Moet de overheid zerodays wel of niet gebruiken in de handhavings- en inlichtingendiensten?

qimono / Pixabay

Op Twitter las ik deze inhaker op een NRC-column van jurist Vincent de Haan over gebruik van zero-days. “Zonder 0days wordt onze overheid nog machtelozer online dan ze nu al zijn en dat kunnen we ons niet veroorloven. Als de overheid niet digitaal kan optreden loopt onze privacy en veiligheid een groot gevaar”, aldus Ronald Prins daar. Daar stelde De Haan dus tegenover “Met behulp van [zerodays] houden autoritaire regimes journalisten, activisten en advocaten in de gaten. … Maar we moeten ons realiseren dat de Nederlandse overheid, door het gebruiken van zero-days – één van de belangrijkste ingrediënten van de Pegasus software – medeverantwoordelijk is.”

Een zeroday is security-jargon voor een kwetsbaarheid waarvan misbruik te maken is, maar die nog niet bekend is bij de maker van de software of dienst. (De etymologie is wat vaag maar lijkt afkomstig uit de warez scene waar het ging over de zeer prestigieuze actie om gekraakte software dezelfde dag als het origineel te publiceren. Het heeft dus niet perse te maken met dat de bug zero days geleden ontdekt of gemeld is of iets dergelijks.)

Wie een dergelijke kwetsbaarheid heeft, kan bij de betreffende software inbreken en bijvoorbeeld gegevens aftappen, eigen software (zoals spyware) installeren of wat je maar zou willen doen. Dat is voor criminelen aantrekkelijk maar ook voor opsporings- en inlichtingendiensten die op die manier interessante personen kunnen volgen. Of dus journalisten kunnen volgen en dan arresteren wanneer deze al te irritant worden. Zoals bij de Pegasus-software, waar deze heisa mee begon.

Het punt is dan dat overheden niet perse zelf kwetsbaarheden gaan ontdekken, maar deze ook op de vrije markt gaan inkopen. En vooral, dat die overheden vervolgens de makers niet informeren maar het gat lekker laten bestaan:

Het Pegasusschandaal is immers precies waarvoor gevreesd werd bij de invoering van de hackbevoegdheid: onschuldige mensen worden gehackt met kwetsbaarheden die bij de overheid reeds bekend waren, maar die voor het gemak van het boevenvangen niet gedicht zijn.
Prins stelt daar tegenover dat “Als duidelijk is dat 0days misbruikt worden door criminelen of andere staten moeten ze onmiddellijk gemeld worden. In het algemeen geldt dat software altijd meerdere kwetsbaarheden zal hebben. Het melden van niet gebruikte 0days maakt een product niet significant veiliger”. Dat is natuurlijk waar, maar waar het om gaat is of het ethisch is dat de overheid weet van grote kwetsbaarheden en die dan voor zich houdt omdat ze die nodig heeft voor de inlichtingen- en veiligheidsdiensten.

Natuurlijk kun je dan zeggen, als die dit nodig hebben dan is dat in het landsbelang. Maar het is nooit zo dat een dergelijk gat alléén bekend is bij de AIVD, zeker niet als het op de vrije markt is ingekocht. Want reken maar dat zo’n bedrijf diezelfde informatie verkoopt aan wie dan ook, dus de criminelen hebben dit snel genoeg te pakken. Is het dan niet juist je maatschappelijke plicht als overheid om deze lekken zo snel mogelijk dicht te krijgen?

Arnoud

7 reacties

    1. In tegendeel, ik denk dat het verstandig is dat de overheid security audits uitvoert of laat uitvoeren op door haar gebruikte software en systemen en de daarin gevonden problemen laat oplossen door haar leveranciers.

      Oftewel zero-day kopen: Nee; zoeken (en rapporteren) bevorderen: Ja!

  1. Prins stelt “Als duidelijk is dat 0days misbruikt worden door criminelen of andere staten moeten ze onmiddellijk gemeld worden.

    Daartegenover stel ik “Elke gevonden of vermoedde 0day moeten ze onmiddellijk melden. Punt”. En in dat opzicht heb ik meer vertrouwen in de Free Software omgeving, want zelfs redelijk geachte bedrijven met closed source software willen vaak de overheden ten dienste zijn. En die overheden zitten veelal verspreid over de ganze aarde.

  2. Diodisch denken tussen de BVD en mensenrechten.

    Ik ben steeds meer de taak van de inlichtingendiensten anders, en positiever, in gaan zien. Historisch gezien was deze de dief in dienst van een machtige: deze ging naar de schimmige kroegen en bordelen, en legde daar een oor te luister. Plekken waar een machtige nooit gezien mag worden, maar waar wel de dronken buitenlandse soldaten of omkoopbare politici te vinden zijn, met waardevolle informatie.

    Elk land, elke soevereine staat, bestaat uit een team met verschillende taken en specialiteiten. In het landsbelang, is het dan soms nodig om een stevige stok achter de deur te hebben: Buitenwippers. Inmengers. Koudstellers. Laten struikenaars. Waarzeggers. Realiteit: diensten uit Iran komen in Nederland moordaanslagen plegen op journalisten. Russen proberen internationale instituten te hacken, vanaf de parkeerplaats. Een terroristengroep uit Berlijn verdwijnt van de radar, maar signalen worden opgevangen dat ze naar Rotterdam zijn verkast. Criminelen verkopen onkraakbare encryptiesystemen waarmee andere topcriminelen moordaanslagen mee voorbereiden.

    Dus als je dan, zeg, Whatsapp kan afluisteren op bepaalde Android telefoons met iets oudere versie, je via een backdoor alle social media informatie van toekomstige inlichtingenagenten kan doorpluizen, je de communicatie van game servers extern kunt uitlezen en scannen op keywords, of de hand legt op de laatste 0day (misschien zelf gemaakt) om een deep-web server te compromitteren, dan kun je dat soort realiteiten dus aanpakken.

    Het is niet de taak van de Nederlandse diensten om Whatsapp te informeren dat ze in bepaalde gevallen end-to-end kunnen doorbreken op bepaalde toestellen. Maar als Philips of KPN, of een ander bedrijf essentieel voor staatsveiligheid — elk dat essentiele diensten levert en de economie van Nederland gezond houdt — Dan is er Nationaal Cyber Security Centrum en Nationaal Coördinator Terrorismebestrijding en Veiligheid. Deze werkt samen met hackers en andere diensten. Dus, is er een 0day die werkelijk gevaar oplevert voor Nederlandse bedrijven of personen / journalisten, dan zijn er ook instanties om daar wat tegen te doen.

    De overheid verplichten niet met 0days te werken maar deze te melden: de moordaanslag op de, in Nederland op visum wachtend, journalist, die afgeluisterd werd op Whatsapp door Iraanse overheid, kon niet worden voorkomen, omdat de diensten geen informatie hadden. Dat is een realistisch iets wat je, als je het op mensenrechten gooit in Nederland, waar de overheid niet met 0days standaard journalisten afluisterd, moet kunnen verdedigen. Die Iraanse vluchteling heeft immers ook mensenrechten. En Nederlandse ingezetenen dienen te worden beschermt.

    1. journalist, die afgeluisterd werd op Whatsapp door Iraanse overheid

      Juist dát is toch het probleem? Dat WhatsApp afgeluisterd werd, of een telefoon gehackt was? Die ingezetene had mogelijk beschermd kunnen worden juist door het oplossen van een 0-day. Nee, we laten dus juist 0-days door alle landen (langer) gebruiken. En daarmee is een ingezetene vogelvrij voor een land waar deze kritisch op was.

  3. Die ingezetene had mogelijk beschermd kunnen worden juist door het oplossen van een 0-day.

    Ik denk dat dus niet. Er zijn 0days die zo geavanceerd zijn dat alleen overheden er gebruik van kunnen maken. Er zijn 0days door de overheid zelf gemaakt. Met het oplossen ervan, raak je het overzicht erop kwijt (mogelijk kunnen sommige diensten zien waar en door wie de Whatsapp 0day word gebruikt). Een beetje zoals een gifmenger verbieden om met de laatste ingredienten te werken, maar deze eerst te melden, zodat ze op een banlijst kunnen komen.

    De 0days worden niet lukraak gebruikt, en niet ingezet tegen onschuldige journalisten. Ze gaan naar de rechter om een taptoestemming, tappen de telefoon af, en merken dan dat vooral via Whatsapp word gecommuniceerd. Dan dus inzetten van 0day voor dat toestel om die communicatie ook uit te kunnen lezen (toestemming heb je reeds).

    De politie en het leger heeft een monopolie op geweld met pistolen. De diensten een monopolie op gebruik van 0days om vijandige communicatie te kunnen kraken. Je moet op de politie kunnen vertrouwen in dit land, net zoals je op de diensten moet kunnen vertrouwen in dit land. Ik vertrouw erop dat ze 0days, en informatie hierover, inzetten voor dingen als:

    https://www.nu.nl/binnenland/6151379/veiligheidsdiensten-voorkwamen-aanslag-op-pakistaanse-blogger-in-rotterdam.html

    Nederlandse veiligheidsdiensten hebben een moordaanslag op een in Rotterdam woonachtige Pakistaanse blogger voorkomen, meldt de NOS zaterdag. Mogelijk was de Pakistaanse geheime dienst betrokken bij de dreiging.

    https://www.nu.nl/binnenland/6151658/frans-staatsgeheim-over-encrochat-belandde-via-collega-rechter-bij-rechtbank.html

    In juli vorig jaar werd duidelijk dat de Franse justitie dankzij het hacken van aanbieder van versleutelde communicatie EncroChat, beschikte over miljoenen aan criminelen toegeschreven berichten. Hoe deze hack tot stand kwam, werd omgedoopt tot Frans militair staatsgeheim.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.