In het wetsvoorstel aanpak computercriminaliteit krijgt de politie (en de AIVD) het recht om terug te hacken. Zij mogen actief 'inbreken' op PC's en smartphones, om zo bestanden in te kunnen zien, spyware te installeren, toetsaanslagen te bewaren, en telefoon of Skype gesprekken af te luisteren voordat ze versleuteld worden.
Eerde heb ik al geschreven over de schaduwkanten van dit voorstel. Dit recent Bloomberg artikel maakt nogmaals duidelijk dat een hackende overheid een gevaar is voor cybersecurity:
Microsoft Corp. (MSFT), the world’s largest software company, provides intelligence agencies with information about bugs in its popular software before it publicly releases a fix, according to two people familiar with the process. That information can be used to protect government computers and to access the computers of terrorists or military foes.
Redmond, Washington-based Microsoft (MSFT) and other software or Internet security companies have been aware that this type of early alert allowed the U.S. to exploit vulnerabilities in software sold to foreign governments, according to two U.S. officials.
Een hackende overheid heeft er geen enkel belang bij om dergelijke bugs zo snel mogelijk openbaar te maken. Sterker nog, hoe langer een patch uitblijft hoe beter het voor ze is.
We kunnen slechts speculeren over de vraag of de Amerikaanse overheid (en straks ook de Nederlandse overheid) Microsoft dwingt om zo lang mogelijk te wachten met het verspreiden van een patch via Microsoft Update...
Al die tijd zijn wij kwetsbaar. Terwijl het toch de taak van onze overheid is om ons te beschermen.
Voor wat het waard is: over de kwestie rondom kennis van kwetsbaarheid zijn (vanuit Defensie) ook uitspraken gedaan door kolonel Hans Folmer. In november 2012 [0]: “‘Als ik een zero-day heb is mijn tegenstander kwetsbaar, maar misschien gebruik ik, de BV Nederland, telecommaatschappijen of energiebedrijven, deze kwetsbare software ook.’ En dat is volgens Folmer een dilemma. ‘Moet ik de zero-day voor mezelf houden zodat andere systemen kwetsbaar zijn, of opgeven zodat de leverancier de software kan patchen, zodat ook andere afdelingen of sectoren veilig zijn. Daar zijn we nog niet over uit.’”. In januari 2013 [1]: “Hoe kijkt u op de kritiek dat het maken van cyberwapens onze eigen veiligheid schaadt, aangezien zo’n wapen kennis vereist over kwetsbaarheden die je omwille van inzetbaarheid van het wapen geheim moet houden?” Antwoord van Folmer: “Er heeft laatst een stukje op security.nl gestaan over hoe ik daarover denk: het is een dilemma en we zijn er nog niet uit. Het is een feit, als jij een kwetsbaarheid in handen hebt die ook een kwetsbaarheid oplevert voor je eigen software of de digitale systemen in je eigen land, dan heb je een dilemma. En dan zal je van geval tot geval moeten bekijken wat je daarmee doet. Dat is écht een uitdaging. Maar, uiteindelijk, prioriteit is verdedigen, is beschermen. Dus misschien is het niet eens zo’n ontzettend groot dilemma.” Aan losse citaten moet natuurlijk niet te veel belang worden gehecht, maar zelf ben ik wel benieuwd hoe die laatste zin (“Dus misschien is het niet eens zo’n ontzettend groot dilemma”) in werkelijkheid uitpakt.
[0] https://www.security.nl/artikel/43762/Zero-day-lekken_zetten_Defensie_voor_dilemma.html [1] http://www.madison-gurkha.com/press/UPDATE_MG_jan_2013.pdf