Hacking tools van de CIA in mijn tv. Is dit een probleem?

Is mijn grote vriend de tv opeens mijn vijand?

Geheime hacking tools van de CIA, waarmee zij in staat is om apparaten van eindgebruikers onder haar controle te krijgen, liggen op straat na publicatie op WikiLeaks. Eerder gebeurde iets vergelijkbaars al eens toen Edward Snowden uit de school klapte hoe het er bij de NSA aan toe ging. De CIA-tools verschillen op het eerste gezicht van die van de NSA in dat de CIA gerichte aanvallen op [apparaten van] specifieke personen uitvoert, waar de NSA veel meer ‘bulk’ data verzamelt. De grote vraag is of wij in Nederland ons zorgen moeten maken over deze activiteiten van onze bondgenoot. Ik zal dat aan de hand van één veelbesproken voorbeeld proberen te duiden.

Eén van de aanvalsmethode van de CIA is (was?) om bepaalde slimme Samsung televisies die op gesproken commando’s kunnen reageren te manipuleren. Ook als ze lijken uit te staan neemt het apparaat alle geluiden uit de ruimte waarin hij staat op. De CIA was (is) dus in staat om mensen af te luisteren zonder dat zij dat in de gaten hebben. Op zich is dit typisch iets waarvan je verwacht het in de gereedschapskist van een geheime dienst aan te treffen, dus wat dat betreft niets aan de hand. Zeker als je bedenkt dat in dit specifieke geval de manipulatie van de televisie ter plaatse met een USB-stick moet gebeuren, lijken de risico’s voor de Nederlandse situatie reuze mee te vallen.

Ik heb daar de volgende kanttekeningen bij:

  1. Het fundamentele probleem zit hem in de manier waarop spraakherkenning werkt. Het betreffende apparaat staat altijd aan, en luistert altijd mee met zijn omgeving om te kunnen reageren als het hier-komt-een-commando-woord wordt uitgesproken. Als het goed is wordt het omgevingsgeluid opgeslagen in een korte buffer, die na zo’n 10 seconden weer overschreven wordt. Pas na het herkennen van het toverwoord begint de tv met het opslaan van langere perioden.
  2. De desbetreffende apparaten hebben betrekkelijk weinig rekenkracht. Voor de ontwikkelaar is de keuze: óf de woordenschat is beperkt, óf het apparaat gebruikt computers en programma’s ergens in een rekencentrum. In dat laatste geval is het apparaat niet alleen altijd aan het meeluisteren, maar ook nog eens altijd online.
  3. Meestal staan deze apparaten niet onder controle van de IT-afdeling, en worden ze niet zo goed beveiligd en gepatched als de pc’s in het netwerk, en zijn ze daarmee dus een gemakkelijk[er] doelwit.
  4. Door hun beperkte rekenkracht hebben deze apparaten ook beperkte mogelijkheden om zichzelf te beschermen. Soms is die bescherming in het geheel afwezig, al dan niet als gevolg van onkunde of onwil van de leverancier.

Al met al genoeg handvatten om zo’n apparaat om te vormen tot een surveillance tool.

De gepubliceerde CIA-tools zijn alweer enkele jaren oud. Er is echter geen enkele reden om aan te nemen dat de CIA na Samsung TV gestopt is met de verdere ontwikkeling van haar tools. Sterker nog, ik denk dat een CIA-programmeur zich momenteel een beetje voelt als holle bolle Gijs die zich door de rijstebrijberg heen eet.approved TV

Spraakbesturing is immers de ‘next best thing’ in consumentenland.  Stelden we ons enkele jaren geleden nog tevreden met het commanderen van onze telefoon, navigatieapparaat of televisie, tegenwoordig verwachten we meer. Onze nieuwe telefoons, laptops en pc’s hebben allemaal zeer geavanceerde spraakherkenning aan boord (Apple Siri, Microsoft Cortana, Google/Android Speech).

cortana

sirispeech

Ze werken allemaal met een toverwoord, rekenkracht ‘van buiten’ en online streaming van de gesproken tekst naar een datacentrum elders.

Een nieuwe stap zijn de moderne huisassistenten zoals de Amazon Echo en de Google Home. Ze staan rustig in een hoekje te wachten tot dat ze worden toegesproken. Het zijn in feite monitor loze pc’s die altijd aanstaan, altijd meeluisteren en altijd in contact staan met hun maker.

We moeten er rekening mee houden dat alle ‘slimme’, met Internet verbonden apparaten potentieel verdacht zijn.

Is dit erg? Dat hangt erg af van de vraag hoe aantrekkelijk jouw informatie is voor de Amerikaanse diensten.

Als je regelmatig met gevoelige informatie omgaat, ben je je waarschijnlijk goed bewust wat de gevolgen kunnen zijn als deze in verkeerde handen valt. Je neemt maatregelen om dit te voorkomen, bijvoorbeeld door gebruik te maken van versleutelde communicatie (Skype, WhatsApp, Signal, Blackphone). Heel goed. Maar let er dan ook op dat er in je directe omgeving niet zo’n handige assistent of slimme tv staat. Dit geldt dus ook voor directiekamers en vergaderzalen, waar de slimme tv in rap tempo de beamer heeft vervangen. En onthoud: uit is niet uit totdat de stekker uit het stopcontact is en de netwerkkabel uit het potje.

Voor de gemiddelde privépersoon zijn de CIA-tools geen issue. De CIA gaat heus geen grote investeringen doen om een willekeurig iemand af te luisteren. Maar omdat de CIA-gereedschapskist open op straat ligt, krijgt het boevengilde nu ook de mogelijkheid om deze tools om te zetten tot iets dat op grotere schaal is toe te passen. Bijvoorbeeld voor chantage, of voor het tijdelijk onklaar maken en voor geld weer werkend maken van je apparaat, zoals het gilde nu al op grote schaal doet met encryptie ransomware.

De belangrijkste maatregel die je kunt nemen tegen dit soort praktijken is dat je regelmatig [de software van] je slimme apparaat van de laatste updates en patches voorziet. Probeer vooraf na te gaan of jouw voorkeursproduct zo slim is dat het (automatisch) updaten wordt ondersteund en of de leverancier op dit vlak een goede naam heeft of niet.

Zeker in de privésfeer houdt het niet op bij de tv. Denk bijvoorbeeld aan de babyfoon, de pratende pop en de online deurbel.

We hebben er het laatste nog niet van gehoord. En de geheime diensten niet van ons ben ik bang.

Over henk

Henk is een security en continuity strateeg met een fijn oog voor de actualiteit.