Tech

Fox-IT deelt 'bij noodzaak' softwarelekken met opsporingsdiensten

Daniël Verlaan • 22 augustus 2017 17:20 @danielverlaan

Fox-IT deelt 'bij noodzaak' softwarelekken met opsporingsdiensten
Ronald Prins is de oprichter van cybersecuritybedrijf Fox-IT. Beeld © Fox-IT

Hackers van beveiligingsbedrijf Fox-IT komen tijdens hun onderzoek regelmatig onbekende kwetsbaarheden in software tegen. Dat soort softwarelekken kan het bedrijf delen met de politie en inlichtingendiensten, maar alleen als daar een noodzaak voor is.

Dat zegt Ronald Prins, baas van Fox-IT, vandaag tijdens een presentatie in het hoofdkantoor in Delft. Het gebruik van onbekende kwetsbaarheden, zogeheten zerodays, vormt al jaren een belangrijke ethische discussie in de cybersecuritywereld. 

Door een zeroday geheim te houden kun je er langer gebruik van maken om een doelwit te hacken. Maar omdat criminelen ook deze zerodays kunnen inzetten, is het volgens critici gevaarlijk om de softwarelekken geheim te houden.

Softwarelekken

Hackers van Fox-IT komen tijdens hun onderzoek regelmatig onbekende kwetsbaarheden in software tegen. Die kunnen worden gedeeld met politie- en opsporingsdiensten, maar uitsluitend als daar een 'dwingende maatschappelijke noodzaak' voor is. Een ethische commissie van het bedrijf kijkt of die noodzaak er is.

"Indien Fox besluit de inlichtingen- en opsporingsdiensten te helpen zal dat altijd vanuit een ethisch standpunt zijn en niet vanuit eigen gewin", zo laat het bedrijf op zijn website weten. Als voorbeeld wordt het beschermen van de samenleving voor een 'acuut en direct aanwijsbaar gevaar' genoemd.

iPhone

Ook vertelt Prins dat hij opsporingsdiensten wil helpen om in smartphones in te breken als daar een noodzaak voor is. Als voorbeeld noemt hij het kraken van de iPhone van de terrorist die in San Bernardino veertien mensen vermoordde.

Apple weigerde de FBI te helpen, maar dat vindt Prins onzin: "Als je daarmee toegang krijgt tot een terroristisch netwerk, dan is dat zeer belangrijke informatie voor de opsporingsdiensten."

Zerodays verkopen

De door Fox-IT ontdekte zerodays worden niet verkocht aan derden, benadrukt Prins. De verkoop van zerodays is een lucratieve wereld: hackers die een kwetsbaarheid in iOS vinden kunnen daar makkelijk 1,5 miljoen dollar mee verdienen.

Zerodium is één van de weinige bedrijven die publiekelijk toegeeft deze zerodays voor grof geld in te kopen en vervolgens te licenseren aan derden. Op die manier krijgen opsporingsdiensten toegang tot een collectie aan softwarelekken die ze kunnen gebruiken om bij doelwitten in te breken.

iPhone van een terrorist

De discussie over het gebruik van zerodays is de laatste tijd aangewakkerd doordat de politie wil gaan hacken. Daar moet nog wel een wet voor worden aangenomen: Computercriminaliteit III. De verwachting is dat de Eerste Kamer na de zomer deze wet aanneemt. Prins is ook een voorstander van het wetsvoorstel, zo vertelde hij in RTL Late Night.

De politie laat in een reactie weten dat het vaker samenwerkt met Fox-IT, en dat deze samenwerkingen helpen om zaken op te lossen. "De ontwikkelingen op het gebied van cyber gaan heel snel. De kennis en expertise van Fox-IT kunnen we dan ook gebruiken voor onze verwachte nieuwe bevoegdheden", aldus een woordvoerder. 

WannaCry

Daphne van der Kroft van burgerrechtenorganisatie Bits of Freedom vindt het goed dat Fox-IT de gevonden zerodays niet verkoopt: "Het is belangrijk dat er geen schimmige markt ontstaat rondom de handel van deze softwarelekken. Dan is delen beter dan verkopen, hoewel wij van mening zijn dat je deze kwetsbaarheden altijd direct moet melden."

Van der Kroft stelt dat (tijdelijk) achterhouden van deze softwarelekken alle internetgebruikers in Nederland onveilig maakt: "Als Fox-IT een kwetsbaarheid heeft gevonden en dat niet direct meldt, dan kan een criminele organisatie dit lek ook vinden en misbruiken."

De verspreiding van de ransomware WannaCry in mei is een duidelijk voorbeeld van wat er kan gebeuren als softwarelekken geheim worden gehouden. Het virus verspreidde zich door een kwetsbaarheid in Windows, waar naar verluidt de Amerikaanse geheime dienst NSA al lange tijd van wist. 

Lees op rtlz.nl
Op bezoek bij securitybedrijf Fox-IT: hofleverancier van de AIVD

Bron • RTL Z / Daniël Verlaan

Gerelateerde artikelen