De WIV 2017 beoogt de veiligheid te vergroten, maar het hacken door de inlichtingendiensten leidt tot nieuwe veiligheidsrisico’s voor de burger.
Het is de zomer van 2014. Op een kantoor in Zoetermeer rollen er allerlei tekens over het scherm van de hacker. Een analist ontvangt live camera beelden van wat een grauwe passage lijkt te zijn in een onbelangrijk gebouw nabij het Rode Plein in Moskou.
Maar niets is wat het lijkt. De AIVD heeft zojuist ingebroken bij de bekende Russische hackersclub Cozy Bear. De dienst ziet via camerabeelden personen naar binnen en buiten lopen, kan zo namen aan gezichten koppelen en de identiteit van de tot nu toe anonieme hackers achterhalen. De AIVD kan zelfs meekijken bij de operaties van Cozy Bear, bijvoorbeeld op het Ministerie van Buitenlandse Zaken, het Witte Huis en de Democratische Partij in de Verenigde Staten waarbij duizenden e-mails en documenten worden buitgemaakt.
Met dit verhaal komt de Volkskrant in januari van dit jaar naar buiten. Het geeft een inkijkje in de wereld van de inlichtingendiensten en de wijze waarop zij gebruik maken van haar hack bevoegdheden.
Collateral damage van een hack
In de WIV 2017 worden de hack bevoegdheden van de inlichtingendiensten deels uitgebreid en deels explicieter omschreven. Zo maakt de WIV 2017 hacken via derden (toegang tot de gewenste computer verwerven via een computer of systeem van een andere (onverdachte) persoon of organisatie) mogelijk. Los van de vraagtekens die hierbij geplaatst kunnen worden over de schendingen van de grondrechten van burgers, gaat het hacken door de overheid gepaard met aanzienlijke veiligheidsrisico’s.
Hacken via derden vindt nu ook al plaats. Zo heeft de AIVD in het geval van Cozy Bear waarschijnlijk een signaal ontvangen met een IP-adres van het universiteitsgebouw in Moskou, waarna de dienst dit netwerk heeft gehackt om vervolgens mee te kijken met de Russische hackers. Met de invoering van de WIV 2017 valt echter te verwachten dat de inlichtingendiensten nog meer zullen hacken via derden.
Wat betekent dit? Laten we het voorbeeld nemen van Rob, een doelwit van de veiligheidsdiensten, die zo anoniem mogelijk het internet opgaat, niet rondloopt met een mobiele telefoon en thuis geen internetaansluiting heeft. Wel komen er vrienden over de vloer om wat bij te kletsen. Volgens de wet kan er op zulke momenten via een derde partij, in dit geval Ronald (een vriend van Rob) gehackt worden om vervolgens tot het doelwit te komen. Bijvoorbeeld door een microfoonfunctie in de mobiele telefoon van Ronald te installeren waardoor de diensten kunnen meeluisteren.
Zero-days
Bij het hacken mag de AIVD alle mogelijk middelen inzetten, zoals het installeren van malware, social engineering en zero-day kwetsbaarheden. Zero-days (nul dagen) zijn veiligheidslekken in software die nog niet bekend zijn bij de makers ervan en nog niet zijn gedicht.
Terug naar het voorbeeld van Rob en Ronald. De AIVD kan zelf software ontwikkelen om in te breken op een smartphone of tablet. Het lukt de dienst echter niet om de smartphone van Ronald te hacken (binnen te dringen). De dienst weet echter wel welke software en type telefoon Ronald gebruikt en gaat op zoek naar commerciële software om te hacken.
De AIVD kan zero-days op de vrije markt aanschaffen. Handel daarin is big business. Diverse bedrijven verkopen zero-days aan overheden en bedrijven en stimuleren zodoende het hacken van bijvoorbeeld smartphones. Wanneer makers van software niet op de hoogte worden gesteld van een veiligheidslek dan blijft een smartphone onveilig.
Handelaren in zero-days hebben echter geen enkel belang bij het melden van die lekken want zij verdienen eraan. Hierdoor wordt het ook voor cybercriminelen gemakkelijker om misbruik te maken van veiligheidslekken in software. Het vinden van beveiligingslekken is namelijk niet voorbehouden aan overheidsinstanties.
De reputatie van handelaren in zero-days is ook dubieus vanwege hun handel met autoritaire regimes die betrokken zijn bij mensenrechtenschendingen. Er zijn veel voorbeelden van activisten, advocaten en dissidenten die doelwit waren van een hack waarbij gebruik is gemaakt van zero-days.
Wat betekent dit voor Rob en Ronald? Niet alleen de AIVD heeft toegang tot de smartphone van Ronald, maar wellicht ook een cybercrimineel die bij dezelfde dubieuze handelaar shopt als de AIVD. Hacken via derden betekent dus dat ook derden last kunnen krijgen van cybercriminelen.
Shadow Brokers
Ook veiligheidsdiensten zelf kunnen gehackt worden, hetgeen verregaande consequenties heeft. Dat dit geen hypothetisch risico is, bleek in 2016 toen de Amerikaanse inlichtingendienst National Security Agency (NSA) werd gehackt door een groep die zich de Shadow Brokers noemt. Zij maakten de zero-days die de NSA gebruikte voor haar eigen hacken openbaar. Een ieder kon nu gebruik maken van veiligheidslekken in software van laptops en servers.
Vervolgens ontwikkelden hackers op basis van de gevonden lekken een computerworm die via de beveiligingslekken binnen wist te dringen in netwerken en computers van bedrijven en instellingen. Met als gevolg dat computersystemen van diverse ziekenhuizen in Groot-Brittannië, containerterminals in Denemarken en parkeerbedrijven in Nederland gedeeltelijk tot compleet plat werden gelegd.
Het voorbeeld van de NSA rechtvaardigt de vraag of de Nederlandse inlichtingendiensten hun eigen beveiliging en de beveiliging van derden wel op orde hebben. De afgelopen jaren is regelmatig gebleken dat de digitale beveiliging van de Nederlandse overheid tekortschiet. Kan de AIVD dan ook voorkomen dat de dienst zelf gehackt wordt zodat de door haar gebruikte zero-days niet in handen vallen van cybercriminelen?
Volgens de WIV 2017 hoeven de inlichtingendiensten zero-days en andere kwetsbaarheden niet te melden. Dit is in strijd met het beleid van het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Justitie en Veiligheid dat de digitale weerbaarheid van Nederland juist wil vergroten. Het NCSC geeft zero-days zo snel mogelijk door aan makers van software zodat zij beveiligingslekken kunnen dichten en cybercriminelen geen kans krijgen.
Het onder de pet houden van zero-days door de AIVD staat dus haaks op het beleid van de NCSC. De WIV 2017 beoogt de veiligheid te vergroten, maar het hacken door de inlichtingendiensten leidt tot nieuwe veiligheidsrisico’s voor de burger.
Jurre van Bergen
Verder lezen over hacken door de Nederlandse overheid
ShadowBrokers’ Leak Has ‘Strong Connection’ to Equation Group
Operation Socialist: Hoe Belgacom werkt gehackt door GCHQ
Observant #69, januari 2017 Politie Mercenaries (pdf)
Boeven vangen met dubieuze software van dubieuze bedrijven
De Nederlandse politie en Hacking Team; Flirten met de tools van de dictator
Gamma Group en de politie; FinFisher trojan in de Nationale politie
Providence en de Nationale Politie; Ketenaansprakelijkheid via een ex-agent
Hacking Team/David Vincenzetti; Italiaanse staatsnerds in dienst van dictators
Gamma Group/Louthean Nelson; Wapenhandelaars pur sang
Providence/Turner, Holmes, Stolwerk; SAS tussenhandelaar van inbrekers-kits tot digitale wapens