Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 100 reacties

Politie en justitie hoeven kwetsbaarheden in software die hen in staat stellen systemen binnen te dringen niet in alle gevallen kenbaar te maken aan ontwikkelaars van de software. Volgens het kabinet kunnen ze in 'uitzonderlijke gevallen' besluiten zero-days onder de pet te houden.

Het kabinet erkent dat het laten voortbestaan van onbekende kwetsbaarheden risico's met zich meebrengt en kan zorgen voor meer slachtoffers van criminaliteit. Desondanks zijn er gevallen waarbij het Openbaar Ministerie kan besluiten de melding niet te doen of uit te stellen. Het kabinet geeft als voorbeeld gevallen waarbij een melding ervoor zou zorgen dat een verdachte achter een opsporingsonderzoek zou komen. Ook als het een systeem betreft dat door de criminelen ontwikkeld is en er geen gevaar voor anderen is als de kwetsbaarheid blijft bestaan is volgens het kabinet een voorbeeld van een zero-day die politie en justitie niet hoeven te melden.

Bij de afweging over het al dan niet melden moet justitie letten op de kans dat criminelen de zero-day ook gebruiken en het mogelijk aantal slachtoffers als criminelen de kwetsbaarheid misbruiken. Lekken in Windows of Android gaan politie en justitie waarschijnlijk direct doorgeven. "Het uitstellen van het delen van informatie over aangetroffen onbekende kwetsbaarheden in wijdverbreide en regulier gebruikte hardware of software ligt niet in de rede", staat in de brief van Klaas Dijkhoff, de staatssecretaris van Veiligheid en Justitie, en de minister van Binnenlandse Zaken Ronald Plasterk.

Ze reageren hiermee op vragen van D66-Kamerlid Kees Verhoeven over het gebruik van onbekende kwetsbaarheden in hardware en software. Ook de politie kan die kwetsbaarheden gaan gebruiken op basis van het wetsvoorstel Computercriminaliteit III: de wijzigingen geven de politie de bevoegdheid systemen binnen te dringen voor bepaalde opsporingsdoeleinden. Het gaat hierbij om een beperkt aantal strafbare feiten en vooraf is toestemming van een rechter-commissaris vereist. Dat de inlichtingendiensten AIVD en MIVD voor hen relevante kwetsbaarheden in software niet altijd hoeven te melden was al duidelijk.

Verhoeven noemt het kabinet ongelofelijk naïef vanwege het standpunt: "Dit kabinet wil achterdeurtjes in de beveiliging van al onze computers en smartphones openzetten. Het zijn juist criminelen en terroristen die deze beveiligingsgaten zullen misbruiken om bankgegevens, foto’s van intieme momenten met je vriend of vriendin en andere privé-informatie te stelen." Volgens het Kamerlid kan de politie ook kijken op computers van criminelen zonder ieders veiligheid aan te tasten. Hij belooft een voorstel daartoe in te dienen bij de behandeling van Computercriminaliteit III in de Tweede Kamer.

Update, 12.40: Reactie Verhoeven toegevoegd.

Moderatie-faq Wijzig weergave

Reacties (100)

Belachelijk, als de politie of justitie een lek kan vinden wie zegt dan dat een crimineel dat niet kan? Ik vind dat dit gewoom onder een meldplicht moet vallen
Laten we eerlijk zijn. De kans dat de politie of justitie de tijd en de kennis heeft om lekken op te sporen, is wel bijzonder klein. Ze zullen het eerder aankopen bij gespecialiseerde firma's ( nieuws: Hacking Team mag spionagesoftware voor overheden alleen nog in EU lev... ). Dus ze kopen het aan, en dan moeten ze het direct melden? Als zo'n bedrijf die lekken verkoopt, weet dat ze een meldingsplicht hebben, dan verkopen ze het er niet meer aan.
Het is anders al genuanceerder dan ervoor. Ik kan me bijv. best voorstellen dat bekendmaking in sommige gevallen vertraagd zou worden om een lopend onderzoek niet te frustreren of te beschermen. Maar zero days onder de pet houden voor evt. toekomstige zaken lijkt me niet ok maar daar lijkt ook geen sprake van.
Het is natuurlijk ook zo dat na het melden de lekken niet direct voor alle systemen gerepareerd zijn. Dus na het melden kun je de kennis van de lekken sowieso bewaren (en benutten).
Dat hangt helemaal van het systeem af. Bij Windows en Apple moet je wachten tot de eerstvolgende patchronde of release, waarna updates vaak automatisch op apparaten geïnstalleerd worden, of gebruikers in ieder geval een notificatie krijgen. Bij Linux wordt er echter vaak al dezelfde dag een patch uitgebracht die meteen te installeren is. Bij Android komt zo'n patch vaak helemaal niet op het apparaat van de verdachte terecht door een gebrek aan een goed werkend update systeem.
Soms kun je dingen snel patchen ja, maar vaak zul je toch eerst goed moeten testen of wat je hebt gefixed ook geen gevolgen heeft voor legitieme software.. Enuh, genoeg gaten in linux die er al jaren in zitten en nog steeds niet gepatched zijn, wat overigens dus ook voor windows en macos etc geldt hoor.
Dat klinkt redelijk totdat je je realiseert dat de politie het dan nooit hoeft vrij te geven zolang ze het maar in nieuwe onderzoeken blijven gebruiken.
Het is anders al genuanceerder dan ervoor. Ik kan me bijv. best voorstellen dat bekendmaking in sommige gevallen vertraagd zou worden om een lopend onderzoek niet te frustreren of te beschermen.
Dus Nederland zou kunnen beslissen om een onderzoek niet te frusteren een zero day on de pet te houden. Dit kan betekenen dat belangrijke bedrijven in Nederland en buitenland onnodig gevaar lopem.
Dit kan en mag IMO nooit. Als dat ooit het geval zal zijn vind ik dat Nederland voor het internationale gerechtshof gedaagd moet worden.
Ja, en dan als hardwarefabrikant opzettelijk aan criminelen gaan leveren om zo gratis alle lekken in je firmware te vinden.
Ja, laten we de pliesie met handen en voeten binden aan regeltjes zodat we lekker op ze kunnen blijven mopperen als ze niets meer kunnen oplossen...

(ja, dit is gechargeerd, maar in essentie komt het er wel op neer)
Nee, laten we de politie een vrijbrief geven om maar te doen en laten wat ze willen, want dan kunnen ze goed alle criminaliteit oplossen ... |:(
Dat is weer de andere kant op en niet wat ik bedoel. Ik zeg ook gechargeerd.

Je moet ze geen vrijbrief geven, maar ook niet vastbinden. Dan kunnen ze niet functioneren. Met briefkaarten kun je geen cybercrime bestrijden.
In heel veel niet ICT gerelateerde zaken presteren ze al zwaar beneden peil t.o.v. hun buitenlandse collega's. Kan ook niet anders als je de ICT ziet waarmee ze moeten werken, bureaucratie en ook het aantal agenten t.o.v. Hun buitenlandse collega's maar toch..
Je hoeft ze ook niet te vastbinden, ze moeten simpelweg duidelijk laten zien waar en hoe de informatie om iemand te vervolgen vandaan komt. Anders is het vrij lastig om informatie op waarde te schatten en je daar als verdachte tegen te verdedigen.
Euh ja het lijkt me een goede zaak dat de politie zich aan de regeltjes moet houden. Die regeltjes zijn namelijk enorm belangrijk. Aan die regeltjes moeten wij ons allemaal houden en garanderen onze rechtstaat.

De politie mag nu ongestraft criminele activiteiten inzetten om mensen te hacken. Dit is totaal krankzinnig.
Het is naar mijn mening van dezelfde orde als een infiltrant of mol inzetten.

Het is een beetje zoals de encryptie discussie. Ofwel je bent er voor dat de politie niet in encrypted spul kan kijken én je accepteert dat ze dan in bepaalde zaken het bewijs niet rond kunnen krijgen, óf je bent er tegen en accepteert de verminderde vrijheid.
En die stelling impliceert geen standpunt voor of tegen. Het is enkel stof tot nadenken. We verwachten immers wel eea van de politie. Als we willen dat ze nergens bij kunnen, moeten we accepteren dat ze cybercrime niet kunnen aanpakken. Dat los je nu eenmaal niet op door mensen van afstand te bekijken of hun post open te stomen.
Dit gaat nergens over. Meer een reactie voor de Telegraaf oid
Als jij denkt dat de meeste criminaliteit geconcentreerd is rondom motorbendes, dan heb je wel een hele HELE naieve/verkeerde blik van realiteit..
Dit hadden we natuurlijk kunnen verwachten. Ook weer lekker vaag:
Volgens het kabinet kunnen ze in 'uitzonderlijke gevallen' besluiten zero-days onder de pet te houden.
En geloofd iemand dit? :z
Lekken in Windows of Android gaan politie en justitie waarschijnlijk direct doorgeven.
Ja en hoe zit het dan met overheden die lekken opkopen? Doet onze politie dat ook?
Ja daar gaat dit hele circus juist om! En nu mogen ze ze dus kopen en dus eigenlijk "opzettelijk" eigen burgers in gevaar brengen!
Ik weet niet meer waar ik heb gehoord heb, maar Hacking Team had ook een quote gemaakt voor de Nederlandse overheid. Hacking Team is zelf ooit gehackt geweest en daar kwam dit soort info uit.

Hier een ophelderend filmpje op hun website: http://www.hackingteam.it/solutions.html

Dit mag de Nederlandse politie in principe gewoon kopen.

edit: naam aangepast

[Reactie gewijzigd door WienerBlut op 8 november 2016 12:58]

Ja ken het, heb de bestanden zelf ingezien! En ja ze mogen het kopen ja, met deze wet helemaal, maar dat maakt het niet minder kwalijk. Er wordt nu beredeneert dat als de overheid het niet koopt, dat het probleem er dan niet is. Maar waarom zou bijvoorbeeld Rusland niet allang klant zijn en bij 100.000 Nederlands al binnengedrongen zijn. Daar zou de Nederlandse overheid ons toch voor moeten beschermen? Maar nee, we schaffen gewoon zelf de veredelde exploit-kit aan en gaan gewoon de zelfde exploits gebruiken.
De vraag die je stelt is denk ik de juiste. Je bedenking is ook een juiste, maar slechts 1 helft van de medaille; soms moet je zelf vuile handen maken om een klus te klaren. Een verdacht persoon of een verdachte groep kan je simpelweg niet verwachten dat ze data vrijwillig afgeven of een notule van meetings geeft.

De zero-day gaten zijn er nu eenmaal en die zou je kunnen gebruiken, of niet.

Misschien zijn de AIVD/MIVD wel zo slim om de attack patterns van Hacker Team software in kaart te brengen en daardoor onze overheid extra te kunnen beschermen? Wie weet!

Maar nogmaals, je vraag en bedenkingen zijn in mijn ogen gerechtvaardigd, alleen mist er een stuk.

edit: "ogen" toegevoegd

[Reactie gewijzigd door WienerBlut op 8 november 2016 13:24]

Misschien zijn de AIVD/MIVD wel zo slim om de attack patterns van Hacker Team software in kaart te brengen en daardoor onze overheid extra te kunnen beschermen?
Heel leuk dat de overheid misschien beschermd wordt. Hoe zit het met de burgers? Dit is niet een punt waarop je de overheid van de burgers wilt scheiden.
Ik heb voor "overheid" in mijn antwoord gekozen, want ik geloof niet dat er bij ISPs een grote firewall van de overheid staat die de AIVD/MIVD kan gebruiken om ons te beschermen...

Als de overheid met zo'n plan zou komen denk ik dat de rapen gaar zouden zijn... Ik vermoed dat er een enorme weerstand zou zijn vanuit de maatschappij en ik geloof ik niet dat het mag vanwege net-neutraliteit.

Misschien kan de overheid een AIVD/MIVD-filter wel als service aanbieden; idee?
Hackers hacken niet allleen overheden, maar ook consumenten. Kortom als de overheid kan penetreren bij zulke groeperingen dmv zero days (Vrijwel de enige mogelijkheid vaak, bij goed georganiseerde groepen) dan beschermen ze indirect ons ook, behalve henzelf.

Het is een lastige kwestie, maar ik denk dat het erg dom is om alle zero days publiek te maken. De overheid (nouja, niet de overheid, de opsporingsdiensten van de overheid...dat is toch iets héél anders dan de belasting die weet wat er op je bankrekening staat) kan anders niet fatsoenlijk functioneren op dit gebied.
De zero-day gaten zijn er nu eenmaal en die zou je kunnen gebruiken, of niet.
Natuurlijk kun je die gebruiken. Het gaat er om of ze die 0-days onder de pet mogen houden of moeten melden.

Ik vermoed dat aan de 0-days verkregen via HackingTeam en verwante orgs een voorwaarde is verbonden dat je die onder de pet moet houden. Doe je dat niet, dan ben je ongetwijfeld meteen klant-af.

Wanneer de politie zelf een 0-day ontdekt dan heeft ze dus de keuze om deze te melden, zelf onder de pet te houden of te verkopen aan een toko als HackingTeam - een 0day kan serieus geld waard zijn.
... lekken opkopen? Doet onze politie dat ook?
''In uitzonderlijke gevallen''.. :+

Mij verbaast weinig. Men koopt tenslotte ook forensische software waar een gewoon mens niet van weet of makkelijk aan kan komen.
Dit is erg zorgwekkend, het wordt nu misschien alleen voor legitieme doeleinden gebruikt, maar vaak beginnen de problemen wanneer de overheid iets wel mag maar het illegaal is wanneer een burger dit doet.
Nou is niet gezegd dat Nederland morgen ineens een dictatuur is, maar ik ben van mening dat als je ergens kritisch op bent dat dan altijd kritisch moet zijn op dit gene, en niet alleen wanneer jij er last van ondervind.
Scheelt trouwens wel dat IT en dat soort zaken altijd kostenpost is bij de overheid, dus verwacht er niet superveel van.
Hoe zou jij weten dat we in een dictatuur leven? Waaraan zie je dat. Ik denk dat je oude dictaturen niet langer als voorbeeld kunt nemen, die dictaturen van besnorde mannen in militaire uniformen met een pet met zo'n heel hoge voorkant, in grijs met rood of zo. Je kent ze wel.

De nieuwe dictaturen zijn allemaal op ICT gebaseerd en straks het IOT. Je leeft in een dictatuur maar je merkt er niets van want sociale engineering zorgt er voor dat jij een website en nieuws leest dat jou kalm en min of meer tevreden houdt, of bang or argeloos. VCerdeel en heers kan steeds beter.

En er wordt je niets in de weg gelegd om te consumeren, zodat je je brood en spelen hebt. Maar echte vrijheid is het niet, omdat als je afwijkt van normen, er alarmbellen af gaan en het controle systeem in werking treed. En ineens blijk je een terrorist. En iedereen zal dat geloven, want de bewijzen tegen je liggen al lang klaar op de plank.

Je bent dus vrij onder voorwaarden. En wie zou dit systeem kunnen detecteren, in je huis vol IOT spionage apparatuur, trackers, dataminers en zoek spiders? De dictatuur IS het netwerk.
Goed punt, weet eerlijk gezegd ook niet zo goed een argument wat je punt ontkracht, dit wil trouwens niet zeggen dat er geen goede argumenten tegen zijn, alleen dat ik niet instaat ben tot het formuleren van.
Definieer 'uitzonderlijke gevallen' , nogal een vaag begrip....
ook de voorbeelden waarom niet, alshet door criminelen gemaakt is of een verdachte er achter kan komen dat hij in de gaten wordt gehouden |:(

Het ligt er wel héél dik op dat deze redenen alles goed praat, wat een droogredenen. je gaat immers niet aan criminelen een lek melden!, er moet natuurlijk een uitzondering zijn, stel je voor dat ze dit moeten doen omdat ze verplicht zijn alle lekken te melden.. (moet zeggen creatiever dan kinderporno en/of terrorisme)
Maar de softwarebedrijven moeten zelf wel aan de meldplicht datalekken voldoen als ze er achter komen. Komen ze er ook achter dat het de politie is, dan is dat nogal dubbel aangezien het lek al bekend was bij de overheid.
Dit. Wij moeten als klein IT-bedrijf duizenden euro's uittrekken voor allerlei verzekeringen inzake datalekken en de overhead voor de bewerkersovereenkomsten die hiermee samenhangen. Maar de overheid zelf heeft weer eens de vrije hand. Bah. Bah. Bah. (jip, driewerf)
"uitzonderlijke gevallen" en "waarschijnlijk".

Geen enkele zekerheden en vooral de definitie van Uitzonderlijke gevallen is natuurlijk expres vaag. Ik vermoed dat iets al snel een "Uitzonderlijk geval" zal gaan zijn.

Ik snap dat ze deze stap gaan nemen, maar ik denk dat het nog eens kan backfire'en.
Ik kan niet wachten totdat ik als nabestaande de Staat kan aanklagen dat de oomsagent wist van een software exploit die door een buitenlandse staatscracker misbruikt werkt om de elektriciteit van de ziekenhuis waar mijn familielid op sterven ligt plat te leggen met duizenden doden tot gevolg :)

Dit is een ziekte als biowapen ontwikkelen en als een paar samples uit het lab ontsnappen de boel onder de pet houden terwijl overal mensen dood neervallen.

[Reactie gewijzigd door RoestVrijStaal op 8 november 2016 12:12]

Je hebt eerder een wc rol aan parkeerbonnen voor elkaar dan dat je daarop moet gaan zitten wachten. ;)
Wordt een makkelijke verdediging straks: ja meneer de rechter, de telefoon/computer had 0-days lekken en iemand, ik zeg niet dat de politie dit heeft gedaan, maar ze konden het wel, heeft de door de officier aangedragen informatie op de telefoon/computer gezet ...mijn client gaat dus vrijuit.
Dat kan toch al lang ? 'Edelachtbare, die 20 Kalashnikovs zijn er door de politie neergelegd die het slot zonder sporen achter te laten hebben geopend want het is een Lips type X slot waar dat bij kan'.
Het is allemaal zo ontzettend achterbaks. Zinnen als ""waarschijnlijk direct doorgeven", "politie inschatten" en "uitzonderlijke gevallen" geeft lekker veel duidelijkheid. En dan zeggen dat er software door ontwikkeld is door "criminelen". Software is nooit goed of slecht, het is aan de gebruiker voor welk doel hij / zij het gebruikt.

Maar goed, mocht ik de politie zijn zou ik het wel weten. Als je al encryptie wil afschaffen, waarom zou je dan nog met deze regel in hemelsnaam lekken gaan melden? Lekker zelf binnen harken die handel, gebruiken wanneer nodig want je beschermt je burgers ermee!

[Reactie gewijzigd door Yariva op 8 november 2016 12:14]

Op zich is dat wel begrijpelijk, echter ik zou wel willen weten wanneer er wordt besloten wel een bug vrij te geven. Houd men de scope van de bug in de gaten ? Wie monitored er dat zij op een gegeven moment niet meer de enige zijn die deze bug misbruiken ? Is er een samenwerking verband tussen de europese/internationale landen om dit soort bugs te misbruiken ? En wellicht nog belangrijker, koopt men de bug, of vind men hem zelf. Als je hem koopt dan zou ik samenwerking vereisen aangezien anders elk (europees) land wellicht dezelfde bugs gaat inkopen om te misbruiken. (Lijkt me financieel niet wenselijk).

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True