FBI erkent misbruik zero-day-kwetsbaarheden bij onderzoeken

De FBI heeft voor het eerst erkend dat het gebruik maakt van zero-day-kwetsbaarheden om mensen online te kunnen volgen. Het is volgens een topvrouw van de Amerikaanse dienst geen favoriete methode, omdat het niet langdurig werkt.

Een hacktool op basis van een zero-day-kwetsbaarheid stopt met werken, zodra de softwaremaker een patch uitbrengt en de gebruiker die de FBI in de gaten wil houden die installeert, zegt topvrouw Amy Hess in een interview met de Amerikaanse krant Washington Post. Daarmee is het volgens haar minder betrouwbaar dan een traditionele tap.

Bovendien worstelt de Amerikaanse dienst met de ethiek van het gebruik van zero-day-kwetsbaarheden. De balans tussen het kunnen volgen van verdachten en het melden van kwetsbaarheden aan softwaremakers zodat zij hun producten veiliger kunnen maken is belangrijk, zegt Hess. "Hoe brengen we dat in balans? Dat is een constante uitdaging voor ons."

Het is al langer bekend dat overheidsdiensten veel interesse hebben in zero-day-kwetsbaarheden, lekken in software die bij de maker van die software nog niet bekend zijn. Overheidsdiensten bieden hackers veel geld voor het delen van details daarover, omdat het bij goed beveiligde en gepatchte systemen een zeldzame mogelijkheid biedt om binnen te dringen. De FBI is de federale politiedienst van de Verenigde Staten, maar is geen inlichtingendienst zoals de NSA.

Door Arnoud Wokke

Redacteur Tweakers

09-12-2015 • 20:12

57

Reacties (57)

57
55
22
1
0
0
Wijzig sortering
Blijf me verbazen dat mensen hiervan staan te kijken... als je de middelen, mankracht, geld hebt gebruik je ze toch.
Eerlijk is eerlijk, het meeste verbaas ik mij dat ze nu dus ruiterlijk toegeven dat:
- ze dus wel gebruik maken van zero-day kwetsbaarheden
- ze daar geen gewoonte van maken, maar alleen maar omdat ze de zero-day kwetsbaarheid niet in hun procedures kunnen opnemen omdat de zero-day kwetsbaarheid mogelijk al niet meer werkt zodra het in de procedures is opgenomen...

Even terug in de tijd. Er zijn de laatste jaren een aantal zero-day kwetsbaarheden gevonden die zo'n 10 jaar hebben bestaan... Die hebben ruimschoots in de procedures kunnen zitten. Of wisten ze daar zelf ook echt niet van?

Uiteindelijk ga ik er van uit dat ze die zero-day kwetsbaarheden dus uitgebreid gebruiken maar niet in de procedures kunnen opnemen. Wel zullen ze die procedures gebruiken om andere achterdeurtjes en dergelijke op te zetten. Maar omdat die dus niet in de procedures staan, zijn ze op hoger niveau niet bekend.
Anoniem: 399807 @beerse10 december 2015 11:17
Ik ben er niet gerust op dat voor mejuffrouw Hess dit een 'uitdaging' is. In het originele bericht wordt het woord 'challenge' veelvuldig gebruikt.

Ik zie dat het woord 'uitdaging' vaak als synoniem wordt gebruikt wanneer men het zichzelf moeilijk maakt of men het moeilijk heeft met ethische kwesties. Het is een verbloemend, positiever woord dan 'probleem'.

We zien politici en managers van grote bedrijven en instellingen veel vaker dan vroeger praten over 'uitdagingen'. De 'uitdagingen van deze tijd zus en zo'. Politici zien geen problemen maar uitdagingen.

Als je een ethische of morele kwestie niet als probleem wilt zien omdat je eigenlijk het liefst, zoals in dit geval, de mogelijkheid wilt geven dankbaar gebruik te maken van zero-day kwetsbaarheden, dan ontwijk je de probleemstelling door het woord te veranderen in 'uitdaging'.

Want als het een uitdaging is dan zijn er opties, dan zijn er wegen om met de kwestie om te gaan. Een 'probleem' ofwel het woord 'probleem' suggereert dat als je tóch gebruik maakt van een middel waar ethische haken en ogen aan zitten, je iets fout doet. Je hebt immers een probleem. Het probleem is gelijk aan het overschrijden van een moreel-ethische grens, immers was er geen probleem als je bepaalde middelen niet zou inzetten, in dit geval zero-day kwestbaarheden.

En dus gebruikt men het woord 'challenges'.

Ik maak me altijd zorgen als mensen zichzelf voor de gek houden door d.m.v woordkeuze, het selecteren van verbloemende synoniemen, zichzelf een illusie van moreel rechtvaardig handelen aan te meten.

Het feit dát men het woord 'challenge' zo veel gebruikt is an sich het bewijs dat het niet lekker voelt als je als organisatie handelt op een bepaalde manier. Mevrouw Hess weet drommels goed dat er een grens wordt overschreden.

Wat mij betreft is het duidelijk dat politie in amerika niet een huis in mag zonder huiszoekingsbevel. Ook niet als de deur niet op slot zit. Er zijn regels die omschrijven in welke gevallen de politie ergens naar binnen mag. Hoewel dat helaas soms nogal vervelend uitpakt, bijvoorbeeld als het huis er heel rommelig uitziet dan zou er sprake kunnen zijn van inbraak. Dan mag de politie naar binnen.

Kwetsbaarheden in software kun je opvatten als rommel in de code en in die zin kun je een soort koppeling maken tussen de realiteit en de cyber-realiteit. Maar het is een feit dat de amerikaanse politie de regels nogal in haar voordeel uitlegt. Kijk dus uit als je een sloddervos bent in amerika en je hebt ergens een bong liggen of een wietje.

Als je een zero-day kwestbaarheid vergelijkt met een slot op een deur, een slot dat stuk is, ook dan mag de politie niet naar binnen. Ten zij ze dat kapotte slot zien als mogelijk het gevolg van 'forced entry'.

In ons land zoekt de politie de grens helaas ook op. Uit naam van inbraakpreventie komen ze te pas en onpas op privé terrein, voor je eigen veiligheid weer, en, denk aan de kinderen. Agenten zitten dan te morrelen aan deuren en ramen en hoewel dat allemaal goed bedoeld is vind ik het te ver gaan.

De politie heeft een duidelijke taakomschrijving en die wordt uitgebreid naar preventie en voorlichting. Dat vind ik alleen een zaak van politie als ze niet over de grens gaan en in huizen binnen lopen of op privé terrein komen. Doe dat op uitnodiging. Niet eerder en niet anders.

Burgers en bedrijven moeten zelf slim genoeg zijn om na te denken over inbraak en als ze dat niet doen moet de politie de boeven vangen. De verdeling is duidelijk.

Mensen moeten verantwoordelijk zijn voor hun eigen 'challenges' en de FBI in dit geval moet zero-day's niet exploiteren en zichzelf in een moreel dilemma storten maar het bedrijf informeren. Elke andere keuze leidt onmiddelijk tot corruptie.

Afgezien van het feit dat de FBI blijkbaar actief zoekt naar deze exploits, krijg je per definitie een dilemma van 'hoe vaak gebruik ik deze zero-day, kan ik er nog meer boeven mee vangen als ik nog een week er gebruik van maak, dat soort overwegingen corrumperen onmiddellijk simpelweg omdat men zich voorstelt dat het een 'uitdaging' is en de beslissing nog wat later kan nemen. De uitdaging loopt nog en dus kan men nog door-exploiteren.
En aangezien men zichzelf voorhoud dat het om ieders bestwil is, zoals Teeven zijn deal met die crimineel verdedigt als 'voor volk en vaderland' zo zal de FBI en mevrouw Hess zichzelf net zo verliezen in goed bedoelde corruptie.
Ik geloof best dat ze - deze mevrouw en de FBI - willen voorkomen dat het publiek geen nadeel ondervindt van het geheim houden van een kwetsbaarheid. Maar belangrijker is dat ze willen voorkomen dat bekend wordt dat zij er al langer van wisten. Dat is een challenge - die balans te vinden.
Anoniem: 114278 @Freedox9 december 2015 21:09
dom is niets mis mee.

Dom betekend letterlijk onwetend en een mens kan nu eenmaal niet alles weten.

Aan de andere kant zijn wij dus ook slim ;)

EDIT: Typo

[Reactie gewijzigd door Anoniem: 114278 op 7 augustus 2024 05:10]

Een onwetend persoon is niet per sé dom, maar een dom persoon zal wél snel onwetend zijn.

Een onwetend persoon weet iets enkelweg (nog) niet, een dom persoon heeft ook niet de interesse te ontdekken wat die niet weet...

Dom is eigenlijk juist wat mis mee, onwetendheid niet per sé, dat is onvoorkomelijk.
Ja, jammer dat die het niet eens meer kan onderschijden...
ik neem het je niet kwalijk hoor, niet weten wat dom is is immers ook onwetendheid
'What's in a word"
niet-weten is echt anders dan niet-proberen-te-weten, ook bij synoniemen kan er een verschil zijn van semantiek. Als een woordenboek zou trachten dit soort woorden exacter te omschrijven dan wordt de dikke van dale zó nog 10 maal zo dik.

[Reactie gewijzigd door Annihlator op 7 augustus 2024 05:10]

een onwetend persoon is dom omdat hij of zij het simpelweg niet weet.

De Nederlandse taal is gelukkig erg duidelijk

[Reactie gewijzigd door Anoniem: 114278 op 7 augustus 2024 05:10]

Een onwetend persoon is niet intrinsiek dom, het impliceert niet dat de persoon 'niks' weet, enkel wel dat deze tot een zekere mate dingen/iets niet weet. dat is een heus verschil in semantiek, ookal worden de woorden als synoniem gebruikt in andere verbanden.

Het verband niet kunnen onderscheiden is onwetendheid, het verband niet wíllen onderscheiden is dom. (voorbeeld van het semantieksverschil ;) )

http://www.woorden.org/woord/onwetendheid

[Reactie gewijzigd door Annihlator op 7 augustus 2024 05:10]

I.) ignorantie, onbekendheid, onkunde, stomheid, domheid
En daaraan zou je óók (al dan niet des te meer) mogen zien dat synoniemen niet noodzakelijkerwijs hetzelfde inhouden.
Ignorantie staat voor wat anders dan onbekendheid, ignorantie is vaak echter wel een oorzaak voor of aanleiding tot de onbekendheid, maar het betekent niet (intrinsiek) hetzelfde.
Ignorantie is hier meer vergelijkbaar met dom en onbekendheid aan onwetendheid.

noot; een vierhoek wordt ook als synoniem genoemd van een vierkant, maar terwijl een vierkant een vierhoek is, is een vierkant niet noodzakelijkerwijs een vierhoek.

Het is jammer dat je steeds de uitreksels van het woordenboek erbij pakt, maar die kennis moet nog geïnterpreteerd worden voordat het daadwerkelijk bruikbaar is... Betekenisleer is niet voor niets ook een wel zéér breed (en zelfs filosofisch te noemen) aspect. Voorbeeld uit de betekenisleer: Symantisch gezien houdt het woord "dom" bar weinig in, kijk je echter naar het woord 'onwetend' dan houdt dat woord voor de symantiek al een heleboel meer in, ook dit toont aan dat ondanks de twee woorden als synoniem gezien kúnnen worden (let op het woord kunnen) ze niet altijd hetzelfde zullen inhouden.

Misschien dat de volgende bron je het belang van dergelijke verschillen iets duidelijker kan illustreren; http://www.ucl.ac.uk/dutc...cs/meaning_semantics.html
Als je de bron betrekt op deze woorden, zal je op een gegeven moment moeten erkennen dat het een Hypo/Hyperoniem relatie betreft, geen synoniem. Echter, vierkant wordt ook vaker onjuist aangeduid met de beschrijving van een vierhoek, terwijl deze tóch een Hypo/Hyperoniem-relatie hebben.
dom is gewoon onwetend zo simpel is het
Ik weet niet hoe veel meer moeite ik kan doen om te bewijzen dat het niet zo is. Je wijst ook alleen terug naar het woordenboek en kan niet met argumentatie op de proppen komen... maar gelukkig toont dat niet eigenwijs.

Waarom reageer je dan überhaupt...
eigenwijs is een prachtige eigenschap: wijs door eigen ervaring ;)
en "sommigen zijn net slim genoeg om daar misbruik van te maken", aldus Theo Maassen :P

[Reactie gewijzigd door VonDudenstein op 7 augustus 2024 05:10]

Dat heet misbruik
Kak. Helemaal gelijk kees. Quote aangepast :)
Thx voor de reminder.

'Misbruik', ook wel 'de dagelijkse gang van zaken in Owmuuwrikaa'.
Ten eerste zie ik nergens mensen die zich verbazen over deze 'onthulling'.

Ten tweede is er een groot verschil tussen iets denken en iets zeker weten. Over iets dat je denkt kan je discussieren, stukjes schrijven - maar niet veel meer, want het blijft een mening. In dit geval is de mening een feit geworden - en dat opent de weg naar een veel mooiere optie: naar de rechtbank! Afdwingen dat het niet meer gebeurt (of juist wel - net wat je wil), dat er regels voor komen, etc. De openheid staat vervolgstappen toe die er eerst niet waren...
Een interessant boek over de economie van zero days en de politiek erachter is "Countdown to Zero Day" van Kim Zetter. Dit boek gaat vooral in op Stuxnet, maar legt ook mooi uit dat overheden vaak hele databases vol met aangekochte lekken onderhouden. Omdat het uitwerken van tools op basis van een van deze lekken erg veel tijd kost en dus een serieuze investering is, is het altijd in hun voordeel om geen details over gevonden lekken te publiceren.

Vooral dit vind ik verontrustend aangezien het voor veel instanties steeds interessanter wordt om in plaats van softwarefouten te melden, deze kennis te bewaren en te gebruiken voor computervredebreuk indien nodig. Als je dit in het extreme trekt, hebben instanties straks allemaal kennis van zero days behalve de ontwikkelaars zelf en is het een spel om de exploits zo lang mogelijk onopvallend te gebruiken.

In het geval van overheden gaat het vaak ook nog om enorme geldstromen naar deze gray hat hackers toe. Overheidsgeld stroomt hiermee dus steeds meer in een schaduw economie.

[Reactie gewijzigd door CUnknown op 7 augustus 2024 05:10]

Geloof je het statement van de FBI? Mijn eerste gedachte is dat het bullshit is dat ze zich druk maken over de veiligheid van jan publiek. Als ze maar in de statistieken laten zien dat ze "boeven hebben gevangen".
Kort en krachtig: ik vind dat kennis van een beveiligingsbug moet worden opgenomen in de wet op de meldingsplicht én dat die meldingsplicht ook voor alle overheidsdiensten moet gaan gelden, inclusief politie, AIVD, ...
Dit gaat om interne lekken bij jouw bedrijf. Niet bij lekken van een ander bedrijf. Die moet je gewoon bij desbetreffend bedrijf melden als je ze tegenkomt, maar is niet verplicht. Dergelijke instanties doen dus niets fout.
Anoniem: 63672 9 december 2015 20:16
Het is volgens een topvrouw van de Amerikaanse dienst geen favoriete methode, omdat het niet langdurig werkt.
Ik kan me alleen maar voorstellen dat ze al tijden gretig gebruik maken van kwetsbaarheden die maar steeds niet opgelost worden [bijvoorbeeld in Flash wat al tijden duurt]

[Reactie gewijzigd door Anoniem: 63672 op 7 augustus 2024 05:10]

Ze hebben contracten met software-producenten. Dwz. als lek A gepatched is en niet meer inzetbaar en er een nieuw lek nodig is. Zal er op korte termijn middels een update een nieuw lek geintroduceerd worden.
Ze hebben contracten met software-producenten. Dwz. als lek A gepatched is en niet meer inzetbaar en er een nieuw lek nodig is. Zal er op korte termijn middels een update een nieuw lek geintroduceerd worden.
Heb je daar een bron van?
Ik zie in geen van de artikelen dat er opzet in het spel is aan de kant van software leveranciers. Alleen dat Microsoft (en mogelijk anderen) de regering van de VS inlicht over 0-day kwetsbaarheden.
quote: Bloomberg (een bron voor het artikel in de WP)
The extensive cooperation between commercial companies and intelligence agencies is legal and reaches deeply into many aspects of everyday life, though little of it is scrutinized by more than a small number of lawyers, company leaders and spies.
quote: New Scientist
But the NSA has simply relied on plain old-fashioned spying to influence and infiltrate the internet security firms we trust.
Dat breng je in balans door die taken onder te brengen bij verschillende organisaties.
De ene organisatie houdt zich bezig met hacken en boeven vangen. (verder: Offensief)
De andere organisatie houdt zich bezig met preventie en verdediging. (verder: Defensief)
Die twee organisaties moeten onafhankelijk van elkaar kunnen werken. Ze mogen (nee, moeten) wel samenwerken, maar geen van de twee is de baas. Ze mogen bij elkaar in de keuken kijken en controleren elkaar, maar ze blijven onafhankelijk.

Als Defensief een gevaar vindt dan kan Offensief besluiten om het zelf ook te gaan gebruiken, maar Offensief kan niet aan Defensief verbieden om er over te publiceren. Ze kunnen het wel vragen. Defensief mag dan zelf een afwegen of dat acceptabel is.

Andersom kijkt Defensief met Offensief mee. Als Offensief een probleem ontdekt dat ook de eigen bevolking in gevaar brengt dan kan Defensief in actie komen.

Zo stel je de eigen veiligheid boven het schaden van de tegenstander.
"Hoe brengen we dat in balans? Dat is een constante uitdaging voor ons."
Bij dergelijke ethische/security vraagstukken is helemaal geen balans mogelijk, je maakt er WEL of NIET misbruik van ten koste van veiligheid van onschuldigen door het niet te melden. Er alleen gebruik van maken op momenten dat het je goed uitkomt is geen moreel verantwoorde "balans", dat is opportunisme.

Het is toch echt een geval van ook niet een beetje zwanger kunnen zijn. De enige bezwaren die ze echt lijken te hebben zij praktische: het werkt alleen maar tot het systeem gepatcht is.
Het is volgens een topvrouw van de Amerikaanse dienst geen favoriete methode, omdat het niet langdurig werkt.
Toch wel een beetje ironisch: De FBI die het als politiedienst jammer vindt dat opties voor crimineel misbruik niet langer beschikbaar kunnen blijven. |:(
Anoniem: 703546 9 december 2015 20:28
Het zou mij niets verbazen als bepaalde IT firms zoals de telco's zero-1-day's inbouwen op verzoek van de US Government..
Dat noemt men een backdoor. Geen 0 day.
zero-one-day was het voorstel van DDB_P
1 dag extra
Een back door is feitelijk hetzelfde, ware het niet dat een backdoor een structurele ingang biedt, waar een zero day / zero-one-day een tijdelijke ingang biedt. Een back door is misschien makkelijker herkenbaar als zijnde een back door, terwijl een zero day / zero-one-day meer op een programmeerfout lijkt.
Een 0day geeft ook toegang tot software waar geen backdoor ingebouwt zit.Een backdoor geeft ook toegang tot software waar naar het schijnt op dit moment geen kwetsbaarheden in zitten (volledig gepatched).Vaak is een backdoor het resultaat van een 0day of bekende kwetsbaarheid exploiteren om zodoende voor langere tijd toegang te blijven houden.Soms zijn backdoors onderdeel van het ontwerp.
Of iets een backdoor is of een 0-day hangt enkel af van de intentie, en niet de herkenbaarheid.

Voor plausibly deniability is het juist handig om een backdoor als een programmeerfout te laten lijken, om niet het vertrouwen van gebruikers te verliezen. Of zou jij graag software/hardware gebruiken waarbij het overduidelijk is dat de maker onder één hoedje speelt?
dan is het gewoon een backdoor en geen zero-day...
Merkt U op dat er zero-1-day staat in de reactie van DDB_P ?
De FBI een 1 dag geven om te hacken, spioneren en wat dies meer zij.
Een backdoor met een vervaldatum
met vervaldatum klinkt als bewust geplaatst en daarmee een backdoor... toch?
Anoniem: 487401 9 december 2015 20:23
Pot verwijt de ketel, zelfde laken en pak hier in NL.
Hypocrisie ten top...
nieuws: Open encryptieprojecten krijgen half miljoen euro van Nederlandse overheid
nieuws: Rutte: internet moet open, veilig en vrij blijven

Dat het hier ook gebeurd zal mij ook niets verbazen. Zolang andere landen nog volop overal binnen gaan dringen kan Nederland ook niet niets doen. Toch geloof ik dat Nederland een stuk minder doet en vaker de kwetsbaarheden rapporteerd.
De Nederlandse overheid ondersteund namelijk wel vaker initiatieven die de bescherming juist beter moeten maken. Veel Nederlandse ideeen voor de bescherming en vrijheid op internet/computers gaan namelijk stukken verder dan die van de rest van Europa. Nederland geeft tegengas wanneer Europa de regels voor hacken door de overheid wilt versoepelen en probeert wetten voor betere internetvrijheid juist te introduceren, die gedeeltelijk door gekomen zijn.

Op dit item kan niet meer gereageerd worden.