Moet de overheid zerodays wel of niet gebruiken in de handhavings- en inlichtingendiensten?

| AE 12832 | Regulering | 7 reacties

qimono / Pixabay

Op Twitter las ik deze inhaker op een NRC-column van jurist Vincent de Haan over gebruik van zero-days. “Zonder 0days wordt onze overheid nog machtelozer online dan ze nu al zijn en dat kunnen we ons niet veroorloven. Als de overheid niet digitaal kan optreden loopt onze privacy en veiligheid een groot gevaar”, aldus Ronald Prins daar. Daar stelde De Haan dus tegenover “Met behulp van [zerodays] houden autoritaire regimes journalisten, activisten en advocaten in de gaten. … Maar we moeten ons realiseren dat de Nederlandse overheid, door het gebruiken van zero-days – één van de belangrijkste ingrediënten van de Pegasus software – medeverantwoordelijk is.”

Een zeroday is security-jargon voor een kwetsbaarheid waarvan misbruik te maken is, maar die nog niet bekend is bij de maker van de software of dienst. (De etymologie is wat vaag maar lijkt afkomstig uit de warez scene waar het ging over de zeer prestigieuze actie om gekraakte software dezelfde dag als het origineel te publiceren. Het heeft dus niet perse te maken met dat de bug zero days geleden ontdekt of gemeld is of iets dergelijks.)

Wie een dergelijke kwetsbaarheid heeft, kan bij de betreffende software inbreken en bijvoorbeeld gegevens aftappen, eigen software (zoals spyware) installeren of wat je maar zou willen doen. Dat is voor criminelen aantrekkelijk maar ook voor opsporings- en inlichtingendiensten die op die manier interessante personen kunnen volgen. Of dus journalisten kunnen volgen en dan arresteren wanneer deze al te irritant worden. Zoals bij de Pegasus-software, waar deze heisa mee begon.

Het punt is dan dat overheden niet perse zelf kwetsbaarheden gaan ontdekken, maar deze ook op de vrije markt gaan inkopen. En vooral, dat die overheden vervolgens de makers niet informeren maar het gat lekker laten bestaan:

Het Pegasusschandaal is immers precies waarvoor gevreesd werd bij de invoering van de hackbevoegdheid: onschuldige mensen worden gehackt met kwetsbaarheden die bij de overheid reeds bekend waren, maar die voor het gemak van het boevenvangen niet gedicht zijn.
Prins stelt daar tegenover dat “Als duidelijk is dat 0days misbruikt worden door criminelen of andere staten moeten ze onmiddellijk gemeld worden. In het algemeen geldt dat software altijd meerdere kwetsbaarheden zal hebben. Het melden van niet gebruikte 0days maakt een product niet significant veiliger”. Dat is natuurlijk waar, maar waar het om gaat is of het ethisch is dat de overheid weet van grote kwetsbaarheden en die dan voor zich houdt omdat ze die nodig heeft voor de inlichtingen- en veiligheidsdiensten.

Natuurlijk kun je dan zeggen, als die dit nodig hebben dan is dat in het landsbelang. Maar het is nooit zo dat een dergelijk gat alléén bekend is bij de AIVD, zeker niet als het op de vrije markt is ingekocht. Want reken maar dat zo’n bedrijf diezelfde informatie verkoopt aan wie dan ook, dus de criminelen hebben dit snel genoeg te pakken. Is het dan niet juist je maatschappelijke plicht als overheid om deze lekken zo snel mogelijk dicht te krijgen?

Arnoud

Hoe veilig moet een smartphone zijn?

| AE 2225 | Intellectuele rechten, Security | 33 reacties

pleister-patch-reparatie-fix.jpgEen lezer vroeg me:

Al enige jaren verbaas ik mij over het gebrek aan beveiligingsupdates/patches bij embedded systemen. Zo heb ik zelf een op Linux gebaseerde Nokia smartphone. Nu weet ik dat er regelmatig stabiliteits- en veiligheidslekken in Linux en de applicaties daar bovenop worden ontdekt, maar Nokia lijkt zich daar weinig van aan te trekken. Ik krijg namelijk nauwelijks firmware updates. Is een bedrijf niet verplicht om dergelijke updates te backporten als onderdeel van de aankoop van het produkt? Je mag immers verwachten dat het produkt naar behoren en veilig functioneert.

Dat is een goeie vraag, waar ik me ook regelmatig over verbaas. Inderdaad, een product moet aan de overeenkomst beantwoorden, en daarbij geldt dat

de koper mag verwachten dat de zaak de eigenschappen bezit die voor een normaal gebruik daarvan nodig zijn en waarvan hij de aanwezigheid niet behoefde te betwijfelen, alsmede de eigenschappen die nodig zijn voor een bijzonder gebruik dat bij de overeenkomst is voorzien.

Veiligheid lijkt me bij (embedded) software vandaag de dag wel een eigenschap die voor normaal gebruik nodig is. Je mag niet verwachten dat software foutvrij is, want iedereen weet dat dat niet kan voor de prijs van een smartphone, maar je mag wel verwachten dat fouten van tijd tot tijd worden gerepareerd lijkt me zo.

Niet iedere update of fix voor de originele software is automatisch ook passend voor de embedded software. Deze kan specifiek zijn voor de PC-versie in plaats van het embedded platform, hij kan dingen instabiel maken of eenvoudigweg te groot of complex zijn voor de embedded variant. Ik denk dus niet dat je mag verwachten dat elke security-update doorgevoerd zal worden vanuit de originele software. Maar waar ligt de grens?

Arnoud