Softwarelekken: de duivelse dillema’s voor veiligheidsdiensten

Als criminelen en spionnen fouten in software gebruiken om ons geld en onze informatie te stelen dan keuren we dat unaniem af. Maar wat als onze eigen spionnen en militairen dat doen? Keuren we het dan ook af? Dit zijn tenslotte the good guys. Moeten zij fouten in software niet gewoon melden aan de maker, zodat die het probleem kan verhelpen? Minder fouten in software maakt ons immers veiliger.

“softwarelekken, de duivelse dillema's voor veiligheidsdiensten. Interessant opiniestuk CRO @foxit voor @nrclive”
Tweet this!

Software vol fouten

Alle software zit vol met fouten en de meeste daarvan zijn niet ernstig. Maar sommige zijn zo ernstig dat iemand die er slim gebruik van maakt, kan inbreken op de computer van een ander zonder dat die daar iets van merkt. Van deze fouten maken criminelen en spionnen gebruik om via internet geld en informatie te stelen. Ook van de Nederlandse overheid, van Nederlandse bedrijven en van Nederlandse burgers. Minder fouten in software maakt onze systemen veiliger. Dit wordt urgenter naarmate onze maatschappij afhankelijker wordt van ICT en het niet meer alleen over geld en informatie gaat, maar over mensenlevens.

Minder fouten in software maakt onze systemen veiliger

Zero Day

Veel aanvallen maken gebruik van fouten die allang verholpen zijn. Dat kan, omdat gebruikers van software vaak niet de meest recente updates hebben geïnstalleerd. De kans op succes wordt natuurlijk groter als je gebruik maakt van een fout die niemand anders kent en waar nog geen oplossing voor is. De programmacode om gebruik te maken van een fout die nog niet bekend is, noemen we in jargon een zero day.

De programmacode om gebruik te maken van een fout die nog niet bekend is, noemen we in jargon een zero day.

Een afweging of de inzet van zero days ethisch gerechtvaardigd is – en onder welke voorwaarden – moet mijn inziens minimaal gebaseerd zijn op de volgende twee factoren: de specificiteit van de zero day en de aard van de dreiging waartegen de zero day wordt ingezet, met name de urgentie en potentiële impact.

Eternalblue

Een zero day genaamd “Eternalblue” is eerder dit jaar gepubliceerd op internet door een hackergroep. Algemeen wordt aangenomen dat deze zero day was gestolen van de Amerikaanse NSA. EternalBlue was niet specifiek en kon ingezet worden tegen meerdere versies van Windows: van Windows XP tot Windows Server 2016, dus bij het merendeel van de bedrijven, overheden en internetgebruikende burgers over de hele wereld. Een oplossing voor deze fout zou honderden miljoenen systemen veiliger maken.

We zullen nooit weten of Eternalblue ooit is ingezet voor een acute dreiging met grote impact. Wel weten we met redelijke zekerheid dat de NSA minimaal zes jaar de beschikking heeft gehad over Eternalblue.

Ethische keuzes bij softwarelekken

In deze periode had NSA ook de keuze kunnen maken om de fout te laten verhelpen door Microsoft in plaats van er zelf over te beschikken. Ook hem achter de hand houden voor het geval hij nuttig is bij een acute dreiging van grote impact of hem regelmatig gebruiken bij uiteenlopende dreigingen weegt vrijwel nooit op tegen het veiliger maken van miljoenen systemen. Vergeet niet dat ook onze tegenstanders 15 jaar de tijd hebben gehad om deze fout te vinden en te gebruiken voordat hij publiek werd. Of dat ook is gebeurd, zullen we waarschijnlijk nooit weten.

Vergeet niet dat ook onze tegenstanders 15 jaar de tijd hebben gehad om deze fout te vinden en te gebruiken voordat hij publiek werd.

Mijn tweede voorbeeld is kort en theoretisch: stel dat er een dreiging is in Nederland en als inlichtingendienst weet je dat een specifieke zero day een doorbraak in je onderzoek kan betekenen? Ik vind de inzet van zo’n zero day in bepaalde gevallen ethisch verantwoord. Gevallen waarin de dreiging acuut is en de impact substantieel: het gaat om mensenlevens, zaken van leven of dood. En aan die inzet zitten dan wel voorwaarden: de fout moet, zodra de specifieke dreiging is afgewend, worden gemeld aan de softwaremaker zodat die het probleem kan verhelpen en daarmee de weerbaarheid van anderen verhogen. Die voorwaarde is harder naarmate de zero day generieker is.

Minder fouten, minder problemen

In de praktijk heb ik geen directe invloed op de wijze waarop inlichtingendiensten omgaan met zero days. Maar ik heb wel invloed op de wijze waarop mijn werkgever hiermee omgaat.

Fouten in software moeten gemeld worden aan de maker van de software zodat die de fout kan verhelpen. Minder fouten in software leidt tot minder problemen: minder datalekken, minder identiteitsfraude, minder spionage en minder diefstal. En uiteindelijk, naarmate onze maatschappij afhankelijker wordt van ICT, minder doden.

Fouten in software moeten gemeld worden aan de maker van de software zodat die de fout kan verhelpen.

Mijns inziens is het slechts in hele specifieke gevallen gerechtvaardigd om hiervan af te wijken. En voor een commerciële partij is het dus slechts in heel specifieke gevallen en met specifieke voorwaarden gerechtvaardigd om hieraan mee te werken. Dat is ook het advies dat ik mijn werkgever, Fox-IT, geef, vanuit mijn rol als lid van de ethische commissie, en in lijn met het bestaande MVO-beleid.


Erik, Chief Research Officer bij Fox -IT, is een security professional met 20 jaar ervaring op het gebied van informatiebeveiliging. In zijn huidige functie geeft hij het onderzoek naar de trends in dreiging, incident en kwetsbaarheid vorm. Daarvoor was hij verantwoordelijk voor het Fox-IT security research team: de jacht naar, en het toepassen van intelligentie. Eerder heeft Erik functies bekleed als incident handler en veiligheidsadviseur voor de Nederlandse National Cyber ​​Security Center. Daar was hij projectleider voor de Cybersecuritybeeld Nederland en heeft hij meegeschreven aan de eerste editie in 2011. Zijn eerste stappen in de wereld van security vonden plaats bij McAfee, pre-2000 en pre-ILOVEYOU.


Cyberinsecurity 2017

Cybercriminelen die mensen hacken: wat kunnen we er tegen doen? Laat je volledig informeren door vele andere topsprekers op 28 september 2017 tijdens hét Cybersecurity event van NRC Live.

Bekijk het programma

Blijf op de hoogte!

Blijf op de hoogte!

Wil je op de hoogte blijven van toekomstige NRC Live events? Schrijf je dan in voor onze nieuwsbrief!

Suggesties voor een spreker?

Suggesties voor een spreker?

Ken jij iemand die goed zou kunnen spreken op een van onze events? Stel dan een spreker aan ons voor!