Tech

Het nieuwe digitale goud: de booming business van softwarelekken

Daniël Verlaan • 26 augustus 2016 14:45 @danielverlaan

Beeld © Getty

Als paddenstoelen schieten ze uit de grond: geheimzinnige bedrijven die hackers betalen voor ontdekte softwarelekken - ook wel zerodays genoemd. Hun klantenkring bestaat uit overheden en soms criminele organisaties, die de kwetsbaarheden misbruiken om in te breken op telefoons. Het nieuwe digitale goud is de zeroday, en dat is slecht nieuws voor de gebruikers.

In augustus van dit jaar kreeg mensenrechtenactivist Ahmed Mansoor een vreemd sms'je binnen. In het bericht werd hem 'geheimen over gevangenen die werden gemarteld in gevangenissen in de Verenigde Arabische Emiraten' beloofd. Hij hoefde alleen op een link te klikken, die leidde naar een valse site van het Rode Kruis.

Als Mansoor op de link had gedrukt, waren al zijn telefoongesprekken, camerabeelden en WhatsApp'jes te zien voor de organisatie die de link had verstuurd: waarschijnlijk een overheid die hem in de gaten wil houden. Mansoor is op zijn hoede: hij was al twee keer eerder een doelwit van spionage.

In plaats van op de link te drukken, verzond hij het bericht naar onderzoekslab Citizen Lab. Zij concluderen dat een aanvaller Mansoor voor de derde keer probeerde te hacken. Dat gebeurt via zerodays: kwetsbaarheden in software die nog niet bij de maker bekend zijn.

Zo worden zerodays misbruikt

Mansoor ontving een link die leidde volgens beveiligingsbedrijf Lookout naar een webpagina met drie zogenoemde exploits: stukjes software die misbruik maken van zerodays. De eerste exploit wordt geladen zodra er op de link wordt geklikt en nestelt zich in een lek in het geheugen van de Safari-browser. Hierdoor kunnen de andere twee exploits op de iPhone worden gedownload.

De volgende exploit maakt misbruik van een lek in het geheugen, waardoor de kernel - het technologisch centrum van de iPhone - wordt gevonden. Dan wordt de laatste exploit binnen de kernel uitgevoerd, die de aanvaller volledige toegang tot de telefoon geeft. Het hacken gebeurt binnen enkele seconden en het doelwit heeft niet door dat zijn telefoon is overgenomen.

Door exploits en zerodays aan elkaar te koppelen, kun je relatief eenvoudig - met klikken op een linkje - een apparaat overnemen. Dat is interessant voor opsporingsdiensten en criminele organisaties, die grof geld betalen voor dit soort technieken. Dat is niet onopgemerkt gebleven: steeds meer bedrijven specialiseren zich in het vinden van zerodays in veelgebruikte software.

De booming business van zerodays

De handel in zerodays is booming business sinds de smartphone het belangrijkste apparaat is geworden. Eén van die bedrijven is het Amerikaanse Zerodium, dat hackers tot één miljoen dollar betaalt voor een gevonden zeroday. Zerodium bouwt een exploit om die zeroday te misbruiken, die het weer doorverkoopt aan overheden. Ze zijn dus eigenlijk een leverancier van internetwapens. 

De link die naar Mansoor is verstuurd, is volgens Citizen Lab gestuurd door het Israëlische NSO Group - ook wel een 'cyberwapendealer' genoemd. NSO Group is opgericht in 2010 en staat bekend om Pegasus: de tool die misbruik maakte van bovengenoemde drie zerodays. Het bedrijf biedt soortgelijke hacktools ook aan voor Android en BlackBerry.

Thumbnail

Omri Lavie is medeoprichter van NSO Group

NSO Group is niet de eerste partij waarvan duidelijk wordt dat ze zerodays misbruiken om in te breken bij apparaten. Zo lekten deze maand verschillende zerodays uit van de Amerikaanse geheime dienst NSA, die volgens geruchten zijn gepubliceerd door de Russen.

Ook het Italiaanse Hacking Team is een bekende speler, die met hun FinFisher-tools malware op telefoons installeerde om het apparaat af te luisteren. Vorig jaar werd Hacking Team zelf slachtoffer van een hack, waardoor al hun klanten en software op straat kwamen te liggen.

Verkoop aan totalitaire regimes

De klantenkringen van dit soort bedrijven zijn op zijn zachts gezegd dubieus. Zo verkocht Hacking Team aan totalitaire regimes als Rusland, Bahrein en Saoedi-Arabië. Zij gebruikten FinFisher om tegenstanders van het regime te bespioneren. Ook de VS en Italië waren klant.

Citizen Lab meldt dat NSO Group zijn tool Pegasus onder andere aan de Mexicaanse overheid heeft verkocht, die daarmee een Mexicaanse onderzoeksjournalist probeerde te bespioneren. Volgens het onderzoekslab is Pegasus al twee jaar op de markt en zijn er tienduizenden iPhones mee bespioneerd.

In 2014 sloten 41 landen het Wassenaar Arrangement dat onder andere de verkoop van hacktools aan dictatoriale regimes verbiedt. Naast Nederland maakt ook Italië deel uit van de 41 landen, maar ondanks de overeenkomst verkocht Hacking Team wel degelijk aan dergelijke regimes. Inmiddels heeft de Italiaanse overheid Hacking Team verboden om hun producten buiten de EU te verkopen.

Ook Nederland is klant

Ook de Nederlandse overheid is klant bij dit soort bedrijven. Zo gebruikt de Nederlandse politie apparaten van Cellebrite, dat net als NSO Group uit Israël komt. Met deze apparaten kunnen ze onder andere in beslag genomen BlackBerry-telefoons kraken. Het is niet bekend of Nederland ook klant is van NSO Group.

Thumbnail

Met het Cellebrite-programma kunnen in beslag genomen telefoons worden gekraakt

In 2015 zijn er al door verschillende Kamerleden vragen gesteld over het gebruik van zerodays door de Nederlandse opsporingsdiensten, maar minister Hennis (Defensie) wilde toen niet op reageren om de 'operationele veiligheid' niet in het geding te brengen. Het officiële standpunt van het kabinet omtrent het gebruik en de inkoop van zerodays is nog niet bekendgemaakt.

Op dit moment mogen de AIVD en militaire variant MIVD gebruikmaken van zerodays om op afstand bij doelwitten in te breken. De politie wil dit op termijn ook kunnen, waar de conceptwet Computercriminaliteit III voor moet zorgen. Als de nieuwe versie van deze conceptwet wordt uitgebracht, is de verwachting dat het kabinet ook een officieel standpunt inneemt over zerodays.

Bounty's

De laatste jaren zijn techbedrijven zich bewust geworden van de gevaren van zerodays. Zo betaalt Apple sinds kort hackers die kwetsbaarheden in het systeem vinden een maximale beloning van 200.000 euro. Dat is echter nog steeds vijf keer minder dan een partij als Zerodium voor dit soort zerodays betaalt.

De Nederlandse startup HackerOne is een voorbeeld van hoe hackers de software juist veiliger maken. De kwetsbaarheden die zij vinden, kunnen ze via HackerOne rapporteren aan de bedrijven. Grote namen als Twitter, Uber en Slack zijn klant bij de startup, dat vier jaar geleden is opgericht door twee Nederlandse hackers die het fatsoen hadden om niet de criminaliteit in te gaan.

Maar ook HackerOne betaalt, net als Apple, Google en Microsoft, nog veel minder dan de 'cyberwapenleveranciers'. Doordat overheden grof geld betalen om smartphones te kunnen hacken, is de handel in zerodays booming business geworden. En het lijkt erop dat deze bedstrijfstak alleen maar groter gaat worden.

Bron • RTL Z / Daniél Verlaan