Fox-IT deelt 'bij noodzaak' softwarelekken met opsporingsdiensten

Fox-IT wil onbekende kwetsbaarheden in software delen met de politie en inlichtingendiensten, maar alleen als daar een noodzaak voor is.

Dat zegt Ronald Prins, baas van Fox-IT, vandaag tijdens een presentatie in het hoofdkantoor in Delft. Het gebruik van onbekende kwetsbaarheden, zogeheten zerodays, vormt al jaren een belangrijke ethische discussie in de cybersecuritywereld. 

Door een zeroday geheim te houden kun je er langer gebruik van maken om een doelwit te hacken. Maar omdat criminelen ook deze zerodays kunnen inzetten, is het volgens critici gevaarlijk om de softwarelekken geheim te houden. 

Softwarelekken

De hackers van Fox-IT worden ingehuurd door bedrijven om hun beveiliging te testen en vinden dan fouten in software. Die kwetsbaarheden wil Prins in sommige gevallen met de opsporingsdiensten delen, bijvoorbeeld als er een terroristische aanslag dreigt.

In het gros van de gevallen worden softwarelekken door Fox-IT direct bij de verantwoordelijke partij gemeld, zo zegt Prins: "We kwamen laatst een lek tegen in een online systeem van een gemeente. Dat systeem werd door veel meer gemeenten gebruikt. Toen hebben we die kwetsbaarheid direct gemeld bij de producent."

Ook vertelt Prins dat hij opsporingsdiensten wil helpen om in smartphones in te breken als daar een noodzaak voor is. Als voorbeeld noemt hij het kraken van de iPhone van de terrorist die in San Bernardino veertien mensen vermoordde. Apple weigerde de FBI te helpen, maar dat vindt Prins onzin: "Als je daarmee toegang krijgt tot een terroristisch netwerk, dan is dat zeer belangrijke informatie voor de opsporingsdiensten."

Zerodays verkopen

De door Fox-IT ontdekte zerodays worden niet verkocht aan derden, benadrukt Prins. De verkoop van zerodays is een lucratieve wereld: hackers die een kwetsbaarheid in iOS vinden kunnen daar makkelijk 1,5 miljoen dollar mee verdienen.

Zerodium is één van de weinige bedrijven die publiekelijk toegeeft deze zerodays voor grof geld in te kopen en vervolgens te licenseren aan derden. Op die manier krijgen opsporingsdiensten toegang tot een collectie aan softwarelekken die ze kunnen gebruiken om bij doelwitten in te breken.

iPhone van een terrorist

De discussie over het gebruik van zerodays is de laatste tijd aangewakkerd doordat de politie wil gaan hacken. Daar moet nog wel een wet voor worden aangenomen: Computercriminaliteit III. De verwachting is dat de Eerste Kamer na de zomer deze wet aanneemt. Prins is ook een voorstander van het wetsvoorstel, zo vertelde hij in RTL Late Night.

De politie laat in een reactie weten dat het vaker samenwerkt met Fox-IT, en dat deze samenwerkingen helpen om zaken op te lossen. "De ontwikkelingen op het gebied van cyber gaan heel snel. De kennis en expertise van Fox-IT kunnen we dan ook gebruiken voor onze verwachte nieuwe bevoegdheden", aldus een woordvoerder. 

WannaCry

Daphne van der Kroft van burgerrechtenorganisatie Bits of Freedom vindt het goed dat Fox-IT de gevonden zerodays niet verkoopt: "Het is belangrijk dat er geen schimmige markt ontstaat rondom de handel van deze softwarelekken. Dan is delen beter dan verkopen, hoewel wij van mening zijn dat je deze kwetsbaarheden altijd direct moet melden."

Van der Kroft stelt dat (tijdelijk) achterhouden van deze softwarelekken alle internetgebruikers in Nederland onveilig maakt: "Als Fox-IT de kwetsbaarheid heeft gevonden en niet direct meldt, dan kan een criminele organisatie dit lek ook vinden en misbruiken."

De verspreiding van de ransomware WannaCry in mei is een duidelijk voorbeeld van wat er kan gebeuren als softwarelekken geheim worden gehouden. Het virus verspreidde zich door een kwetsbaarheid in Windows, waar naar verluidt de Amerikaanse geheime dienst NSA al lange tijd van wist.