'NSA manipuleert internetverkeer en tapt af via usb-stekkers'

De NSA manipuleert internetverkeer en injecteert malware. Ook heeft de NSA eigen chips die van de stekkers van usb-kabels spionage-apparaten maken. Dat claimt beveiligingsonderzoeker en journalist Jacob Appelbaum.

Volgens Appelbaum wordt tcp/ip-verkeer door de NSA opgevangen en worden daarbij eigen pakketten geïnjecteerd. Daarmee zou bijvoorbeeld malware kunnen worden geïnjecteerd. Dat zei Appelbaum tijdens een presentatie op de CCC-hackersconferentie in Hamburg, op basis van onthullingen van de NSA-klokkenluider Edward Snowden. Appelbaum werkte samen met het Duitse blad Der Spiegel, dat maandagochtend over de onthullingen heeft gepubliceerd.

Volgens Appelbaum, die vooral bekend is van zijn werk voor het Tor-project, worden onder meer routers van eindgebruikers gehackt om internetverkeer te onderscheppen en eigen pakketten te injecteren. Ook zou de NSA over zendapparatuur beschikken waarmee verkeer op een afstand van bijna dertien kilometer in draadloos internetverkeer kan worden geïnjecteerd. "Ze vervangen in feite de weg waarop we rijden", zo zei Appelbaum. "Als Amerikaan wil ik niet dat mijn overheid investeert in beveiligingsproblemen, maar ze juist oplost."

De beveiligingsonderzoeker-annex-journalist stelt dat de NSA op zoveel punten internetverkeer kan onderscheppen, dat de geheime dienst over een 'wereldwijde great firewall' beschikt. Daarmee verwijst hij naar de great firewall of China, die veel internetverkeer blokkeert. "De NSA zou dat ook kunnen doen", stelt Appelbaum. "De NSA zou bijvoorbeeld in één keer wereldwijd Tor-verkeer kunnen blokkeren."

In een andere aanval zouden iframes worden geïnjecteerd op websites, waarmee vervolgens malware wordt geserveerd. Dat zou onder meer via de websites van Yahoo en CNN gebeuren. "Deze aanval kan onschadelijk worden gemaakt met een complete overstap op https", zo zei Appelbaum. De meeste grote aanbieders van clouddiensten zijn de afgelopen tijd overgestapt op https, maar andere sites draaien nog volledig of grotendeels op http.

Ook worden usb-stekkers gemanipuleerd. De usb-plug krijgt daarbij een extra chip die verbinding maakt met wifi-netwerken, zo zei Appelbaum. "Daarna wordt de usb-plug een bridge naar een draadloos netwerk." Hoe de aftap-chips worden aangebracht zei Appelbaum niet, maar eerder tijdens zijn presentatie vertelde hij dat de NSA pakketpost van bijvoorbeeld Amazon opent. "Ze knoeien met je hardware terwijl het wordt verscheept", aldus Appelbaum.

Bij een andere aanval zouden taps worden aangebracht die onder meer beelden van beeldschermen onderscheppen. Die zouden vanaf grote afstand kunnen worden afgetapt via straalverbindingen met veel energie. Volgens Appelbaum brengt dat gezondheidsrisico's met zich mee.

De firmware van meerdere merken harde schijven kan eveneens worden gekraakt, waardoor een backdoor van de NSA aanwezig zou kunnen blijven na het formatteren van de harde schijven. Harde schijven van Western Digital, Seagate, Maxtor en Samsung, de grootste hardwarefabrikanten, zouden zijn getroffen. "Ze hebben ondersteuning voor fat, ntfs, ext3 en ufs", aldus Appelbaum.

De NSA heeft volgens Appelbaum een grote stapel met zero-days. "Ze hoarden zero days", aldus Appelbaum, waaronder in de bios van meerdere cpu's, waardoor malware kan worden aangebracht die ook na het herinstalleren van het besturingssysteem aanwezig blijft. De NSA zou ook backdoors hebben in verschillende servers, waaronder PowerEdge-servers van Dell. Zo zou er een debugging-interface aanwezig zijn op sommige PowerEdge-servers waarvan bekend is dat die eenvoudig kan worden afgetapt; Appelbaum vraagt zich af of die interface expres is aangebracht.

Verder knoeit de NSA met de firmware van wifi-chips in laptops, waaronder van Dell, zo zei Appelbaum. Als het wifi-netwerk niet wordt gebruikt, zorgen hacks van de NSA ervoor dat de laptop alsnog verbinding maakt met open wifi-netwerken in de nabijheid, zodat gebruikers zelfs kunnen worden gevolgd als ze niet actief gebruikmaken van internet. "Daarmee worden air gaps onschadelijk gemaakt", zo zei Appelbaum.

Een beveiligingsprobleem op simkaarten, dat afgelopen zomer werd ontdekt door onderzoeker Karsten Nohl, is volgens Appelbaum eveneens misbruikt door de NSA. Daarbij kon onder meer de locatie van een gebruiker worden achterhaald door malware op een simkaart te installeren. Die malware kon worden geïnstalleerd door een malafide sms-bericht te sturen. Volgens Appelbaum is de ontdekking van Nohl bewijs dat beveiligingsproblemen die door de NSA worden ontdekt of zelfs ontworpen, ook kunnen worden ontdekt door anderen, en dus ook misbruikt. Daarom is het volgens Appelbaum een gevaar dat de NSA die kwetsbaarheden bewust open laat staan.

De iPhone zou eveneens een doelwit zijn. "De NSA stelt dat het, wanneer het dat wil, in alle gevallen iPhones kan binnendringen", aldus Appelbaum. "Of dat betekent dat Apple actief backdoors inbouwt of dat de NSA een hele grote stapel bugs in iOS heeft liggen, weet ik niet. Misschien is het gewoon slechte software", aldus Appelbaum. "Ik hoop dat de hackers op de CCC de gehackte apparatuur opnieuw ontwerpen", zei de Amerikaan tegen het publiek op de hackersconferentie.

Het afgelopen halfjaar kwam veel naar buiten over de surveillancepraktijken van de NSA, die naar journalisten werden gelekt door klokkenluider Edward Snowden. Momenteel verkeert Snowden in Rusland, waar hij asiel heeft gekregen. De Verenigde Staten zoeken hem voor het lekken van geheime informatie.

Lees ook het jaaroverzicht van Tweakers over de NSA-onthullingen