Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Wetsvoorstel VS dwingt NSA om overheidsorganen te informeren over zero-days

Door , 35 reacties, submitter: AnonymousWP

Het Amerikaanse Congres heeft een nieuwe wetsvoorstel voorgesteld waardoor inlichtingendienst National Security Agency vertegenwoordigers van andere Amerikaanse overheidsagentschappen moet informeren over ontdekte zero-days.

Er bestaat al een regeling waarbij de NSA het ontdekken van kwetsbaarheden met andere overheidsorganen moet delen, maar dit is een beleidsregeling die door de NSA zelf is ingesteld zonder dat daarvoor een wettelijke verplichting bestond. De nieuwe wet introduceert een verplichte beoordeling op het moment dat een overheidsagentschap zoals de NSA een beveiligingslek in software ontdekt en de maker van de software er niet van op de hoogte wil stellen om zodoende het lek te kunnen gebruiken voor spionagedoeleinden. Dit beoordelingsproces zal volgens het wetsvoorstel plaatsvinden onder voorzitterschap van het ministerie van Binnenlandse Veiligheid. Dat meldt Reuters.

Een Republikeinse en een Democratische senator hebben het wetsvoorstel ingediend en hopen daarmee een betere balans aan te brengen tussen het belang van de nationale veiligheid, en de beveiliging van computers en software in het algemeen.

Verschillende techbedrijven hebben al langer kritiek op hoe de Amerikaanse overheid omgaat met het ontdekken van kwetsbaarheden in software. Microsoft-directeur Brad Smith heeft gezegd dat het een groot probleem is als landen kwetsbaarheden verzamelen en niet melden. Volgens hem lekken exploits die in handen zijn van overheden, te vaak uit, waarna veel schade kan ontstaan. Hij vindt dat de overheid meer belang moet toekennen aan de schade die bij burgers ontstaat, nadat een kwetsbaarheid wordt misbruikt.

Deze kritiek is sterker geworden na de recente aanvallen waarbij gijzelingssoftware computersystemen in 150 landen heeft geïnfecteerd. Vorige week verspreidden onbekenden een ransomwarevariant onder de naam WannaCry, die gebruikmaakte van de Eternalblue-tool. De NSA maakt deze tool en gebruikte het gedurende een periode van vijf jaar. De Shadowbrokers publiceerden de Eternalblue-tool in april. Deze exploit stond aan de basis van de verspreiding van de WannaCry-ransomware.

Onlangs bleek dat de NSA de partij was die Microsoft heeft gewaarschuwd voor de lekken waarvoor de Shadowbrokers verschillende exploits publiceerden. Op basis van die informatie was Microsoft in staat om in maart een patch uit te brengen.

Reacties (35)

Wijzig sortering
Waarom niet gewoon de relevante bedrijven/developers.

Ik bedoel, leuk dat ze nu eindelijk een beetje na beginnen te denken, maar natuurlijk gaat de overheid 9 van de 10 keer zeggen "oh ja, handig, hou dat maar onder de pet" en dan zitten we in hetzelfde schuitje als vandaag de dag.

Wat ik veel interessanter vind is of Microsoft of misschien zelfs de Amerikaanse Overheid nu de NSA gaat aanklagen omdat ze verantwoordelijk te houden zijn voor de grootste randsomware aanval ooit, zelfs al is het met een sisser afgelopen.
Ethernalblue (met SMB lek) schijnt bijna 5 jaar gebruikt te zijn. Dan vraag je je af of niet alleen de NSA die lek kende en gebruikte.
Ik vermoed dat ze deze wel voor zichzelf hebben gehouden, anders was dit waarschijnlijk al naar buiten gekomen bij een van de vele lekken rondom '3e partijen' waar de NSA mee werkt.

Dat een andere groep (al dan niet een ander 'veiligheids orgaan' in een ander land) op dezelfde truc is uitgekomen is natuurlijk zeer zeker wel mogelijk, en een van de (vele) redenen waarom deze tactiek gewoon niet-acceptabel is.
Er zijn veel lekken die jaren bestaan, ssl bug linux weet ik hoe veel jaar. Dat is het idee van een lek, iemand vindt het per toeval en dan kan het best zo zijn dat het nog jaren kan duren voor een ander het per toeval ontdekt.
Wat ik veel interessanter vind is of Microsoft of misschien zelfs de Amerikaanse Overheid nu de NSA gaat aanklagen omdat ze verantwoordelijk te houden zijn voor de grootste randsomware aanval ooit, zelfs al is het met een sisser afgelopen.
Mijn zegen hebben ze in ieder geval.
De media is er erg goed in om die uitbraak in de schoenen van cybercriminelen en een slecht updatebeleid te schuiven maar in de praktijk is het probleem natuurlijk gewoon dat zo'n exploit onder de pet gehouden word en zo'n club als de NSA blijkbaar dermate naief is en denkt dat dat niet fout kan gaan. Alsof hacken een skill is alleen toebedeeld aan de NSA en hen die er voor werken.

[Reactie gewijzigd door Ton Deuse op 18 mei 2017 11:27]

Als dat abonnement van de Shadowbrokers echt is (en daar lijkt het wel op, gezien al hun eerdere claims ondertussen echt blijken te zijn) dan gaan we nog wat meemaken/kan het zomaar gebeuren dat de NSA wel echt op de vingers gebeukt word hiervoor.
Het lijkt me eerder dat een dergelijke uitbraak van exploitsmisbruik eerder zal leiden tot nog meer geheimhouding en nog harder benadrukken van de "noodzaak" om exploits te verzamelen.
Vaak resulteert dergelijke kritiek in een reactie die nog harder benadrukt dat je nog meer moet doen waar nu juist de kritiek op slaat.
Waarom zouden ze nog naar lekken zoeken indien ze ze direct openbaar moeten maken? De NSA zou volledig stilvallen.
Omdat er vaak best wel een tijd zit tussen melden van het lek en dat de patch geÔnstalleerd staat.

En de VS kennende zullen ze vast wel dingen overwegen als dat de NSA bepaalt hoe handig een exploit is, oftewel hoe lang men moet wachten om het bij de eigen overheid te patchen en hoe snel bij de rest van de wereld, wat eigenlijk ook een beetje de onderliggende gedachte lijkt te zijn bij dit nieuwsbericht.
Waarom zouden ze nog naar lekken zoeken indien ze ze direct openbaar moeten maken? De NSA zou volledig stilvallen.
Omdat de taak van de National security agency het beschermen van zijn burgers is?

[Reactie gewijzigd door kajdijkstra op 18 mei 2017 17:55]

Het is niet met een sisser afgelopen, er zijn nieuwe verianten opgedoken zonder killswitch. Echter veel compouters en servers zijn inmiddels gepatched maar voor veel embedded systemen, particulieren en organisaties met een wat mindere beheerafdeling, is de dreiging extreem hoog. We gaan nog heel veel horen van EthernalBlue. Het doet mij erg denken aan de problemen destijds met Blaster. Het heeft lang geduurd voordat die helemaal opgelost waren.
Door die domein registratie is in ieder geval de initiŽle uitrol gestopt, je hebt helemaal gelijk dat er alweer andere versies in omloop zijn maar als dat domein niet was geregistreerd dan hadden grote delen van het internet er gewoon uit gelegen ondertussen
Een Republikeinse en een Democratische senator hebben het wetsvoorstel ingediend en hopen daarmee een betere balans aan te brengen tussen het belang van de nationale veiligheid, en de beveiliging van computers en software in het algemeen.
Als je de veiligheid van software "in het algemeen" wil verbeteren moet je het niet delen met andere overheidsinstanties maar gewoon opnemen met de ontwikkelaar die dat lek dicht.
Wat een onzinnig gezever is dat, PR machine draait weer volle toeren zo te zien.

[Reactie gewijzigd door Ton Deuse op 18 mei 2017 11:24]

Als MS het fixed, kan de NSA het niet meer gebruiken. Dat kan tegen het nationale belang zijn.

Ik denk dat je 'in het algemeen' moet zien als voor de US overheid, niet voor de hele mensheid.

Edit: @hieronder, ik ben het met jullie eens hoor. Maar probeerde vanuit hun standpunt de redenatie te begrijpen.

[Reactie gewijzigd door svenk91 op 18 mei 2017 11:38]

Aan de andere kant vindt ik dat de overheid dezelfde taak heeft als de rest van de bevolking. Ze zitten er voor ons en onze veiligheid en ook voor de veiligheid van onze informatie. Wanneer je als overheid zegt van je hebt een meldplicht datalekken en iedereen moet zich hieraan houden wie is dan de overheid om dit niet te doen. Wij mogen geen misbruik maken van de exploits dan vind ik dat de overheid dit ook niet mag en hier het goede voorbeeld in moet geven en proactief moet zijn als het gaat over onze informatieveiligheid.
Het probleem is alleen, ga jij de rest van de wereld overtuigen dat ze hetzelfde spelletje zonder vals te spelen meedoen?

Anders zetten we onszelf gewoon buitenspel in de hele cyber oorlog.
Het is per definitie tegen het landsbelang om lekken in software te laten zitten want je stelt je staatsburgers en bedrijven (en in dit geval ook bondgenoten!) bloot aan potentieel dramatische problemen en spionage.
Je moet wel erg naief zijn te denken dat zo'n China bijvoorbeeld niet in staat is om datzelfde lek te vinden en exploiteren en die gaan die kennis echt niet met de NSA/Microsoft delen.
Sterker nog met al die kennis die tegenwoordig geŽxporteerd wordt naar het verre oosten om tegen lachwekkend lage loonlasten mensen te hebben die je applicaties programmeren en supporten zou het me niets verbazen als ze er gewoon beter in zijn of op zijn minst op korte termijn worden.

[Reactie gewijzigd door Ton Deuse op 18 mei 2017 11:50]

Ik denk het ook, maar je krijgt geheid medewerkers die het dan wel doorsturen, dus dat lijkt me altijd nog beter dan wat nu het geval is: niets.
Pf, dit klinkt echt een beetje als damage control na al het nieuws rondom WannaCry... Beveiligingslek dat door de NSA gevonden is, maar nooit is gemeld, misbruikt? Laten we een bericht naar buiten brengen dat we er bovenop zitten! Zou alleen wel een heel stuk beter zijn wanneer ze die informatie gewoon kenbaar zouden maken aan de maker van de software, zodat het snel GEEN lek meer is!

Het is gewoon heel simpel: Als zij een lek kunnen vinden, kan een ander dat in principe ook. Als je de maker er niet van op de hoogte stelt zodat die er wat aan kan doen, hou je willens en wetens een onveilige situatie in stand!
Ach het is zo te omzeilen. De nsa werk met contractors. Die kunnen beschikken over een zero day maar hoeven die bij niet openbaar te maken. een contractor is geen overheidsinstelling. zie daar nsa beschikt er via contractor nog steeds over maar hoeft ze niet openbaar te maken en kan gewoon verder gaan met business as usual.
Overheidsinstellingen oke, maar ik neem aan dat je de vendor dan ook moet gaan inlichten? De meeste patches zul je toch gewoon moeten laten doen door de maker van de software, enkel de overheidsinstantie hierover inlichten gaat je security trough obsecurity opleveren. Overheidsinstelling zal bijvoorbeeld de gebruikte port of protocol kunnen blokkeren, maar het werkelijk oplossen van de zero day zal de vendor toch zelf moeten doen.
Wetsvoorstel laat zien dat burgers niet belangrijk zijn voor een staat. Overheid krijgt info om zichzelf te beschermen tegen 0 days rest van de maatschappij zoekt het zelf maar uit.
In principe vallen de burgers natuurlijk onder de staat. Een overheidsonderdeel zou het proces van bekendmaking in werking kunnen zetten door gecontroleerd informatie door te spelen aan de getroffen leverancier waardoor damage control in werking treedt. Het blijft natuurlijk allemaal shady as fuck, maar goed, het hele plaatje krijgen we toch nooit te zien.
Slecht artikel, want dit soort voorstellen zijn er in het verleden al veel geweest maar die hebben het nooit gehaald. De inlichtingendiensten zullen zich zwaar verzetten tegen dit soort wetten.

Als ze de afweging moeten maken vind ik dat ze alle fouten die 'worm-able' zijn moeten rapporteren aan de software leverancier. Dan heb je het bijvoorbeeld over de SMB fout in Windows (EternalBlue) of de UDP fout in Linux. Laat dat nou echter juist de meest krachtige exploits zijn die een inlichtingendienst in zijn arsenaal heeft. Ik zie dit dus niet zo snel gebeuren.

Los daarvan vind ik dat bedrijven ook een eigen verantwoordelijkheid hebben, door geen besturingssystemen (of onderdelen daarvan) meer te schrijven in C. Alleen 'vellige' talen zoals C++, Rust, Go, Java en C# zouden nog gebruikt mogen worden hiervoor.

[Reactie gewijzigd door ArtGod op 18 mei 2017 12:26]

Slecht artikel, want dit soort voorstellen zijn er in het verleden al veel geweest maar die hebben het nooit gehaald. De inlichtingendiensten zullen zich zwaar verzetten tegen dit soort wetten.
En waarom is het artikel dan slecht?

Overigens zijn er niet veel voorstellen in deze richting gedaan. Blijkbaar weet ken jij er wel veel?
Omdat het er uiteindelijk toch niet door komt. Zoals ik al zei zijn dit soort voorstellen er al vaak geweest. Uiteindelijk beland het in de prullenmand.

Als Tweakers gaat berichten over alle wetsvoorstellen met een ICT component dan hebben ze hier een dagtaak aan.

Laat Tweakers alleen maar berichten als een wetsvoorstel is goedgekeurd door ťťn van de beide kamers het Amerikaanse Congres.
Een Republikeinse en een Democratische senator hebben (...)
Dat een combinatie van beide "kampen" die doorgaans elkaar te vuur en te zwaar bestrijden met dit wetsvoorstel komt, wil nogal wat zeggen.
Er worden iedere dag wetsvoorstellen ingediend. En afgestemd. De NSA opereerd buiten parlementair dus het maakt niet hit.
Allemaal goed en wel, dit soort showpolitiek, maar de consequentie zou dan toch ook mogen zijn dat bedrijven als Microsoft eerst en vooral meer gedwongen moeten worden om pro-actief te zijn en er niet meer mee wegkomen dat hun producten gewoon kaas met gaten zijn. Indien hun verdediging inderdaad blijft dat ze dat niet kunnen zonder de hulp van nationale (en andere) overheden, dan zouden ze daar toch minstens de financiŽle gevolgen van moeten dragen.
Je hebt kennelijk weinig zicht op wat er bij software-ontwikkeling allemaal komt kijken. Feit is dat hedendaagse software dusdanig omvangrijk en complex is dat het onmogelijk is om alle (onbedoelde) backdoors of softwarefouten te kunnen vinden. Softwarebedrijven aansprakelijk stellen voor beveiligingsfouten in hun software kan eigenlijk niet .
Daarentegen, bedrijven straffen voor evidente of grove softwarefouten (zoals hard-coded username/wachtwoorden) zou wellicht haalbaar zijn. Zeker voor IoT apparatuur die hedentendage uitgebracht wordt zou dit misschien een noodzakelijke stimulans zijn. De beveiliging op de meeste van die apparaten begint nu eindelijk wat serieuzer genomen te worden, maar tot nu toe is het meestal slecht of is er zelfs geen beveiliging aanwezig.
Neen hoor, je hoeft hier echt niet de kaart van "je hebt kennelijk weinig zicht op ..." te gaan spelen. Het gaat erom dat de verantwoordelijkheid (en dat is iets anders dan wie kunnen we straffen) maar voor een heel klein gedeelte bij de makers van al die omvanrijke en complexe software wordt gelegd, en telkens weer wordt afgeschoven op de manier waarop derden de software gebruiken of in dit geval dat het zelfs aan inlichtingendiensten zou zijn om te waken over de beveiliging van hele OS'en. In andere sectoren is dat compleet ongezien.
Je kunt alleen verantwoordelijk worden gehouden voor wat je weet of had kunnen voorzien. Voor fouten die ergens ingeslopen zijn ondanks je beste inzet en kunnen ben je niet verantwoordelijk.
Voor fouten die ergens ingeslopen zijn ondanks je beste inzet en kunnen ben je niet verantwoordelijk.
Nou, je bent wel degelijk verantwoordelijk (vind ik). Maar of je ergens voor gestraft kunt worden waarvoor je in redelijke mate hebt geprobeerd om fouten te voorkomen....da's een ander verhaal.
Blijf bij mijn statement. Het ontwikkelen van software is niet 1-op-1 te vergelijken met een product. Software kan/is ontzettend veel complexer dan een gemiddeld product dat in de schappen ligt. Vanwege de aard van software is het onmogelijk om alle fouten en - in dit geval - beveiligingsgaten er uit te halen.
De maker van de software kun je niet verantwoordelijk houden voor eventuele fouten in de software, tenzij die fouten ontstaan door slecht geleverd werk. En dat gaat verder dan de software zelf: als een applicatie wachtwoorden in platte tekst opslaat, dan neem je (bewust) een risico met de veiligheid van jouw gebruikers. Dat soort slordigheden, daar zou je de maker van de software wel voor aansprakelijk kunnen stellen.
...of in dit geval dat het zelfs aan inlichtingendiensten zou zijn om te waken over de beveiliging van hele OS'en
Geen idee waar dit vandaan komt, maar er is niemand die (een) inlichtingendienst verantwoordelijk houdt voor het 'bewaken' van de beveiliging van een OS. De NSA wordt aangevallen over het feit dat zij kennelijk al 5 jaar van dit gat in de beveiliging afwisten en er dankbaar gebruik van maakten, en pas een paar maanden geleden dit aan de maken van de software hebben doorgespeeld.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*