NSA-klokkenluider Edward Snowden reageert op de bevindingen van het Pegasus Project: ‘Als je niets doet om de verkoop van deze technologie te stoppen, krijgen we 50 miljoen doelwitten in plaats van 50.000 doelwitten’.
Edward Snowden: Het is ronduit schokkend, vooral als je weet dat het gaat om 50.000 telefoonnummers van burgers in wellicht een tiental landen. Als doelwitten zien we journalisten, regeringsfunctionarissen, oppositieleden, mensenrechtenactivisten ook. Het is verschrikkelijk. Ik vermoedde natuurlijk al langer dat de surveillancemogelijkheden werden misbruikt. We hebben dat gezien in 2013 (in juni dat jaar verstrekte Snowden journalisten van The Washington Post en The Guardian geheime documenten over illegale spionageactiviteiten van de NSA, nvdr). Maar die praktijken gebeurden uitsluitend in opdracht van regeringen die grotendeels voor zichzelf werkten en zich daarbij lieten ondersteunen door commerciële aanbieders. Het had nog iets legitiems, er waren procedures aan verbonden.
Wat het Pegasus Project onthult, is dat de NSO Group echt representatief is voor een nieuwe markt van schadelijke software. Ze trekken zich niets aan van de wet, ze trekken zich niets aan van regelgeving. Ze verkopen de software aan iedereen die voor hen betrouwbaar is als klant. Ze denken er zo mee weg te komen. Ze zeggen: ‘Wij verkopen alleen maar, we weten niet waarvoor het gebruikt zal worden, wij zijn niet verantwoordelijk. De klant tekent een contract en als men zich daar niet aan houdt, is dat niet ons probleem, maar pleegt men contractbreuk.’
Tegelijkertijd zijn ze al eerder betrapt en betrokken geweest bij andere schandalen. Bij de moord op Jamal Khashoggi bijvoorbeeld. Toen zeiden ze: ‘O, we hebben daar niets mee te maken. We hebben tijdens een onderzoek ontdekt dat onze producten niet werden gebruikt.’ Maar hoe kan dat, als ze niet weten op wie hun klanten zich richten met hun software? Er zijn hier dus slechts twee opties. Ofwel kennen ze iedereen die het doelwit is van hun software. En zijn ze dus medeverantwoordelijk omdat ze het zien gebeuren en niets doen.
Ofwel weten ze niet wie het doelwit was, wat betekent dat hun ontkenning van betrokkenheid bij de moord op Khashoggi een cynische leugen was. Volgens mij is dat werkelijk wat we nu te zien krijgen. Deze hele industrie, die puur voor de winst inbreekt in de software-industrie, is gebaseerd op een leugen. Ze zeggen dat ze het doen om levens te redden, om misdaden te voorkomen, maar hun product wordt elke dag in verschillende landen gebruikt om mensen te bespioneren die geen legitieme doelen zijn.
Kunt u in het kort zeggen wat volgens u de belangrijkste onthulling is van het Pegasus Project?
Snowden: Dat deze spyware overal aanwezig is. Dit is een industrie die niet zou mogen bestaan. We zien nu waar NSO Group toe in staat is, maar dat is slechts een van de vele bedrijven. En als één bedrijf zo stinkt, hoe zit het dan met al die andere? Het Pegasus Project heeft onthuld dat deze sector geen beveiligsproducten maakt, maar wel infecties verspreidt. Die bedrijven bieden geen enkele vorm van bescherming, geen enkele vorm van preventie. Ze maken geen vaccins. Het enige wat ze verkopen is het virus. De bewering dat ze alleen aan overheden verkopen, maakt het er niet beter op, als je kijkt naar wie de doelwitten zijn die net onthuld werden.
Er zijn de voorbije jaren heel wat lekken en onthullingen geweest, waarbij die van u ongetwijfeld de belangrijkste waren. Zijn de bevindingen van het Pegasus Project daarmee te vergelijken?
Snowden: Dit is zeker iets heel belangrijks. Dit is materiaal dat je gewoon niet in handen mag krijgen, en als je er toch toegang toe hebt en het wordt gedeeld, is iedereen bang. Het is zo gevoelig, daar mag niet over geschreven worden. Men zal ook zeggen dat dit niet naar buiten mocht worden gebracht om lopende onderzoeken niet in gevaar te brengen. In dit geval zijn de doelwitten grote kranten en instellingen waar we vertrouwen in hebben. Dergelijke onthullingen, het op zo’n grote schaal bekendmaken van details uit opgeslagen data, hebben we nooit eerder meegemaakt.
NSO Group doet dingen die geen enkel bedrijf ooit heeft gedaan. Ze verkopen geen producten. Ze stoppen mensen in de gevangenis, ze laten ze vermoorden.
U noemde smartphones ooit de ‘spion in je broekzak’. Is dit de bevestiging hiervan?
Snowden: Ik denk dat het eigenlijk erger is. Toen ik zei dat we een spion in onze broekzak hebben, had ik het over de mogelijkheid dat die dingen met het mobieletelefoonnetwerk in contact staan en je locatie traceren – Facebook die je bespioneert, zeg maar. Dit zijn echter grotendeels commerciële programma’s voor commerciële doeleinden. Wat we nu zien, zijn mensen die een industrie creëren om telefoons te hacken. Ze nemen daadwerkelijk volledig de controle over een telefoon en zetten hem in tegen de mensen die hem kochten en ervoor betaalden. Bovendien is het een feit dat deze telefoons klonen zijn. Neem bijvoorbeeld de iPhone. Die maakt overal ter wereld gebruik van dezelfde software. Als ze dus een manier vinden om één iPhone te hacken, kunnen ze ze allemaal hacken. En dat doen ze ook, en dat verkopen ze als een product. Dit is een bewuste, opzettelijke, moedwillige aanval op kritieke infrastructuur waar iedereen op moet kunnen vertrouwen. Het maakt niet uit waar je woont, het maakt niet uit welke taal je spreekt, we maken allemaal deel uit van dit spel.
David Kaye, de voormalige rapporteur voor de mensenrechten bij de Verenigde Naties, zei dat de wereldwijde bewakingsindustrie uit de hand is gelopen. Heeft hij gelijk?
Snowden: Dat is overduidelijk. Surveillance met behulp van privébedrijven bestond ook in het verleden al. Bedrijven maakten afluisterapparatuur en verkochten die aan overheden en politiediensten, die vervolgens een bevelschrift nodig hadden om ze bij iemand te installeren. Zulke operaties zijn moeilijk en duur, dus wordt er alleen gebruik van gemaakt als ze echt nodig zijn en als ze in verhouding staan tot de dreiging die van een situatie uitgaat. Maar als ze hetzelfde kunnen doen van een afstand, met weinig kosten en zonder risico, zullen ze dat voortdurend doen, zelfs als het gaat om mensen die van marginaal belang zijn. Dat is wat die lijst van 50.000 doelwitten laat zien. Je kunt geen 50.000 huizen afluisteren. Er is gewoon niet genoeg gespecialiseerde mankracht in al die landen om al die mensen te surveilleren. Maar als ze gewoon bij de telefoon in je zak kunnen, lukt hen dat wel.
Uw onthullingen vestigen de aandacht op de mogelijkheden van de Amerikaanse en de Britse inlichtingendiensten. Denkt u dat die overheden in staat zijn om dit soort spionageactiviteiten uit te voeren zonder de hulp van de private beveiligingsindustrie?
Snowden: Dat hangt van het land in kwestie af. Als het om een zeer geavanceerd land gaat, zeker. En als ze een goed ontwikkelde technische markt hebben, zeker. Maar in heel wat autoritaire staten zoals Kazachstan of Bahrein, waar je een gesloten samenleving hebt, staat men niet erg open voor technologische ontwikkeling. En dus kan die capaciteit moeilijk worden ontwikkeld. Maar als iemand die activiteiten tegen betaling aanbiedt, dan kunnen ze vandaag alles doen wat ze willen. Het kost hun niets om hun beleid te handhaven.
Laat ik het eens van een afstand bekijken. Stel je voor dat deze bedrijven niet bestonden, wat zou dan het alternatief zijn? Zouden regeringen simpelweg zeggen: ‘We kunnen niemand bespioneren, we kunnen onze onderzoeken niet voortzetten, we kunnen niet zoeken naar criminelen en terroristen?’ Nee, natuurlijk niet. Ze zouden hun eigen ontwikkelaars inhuren, ze zouden intern werken, ze zouden hun eigen instrumenten ontwikkelen, het zou een moeilijke en kostbare onderneming zijn. Het zou inefficiënt zijn.
Deze mensen zijn geen ingenieurs, wat ze maken heeft geen nut. Het zijn infectieverspreiders. Ze veroorzaken een soort ziekte voor apparaten. Ze vinden zwakke plekken, onbeschermde toegangen. Het is als een industrie waar ze alleen aangepaste varianten van covid zouden maken, om de vaccins te omzeilen. En dat is wat ze verkopen, voor je telefoon, voor je computer.
We kunnen niet voorkomen dat regeringen dit op andere gebieden doen, zoals onderzoek naar biologische wapens. Maar gelukkig zijn er commerciële beperkingen en kan niet zomaar iedereen op de markt een recentere covidversie kopen en ermee doen wat hij wil. Maar als we het over digitale apparaten hebben, zien we niet hetzelfde gevaar voor de volksgezondheid. Nochtans komt het op hetzelfde neer: wat NSO heeft gecreëerd, zijn besmette apparaten over grenzen heen, het zijn besmette clusters in gemeenschappen waar je een patient zero hebt die daarna al zijn vrienden besmet, al zijn collega’s, iedereen die hij ontmoet. Zoiets zou onmogelijk zijn geweest op zoveel plaatsen, zo makkelijk, zo goedkoop, als die bedrijven niet de toestemming hadden gekregen om met dergelijke praktijken winst te boeken. De enige reden waarom NSO dit doet, is niet om de wereld te redden, maar om geld te verdienen.
Hadden deze bedrijven zo succesvol kunnen worden en zo’n wereldwijd bereik kunnen hebben indien onze regelgeving niet had gefaald?
Hoe geavanceerd is Pegasus?
Snowden: Het uiteindelijke doel van de Pegasus-toolkit, en dit geldt echt voor alle commerciële en zelfs niet-commerciële malware-aanbieders, is de zogenaamde remote code execution. Dit is een manier om zonder interactie van de gebruiker een apparaat aan te raken, een fout te vinden in de software die op het apparaat draait, en zonder dat de gebruiker iets verkeerd doet of een fout maakt, eigen code, eigen programma’s, eigen instructies op het doelapparaat te laten draaien. Dat is wat de publieke verslaggeving over Pegasus aan het licht heeft gebracht. Ze zijn dus in hun missie geslaagd. De vraag is, tegen welke prijs voor de samenleving?
Wie moet ons het meest angst inboezemen: de NSA of NSO?
Snowden: Die vraag werd mij ook in 2013 gesteld. Mensen zeiden: waarom maak je je zorgen over de overheid als er commerciële bedrijven zijn die mensen op dezelfde manier bespioneren? Ze dachten aan Facebook, Google, Amazon. En het antwoord was altijd: ‘Nou ja, hoe verschrikkelijk de surveillancepraktijken van zulke bedrijven ook zijn, ze kunnen je niet in de gevangenis stoppen. Ze kunnen geen raket op je auto afvuren. Ze kunnen geen droneaanvallen bevelen. Dus laten we ons eerst richten op de overheid, en – nadat we de overheden hervormd hebben – dan pas op de bedrijven.
Welnu, regeringen hebben hun hervormingspogingen stopgezet, en er zijn geen hervormingen doorgevoerd in de commerciële surveillancepraktijken. Het probleem is dat we sinds 2013 bedrijven hebben zien ontstaan zoals de NSO Group, die dingen doen die geen enkel bedrijf ooit heeft gedaan. Ze verkopen geen producten. Ze stoppen mensen in de gevangenis, ze laten ze vermoorden. Ze zeggen misschien niet dat ze dit rechtstreeks doen, maar ze leveren wel de middelen aan regeringen die hen voor dat doel gebruiken, en ze weten het. De betrokkenheid van de NSO Group bij de moord op Khashoggi valt niet te ontkennen, maar toch doen ze het. Ze zeggen: ‘Wij hebben Khashoggi zelf niet als doelwit gekozen. Maar als je je richt op de vrouwen die hem tijdens zijn leven het meest nabij waren, krijg je veel informatie over de plannen en bedoelingen van die man. NSO is een particulier bedrijf dat telefoons hackt op dezelfde manier als de NSA dat zou kunnen. En dat zou ons allen meer angst moeten inboezemen dan wat dan ook. Want het is niet één bedrijf, het zijn ze allemaal.
Wie moeten we hier ter verantwoording roepen? Het bedrijf of de regeringen die zulke spyware gebruiken?
Snowden: Het antwoord is: iedereen. Maar we moeten niet alleen bedrijven en landen ter verantwoording roepen. Naar mijn mening moet er zeker een strafrechtelijke aansprakelijkheid komen voor betrokkenheid bij deze markt. Er moet een wereldwijd moratorium komen op de commerciële handel in veiligheidslekken en verspreiders van lekken. We moeten deze handel verbieden, zorgen dat er geen winst meer mee gemaakt kan worden. De NSO Group zou morgen zijn deuren kunnen sluiten als ze hier geen geld meer aan zouden verdienen, en hetzelfde geldt voor al die andere bedrijven die hetzelfde doen. Maar er is ook een andere vraag die wij ons in ruimere zin moeten stellen, die Europa en de VS zich moeten stellen. Hadden deze bedrijven zo succesvol kunnen worden en zo’n wereldwijd bereik kunnen hebben indien onze regelgeving niet had gefaald? De voorbije tien jaar heeft Europa gedacht dat het dit soort dingen wel onder controle zou kunnen houden, gebruikmakend van technische relicten uit de tijd van de Koude Oorlog, waarbij exportcontrole werd gezien als oplossing voor dit probleem. Wat we vandaag zien, is dat dat beleid niet voldoende is om een dergelijke schadelijke software-industrie te controleren. En als exportcontroles en lichtere regelgeving niet werken, dan moeten we nadenken over zwaardere regelgeving.
De enige efficiënte oplossing is de wetten veranderen, zodat deze bedrijven geen winst meer maken. Stop de handel en je stopt het probleem.
Eigenlijk hebt u mijn volgende vraag al beantwoord, maar toch: wat moet er nu gebeuren?
Snowden: We moeten dit stoppen. Niets doen is niet langer een optie. Als je niets doet om de verkoop van deze technologie te stoppen, krijgen we 50 miljoen doelwitten in plaats van 50.000 doelwitten. En dat zal veel sneller gebeuren dan we verwachten. We moeten de handel rond deze technologie een halt toeroepen. We willen het onderzoek naar de technologie niet verbieden. Het onderzoek kan worden gebruikt om onze apparaten veiliger te maken. Maar wanneer dat soort technologieën wordt verkocht, en zeker voor een agressief doel als dit, zien we dat slechte sujetten bij de industrie betrokken raken. Als we academisch onderzoek willen beschermen, als we individueel onderzoek willen beschermen, hoeven we alleen maar de commerciële prikkel weg te nemen om winst te slaan uit deze activiteiten. En dat kunnen we doen door een wereldwijd moratorium op de verkoop van deze technologieën.
Wat kunnen de mensen doen om zichzelf te beschermen?
Snowden: Wat kunnen de mensen doen om zich tegen kernwapens te beschermen? Wat kun je doen om je te beschermen tegen chemische of biologische oorlogsvoering? Er zijn bepaalde industrieën, bepaalde sectoren waartegen geen bescherming mogelijk is, en daarom proberen wij de verspreiding van zulke technologieën te beperken. We staan geen commerciële markt in nucleaire, chemische of biologische wapens toe. Maar aan deze digitale infectieverspreiders doen we niets. We moeten de verkoop van dit soort inbraaktechnologie stoppen. Dat is de enige manier waarop we onszelf kunnen beschermen.
Veel mensen denken wellicht: ik kan niet zonder mijn telefoon.
Snowden: Het zou niet mogen dat je je telefoon hoeft op te geven. En daar ligt juist het probleem. Deze bedrijven zijn extreem inhalig en wij, iedereen op deze wereld, zijn hun prooien. Het maakt niet uit wie je bent, het maakt niet uit wat je doet. Je positie zal je niet beschermen. Zelfs al ben je een minister, premier of rechter bij het Hooggerechtshof, je staat op de lijst. Zelfs als je een normale mens bent, sta je op de lijst. Je hoeft alleen maar onder de aandacht te komen van iemand met het geld om een van deze bedrijven te betalen voor de tools om in te breken in je telefoon. Apple en Google zijn niet de beste actoren ter wereld, maar ze doen hun best om dit soort spionagetechnologie te stoppen. Jammer genoeg is het een ongelijke strijd. Er zijn heel rijke concerns die zich alleen bezighouden met het vinden van manieren om in te breken in apparaten, en hun geheime ontdekking vervolgens te verkopen aan zoveel mogelijk mensen die zeggen: ‘We werken legaal, we zijn van de overheid.’ Ze zullen altijd manieren vinden om ons te bespioneren, en ik denk dat het verkeerd is om aan de mensen te zeggen dat ze moeten leven als een klokkenluider of een spion, dat ze hun telefoon moeten opgeven. Dat is ridicuul, dat is niet de juiste oplossing. De enige efficiënte oplossing is de wetten veranderen, zodat deze bedrijven geen winst meer maken. Stop de handel en je stopt het probleem. Want het is een handel die uiteindelijk wordt betaald in levens.
We kunnen dus individueel niets doen om onszelf en onze telefoons te beschermen?
Snowden: Dit is geen probleem dat we individueel kunnen oplossen, want we hebben met een miljardenbedrijf te maken. We zullen niet veilig zijn zolang de spelregels niet veranderen.
(c) The Guardian / Vertaling: Els Snick
Het Pegasus Project over cyberspionage: alles wat u moet weten
Fout opgemerkt of meer nieuws? Meld het hier
