Tweede Kamer twijfelt of politie ongehinderd beveiligingslekken moet kunnen kopen

Politie en Defensie mogen binnenkort misschien niet meer onbekende beveiligingslekken blijven gebruiken om bijvoorbeeld criminelen te hacken. De Tweede Kamer stemt dinsdag of overheidsdiensten verplicht moeten gaan toetsen op ongewenste neveneffecten. Een beveiligingslek kan ook anderen in gevaar brengen.

Overheden maken nu geregeld gebruik van zogenoemde zero days. Dat zijn programmeerfoutjes en andere lekken in software die nog niet bekend zijn bij de softwarebouwer, en waarvoor dus ook geen update bestaat die het lek dicht. IT-specialisten van politie en defensie gebruiken dergelijke programmeerfoutjes van tijd tot tijd om een computer binnen te dringen. Zo kunnen ze bijvoorbeeld informatie over een ophanden zijnde terroristische aanslag verzamelen of de gangen van een crimineel bekijken.

Kerncentrale plat

Maar zo'n zelfde beveiligingslek kan evengoed in verkeerde handen vallen. Criminelen zouden precies datzelfde lek kunnen gebruiken om een energiecentrale plat te leggen of bedrijven en organisaties besmetten met gijzelsoftware, waardoor die organisaties niet meer bij hun bestanden kunnen.

Hoe vaak zo'n ongewenst neveneffect optreedt, is niet bekend, zegt Kamerlid Kees Verhoeven (D66). Hij is initiatiefnemer van een initiatiefwet die overheden moet verplichten om het gebruik van zero days beter af te wegen. Veel van wat inlichtingendiensten doen is immers geheim.

Een bekend voorbeeld heeft Verhoeven wel: het kwaadaardige computervirus Stuxnet dat in 2017 bekendheid kreeg. Dit virus maakte gebruik van een zero day en was vermoedelijk door de Amerikaanse inlichtingendienst NSA ontwikkeld om 'slechts' het Iraanse nucleaire programma te saboteren. Dat lukte, maar het virus kwam vervolgens op straat terecht en werd door criminelen misbruikt om wereldwijd computers plat te leggen.

Het Kamerlid denkt dat met een toetsingskader, waar de Tweede Kamer dinsdag over zal stemmen, veel leed kan worden voorkomen. 'En nee, dat is dus geen afweging tussen privacy en veiligheid, zoals je vaak hebt in dit soort discussies, maar tussen veiligheid en veiligheid', verduidelijkt hij. Zowel het gebruiken als het oplossen van beveiligingslekken kan immers de veiligheid vergroten.

Brede afweging

Verhoeven vindt dat inlichtingendiensten een aantal vragen moet beantwoorden voordat ze een zero day inzetten. Is het echt noodzakelijk om een zero day te gebruiken of kan een inlichtingendienst ook op een andere manier binnendringen? En hoe schadelijk is het als dit lek wordt ontdekt? Gaat het om een lek in software die door weinig mensen wordt gebruikt of om software die overal in zit?

En waar komt de zero day eigenlijk vandaan? Zero days worden namelijk geregeld voor veel geld — dergelijke kennis is al gauw tonnen waard — te koop aangeboden door bedrijven die op de rand van de wet opereren. Mag je een zero day kopen van een partij die ook aan regimes verkoopt die mensenrechten schenden?

Op basis van de antwoorden op dit soort vragen moet vervolgens worden bepaald of het inderdaad verstandig is de zero day te gebruiken. En luidt het antwoord: ja, dan moet de afweging na een periode opnieuw worden gemaakt.

'De AIVD (Algemene Inlichtingen- en Veiligheidsdienst, red.) werkt al op die manier', zegt Verhoeven. 'En in het Verenigd Koninkrijk en de Verenigde Staten is er ook een commissie die bepaalt of een zero day gebruikt kan worden.' Verhoeven vindt dat ook de politie en Defensie op die manier moeten gaan werken.

Informatie op straat

Of Verhoeven een meerderheid voor zijn plan gaat behalen valt te bezien. In de Haagse wandelgangen klinkt vooral dat het erg spannend gaat worden. In grote lijnen: veel linkse partijen zijn voor, verschillende rechtse partijen zijn tegen.

Jan Middendorp van coalitiepartner VVD laat weten vooral moeite te hebben met de insteek van de wet, waarbij één breed overkoepelend afwegingsorgaan zou gaan beslissen. Gezien de vaak zeer geheime informatie waar de diensten zich bij hun afwegingen op moeten baseren, vindt hij dat niet wenselijk. 'Het is belangrijk dat de inlichtingen- en opsporingsdiensten binnen de wet goed hun werk kunnen blijven doen. Er zijn ook stappen die we kunnen nemen die minder ingrijpend zijn dan de voorliggende voorstellen.'

Met het CDA diende Middendorp een motie in, waarin gevraagd wordt een onderzoek te doen naar een toetsingskader waarin de diensten voldoende zelf hun afweging kunnen blijven maken.

Groot lek in Windows

Ralph Moonen, chief technical officer van het cyberveiligheidsbedrijf Secura, vindt dat de overheid überhaupt geen zero days zou moeten gebruiken. Volgens de cyberdeskundige is het ook op andere manieren mogelijk om gericht te hacken, zonder dat ook anderen daardoor gevaar lopen.

Pas geleden ontdekte zijn bedrijf een groot beveiligingslek in Windows. Door een foutje was het op bedrijfsnetwerken tot voor kort mogelijk om via een trucje toegang te krijgen tot de server die controleert of ingevulde wachtwoorden op een bedrijfsnetwerk juist zijn.

'In de trein was een van onze medewerkers een protocol aan het doorlezen', vertelt Moonen. Als lezende zag de expert ineens dat de controleserver bij het uitwisselen van sleutels niet altijd willekeurig begint, waardoor het mogelijk is om te voorspellen welke sleutel gebruikt gaat worden. 'Als dat lukt heb je toegang tot alles: je kunt gebruikers weghalen, en nieuwe aanmaken met onbeperkte rechten.'

Ideaal hackgereedschap voor inlichtingendiensten, toch overwoog Moonen geen moment om het lek voor veel geld te verkopen. 'We hebben het lek gewoon gemeld aan Microsoft, dat het heeft gerepareerd', zegt Moonen.