Wetsvoorstel VS dwingt NSA om overheidsorganen te informeren over zero-days

Het Amerikaanse Congres heeft een nieuwe wetsvoorstel voorgesteld waardoor inlichtingendienst National Security Agency vertegenwoordigers van andere Amerikaanse overheidsagentschappen moet informeren over ontdekte zero-days.

Er bestaat al een regeling waarbij de NSA het ontdekken van kwetsbaarheden met andere overheidsorganen moet delen, maar dit is een beleidsregeling die door de NSA zelf is ingesteld zonder dat daarvoor een wettelijke verplichting bestond. De nieuwe wet introduceert een verplichte beoordeling op het moment dat een overheidsagentschap zoals de NSA een beveiligingslek in software ontdekt en de maker van de software er niet van op de hoogte wil stellen om zodoende het lek te kunnen gebruiken voor spionagedoeleinden. Dit beoordelingsproces zal volgens het wetsvoorstel plaatsvinden onder voorzitterschap van het ministerie van Binnenlandse Veiligheid. Dat meldt Reuters.

Een Republikeinse en een Democratische senator hebben het wetsvoorstel ingediend en hopen daarmee een betere balans aan te brengen tussen het belang van de nationale veiligheid, en de beveiliging van computers en software in het algemeen.

Verschillende techbedrijven hebben al langer kritiek op hoe de Amerikaanse overheid omgaat met het ontdekken van kwetsbaarheden in software. Microsoft-directeur Brad Smith heeft gezegd dat het een groot probleem is als landen kwetsbaarheden verzamelen en niet melden. Volgens hem lekken exploits die in handen zijn van overheden, te vaak uit, waarna veel schade kan ontstaan. Hij vindt dat de overheid meer belang moet toekennen aan de schade die bij burgers ontstaat, nadat een kwetsbaarheid wordt misbruikt.

Deze kritiek is sterker geworden na de recente aanvallen waarbij gijzelingssoftware computersystemen in 150 landen heeft geïnfecteerd. Vorige week verspreidden onbekenden een ransomwarevariant onder de naam WannaCry, die gebruikmaakte van de Eternalblue-tool. De NSA maakt deze tool en gebruikte het gedurende een periode van vijf jaar. De Shadowbrokers publiceerden de Eternalblue-tool in april. Deze exploit stond aan de basis van de verspreiding van de WannaCry-ransomware.

Onlangs bleek dat de NSA de partij was die Microsoft heeft gewaarschuwd voor de lekken waarvoor de Shadowbrokers verschillende exploits publiceerden. Op basis van die informatie was Microsoft in staat om in maart een patch uit te brengen.

Door Joris Jansen

Redacteur

Feedback • 18-05-2017 11:19
35 • submitter: AnonymousWP

18-05-2017 • 11:19

35 Linkedin

Submitter: AnonymousWP

Lees meer

WannaCry-ransomware in 150 landen

Wat maakt deze variant anders?

 283
Bedrijf biedt tot drie miljoen dollar voor zero-days in Android of iOS Nieuws van 27 april 2018
'Systemen van nieuw Brits vliegdekschip draaien op Windows XP' Nieuws van 27 juni 2017
NSA plaatst sysadmin- en beveiligingstools op GitHub Nieuws van 19 juni 2017
Shadowbrokers vragen 20.000 euro voor exploitabonnement Nieuws van 30 mei 2017
Techbedrijven sturen brief over hervorming surveillancewetgeving VS Nieuws van 27 mei 2017
Beveiligingsbedrijf vindt meer aanwijzingen voor WannaCry-link met Noord-Korea Nieuws van 23 mei 2017
Onderzoekers publiceren WannaCry-decryptor voor Windows 7 en andere systemen Nieuws van 19 mei 2017
'NSA meldde kwetsbaarheden aan Microsoft voor Shadowbrokers-publicatie' Nieuws van 18 mei 2017
Shadowbrokers kondigen abonnement op exploits aan Nieuws van 16 mei 2017
Microsoft: WannaCry toont gevaren opsparen kwetsbaarheden door overheden Nieuws van 15 mei 2017
Beveiligingsonderzoeker vindt per toeval killswitch voor ransomware - update Nieuws van 13 mei 2017
Wereldwijde ransomwarecampagne legt Engelse ziekenhuizen plat - update Nieuws van 12 mei 2017
'Aantal met NSA-implant geïnfecteerde systemen stijgt na Shadowbrokers-dump' Nieuws van 21 april 2017
Microsoft: Windows-zero-days in Shadowbrokers-dump zijn al gerepareerd Nieuws van 15 april 2017
'Shadowbrokers-dump bevat verschillende Windows-zero-days' Nieuws van 14 april 2017
Shadowbrokers-release toont aan dat CIA Swift-betalingsnetwerk infiltreerde Nieuws van 14 april 2017
Shadowbrokers geven wachtwoord voor versleutelde set NSA-hacktools vrij Nieuws van 9 april 2017
Meer producten en artikelen
Politiek en recht Netwerk en systeembeheer NSA

Reacties (35)

-Moderatie-faq
35
33
17
2
0
16
Wijzig sortering
434365
18 mei 2017 11:23
Waarom niet gewoon de relevante bedrijven/developers.

Ik bedoel, leuk dat ze nu eindelijk een beetje na beginnen te denken, maar natuurlijk gaat de overheid 9 van de 10 keer zeggen "oh ja, handig, hou dat maar onder de pet" en dan zitten we in hetzelfde schuitje als vandaag de dag.

Wat ik veel interessanter vind is of Microsoft of misschien zelfs de Amerikaanse Overheid nu de NSA gaat aanklagen omdat ze verantwoordelijk te houden zijn voor de grootste randsomware aanval ooit, zelfs al is het met een sisser afgelopen.
m3gA
@43436518 mei 2017 11:28
Ethernalblue (met SMB lek) schijnt bijna 5 jaar gebruikt te zijn. Dan vraag je je af of niet alleen de NSA die lek kende en gebruikte.
434365
@m3gA18 mei 2017 11:34
Ik vermoed dat ze deze wel voor zichzelf hebben gehouden, anders was dit waarschijnlijk al naar buiten gekomen bij een van de vele lekken rondom '3e partijen' waar de NSA mee werkt.

Dat een andere groep (al dan niet een ander 'veiligheids orgaan' in een ander land) op dezelfde truc is uitgekomen is natuurlijk zeer zeker wel mogelijk, en een van de (vele) redenen waarom deze tactiek gewoon niet-acceptabel is.
bbob
@m3gA18 mei 2017 12:02
Er zijn veel lekken die jaren bestaan, ssl bug linux weet ik hoe veel jaar. Dat is het idee van een lek, iemand vindt het per toeval en dan kan het best zo zijn dat het nog jaren kan duren voor een ander het per toeval ontdekt.
Koffiebarbaar
@43436518 mei 2017 11:25
Wat ik veel interessanter vind is of Microsoft of misschien zelfs de Amerikaanse Overheid nu de NSA gaat aanklagen omdat ze verantwoordelijk te houden zijn voor de grootste randsomware aanval ooit, zelfs al is het met een sisser afgelopen.
Mijn zegen hebben ze in ieder geval.
De media is er erg goed in om die uitbraak in de schoenen van cybercriminelen en een slecht updatebeleid te schuiven maar in de praktijk is het probleem natuurlijk gewoon dat zo'n exploit onder de pet gehouden word en zo'n club als de NSA blijkbaar dermate naief is en denkt dat dat niet fout kan gaan. Alsof hacken een skill is alleen toebedeeld aan de NSA en hen die er voor werken.

[Reactie gewijzigd door Koffiebarbaar op 18 mei 2017 11:27]

434365
@Koffiebarbaar18 mei 2017 11:37
Als dat abonnement van de Shadowbrokers echt is (en daar lijkt het wel op, gezien al hun eerdere claims ondertussen echt blijken te zijn) dan gaan we nog wat meemaken/kan het zomaar gebeuren dat de NSA wel echt op de vingers gebeukt word hiervoor.
TD-er
@43436518 mei 2017 11:44
Het lijkt me eerder dat een dergelijke uitbraak van exploitsmisbruik eerder zal leiden tot nog meer geheimhouding en nog harder benadrukken van de "noodzaak" om exploits te verzamelen.
Vaak resulteert dergelijke kritiek in een reactie die nog harder benadrukt dat je nog meer moet doen waar nu juist de kritiek op slaat.
jfdaniels
@TD-er18 mei 2017 12:22
Waarom zouden ze nog naar lekken zoeken indien ze ze direct openbaar moeten maken? De NSA zou volledig stilvallen.
TD-er
@jfdaniels18 mei 2017 12:40
Omdat er vaak best wel een tijd zit tussen melden van het lek en dat de patch geïnstalleerd staat.

En de VS kennende zullen ze vast wel dingen overwegen als dat de NSA bepaalt hoe handig een exploit is, oftewel hoe lang men moet wachten om het bij de eigen overheid te patchen en hoe snel bij de rest van de wereld, wat eigenlijk ook een beetje de onderliggende gedachte lijkt te zijn bij dit nieuwsbericht.
Anoniem: 109989
@jfdaniels18 mei 2017 16:42
Waarom zouden ze nog naar lekken zoeken indien ze ze direct openbaar moeten maken? De NSA zou volledig stilvallen.
Omdat de taak van de National security agency het beschermen van zijn burgers is?

[Reactie gewijzigd door Anoniem: 109989 op 18 mei 2017 17:55]

wiseger
@43436518 mei 2017 22:45
Het is niet met een sisser afgelopen, er zijn nieuwe verianten opgedoken zonder killswitch. Echter veel compouters en servers zijn inmiddels gepatched maar voor veel embedded systemen, particulieren en organisaties met een wat mindere beheerafdeling, is de dreiging extreem hoog. We gaan nog heel veel horen van EthernalBlue. Het doet mij erg denken aan de problemen destijds met Blaster. Het heeft lang geduurd voordat die helemaal opgelost waren.
434365
@wiseger18 mei 2017 23:05
Door die domein registratie is in ieder geval de initiële uitrol gestopt, je hebt helemaal gelijk dat er alweer andere versies in omloop zijn maar als dat domein niet was geregistreerd dan hadden grote delen van het internet er gewoon uit gelegen ondertussen
Koffiebarbaar
18 mei 2017 11:23
Een Republikeinse en een Democratische senator hebben het wetsvoorstel ingediend en hopen daarmee een betere balans aan te brengen tussen het belang van de nationale veiligheid, en de beveiliging van computers en software in het algemeen.
Als je de veiligheid van software "in het algemeen" wil verbeteren moet je het niet delen met andere overheidsinstanties maar gewoon opnemen met de ontwikkelaar die dat lek dicht.
Wat een onzinnig gezever is dat, PR machine draait weer volle toeren zo te zien.

[Reactie gewijzigd door Koffiebarbaar op 18 mei 2017 11:24]

svenk91
@Koffiebarbaar18 mei 2017 11:30
Als MS het fixed, kan de NSA het niet meer gebruiken. Dat kan tegen het nationale belang zijn.

Ik denk dat je 'in het algemeen' moet zien als voor de US overheid, niet voor de hele mensheid.

Edit: @hieronder, ik ben het met jullie eens hoor. Maar probeerde vanuit hun standpunt de redenatie te begrijpen.

[Reactie gewijzigd door svenk91 op 18 mei 2017 11:38]

pr0mo
@svenk9118 mei 2017 11:35
Aan de andere kant vindt ik dat de overheid dezelfde taak heeft als de rest van de bevolking. Ze zitten er voor ons en onze veiligheid en ook voor de veiligheid van onze informatie. Wanneer je als overheid zegt van je hebt een meldplicht datalekken en iedereen moet zich hieraan houden wie is dan de overheid om dit niet te doen. Wij mogen geen misbruik maken van de exploits dan vind ik dat de overheid dit ook niet mag en hier het goede voorbeeld in moet geven en proactief moet zijn als het gaat over onze informatieveiligheid.
batjes
@pr0mo18 mei 2017 18:27
Het probleem is alleen, ga jij de rest van de wereld overtuigen dat ze hetzelfde spelletje zonder vals te spelen meedoen?

Anders zetten we onszelf gewoon buitenspel in de hele cyber oorlog.
Koffiebarbaar
@svenk9118 mei 2017 11:36
Het is per definitie tegen het landsbelang om lekken in software te laten zitten want je stelt je staatsburgers en bedrijven (en in dit geval ook bondgenoten!) bloot aan potentieel dramatische problemen en spionage.
Je moet wel erg naief zijn te denken dat zo'n China bijvoorbeeld niet in staat is om datzelfde lek te vinden en exploiteren en die gaan die kennis echt niet met de NSA/Microsoft delen.
Sterker nog met al die kennis die tegenwoordig geëxporteerd wordt naar het verre oosten om tegen lachwekkend lage loonlasten mensen te hebben die je applicaties programmeren en supporten zou het me niets verbazen als ze er gewoon beter in zijn of op zijn minst op korte termijn worden.

[Reactie gewijzigd door Koffiebarbaar op 18 mei 2017 11:50]

Martinspire
@svenk9118 mei 2017 16:17
Ik denk het ook, maar je krijgt geheid medewerkers die het dan wel doorsturen, dus dat lijkt me altijd nog beter dan wat nu het geval is: niets.
Smuey
18 mei 2017 11:28
Pf, dit klinkt echt een beetje als damage control na al het nieuws rondom WannaCry... Beveiligingslek dat door de NSA gevonden is, maar nooit is gemeld, misbruikt? Laten we een bericht naar buiten brengen dat we er bovenop zitten! Zou alleen wel een heel stuk beter zijn wanneer ze die informatie gewoon kenbaar zouden maken aan de maker van de software, zodat het snel GEEN lek meer is!

Het is gewoon heel simpel: Als zij een lek kunnen vinden, kan een ander dat in principe ook. Als je de maker er niet van op de hoogte stelt zodat die er wat aan kan doen, hou je willens en wetens een onveilige situatie in stand!
bbob
@Smuey18 mei 2017 12:01
Ach het is zo te omzeilen. De nsa werk met contractors. Die kunnen beschikken over een zero day maar hoeven die bij niet openbaar te maken. een contractor is geen overheidsinstelling. zie daar nsa beschikt er via contractor nog steeds over maar hoeft ze niet openbaar te maken en kan gewoon verder gaan met business as usual.
Batiatus
18 mei 2017 11:33
Overheidsinstellingen oke, maar ik neem aan dat je de vendor dan ook moet gaan inlichten? De meeste patches zul je toch gewoon moeten laten doen door de maker van de software, enkel de overheidsinstantie hierover inlichten gaat je security trough obsecurity opleveren. Overheidsinstelling zal bijvoorbeeld de gebruikte port of protocol kunnen blokkeren, maar het werkelijk oplossen van de zero day zal de vendor toch zelf moeten doen.
Anoniem: 428562
18 mei 2017 11:54
Wetsvoorstel laat zien dat burgers niet belangrijk zijn voor een staat. Overheid krijgt info om zichzelf te beschermen tegen 0 days rest van de maatschappij zoekt het zelf maar uit.
oef!
@Anoniem: 42856218 mei 2017 12:40
In principe vallen de burgers natuurlijk onder de staat. Een overheidsonderdeel zou het proces van bekendmaking in werking kunnen zetten door gecontroleerd informatie door te spelen aan de getroffen leverancier waardoor damage control in werking treedt. Het blijft natuurlijk allemaal shady as fuck, maar goed, het hele plaatje krijgen we toch nooit te zien.
ArtGod
18 mei 2017 11:57
Slecht artikel, want dit soort voorstellen zijn er in het verleden al veel geweest maar die hebben het nooit gehaald. De inlichtingendiensten zullen zich zwaar verzetten tegen dit soort wetten.

Als ze de afweging moeten maken vind ik dat ze alle fouten die 'worm-able' zijn moeten rapporteren aan de software leverancier. Dan heb je het bijvoorbeeld over de SMB fout in Windows (EternalBlue) of de UDP fout in Linux. Laat dat nou echter juist de meest krachtige exploits zijn die een inlichtingendienst in zijn arsenaal heeft. Ik zie dit dus niet zo snel gebeuren.

Los daarvan vind ik dat bedrijven ook een eigen verantwoordelijkheid hebben, door geen besturingssystemen (of onderdelen daarvan) meer te schrijven in C. Alleen 'vellige' talen zoals C++, Rust, Go, Java en C# zouden nog gebruikt mogen worden hiervoor.

[Reactie gewijzigd door ArtGod op 18 mei 2017 12:26]

Anoniem: 310408
@ArtGod18 mei 2017 12:43
Slecht artikel, want dit soort voorstellen zijn er in het verleden al veel geweest maar die hebben het nooit gehaald. De inlichtingendiensten zullen zich zwaar verzetten tegen dit soort wetten.
En waarom is het artikel dan slecht?

Overigens zijn er niet veel voorstellen in deze richting gedaan. Blijkbaar weet ken jij er wel veel?
ArtGod
@Anoniem: 31040818 mei 2017 13:22
Omdat het er uiteindelijk toch niet door komt. Zoals ik al zei zijn dit soort voorstellen er al vaak geweest. Uiteindelijk beland het in de prullenmand.

Als Tweakers gaat berichten over alle wetsvoorstellen met een ICT component dan hebben ze hier een dagtaak aan.

Laat Tweakers alleen maar berichten als een wetsvoorstel is goedgekeurd door één van de beide kamers het Amerikaanse Congres.
RoestVrijStaal
18 mei 2017 12:39
Een Republikeinse en een Democratische senator hebben (...)
Dat een combinatie van beide "kampen" die doorgaans elkaar te vuur en te zwaar bestrijden met dit wetsvoorstel komt, wil nogal wat zeggen.
YangWenli
18 mei 2017 14:40
Er worden iedere dag wetsvoorstellen ingediend. En afgestemd. De NSA opereerd buiten parlementair dus het maakt niet hit.
Madden
@10 feet high18 mei 2017 12:29
Allemaal goed en wel, dit soort showpolitiek, maar de consequentie zou dan toch ook mogen zijn dat bedrijven als Microsoft eerst en vooral meer gedwongen moeten worden om pro-actief te zijn en er niet meer mee wegkomen dat hun producten gewoon kaas met gaten zijn. Indien hun verdediging inderdaad blijft dat ze dat niet kunnen zonder de hulp van nationale (en andere) overheden, dan zouden ze daar toch minstens de financiële gevolgen van moeten dragen.
Je hebt kennelijk weinig zicht op wat er bij software-ontwikkeling allemaal komt kijken. Feit is dat hedendaagse software dusdanig omvangrijk en complex is dat het onmogelijk is om alle (onbedoelde) backdoors of softwarefouten te kunnen vinden. Softwarebedrijven aansprakelijk stellen voor beveiligingsfouten in hun software kan eigenlijk niet .
Daarentegen, bedrijven straffen voor evidente of grove softwarefouten (zoals hard-coded username/wachtwoorden) zou wellicht haalbaar zijn. Zeker voor IoT apparatuur die hedentendage uitgebracht wordt zou dit misschien een noodzakelijke stimulans zijn. De beveiliging op de meeste van die apparaten begint nu eindelijk wat serieuzer genomen te worden, maar tot nu toe is het meestal slecht of is er zelfs geen beveiliging aanwezig.
10 feet high
@Madden18 mei 2017 12:55
Neen hoor, je hoeft hier echt niet de kaart van "je hebt kennelijk weinig zicht op ..." te gaan spelen. Het gaat erom dat de verantwoordelijkheid (en dat is iets anders dan wie kunnen we straffen) maar voor een heel klein gedeelte bij de makers van al die omvanrijke en complexe software wordt gelegd, en telkens weer wordt afgeschoven op de manier waarop derden de software gebruiken of in dit geval dat het zelfs aan inlichtingendiensten zou zijn om te waken over de beveiliging van hele OS'en. In andere sectoren is dat compleet ongezien.
CivLord
@10 feet high18 mei 2017 13:34
Je kunt alleen verantwoordelijk worden gehouden voor wat je weet of had kunnen voorzien. Voor fouten die ergens ingeslopen zijn ondanks je beste inzet en kunnen ben je niet verantwoordelijk.
Madden
@CivLord18 mei 2017 15:41
Voor fouten die ergens ingeslopen zijn ondanks je beste inzet en kunnen ben je niet verantwoordelijk.
Nou, je bent wel degelijk verantwoordelijk (vind ik). Maar of je ergens voor gestraft kunt worden waarvoor je in redelijke mate hebt geprobeerd om fouten te voorkomen....da's een ander verhaal.
Madden
@10 feet high18 mei 2017 15:39
Blijf bij mijn statement. Het ontwikkelen van software is niet 1-op-1 te vergelijken met een product. Software kan/is ontzettend veel complexer dan een gemiddeld product dat in de schappen ligt. Vanwege de aard van software is het onmogelijk om alle fouten en - in dit geval - beveiligingsgaten er uit te halen.
De maker van de software kun je niet verantwoordelijk houden voor eventuele fouten in de software, tenzij die fouten ontstaan door slecht geleverd werk. En dat gaat verder dan de software zelf: als een applicatie wachtwoorden in platte tekst opslaat, dan neem je (bewust) een risico met de veiligheid van jouw gebruikers. Dat soort slordigheden, daar zou je de maker van de software wel voor aansprakelijk kunnen stellen.
...of in dit geval dat het zelfs aan inlichtingendiensten zou zijn om te waken over de beveiliging van hele OS'en
Geen idee waar dit vandaan komt, maar er is niemand die (een) inlichtingendienst verantwoordelijk houdt voor het 'bewaken' van de beveiliging van een OS. De NSA wordt aangevallen over het feit dat zij kennelijk al 5 jaar van dit gat in de beveiliging afwisten en er dankbaar gebruik van maakten, en pas een paar maanden geleden dit aan de maken van de software hebben doorgespeeld.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee