Een kijkje in de bloeiende commerciële surveillance-industrie

Met de vele ogen die gericht zijn op de spionagepraktijken van nationale inlichtingendiensten, is het makkelijk om de enorme private markt te vergeten die profiteert van spionagetechnologie. Maar met aanvang van de jaarlijkse RSA beveiligingsconferentie in San Francisco is het goed om weer eens een kijkje te nemen.

De particuliere spionage-industrie is een legale en tegelijkertijd schimmige industrie. Ze wordt vaak in één adem genoemd met wapenhandel, maar spionagediensten zijn in feite geen wapens. Hardware- en softwaregereedschap zoals OS exploits, deep packet inspection, interceptietools en data en traffic-analyse kan verkocht en gekocht worden bij internationale wapententoonstellingen. Ze mogen ook verkocht worden aan buitenlandse overheden - waaronder autoritaire regimes.

Particuliere surveillancebedrijven zijn meestal ongelofelijk gesloten over hun producten en aan wie ze die verkopen - voornamelijk omdat ze zichzelf dan zouden saboteren, volgens Eva Galpeen van de Electronic Frontier Foundation.

"Het komt deze bedrijven dan ook goed uit dat ze vaak geheimhoudingsplicht hebben als ze aan overheden verkopen. Dat betekent dat ze in het geniep kunnen blijven opereren, zonder echt verantwoording te hoeven afleggen," aldus Edin Omanovic, onderzoeker bij Privacy International.

WikiLeaks heeft echter recent een aantal stukken gepubliceerd die een kijkje geven in de snode surveillance-industrie. Om hier iets zinvols over te kunnen zeggen, sprak ik Morgan Marquis-Boire, onderzoeker bij Citizen Lab, over hoe de meest interessante en sinistere producten werken.

Een van de engste gadgets op de markt wordt geproduceerd door Gamma Group. Het heet FinFly ISP (Internet Service Provider). Het is een stuk hardware, een soort doos, die traffic scant die door een datacentrum van een ISP stroomt, zoekend naar zijn doelwit.

Als de doos zijn doelwit eenmaal gevonden heeft, wacht die tot diegene een file gedownload heeft. Als dat het geval is, onderschept FinFly de download en injecteert een infectie-app die niet opgespoord wordt. Als het doelwit het bestand opent - die overigens alle soorten data kan zijn - installeert de app zichzelf, waarop een hele rits aan spionage kan worden uitgevoerd. FinFly kan zich ook vermommen als een update van populaire software.

Hetzelfde bedrijf produceert ook FinFisher, een van de meest beruchte spionagetools op de markt. FinFisher heeft de laatste tijd een hoop negatieve aandacht gekregen omdat deze gebruikt werd niet-heel-vriendelijke regimes. De software bestaat uit een aantal tools waarmee onder andere emails, IMs en VoIP-gesprekken onderschept kunnen worden en de webcams en microfoons aan kan zetten op laptops of desktop computers.

Het engste is echter de mobiele component, waarmee een smartphone veranderd kan worden in een live microfoon. Zonder dat iemand het doorheeft. En als dat nog niet erg genoeg was, kan FinFisher bewegingen via GPS tracken. Bovendien werkt het op vrijwel alle soorten telefoons.

Andere spionagebedrijven, zoals HackingTeam, beloven soortgelijke diensten. Volgens het belachelijke promo-filmpje op hun site, biedt de Galileo-software een "Remote Control System" waarmee ze in het geheim computers en telefoons aan kunnen vallen, infecteren en monitoren. Ongeacht de beveiliging. HackingTeam schept zelfs op dat hun software PGP kan omzeilen, naast andere vormen van online communicatie.

De Remote Control System kan geïnstalleerd worden via een CD-Rom (haha!), een USB-stick, of door direct de computer te infecteren. Eenmaal geïnstalleerd, onderschept het systeem toetsaanslagen, emails en geprinte documenten om ze vervolgens door te sturen naar externe servers. De software is compleet onzichtbaar voor gebruikers of antivirus-applicaties.

Vupen Security, een andere grote speler in de industrie, verkoopt een ander soort surveillancesysteem aan overheden en grote bedrijven. Ze adverteren zichzelf als onderzoeksbedrijf in plaats van een cyberwapenproducent en produceren zogenaamde zero-day exploits die gebruik maken van zwakke plekken in bestaande software. Dergelijke exploits helpen "autoriteiten en rechercheurs om toegang te krijgen tot computersystemen om daar onderscheppingssoftware te installeren," volgens het bedrijf zelf.

Er zijn een paar andere vreemde dingen aan de manier waarop het bedrijf zichzelf profileert. De CEO moet bijvoorbeeld nog altijd uitleggen waarom hun software niet bij criminelen of repressieve regimes terecht kan komen. En in een interview met Security Week, rechtvaardigde hij hun verkoop van de software op eenzelfde manier als wapenfabrikanten: ze helpen legitieme overheden en instanties om slechterikken te pakken. Maar als de software eenmaal verkocht is, dan hebben ze verder geen controle meer wat er mee gebeurt.

De documenten op WikiLeaks geven een idee van wat je kan verwachten van private surveillancetechnologie. Het is niet goedkoop. Het totaalpakket FinFisher software gaat bijvoorbeeld voor zo'n $15 miljoen over de toonbank. Daar kreeg Mexico, de klant in kwestie, wel ondersteuning, hardware en zelfs training bij. Maar een budgetversie is ook verkrijgbaar. Voor ongeveer $380,000 kun je al het heertje als dictator.

Voor de instanties die de industrie moeten overzien baart dat zorgen: dit soort technologie bevindt zich in de prijsklasse van kleine dictatortjes die ze kunnen misbruiken tegen oppositie. "De echte waarde van dit soort oplossingen, de waarde van digitale surveillance zelf, is bekend bij dit soort despoten," vertelt Marquis-Boire. Ondanks stricte exportverboden op dit soort software, zijn er al verschillende voorbeelden bekend waarbij FinFisher en soortgelijke producten opduiken op plekken waar ze niet thuishoren. Waaronder de VS.

De bloei van deze industrie leidt nu tot de volgende vraag: Hoe kunnen we het moreel accepteren dat commerciële bedrijven geld verdienen aan onrechtvaardigheid? Het is een vraag waar wapenfabrikanten al eeuwen worstelen, en terecht.

We zijn trouwens nog op zoek naar een redactiestagiar. Interesse? Mail naar alejandrotauber@vice.com, je zal het niet berouwen.