President Donald Trump dankt zijn verkiezing deels aan ophef over de byod (bring your own device)-mailserver van Hillary Clinton. Maar Trump heeft zelf ook nogal wat ict-securityzondes. Zo is hij nu net over op een iPhone, vanaf een stokoude Android.
De sociale-mediatopman van het Witte Huis meldt in een tweet dat de 45ste president van de Verenigde Staten de afgelopen weken zijn nieuwe iPhone heeft gebruikt op Twitter. Daarmee lijkt Trump afgestapt te zijn van zijn stokoude Android-smartphone, die volgens analyse van openbare foto’s een Samsung Galaxy S3 lijkt te zijn. Dat toestel is uitgekomen in 2012 met Android-versie 4.0.4 (Ice Cream Sandwich).
Voor dat oude besturingssysteem (uitgekomen in maart 2012) zijn meerdere ongepatchte kwetsbaarheden bekend. Technisch gezien kan de S3 worden ge-upgrade tot maximaal Android 4.4.2 (KitKat), dat in maart 2014 is uitgebracht. Trump behoort met zijn Android-gebruik tot de één procent (ICS, versie 4.0.4), enkele procenten (Jelly Bean, versies 4.1 t/m 4.3) of 20,8 procent (KitKat) van de gebruikers die volgens metingen van Google nog op dergelijke oude Androids zitten.
Het aanhoudende gebruik van het oude, en hackbare, Android-toestel heeft al geleid tot kritische securityvragen van (Democratische) senators die zitting hebben in het Homeland Security Committee. Het hackgevaar gaat niet alleen om de tweets van Trump, maar ook om indirecte toegang tot gevoelige informatie. Zo zijn bijvoorbeeld microfoons en camera’s af te tappen. Overigens lijkt het er nu op dat Trump niet volledig is afgestapt van Android. Enkele recente tweets van hem zijn namelijk nog geplaatst vanaf dat mobiele besturingssysteem.
Openbaar bestuur
Smartphones zijn ook (letterlijk) in beeld gekomen bij een andere securityzonde van Trump. De zakenman die nu tevens president van de VS is, bespreekt overheidszaken en -documenten in het openbaar. De plots Noord-Koreaanse raketlancering vond plaats toen Trump in zijn luxe resort Mar-a-Lago was, waar hij de internationale crisis ging bespreken aan tafel in de open dinerzaal. Stafleden hebben met de cameralampjes van hun smartphones geheime overheidsdocumenten bijgelicht in de schemerige zaal.
In die open omgeving, voor betalende gasten van Trumps ‘tweede Witte Huis’, waren meerdere andere gasten aanwezig. Naast natuurlijk het reguliere personeel van Mar-a-Lago. Beide categorieën omstanders hebben niet bepaald de vereiste securitypermissies. De privéclub probeert nu wel wat aan security te doen, onder meer door foto’s te verbieden en wellicht ook de gratis Wi-Fi aan te pakken.
Maar Mar-a-Lago is niet de enige locatie voor ‘openbaar bestuur’ onder de huidige president. Het Trump-hotel in Washington blijkt de thuislocatie voor diverse topbestuurders, naast bijvoorbeeld reality-tv-ster Dog the Bounty Hunter. Een derde Witte Huis dus? Niet alleen is dit geen gegarandeerd veilige omgeving, ook qua ict. Het omstreden hotel in het voormalige federale postkantoor is nog volop in verbouwing, maar al wel deels open voor business. Enkele jaren terug heeft de van oorsprong Russische securityleverancier Kaspersky Lab al Dark Hotel onthuld: geniepige hotelhacks die zijn gericht op topbestuurders.
Surveillancesprookjes
Trump is echter niet geheel onwetend van het gevaar van afluisteren, dan wel surveillance. Alleen wijst hij met beschuldigende vinger – en zonder bewijs – naar de voorgaande Amerikaanse regering. Zeker, de CIA blijkt middelen te hebben om bepaalde modellen Samsung-smart-tv’s te hacken en dan in te zetten als afluisterapparaten. Dit blijkt uit uitgelekte informatie die klokkenluiderssite Wikileaks heeft geopenbaard.
Het vermeende – maar geheel niet onderbouwde – afluisteren zou volgens Trumps adviseur Kellyanne Conway echter weleens vanuit magnetrons kunnen komen. ‘Wat ik kan zeggen, is dat er veel manieren zijn om elkaar te surveilleren’, verklaart de eerder op leugens betrapte vertrouweling van de Amerikaanse president. ‘Je kunt iemand surveilleren via hun telefoons, zeker via hun televisies, er zijn vele verschillende manieren.’ Vervolgens heeft ze gesteld dat monitoring ook kan door magnetrons om te zetten in camera’s. ‘We weten dat dit een feit is.’
De bron van Trumps surveillance-paranoia zou echter niet geheime overheidsinformatie zijn. CNN-journalist Jake Tapper meldt in een tweet dat hij van bronnen in het Witte Huis te horen heeft gekregen dat de president is ‘getipt’ over aftappen door media als de rechtse nepnieuwssite Breitbart.
Security-adviseurs
Naast het vooralsnog ongefundeerde surveillancesprookje speelt er nog een afluisteraffaire die wel officieel is bevestigd. Trumps adviseur voor nationale veiligheid, oud-generaal Michael Flynn, heeft gelogen over zijn gesprekken met de Russische ambassadeur Sergey Kislyak. De inmiddels opgestapte Flynn had als voormalig directeur van de militaire inlichtingendienst (Defense Intelligence Agency) kunnen weten dat die Russische diplomaat wordt gemonitord door Amerikaanse inlichtingendiensten.
Flynns fout was eerder al bekend gemaakt aan het Witte Huis. Na Flynns opstappen zijn er opvolgers in beeld gekomen voor de positie als national security advisor. Daaronder bevindt zich de meermaals onderscheiden maar tegelijkertijd ook securitylekkende generaal David Petraeus. Natuurlijk kan een voormalig CIA-directeur als Petraeus leren van gemaakte fouten in het verleden. Zelfs securityzondes kunnen vergeven worden.
Privémail
Een ict-securityzonde die Trump en zijn aanhang niet kunnen vergeven, is Hillary Clintons gebruik van een privémailserver. Alleen blijkt deze zonde ook begaan door seniorstafleden van Trump, heeft Newsweek begin dit jaar al onthuld. Topadviseurs als Kellyanne Conway en Trumps schoonzoon Jared Kushner, naast de van Breitbart afkomstige hoofdstrateeg Steve Bannon en perswoordvoerder Sean Spicer blijken mailaccounts te gebruiken op het rnchq.org-domein van de Republikeinse Partij.
Bovendien zou deze server vorig jaar al gehackt zijn, tegelijk met de geruchtmakende hack bij de Democratische Partij. Bij laatstgenoemde hack is controversiële informatie buitgemaakt die vervolgens is geopenbaard. De hack bij de Republikeinen lijkt óf niets bijzonders te hebben opgeleverd óf stil te zijn gehouden door de daders.
Stilhouden is echter niet gebeurd met een andere hack van privémail die met Trump is verbonden. Vicepresident Mike Pence blijkt privémail te gebruiken, voor werkzaken. Hij heeft als gouverneur van Indiana onder andere terrorismebeleid en FBI-arrestaties van terrorismeverdachten besproken via zijn privémailaccount. Wat sommigen nog meer heeft geschokt, is dat het hier ging om een mailaccount bij provider AOL (America Online).
Natuurlijk is er een gepaste Trump-tweet uit het verleden die de ironie naar nieuwe hoogtes stuwt. Mike Pence heeft in oktober vorig jaar getweet dat hij en Donald Trump de FBI prijzen voor het ‘heropenen’ van het onderzoek naar Hillary Clintons persoonlijke e-mailserver, ‘omdat niemand boven de wet staat’. Dit betrof de plotse en omstreden bekendmaking van FBI-directeur James Comey dat er mogelijk nog een staartje zat aan het onderzoek naar de ict-securityzondes van Hillary Clinton. Overigens is Clintons mailserver voor zover bekend niet gehackt.
