Een Star Wars website voor CIA agenten was alleen aan de oppervlakte een goed idee

Debora Pape

28/5/2025

Vertaling: machinaal vertaald

Rond 2010 gebruikte de CIA slordig geprogrammeerde websites als communicatienetwerk voor haar buitenlandse bronnen. Nu komen honderden van deze sites aan het licht.

De onderzoeksresultaten van de Braziliaanse webontwikkelaar Ciro Santilli lezen als een spionagethriller. Het gaat over de CIA, haar agenten in het Midden- en Verre Oosten en een Star Wars website. En uiteindelijk sterven er mensen.

Omstreeks 2010 gebruikte de CIA, de buitenlandse inlichtingendienst van de VS, blijkbaar honderden news en fan websites voor verhulde communicatie met haar bronnen ter plaatse. Door nalatig programmeren en hosten van de websites konden vijandelijke inlichtingendiensten ze ontdekken en binnenlandse agenten ontmaskeren. Dit was meer dan tien jaar geleden, maar nu pas wordt de omvang van dit communicatienetwerk openbaar.

De CIA en haar Star Wars fansite

Santilli ging op zoek naar de verborgen CIA websites en stuitte op een fansite over onder andere Star Wars. Deze was toegankelijk via het adres starwarsweb.net. Tegenwoordig verwijst de URL naar de homepage van de CIA. Santilli gebruikte openbaar beschikbare informatie voor zijn onderzoek, waaronder de online tool Wayback Machine, waarmee eerdere versies van verschillende websites kunnen worden bekeken.

Er bestaat een afbeelding van starwarsweb.net van 30 december 2010, die nog steeds toegankelijk is. De site lijkt niet veel toegevoegde waarde te bieden. Het is een verzameling links en aanbevelingen over thema's uit Star Wars, bijvoorbeeld «Master Yoda's favoriete spelletjes». De site hoefde niet meer diepgang te bieden, want hij was alleen bedoeld om oppervlakkig te blijven. In feite werd hij gebruikt voor communicatie tussen de bron en het CIA-contact.

Blootgelegd via de openbaar zichtbare broncode

Een rapport van Yahoo had hier in 2018 al de aandacht op gevestigd. Dit werd in 2022 gevolgd door een Reuters rapport, dat duidelijk maakte hoe de agenten succesvol werden ontmaskerd. Daaruit blijkt dat de nalatigheid van de CIA tussen 2010 en 2013 de identiteit van agenten in Iran aan het licht bracht. Zij hadden informatie over de locaties van uraniumverrijkingsinstallaties in Iran doorgespeeld aan de Amerikaanse autoriteiten. Hun arrestatie werd gevolgd door lange gevangenisstraffen of zelfs executies.

De websites van de CIA staan centraal in deze nalatigheid. Het communicatiesysteem werkte blijkbaar onder andere als volgt: Er was een zoekveld op de websites, maar dat diende eigenlijk als invoerveld voor een wachtwoord. Door op de juiste manier in te loggen, konden de bronnen berichten invoeren in een nieuw geopend veld, die werden doorgestuurd naar de beheerder van de website - de CIA.

Het probleem: De broncode van de pagina, die voor iedereen zichtbaar is, maakt het ware doel van de zoekbalk duidelijk. In de broncode is het invoertype voor de zoekbalk «wachtwoord». Dit vertelt de server dat de invoer geen zoekterm is, maar een inlogpoging.

Voor buitenstaanders bezoekt de agent gewoon een willekeurige website. Maar iedereen die het doel kent, kan toegang krijgen tot de communicatiekanalen door het wachtwoord in te voeren. Vanuit het oogpunt van beveiligingsexperts is dit een ramp. In China leidde de ontmaskering tot het doden van talloze agenten.

Meer bewijs voor de verificatie van CIA websites

Santilli wijst erop dat het zoekvak slechts een van de vele aanwijzingen is die wijzen op het gebruik van een site in dienst van de CIA. De Star Wars pagina heeft bijvoorbeeld helemaal geen zoekveld. De site heeft echter verschillende kenmerken die overeenkomen met die van andere CIA sites, zoals een vergelijkbare structuur, overeenkomsten in de domeinnaam en in de gebruikte communicatiemechanismen: Java JAR, JavaScript, Adobe Flash SWF en CGI.

Volgens Santilli is de ernstigste operationele beveiligingsfout van de CIA het gebruik van opeenvolgende IP-adressen voor meerdere websites. Als een site eenmaal is blootgesteld, kunnen mogelijke CIA-kandidaten ook worden gevonden in de aangrenzende IP-reeks.

Tijdens zijn onderzoek vond Santilli honderden andere internetadressen die konden worden toegewezen aan het communicatienetwerk. De lijst met websites en zijn aanpak zijn hier gedocumenteerd. Op basis van de taal van de website is het mogelijk om te bepalen waar de betrokken bronnen actief waren - onder andere in Duits- en Italiaanssprekende landen.

Debora Pape

Editor

Debora.Pape@galaxus.de

Voelt zich net zo thuis voor de spelcomputer als in de hangmat in de tuin. Houdt onder andere van het Romeinse Rijk, containerschepen en sciencefictionboeken. Bovenal speurt hij naar news uit de IT-sector en slimme dingen.

Deze artikelen kunnen je ook interesseren