Het parlement van de Raad van Europa onderzoekt mensenrechtenschendingen door de inzet van spyware. Duidelijk is dat er sprake is van verregaande spionage, al wordt gelegitimeerde inzet van spyware ten zeerste betwijfeld. Vijf landen, waaronder Nederland en België, doen mee aan het onderzoek, dat het gebruik van de spyware moet verklaren. Volgens commissievoorzitter Pieter Omtzigt gaat de spionage verder dan George Orwells roman ‘1984’.
Het onderzoek draait vooral om spyware, een type kwaadaardige software (malware) die zonder medeweten of toestemming van de gebruiker, informatie verzamelt over een persoon of organisatie en deze informatie mogelijk naar een derde partij stuurt. Spyware kan ook invloed hebben op de gebruikerservaring van een apparaat, meestal op schadelijke of ongewenste wijze. De focus binnen dit onderzoek ligt op spionage door landen. De commissie Omtzigt bekijkt vooral de inzet van Pegasus, een spyware-tool ontwikkeld door het Israëlische bedrijf NSO Group. Deze tool kan zonder medeweten van de gebruiker heimelijk op een smartphone worden geïnstalleerd. Daarbij maakt het niet uit of het een Android- of iOS-device betreft. De software geeft de aanvaller vervolgens de mogelijkheid om vrijwel alle informatie op het apparaat te monitoren, inclusief persoonlijke berichten, foto’s, en zelfs gesprekken.
De affaire
De spyware kwam aan het licht toen in 2016 onderzoekers van het Citizen Lab aan de Universiteit van Toronto en Lookout Security het bestaan van de tool ontdekten. Het bleek dat de software was gebruikt tegen journalisten en mensenrechtenactivisten in verschillende landen. In juli 2021 verscheen een rapport van een consortium van 17 mediaorganisaties onder leiding van Forbidden Stories en met technische ondersteuning van Amnesty International. Dit rapport meldde dat de spyware was gebruikt in hacks – plus de pogingen daartoe – van smartphones die toebehoorden aan journalisten, overheidsfunctionarissen en mensenrechtenactivisten over de hele wereld.
Het belangrijkste vraagstuk voor het parlement van de Raad van Europa in deze affaire: is het Europees Verdrag voor de Rechten van de Mens overtreden? Daarom leidde Pieter Omtzigt, die eerder de onthullingen van Edward Snowden onderzocht, het onderzoek. Er bestaat de nodige zorg of het recht op een eerlijk proces (artikel 6) niet wordt overtreden, doordat bijvoorbeeld geheimhouders worden bespioneerd. Andere zorgen betreffen het recht op de persoonlijke levenssfeer (artikel 8), het recht op vrije meningsuiting (artikel 10), het recht op vergadering (artikel 11) en het recht op vrije verkiezingen (artikel 3).
Eenvoudige toegang
Opmerkelijk aan Pegasus is dat het zo goed te installeren is. Een gebruiker heeft niet door dat de malware wordt geïnstalleerd. Het Citizen Lab destilleerde een lijst van 50.000 telefoonnummers van doelwitten. Hieronder zaten mensenrechtenactivisten, politici, advocaten, journalisten, diplomaten en staatshoofden. De lijst toont aan dat het bespioneren van grote groepen mensen geen probleem is.
In het onderzoek is niet alleen gekeken naar de inzet van Pegasus. Ook andere spyware zoals Candiru en Predator is in het onderzoek meegenomen, omdat het of in een lidstaat van de Raad van Europa is ingezet of vanuit een lidstaat is geëxporteerd. Dat laatste is volgens het onderzoek in strijd met exportregels. Candiru maakt vooral misbruik van lekken in Windows en Predator van mobiele platformen waarbij de gebruiker op een link moet klikken. Volgens het rapport staat het vast dat lidstaten Polen, Hongarije, Spanje, Nederland, Duitsland, België en Luxemburg in ieder geval de malware van Pagusus gebruiken. Van Azerbeidzjan, dat ook lid is, is bekend dat ze een klant zijn van de maker van de spyware.
Intrusief
Het rapport wijst erop dat de spyware intrusief is, omdat het ongelimiteerde toegang geeft tot alle informatie van de gebruiker en de sensoren van de smartphone die doelwit is. “Het verandert de smartphone in een 24-uurs surveillance-apparaat dat toegang geeft tot de camera en microfoon, geolocatie data, e-mails, berichten, foto’s, video’s, wachtwoorden en applicaties”, zo schrijven de opstellers. De spyware die is onderzocht combineert veel verschillende functies in één. Het houdt zowel bij wat de gebruiker doet op het toestel, als de aanwezige data en wat de camera en microfoon registreren.
Omtzigt wijst op uitspraken die het zeer twijfelachtig maken of deze tools überhaupt mogen worden ingezet: “Gegeven het ongeëvenaarde niveau van inbreuk in het privéleven van het doelwit en de contacten ervan, hebben de Commissaris voor Mensenrechten en de Europees Toezichthouder voor Gegevensbescherming serieuze twijfel geuit of ooit aan de proportionaliteitseis kan worden voldaan en daarmee in compliance is met mensenrechten.” Dat laatste sluiten de onderzoekers niet volledig uit voor hele zware zaken, maar ze wijzen er nadrukkelijk op dat het door hen onderzochte gebruik tegen bijvoorbeeld journalisten onrechtmatig is.
Bredere inzet
De maker van Pegasus, NSO Group, claimt dat er in de voorwaarden van het gebruik mensenrechtenwaarborgen zijn opgenomen. Ook wijst het bedrijf erop dat ze geen veranderingen doorvoeren op de telefoons en dat het optreedt tegen misbruik. Hoe dat precies in zijn werk gaat, wordt niet duidelijk. Omtzigt wijst op een onderzoek in de Verenigde Staten, nadat niet bevriende landen de malware tegen de belangen van de VS bleek in te zetten. Academici en zakenmensen waren daar het slachtoffer van de spyware.
Dat overheden de spyware inzetten roept volgens Omtzigt sowieso vragen op. Duidelijk is dat het diep kan ingrijpen op het leven van slachtoffers. Leveranciers kunnen beweren dat de tools zeer gelimiteerd worden ingezet, maar de realiteit wijst uit dat de praktijk weerbarstig is. Het onderzoek naar dit soort malware benadrukt nog maar eens de spanning tussen twee resultanten: 1) het exploiteren van een zwakheid om deze tegen mensen in te zetten en 2) het oplossen van het misbruikprobleem door inbreuk op een smartphone onmogelijk te maken. In ieder geval heeft Apple na publicatie van de zwakheid, de lekken gedicht die toegang mogelijk maken.
Lees ook:
- FBI gebruikte onbewust spyware uit Israël
- Een cyberaanval komt altijd onverwacht
