Geheime dienst mag niet zelf bepalen of software-kwetsbaarheden geheim blijven

De AIVD en MIVD mogen nog niet eerder onthulde kwetsbaarheden in software die zij ontdekken niet voor zichzelf houden. Iemand anders moet bepalen of aangetroffen kwetsbaarheden moeten worden gerapporteerd, heeft de Eerste Kamer dinsdag besloten.

Bug in Windows (kleiner) Bij die controle kan het bijvoorbeeld gaan om de minister zelf of een 'klankbordgroep', aldus PvdA-senator Klaas de Vries tegenover Webwereld. Dinsdag werd zijn motie aangenomen waarin de Eerste Kamer oproept om daarvoor te zorgen. Alleen de PVV stemde tegen de motie.

Minister Ronald Plasterk zei een aantal weken geleden in de Eerste Kamer dat de geheime diensten AIVD en MIVD zelf een afweging maken of kwetsbaarheden met anderen moeten worden gedeeld. De diensten zouden dat in ieder geval doen als een kwetsbaarheid de nationale veiligheid bedreigt, verzekerde Plasterk. In de nieuwe situatie zouden kwetsbaarheden nog steeds geheim worden gehouden, maar is het niet langer de geheime dienst zelf die de afweging maakt of een kwetsbaarheid moet worden gedeeld.

Eerder zei Plasterk in de Tweede Kamer dat kwetsbaarheden kunnen worden gebruikt om vijandige regimes te bespioneren. Daarbij zijn nog niet eerder ontdekte kwetsbaarheden, zogenoemde zero days, het waardevolst: die problemen zijn immers nog niet gepatcht en dus makkelijker te misbruiken. Onder meer bij aanvallen op Iraanse nucleaire installaties, waarschijnlijk door de Verenigde Staten, werden zero days gebruikt.

Lees meer

IT-banen

Reacties (44)

crackletinned 8 oktober 2014 11:38

Gewoon altijd bekend maken.
Dan repareren ze het ten minste.
Die criminelen weten het echt wel, zo naief om te denken dat je er zelf nog gebruik van kan maken zonder dat criminelen er achter komen.

svennd @crackletinned • 8 oktober 2014 11:57

Probleem is dat bugs ook niet per definitie door de end-user worden opgelost. De eenvoudigste manier om een toestel/software te exploiteren is door iemand met een verouderde firmware te zoeken en de verschillen te zoeken tussen de huidige en vorige versie. Wanneer we dus een 2de heartbleed of bash hack zouden zien, kunnen kwaadwilligen eenvoud zoeken naar niet geupdate toestellen ...

In die zin is altijd bekend maken mss niet de beste optie ...

crackletinned @svennd • 10 oktober 2014 14:31

Daarom moet het juist bekend worden, dan worden die bedrijven geforceerd hun firmware te updaten. En tja als je niet bereid ben updates te installeren dan loop je nou eenmaal een risico.

svennd @crackletinned • 10 oktober 2014 14:40

Ligt niet steeds aan de gebruikers ... hoeveel android toestellen zijn up-to-date ? Hoeveel software heeft een bepaalde versie nodig ? Sterker nog, sommige tools leveren maar "geldige" resultaten als bepaalde versie van een programma is gebruikt. (en dus de gebruiker verplicht updates te negeren)

Dat is de realiteit, jammer genoeg.

Khrome @crackletinned • 8 oktober 2014 11:49

Helaas denkt men er niet zo over. Men is alleen bezorgd over hoe de diensten dit zelf kunnen exploiten, ze geven geen ruk om de gevolgen voor de gewone burger die er niets van weet. Jammer, maar waar.

Pathogen 8 oktober 2014 11:32

Een geheime dienst die iets niet geheim mag houden... Erg realistische uitspraak van de Eerste Kamer dit.
Denken ze nu echt dat een geheime dienst zich hieraan gaat houden?

Ircghost @Pathogen • 8 oktober 2014 11:36

Je hebt natuurlijk wel commissies die dit soort gedrag in de gaten houden, maar dat geeft niet altijd een zekerheid natuurlijk

Verwijderd @Ircghost • 8 oktober 2014 12:42

Er is een commissie die de AIVD in de gaten moet houden. En die moet afgaan op wat de AIVD zelf rapporteert omdat de commissie zelf niet bevoegd is om de staatsgeheimen te weten. Oftewel de slager die zijn eigen vlees keurt.
Er is dan ook geen echte rem om in te grijpen als er te fanatiek wordt gewerkt en er echt zaken afspelen die in de verre verte niets meer met de wetgeving te maken hebben.

Verwijderd @Verwijderd • 8 oktober 2014 14:56

Toch kan het controlerende orgaan zeer specifieke vragen stellen. Indien de geheime dienst in kwestie dan liegt dan is het bestuur verantwoordelijk. Vragen ontwijken kan natuurlijk wel. Desalniettemin heb ik wel vraagtekens bij de uitvoerbaarheid in dit specifieke geval.

bbob

Politiek en recht

@Ircghost • 8 oktober 2014 12:19

De realiteit zal zijn dat de aivd die kwetsbaarheden bijv krijgt van de nsa waarmee ze samenwerken.

Mogen ze die niet gebruiken dan besteden ze het werk gewoon uit aan een andere geheime dienst die dan op verzoek van de aivd gebruik maakt van die kwetsbaarheid.

Wat dat betreft zijn veel geheime diensten 1 pot nat en het is al bewezen dat ze elkaar het handje boven het hoofd houden cq hoe te regels te omzeilen.

Nas T @bbob • 8 oktober 2014 12:29

Mogen ze die niet gebruiken dan besteden ze het werk gewoon uit aan een andere geheime dienst die dan op verzoek van de aivd gebruik maakt van die kwetsbaarheid.

Totdat beslist wordt dat de kwetsbaarheid wordt geopenbaard en daarna wordt gedicht.

...het is al bewezen dat ze elkaar het handje boven het hoofd houden cq hoe te regels te omzeilen.

Uiteraard om de gewone burger te pesten, nationale veiligheid staat op een tweede plek.
De overheid dient nauwlettend toezicht te houden op de veiligheidsdiensten. De mate waarin burgers in hun privacy worden geschonden, gaat te ver (vindt de burger). Daarom moet de overheid iets doen, niet de veiligheidsdienst zelf. Die doen gewoon zwart/wit hun werk.

Alleen de PVV stemde tegen de motie.

Karikatuur van zichzelf.
Ontopic PVV: het gepruts wat ze de afgelopen jaren hebben laten zien heeft ze wat mij betreft monddood gemaakt. Het is niets anders dan een bashende club met een mening, in mijn ogen.

[Reactie gewijzigd door Nas T op 23 juli 2024 17:46]

Verwijderd @Nas T • 8 oktober 2014 15:09

Maar waarom werd tegen gestemd? Ik vrees dat niet veel mensen dit echt weten.

mbb @Nas T • 8 oktober 2014 23:19

Daarom moet de overheid iets doen, niet de veiligheidsdienst zelf. Die doen gewoon zwart/wit hun werk.

Zorgen dat er geen lekken in systemen van het eigen land zitten lijkt me toch ook wel een behoorlijk groot issue waar een veiligheidsdienst rekening mee moet houden.
Zou eenbeetje zijn als het geheimhouden van anti-raket wapens uit angst dat de vijant ze dan ook kan ontwikkelen, terwijl je steden elk moment zelf bestookt kunnen worden.

Verwijderd @bbob • 8 oktober 2014 20:18

De realiteit zal zijn dat de aivd die kwetsbaarheden bijv krijgt van de nsa waarmee ze samenwerken.

Data gaat *naar* de NSA... Ik dacht dat dat nu toch wel bekend was. De enige manier waarop data de NSA verlaat is via een klokkenluider.

maquis @Pathogen • 8 oktober 2014 11:36

Ja hoor, want ze worden gecontroleerd en waar nodig actief gecorrigeerd door Minister Plassterk ;-)

https://www.aivd.nl/organisatie/werk-aivd/controleert-aivd/

r_j @maquis • 8 oktober 2014 18:57

En die vertrouwen we dan met z'n allen? Nou, ik niet!

maquis @r_j • 9 oktober 2014 09:09

Vertrouwen is net als Geloof. Zwaar overrated en allen van toepassing op mensen die zelf geen kennis van zake hebben, (geloof ik).

Chrotenise @Pathogen • 8 oktober 2014 11:36

Dit wordt dan gedeeld met zo'n geheime commissie van 1 tot 5 man die de geheime dienst toch wel gelijk geven.

JackBol @Chrotenise • 8 oktober 2014 12:36

Die commissie bestaat uit alle fractievoorzitters in de tweede kamer.

ShellGhost @JackBol • 8 oktober 2014 12:47

Dan nog.
Ze laten twee magische woorden vallen, te weten terrorisme en kp, en tadaa....
Het lek wordt geheim gehouden.

supersnathan94

Politiek en recht

@Pathogen • 8 oktober 2014 11:37

Soms is het voor het algemeen belang beter om software defecten aan te geven bij de producent van de software. Ik vind dat een veiligheidsdienst daar dus wel degelijk voor moet zorgen dan. Daar zijn ze ook voor toch?

Bovendien als deze mensen het kunnen vinden kunnen anderen (kwaadwillenden) dat ook. De softwareboer dan niet inlichten kan voor veel grotere problemen zorgen (CCfraude, ID theet, enz).

11supplier @Pathogen • 8 oktober 2014 12:20

Ze kunnen het nog steeds geheim houden. In het orginele artikel van WW staat.
"regering wordt gemaand een derde partij te laten beoordelen of zero-days moeten worden bekendgemaakt."

Zolang die derde partij niet gedefinieerd is, is het heel onduidelijk wat dit voor effect heeft. Het maakt natuurlijk nogal uit of die derde partij vergelijkbaar met BOF is of vergelijkbaar met Plasterk of kwetsbaarheden daadwerkelijk naar buiten komen.

Thystan @11supplier • 9 oktober 2014 13:13

Ordina?

ymmv 8 oktober 2014 12:03

Als de NL geheime dienst een bug in Windows gebruikt om burgers te bespioneren, dan kan diezelfde bug toch ook door anderen misbruikt worden? Is de BVD zo naief te denken dat ze de enige op de wereld zijn die het lek kennen? Door zo'n lek ongepatch te laten, kunnen ook NL overheidsdiensten, het leger, kerncentrales, etc etc etc door hackers in de hele wereld bespioneerd worden. Sterker nog, burgers in de hele wereld lopen risico.

Totaal onverantwoordelijke houding.

EgMaf @ymmv • 8 oktober 2014 12:09

Het interresseert de BVD helemaal niet of anderen dezelfde lekken ook misbruiken. Zolang de deur maar open blijft en zij erdoor kunnen.

Nog even, en het patchen van lekken wordt "staats-gevaarlijk" genoemd omdat je er ook de BVD (AIVD/MIVD/Bondgenoten) mee tegen werkt...!

[Reactie gewijzigd door EgMaf op 23 juli 2024 17:46]

mad_max234 8 oktober 2014 13:51

Ja hoor maak onze diensten nog maar makker. We hebben nu eenmaal van deze diensten en laten we ze dan ook volledig aanvaarden en vertrouwen tot tegendeel is bewezen en grijp dan in, gaan heus geen staatsgreep plegen of zo.

En als we nu in bananenrepubliek(of Rusland

) woonde waar overheid van onderaf aan corrupt is dan moet je dit soort diensten zeer wantrouwen, maar dat is totaal niet het geval.

En snap dat privacy er hoog staan bij ons, ook bij mij, en die zal ook gewoon gewaarborgd zijn bij dit soort diensten, gaan echt niet verkopen aan google of zo.

killercow @mad_max234 • 8 oktober 2014 13:58

Google is niet het gevaar, maar een overheid die alles van je weet is het gevaar, een overheid die best wat interesse heeft in zichtzelf de overheid houden.

Daarnaast, hebben we niet genoeg voorbeelden gezien van precies dit soort geheime diensten die overal en nergens toch wel alle regels overtraden en toch wel ongrondwettig gewone burgers bespioneren?

haha666413 8 oktober 2014 11:37

het in overweging nemen om de kwetsbaarheden te rapporteren is een zeer goede stap gezien veel hackers er ook achter kunnen komen en er dan misbruik van zullen maken
echter het openbaar maken is weer werk besparen voor die hackers dus een directe contact met de maker van de software zal op zijn plaats zijn nu alleen hopen dat ze dit zullen doen

Spookie 8 oktober 2014 12:40

Wat ik mij meteen afvraag bij het lezen van dit bericht..

1) Wie is dan de persoon die mag oordelen of het geheim mag(moet) blijven of niet?
2) Hoe gaan we dit controleren?

en is het daadwerkelijk zo dat de AIVD of soortgelijke instantie het eerder al wist?
en worden wij dan als persoon dan ook verplicht om dit soort zaken te melden?

Ergens ben ik van mening dat alle bugs gemeld moet worden, want als er een backdoor is dan het ook gebruikt wordt door hackers.. ik vraag me dan weer af hoe dat zit met de aansprakelijkheid..

Om dan een vergelijking te maken, bij een bedrijf wordt er creditcard gegevens wordt gestolen omdat 1 hacker en de AIVD van deze "backdoor" wist. Dan zal ik het wel kwalijk vinden als de AIVD al wist. De AIVD zit er toch ook voor onze veiligheid? dan vindt ik ook dit soort gegevens altijd openbaar moet worden.

Waarom zal de AIVD deze gegevens nodig moeten hebben? ze kunnen de gegevens van servers toch gewoon opvragen?

Thystan @Spookie • 9 oktober 2014 13:14

[cynisme]
Ik stem voor Ordina
[/cynisme]

Astrix 8 oktober 2014 12:51

Dat zogenaamd niet zelf bepalen is gewoon een wassen neus

, er is ook nog zoiets als 'wat niet weet, wat niet deert, Ze mogen niet zelf bepalen of ze ontdekkingen van zwakheden in software geheim mogen houden, maar ze zijn wel de instantie die dat mag/moet ontdekken. Binnen de geheime diensten zullen vast nog wel zaken, uit het heden en verleden, (nog) onder te pet zitten, waar de (huidige) politiek geen weet van heeft, of slechts bij een handje vol ingewijden in die zelfde politiek. En om de Eerste Kamer tevreden te houden,, strooien ze bij de geheime dienst, af en toe, met de nodige publiciteit, wat brokjes informatie, en komen af en toe met zogenaamde onthullingen, gewoon als zoet houdertje, Gewoon wat informatie dat operationeel gezien, echter voor de geheime dienst toch weinig van belang is..maar waarbij de geheime dienst natuurlijk de indruk zal wekken, het verstrekken van informatie met tegenzin te hebben gedaan.....kortom de geheime dienst speelt het (politieke)spel gewoon mee..

Verwijderd 8 oktober 2014 13:21

Geheimedienst een zero-day geheim houd oke... dat begrijp ik nog wel.

Ik vind het goed dat er nu 3de partij is ( of die betrouwbaar is weten we nog niet) die aan het eind het recht heeft om het naar buiten te brengen.

Maar er zullen dan altijd zero-day exploits toch geheim blijven. Mocht de geheimendienst een geheime zero-day hebben dat ze toch verplicht om een patch te ontwikkelen.
Mocht deze zero-day openbaar word. Dat er meteen maatregelen genomen kunnen worden..

Blijkt dat de geheimen dienst een zero-day exploit achter heeft gehouden . Dat deze dienst gestraft moet worden. Zo zul je zien dat ze dan ook geen patch gemaakt hebben en kunnen ze dus dubbel straffen !!!!!!

Er moeten brute maatregelen genomen worden en misschien wel de dood straffen gegeven worden. Mocht dit niet na geleefd worden.Ik zie het als massa moord met voor bedachte raden..

Astrix 8 oktober 2014 16:27

En snap dat privacy er hoog staan bij ons, ook bij mij, en die zal ook gewoon gewaarborgd zijn bij dit soort diensten, gaan echt niet verkopen aan google of zo.

Je privacy is gewaarborgd zo lang hét dergelijke diensten uitkomt, ofwel zolang er naar hun mening, geen aanleiding toe is om je privacy, om wélke reden dan óók, té moeten schenden. Maar echt gewaarborgd is je privacy bij dergelijke diensten nooit.

saroth 9 oktober 2014 09:38

Was er niet een wet aangenomen die verplicht om lekken te rapporteren?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (44)

Sorteer op:

Weergave: