WannaCry baby dankzij onze veiligheidsdienst

COLUMN - Grootste hackaanval ever leert: Wie is het meest dodelijk voor onze computerveiligheid? De mensen die ons moeten beschermen.

Grootste hackaanval aller tijden

Wat is WannaCry? Een mailtje probeert je te verleiden om op een link te klikken. Doe je dat per ongeluk, dan versleutelt deze ransomsoftware je complete computer en al je bestanden. De daders willen je afpersen. Als je ze niet betaalt kun je er nooit meer bij.

Ziekenhuizen wiens medische apparatuur ineens niet meer werkt, en die bij geen enkel medisch bestand meer kunnen. Operaties die stilgelegd worden, levens die in gevaar komen. Tweehonderddertigduizend andere instellingen, bedrijven en mensen in 99 landen die de sjaak zijn door de ransomware.

Dat is wat er sinds gister gebeurt.

Wie maakte WannaCry?

Achter WannaCry zitten een stel criminelen. Ik zie her en der wat conspiracytheorieën opduiken, over dat er een overheid achter zou zitten, maar dat is niet logisch. Er zijn in de hele wereld systemen platgelegd, en waarom zou je als overheid wat lullige bitcoins van mensen aftroggelen en bestanden weer vrij geven als ze betalen? Nee, afpersing is gewoon een criminele daad, geen overheidsmethodiek.

Maar: de oorsprong van WannaCry ligt wel degelijk bij de overheid. We hebben het te danken aan de Amerikaanse geheime dienst NSA.

WannaCry is gebaseerd op de EternalBlue exploit, een kwetsbaarheid in Windows. In maart lekte die kwetsbaarheid uit via de hackersgroep Shadowbrokers, die deze en andere cyberwapens bij de NSA hadden gevonden en probeerden te veilen aan de hoogste bieder.

De NSA had de kwetsbaarheid ontdekt, maar geheim gehouden, omdat het wel lekker handig was. Konden ze lekker bij veel Amerikanen en mensen overal ter wereld in hun computer. Rondkijken, dingen veranderen eventueel. Kijken wat je plannen en geheimen zijn, of je luddevedu hebt, als je geen Amerikaans bedrijf bent je bedrijfsgeheimen stelen en aan Amerikaanse bedrijven geven, of bijvoorbeeld kinderporno op je computer zetten en dan daarna een inval doen.

Bijna al die daden van de Amerikaanse geheime diensten zijn nog legaal ook. Een klein deel mag eigenlijk niet (vooral niet bij Amerikanen: met Nederlanders en alle andere mensen buiten de VS mag de NSA vrijwel doen wat ze wil). Maar legaal of niet maakt de NSA weinig uit. Sinds Snowden weten we wat er kan en wat er dagelijks, ongeacht de wet, op enorme schaal gebeurt.

Precies wat de Nederlandse politie nu ook kan, en grotendeels mag. Met dank aan de Hackwet, waarover zo meer.

De NSA heeft de achterdeur die door WannaCry gebruikt wordt, vrijwel zeker zelf ontwikkeld. En gedeeld met CIA, het Britse GCHQ en wellicht ook met diensten als de Mossad en de überprofessionele Nederlandse AIVD.

WannaCry is intussen tot staan gebracht, in elk geval voor het moment. Hoewel er geen ‘medicijn’ voor het virus is voor computers die al zijn geïnfecteerd, ontdekte een 22-jarige onderzoeker per toeval hoe hij verdere verspreiding tijdelijk uit kon zetten. Dat de veiligheidsdiensten daar niet bij hebben geholpen, terwijl ze het probleem wel hebben gecreëerd, is het zoveelste feit waar je mond van openvalt.

Lekker veilig met de veiligheidsdienst

Het is niet eens de eerste keer dat de geheime dienst een enorm gevaar vormt voor ieders veiligheid. Onder George Bush werd in een Amerikaans-Israëlische samenwerking Stuxnet ontwikkeld en op de wereld losgelaten. Dat zeer geavanceerde virus moest Iraanse nucleaire centrifuges aanvallen, door (jawel) ongelukken met nucleair materiaal te triggeren. Rapporten bevestigen dat ongeveer een vijfde van de Iraanse kerncentrifuges daadwerkelijk is uitgeschakeld door het virus.

Ook Stuxnet werd ontwikkeld op basis van (vijf) onbekende kwetsbaarheden die de ‘veiligheids’diensten geheim hielden voor burgers en bedrijven, en doorontwikkelden tot software die hen direct in gevaar bracht.

Na de aanval op Iraanse kerncentrales is het virus in verschillende vormen door zowel criminelen als spionnen nog vaak gebruikt op overheden, gewone burgers en bedrijven in de hele wereld, met dank aan de westerse geheime diensten voor de productontwikkeling.

Hackwet: WannaCry II dankzij Nederlandse politie?

En terwijl iedereen cry baby over WannaCry doet, heeft onze meer dan fantastische Tweede Kamer een paar maanden geleden nog vóór de Hackwet gestemd.

Daardoor mag de Nederlandse politie voortaan ongeveer hetzelfde als de CIA en NSA. Ze mogen hacksoftware en dus eigenlijk onbekende kwetsbaarheden kopen of zelf ontwikkelen, waarmee ze de computer, telefoon, auto en zelfs pacemaker van verdachten mogen hacken.

De Hackwet zit vol schijnzekerheden.

Zo moet de politie nadat ze klaar zijn met gebruik (wanneer is dat eigenlijk?) kwetsbaarheden melden bij softwarefabrikanten. Maar dat hoeft dan weer niet, als het van de rechter-commissaris niet hoeft. En een onafhankelijke commissie van toezicht op de opsporingsdiensten komt er niet.

Terwijl er intussen geen enkele expert is die begrijpt hoe de wereld überhaupt veiliger wordt door meer onveiligheid te creëren en in stand te houden. We geven nu dezelfde organisatie de opdracht om ons én te beschermen tegen hacken, én nieuwe manieren van hacken te ontwikkelen. En terwijl we die dienst vragen om kwetsbaarheden ‘na gebruik’ te melden, zonder controle of ze dat ook doen, bouwen we de prikkel in om dat vooral niet te doen.

De bewakers van onze veiligheid zijn dodelijk voor onze veiligheid.

De Nederlandse Tweede Kamer heeft een paar maanden geleden dus ja gezegd tegen de Hackwet, en daarmee de deur open gezet voor meer aanvallen zoals WannaCry of Stuxnet, nu ook gefaciliteerd door de Nederlandse politie.

Het leek de Tweede Kamer overigens ook wel een goed idee als de overheid voortaan massaal onverdachte burgers kan afluisteren, en die gegevens onbeperkt kan delen met geheime diensten van bevriende mogendheden, zoals die van Trump, Erdogan of Netanyahu.

De vraag is wat de Eerste Kamer gaat doen. Want die mag er nog wat over zeggen.

Heeft men daar nog wel verstand, of is dat ook al gehackt?

Dit blog verscheen eerder op Bas’ eigen blog Grutjes!

Foto: Kyle Flood [CC BY-SA 2.0 (http://creativecommons.org/licenses/by-sa/2.0)], via Wikimedia Commons

  1. 2

    Een belangrijke kanttekening is dat (voor zover ik weet) nadat deze NSA exploits per ongeluk in het publieke domein terecht kwamen software fabrikanten als Microsoft wel degelijk het lek hebben gedicht. De getroffen netwerken waren dan ook gewoon niet geupdate en onvoldoende beveiligd. Dit lijkt me evengoed een probleem wanneer veiligheidsdiensten niet kwetsbaarheden mogen kopen of ontwikkelen.

  2. 3

    Het is niet alsof er louter zulthoofden bij de NSA e/o NCSC(UK) werken: ik weet zeker dat er morgen op een aantal plekken mensen met een zekere aarzeling naar hun werk zullen gaan. En niet omdat ze denken dat hun computer niet meer zal werken.

  3. 4

    Grootste hackaanval aller tijden
    Bron? Zijn volgens mij zat virussen die meer dan 200.000 pc’s besmet hebben…

    Dit is trouwens ook gewoon een virus, het zijn geen aanvallen, ze zijn niet gericht en worden door niemand gepleegd… (behalve dat natuurlijk wel iemand het virus heeft geschreven)

  4. 5

    @2: Als de NSA bij de ontdekking dit lek aan MS had gemeld, was het al veel eerder gedicht en was er meer tijd geweest om te patchen voor het misbruik ervan zich verspreid had onder criminelen. Dit is echt een voorbeeld van veiligheidsdiensten versus veiligheid.

    Ik hoop dat de Eerste Kamer inmiddels wakker is geschud.

  5. 6

    @5: ik help je hopen maar ik vrees dat Rutte genoeg klein grut spiegeltjes heeft om genoeg kleine partijen te paaien in de Eerste kamer….

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

| Registreren