Dacht je dat e-mail een veilig medium was om informatie met anderen te delen? Think again. Elke e-mail die je verstuurt kan onderschept worden door allerlei bedrijven en inlichtingendiensten, althans zo blijkt uit een onderzoek van de Correspondent. Journalist Dimitri Tokmetzis onderzocht met behulp van internetsecuritybedrijf Virus Bulletin welke route een e-mail aflegt voordat deze bij de ontvanger aankomt.
E-mailverkeer verloopt via allerlei landen en servers. Het is echter niet duidelijk welke partijen daar precies bij betrokken zijn en wat er dan met de e-mails gebeurt. Door een aantal experts raad te plegen en geopenbaarde NSA-documenten te onderzoeken werd stapje voor stapje duidelijk wat er gebeurt met een e-mail.
Lange reis
Zo blijkt dat de e-mail die Tokmetzis vanuit Nederland naar Groot Britannië verstuurde een lange reis aflegde voordat deze bij de eindbestemming aankwam. De e-mail ging van België naar de Verenigde Staten en vervolgens nog een paar keer heen en weer om te eindigen in Groot Brittanië. Op deze route hebben de verschillende inlichtingendiensten allerlei mogelijkheden gehad om de e-mail te onderscheppen. Deze complexe route en verschillende mogelijkheden tot onderscheppen worden in het artikel overzichtelijk in stripvorm uitgelegd.
Het blijkt in elk geval dat de NSA je – nog onversleutelde – e-mail al kan onderscheppen terwijl je hem nog aan het schrijven bent met diensten als Twistedkill, Swap, Olympusfire en Ratemonk, dat Google de versleuteling tijdelijk verbreekt om te scannen voor reclamedoeleiden, Engeland het programma Tempora heeft waarmee het e-mail kan onderscheppen, Google je e-mail kopieert en opslaat, NSA informatie kan aanvragen met behulp van de Data Intercept Technology Unit en de Patriot Act en je e-mail bovendien regelmatig stukken onbeschermd reist.
Geen briefgeheim
De route die de e-mail aflegt is afhankelijk van de aansluitingen. Zodra een kabel tijdelijk niet werkt wordt de e-mail omgeleid en kan de route er weer totaal anders uitzien. Deze route bepaalt uiteindelijk wie in staat is om jouw e-mail te onderscheppen. Zelfs als de e-mail binnen Nederland of Europa blijft kan hij onderschept worden want een e-mail valt niet onder briefgeheim – dat veilige onbespiede communicatie zou moeten waarborgen.
Volgens ict-jurist Arnoud Engelfriet zal e-mail voorlopig nog wel even onveilig blijven want opsporings- en veiligheidsdiensten hebben er baat bij de e-mail te kunnen scannen; net als Google die gepersonaliseerde advertenties aan wilt bieden. De enige manier om je e-mail volledig te beschermen is door deze te versleutelen met een betaalde service die volledige end-to-end encryptie aanbiedt. Alleen dan kan niemand je mail lezen maar zelfs dan worden nog steeds je meta-data opgeslagen. In dit artikel geeft Maurits Martijn een lijst met tips om je digitale communicatie te beveiligen.