E-mailuitwisselingen tussen directeur-generaal Keith Alexander van de National Security Agency en Google-topmannen Sergey Brin en Eric Schmidt duiden op een veel gezelliger werkrelatie tussensommige technologiebedrijven en de Amerikaanse overheid dan werd gesuggereerd door de kopstukken uit Silicon Valley na de onthullingen van vorig jaar over spionage door de NSA.
Onthullingen door voormalig NSA-contractant Edward Snowden over de enorme mogelijkheden van het agentschap om de elektronische communicatie van Amerikanen te bespioneren, brachten een aantal technologiemanagers wier bedrijven met de overheid samenwerkten, ertoe aan te dringen dat ze dit alleen hadden gedaan toen ze daartoe door een rechtbank werden gedwongen.
Maar Al Jazeera heeft twee sets e-mailberichten ontvangen die dateren van een jaar voordat Snowden een begrip werd, waaruit blijkt dat niet alle samenwerking onder druk stond.
Op de ochtend van 28 juni 2012 nodigde Alexander Schmidt in een e-mail uit om op 8 augustus een vier uur durende “geheime dreigingsbriefing” bij te wonen in een “beveiligde faciliteit in de buurt van de luchthaven van San Jose, CA.”
“De discussie tijdens de bijeenkomst zal onderwerpspecifiek en beslissingsgericht zijn, met de nadruk op Mobiliteitsbedreigingen en veiligheid”, schreef Alexander in de e-mail, verkregen op grond van een Freedom of Information Act (FOIA)-verzoek, de eerste van tientallen communicatie tussen de NSA-chef en leidinggevenden van Silicon Valley die de dienst van plan is over te dragen.
Volgens de e-mail ontmoetten Alexander, Schmidt en andere leidinggevenden uit de sector elkaar eerder deze maand. Maar Alexander wilde later die zomer nog een ontmoeting met Schmidt en “een kleine groep CEO's” omdat de regering de hulp van Silicon Valley nodig had.
“Ongeveer zes maanden geleden begonnen we ons te concentreren op de beveiliging van mobiliteitshulpmiddelen”, schreef Alexander. “Een groep (voornamelijk Google, Apple en Microsoft) is onlangs tot overeenstemming gekomen over een reeks kernbeveiligingsprincipes. Wanneer we dit punt in onze projecten bereiken, plannen we een geheime briefing voor de CEO's van belangrijke bedrijven om hen een overzicht te geven van de specifieke bedreigingen waarvan wij denken dat ze kunnen worden beperkt en om hun inzet te vragen om hun organisatie vooruit te helpen... Google's deelname aan verfijning, engineering en implementatie van de oplossingen zullen essentieel zijn.”
Jennifer Granick, directeur burgerlijke vrijheden bij het Center for Internet and Society van de Stanford Law School, zei dat ze gelooft dat het delen van informatie tussen de industrie en de overheid “absoluut essentieel” is, maar “tegelijkertijd is er enig risico voor de privacy van gebruikers en voor de veiligheid van gebruikers. van de manier waarop de kwetsbaarheid openbaar wordt gemaakt.”
De uitdaging waarmee de overheid en de industrie worden geconfronteerd, is het verbeteren van de veiligheid zonder de privacy in gevaar te brengen, aldus Granick. De e-mails tussen Alexander en Google-managers laten, zei ze, zien “hoe informeel informatie delen heeft plaatsgevonden in dit vacuüm, waar er geen bekende, transparante, concrete, gevestigde methodologie bestond om beveiligingsinformatie in de juiste handen te krijgen.”
De door Alexander aangehaalde geheime briefing maakte deel uit van een geheim overheidsinitiatief dat bekend staat als het Enduring Security Framework (ESF), en zijn e-mail biedt zeldzame informatie over wat het ESF inhoudt, de identiteit van enkele deelnemende technologiebedrijven en de bedreigingen die zij bespraken.
Alexander legde uit dat de plaatsvervangende secretarissen van het ministerie van Defensie, Binnenlandse Veiligheid en ‘18 Amerikaanse CEO’s’ het ESF in 2009 hebben gelanceerd om ‘de acties van de overheid en de industrie te coördineren op het gebied van belangrijke (algemeen geheime) veiligheidskwesties die niet door individuele actoren alleen kunnen worden opgelost. .”
“De afgelopen 18 maanden hebben wij (voornamelijk Intel, AMD [Advanced Micro Devices], HP [Hewlett-Packard], Dell en Microsoft aan de industriële kant) bijvoorbeeld een poging gedaan om het BIOS van bedrijfsplatforms te beveiligen om een probleem aan te pakken dreiging op dat gebied.”
“BIOS” is een acroniem voor “basic input/output system”, de systeemsoftware die de hardware in een personal computer initialiseert voordat het besturingssysteem opstart. NSA-cyberdefensiechef Debora Plunkett maakte in december bekend dat de dienst dat wel had gedaan verijdelde een “BIOS-plot” door een ‘natiestaat’, geïdentificeerd als China, om Amerikaanse computers te blokkeren. Dat complot, zei ze, had de Amerikaanse economie kunnen vernietigen. In ‘60 Minutes’, dat het verhaal naar buiten bracht, werd gemeld dat de NSA samenwerkte met niet bij naam genoemde ‘computerfabrikanten’ om de kwetsbaarheid van de BIOS-software aan te pakken.
Maar sommige cybersecurity-experts stelde het scenario in vraag geschetst door Plunkett.
“Er zit waarschijnlijk een echte gebeurtenis achter, maar dat is moeilijk te zeggen, omdat we geen details hebben”, schreef Robert Graham, CEO van het penetratietestbedrijf Errata Security in Atlanta, in december op zijn blog. “Het” is volkomen onjuist in de boodschap die het probeert over te brengen. Wat eruit komt is onzin, zoals ieder technisch persoon kan bevestigen.”
En door de NSA in te schakelen om hun verdediging te versterken, hebben deze bedrijven zichzelf mogelijk kwetsbaarder gemaakt voor de pogingen van de NSA om deze te doorbreken voor surveillancedoeleinden.
“Ik denk dat het publiek zich zorgen zou moeten maken over de vraag of de NSA werkelijk haar uiterste best deed, zoals de e-mails beweren, om het BIOS en mobiele apparaten van bedrijven te helpen beveiligen en de grootste kwetsbaarheden niet dicht bij de borst te houden”, zegt Nate Cardozo, een stafmedewerker. advocaat bij het digitale burgerlijke vrijhedenteam van de Electronic Frontier Foundation.
Hij twijfelt er niet aan dat de NSA probeerde het bedrijfs-BIOS te beveiligen, maar hij suggereerde dat de dienst voor zijn eigen doeleinden “op zoek was naar zwakke punten in precies dezelfde producten die ze proberen te beveiligen.”
De NSA “heeft er niets mee te maken om Google te helpen zijn faciliteiten tegen de Chinezen te beveiligen en tegelijkertijd via de achterdeuren binnen te dringen en de glasvezelverbindingen tussen Google-basiscentra af te tappen”, zei Cardozo. “Het feit dat het dezelfde instantie is die beide dingen doet, is in duidelijke tegenspraak en belachelijk.” Hij adviseerde om de offensieve en defensieve functies over twee agentschappen te verdelen.
Twee weken na de uitzending van ‘60 Minuten’ meldde het Duitse tijdschrift Der Spiegel, onder verwijzing naar documenten verkregen door Snowden, dat de De NSA heeft achterdeurtjes in het BIOS geplaatst, en deed precies waar Plunkett tijdens haar interview een natiestaat van beschuldigde.
Schmidt van Google kon de mobiliteitsbeveiligingsbijeenkomst in San Jose in augustus 2012 niet bijwonen.
‘Generaal Keith.. zo leuk je te zien..!’ Schmidt schreef. “Het is onwaarschijnlijk dat ik die week in Californië zal zijn, dus het spijt me dat ik er niet bij kan zijn (zal aan de oostkust zijn). Ik zie je graag een andere keer. Bedankt !" Sinds de onthullingen van Snowden heeft Schmidt kritiek geuit op de NSA en dat ook gezegdsurveillanceprogramma's kunnen illegaal zijn.
Legergeneraal Martin E. Dempsey, voorzitter van de Joint Chiefs of Staff, was aanwezig bij die briefing. Dat meldde Foreign Policy een maand later Dempsey en andere overheidsfunctionarissen – Alexander wordt niet genoemd – waren in Silicon Valley ‘de hersenen van leiders uit de hele vallei aan het uitzoeken en de noodzaak aan het bespreken om snel informatie over cyberdreigingen te delen.’ Buitenlands beleid merkte op dat de aanwezige leidinggevenden uit Silicon Valley tot het ESF behoorden. In het verhaal stond niet dat bedreigingen voor de mobiliteit en veiligheid het hoogste agendapunt waren, samen met een geheime dreigingsbriefing.
Een week na de bijeenkomst zei Dempsey tijdens een persconferentie van het Pentagon: “Ik was onlangs ongeveer een week in Silicon Valley om kwetsbaarheden en kansen op cybergebied te bespreken met leiders uit de industrie … Ze waren het erover eens – we waren het allemaal eens over de noodzaak om de dreiging te delen informatie op netwerksnelheid.”
Google-medeoprichter Sergey Brin woonde eerdere bijeenkomsten van de ESF-groep bij, maar vanwege een planningsconflict kon hij volgens de e-mail van Alexander ook de briefing van 8 augustus in San Jose niet bijwonen, en het is niet bekend of iemand anders van Google is gestuurd.
Een paar maanden eerder had Alexander Brin een e-mail gestuurd om hem te bedanken voor de deelname van Google aan het ESF.
“Ik beschouw het werk van ESF als cruciaal voor de vooruitgang van het land tegen de dreiging in cyberspace en waardeer Vint Cerf [de vice-president en hoofd internet-evangelist van Google], Eric Grosse [vice-president van beveiligingstechniek] en Adrian Ludwig [hoofdingenieur voor Android-beveiliging] enorm. bijdragen aan deze inspanningen gedurende het afgelopen jaar”, schreef Alexander in een e-mail van 13 januari 2012.
“U heeft onlangs een uitnodiging ontvangen voor de bijeenkomst van de ESF Executive Steering Group, die zal worden gehouden op 19 januari 2012. De bijeenkomst is een gelegenheid om onze prestaties in 2012 te erkennen en richting te geven aan het komende jaar. We zullen de doelstellingen en specifieke doelstellingen van het ESF voor 2012 bespreken. We zullen ook enkele van de bedreigingen bespreken die we zien en wat we doen om die bedreigingen te verzachten... Uw inzichten, als belangrijk lid van de Defense Industrial Base, zijn waardevol om de veiligheid van het ESF te waarborgen. inspanningen hebben meetbare impact.”
Een Google-vertegenwoordiger weigerde specifieke vragen te beantwoorden over de relatie van Brin en Schmidt met Alexander of over het werk van Google met de overheid.
“We werken heel hard om onze gebruikers te beschermen tegen cyberaanvallen, en we praten altijd met experts – ook bij de Amerikaanse overheid – zodat we voorop blijven lopen”, zei de vertegenwoordiger in een verklaring aan Al Jazeera. “Dat is de reden waarom Sergey deze NSA-conferentie bijwoonde.”
Brin reageerde de volgende dag op Alexander, ook al gebruikte het hoofd van de NSA niet het juiste e-mailadres toen hij contact opnam met de medevoorzitter.
“Hallo Keith, ik kijk ernaar uit je volgende week te zien. Ter informatie: mijn beste e-mailadres om te gebruiken is [geredigeerd]”, schreef Brin. “Degene waar je e-mail naartoe ging – [e-mail beveiligd] – Ik controleer het niet echt.”
ZNetwork wordt uitsluitend gefinancierd door de vrijgevigheid van zijn lezers.
Doneren