COLUMN - Vanwege een programmeerfout in de software waarop een groot deel van alle internetbeveiliging draait, konden onbevoegden twee jaar lang in het geniep allerlei gevoelige data uitlezen. In hoeverre er daadwerkelijk misbruik is gemaakt van de bug is vooralsnog onduidelijk, al zijn een aantal tot nu toe onverklaarde datalekken ineens een stuk begrijpelijker geworden.
Meteen na de bekendmaking van de bug (die Heartbleed is gedoopt) vroegen veel mensen zich logischerwijs af of ook de NSA er weet van had, en of zij de bug wellicht ten eigen bate hadden benut.
Het zou namelijk niet de eerste keer zijn dat de NSA een onbekende bug uitbaat. Al langer weten we dat de NSA, net als onze eigen AIVD waarschijnlijk doet, geregeld zogeheten zero day exploits koopt: bugs en lekken die nog niet bekend zijn bij de mensen die internet beveiligen, en waarvoor dus nog geen patches zijn. Vervolgens misbruiken ze die bugs om zelf her en der informatie op te halen.
Het wrange is dat de geheime diensten met ons belastinggeld informatie over lekken en gaten kopen, en daarmee investeren in dat lek. Ze hebben er vanaf dat moment immers geen enkel belang meer bij dat zo’n lek – dat ook u en mij kan treffen en ernstig kan benadelen – ooit nog wordt gerepareerd. Met publieke gelden financieren wij zodoende, o ironie, onze eigen kwetsbaarheid.
De vraag of de NSA wist van Heartbleed, is derhalve een vraag met een ingebouwde patstelling.
Immers, wanneer de NSA Heartbleed inderdaad heeft uitgebaat, zal zij dat nooit toegeven. Geheime diensten geven de buitenwereld zelden inzage in hun werkwijze, laat staan in de meer schimmige aspecten ervan. Die wetenschap maakt elke ontkenning hunnerzijds inherent discutabel, en dus: niet afdoende.
Mochten ze wel weet hebben gehad van Heartbleed, maar te netjes zijn geweest om zelf er misbruik van te maken, dan valt de organisatie te verwijten dat ze de rest van de wereld niet hebben gewaarschuwd. In dat geval is sprake van grove nalatigheid: honderdduizenden instanties en miljoenen webservers zijn dan doelbewust kwetsbaar gehouden.
En tenslotte: als de NSA oprecht niet van het bestaan van de bug afwist, is dat minstens even erg. Aannemelijk is dat anderen wél wisten hoe je met die bug ongemerkt informatie kon opdiepen; en dat betekent weer dat de NSA en aanverwanten zelf mogelijk slachtoffer van Heartbleed zijn geworden. Alweer: iets dat ze moeilijk kunnen toegeven.
Kortom, het is een rotzooitje.
Wat me het meest frappeerde in de discussie over Heartbleed, was de vanzelfsprekendheid waarmee de NSA verdacht werd van misbruik. Wanneer overheden zowat iedereen blijken af te luisteren, verliezen burgers kennelijk het vertrouwen in hun eigen overheid.
Deze column van Karin Spaink verscheen eerder in Het Parool.
Reacties (5)
Euh. Dat is toch juist een kwestie van vertrouwen? Het is de taak van de NSA om niet-Amerikanen af te luisteren en we hebben er met zijn allen het grootste vertrouwen in dat ze dat prima kunnen.
Hoe kon de NSA er geen weet van hebben?
Doordat onze veiligheidsdiensten op deze manier met beveiliging omgaan, maken ze van het hele internet een soort Wilde Westen van. Het word ieder voor zich.
Uiteindelijk krijg je dan een gigantische puinhoop. Overheden kunnen geen moreel beroep meer doen op de bevolking, want maken zelf misbruik van de situatie. Overheden onderling zullen elkaar nog minder vertrouwen. De burgers die weten hoe ze hun security aan moeten pakken kunnen hun systemen aardig dicht houden.
De rest blijft gewoon de klos. Zelf de lokale overheid kan dan niet meer de veiligheid garanderen.
Het wordt helemaal geen grotere puinhoop op internet. Door deze ontdekking (door Google) zal het internet juist steeds veiliger worden.
Kijk maar naar het probleem van het zogenaamde ‘session hijacking’ bij het gebruik van een normale http verbinding. Toen bekend werd dat het hierdoor kinderlijk eenvoudig is om bijvoorbeeld een Facebook of Google account over te nemen werd er massaal actie ondernomen. Sinds dien zijn veel websites veel beter beveiligd door middel van certificaten.
De bug in OpenSSL heeft er voor gezorgd dat iedereen weer alert is op het gebruik van veilige bibliotheken. Het zal voor de NSA dus steeds lastiger worden om af te tappen. Ze zijn namelijk afhankelijk van verborgen gebreken en hoe eerder die ontdekt worden hoe minder ze er gebruik van kunnen maken.
@0:
Dat kan en dat gebeurt. Daar is misschien wel wat voor te zeggen, maar dan zal toch eerst aan moeten worden getoond, dat die overheid het bedrijf, dat het programma gemaakt heeft, opdracht heeft gegeven die bug in het programma te maken. Ik zou zelf eerder het vertrouwen in een markt verliezen, waar onveilige producten gemaakt worden. Dat is niet de schuld van de overheid, maar van de markt.
Aan de andere kant: zo lang we er geheime diensten op na blijven houden, moeten we niet raar opkijken, dat die diensten ons in het geheim bespioneren. Dat is wel iets, waar ik de overheid minder vertrouw, maar dat is niet aan bugs op het internet gerelateerd. Dat is gewoon omdat we er geheime diensten op na houden.