Directeur Spaanse inlichtingendienst ontslagen wegens gehackte telefoon premier

Paz Esteban, de directeur van de Spaanse inlichtingendienst CNI, is ontslagen. De dienst is er te laat achter gekomen dat de telefoons van premier Pedro Sánchez en minister Margarita Robles van Defensie vorig jaar waren besmet met de Pegasus-spyware, vindt de Spaanse overheid.

De minister van Defensie kondigde na een kabinetsvergadering aan dat Esteban zou worden ontslagen, schrijft persbureau AP. "Dat het een jaar duurde om de hacks van de telefoons te ontdekken, maakt duidelijk dat er dingen zijn die we moeten verbeteren", zei Robles. "We gaan proberen ervoor te zorgen dat deze aanvallen niet meer gebeuren, ook al is er geen manier om volledig veilig te zijn." Esperanza Casteleiro gaat Esteban vervangen. Zij werkt inmiddels 40 jaar bij de inlichtingendienst.

Het bericht over de met Pegasus-besmette telefoons kwam vorige week naar buiten. Volgens de Spaanse regering vonden de spywarebesmettingen in mei en april vorig jaar plaats. Het is niet duidelijk wie er achter de aanval zit, maar het zou gaan om 'externe acties', uitgevoerd door 'niet-officiële instanties' en 'zonder toestemming van de staat'.

Het CNI ligt ook onder vuur voor zijn rol in het bespioneren van Catalaanse separatisten. Esteban erkende tijdens een hoorzitting van de parlementaire commissie vorige week dat het agentschap met gerechtelijke toestemming de telefoons van verschillende Catalaanse separatisten had gehackt.

Door Loïs Franx

Redacteur

11-05-2022 • 13:23

54

Reacties (54)

54
52
30
1
0
13
Wijzig sortering
even zonder precies te weten hoe Pegasus op de telefoon komt (en blijft).... dat betekent dus elke maand een andere telefoon? Of geen smartphone?

Vind het nogal wat om er iemand voor te ontslaan.
Vooral als je weet dat de attackers gebruik maken van 0day exploits waarbij je soms niet eens ergens op hoeft te klikken / iets te starten. Ze hebben letterlijk alleen je telefoonnr nodig.

[Reactie gewijzigd door spokje op 30 juli 2024 11:13]

dat dus. Iemand ontslaan vanwege een zero day. Daar moet echt meer achter zitten behalve alleen 'dat het zo lang duurde voordat...' lijkt me. Of ben ik nu naïef en vindt 'de overheid' echt dat je nalatig bent als je iets niet hebt voorkomen wat je gewoonweg niet kan zien of aan zien komen?
tbh ik vind dit vrij reeel:
Telefoons van ministers worden gebruikt om gevoelige informatie te delen.
Ik mag er vanuit gaan, dat een veiligheidsdienst iets van een security policy in place heeft die verplicht dat er een virus scanner op staat, en ook scant naar bekende malware. sinds juli vorig jaar is het publiekelijk bekend hoe pegasus te detecteren. Dat is dus gewoon nalatigheid en slechte procedures. Dit staat ook in de samenvatting, zei het iets politiek correcter: "Dat het een jaar duurde om de hacks van de telefoons te ontdekken, maakt duidelijk dat er dingen zijn die we moeten verbeteren"
Dan nog vind ik het wel raar dat ze iemand met 40 jaar ervaring zomaar ontslaan vanwege dit. Uiteraard moet er ergens verantwoordelijkheid gepakt worden voor dit, maar iemand met 40 jaar ervaring vervang je niet even.
die 40 jaar ervaring betreft niet de man die ontslagen is, maar diens vervanger:
"Esperanza Casteleiro gaat Esteban vervangen. Zij werkt inmiddels 40 jaar bij de inlichtingendienst."
Oh right. Stond in de lift dus heb het ws verkeerd gelezen. Thanks voor de opheldering.
Die laatste alinea van het bericht...
In het nieuws lezen we dat het is omwille van Pegasus, maar vorige week lag diezelfde persoon dus in het parlement onder vuur. Misschien toen nog ternauwernood aangebleven, en toen kwam dit naar buiten.
dus eerst heeft de inlichtingendienst hun werk gedaan (inlichtingen verzamelen middels gerechtelijke toegang tot smartphones Catalonia), en nu krijgen ze op hun kop omdat ze hun werk niet zouden hebben gedaan (door niet door te hebben gehad dat er pegasus op de andere toestellen zaten).

t Is ook nooit goed. Maar dat is het lot van politieke kopstukken: die worden ontslagen als ze zowel hun werk wel als niet doen :+
"hun werk doen" houdt in altijd hun werk doen, niet de ene keer wel en de andere keer niet.
Nah, dit was al bekend.

Maar de CNI heeft dus actief gespioneerd met Pegasus op alle politici die graag Catalaanse onafhankelijkheid willen, en Podemos en alle onafhankelijkheidsgroepen uit Catalonie (waarvan een aantal kritieke gedoogsteun geven aan de Spaanse sociaal-democraten samen met de steun van Podemos) eisen begrijpelijk daarom het hoofd van de CNI - en de sociaal-democraten zullen waarschijnlijk dit offer gemaakt hebben om te voorkomen dat Podemos en de Catalanen hun steun intrekken.

Zonder Podemos en de Catalaanse groepen hebben de Spaanse sociaal-democraten niet genoeg steun en breekt er een regeringscrisis uit. En PP en Vox zullen geen alternatieve regering kunnen vormen, want die hebben ook niet genoeg zetels samen en die worden ronduit gehaat door de Catalanen en Podemos omdat PP&Vox Francoistisch zijn.

[Reactie gewijzigd door Verwijderd op 30 juli 2024 11:13]

Ik kan niet uit de tekst halen dat de CNI ook Pegasus heeft gebruikt voor de spionage, heb je daar een bron voor? Dat zou ik wel interessant vinden.

*edit, artikel gevonden.

[Reactie gewijzigd door MisterJRF op 30 juli 2024 11:13]

Hier in Nederland gebruiken ze gewoon gmail om gevoelige informatie rond te mailen dusja :+ in Spanje verwachten ze blijkbaar wat meer technische kennis :P
In Nederland hebben ze dan ook niets te verbergen waarschijnlijk O-) .
dat dus. Iemand ontslaan vanwege een zero day.
Het is allang geen zero day meer.
Dumbphone ja, denk dat dat de enige oplossing is.

Kan me nog een verhaal voor de geest halen over een overgelopen straaljagerpiloot van de USSR. De MIG waarmee hij vloog werd uit elkaar gehaald en de VS kwam niet meer bij van het lachen omdat de Russen nog buizen gebruikten in hun apparatuur.

Achteraf hadden de Russen al door dat buizen ongevoeliger zijn voor een EMP puls. Moderner is niet altijd beter.
tja, maar zelfs een dumbphone maakt tegenwoordig onderwater gebruik van android of een OS dat sterk is afgezwakt, maar nog steeds zero days kan bevatten. De kans dat die bij een dumbphone ook worden aangepakt zijn nog veel kleiner dan bij android of ios, omdat men denkt dat dit toch niet nodig is (en omdat het te veel werk is om een dumbphone van een nieuwe firmware te voorzien.. want ja.. je hebt geen OTA updates)
Dumbphone bescherming hier niet tegen ze heten dump phone’s omdat je ze na ieder werk bezoek direct weg gooit omdat er zeker vanuit kan dat ze gehackt zijn.

Je gooit als bedrijf of overheid liever na iedere Saudi-Arabië,China,Venezuela enz liever simple 35 tot 99 euro toestel weg dan dure iPhones en Samsung’s

[Reactie gewijzigd door xbeam op 30 juli 2024 11:13]

of regelmatig laten checken door een gespecialiseerde instantie, zoals bv de veiligheidsdienst. Als dat standaard gebeurt maar bij die checks was alles OK dan zou je de verantwoordelijke wel daarom kunnen ontslaan.

[Reactie gewijzigd door stefanass op 30 juli 2024 11:13]

Een SMS was voldoende om de telefoon te kapen.

Alles was toegankelijk. Zelfs remote de camera, microfoon aanzetten.

Maar voor zulke exploits wordt miljoenen betaald. Gouden business.

[Reactie gewijzigd door Verwijderd op 30 juli 2024 11:13]

Er moet iemand de schuld krijgen, je zou ook de minister van defensie kunnen ontslaan of de schuld bij de premier leggen maar die hebben zich zo ingedekt.

[Reactie gewijzigd door Marzman op 30 juli 2024 11:13]

Het heeft niet zo heel veel te maken techniek dat deze meneer ontslagen is. Er is een hele politieke rel gaande (pegasus op politieke leiders van catalonie) waardoor deze leiders de schuld gaven aan de centrale regering, nu blijkt dus ook de telefoon van de premier besmet (toeval, opzet, rookgordijn?). Er moest hoe dan ook "iemand" de zondebok zijn, en dat is nu gebeurd. Puur politiek dit, weinig met techniek of beveiliging te maken vrees ik.
als inlichtingendienst hoor je daarover te waken en als je er pas een jaar later achter komt, dan heeft er toch minstens 1 iemand zijn job niet goed gedaan. We spreken over 2 van de hoogste politici van een groot land
En terecht, dit zou ook in NL moeten gebeuren als het hier gebeurd.
Misschien zouden ze nog iets verder kunnen gaan en Pedro Sánchez en Margarita Robles ook ontslaan. Hoe krijg je deze zooi in op je telefoon?
Zoek maar op eerdere berichten over de pegasus spyware. Daar wordt het uitgelegd.
Dan weet je dat er niets tegen te doen is en je er dus niemand anders dan de aanvaller de schuld van kan geven laat staan ambtenaren voor kan ontstaan.

[Reactie gewijzigd door xbeam op 30 juli 2024 11:13]

Hoe krijg je deze zooi in op je telefoon?
En kwaadwillende kan je infecteren zonder dat je iets opent. Dus de crimineel kan een bericht naar je mobiel sturen, en ook al open je het niet, word je wel geinfecteerd en krijgt diegene meteen controle over heel je telefoon.
Eigenlijk zouden software makers moeten bestraft worden omdat ze zo een hackbare gatenkaas afleveren.
Ho even, ze hebben al een zondebok gevonden en dus gaan zij nu vrijuit!

Edit: scapegoat i.p.v. escape goat en kon even niet op het Nederlandse woord komen

[Reactie gewijzigd door singingbird op 30 juli 2024 11:13]

Als je niet weet wat je zegt, gebruik dan gewoon het Nederlandse woord: zondebok.
Zou je net zien dat die allemaal de privé telefoon gebruiken in plaats van de zakelijke. Omdat het makkelijker is of zoiets :)
Het zou me niks verbazen als de Russen of Israëliërs zouden meelezen met de sms'jes van Rutte momenteel. De Nederlandse overheid heeft veilige telefoons die door de AIVD zijn onderzocht en gekeurd, maar daar kun je geen spelletjes op installeren.

Je kunt kiezen tussen een risico op zero-days en een telefoon waar je alleen mee kan sms'en en bellen. Aangezien de ministers ook gewoon Gmail gebruiken voor het gemak denk ik niet dat dat echt een vraagstuk is, de veilige telefoon is er alleen voor buitenlandse missies.

Ik zie ook niet helemaal hoe de AIVD hiertegen zou kunnen beschermen. Mobiele antivirus is net zo bekend als andere mobiele apps, dus de analysesoftware zou zelf het OS moeten exploiten willen ze kunnen controleren op dit soort virussen. Theoretisch zou de overheid een GrapheneOS-fork kunnen bijhouden met de nodige tooling, maar ik weet niet of dat nu de moeite waard is.

De enige optie die ik hiertegen zou zien is het hacken van de landen die potentieel de ministers zouden willen hacken. Dat zouden Catalaanse opstandelingen kunnen zijn, Noord-Koreaanse cybercommando's in Chinese internetcafés, of bevriende landen die een oogje in het zeil willen houden. Tot er duidelijkheid is wie er achter deze aanvallen zit, kun je weinig zeggen over hoe dit voorkomen had kunnen worden. Als een semi-vriendschappelijk land als de VS er achter zou zitten dan zouden de geheime diensten dit vanwege politieke redenen wellicht ook niet eens openbaren.
Sms'jes lezen is een koud kunstje, dat gaat ongecodeerd door de lucht. Als Rutte sms gebruikt voor het verzenden of ontvangen van staatsgevoelige informatie dan moet er hier ook wel iemand (iedereen behalve Rutte) ontslagen worden.
Dan dient de CNI wel het beheer te hebben gehad over de telefoons van de ministers, maar gaan die ministers dan niet vanwege de strenge en lastige authenticaties niet eigen telefoons gebruiken ?
Bijvoorbeeld om mondkapjes-deals te sluiten ?
En dan heb je nog niets aan de beveiligingen
Telefoons van mensen op dat niveau horen periodiek gecontroleerd te worden, als dat al niet continue gebeurt. In het artikel word niet genoemd om welke telefoons het gaat maar het lijkt mij dat je een geprepareerd toestel krijgt met al dan niet je eigen sims daarin. Het zou mij ook niet verbazen als telefoons van directe familieleden ook meteen worden meegenomen in de surveillance en die zijn ongetwijfeld prive maar dat moet niet uitmaken.
Dat zou idd allemaal moeten, maar in de praktijk zoals we hier in NL zagen gaan mensen toch hun eigen zooi gebruiken omdat dat minder omslachtig is. Met dit als gevolg.
Ook de prive spullen zouden van mensen op dat niveau constant (wekelijks/maandelijks) door expert nagelopen horen te worden.

Immers kan je priveleven doet net zo goed tegen je gebruikt worden rond o.a. chantage dat er niet per se toegang nódig is tot de werk telefoon of laptop om toch gegevens te verkrijgen of stemgedrag te beïnvloeden.
Ja hij kan ook een burner phone kopen enz enz... dit soort maatregelen staan of vallen met het bewustzijn dat ze er zijn met een reden en dat je je er aan moet houden.
Als ik de foto van dit artikel bekijk, gok ik dat het gaat om een iPhone (of een kloon ervan).

Ik zou gokken dat de malware via de inmiddels welbekende iMessage exploit is binnengekomen, waarmee het hebben van iemands telefoonnummer genoeg is om de malware te verspreiden.

Vanwege Apple's sandboxing is het ook nagenoeg onmogelijk om apps te scannen op infecties als deze zonder het apparaat te jailbreaken of speciale software van Apple zelf. Met Android zou je iets meer moeten kunnen, maar als de malwaremakers slim zijn is het daar ook zonder root praktisch onmogelijk om infecties op te sporen.

Antivirus op mobiele telefoons controleert vooral de lijst van apps op je telefoon met een lijst van bekende kwaadaardige apps en eventueel de tekenen daarvan op gedeelde opslag. Als een aanvaller de handtekening van een applicatie ongeroerd kan laten en toch de beveiligingssystemen van het OS weet te omzeilen, kun je daar met de meeste mobiele technologie weinig mee.

[Reactie gewijzigd door GertMenkel op 30 juli 2024 11:13]

Pegasus op je telefoon hebben is natuurlijk het toppunt van een gehackte mobiel, vooral als je president van een land bent. Maar zelfs in de VS kan belangrijke informatie over de president verkregen worden via de mobiel van de President.
Neem bijvoorbeeld deze situatie met toenmalig president Trump:
How to Track President Trump
Twelve Million Phones, One Dataset, Zero Privacy
Over de laatste paragraaf: de inlichtingen-ambtenaren zouden de politici moeten aanklagen die hen die opdracht gaven.
De dienst is er te laat achter gekomen dat de telefoons van premier Pedro Sánchez en minister Margarita Robles van Defensie vorig jaar waren besmet met de Pegasus-spyware

Het CNI ligt ook onder vuur voor zijn rol in het bespioneren
Die twee dingen samen wijzen op een probleem dat we wel vaker zien: aanval en verdediging worden gecombineerd waar steevast de verdediging aan het kortste eind trekt om de methodes van de aanvallende tak te beschermen. Je moet die twee verantwoordelijkheden niet onder 1 dak hebben.
Dit soort diensten hebben veel verstand van het onderwerp maar mogen of willen die kennis niet delen. Als er al iets gedeeld wordt dan is het met verwante overheidsonderdelen en zelden met het grote publiek.

Zelf geen gebruik maken van dit soort wapens maakt het heel makkelijk. Dan kun je alle informatie die je verkrijgt delen met iedereen die je wil. Dan kun je alle ministeries, bedrijven, verenigingen, etc. in ieder geval de kennis geven die ze nodig hebben om zich te verdedigen.
Dat het een jaar duurde om de hacks van de telefoons te ontdekken, maakt duidelijk dat er dingen zijn die we moeten verbeteren
Dat klopt wel maar volgens mij is dit toch niet het juiste aspect om op te focussen. Voorkomen dat een besmetting plaats vindt is belangrijker. De gevolgen van een besmetting verkleinen ook.
Een besmetting opmerking hoort daar wel bij maar dat is niet genoeg. Een besmetting vinden is best lastig en je kan nooit weten of je alles gevonden hebt. Je kan er dus maar beter van uit gaan dat het niet lukt. Als je het al wil proberen dan is de eerste stap ongeveer dat je zelf het netwerk gaat afluisteren. Of het dan echt beter wordt of dat je alleen maar een nieuwe deur opent is maar de vraag.

Ik ben minstens zo geinteresseerd in wat er vooraf is gedaan om besmetting te voorkomen. Regelmatig van telefoon wisselen lijkt er in ieder geval niet bij te zitten. Om wat voor een telefoon gaat dat, een gewone android/iphone van de telefoonwinkel om de hoek of een door de geheime diensten dichtgespijkert apparaat. Hebben die ministers zich netjes aan alle voorschriften gehouden.

Je merkt misschien dat ik die directeur een beetje ontzie. Mijn ervaring met dit onderwerp is dat bestuurders op dit vlak onmogelijk eisen en verwachtingen hebben. Ze vragen welk om een "veilige" telefoon maar zodra blijkt dat ze dan niet meer alle apps kunenn gebruiken is de wereld te klein. Extra maatregelen als pincodes en vingerafdrukken worden als onhandig ervaren. Dat zijn ze ook maar het is niet anders.


Hier in NL hadden we onlangs ook weer een akkefietje met politici die hun prive-email gebruiken. Dat is echt geen boze opzet maar goed bedoelt pragmatisme. Mensen maken onderbewust een afweging tot wat het meeste gezeik oplevert. Als je vandaag je stuk niet af hebt of de mail niet hebt beantwoord dan levert dat morgen veel gezeik op. Als je je niet aan de beveiligingsvoorschriften houdt dan geeft dan over 5 jaar misschien een klein beetje gezeik. Dan is het logisch wat mensen kiezen.

Ergens is die directeur ontslaan wel een goed idee, wat die persoon er verder ook wel of niet aan heeft kunnen doen. De volgende directeur zal er voor zorgen niet in dezelfde situatie te komen. Een menselijk oogje dichtknijpen doe je niet als je voorganger net is ontslagen. Dan moet de minister maar met een aardappel telefoneren vanuit een ondergrondse bunker met niet meer dan een schaamlapje voor.
Voorkomen dat een besmetting plaats vindt is belangrijker.
Dat is volgens mij zo goed als onmogelijk. Je leest hier nu een geval dat wel ontdekt is. Ik ga ervan uit dat er ook software is die niet zo bekend is als pegasus en die simpelweg niet ontdekt zijn.
Dat is volgens mij zo goed als onmogelijk. Je leest hier nu een geval dat wel ontdekt is. Ik ga ervan uit dat er ook software is die niet zo bekend is als pegasus en die simpelweg niet ontdekt zijn.
Ja en nee. Met een normale moderne smartphone is dat inderdaad zo goed als onmogelijk en zijn voorkomen en detecteren allebei haast niet te doen.

ls je dat weet dan moet je er misschien voor kiezen om geen "normale" smartphone te gebruiken. Er zijn ook veilige telefoons die helemaal gestript, gecontroleerd en dichtgetimmert zijn. De kans dat je die besmet is al veel kleiner. Als je dan ook nog eens iedere 2 weken een nieuwe telefoon neemt (een minister mag wat kosten) dan heb je het probleem al een stuk kleiner gemaakt.

Maar daar staat wel tegenover dat je veel moet inleveren. Lekker op de plee wat Netflix kijken of Facebooken kun je dan wel vergeten, net als belangrijkere toepassing als Teams, Dropbox, Gmail en ongeveer alles dat een netwerk-component heeft.
40 jaar in dienst. Pff dan zit je ook lekker vastgeroest. Zeker op zo'n functie. Is ze in die periode wel voldoende opgeleid om mee te gaan in deze tijd?
Ze is dochter van Francoist generaal, dus alles blijft thuis, makelijk leven. }:O
Uhm, moet de minister dan zelf ook niet opstappen, want hij/zij is eindverantwoordelijke.... zo zie je maar weer hoe hypocriet politici wel niet zijn.

Op dit item kan niet meer gereageerd worden.