Schijnveilig

COLUMN - Er is een hoogst curieuze veiling gaande: een groep hackers, de ShadowBrokers, slijt publiekelijk een roedel zogeheten zero-day exploits aan de hoogstbiedende. Zero-day exploits zijn beveiligingsgaten die nog niet zijn gepubliceerd en waar de betrokken software- of hardware-fabrikant geen weet van heeft, zodat ze geen verweer tegen de bewuste kwetsbaarheid hebben kunnen ontwerpen.

Het effect? Iedereen die zulke hardware of software gebruikt, kan worden gehackt door deskundigen – of door groepjes die zulke exploits verzamelen en heimelijk aan elkaar doorgeven – met mogelijk grote gevolgen. De fabrikant heeft niet door dat zijn product lek is, de klant weet niet dat zijn gegevens geoogst kunnen worden door kwaadwillenden. Beiden denken hun zaakjes op orde te hebben, maar verkeren in schijnveiligheid.

We weten al langer dat de NSA, de Amerikaanse afluisterdienst, dergelijke zero-day exploits verzamelt. De NSA zet zelfs deskundigen in om die als eerste op te sporen, teneinde ze later naar eigen goeddunken te gebruiken tegen mogelijk verdachte organisaties.

De NSA is terdege bekritiseerd om deze praktijk. Door gevonden exploits niet te publiceren, zoals serieuze veiligheidsexperts doen, maar ze te eigen bate geheim te houden, verzwakken ze uiteindelijk ieders veiligheid. Want welke zekerheid hebben we dat andere, minder nette clubjes, diezelfde exploits niet ook hebben gevonden? Vergroot het onze veiligheid wanneer de NSA denkt dat zij als enige dergelijke exploits heeft gevonden en die secuur kan beheren? Is het niet beter om zulke exploits bekend te maken, opdat ieders algemene veiligheid wordt verbeterd?

De NSA denkt: als wij zulke lekken niet bekend maken, kunnen alleen wij ze heimelijk inzetten.

Deze veiling maakt korte metten met dat idee. De ShadowBrokers hebben ergens in 2013 digitaal ingebroken bij de NSA en zijn er vandoor gegaan met het hele toenmalige pakket aan zero-day exploits. En die verkopen ze nu aan de hoogste bieder. Aan de hand van het lokkertje dat de ShadowBrokers vorige week publiceerden om bieders over de streep te halen, hebben diverse beveiligingsexperts inmiddels bevestigd dat de verkopers een set authentieke zero-day exploits in handen hebben, en dat die inderdaad van de NSA afkomstig moet zijn.

Je wil er niet aan denken dat ISIS, of een andere terreurorganisatie, straks de hoogste bieder blijkt te zijn, en dan dat akelige pakket aan exploits in handen krijgt.

Wat te doen?

De slimste optie: de NSA gedraagt zich per direct als een verantwoordelijk beveiliger, meldt alle ooit gevonden beveiligingslekken alsnog bij de betreffende fabrikanten, wacht tot die een patch hebben uitgebracht, en publiceert dan het lek. Dat ondermijnt de veiling van ShadowBrokers finaal en maakt iedereen op slag veiliger.

Maar de kans dat de NSA voor die optie kiest, is klein. Om ons te beveiligen, hebben ze liever dat wij kwetsbaar blijven.

Deze column van Karin Spaink verscheen eerder in Het Parool.

  1. 1

    Er is maar 1 partij sterk genoeg om de NSA te hacken en dat is de FSB, dat ze dit bekend maken is onderdeel van Putins machtspelletje. De informatie die ze hebben is ook niet het belangrijkste, anders zouden ze dit wel voor zich zelf houden. Betaald willen ze niet eens worden, want dan traceert NSA uiteindelijk waar het geld heen gaat, aan ISIS verkopen ze ook niet, het is puur propaganda.

    Ga er maar gerust van uit dat de top 25 veiligheidsdiensten fluitend je hele computer kunnen bekijken, niet alleen NSA en FSB, wat voor beveiligingssoftware je ook hebt.

  2. 2

    @1:

    Er is maar 1 partij sterk genoeg om de NSA te hacken en dat is de FSB

    Vergeet de chinezen niet en de FSB en de Chinezen zijn ook echt niet de enige groepen die het kunnen, dat is het ‘mooie’ aan inbreken via de computer, het kost feitelijk geen drol, je hebt alleen een computer, internet en slimme mensen nodig, en die vind je overal ter wereld, niet alleen in de VS, Rusland of China.

  3. 4

    De titel was sterker geweest met een kleine toevoeging: Schijnveili(n)g. Als je de link over de “veiling” leest, zul je zien dat het maar de vraag is óf er wel iets geveild wordt. Het is in ieder geval geen traditionele veiling; Iedereen is zijn bod, dat meteen betaald moet worden in bitcoin kwijt, ongeacht of het het hoogste bod is en er is geen wijze om na te gaan of je bod het hoogste bod is. Voor het zelfde geld is het gewoon pure oplichterij.

  4. 5

    @0: “De slimste optie”

    Die optie valt om meerdere redenen af, al was het maar omdat de NSA dan geen reden meer heeft om exploits te gaan zoeken. De slimste optie is waarschijnlijk eerder iets als: weg met internet voor alles wat niet publiek mag zijn. Bankrekeningen? Offline. Aansturing van waterpompen? Offline. De krant en YouTube, die mag je houden.

  5. 6

    En waar in dit verhaal ligt de verantwoordelijkheid van de fabrikant? Menig producent is meer geinteresseerd in de centen dan in het produceren van veilige en uitvoerig geteste producten. Het lijkt me dat daar nog eerder een verantwoordelijkheid ligt dan bij de veiligheidsdiensten of hoe we die lui vandaag de dag maar noemen.