Overheid gaat gebruik zero-days door AIVD en MIVD toetsen

De minister heeft zich achter een plan geschaard om een toetsingskader op te stellen voor het gebruik van zerodaykwetsbaarheden door de AIVD en MIVD. Dit moet de werkwijze van de inlichtingendiensten controleerbaar maken.

De Tweede Kamer gaat het toetsingskader over hoe en wanneer de AIVD en MIVD zerodaykwetsbaarheden gebruikt controleren. De inlichtingendiensten mogen deze onbekende kwetsbaarheden inzetten bij hun bevoegdheid om te hacken, maar toezichthouder CTIVD constateerde vorig jaar in een rapport over de inzet van de hackbevoegdheid door de AIVD en de MIVD dat er het een en andere schortte bij deze inzet.

In de praktijk gebruikt de Joint Sigint Cyber Unit van de inlichtingendiensten de onbekende kwetsbaarheden, die ze zelf gevonden kunnen hebben, of gekocht kunnen hebben van bedrijven als Zerodium of Hacking Team. In principe moet de eenheid kwetsbaarheden op basis van responsible disclosure melden, maar om zijn kennisniveau, bronnen of werkwijze te beschermen, kan de JSCU besluiten de zero-day nog onder de pet te houden. Bij de afweging van al dan niet melden zou meegewogen moeten worden of het om producten gaat die particulieren, bedrijven en de Nederlandse overheid veel gebruiken.

Over de werkwijze van de JSCU bleek echter niets vastgelegd te zijn en beleid over de afwegingen was er eveneens niet. "In de praktijk is het melden van onbekende kwetsbaarheden daarmee sterk afhankelijk van de door de individuele medewerkers van de JSCU gemaakte afwegingen en is het niet goed mogelijk daar interne controle en extern toezicht op uit te oefenen", was de conclusie van toezichthouder CTIVD, die verder constateerde dat het kon gebeuren dat de inlichtingendiensten zero-days niet melden, ook al waren ze niet meer nodig bij operaties.

De CTIVD adviseerde beleid, werkwijze en afwegingen op te stellen en vast te leggen. Daarnaast zou er regelmatig getoetst moeten worden of zero-days gemeld dienen te worden of dat het operationeel belang nog vergt dat deze onbekend blijven. Toenmalig minister van Binnenlandse Zaken Plasterk nam de adviezen vorig jaar over. Bij een algemeen overleg over de AIVD en MIVD schaarde de huidige minister van Binnenlandse Zaken Ollongren zich ook achter de wens voor een toetsingskader, zodat er concrete stappen gezet moeten worden.

IT-banen

Reacties (36)

Verwijderd 15 maart 2018 18:12

Dit is gewoon een wassen neus, want de meeste zero-days zijn afkomstig van derden en die hebben echt wel in hun gebruiksovereenkomst staan dat de AIVD deze niet mag verspreiden of melden aan de software fabrikant,

Ik vermoed dat dit de zoveelste 'frame' is om de kiezers gunstig te stemmen voor het naderende referendum over de WiV.

Teijgetje @Verwijderd • 15 maart 2018 19:24

Lees de eerste drie zinnen nog eens;
De minister heeft zich achter een plan geschaard om een toetsingskader op te stellen voor het gebruik van zerodaykwetsbaarheden door de AIVD en MIVD. Dit moet de werkwijze van de inlichtingendiensten controleerbaar maken.

De Tweede Kamer gaat het toetsingskader over hoe en wanneer de AIVD en MIVD zerodaykwetsbaarheden gebruikt controleren

Er staat niet dat de kamer de zero-days gaat controleren of gebruiken.
Ze gaan een kader maken, welke controleerbaar is, waarin het de AIVD toegestaan is deze te gebruiken.

Toetsen door een commissie op oneigenlijk gebruik (dus meer beperkingen/privacy) en die ook geheimhoudingsplicht heeft is imo heel wat anders dan het lek verspreiden of naar de fabrikant doorspelen zoals je meteen roept.

Ze kijken of de zero-day-hacks van de overheidsinlichtingendiensten geoorloofd zijn of niet.
De zeroday blijft imo gewoon geheim bij de AIVD of MIVD.

[Reactie gewijzigd door Teijgetje op 1 augustus 2024 00:31]

Cowamundo @Verwijderd • 15 maart 2018 18:22

Je zou zomaar eens gelijk kunnen hebben, wel een beetje te verwachten ook zo mooi nog even vlak voor de verkiezingen.

bbob

Politiek en recht
Netwerk en systeembeheer

@Cowamundo • 15 maart 2018 19:26

Sterker nog als de aivd iets wil dat niet volgens de wet mag dan hebben ze altijd nog ruilhandel c.q koehandel. Ze mogen immer data delen met buitenlandse diensten, omgekeerd vragen ze dan een buitenlandse dienst iemand te hacken en krijgen dat dan aangeleverd en wassen het netjes wit.
Omgekeerd krijgt die dienst dan volkomen legaal Nederlandse data.

Totale wassen neus dat hele systeem. De overheid wordt zo de grootste witwasser van bewijs.

Zephyer @bbob • 16 maart 2018 09:00

Bronvermelding over dit soort werkzaamheden/methoden/afspraken...?
Vind het nogal makkelijk scoren op deze manier

bbob

Politiek en recht
Netwerk en systeembeheer

@Zephyer • 16 maart 2018 09:46

Daar komt het standaard vraagje bronvermelding weer.

Eens kijken denk jij dat een geheime dienst bronnen prijsgeeft en openlijk roept over afspraken die ze hebben.
Maar vooruit lees tweakers eens Geheime dienst hackt in Rusland en ziet hackers bezig via een videocamera en die informatie komt ..... in de USA uit. M.a.w Nederland deelt dit met de USA, zijn daar afspraken over geen idee maar ze delen wel. voor wat hoort wat en dus krijgen ze ook informatie terug.
Veel voorbeelden zul je er in de praktijk niet van zien want het heet nu eenmaal geheime dienst met de nadruk op geheim.
Uitwisseling vind er altijd plaats dus witwassen gebeurt ook gewoon.

Zephyer @bbob • 16 maart 2018 13:21

Standaardvraagje... lekker denigrerend bezig, maar ok.

Betreft simpele interesse en lijkt me handig om voortaan dat direct te vermelden om verwarring, vragen en dergelijke opmerkingen te voorkomen. Voor de geïnteresseerden de link maar meteen even opgezocht;
nieuws: 'AIVD infiltreerde bij Russische staatshackers'

Maar vooruit, ook een bedankje voor je moeite om de titel te benoemen in je reply.

Ryack @bbob • 16 maart 2018 08:30

Tot nu toe ging het zo. Ze hadden informatie die ze eigenlijk niet mochten verzamelen. Die werd doorgestuurd naar een organisatie in het buitenland. Deze organisatie stuurde exact dezelfde informatie weer terug. Daarna mochten ze de informatie wel gebruiken. Dat noemen we ook wel witwassen van informatie. Met de nieuwe sleepwet is dit niet meer nodig aangezien alle data legaal wordt verzameld.

mace @bbob • 17 maart 2018 08:26

Onzin. Hier heeft de CTIVD onderzoek naar gedaan en dat is dus helemaal niet aan de orde:

“De Commissie heeft in haar onderzoek geen aanwijzingen gevonden dat de AIVD en de MIVD buitenlandse diensten, bij wijze van U-bochtconstructie, verzoeken gegevens te verzamelen op een manier die henzelf niet is toegestaan.”

https://www.eerstekamer.n...g_aanbieding_van_het/info

Zoals jullie zien zijn er dus wel bronnen beschikbaar met dit soort informatie en nemen de Tweakers vaak niet de moeite om zelf onderzoek te doen.

Verwijderd @Cowamundo • 15 maart 2018 18:27

Je zal ook zien dat je na het referendum helemaal niets meer hoort van de AIVD en MIVD.

De afgelopen weken waren ze bijna dagelijks in het nieuws.

[Reactie gewijzigd door Verwijderd op 1 augustus 2024 00:31]

ManiacsHouse @Verwijderd • 15 maart 2018 19:05

"Propaganda is een vorm van communicatie waarbij door de belanghebbende partij wordt getracht aanhangers voor haar gedachtegoed te winnen door het bespelen van de publieke opinie. Dit wordt bewerkstelligd door het bewust verspreiden van eenzijdige en/of verzonnen informatie."

Wat ik toch eigenlijk gek vindt aangezien ze nogal vel gekant zijn tegen landen als Rusland/China/Turkije (ja helaas die ook) waar men nogal alleen nieuws brengt ten gunste van of afkomstig van de overheid. Onze eigen overheid die aan propaganda doet. Ik had altijd idee dat dat in Nederland iets was van politieke partijen en dat onze overheid daar niet aan meedeed... Nare constatering eigenlijk

[Reactie gewijzigd door ManiacsHouse op 1 augustus 2024 00:31]

asing

Netwerk en systeembeheer

@ManiacsHouse • 15 maart 2018 19:20

Propaganda is van alle tijden en overal. Op dit moment zie je overal verkiezingsposters. Ze beloven van alles maar als je eenmaal hebt gekozen en ze zitten op hun zetel... Dan zijn die borden én hun idealen zo verdwenen.

Het nare is dat een wet als deze in principe nodig is. Wat niet nodig moet zijn is het hacken en tappen van een hele wijk om bij die ene dader te komen. Wat ook niet nodig is, is het verzamelen van grote hoeveelheden data om die ongezien door te spelen aan andere landen.

Ook kunnen ze allerlei vormen van toezicht instellen, maar als iemand een oogje dichtknijpt heeft toezicht weinig zin. Daarbij hebben de medewerkers van de AIVD en de MIVD toegang tot hun gereedschap, en kunnen ze dat in principe inzetten waneer en met welk doel ze willen. Ze zullen uiteraard goed gescreend worden maar er komen altijd rotte appels door.

Als laatste geven we de overheid een vinger. Daarna zijn ze in staat om heel stil je hele hand te pakken zonder dat je er van weet of er iets aan kan doen. Voorbeeldje : vroeger moesten medewerkers van de FIOD hulp vragen van politie om te kunnen tappen. Dat is niet meer nodig, de FIOD mag nu ineens zelf tappen zonder dat daar toezicht van de politie bij nodig is. Dat heeft een function of scope creep en als we volgende week de overheid onze vinger geven zijn we over een paar jaar een hele hand kwijt.

bbob

Politiek en recht
Netwerk en systeembeheer

@asing • 15 maart 2018 19:28

Je laatste voorbeeld fiod hulp politie, maakt niet veel uit ze moeten voor en tap nog steeds toestemming vragen, die vragen ze nu alleen direct en niet via de politie.

Je schrijft het nare is dat een wet als deze nodig is, om daarna met argumenten te komen waarom het niet zou werken of moeilijk werkt.

asing

Netwerk en systeembeheer

@bbob • 15 maart 2018 19:45

Wat betreft de FIOD etc : https://www.volkskrant.nl...0content&utm_content=free

De wet zal nodig zijn om ook op de kabel informatie te vergaren. Maar waarom mag je daarbij onschuldigen hacken zonder dat zij daar ooit weet van krijgen? Daarbij komt dat ze de zero day exploit na gebruik alleen hoeven te verwijderen als dat mogelijk is..... Verder mag onverwerkte (onbeoordeelde) data rücksichtlos aan buitenlandse inlichtingendiensten gegeven worden. Dat zijn in mijn ogen dingen die niet zouden moeten.

Iedere instelling moet zich vanaf mei verantwoorden waar je persoonlijke data blijft en wat ze ermee doen maar de overheid mag het verzamelen zonder dat je dat weet, de deur open laten staan en je data aan anderen geven zonder dat ze weten met welk doel en wat er in die data zit.

veltnet @asing • 16 maart 2018 09:21

Ff voor de duidelijkheid...de inlichtingendiensten mogen al data via de kabel vergaren...maar dan alleen gericht.
Via de nieuwe wet mogen ze ook ongericht data via de kabel vergaren

ErwinPeters @ManiacsHouse • 15 maart 2018 19:30

Dat is mij nooit opgevallen, maar het kan best zo zijn. Als ik "NOS Rusland" zoek op google zie ik alleen maar slecht nieuws over ze. Maar ik begrijp best dat ze klikjes moeten binnenslepen dus ik ben niet verrast dat ze een populaire mening verkopen. Heb je echter ook goed nieuws over rusland dat we hebben gemist, en vervolgens een soortgelijk artikel over een ander land waar het wel iets soortgelijks van gerapporteerd is? Dat zou je verdenking wel gewicht geven. Als je het kan vinden natuurlijk...

[Reactie gewijzigd door ErwinPeters op 1 augustus 2024 00:31]

andreetje @ErwinPeters • 15 maart 2018 20:04

We weten al dat een politicus heeft gelogen over Rusland.

ErwinPeters @andreetje • 15 maart 2018 20:12

Leugens van ministers zijn een ding. Ik was daar ook erg in telleurgesteld, Maar de comment waar ik op reageer ging over nieuws. Dat is iets anders.

[Reactie gewijzigd door ErwinPeters op 1 augustus 2024 00:31]

bstard @ManiacsHouse • 16 maart 2018 13:15

Slap argument. Ik zie al maanden lang dag op dag anti WiG berichten langskomen. Zelden pro. De berichten die argumenten voor hebben gaan meestal a-la hier op tweakers proberen neutraal te doen en de voors en tegens af te zetten.

andreetje @ManiacsHouse • 15 maart 2018 20:25

Ik vraag mij steeds meer af of onze overheid en de EU nog aan de goede kant van de geschiedenis staan:

- minister liegt over Rusland
- Nederland voert sleepwet in
- Nederland is kampioen telefoontappen
- Nederland plaatst overal (kenteken-) camera's
- Nederland houdt 24/7 onze smartphonepositie bij
- EU heeft commissie die zelf bepaalt wat goed en wat slecht nieuws is, en gaat daar al direct de fout mee in, naast dat het bestaan van deze commissie zelf al fout is.
- EU chanteert landen t.b.v. multiculturele ideologie
- Nederland vertikt het om een Franse journaliste van Charlie Hebdo te (laten) bewaken.
- minister Ollongren vindt censuur van media een goed idee.
- liberale partijen vinden het een goed idee als de staat uw organen automatisch toe-eigent.
- democratische partijen schaffen referendum rücksichtslos af zonder het volk te raadplegen.
- boycot van Rusland ten nadele van ons bedrijfsleven.
- toenadering tot het corrupte Oekraïne.
- schoffering van de uitslag van het raadplegend referendum.

Achteraf zet ik ook grote vraagtekens bij de schoffering van Turkse bestuurders door Nederland. Niet dat ik zit te wachten op Turkse propaganda, maar de hele situatie is on-Nederlands bot opgelost.

sprikkel25 @andreetje • 16 maart 2018 09:00

of het is net als in 1938. perfecte registratie. alleen afwachten wie welke data gebruikt voor de volgende holocaust. hele blokken

andreetje @Verwijderd • 16 maart 2018 13:08

Het ligt toch nét even anders dan jij suggereert.
Weliswaar begon de leugen al in 2016, toen Zeilstra nog geen minister was. Echter:

https://www.nrc.nl/nieuws...en-leugen-datsja-a1592594

"Het was haast een bericht in de categorie ‘nieuws-met-een-knipoog’ dat de Volkskrant al vorig jaar op 28 oktober op pagina zes zette: ‘Halbe Zijlstra, wel/niet met Poetin in de datsja’. Vanuit VVD-kringen was de dagen daarvoor het verhaal verspreid dat de net benoemde minister van Buitenlandse Zaken, oud-VVD-fractievoorzitter Halbe Zijlstra, ooit samen met Shell-topman Jeroen van der Veer in het buitenhuis van de Russische president Poetin had gezeten. Dit moest aantonen dat Zijlstra wel degelijk over buitenlandervaring beschikte, iets wat bij zijn aantreden nog werd betwist. Alleen: in de Volkskrant werd dat verhaal door Shell ontkend."

Waar was minister Zeilstra om de VVD-leugen te weerleggen?

Verwijderd 16 maart 2018 06:28

Ik begin me serieus af te vragen hoe ik me tegen overheidshackers kan gaan beschermen? Een beveiligde VPN lijkt me een goed begin, verder zit ik aan een hardwarematige firewall te denken. Maar er moet toch meer zijn?

dehardstyler @Verwijderd • 16 maart 2018 08:27

Je router weggooien en papier pakken is het beste in ieder geval...

Maar er zijn nog wel wat andere dingen. TOR over VPN bijvoorbeeld. ( wordt het alleen verschrikkelijk traag van ) En een Pfsense boxje thuis is ook geen verkeerd idee inderdaad. Zeker met de Cisco/Snort rules: https://www.snort.org/downloads

Verder in ieder geval een Veracrypt FDE opzetten met boot wachtwoord.
En wat ik zelf altijd nog doe: http://hardenwindows10forsecurity.com/

Maar dat laatste moet je even voor gaan zitten. Als je dan even zorgt dat je een image maakt, dan kan je je image nog verzieken, en gewoon verder gaan. Deze images draai ik dan weer in QubesOS ( https://www.qubes-os.org/ ), zodat je voor elke handeling heel makkelijk een andere "Qube" ( VM ) kunt gebruiken.

Succes!

J.W. Roos @Verwijderd • 16 maart 2018 17:13

Zorg er voor dat je niets meer als alleen programma's op je computer/laptop hebt staan en zet al je data op een stick of externe HD of neem een goed versleutelprogramma. Als je wil computeren, schakel je internet uit. Ik doe dit al jaren en dit bevalt best, het is even wennen maar het werkt wel. Kijkt de overheid met je mee, zien ze vanzelf dat we weinig te zien valt.

tapkcir 15 maart 2018 20:34

en piepen als russen of koreanen wat hacken

sprikkel25 16 maart 2018 09:07

Ja internationaal recht word hierdoor ernstig overtreden. het bewaren van data en later wetten aanpassen zodat in deze data ineens illegale activiteiten (welke d'r niet waren ten tijde van het aftappen) lijkt mij niet kloppen. daar is zelfs een latijnse benaming voor,,, niet straffen zonder wet "nulla poena sine lege"

Mar2zz 16 maart 2018 13:15

Zulk nieuws maakt me boos. In plaats van het melden van zero days aan de software makers worden deze actief mis-/gebruikt door overheden. Een flink percentage zero days zal ongetwijfeld ook in handen zijn van andere overheden, black hat hackers en criminelen. Ik hoop van harte dat er ooit een zero day misbruikt wordt op instanties die legaal gebruik mogen maken van dit soort wanpraktijken en dat ze keihard op hun bek gaan.

De overheid werkt zo dus actief mee aan het onbeschermd laten van hun burgers, terwijl beschermen prioriteit 1 zou moeten zijn van de overheid. Als de AIVD het weet dan weten andere geheime diensten het ook. Dat kan niet anders. Dit is in feite een onzichtbare oorlog. De wapens zijn exploits, virussen, malware, zero days etc. Het doel is meer informatie dan de ander te hebben over de ander. En over burgers. Die vervelende nare burgers die misschien wel heel stout hun virtuele coins niet melden of iets te serieus bezig zijn met foute interpretaties van hun religie. Die een keertje xtc bestellen of een ander middeltje om even te ontsnappen aan de realiteit.

Echt.. afschuwelijk dit.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (36)

Sorteer op:

Weergave: