Gouden handel in softwarelekken levert gevaarlijke situaties op

Beveiligingslekken in elektronica en software zijn goud waard voor inlichtingendiensten, criminelen en bedrijven. De handel in zulke kwetsbaarheden is voor sommigen lucratief, maar voor de gemiddelde computergebruiker vooral gevaarlijk.

Als uit het niets verscheen deze week ineens een stuk spionagesoftware van de geheimzinnige Amerikaanse inlichtingendienst NSA online. Met de software kan netwerkapparatuur van enkele bekende fabrikanten worden afgeluisterd.

Hoe de software online verscheen en wie achter het lek zit, is nog onduidelijk. Maar één ding lijkt zeker: de uitgelekte code stamt al uit 2013. De beveiligingslekken die de NSA misbruikte bestaan dus al minstens drie jaar, en kunnen in die tijd ook zijn uitgebuit door de hackersgroep die de software kennelijk van de NSA wist te stelen.

Veel inlichtingendiensten verzamelen 'zero-day-lekken', die zo worden genoemd omdat ze nog nul dagen bekend zijn bij de fabrikant van de getroffen software of hardware. Zulke lekken kunnen worden gebruikt om apparatuur te hacken.

Voor inlichtingendiensten vormen de kwetsbaarheden een essentieel onderdeel van cyberspionagecampagnes, terwijl criminelen de lekken kunnen gebruiken om computergebruikers op te schepen met schadelijke software.

Handel

Er bestaat daarom ook een levendige handel in lekken die nog niet zijn verholpen. Die worden soms door criminelen verkocht op verborgen zwarte marktplaatsen als TheRealDeal, waar ook veel wordt gehandeld in gestolen wachtwoorden en creditcardnummers. Maar er zijn ook bedrijven die zich specialiseren in het bouwen van software om lekken te misbruiken.

De bekendste en beruchtste van hen is Hacking Team, een Italiaanse firma die veelvuldig in het nieuws kwam nadat het zelf werd gehackt, waardoor alle bedrijfsgeheimen op straat kwamen te liggen. Hacking Team bleek zaken te doen met autoriteiten in tientallen landen, waaronder de VS, Spanje en Italië.

Maar ook de regeringen van landen als Sudan, Saudi-Arabië en Bahrein bleken de software van Hacking Team af te nemen. In ieder geval in Sudan lijkt de software van het bedrijf te zijn gebruikt om tegenstanders van het regime in de gaten te houden.

Aanbiedingen op zwarte marktplaats TheRealDeal

Aanbiedingen op zwarte marktplaats TheRealDeal

Illegaal

De handel in zero-day-lekken is in veel gevallen illegaal, zegt jurist Matthijs van Bergen van ICTRecht. De Nederlandse wet verbiedt de verkoop van "technische hulpmiddelen" voor computerhacks, als die zullen worden gebruikt om een misdrijf te plegen.

Ook sloten 41 landen, waaronder Nederland, in 2014 het Wassenaar Akkoord. Dat legt de export van onder meer hacktechnieken aan dictatoriale regimes aan banden.

Maar omdat landen er vaak baat bij hebben om zelf softwarelekken in te kopen, blijft de handel floreren en kunnen bedrijven als Hacking Team blijven bestaan. "Het handhaven van dat soort bepalingen gebeurt door dezelfde instanties die potentieel de afnemers zijn van de exploits", zegt Van Bergen.

“We zijn nu zo afhankelijk van onze digitale infrastructuur”
Rejo Zenger, Bits of Freedom

Meldplicht

Het opduiken van de NSA-malware is een teken dat er regels moeten komen die inlichtingendiensten en andere overheidsinstellingen verplichten om softwarelekken te melden bij de fabrikant, vindt Rejo Zenger van burgerrechtenbeweging Bits of Freedom.

Nu bleven de grote lekken lang onopgemerkt. "Dat betekent dus dat die hardware en software al drie jaar lang lek waren, en dat iedereen daar misbruik van kon maken die op de hoogte was van dat lek."

"Dit soort thematiek wordt alleen maar belangrijker", zegt Zenger, die onder meer wijst op de opkomst van het internet of things, een verzamelnaam voor de grote hoeveelheden slimme apparaten die met het internet worden verbonden. Het gaat niet meer alleen om pc's zoals tien jaar geleden, maar ook om smartphones, slimme thermostaten en  in de toekomst ook steeds vaker medische apparatuur.

"We zijn nu zo afhankelijk van onze digitale infrastructuur dat ik denk dat het onverstandig is dat geheime diensten gebruik kunnen maken van zero-days", zegt Zenger daarom.

Kabinetsreactie

Verschillende Kamerpartijen willen opheldering van het kabinet over het gebruik van zero days door de Nederlandse inlichtingendiensten en door de politie. Eind 2015 stelde de Kamer hier al vragen over, maar minister Hennis (Defensie) wilde toen niets zeggen over het aantal zero-days dat de diensten hadden verzameld, "om redenen van operationele veiligheid".

Het is voor de AIVD en MIVD momenteel toegestaan om zero-days te gebruiken en te verzamelen, maar voor de politie is dat nog niet zo. Met zijn voorstel voor de nieuwe Wet computercriminaliteit wil het kabinet daar verandering in brengen: de wet zou het ook voor de politie toegestaan maken om beveiligingslekken te misbruiken bij het 'terughacken' van criminelen.

Dat leidde opnieuw tot vragen uit het parlement, dat wilde weten of de politie zulke lekken dan ook geheim gaat houden om de eigen hackpogingen te vergemakkelijken. In januari beloofde staatssecretaris Dijkhoff (Veiligheid & Justitie) om een Kamerbrief te sturen over het gebruik van zero-days door de overheid.

Die brief is ruim een half jaar later nog altijd niet verstuurd en het kabinetsstandpunt over zero-days blijft onduidelijk. Een woordvoerder van het ministerie van Veiligheid & Justitie zegt dat de brief tegelijk met het antwoord op Kamervragen over de nieuwe Wet computercriminaliteit zal worden verstuurd.

"Aan de beantwoording wordt hard gewerkt", aldus de woordvoerder, die erop wijst dat er honderden vragen over het wetsvoorstel zijn ingediend. "Vooralsnog is daarom niet met zekerheid te zeggen wanneer de antwoorden aan de Kamer kunnen worden aangeboden."

Beloningen

In een poging om het aantal zero-day-lekken te verminderen loven bijna alle techbedrijven tegenwoordig beloningen uit aan hackers die melding maken van kwetsbaarheden.

Nadat Apple in een juridische strijd met de FBI verwikkeld raakte, omdat de opsporingsdienst wilde dat het bedrijf de telefoon van een terrorist hackte, sloot de iPhone-maker zich onlangs aan bij deze groep. Voor het vinden van ernstige lekken in Apple-software looft het bedrijf maximaal 200.000 dollar uit.

Dat maakt het voor ethische beveiligingsonderzoekers aantrekkelijker om op zoek te gaan naar bugs, waardoor de software uiteindelijk veiliger moet worden. Maar voor minder ethische hackers zijn er nog altijd genoeg andere partijen die interesse hebben.

Lees meer achtergrondverhalen in NUweekend

Lees meer over:

Columns Pieter Derks

Columns Pieter Derks
Cabaretier Pieter Derks duidt en verwerkt maandelijks het nieuws van de voorbije weken. 

Over NUweekend

Over NUweekend
Op NUweekend vindt u iedere week een selectie achtergrondverhalen, analyses of mooie interviews.
Tip de redactie