Kabinet: softwarelekken gebruiken om te hacken

Kabinet: softwarelekken gebruiken om te hacken

08-11-2016 10:34 Laatste update: 27-04-2018 01:57

Het kabinet vindt dat opsporingsdiensten gebruik moeten kunnen maken van lekken in software om verdachten te kunnen hacken.

Het kabinet reageert vandaag op de vragen van D66-Kamerlid Kees Verhoeven over het gebruik van zogeheten zerodays: kwetsbaarheden in software die niet niet door de fabrikant zijn gedicht. Zerodays zijn een populaire manier om in te breken op onder andere smartphones en computers. Zerodays mogen door de Nederlandse opsporingsdiensten worden ingezet om verdachten te hacken, vindt het kabinet. Tegelijkertijd benadrukt het kabinet dat digitale veiligheid in de samenleving belangrijk is.

Een opvallende tegenstrijdigheid, vindt Ton Siedsma van de digitale burgerrechtenbeweging Bits of Freedom: "Dat spreekt elkaar tegen. Als de politie kennis over kwetsbaarheden in software achter gaat houden, kan het lek door iedereen worden misbruikt. Het is een illusie dat alleen Nederland deze kennis over een kwetsbaarheid heeft. Ook buitenlandse overheden en criminelen kunnen deze kwetsbaarheden misbruiken."

Inkopen van lekken?

De vraag blijft vooral: hoe komt de overheid aan zerodays. In de reactie schrijft staatssecretaris Dijkhoff van Veiligheid en Justitie dat opsporingsdiensten zelf naar dit soort kwetsbaarheden zoeken. "Maar de praktijk leert dat dit soort kwetsbaarheden met name worden ingekocht", zegt Siedsma, die het bedrijf Hacking Team als voorbeeld noemt.

Hacking Team biedt software aan die kwetsbaarheden misbruikt om doelwitten te hacken. Er is veel kritiek op Hacking Team: nadat het Italiaanse bedrijf zelf is gehackt werd duidelijk dat Hacking Team hun software ook levert aan totalitaire regimes als Bahrein en Saoedi-Arabië. Ook de Nederlandse overheid is klant bij dit soort bedrijven. Zo gebruikt de Nederlandse politie apparaten van Cellebrite waarmee vergrendelde telefoons kunnen worden uitgelezen.

Ransomware gebruiken

Volgens Siedsma zijn zerodays niet de enige manier om digitaal in te breken bij een verdachte: "Als de verdachte zijn beveiliging niet op orde heeft, bijvoorbeeld als hij een verouderd besturingssysteem gebruikt, kan er nog steeds worden ingebroken."

"Als de overheid de digitale infrastructuur verbetert, zou criminaliteit op het internet ook worden aangepakt, denkt Siedsma: "Ransomware wordt bijvoorbeeld verspreid via kwetsbaarheden in software, en daarom moeten die kwetsbaarheden moeten dus worden gedicht. Als de politie kennis over kwetsbaarheden gaat achterhouden in plaats van melden, laat dat zien dat de overheid die veiligheid wil ondermijnen."