NSA bespiedt stiekem duizenden websites

Het hoofdkwartier van de inlichtingendienst NSA (National Security Agency) in Fort Meade, in de staat Maryland. ©EPA

De Amerikaanse inlichtingendienst NSA houdt met het monitoringsysteem ‘Morecowbell’ duizenden websites in real time in de gaten, zonder daarbij zichzelf te verraden. Het systeem maakt het ook mogelijk om cyberaanvallen door de NSA zelf te ondersteunen. Dat blijkt uit documenten die De Tijd kon inzien.

Er gaat bijna geen week voorbij zonder dat er nieuwe informatie uitlekt over de gigantische online spionage-activiteiten die de NSA over de hele aardbol heeft ontplooid. Het laatste stukje in die puzzel heet ‘Morecowbell’. Het is in essentie een wereldwijd netwerk van servers en computers die continu informatie verzamelen over geviseerde websites.

Het DNS-systeem (Domain Name System) is eigenlijk een gigantische databank van domeinnamen (webadressen) die volgens een bepaalde structuur zijn opgebouwd. Bij elke domeinnaam hoort een uniek IP-adres dat verwijst naar een toestel dat op het internet is aangesloten. Het DNS-systeem weet welk IP-adres bij welke domeinnaam hoort.

Wanneer u in uw browser een bepaalde domeinnaam intikt (zoals www.tijd.be), zal uw provider op zoek gaan naar het overeenkomstige IP-adres. Dat gebeurt door een reeks vragen (queries) te sturen naar verschillende DNS-servers die een stukje van het antwoord kunnen leveren, of die u doorverwijzen naar een andere server die het wel weet. Omdat het in ons voorbeeld om een .be-adres gaat, zal er in eerste instantie worden doorverwezen naar DNS.be, de organisatie die de Belgische webadressen beheert.

De hele zoektocht neemt in principe maar enkele seconden in beslag. Bovendien wordt de adresinformatie van veelbezochte websites lokaal opgeslagen (op uw computer of bij uw provider) waardoor dit hele proces kan worden ingekort.

Morecowbell monitort onder meer  de zogenaamde DNS-servers (Domain Name System), die je zou kunnen omschrijven als de wegwijzers van het internet. Deze servers kunnen het unieke IP-adres (eigenlijk een lijst cijfers) opsporen die overeenkomt met de bekende naam van een website (het www-adres).

De structuur van het DNS-systeem dateert al van de beginjaren van het internet, toen er nog geen behoefte was aan beveiliging en encryptie. De informatie die over de servers loopt, wordt dus niet afgeschermd. Via de DNS-servers kan de NSA onder meer in de gaten houden of bepaalde websites nog in de lucht zijn, of dat hun DNS-informatie gewijzigd is. Daarnaast gaat het systeem ook automatisch checken of de inhoud van de bespioneerde websites verandert. Al die  informatie wordt met regelmatige intervallen van 15 à 30 minuten doorgestuurd naar het hoofdkwartier van de NSA in Fort Meade (tussen Baltimore en Washington).

Het bijzondere aan Morecowbell is dat het systeem toelaat om die monitoring ‘stiekem’ te doen, zonder dat iemand in de gaten heeft dat de NSA erachter zit. De spionagedienst doet daarvoor een beroep op servers die onder een dekmantel worden gehuurd in verschillende landen. Het gaat in elk geval om machines in Duitsland, Denemarken en Maleisië, maar vermoedelijk ook in een tiental andere landen.

Een schematische weergave van de werking van het monitoringsysteem 'Morecowbell' van de NSA. ©Mediafin

Hoeveel websites op deze manier bespied worden, is niet bekend, maar het gaat zeker over vele duizenden. De NSA gebruikt het monitoringsysteem onder meer om in de gaten te houden of Amerikaanse overheidssites niet het slachtoffer zijn van een cyberaanval. Ook sites en webfora waar extremisten en terroristen zich schuilhouden, worden continu bespied. Maar ook sites van andere – al dan niet bevriende – overheden kunnen met het systeem worden bewaakt.

Aanvallen

Daarnaast zijn er duidelijke aanwijzingen dat Morecowbell ook gebruikt wordt als onderdeel van een methodiek om zelf cyberaanvallen uit te voeren. Uit eerdere lekken is gebleken dat de NSA technologie heeft om het internetverkeer op een heel gerichte manier te ontregelen, door foute gegevens te ‘injecteren’ in de informatie die DNS-servers afleveren. We weten ook dat de inlichtingendienst de controle kan nemen over zogenaamde ‘botnets’ – netwerken van geïnfecteerde computers die vanop afstand kunnen worden gebruikt in een doelgerichte cyberaanval.

Dat de spionnen van de NSA ook maar gewone tv-kijkers zijn, mag blijken uit de naam die ze aan hun monitoringsysteem voor websites hebben gegeven. ‘Morecowbell’ is een aaneenschrijving van ‘more cowbell’, letterlijk ‘meer koebel’. Het is een Amerikaanse ‘catchphrase’, een populaire uitdrukking, om te zeggen dat je altijd maar meer van iets wilt hebben. Wat in dit geval mogelijk verwijst naar de intentie van de NSA om alles te weten wat er zich op het wereldwijde web afspeelt: telkens als er op een geviseerde website iets gebeurt, rinkelt de koebel.

De uitdrukking vindt zijn oorsprong in een populaire sketch die in 2000 te zien was in Saturday Night Live, een iconisch comedy-programma dat al sinds 1975 wekelijks wordt uitgezonden. De sketch is een parodie op een documentaire over bekende muziekbands. Ze toont een fictieve weergave van de opname van de bekende rockhit ‘(Don't Fear) The Reaper’ van Blue Öyster Cult, waarin ook een (muzikale) koebel wordt gebruikt. In de sketch wordt de draak gestoken met de producer van het nummer, Bruce Dickinson, die steeds maar blijft aandringen op een luidere koebel – ‘more cowbell’.

 

More Cowbell - Saturday Night Live from Dee Three on Vimeo.

Morecowbell kan bij zo’n grootschalige operatie – denk maar aan de recente berichten over een vermoedelijke cyberaanval van de VS op Noord-Korea – worden ingezet om de toegebrachte schade in kaart te brengen. Wanneer het doelwit na zo’n aanval probeert om zijn internetverkeer te verplaatsen naar een ander netwerk, kan Morecowbell dat meteen opmerken en signaleren.

De informatie over het monitoringsysteem werd aan De Tijd, onze Franstalige zusterkrant L'Echo en enkele buitenlandse media beschikbaar gemaakt via een samenwerking met de klokkenluidersorganisatie Associated Whistle-Blowing Press (AWP). De informatie gaat voort op documenten van de ex-NSA-spion Edward Snowden, die nog altijd een verborgen bestaan leidt in Rusland, op de vlucht voor de Amerikaanse autoriteiten. AWP-onderzoekers Christian Grothoff, Matthias Wachs, Monika Ermer en Jacob Appelbaum schreven op basis van de documenten een technische analyse waarop we dit artikel gebaseerd hebben.

De vier experts pleiten voor een grondige hervorming van de hele organisatie en infrastructuur die aan de grondslag ligt van het wereldwijde web. Volgens hen moet die organisatie uit handen worden genomen van ICANN, de Amerikaanse organisatie die momenteel het systeem van IP-adressen en domeinnamen beheert. Ze vinden ook dat er gebruik moet worden gemaakt van systemen om de privacy van internetgebruikers te garanderen, zoals encryptie (versleuteling) van de data die met DNS-servers wordt uitgewisseld.

Lees verder

Advertentie
Advertentie

Gesponsorde inhoud

Partner content