Numrush

Fox-IT wil kwetsbaarheden in software delen met inlichtingendiensten

Als werknemer van beveiligingsbedrijf Fox-IT kom je tijdens onderzoek nog al eens onbekende kwetsbaarheden in software tegen. Het bedrijf wil die nu gaan delen met de politie en inlichtingendiensten, zegt directeur Ronald Prins tegenover RTL Z. Dit willen ze echter alleen doen als er een noodzaak voor is.

Over het gebruik van die onbekende kwetsbaarheden, zerodays, is al jaren een ethische discussie bezig in de wereld van digitale veiligheid. Wordt een zeroday geheim gehouden, dan kan er langer gebruik van worden gemaakt om een doelwit te hacken. Handig als je als opsporingsdienst de computer van een crimineel wil binnendringen.

Aan de andere kant kunnen criminelen op hun beurt de zerodays ook inzetten om te hacken, wat bijvoorbeeld gebeurde bij WannaCry. Daarbij werd gebruik gemaakt van een lek in Windows, waar de NSA naar verluidt al enige tijd van af wist. Critici zeggen dan ook dat het gevaarlijk is om de lekken geheim te houden.

Terrorisme

Werknemers van Fox-IT komen dit soort lekken regelmatig tegen, doordat ze bijvoorbeeld worden ingehuurd door bedrijven om hun beveiliging te testen. In sommige gevallen wil Prins de gevonden kwetsbaarheden delen met opsporingsdiensten, bijvoorbeeld als er een terroristische aanslag dreigt. Gedurende die tijd worden de lekken niet aan de verantwoordelijke partij gemeld. Doen ze dat wel, dan kunnen de opsporingsdiensten er geen gebruik meer van maken.

Het gros van de zerodays die Fox-IT vindt wordt direct bij de verantwoordelijke partij gemeld, zegt Prins. Prins benadrukt verder dat de zerodays niet verkocht worden aan derden. Dat gebeurt veel in de digitale wereld, omdat er veel geld mee te verdienen is. Vindt een hacker bijvoorbeeld een lek in het besturingssysteem iOS, dan kan diegene daar wel 1,5 miljoen dollar mee verdienen.

In Nederland mag de politie vooralsnog niet hacken. Daar gaat echter op de korte termijn verandering in komen. Naar verwachting neemt de Eerste Kamer na de zomer de wet Computercriminaliteit III aan, waardoor dat wel toegestaan wordt.

Smartphones hacken

Prins stelt verder dat hij opsporingsdiensten wil gaan helpen om in te breken in smartphones, mocht daar noodzaak voor zijn. Hier was eerder ook een groot debat over, nadat de FBI Apple vroeg om de iPhone van de terrorist die in San Bernardino veertien mensen vermoordde te kraken. Apple weigerde. Prins vindt dat onzin, vertelt hij: “Als je daarmee toegang krijgt tot een terroristisch netwerk, dan is dat zeer belangrijke informatie voor de opsporingsdiensten.”