Deze maand infecteerde de kwaadaardige internetworm WannaCry zo’n 200.000 computers. De worm kwam uit de kluis van een van de good guys, de veiligheidsdienst van de VS. Het laat zien dat het opsparen van veiligheidslekken een slecht idee is.
National Security Agency.
NSA/DonkeyHotey via CC BY 2.0De wereldwijde veiligheidsdiensten zijn verzamelaars. Naast grote hoeveelheden informatie over personen bewaren ze ook details over kwetsbaarheden in software. Ze speuren daar zelf naar, of kopen het van mensen die ze gevonden hebben. Zoiets gebeurde óók met MS17-010, een kwetsbaarheid in Windows waardoor onbevoegden kunnen inbreken op je computer.
Informatie over dit lek werd afgelopen april de wereld in geslingerd door Shadow Brokers, een club die hacktools publiceert. Hun bron was de Amerikaanse National Security Agency (NSA, slogan ‘Defending our Nation. Securing the Future’) die het al langer in de kluis had liggen als digitaal inbraakgereedschap.
Zo werd de WannaCry-ransomware geboren. Een programma dat gebruikmaakt van dit lek én dat bij toegang tot een computer bestanden versleutelt en ze pas weer vrijgeeft als de gebruiker driehonderd dollar aan bitcoins overmaakt.
Een kaart van de landen waar geïnfecteerde computers waren toen het virus net was uitgebroken.
Roke, wikimedia commonsOndanks een update van Microsoft in maart, die het veiligheidslek dicht, werden afgelopen weekend zo’n 200.000 computers geïnfecteerd. In Engeland sloten ziekenhuizen afdelingen omdat artsen niet meer bij de gegevens van hun patiënten konden. In Frankrijk legde Renault de productie van auto’s uit voorzorg stil. Verder werden computers onbruikbaar bij FedEx, Deutsche Bahn en het Nederlandse Q-Park.
Microsoft valt weinig te verwijten. Zij kwamen in maart al met een oplossing. Nu wijst de president van het bedrijf Brad Smith terecht met de vinger naar de mensen van de veiligheidsdienst. Volgens Smith moeten zij ophouden met het verzamelen van dergelijke hacktools. En daar hebben ze volledig gelijk in. Het bewust onder de pet houden van softwaregebreken is risicovol en doet de wereld uiteindelijk meer kwaad dan goed.
Hoger doel
Veiligheidsdiensten zoals de Amerikaanse NSA of de Nederlandse AIVD opereren in het belang van onze veiligheid. Zij voorkomen aanslagen in de echte én digitale wereld. Het is nu cru dat een van de meest succesvolle cyberaanvallen van de laatste tijd uit de trukendoos van een veiligheidsdienst zelf komt.
Kwetsbaarheden zouden zoveel mogelijk gemeld moeten worden aan de makers van de software. En niet opgespaard. Natuurlijk hebben de veiligheidsdiensten een ‘hoger doel’, net zoals ze mensen aftappen met een hoger doel. Maar zoals meestal heiligt ook hier het doel de middelen niet. Mensen zijn er persoonlijk de dupe van geworden, fabrieken vielen stil en ziekenhuizen sloten hun eerste hulp.
De populaire berichtenservice WhatsApp.
Jeso Carneiro via CC BY-NC 2.0Cryptografie
Er zijn parallellen met de discussie rondom het versleutelen van berichten. Neem het populaire WhatsApp dat berichten sinds een jaar standaard versleutelt. Veiligheidsdiensten zien dat maar al te graag verdwijnen. Na elke aanslag kun je wel een pleidooi vinden voor het afzwakken van cryptografische standaarden. Je zet hiermee de privacy van iedereen op het spel om die paar rotte appels te pakken. Ook bij het opsparen van beveiligingslekken is het belang van iedereen (veilige software) ondergeschikt aan het verzamelen van informatie.
En dat heeft grote consequenties, zo blijkt nu. Als de NSA het lek eerder had gemeld dan had Microsoft eerder kunnen updaten. En hadden er nu minder mensen naar een hangslot op hun beeldscherm gestaard.
Deze boodschap kregen mensen met geïnfecteerde computers te zien.
Wikimedia commons'%20fill='%23000'%3e%3cpath%20d='M1.28%2022.5c-.505%200-.826-.018-.862-.018a.44.44%200%2001-.238-.792l2.425-1.778A8.266%208.266%200%2001.326%2014.22c0-4.559%203.71-8.268%208.268-8.268a8.269%208.269%200%20018.087%206.556c.119.559.176%201.135.176%201.716%200%204.554-3.705%208.263-8.263%208.263-.907%200-1.804-.15-2.667-.44-1.782.392-3.608.458-4.646.458V22.5zM8.595%206.83c-4.075%200-7.388%203.313-7.388%207.388%200%202.055.867%204.03%202.376%205.416.097.088.15.216.14.348a.448.448%200%2001-.18.33L1.774%2021.61c1.06-.022%202.609-.119%204.083-.458a.468.468%200%2001.246.013%207.414%207.414%200%20002.49.432c4.07%200%207.384-3.314%207.384-7.384a7.385%207.385%200%2000-6.41-7.322%207.849%207.849%200%2000-.973-.06z'/%3e%3cpath%20d='M20.944%2013.102c-.775%200-2.139-.049-3.48-.34-.37.124-.758.216-1.154.27a.44.44%200%2001-.492-.344%207.395%207.395%200%2000-6.253-5.795.44.44%200%2001-.383-.462A6.287%206.287%200%200115.462.5c3.334%200%206.296%202.825%206.296%206.296%200%201.571-.594%203.09-1.65%204.242l1.711%201.254a.439.439%200%2001-.238.792c-.03%200-.263.013-.637.013v.005zm-3.507-1.237c.03%200%20.066%200%20.097.009.941.216%201.918.3%202.675.33l-1.034-.761a.448.448%200%2001-.18-.33.431.431%200%2001.14-.348%205.412%205.412%200%20001.743-3.969A5.421%205.421%200%200015.46%201.38a5.407%205.407%200%2000-5.363%204.708%208.275%208.275%200%20016.48%206.002c.243-.053.48-.12.71-.198a.428.428%200%2001.149-.027z'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='prefix__clip0_1886_150885'%3e%3cpath%20fill='%23fff'%20transform='translate(0%20.5)'%20d='M0%200h22v22H0z'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
Reageer