Een onderzoek van de krant Haaretz onthult dat Israëlische cyberbedrijven een nieuwe technologie hebben ontwikkeld die gebruik maakt van het online advertentiesysteem om burgers in de gaten te houden, hun telefoons en computers te hacken en hen te bespioneren. In een interview met Knack geeft Haaretz-journalist Omer Benjakob tekst en uitleg.
De Israëlische krant Haaretz onhult een gloednieuw systeem om in te breken in telefoons en computers, gebaseerd op het belangrijkste businessmodel van het internet: online advertenties.
Haaretz-journalist Omer Benjakob: ‘Met dat systeem kunnen ze drie dingen doen. Eén: ze kunnen je vinden op het advertentienetwerk. Ze kunnen dus uitvlooien: “Dit anonieme advertentieprofiel is eigenlijk Omer. Of Kristof.” Ze kunnen je met andere woorden geolokaliseren. Twee: ze kunnen verschillende trucs gebruiken om specifieke advertenties naar je toe te sturen. En drie: een kleine elitegroep van techbedrijven kan in zo’n advertentiecampagne stoppen wat ze maar willen. Zelfs spyware van militair niveau.’
Hoe werkt het?
Omer Benjakob: Telkens als je een app op je smartphone gebruikt, gebeurt er – zonder dat je het merkt – een complexe onderhandeling tussen jouw telefoon en iets wat een DSP (demand-site platform, nvdr) wordt genoemd. Dat is als een automatische advertentiemarkt met verschillende advertenties die voor jou concurreren. Ben je in België gevestigd? Ben je een man? Ben je een voetbalfan? Ben je een journalist? Advertenties uit die verschillende gebieden strijden om jouw aandacht, of om het recht om iets op je gsm-scherm te presenteren. En de technologiebedrijven waarover wij in Haaretz schreven, weten hoe ze zo’n aanbesteding moeten winnen. Ze weten hoe ze de advertentie moeten winnen om uiteindelijk tot bij jou te komen.
Het is geen geheim dat de online reclame-industrie ons goed kent. Maar data-inzameling voor advertenties zou anoniem moeten verlopen, toch? Advertenteerders mogen niet weten wíé jij bent.
Benjakob: Precies. Het idee is dat ze nooit een specifiek persoon willen vinden. Ze willen net soorten mensen vinden, doelgroepen die je op verschillende manieren kunt karakteriseren, om op die manier de advertenties te optimaliseren zodat iemand er zeker op zou klikken.
Maar in de afgelopen 20 jaar is de personalisering van advertenties steeds verder verfijnd. Gevolg: als je vandaag een inlichtingendienst bent, dan kun je dezelfde informatie die je gebruikt om je te richten op bijvoorbeeld mannen zoals ik die hun haar verliezen, gaan gebruiken om daadwerkelijk die journalist in Israël te vinden die zijn haar verliest. En vervolgens kun je die persoon met een specifieke boodschap bestoken.
Eigenlijk zou dat onmogelijk moeten zijn. De GDPR en de Europese privacyregels zijn net gebaseerd op het idee dat persoonlijke identificeerbare informatie niet toegankelijk mag zijn.
Maar als je een inlichtingendienst bent, dan is het eigenlijk heel eenvoudig om alle gegevens die voor adverteerders worden verzameld te mengen en te vergelijken met gegevens die alleen een inlichtingendienst kan hebben. En op die manier kun je advertentienetwerken die zijn gebouwd om doelgroepen te bereiken uiteindelijk gaan gebruiken om specifieke mensen te targetten.
Bijvoorbeeld om gericht spyware af te leveren via advertenties?
Benjakob: Niet alleen dat. Je zou op deze manier ook mensen kunnen overspoelen met gerichte desinformatie. Of je zou je kunnen richten op alle parlementsleden in een bepaald land, op basis van het feit dat ze allemaal in het parlementsgebouw samenzitten. En je zou ze kunnen bombarderen met informatie op maat van elk van hen, en zo aan beïnvloeding doen. Dat is net zo eng aan deze technologie: dat de hoeveelheid beschikbare advertentiegegevens je in staat stelt om verschrikkelijke dingen te doen als je ze kunt gebruiken om bepaalde doelwitten te vinden.
Hoe kan dit nuttig zijn voor een inlichtingendienst?
Benjakob: Bedenk eens wat voor soort gegevens er worden verzameld voor adverteerders. Zaken zoals je geslacht, locatie, aankoopgeschiedenis… Op zichzelf lijken ze niet gevaarlijk, toch? Kijk, als je in België woont, heeft het geen zin om je op je smartphone reclame te tonen voor een winkelcentrum in New York. Dus we willen dat onze advertenties gelokaliseerd zijn. Maar wat mensen niet begrijpen, is dat diezelfde gegevens ook gebruikt kunnen worden om te spioneren.
Laten we een covid-voorbeeld nemen. Stel je voor dat ik alle mensen wil traceren die door een bepaalde stad komen die besmet is met corona. Ik kan daarvoor advertentiegegevens gebruiken die worden verzameld door wifi’s en onze telefoons, om alle mensen te markeren die op een bepaald tijdstip in een bepaalde luchthaven zijn gepasseerd. En vervolgens kan ik hun bewegingen over de hele wereld volgen.
Laten we dat voorbeeld een niveau hoger tillen. Stel je een reclamecampagne voor die gericht is op jonge Iraanse mannen met een verleden in de nucleaire wetenschap én die via de luchthaven van Teheran zijn gereisd in de afgelopen zes maanden. Dat kan een logische reclamedoelgroep zijn, bijvoorbeeld voor een abonnement op een tijdschrift over nucleair onderzoek. Maar voor een inlichtingendienst kan diezelfde doelgroep ook interessant zijn, al was het maar om hun bewegingen te volgen.
We zijn nooit altijd veilig. Er zal altijd wel iemand zijn die een andere manier vindt om binnen te raken.
De 007-term voor dat soort cyberspionage is ‘AD INT’, kort voor ‘advertentie-inlichtingen’. Hoe lang bestaat het al?
Benjakob: Vanaf de jaren negentig werd het internet beschikbaar voor het grote publiek. En wat was een van de eerste tips die iedereen je destijds gaf? ‘Klik niet op de advertenties! Wees voorzichtig met pornosites en hun advertenties.’ We hebben altijd al virussen gehad door advertenties. Malware is altijd al een thema geweest. Maar wat is er dan veranderd vanaf dat moment tot waar we vandaag zijn? In het kort: sociale media en mobiele telefoons.
Sociale media hebben een verschuiving teweeggebracht van het inwinnen van algemene data over mensen naar massale big data-captatie die heel persoonlijk kan zijn. Nu weet ik in welke stad je woont en wat je politieke voorkeur is.
En daarnaast had je de komst van smartphones, die in feite kleine computers zijn én portemonnees (met info over je digitale aankopen, nvdr) én minikantoren. Via datingapps bevat je smartphone zelfs info over je seksuele oriëntatie.
Welke rol heeft de coronapandemie juist gespeeld in de ontwikkeling van deze nieuwe industrie die advertentiedata gebruikt voor inlichtingendoeleinden?
Benjakob: De term AD INT is uitgevonden in 2016 of 2017 door een Israëlisch bedrijf genaamd Rayzone. Zij doen aan ‘passieve inlichtingen’. Het is een vorm van open source of web intelligence. Op basis van open bronnen dus. Mensen laten nu eenmaal tonnen gegevens achter. Zulke bedrijven gaan dan bijvoorbeeld hun sociale media scrapen en een vrij gedetailleerd profiel over mensen opbouwen. Wat die bedrijven ook hebben geleerd, is dat je ook geografische gegevens kunt verzamelen.
Vervolgens had je de coronapandemie, en dat was de perfecte storm. Er waren al tonnen gegevens beschikbaar over mensen –meestal geografische data maar niet uitsluitend. Die data waren volledig geanonimiseerd. Maar opeens moesten we mensen gaan opsporen en aan contacttracing doen. En omdat het om een volksgezondheidscrisis ging, trokken we ons niets aan van privacy – of we waren in ieder geval bereid om die even opzij te zetten. Zo is die ‘passieve’ industrie verder ontwikkeld.
Zodra de pandemie voorbij was, was het kwestie om nieuwe toepassingen te ontwikkelen. Bedrijven die actief zijn rond veiligheid willen altijd innoveren om nieuwe producten te kunnen aanbieden aan handhavingsinstanties. En zo ontstond uit die ‘passieve’ industrie een ‘offensieve’.
Kijk, op het moment dat je een doelgerichte persoon kunt bereiken met een online advertentie is het vrij eenvoudig om een bedrijf als NSO (bekend van de Pegasus-spyware, nvdr) te vinden dat graag gebruik maakt van die technologie om vervolgens je telefoon te gaan besmetten met spyware. Maar hier gaat het niet énkel om NSO.
Welke Israëlische bedrijven die actief zijn in AD INT moeten we zeker kennen?
Benjakob: Het interessantste bedrijf dat we in Haaretz onthullen is een bedrijf dat Insanet heet. Ze worden zo genoemd omdat hun vermogen eigenlijk krankzinnig (‘insane’) is. Maar zij zijn niet de enigen die dit soort technologie ontwikkelen. NSO heeft met Truman vergelijkbare technologie, en ook Rayzone heeft een systeem gebouwd dat werkt. Maar NSO heeft niet de toestemming gekregen om die technologie te verkopen. Rayzone wél, maar deed het nog niet.
Insanet heeft zijn technologie wél verkocht. Aan een niet-democratisch land dan nog. En we hebben geleerd uit het Pegasus Project (waar Knack en Haaretz samen aan werkten, nvdr) dat als landen eenmaal over bepaalde capaciteiten beschikken, de kans vrij groot is dat die worden misbruikt.
Hoe kunnen we ons hiertegen verdedigen?
Benjakob: Het slechte nieuws is dat je je tegen de meeste van deze dingen niet kunt verdedigen. Denk aan geo-surveillence op basis van advertentiedata. Ik zou makkelijk een campagne kunnen beginnen die gericht is op alle journalisten van Knack, ik zou een vrij goed idee hebben van waar de meesten van jullie zijn. Toegegeven, dat zou me heel wat geld kosten. Ik zou moeten betalen voor zulke advertenties. Maar als ik een concurrent of een inlichtingendienst ben, kan die investering haar geld waard zijn. Dus: daar kun je je al níét tegen verdedigen.
En wanneer dan advertenties worden gebruikt om spyware af te leveren: ook daartegen kun je je niet verweren. Daarvoor hebben we Apple en Google nodig. Zij ontwikkelen nu een patch. Ik weet niet hoelang dat zal duren.
We zijn nooit altijd veilig. Er zal altijd wel iemand zijn die een andere manier vindt om binnen te raken.
Hoe reageerden Insanet en de andere bedrijven op jullie onthullingen?
Benjakob: De reacties schipperden tussen ‘alles wat we doen is legaal en gereguleerd door Israël’ en ‘Hé, we zijn gewoon advertentietechnologiebedrijven. Ik weet niet of iemand anders dit spul gebruikt voor iets slechts. Dat is niet wat wij doen.’
Net als bij NSO en andere bedrijven hebben ze niet het gevoel dat ze iets slechts doen. Ze zien zichzelf als onderaannemers van het leger. Wat eigenlijk klopt. En ze stellen dat ze de Israëlische wetgeving volgen en dat al hun activiteiten volledig gereguleerd worden door Israël. Dat is helemaal waar.
Ik beweer niet dat Insanet iets illegaals doet. Het is een militair defensiebedrijf, een privébedrijf dat een technologie heeft ontwikkeld die militaire klanten willen hebben. En het kreeg toestemming van Israël om het te verkopen.
Fout opgemerkt of meer nieuws? Meld het hier