Koreaanse geheime dienst tapt Gmail af

De Zuid-Koreaanse geheime dienst geeft toe Gmail-verkeer af te tappen voor opsporing. De vraag is of dat ook gebeurt met htT*S-verkeer.

De Zuid-Koreaanse National Intelligence Service ( NIS) heeft in een rechtszaak toegegeven het Gmail-verkeer van de 52-jarige oud-onderwijzer Kim Hyeong-geun te hebben afgetapt, schrijven Koreaanse media. De man startte een rechtszaak vanwege de tapacties.

De NIS schrijft in de rechtbankdocumenten dat Kim maatregelen had genomen om detectie door inlichtingendiensten te voorkomen. "Hij verwijderde mails meteen na versturen of ontvangen. We maakten de beoordeling dat het verzamelen van bewijs via de conventionele manieren lastig zou zijn en zijn toen overgegaan tot het aftappen van datapakketjes", aldus de NIS.

DPI
Het gerechtshof heeft NIS verzoek om over te gaan tot aftappen van Gmail eerder toegestaan. Volgens de inlichtingendienst is aftappen 'onontkomelijk' als burgers overgaan tot 'cyberasiel' via buitenlandse emaildiensten als Gmail en Hotmail, die met gebruik van andere opsporingsmethoden buiten het bereik van de Koreaanse inlichtingendiensten liggen.

De precieze manier waarop de NIS het Gmail-verkeer van Hyeong-geun heeft opgevangen wordt uit de Koreaanse berichtgeving niet duidelijk. Wel zou er sprake zijn van het gebruik van deep packet inspection (dpi) waarbij alle datapakketjes die een gebruiker ontvangt en verstuurt worden geopend. DPI wordt niet alleen voor censuur gebruikt. Nederlandse telecombedrijven hebben dit jaar toegegeven DPI te gebruiken om netwerkverkeer in de gaten te houden.

SSL
Of de NIS medewerking heeft gehad van de isp van Hyeong-geun vermelden Koreaanse media niet. Een andere mogelijkheid is een man-in-the-middle-aanval. Probleem daarbij is dat Gmail sinds anderhalf jaar standaard htT*S-verbindingen gebruikt. Het zou kunnen dat de NIS gebruikmaakt van een Certificaatautoriteit (CA) waar het controle over heeft. Die CA zou dan malafide SSL-certificaten voor Google-diensten kunnen uitgeven, op een vergelijkbare manier als de Iraanse hackers deden bij de kraak van de Nederlandse CA Diginotar.

De Engelstalige versie van de krant Hani spreekt, wellicht abusievelijk, van het decrypten van versleutelde datapakketjes. Google voerde voor Gmail standaard htT*S in nadat vanuit China een man-in-the-middle-aanval was gericht op Chinese dissidenten die Gmail gebruikten. Wellicht heeft het aftappen van Hyeong-geun plaatsgevonden in de periode voor de inschakeling van htT*S bij Gmail.