Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 163 reacties
Submitter: Caponi

Het kabinet zou een wetsvoorstel willen indienen dat politiehackers toestaat om een eventuele zero-daykwetsbaarheid te verzwijgen tegenover de fabrikant, zodat het beveiligingsgat zo lang mogelijk hergebruikt kan worden. Dat melden Haagse bronnen van de Telegraaf.

Het plan zou binnen het kabinet zelf omstreden zijn, omdat een opengelaten backdoor ontdekt en benut kan worden door een eventuele andere, kwaadwillende partij. In het verleden stelde het kabinet dat het op afstand computers wilde onderzoeken door middel van hacken, maar dat een eventuele zero-day ook gemeld wordt aan de desbetreffende softwarefabrikant, nadat het onderzoek is afgerond. Het kabinet lijkt nu van dit standpunt afgestapt te zijn en voorrang te geven aan de mogelijkheid om in de toekomst meer hacks te plegen, boven de algemene veiligheid van de systemen in kwestie.

Wellicht komt een dergelijk wetsvoorstel niet door de Tweede Kamer. Eerder deze maand liet een meerderheid van de Tweede Kamer weten bijvoorbeeld tegen het verzwakken van encryptie te zijn. Die kwestie heeft parallellen met het huidige plan. Een dergelijke wetswijziging maakt het werk van opsporings- en veiligheidsdiensten immers eveneens makkelijker, maar leidt tot meer kwetsbaarheid voor de burger.

Er is een markt voor zogenoemde zero-daykwetsbaarheden, beveiligingsgaten die nog niet bij de maker van de software en eventuele hardware bekend zijn. Een ontdekte kwetsbaarheid kan worden gemeld bij de fabrikant, die er vaak voor betaalt in de vorm van bug bounties. Apple betaalt bijvoorbeeld in bepaalde gevallen 200.000 dollar voor een tip. Er zijn ook bedrijven als Zerodium, dat tot 500.000 dollar betaalt voor beveiligingsgaten en ze doorverkoopt aan geïnteresseerde overheden.

Moderatie-faq Wijzig weergave

Reacties (163)

Het plan zou binnen het kabinet zelf omstreden zijn, omdat een opengelaten backdoor ontdekt en benut kan worden door een eventuele andere, kwaadwillende partij.
Dat risico is beperkt. Het aantal kwetsbaarheden dat gedicht wordt door bedrijven als Microsoft en Adobe is veel hoger dan het aantal kwetsbaarheden waarvan bekend is dat ze actief in het wild misbruikt zijn. Tevens is het tegenwoordig niet echt meer mogelijk om met slechts één kwetsbaarheid iemand te infecteren. De meeste browsers zijn tegenwoordig 64 bit en draaien in een sandbox. Je hebt dus eerder een paar op elkaar aansluitende kwetsbaarheden nodig om een exploit chain te schrijven. Er moet dan ook een onderscheid gemaakt worden tussen kwetsbaarheden en exploits. Een kwetsbaarheid kan 10 regels kosten om te demonstreren, maar een volledige exploit kan een paar duizend regels code bevatten. Een Pwn2Own exploit voor Google Chrome uit 2015 vereiste bijvoorbeeld meer dan 2000 regels code. https://youtu.be/V99skqmTyiY?t=2m14s

Nu zijn er wel partijen als HackingTeam, FinFisher en Zerodium die hun exploits verkopen aan meerdere afnemers. Dus mocht de Politie van zulk soort partijen gebruik maken, dan is er wel een risico dat een exploit chain die de Politie gebruikt ook tegen een Nederlandse overheidsinstelling ingezet kan worden door een buitenlandse inlichtingendienst. De enige manier om het hergebruik van een bepaalde exploit door buitenlandse veiligheidsdiensten te voorkomen is door het alleenrecht van een exploit te kopen, alleen kost dit een veiligheidsdienst het veelvoudige van een exploit die aan meerdere partijen wordt verkocht.
Er zijn ook bedrijven als Zerodium, dat tot 500.000 dollar betaalt voor beveiligingsgaten en ze doorverkoopt aan geïnteresseerde overheden.
Zerodium betaalt tegenwoordig tot 1.5 miljoen dollar voor een remote iOS jailbreak. https://www.wired.com/201...ack-now-goes-1-5-million/

Ik kan twee mogelijke redenen bedenken waarom ze exploits langer willen kunnen inzetten:
1. Je mag ervan uitgaan dat zero-day exploits voor recente software (64 bit Chrome op Win10, Chrome op Android 7.0, Safari op iOS 10, etc.) sowieso meer dan 100.000 euro kosten. Iedere keer kwetsbaarheden melden zou ze dus mogelijk veel kosten.
2. Waarschijnlijk kan de de Politie alleen kwetsbaarheden melden als zij volledig eigenaar is van een exploit. Als er zero-days ingekocht worden bij een partijen als Hacking Team of Zerodium, die dezelfde zero-days ook aan andere veiligheidsdiensten verkopen, dan zullen ze contractueel gezien waarschijnlijk al niet instaat zijn om kwetsbaarheden te melden.

Je moet eerder de discussie aangaan over of het wenselijk is dat de Politie straks verdachten mag hacken in de vorm van een 'digitale huiszoeking'. Het is nog wel een verschil of zes mannen in kogelwerende vesten je huis komen binnenvallen voor een huiszoeking of dat je stiekem maanden lang digitaal wordt gevolgd.
2. Waarschijnlijk kan de de Politie alleen kwetsbaarheden melden als zij volledig eigenaar is van een exploit. Als er zero-days ingekocht worden bij een partijen als Hacking Team of Zerodium, die dezelfde zero-days ook aan andere veiligheidsdiensten verkopen, dan zullen ze contractueel gezien waarschijnlijk al niet instaat zijn om kwetsbaarheden te melden.
Sinds wanneer staat een contract boven de wet?
En zelfs al zou het mogen, is er nog zo iets als "algemeen zwaar wegend belang".
Dus als het bij de rechter ligt hoeft het zelfs dan niet te betekenen dat men gelijk krijgt als het contract legaal is.

En denk ook verder, de nationale politie is niet helemaal het orgaan waar je ruzie mee wilt maken over ethisch discutabele exploits. Je hoeft geen creative OvJ te zijn, om met een beetje onderzoek de betreffende bedrijven in een beklaagdenbankje te krijgen. Want denk je echt dat deze exploits nooit door tegen Nederland worden gebruikt? Iets met medeplichtigheid aan computervredebreuk. Nee, ik denk dat de betreffende bedrijven liever neit te veel aandacht er aan zouden schenken als puntje bij paaltje komt.
En mensen die zich onveilig voelen of wat te verbergen hebben gaan gewoon Linux gebruiken.

Waar ik bang voor ben is dat in de toekomst het niet meer mogelijk is om computers te hacken door technologische verbeteringen en dat de overheid dan gaat eisen dat er achterdeurtjes worden ingebouwd. Ik garandeer je dat dit gaat gebeuren!
Precies dit. Zelfde verhaal met klokkenluiders: de overheid vindt het natuurlijk geweldig als je belastingontduiking aankaart bij een multinational, maar o wee als je soortgelijke corruptie binnen de overheid zelf naar buiten brengt. We worden geleid door hypocrieten.
Ondertussen moet je toch weten dat je als klokkenluider helemaal kapot gemaakt wordt door die overheid.

Bouwfraude, de man leefde in een camper.
Defensie iets met mijnen, man helemaal kapot gemaakt.

Klokkenluider van de overheid betekend dat je je eigen doodsklokken aan het luiden bent.
Ja de overheid is hier bijzonder hypocriet.
Je vraagt je af hoe dat in een democratie nog mogelijk is, oeps ja die democratie wordt steeds minder, vergeten.
Inderdaad, nooit Klokkenluider worden, hoe noodzakelijk of urgent de redenen hiervoor ook mogen zijn.
Je wordt kapot gemaakt en je hebt geen enkele bescherming.
Je komt nooit meer aan het werk, niet in de eigen branche of daar buiten.
Bedrijven nemen geen klokkenluiders aan, want stel dat-ie dat ook "bij ons" zal doen.
Of ze zijn wellicht van mening dat de klokkenluider wel een lastpak zal zijn.
Nee dan doe je precies wat de bedoeling is. Wel klokkenluider worden maar nooit je identiteit onthullen.

Een van de redenen waarom anonimiteit op het Internet zo'n belangrijk goed is wat bewaard moet blijven. En dat is ook precies waarom de grote machten anonimiteit op het Internet zo snel mogelijk om zeep willen helpen, want kinderporno etc. Trap er niet in.

[Reactie gewijzigd door Thinktank op 22 oktober 2016 18:27]

Inderdaad, nooit Klokkenluider worden, hoe noodzakelijk of urgent de redenen hiervoor ook mogen zijn.
Hoe goedbedoelend de klokkenluider ook is, je bent natuurlijk een verklikker / verrader. En die zijn nergens geliefd.
Heel nobel om je (maatschappelijke) leven op het spel te zetten, maar tegelijkertijd ook stom.
Ligt een beetje aan hoe je er naar kijkt.
In het geval van iemand die bij defensie werkt en iets zegt over slecht werkende mijnen is geen verrader, juist het tegenovergestelde.
In het geval van iemand die bij defensie werkt en iets zegt over slecht werkende mijnen is geen verrader,
Vindt zijn baas dat ook ?
Dat is de pest met klokkenluiders, Ze hebben misschien gelijk maar als hun superieuren zouden luisteren hoefden de klokkenluiders er niet mee naar buiten te treden.

klikspaan, halve maan, je mag niet.....
Vindt zijn baas dat ook ?
En dus? Die baas is niet de enige belanghebbende. Het feit dat een corrupte baas er niet blij mee is wil niet zeggen dat klokkenluiders "nergens geliefd zijn".
Hoe goedbedoelend de klokkenluider ook is, je bent natuurlijk een verklikker / verrader.
En die zijn nergens geliefd.
Klokkenluiders zijn alleen niet geliefd bij de instantie waarover de klok wordt geluid.
En hoe wordt je o.a. kapot gemaakt? Door gegevens verkregen via hacking m.b.v. zero day exploits.

Met alle problemen op het internet momenteel door hacking en zero day explots is de oplossing van het kabinet om alles problemen zo veel mogelijk voort te laten bestaan.

Mijn vraag is hoe is het mogelijk dat het kabinet tot deze conclusie is gekomen? Wie heeft het kabinet hierop geadviseerd?

[Reactie gewijzigd door fevenhuis op 21 oktober 2016 12:10]

Mooi voorbeeld en dat zegt genoeg over kapotmaken en ja zelf doden die niet gestorven zouden zijn was er ingegrepen.
Off topic. Maar wat een bizar verhaal!? Zelfs een onderzoek naar de geestelijke gesteldheid vervalst!

https://nl.wikipedia.org/wiki/Fred_Spijkers
Lijkt me toch normaal ?Niet dat ik akkoord ben wat ze hier voostellen maar politie mag iemand neerschieten in bepaalde omstandigheden, ik niet. Oneerlijk?
Ergens wel. De politie kan zich verdedigen als iemand hen aanvalt, de gewone burger kan dat op legale manier een stuk moeilijker. Maar dit wordt een beetje offtopic zo...
Politie zijn nog steeds mensen. Sommige handelen anar geweten maaar dat valt niet van je gezicht af te lezen. Als iemand toegang heeft tot zo een zero dayhack en gebruikt om zijn vriendin of vrienden of ex te bespioneren. Het kan heel vergaande gevolgen hebben. Zoals we meedere malen gezien hebben is de IT bij de overheid niet wat het zou moeten zijn. Om dan zoveel macht te geven aan deze instanties...is vragen om een fiasco.
Maar dat is toch niet vergelijkbaar? Iemand die ongevraagd (met welke motieven dan ook) ergens binnen dringt is in principe strafbaar. Daarna wordt gekeken of vervolgens ook strafvervolging nodig is.
Als je bij de buurman inbreekt om gewoon eens te kijken hoe hij de woonkamer ingericht heeft ben je strafbaar. Als je bij de buurman inbreekt omdat het dak in de fik staat en je een kind in het huis hoort huilen en dat kind wil redden dan ga je vrijuit.
Maar ongewenst binnen dringen is gewoon ongewenst en ook niet etisch.
Is dit niet meer vergelijkbaar met het scenario dat je ziet dat het slot van je buurman kapot is, aan de deur rammelt om te zien of het daadwerkelijk kapot is voordat je het aan de buurman meldt? En dat dan je strafbaar bent, omdat je hebt aangetoond dat zijn slot gammel is. Heel iets anders dan te ver doordringen en in z'n woonkamer zitten rommelen, dan ben je inderdaad niet etisch bezig. Maar ik mag toch hopen dat ik niet strafrechtelijk vervolgd kan worden voor het aantonen van een gebrek.
Is het jouw taak om het slot van de buurman te testen? Of is het de bedoeling dat je zegt "nou buurman dat slot ziet er gammel uit, als ik jou was zou ik het maar eens onderzoeken" en het daar bij laat. Het probleem met de zogenoemde etische hackers is dat ze echt in een computer systeem binnendringen, dat melden en dan verwachten dat ze vrij uit gaan. Dat laatste gaat echt te ver. Als iemand bij toeval een lek ontdekt en dat meldt, prima, bloemetje, waardebon, verder niks. Maar iemand die gaat zitten en denkt, "hmm vanavond eens kijken of ik ook website.nl kan hacken" die is wel verkeerd bezig en gaat niet zomaar vijuit. Het motief is voor de strafmaat gewoon van belang.
Toch vind ik dat een kortzichtig standpunt van je. Gelukkig zijn er bedrijven die er niet zo over denken als jij dat doet, en belonen deze hackers zelfs met geld (als aan bepaalde voorwaarden is voldaan natuurlijk). Zij zijn van mening, net als ik, dat er wel degelijk "goede hackers" bestaan en dat we daar met zijn alleen van kunnen profiteren.
Waarom is dat standpunt kortzichtig? Het is in lijn met de geldende wet en wat het openbaar ministerie hanteert. Ik vind het juist kortzichtig als je zegt "geen probleem probeer maar binnen te komen als je het daarna maar meldt". Als er binnen waardevolle spullen gevonden worden dan zal het aantal meldingen gewoon kleiner worden. Zo is de menselijke natuur helaas en daarom moet juist het binnendringen an sich al strafbaar zijn.
Ik haak hier eventjes op in:
Ik zou je punt kortzichtig noemen, omdat niet elk slecht slot er gammel uit ziet. Een goedkoop hangslot, bijvoorbeeld, kan er heel netjes uit zien, maar is vaak zo opengebroken. Ditzelfde kun je hebben bij iets wat je voor veel geld laat maken, of koopt. Mijn punt is: het kan er wel zo stevig uit zien, je weet pas wat het kan hebben als je er op leunt. Dit principe gaat ook op bij het hacken van software, danwel hardware. En doordat het hackers zijn met goede motieven, komen we 'collectief' achter hetgeen wat er ogenschijnlijk zo stevig en goed uitzag, maar toch niet zo blijkt te zijn. Eigenlijk vind ik het de taak van het bedrijf om ervoor te zorgen dat hun software danwel hardware (ongeacht of ze het zelf hebben gemaakt), veilig is. Maar dat is weer een ander punt.
Tegenwoordig huren of vragen bedrijven steeds meer of ethische hackers nieuwe software willen hacken dus ook die verantwoordelijke partij (de leverancier/ontwikkelaar) ziet steeds meer dat zij voor een verantwoord product moeten zorgen en dat in house kennis vaak niet voldoende is om dit te garanderen.
Dat is inderdaad zo, en dat vind ik een super goede ontwikkeling. Helemaal met het punt wat jij hieronder maakte: zolang iets door mensen gemaakt is, zitten er altijd fouten in. Maar niet elk bedrijf huurt iemand in, of huurt iemand in die blijkbaar minder goed is dan een onafhankelijk persoon (denk aan werkelijk skill niveau, maar een onafhankelijk persoon ziet ook vele malen meer verschillende systemen dan een intern persoon, oftewel een verschil in ervaring). Daarnaast willen sommige mensen liever onafhankelijk werken, maar nog wel ethische hacker zijn. En als ze dan ergens proberen binnen te komen en dan merken dat ze binnen kunnen komen, dienen ze dat te melden. Iets veranderen, toevoegen of afhalen om te bewijzen dat ze er in zijn geweest zou niet nodig moeten zijn.
Een groot probleem met IT en recht is dat de IT enorm snel vooruit gaat en recht vanuit mijn bescheiden punt van observatie maar langzaamaan mee gaat. Dit is niet direct kritiek op het huidige systeem, maar wat nu wet is, hoeft niet direct te impliceren dat dat de meest optimale situatie is. Wet = wet vind ik lichtelijk kortzichtig, een wet moet altijd kritisch getoetst mogen worden van mij.

Naar mijn inzicht dient het hebben van wetten een doel, namelijk (onder andere) een eerlijke, veilige en werkbare maatschappij terwijl nog steeds de rechten van een individu gerespecteerd worden. Vele cruciale systemen zijn lek, waaronder systemen waar onze informatie in op geslagen is (en ja, ik eigen de informatie die over/van mij op het internet rondzwerft deels tot mij toe). Situaties waarin door onze eigen overheid deze lekken exploiteren, verzwijgen of expres erin zetten en er vervolgens geen overzicht meer te krijgen is wie waar toegang tot heeft vind ik een extreem nare situatie.

Goed. Nu ben ik als burger direct al dan niet indirect verplicht om aan allerlei systemen mijn gegevens af te staan. (zonder internet kun je niks meer). Dan vind ik vanuit zowel persoonlijk als maatschappelijke insteek het belangrijk dat alles veilig is. Er wordt gehackt. Door overheden, door criminelen, dat is een feit.

Nu, om even in te gaan op de analogie: jij hebt persoonlijke informatie opgeslagen liggen in duizenden schuren, die beveiligd worden door iemand anders. Daarmee kunnen mensen jou afpersen, in een kwaad daglicht zetten, jouw persoon imiteren of jou controleren/sturen. Jij ziet / vermoed dat bij honderden schuren dat het slot niet deugd. Of er een gat in de muur aan de achterkant zit. Of de deur gewoon wagenwijd openstaat. Ondertussen lopen daardoor ongemerkt mensen naar binnen zonder dat iemand dat ziet of weet.

Willen we dan echt naar een situatie waarin diegene die met goede intentie de beveiliging test als crimineel gezien wordt en niet de mensen die die beveiliging niet op orde hebben of zelfs expres verzwakken?

[Reactie gewijzigd door lmartinl op 21 oktober 2016 13:38]

Op mijn werk hebben we 1 stel regel...

Zolang mensen programmeer werk doen, dus heel die omgeving wat jij een OS noemt, gemaakt wordt door ons mensen, zullen er altijd fouten gemaakt worden en deze fouten worden gevonden door 2 soorten mensen. Kwaadwillig en goedwillig, dus zegt de industrie erachter meld je het goedwillig, word je beloond.

Dat is hetzelfde te vergelijken als je bij je buurman aanbelt om te melden dat zijn sleutel aan de deur zat, maar de beste man is niet thuis. Dan kan je 2 dingen doen. Je weet dat je naar binnen kan, want de sleutel zit op de deur. Laten hangen is een vrije doorgang voor de 'kwaadwillende mens' of je haalt de sleutel van de deur en meldt het zodra je buurman thuis is geweest.

Als jij scenario 3 toepast en even 'controleert' of de buurman nog waarde artikelen in huis heeft liggen en deze achteroverdrukt om daarna de beloning op te strijken als goede buur die de sleutel maar ff heeft bewaard, tja dan ben je inderdaad crimineel bezig.

En dat is in mijn optiek dus wat ethisch hacken is, controleren of die sleutel wel of niet op de deur zit.
Daar ben ik het ook mee eens. Niet mogen binnendringen, wel mogen testen.
Als iemand bij toeval een lek ontdekt en dat meldt, prima, bloemetje, waardebon, verder niks. Maar iemand die gaat zitten en denkt, "hmm vanavond eens kijken of ik ook website.nl kan hacken" die is wel verkeerd bezig en gaat niet zomaar vijuit.
Dat ben ik niet met je eens. Het motief van een white-hat / ethische hacker is toch anders dan dat van een criminele hacker, maar het is op zich niet verkeerd dat een ethische hacker uit eigen initiatief gaat kijken of website.nl te kraken is. Als hij de site weet te hacken, maar de manier waarop en de 'buitgemaakte' gegevens netjes overhandigt vind ik dat de hacker niet vervolgd moet worden.

Sterker nog, als een bedrijf na een dergelijke melding niets doet met die informatie (binnen een redelijke termijn) zou wellicht het bedrijf vervolgd moeten kunnen worden, wegens opzettelijke/verwijtbare nalatigheid...
Hoe zou jij het vinden als iemand een ladder tegen je huis zet om te controleren of je wel goed hang en sluitwerk hebt?
Hoe zou jij het vinden als de politie een ladder tegen je huis zet om te controleren of je wel goed hang- en sluitwerk hebt en - als blijkt dat dat dus niet zulk best hang- en sluitwerk is - jou dat niet vertelt?

De ethische hacker doet dat laatste namelijk wel.

[Reactie gewijzigd door Madden op 24 oktober 2016 10:54]

De ethische hacker doet dat laatste namelijk wel.
De etische hacker zou dat kunnen doen. En dat is het probleem. Omdat niemand weet wat de "etische hacker" doet, niemand daar controle op kan uitoefenen kan de etische hacker afhankelijk van wat deze vindt zomaar opeens een black hat hacker worden. Daarom bestaat heel het concept van etische hacker niet en moeten we elke ongevraagde vorm van hacken in principe als iets strafbaars blijven behandelen.
Overigens gaat het in het politie geval het er om dat de politie aan de maker van het sluitwerk niet verteld dat het sluitwerk gammel is.
De etische hacker zou dat kunnen doen. En dat is het probleem. Omdat niemand weet wat de "etische hacker" doet, niemand daar controle op kan uitoefenen kan de etische hacker afhankelijk van wat deze vindt zomaar opeens een black hat hacker worden. Daarom bestaat heel het concept van etische hacker niet en moeten we elke ongevraagde vorm van hacken in principe als iets strafbaars blijven behandelen.
Ik begrijp jouw standpunt maar ben het er niet helemaal mee eens. Probleem is dat je met jouw visie het hacken door de politie goedkeurt; ik doe dat niet. Iedereen blijft met zijn patatten van mijn systemen af, tenzij ik toestemming geef. Iedere andere vorm van toegang is in mijn optiek illegaal. Al zou het door ZKH Wim-Lex zelf gedaan worden.
Overigens gaat het in het politie geval het er om dat de politie aan de maker van het sluitwerk niet verteld dat het sluitwerk gammel is.
Een taak van de politie is zorgen voor een veiliger leefklimaat. Het alleen aan de maker van het sluitwerk mededelen dat een bepaald type sluitwerk (na controle) gammel is doet niets voor de veiligheid van het leefklimaat. Sterker nog, door het niet aan mij (als eigenaar van dat sluitwerk) te melden verzaken zij eigenlijk een van hun taken, want de politie is niet de enige die dat soort kwetsbaarheden in sluitwerk ziet en misbruikt. Door het niet te melden zorgt de politie juist voor een onveiliger omgeving, en dat staat haaks op de doelen van een politiemacht.

Dit komt rechtstreeks uit de Politiecode, zojuist opgehaald op https://www.politie.nl
De politie heeft als missie het waakzaam en dienstbaar zijn
aan de waarden van de rechtsstaat. Deze missie vervult de
politie door afhankelijk van de situatie gevraagd en ongevraagd
te beschermen, te begrenzen of te bekrachtigen.

Volgens mij is met name het niet melden van kwetsbaarheden (digitaal of anderzijds) in strijd met hun eigen code om te beschermen - gevraagd of ongevraagd, zoals hun proza vermeldt.

Misschien moeten zij hun slogan 'Waakzaam en dienstbaar' maar aanpassen: 'Waakzaam en geniepig' zou beter passen straks.
Het is niet mijn taak, maar whitehackers zien dat wel zo. En volgens mij gelukkig maar. Zie het als journalisten die de beveiliging op schiphol testen. Of de consumentenbond die fietssloten met elkaar vergelijkt. En daar kunnen ze dus hetzelfde gereedschap voor gebruiken als criminelen.
Als deze partijen er niet waren, hadden we bij wijze van spreken geen idee gehad hoe die criminelen toch elke keer ons slot open kregen zonder sporen achter te laten. Als we al doorhadden dat ze binnen waren geweest.

Maar inderdaad er moet dan wel enkel om het aantonen van kwetsbaarheden gaan, en niet daarna nog even rondsnuffelen. En dit is natuurlijk een beetje een grijs gebied, omdat je om de ernst van een lek in te kunnen schatten wel om je heen moet kijken om te zien hoe ver je nu daadwerkelijk bent doorgedrongen.
Wat vind je dan van dit voorstel van het kabinet?

Als de politie constateert dat een bepaald type slot op je deur gammel is, dan moet de politie dat niet melden omdat het zo makkelijker wordt voor de politie om in te breken bij (vermeende) criminelen. Tegelijkertijd zitten er dus ook massa's brave burgers met een ondeugdelijk slot omdat de politie verzwijgt dat hun slot gammel is.
Je buurman komt thuis en ziet op de keuken tafel een briefje liggen.

Beste buurman, ik liep langs je deur en dacht dat je slot niet zo veilig was en toen ik met een boormachine aan de haal ging had ik inderdaad de cilinder er zo uit.

Toen ik eenmaal binnen was kon ik je archief met al je belastingaangiftes op zolder zo vinden en in zien.

Ik zou er iets aan doen.

Bij de overburen was het beter, daar heb ik de deur met een flex eruit moeten zagen.

Klinkt misschien overdreven maar zo is het wel. Je komt immers binnen door gebruik te maken van gereedschap dat de gemiddelde persoon niet heeft.

Je maakt misschien geen fysieke schade door virtueel in te breken, maar dan nog ben je ergens binnen waar je niet hoort te zijn.

Tevens is het omzeilen van beveiligingen niet toegestaan

Je bent namelijk actief bezig dit te doen, en komt niet per ongeluk tegen dat het stuk is.

Als je nu bij de buurman aanbelt en zijn deur valt gaan open, dat zou wat anders zijn.

En ja de politie heeft nu eenmaal meer rechten dan de gewone burger, daarom is het de politie. Die mogen inderdaad een deur intrappen als ze reden hebben om ergens binnen te zijn. Zo ook digitaal.
haha vond je voorbeeld wel grappig :)
Maar er zijn wat verschillen tussen de realiteit en de wereld van de informatica.
Om te beginnen zal de buurman wel begrijpen dat je zijn slot kon openboren. Maar withe hackers zoeken juist de dingen die andere over het hoofd gezien hebben.
Daarbij maak je meestal niets iets kapot door middel van een hack (niet altijd natuurlijk maar meestal niet).

Nieuw voorbeeld:
de buurman heeft een nas gekocht, hij is niet zo handig met techniek maar hij denkt dat hij alles wel goed heeft opgezet en gebruikt de nas als backup voor zijn belangrijke data.
Wat de beste man niet weet is dat hij de NAS gemakkelijk via een paar open poorten te benaderen is dat hij het root ww nog niet veranderd heeft.
Is toch wel zo aardig om dit even aan je buurman te vertellen.
Eerder, "Hey buurman, je wifi is niet goed beveiligd, ik kan zo je wachtwoorden uit de lucht plukken"
toen ik met een boormachine aan de haal ging had ik inderdaad de cilinder er zo uit.
Leuk, maar voor de meeste hacks is niet het equivalent van een boormachine nodig, het is eerder equivalent aan een keukenraam dat open staat of een sleutel die buiten onder een bloempot ligt.
Specifiek mbt zero-day exploits gaat het om nieuwe gaten in beveiliging, dus juist iets anders dan 'ouderwets' de cilinder er uit boren.
Ik zie het eerder alsof ze de brand bij de buren gewoon willen laten woekeren... Uiterst onetisch!
Ik zou even de link openen van D3F, hij verwijst namelijk naar etische hackers, hun hack is per defenitie etisch ;)
Dit is ethisch gezien echt fout , politie is er voor onze bescherming tegen kwaadwillenden.
Nu kiezen ze voor een optie om bij een klein deel waar ze graag willen binnenkijken en het grootste deel van kwaadwillenden kan ons benadelen, nog afgezien wat het voor economische schade veroorzaakt.

bad attitude
Ik denk dat dit wel een vereiste is op het moment dat de wetgeving voor het hacken vanuit de Politie erdoor komt. Het zou erg zonde zijn van ons belastinggeld dat een specialistische club bij de Politie wel een hack bevoegdheid heeft maar hier niets mee kan omdat ze alle zero-days meteen aan moeten melden.
De discussie om informatie achter te houden voor burgers om nog grotere criminelen op te pakken speelt al jaren en is niet anders in deze context.
Het gaat om de timing van de melding. Als de politie hackbevoegdheid heeft zullen ze zelf af en toe een nieuwe zero-day ontdekken. Nu is de modus operandi dat een dergelijke zero-day na afloop van dat specifieke onderzoek gemeld wordt aan de fabrikant, dit voorstel wil die stap uitstellen om zo langer die zero-day te kunnen benutten.

Dat maakt nogal uit. Nu draagt de politie eigenlijk bij aan de security van die producten, zero-days die in het kader van een politieonderzoek worden ontdekt waren anders later, of misschien zelfs niet, boven water gekomen. Als de politie die zero-days voor zich houdt wil dat niet direct zeggen dat dingen onveiliger worden maar beter wordt het er niet van. Het is ook niet ontdenkbaar dat zero-days op een of andere manier weglekken bij de politie, dat zou de situatie alleen maar slechter maken.
Het weglekken van een zero-day is net zo aannemelijk als dat er andere informatie weglekt bij de Politie, dus in alle gevallen een probleem. Of het nu een zero-day is of andere informatie, de discussie zou moeten zijn wie de keuze zou moeten maken of het geheim houden van informatie toegestaan is of niet.
Het is mogelijk om hier wet en regelgeving voor te maken over bijvoorbeeld de bewaartijd. Feit is dat criminele zich niet aan de regels houden en hoe meer de Politie beperkt wordt hoe moeilijker het is deze criminelen te pakken.
Overigens is de timing van dit bericht logisch, omdat het een onderdeel is van het wetsvoorstel om de Politie rechten te geven om "terug te hacken". Het is dus niet ineens een nieuw "idee" wat opgekomen is.
Nee, daar gaat het niet om. De politie koopt die zero-days van bijvoorbeeld Hacking Team en in het contract staat dat de politie die zero-days niet mag bekendmaken of vrijgeven. Anders zou Hacking Team natuurlijk die zero-day maar één keer kunnen verkopen.
Je denkt toch niet echt serieus dat de politie zero-days gaat lopen zoeken? Dat besteden ze natuurlijk uit aan bedrijven zoals Hacking Team en die hebben in hun voorwaarden staan dat de klanten de zero-days niet bekend mogen maken.

Dat is waarom ze dit wetsvoorstel zo schrijven natuurlijk. Duh!!
Ik snap niet helemaal hoe je tot de conclusie komt dat ik denk dat ze de zero-days zelf gaan zoeken? Wat ik zeg is dat dit nieuws niet op zichzelf staat maar dat het een onderdeel is van het wetsvoorstel.
Overigens is het zo dat als dit onderdeel van het wetsvoorstel er niet doorheen komt, ze inderdaad deze zero-days openbaar moeten maken en ze dus niet van externe partijen kunnen kopen.
Dan heb ik je even niet begrepen.

In het Telegraaf artikel wordt ook gesproken om het lek 'even' op te houden. Wat is de definitie van 'even'? Dat is natuurlijk gewoon een euphemisme die nietszeggend is. Dat 'even' kan net zo goed jaren zijn.
Klopt, ben ik helemaal met je eens. Ik ben er ook zeker voor om hier harde eisen aan te stellen.
Ik ben er helemaal op tegen dat de politie menen hackt, maar meningen verschillen.
Dat was in de eerste discussie die ik hierover had ook mijn reactie: bizar als de politie terug gaat hacken.

Maar wat is het verschil met iemands huis binnenbreken om op zoek te gaan naar bewijs? Dat vinden we niet raar, mits het gebeurt in overleg met een rechter commissaris. Dat geldt voor terughacken an sich ook. Maar het moet, mijns inziens, wel case by case bekeken worden vanuit de rechterlijke macht.
Toch wel raar dat de overheid/politie de wet mag overtreden als het hun uit komt. Ik dacht dat de wet voor iedereen gold.
Als het voor de opsporing nodig is dan mag de overheid inderdaad de wet overtreden. De politie mag toch ook door een rood verkeerslicht rijden? Het is niet "als het hen uitkomt" maar als het nodig is.
De overheid mag NOOIT de wet overtreden. Volgens mij staan er uitzonderingen in de wet die toestaan dat de politie door rood rijd etc.
Nee. De overheid mag gewoon de wet overtreden als dat nodig is. Die uitzonderingen zijn als als anderen (bijvoobeeld niet overheids voorrangsvoertuigen als brandweer en ambulances) dat ook mogen. Die polite mag ook ongestraft 160 rijden op de snelweg om overtreders te kunnen opspsoren.
De discussie gaat er in een goed functionerende democratie dan ook altijd over, wanneer is het nodig? Lokfietsen, lokkinderen op het internet, het kopen van CDs met gestolen gegevens van zwitsere bankrekeninghouders, hacken van computers van verdachten, etc. Daar is een publiek debat over en dat is precies zoals het moet.
Waarom heeft de politie vrijstelling van verkeersregels?
De politie heeft een wettelijke vrijstelling gekregen om van de algemene verkeersregels af te wijken, als dit nodig is voor het werk. In de vrijstelling staat dat de ambtenaar van politie vrijstelling heeft van de bepalingen in het Reglement Verkeersregels en Verkeerstekens 1990.

Dus het is niet de wet overtreden 8)7
Technisch gezien overtreden ze in dat geval de wet niet, maar is in de wet een uitzondering ingebouwd.
Waarom wachten tot hackers een zero-day vinden? Er is veel geld mee te verdienen.. De volgende stap is natuurlijk dat de fabrikant gewoon zelf een achterdeurtje inbouwt en voor een stevig bedrag aan de politie én minder frisse klanten verhuurt.

[Reactie gewijzigd door breakers op 21 oktober 2016 11:33]

Zo iets hoeft maar één keer uit te komen en je kunt je bedrijf opdoeken. Uitkomen zal het vanzelf. Er wordt aan de andere kant ook veel goed werk verzet zoals de wet melding datalekken. Die insteek strijkt niet helemaal met de insteek van het nieuwe idee.

Je moet aan de andere kant ook begrijpen dat het voor justitie steeds moeilijker wordt om ergens binnen te komen of om voldoende bewijs te vergaren in een tijd waarin sterke encryptie, onion routing etc min of meer gemeengoed zijn geworden. Een kat in het nauw?
Ik geloof niet dat het waar is dat je dan kan opdoeken. Ondanks dat het de laatste tijd beter is geworden, hebben veel mensen die gebruik maken van een (gratis) product de instelling 'Ik heb toch niks te verbergen'.
Als Facebook dit zou doen, denk ik niet dat Facebook ineens verlaten wordt door een groot percentage gebruikers.
Wanneer er moedwillig een backdoor wordt ingebouwd en stil gehouden zal het grootste deel van de gebruikers het hazenpad kiezen wanneer dit bekend zal worden. De media springt er in dit soort gevallen bovenop. Hoe groter het bedrijf des te harder men in dit soort gevallen kan vallen. De imago schade kan enorm zijn juist ook in jouw voorbeeld van Facebook waar heel veel mensen toch al achterdochtig zijn als het op dit soort zaken en het delen van informatie (voor zover men dat zelf niet doet) aankomt.
Toen bekend werd dat de privacy features van Windows ( die ontzettend veel telemetry data verstuurde ) niet uitgeschakeld konden worden bleven mensen ook updaten naar Windows 10.

Ik denk dat de meeste mensen niet eens weten wat een backdoor is, Laat staan het bestaan ervan.

De meeste mensen weten niet eens dat alles wat je op internet zet er voor altijd op blijft... Dus ik denk niet dat de massa ook zo hevig zou reageren als je schetst.
Facebook is niet zo'n goed voorbeeld omdat deels de info van gebruikers gewoon door henzelf openbaar gezet wordt en de rest (berichten gedeeld met vrienden, IP-adressen) bij serieuze verdenking nu al op te vragen is door (in ieder geval de Amerikaanse) Justitie.

Ook is Facebook geen applicatie op je computer (zover ik weet). Wel is er de (o.a. messenger) app maar die kan niet zomaar bij bijvoorbeeld je mailtjes of dropbox bestanden. Op iOS is dit in ieder geval ge-sandbox-t.
Uitkomen zal het vanzelf.
Waarom ben je daar zo zeker van? Er is zoveel waar we nooit achter komen, juist als het gaat om de overheid, denk maar aan de AIVD, defensie of het koningshuis.
Je moet aan de andere kant ook begrijpen dat het voor justitie steeds moeilijker wordt om ergens binnen te komen of om voldoende bewijs te vergaren in een tijd waarin sterke encryptie, onion routing etc min of meer gemeengoed zijn geworden.
In het analoge tijdperk kon Justitie ook niet in (bijvoorbeeld) een willekeurige kluis of boekhouding kijken of afstand. Toen had je ook dubbele boekhoudingen en encryptie en dergelijke.
Een kat in het nauw?
Misschien, maar dat maakt nog niet dat alles geoorloofd is.
Het niet melden van gat maakt je wat mij betreft medeplichtig aan misbruik van dat gat.
Als ik zie dat het huis van buurman in brand staat dan is het mijn burgerplicht om hem te waarschuwen en de brandweer te bellen. Als ik dat niet doe maar marshmellows ga roosteren in achtertuin dan ben ik ook verantwoordelijk voor de schade.
Als iemand bijna door de bus wordt aangereden dan moet ik proberen hem te redden.

Trouwens, als "onze" politie een gat kan vinden dan is de kans groot dat anderen dat gat al eerder hebben gevonden. Die anderen zullen dat gat tegen ons gebruiken. Ik denk dat onze politie nog redelijk netjes en respectvol is tegen Nederlanders en beschaafd zal omgaan met hun nieuwe bevoegdheden, en als ze het niet doen dan kun je naar de rechter die er dan iets aan kan doen (ok, de praktijk is misschien wat lastiger, maar het kan). Ik maak me geen illusies over criminelen en buitenlandse organisaties, die gaan zo'n gat gewoon maximaal uitbuiten en juridisch kun je er niks tegen doen. De enige verdediging is zorgen dat het gat zo snel mogelijk wordt gesloten.
Dat is natuurlijk niet zo. De overheid maakt de wetten dus al zei zeggen dat dit niet strafbaar is dan is dat zo.
Ik heb het meer over ethiek en moraliteit dan over de wet.

De overheid kan alles per wet goedkeuren. Daarmee is het juridisch in orde, maar nog niet ethisch. In sommige landen hebben ze nog de doodstraf, in andere is homosexualiteit verboden, in weer andere mag je je vrouw slaan. Dat is juridisch gezien helemaal ok, maar moreel gezien is het verwerpelijk.

Natuurlijk kan de staat het geheimhouden van gaten legaliseren, net zoals ze in de wet kunnen zetten dat je bij ongelukken popcorn moet maken voor de toeschouwers, maar daarmee is het nog geen goede of verstandige wet.
Ik vind het veel belangrijker dat veiligheidsdiensten niet mogen hacken, en of ze daarbij nou een zero day gebruiken, de hulp van de fabrikant van software of een webservice inroepen vind ik bijzaak.

Laten we ons concentreren op hoofdzaken, niet bijzaken.
Als dit voorstel erdoor komt, dan is het een kwestie van tijd voordat een zero daykwetsbaarheid dat de overheidsdiensten zelf gebruikten en niet meldden vervolgens tegen hen (of iets binnen Nederland) gebruikt wordt.
Dit. Wat een onwetendheid / arrogantie om te denken dat je een zero-day voor langere tijd voor jezelf hebt. Elke kwetsbaarheid komt vroeg of laat onder ogen van kwaadwillenden, zoals blackhat hackers, criminele organisaties, en minder fijne overheden en bedrijven. Er zijn legio mogelijkheden om een kwetsbaarheid buit te maken vanuit de politie: een agent die wat extra centjes nodig heeft, een hacker die de politie hackt, omkoping, bedreiging, enz. En dan nog alle hackers die zelf zoeken en de kwetsbaarheid ook kunnen vinden.

Nog naast het punt dat het niet slim is om oneindig meer mogelijkheden te geven aan onze eigen overheidsdiensten omdat dit misbruik uitlokt. Zeker niet zolang ze hun bestaande middelen nog niet eens efficiënt kunnen inzetten en ze al een overdaad aan informatie hebben waar ze niet doorheen komen...

Vaak zal de Nederlandse politie niet eens de eerste zijn die de kwetsbaarheid tegenkomt. De potentiële economische en menselijke schade die het oplevert is groter dan het misdaadoplossende potentieel. Voor je 't weet zijn bedrijven ermee aan de slag om insider info te bemachtigen, worden zelfrijdende auto's 's nachts automatisch naar een industrieterrein gereden om gestript te worden, en worden onschuldige burgers gechanteerd met dat ene filmpje dat op hun telefoon stond.

Misschien als terroristen zelf eens een aantal grote hacks uitvoeren met flinke schade, dat overheden dan gaan inzien dat het dichten van lekken meer waard is dan het openhouden ervan?
Assumption is the mother of all screw-ups
Blijkbaar lopen er mensen rond bij overheid die in de veronderstelling zijn dat ze per definitie meer info hebben dan andere partijen terwijl de praktijk juist het tegenovergestelde aantoont.


Grotere partijen als MS, Apple, Google, Facebook doen er verstandig aan om bounty-programma's hogere bedragen toe te kennen zodat het interessanter wordt om systemen binnenste buiten te keren en hopen dat ergens in Verweggistan iemand zo naïef is om ze aan te bieden bij de juiste partijen.


Tzt kan dit goed verkeerd aflopen als de ontwerper niet de software tijdig aanpast.
Maar als hackers van de politie zelfs een zero-day vinden, is het dan niet evident dat deze dan ook snel gevonden zal worden door andere hackers? Waarom zou je dit dan geheim houden?
Een zero day kan wellicht ook door andere crackers gevonden worden maar waarom zou dat snel gebeuren? Sommige lekken zijn zeer lastig te vinden of zeer lastig te gebruiken. Het is absoluut niet ondenkbaar dat een lek in veel gevallen pas veel later door anderen wordt gevonden. Nu hoor je toch ook af en toe al over lekker die worden ontdekt die soms al jaren lang uitgebuit worden.
Het is absoluut niet ondenkbaar dat een lek in veel gevallen pas veel later door anderen wordt gevonden.
Waarbij 'anderen' de politie zou kunnen zijn.
Hiermee verzwijg je ook de veiligheid voor de overige gebruikers. Stel, de politie wist van deze lek en er zijn bedrijven de dupe van geworden, kun je de overheid dan aansprakelijk stellen omdat ze het verzwegen hebben? Het heeft dus 2 kanten.
Hiermee verzwijg je ook de veiligheid voor de overige gebruikers.
Waarbij het probleem is dat de overheid en politie zelf óók onder die "overige gebruikers" vallen.

Als het gaat om zero days in software die voornamelijk of uitsluitend wordt gebruikt door criminelen (ehm, admin panel van een command and control server??) dan vind ik het geen enkel probleem dat ze het voor zich houden. Maar zoals het nogal vergezochte voorbeeld laat zien, dat soort software is zeldzaam; het overgrote deel van de software die criminelen gebruiken zal software zijn die "iedereen" gebruikt: Windows, de grote browsers, Acrobat, Word en Excel om de voor de hand liggende kandidaten te noemen. Maar als de Nederlandse politie een zero day in één daarvan te pakken krijgt (of zelf vindt), dan zit het er dik in dat iemand anders achter diezelfde zero day komt. Als die ander toevallig slechte bedoelingen heeft, dan is het niet ondenkbaar dat de politie zelf het volgende slachtoffer is...
Nee, de aansprakelijkheid in die gevallen zal waarschijnlijk door het wetsvoorstel geregeld worden.
Nee, de aansprakelijkheid in die gevallen zal waarschijnlijk door het wetsvoorstel geregeld worden.

Precies, het wetsvoorstel zoals 'voorgesteld' regelt dat de politie/overheid niet aansprakelijk is, ook al wist men ervan en deed niets. "Goed" geregeld dus _/-\o_
Dat zal precies zijn wat ze in dat wetsvoorstel zullen regelen!
En dat i.c.m. de wet meldplicht datalekken. Een gouden combo.
Wellicht komt een dergelijk wetsvoorstel niet door de Tweede Kamer
Dat mag ik toch hopen. Het zou schandelijk zijn als ze mee zouden werken om de veiligheid van de bevolking op zo'n manier te grabbel zouden gooien
Dat ligt er maar waar we op gaan stemmen komend jaar... Wordt het weer VVD, CDA en PVV? Dan komt dit er sowieso door. Met partijen als D66, GL, Piraten en in mindere mate PvdA heb je kans op een tegenstem op dit soort voorstellen.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True