Je leest:

Onverantwoord: veiligheidsdiensten sparen lekken op

Onverantwoord: veiligheidsdiensten sparen lekken op

Deze maand infecteerde de kwaadaardige internetworm WannaCry zo’n 200.000 computers. De worm kwam uit de kluis van een van de good guys, de veiligheidsdienst van de VS. Het laat zien dat het opsparen van veiligheidslekken een slecht idee is.

Dit is een redactioneel en het weerspiegelt de mening of visie van de redacteur. Hoewel wetenschappelijk onderbouwd en beargumenteerd, is het een persoonlijke mening en geen wetenschappelijk feit. Ben je het (niet) eens met de auteur? Geef dan vooral ook een reactie hieronder.

De wereldwijde veiligheidsdiensten zijn verzamelaars. Naast grote hoeveelheden informatie over personen bewaren ze ook details over kwetsbaarheden in software. Ze speuren daar zelf naar, of kopen het van mensen die ze gevonden hebben. Zoiets gebeurde óók met MS17-010, een kwetsbaarheid in Windows waardoor onbevoegden kunnen inbreken op je computer.

Informatie over dit lek werd afgelopen april de wereld in geslingerd door Shadow Brokers, een club die hacktools publiceert. Hun bron was de Amerikaanse National Security Agency (NSA, slogan ‘Defending our Nation. Securing the Future’) die het al langer in de kluis had liggen als digitaal inbraakgereedschap.

Zo werd de WannaCry-ransomware geboren. Een programma dat gebruikmaakt van dit lek én dat bij toegang tot een computer bestanden versleutelt en ze pas weer vrijgeeft als de gebruiker driehonderd dollar aan bitcoins overmaakt.

Countries initially affected in wannacry ransomware attack
Een kaart van de landen waar geïnfecteerde computers waren toen het virus net was uitgebroken.

Ondanks een update van Microsoft in maart, die het veiligheidslek dicht, werden afgelopen weekend zo’n 200.000 computers geïnfecteerd. In Engeland sloten ziekenhuizen afdelingen omdat artsen niet meer bij de gegevens van hun patiënten konden. In Frankrijk legde Renault de productie van auto’s uit voorzorg stil. Verder werden computers onbruikbaar bij FedEx, Deutsche Bahn en het Nederlandse Q-Park.

Microsoft valt weinig te verwijten. Zij kwamen in maart al met een oplossing. Nu wijst de president van het bedrijf Brad Smith terecht met de vinger naar de mensen van de veiligheidsdienst. Volgens Smith moeten zij ophouden met het verzamelen van dergelijke hacktools. En daar hebben ze volledig gelijk in. Het bewust onder de pet houden van softwaregebreken is risicovol en doet de wereld uiteindelijk meer kwaad dan goed.

Hoger doel

Veiligheidsdiensten zoals de Amerikaanse NSA of de Nederlandse AIVD opereren in het belang van onze veiligheid. Zij voorkomen aanslagen in de echte én digitale wereld. Het is nu cru dat een van de meest succesvolle cyberaanvallen van de laatste tijd uit de trukendoos van een veiligheidsdienst zelf komt.

Kwetsbaarheden zouden zoveel mogelijk gemeld moeten worden aan de makers van de software. En niet opgespaard. Natuurlijk hebben de veiligheidsdiensten een ‘hoger doel’, net zoals ze mensen aftappen met een hoger doel. Maar zoals meestal heiligt ook hier het doel de middelen niet. Mensen zijn er persoonlijk de dupe van geworden, fabrieken vielen stil en ziekenhuizen sloten hun eerste hulp.

Cryptografie

Er zijn parallellen met de discussie rondom het versleutelen van berichten. Neem het populaire WhatsApp dat berichten sinds een jaar standaard versleutelt. Veiligheidsdiensten zien dat maar al te graag verdwijnen. Na elke aanslag kun je wel een pleidooi vinden voor het afzwakken van cryptografische standaarden. Je zet hiermee de privacy van iedereen op het spel om die paar rotte appels te pakken. Ook bij het opsparen van beveiligingslekken is het belang van iedereen (veilige software) ondergeschikt aan het verzamelen van informatie.

En dat heeft grote consequenties, zo blijkt nu. Als de NSA het lek eerder had gemeld dan had Microsoft eerder kunnen updaten. En hadden er nu minder mensen naar een hangslot op hun beeldscherm gestaard.

Wana decrypt0r screenshot
Deze boodschap kregen mensen met geïnfecteerde computers te zien.
Dit artikel is een publicatie van NEMO Kennislink.
© NEMO Kennislink, sommige rechten voorbehouden
Dit artikel publiceerde NEMO Kennislink op 19 mei 2017

Discussieer mee

0

Vragen, opmerkingen of bijdragen over dit artikel of het onderwerp? Neem deel aan de discussie.

LEES EN DRAAG BIJ AAN DE DISCUSSIE