zo eenvoudig is het. Het is niet Echelon of een aflevering van 24 met hacktechnieken. Het is een namiddag in een stoffige rechtszaal met een minstens half werkende rechter.

Ongelimiteerde toegang tot de inbox van een account krijg je niet zomaaar. Er moet al sprake zijn van een misdaad en enige aanwijzing zijn dat de ordehandhavers de mails moeten nakijken. De overheid kan niet zomaar door je mails lopen om te zien wat je denkt of wat je plannen zijn.

Buiten de VS: is het ‘maar’ een gerechtelijk bevel?

De VS kan zijn eigen wetten niet doen gelden buiten zijn landsgrenzen. Brute pech, want als je een Europeaan bent met een account bij Microsoft, Yahoo, Google of Apple, dan is die account wel toegangkelijk voor Amerikaanse rechtbanken door verschillende wetten.

Het is ook de moeite waard om een aantal misvattingen over de Patriot Act de wereld uit te helpen. Er leeft het idee dat die wet de Amerikaanse overheid zowat alle privacy-inbreuken toelaat waar het zin in heeft.

  • Mythe: De Patriot Act is een toverstaf die de VS onbeperkte toegang verstrekt tot alle gegevens, altijd en overal. Onwaar.
  • Mythe: De Patriot Act geeft de Amerikaanse overheid eerder ongeziene toegang tot gegevens van Amerikaanse bedrijven waar ze zich ook in de wereld bevinden. Onwaar
  • Mythe: Alle landen hebben vergelijkbare wetten die autoriteiten de middelen geven om gagavens op clouddiensten te bekijken, onderzoeken en terreurdaden voorkomen. Onw… eigenlijk vrij waar

De Patriot Act is geen blanco cheque tot data buiten de VS. Enkel, de rechtbanken die de bevelen geven om data vrij te geven, houden hun zittingen achter gesloten deuren. Dus zijn er geen gegevens beschikbaar. En je kan dus ook niet echt weten of de autorieten netjes wachten op een bevel of ze gewoon hun zin doen.

Zowat elk ander land heeft wetgeving zoals de Patriot Act in de VS. In België en Nederland zijn die gebaseerd op adviezen van de EU.

Maar voor de meeste clouddiensten voor e-mail is de VS bevoegd. Gewoon omdat de meeste diensten Amerikaans zijn. Ondanks buitenlandse wetten die proberen gegevens van niet-Amerikanen te beschermen.

De les die je kan trekken? We hebben allemaal even veel boter op het hoofd en geen enkele betaalbare plaats  is veilig om je info op te slaan als je een grote crimineel bent of als je iets te verbergen hebt voor de overheid.

En wat Petraeus betreft, hij kon voorzichtiger zijn met zijn antiterreurkennis en slimme trucjes, maar uiteindelijk was er een zwakke schakel in zijn beveiligingsketen. En hoe goed je je sporen ook wil bedekken, je struikelt altijd over een of twee dingen: menselijke fouten en/of seks.

businessciafbiinternetitprofessionalnieuwsoverheidpetraeusprivacy

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken