Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

D66 komt met initiatiefwet voor omgang met zero days bij overheid

De Nederlandse politieke partij D66 wil een initiatiefwet indienen om voor te schrijven hoe overheidsdiensten moeten omgaan met zero days. Nu zijn daar geen regels voor, maar dat moet volgens de partij veranderen.

Een onafhankelijke commissie moet volgens D66-Kamerlid Kees Verhoeven de afweging maken wat er mag gebeuren met zero days. Nu bepalen inlichtingendiensten en politie dat grotendeels zelf. In sommige gevallen zouden overheden op een gegeven moment zero days moeten melden bij softwaremakers, zo vindt de partij.

Er is nog geen wetgeving op dit gebied in Nederland of in andere landen. D66 wil het idee voor de initatiefwet donderdagmiddag bespreken tijdens het debat over de betrapte Russische spionnen die de MIVD betrapte bij gifgasonderzoekslab OPCW in Den Haag.

De exacte tekst van de initiatiefwet is nog niet beschikbaar, waardoor onbekend is hoe de regels er precies uit zouden zien. Ook is niet duidelijk of de regeringspartij kan rekenen op een meerderheid in de Tweede Kamer voor dit initiatief.

In het verleden zijn er wel regels opgesteld rond het gebruik van zero days. Voor de AIVD en MIVD is een toetsingskader opgesteld over hoe en wanneer ze zerodaykwetsbaarheden gebruiken. De Tweede Kamer controleert dit. Voor de politie geldt dat ze geen zero days direct mogen inkopen, maar wel hacktools mogen gebruiken die op hun beurt van zero days gebruikmaken.

Door Arnoud Wokke

Redacteur mobile

20-12-2018 • 13:40

56 Linkedin Google+

Reacties (56)

Wijzig sortering
Kees Verhoeven slaat de spijker op z'n kop met deze wet. Overigens heeft hij het over een onafhankelijk commissie, niet als extra functie voor de commissie "Stiekem". Dat komt doordat laatstgenoemde alleen toezicht houdt op de IVD's, en Kees ook het gebruik door Politie en Defensie aankaart.
Als Kees zo goed was in het spijkers met koppen slaan, had hij nooit, ik herhaal nooit, met de Sleepwet moeten instemmen. Wat Kees nu doet is pure symboolpoitiek en komt hij met een wetsvoorstel waarvan hij bij voorbaat al weet dat dit nooit een meerderheid zal krijgen.
Net als verderop al aangegeven is, heeft Kees ervoor gekozen om niet totaal in een blok te zitten maar te zorgen dat er nog belangrijke wijzingen doorgevoerd konden worden in de wet. Belangrijk is daarbij dat hij ervoor gezorgd heeft dat er een evaluatiemoment komt van de wet. En te zien aan alle nieuwsberichten is dat zeker ook nodig.Politiek is niet zwart/wit, maar soms ook geel, rood of groen en niet alle kleuren komen even duidelijk in de media.
Ik vind dat politici zouden moeten stemmen volgens hun eigen mening en niet die van een partij of coalitie, als ze er zelf ook echt een mening over hebben. Verder worden evaluaties en aanpassingen van wetten vaak beloofd maar nooit uitgevoerd. Zie ook het interview met de voorzitster van de Eerste Kamer in NRC van deze week, die precies dit aankaart.
Ik stem op persoon binnen een partij met een bepaald gedachtegoed, daarbij vind ik het fijn dat er centraal overlegd wordt met de stappen die genomen moeten worden en er één uitgangspunt gekozen wordt. Voor bepaalde zaken is hoofdelijk stemmen mogelijk gewenst, maar het merendeel vind ik van niet. Maar daar mag jij best anders over denken :)

Dat interview had ik nog niet gelezen, interessant en bedankt voor de tip.
Kees heeft ons eerst overgeleverd aan de sleepwet en laat nu weer zien dat hij niet weet waar hij over heeft. Hij doet nu alsof hij ons wil beschermen tegen het gebruik van zerodays, maar ons doen en laten was toegankelijk zonder zerodays via die sleepwet
Zerodays zijn het gereedschap van echte hackers. Als Kees de hackers van ons leger nu ook nog het gereedschap af wil nemen, heeft hij weer laten zien dat hij niks van begrijpt.
Ons leger staat dan tegenover landen die geen Kees hebben. Dat wordt moeilijk (digitaal) vechten.
D66, wederom bedankt!
Ieder lek dat je meldt wordt daarna gefixt, waarna die andere landen het ook niet meer kunnen gebruiken. Lekken zijn niet uniek. Het fixen van lekken zorgt ervoor dat er geen schade meer veroorzaakt wordt door het melden ervan.
Dus als wij de lekken die bij ons bekend zijn gaan melden en andere landen doen dat niet, hebben wij dus geen “gereedschap” meer en de andere wel.
Klopt, maar je ontneemt andere landen ook een deel van hun gereedschap.
Waar baseer je dat op?

Het is onwaarschijnlijk dat er helemaal geen overlap is tussen de beschikbare zero days van verschillende landen, maar het is nog onwaarschijnlijker dat er veel overlap is. Als deze zero days namelijk zo makkelijk te ontdekken waren dat meerdere diensten ze onafhankelijk van elkaar vinden, dan zijn er ook mensen buiten de diensten die ze vinden.
Zoals je zelf al zegt is het onwaarschijnlijk dat er geen overlap is tussen zero days.

En bijkomstig is het ook bekend dat meerdere intelligence agencies klant zijn bij dezelfde verkopers van Zero days ( zie bv Vupen ) https://en.wikipedia.org/wiki/Vupen .

De kans dat er weinig overlap is lijkt me eigenlijk zeer vergezocht, maar dit is uiteraard een beeld dat ik voor mezelf vorm en niet kan staven.
Jij denkt toch niet dat er nog iemand aan de NL veiligheidsdiensten zerodays gaat verkopen als die wet er komt?
Ik denk inderdaad dat dit een potentiële verkoper even zal doen nadenken. Maar vermits deze wet niet lijkt te gaan inhouden dat alle zero days verplicht moeten gemeld worden lijkt me dat nog wel te gaan meevallen.
Nee, het betreft hier "sommige gevallen" en de meldingen zouden "op een gegeven moment" gemeld worden. Dus als de regering bijvoorbeeld een zero-day in een 3 jaar oude oracle database installatie heeft gevonden, terwijl geen van de directe 'tegenstanders' van Nederland hier gebruik van maakt, dan zou dit aan Oracle gemeld worden, vermoedelijk.

Anderzijds, als er een zero-day gevonden/gekocht wordt in een applicatie of systeem dat een tegenstander wèl gebruikt, dan wordt dit niet aan een leverancier gemeld, kan ik me zo voorstellen.

In sommige gevallen zouden overheden op een gegeven moment zero days moeten melden bij softwaremakers, zo vindt de partij.
Dus als wij de lekken die bij ons bekend zijn gaan melden en andere landen doen dat niet, hebben wij dus geen “gereedschap” meer en de andere wel.
Dat is een afweging tussen belangen. Vind je het belangrijker om je eigen inwoners te beschermen, of vind je het belangrijker om anderen aan te kunnen vallen?

Als wij zo'n gat kunnen vinden, dan kunnen ze het ook in andere landen vinden. Als je een gat vindt kun je er dus maar beter van uit gaan dat andere landen/geheime diensten het gat ook kennen. Laat je dan je eigen burgers en bedrijven bespieden in de hoop dat je ooit terug kan spioneren? Of help je je eigen mensen zichzelf te beschermen?

Hierom vind ik het belangrijk dat we onderscheid maken tussen aanval en verdediging en die taken niet bij dezelfde partij beleggen, want dan zal één tak altijd het onderspit delven en waarschijnlijk de verdigende kant. Als verdediger is het beste nieuws dat je kan melden dat er niks is gebeurd. Dat was namelijk je taak. Maar het is wel saai en moeilijk uit te leggen. Het klinkt veel beter als je kan zeggen dat je de Russen hebt gehackt, of zo iets. Als je niet oppast gaat alle aandacht dus uit naar aanvallen ten koste van onze eigen verdediging.
Ik vind dat je de conclusie iets te snel trekt. Ja, onderdeel van de "sleepwet" is onder andere meer hackbevoegdheid, maar Kees wil juist het gebruik van Zero Days hiermee inventariseren/reguleren. Hij heeft in een interview bij BNR goed uitgelegd waar de crux bij zero-days in schuilt, en waarom het belangrijk is om hier een vorm van regulatie op te hebben. Ergens centraal zal toch de afweging gemaakt moeten worden tussen de risico's van een zero-day en de meerwaarde voor alle belanghebbenden.
Er staat niet perse dat hij ons wil beschermen door die regels. Daarnaast is het plan nog niet eens bekend dus er is natuurlijk nog van alles mogelijk. Beetje voorbarig en kort door de bocht.

Daarnaast begreep ik uit de podcasts waar Kees was dat de sleepwet er toch wel zou komen en dat hij, binnen de speelruimte die mogelijk is in de politiek, geprobeerd heeft er het beste van te maken. En liever wat invloed had dan helemaal niet. Hij ziet dan ook vooral kansen bij het informeren van meer kamerleden over digitale kansen en dreigingen zodat de politiek als geheel betere besluiten zal nemen. Hem verantwoordelijk maken voor het falen van de politiek is natuurlijk niet eerlijk. Gebrekkige kennis binnen de politiek wel.
Tja.. politici zonder ruggengraat..

"De sleepwet komt er toch wel, dus ik doe maar mee..."

'Iemand steekt binnenkort een mes in je rug.. ochja.. als ik denk dat ik het niet kan voorkomen kan dan help ik de dader maar.. dan kan ik tenminste nog helpen kiezen welk merk mes hij koopt' :P

Soms water bij de wijn doen en tot een compromis maken, maar de sleepwet was voor mij toch echt een punt waarbij politici ruggengraat hadden moeten tonen

[Reactie gewijzigd door mmjjb op 20 december 2018 17:45]

Ons leger staat dan tegenover landen die geen Kees hebben. Dat wordt moeilijk (digitaal) vechten.
Ik vraag me altijd af wat voor beeld mensen hebben bij digitaal vechten. Dat je een digitale handgranaat in het kantoor van de tegenpartij gooit? Dat je digitale kogels op hun firewall afvuurt?
Ik denk dan aan een flat van twaalf etages in Shanghai. Of Nederlandse hackers die in het kantoor van Russische hackers meekijken.
Ok gelukkig. Maar je begrijpt ook dat zij dezelfde zero days gebruiken als ons. En als je het artikel leest, gaat het over een protocol voor omgang. Dus het melden van zero days na een x bepaalde tijd. Niet het verbod op gebruik van zero days (want dat is in principe de enige manier van hacken).

Concreet voorbeeld: het lek in het SMB protocol van windows. Het was een gemakkelijke manier van hacken, maar er waren ook andere mogelijkheden. Maar de hele wereld had wel miljarden schade. Dus dan is de overweging gemakkelijk te maken...
In de zin van het leger - elk lek dat jij vindt, hebben je eigen systemen ook en daarmee ben je er dus zelf even kwetsbaar voor.

De hoogste prioriteit rond ICT in het leger zou ironisch genoeg moeten zijn dat zerodays gevonden en zsm gefixed worden, want dan kunnen tegenstanders niet doordringen in je systeem. Ze horen immers te beschermen, niet aan te vallen/vernietigen, als belangrijkste taak.
Ach als je dit leest:
Voor de politie geldt dat ze geen zero days direct mogen inkopen, maar wel hacktools mogen gebruiken die op hun beurt van zero days gebruikmaken.
Wil men nu dus de zero days aan banden leggen, dan gaat het dus via de omweg hacktool kopen die er gebruik van maakt.

D66 is weer lekker populistisch bezig, roept zaken die kant nog wal raken maar sleepwet, geen probleem, zero day daar moeten we over praten.

Raar he dat mensen vertrouwen in de politiek verliezen.
Diensten kopen zero days, leggen het voor aan de commissie en die zegt, blijf het maar gebruiken, anderen gebruiken het ook en het heeft ons veel geld gekost. O-)
Beetje onzin. De omgang met zero days is een groot probleem. Hoe langer je een zero day niet meldt, des te meer hackers deze ook vinden. Met grote gevolgen de maatschappij. Haventerminals die down gaan, vliegvelden, overheidsinstellingen, bedrijven, etc. Met miljarden schade tot gevolg.

Overheden hebben altijd een voorraadje zero days ter beschikking. Dus dat is ook geen zorg. Daarnaast kopen overheden zero days regelmatig VAN hackers. Die andere landen en virusmakers ook gebruiken. Een oude zero day wordt ook niet vaak hergebruikt, doordat software veranderd.

En je hebt een punt, het is een probleem op wereldschaal. Maar je moet ergens beginnen.

[Reactie gewijzigd door Bliksem B op 20 december 2018 19:40]

Volgens mij heb je er helemaal niets van begrepen. Het gaat hier om een voorstel om de afweging tussen melden/zelf gebruiken van een lek niet meer meer instanties als de politie neer te leggen maar bij een onafhankelijke comissie. Dus je ontneemt helemaal geen tools tenzijn ze vrij nutteloos zijn voor eigen gebruik maar wel een veiligheidsrisico opleveren.

Dus voordat je weer op D66 gaat lopen zeiken eerst even nadenken a.u.b.

Ik ben overigens ook van mening dat de sleepwet fout is en in mijn ogen moet de overheid altijd zero days melden want zo niet dan loopt de bevolking gevaar door criminelen die e wel gebruiken.

En elke zero day die gepatched word kan de "vijand" zoals jij ze noemt ook niet meer gebruiken.
Wat ik er in lees vind hij dat zero days niet onmiddellijk bij de ontwikkelaar gemeld moeten worden, maar dat personen die er geen verstand van hebben er naar gaan kijken, en dan blijft gevaar dus in ieder geval langer bestaan.

Een beter voorstel zou zijn dat alle gevonden zero days direct gemeld moeten worden. Verplicht, en dan sancties bij overtreding.
Dat lijkt mij ook een beter voorstel maar dat is volkomen onhaalbaar politiek gezien momenteel. Dan liever een commissie van deskundigen dan de uitvoerende macht zelf.
De politie heeft hackbevoegdheid. Die kunnen dus zero days inzetten tegen de eigen bevolking.

En niets in dit artikel zegt dat politie/leger geen zero days meer mogen gebruiken. Het gaat hier om dat de afweging of een zero day beruikt mag worden of dat die te gevaarlijk is om niet te melden bij een onafhankelijke instantie terecht komt.

Dus nogmaals. Lees eerst eens het artikel zelf.
En dat eerste kan ik me absoluut niet in vinden. De politie mag dus inbreken, zonder ook maar enige controle van mensen buitenaf en vooraf. Zero days moeten wat mij betreft ALTIJD direct bij de ontwikkelaar gemeld worden. Ik heb dan ook totaal geen vertrouwen in politie en politici.

Politici zijn vooral bang voor de bevolking, als die er achter komen wat de overheden allemaal kunnen zou wel eens de pleuris kunnen uitbreken.
Socialisten zijn hypocriet, zeg je. D66 valt niet helemaal onder de socialisten.
Bovendien: zijn neoliberalisten die bedrijven boven het volk plaatsen, maar wel via het volk de stemmen binnenharken door te liegen niet ook hypocriet?
Politiek en hypocrisie, je zou bijna denken dat het synoniemen zijn.
Hypocrisie heeft inderdaad weinig te maken met politieke kleur. Het is vooral inherent aan (succesvol) politicus zijn. De massa stemt niet op een politicus met idealen of de beste ideeën. De massa stemt op politici die zeggen wat zij willen horen. Het is vrijwel onmogelijk dat de "echte" mening van die politicus daar altijd bij aansluit.
Kleine toelichting over wat een zero day dan ongeveer is:
(gezien ik zelf wel een vermoeden had maar toch veel vraagtekens had bij dit artikel)
Een zerodayattack (of nuluren- of nuldagenaanval, -aanslag of -dreiging) is een computerdreiging die probeert misbruik te maken van zwakke delen in software die onbekend zijn voor anderen of de softwareontwikkelaar. Zero-day-exploits is software die gebruikmaakt van een daadwerkelijk gat in de beveiliging voor het uitvoeren van een aanval. Deze worden gebruikt of gedeeld door aanvallers voordat de ontwikkelaars van de doelsoftware iets afweten van deze kwetsbaarheid.
Een zerodayattack (of nuluren- of nuldagenaanval, -aanslag of -dreiging) is een computerdreiging die probeert misbruik te maken van zwakke delen in software die onbekend zijn voor anderen of de softwareontwikkelaar.
Het delen van een zero-day zou dan betekenen dat het geen 0-day meer is...
Logisch zou zijn dat de makers er niets vanaf weten en / of het niet bewust hebben geintroduceerd en open houden voordat het algemene kennis wordt.
Ik snap het wel dat je zero days wil delen met ontwikkelaars, alleen laten we niet het braafste jongetje worden. Het kan soms erg handig zijn om een achterdeurtje te hebben om ergens binnen te komen. Niet alleen voor terrorisme maar ook voor criminaliteit te bestrijden. Maar laten we die discussie nu niet voeren aub.
Dat is dus precies waar deze wet in voorziet. Een onafhankelijke commissie die gaat bepalen wat er met elke zero day gedaan moet worden, melden of gebruiken. Het enige verschil is dus dat deze keuze niet meer bij de uitvoerende instantie zelf ligt.
:? Je gooit in een medium om discussies te voeren een vrij controversiële mening op, en pleit vervolgens dat we je hier absoluut niet mogen betwisten. Doe eens niet?

Overal backdoors in slaan omdat "terrorisme en kinderporno" is onzin van de bovenste plank. Dit is hoe je van die ransomware krijgt die hele bedrijven/scholen naar de klote helpt, zie ook:

reviews: Wat maakt WannaCry anders dan andere ransomware?
Maar dat is nu precies waar dit over gaat.

Mag de overheid inbreken? Volgens jou blijkbaar wel. Want gebruik maken van een zero day is geen officiele manier, dus illegaal.
Hoe om te gaan met Zero Day Exploits die gekocht zijn? Als NL die na een bepaalde tijd moeten melden, dan worden ze ook niet meer aan NL verkocht.
Laat ze eerst eens iniatiefwet maken die voorkomt dat overheids ICT projecten zo vaak en zo extreem mislukken. We hebben de parl. comissie ICT gehad, allemaal uitkomsten. Doe er iets mee.
De overheid is geen commercieel bedrijf, die hebben sowieso chronisch geld teveel en kunnen doen en laten wat ze willen. Diegenen die bieden op de aanbestedingen moet je minstens net zo hard aanpakken, die zitten vaak enorm onder budget waardoor schattingen bij voorbaat al mislukken maar zó gebrand zijn op het binnenhalen van een (prestige)project dat iedereen kan aanvoelen dat het mis zal gaan.
Ja, het probleem is tweeledig.

Ook zijn het vaak projecten met een scope van het type: Too big too succeed
Ook belangrijk, maar dat staat mijns inziens hier los van.
D66 ... tsja.... ooit was het nog wat, ooit kon je daar met wat fantasie nog het gevoel krijgen dat die snapten wat kiezers wilden. En hoewel ze een van de weinige partijen zijn die digitale zaakjes nog het beste aankaarten hebben ze op genoeg andere vlakken méér dan genoeg steken laten vallen om niet meer serieus genomen te worden.
Niet zo relevant hier lijkt me, en zeker niet voor deze discussie.
Behalve dat niemand D66 nog serieus zal nemen ... terwijl ze "vroeger" best wel actief bezig waren met digitale vraagstukken..
Nog steeds niet relevant.
Van alle "rechtse" partijen is D66 nog steeds de minst slechte wat betreft privacy etc.
Ik vind Kajsa Ollongren niet te vertrouwen, rare beslissingen, hautain gedrag ook. Maar qua privacy en hun plannen is het best aardig. Alleen jammer dat letterlijk alles naar de EU gegooid wordt. En nu ben ik op zich helemaal tegen de EU, maar de manier waaróp en alle fundamentele problemen die er al zijn zouden éérst opgelost moeten gaan worden. En dát verrekken ze.
Zoals ik aangaf, de minst slechte, niet de beste

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrische voertuigen

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True