Waarom iedereen aast op verse lekken op internet

'Zero days' worden ze genoemd, lekken in software die nog niet bij de fabrikant bekend zijn. Je kunt ze natuurlijk netjes bij de maker melden. Maar ook criminelen en overheden zijn er tuk op.

Beeld Martyn F. Overweel

Anderhalf miljoen dollar, desgewenst uitbetaald in bitcoins. Dat is de maximale beloning die het bedrijf Zerodium uitlooft aan hackers die een nieuw lek in een iPhone onthullen. Verse kwetsbaarheden in Whatsapp, Facebook Messenger of iMessage? Een half miljoen dollar. Het Amerikaanse bedrijf heeft op zijn site een keurige tabel met alle beloningen staan. Zerodium rekent naar eigen zeggen zowel grote bedrijven als overheden tot zijn klanten.

De gangbare theorie onder 'ethische hackers' is simpel: wie een lek in een softwarepakket vindt, meldt dat direct bij de maker. Die kan het lek dan dichten zodat kwaadwillenden er geen misbruik van kunnen maken. Die lekken zijn echter ook veel geld waard, op het dark web of bij bedrijven als Zerodium. Onbeveiligde computers of smartphones zijn immers een dankbaar doelwit voor criminelen of inlichtingendiensten. Om informatie over terroristen of dissidenten te verzamelen, of om geld te verdienen door er bijvoorbeeld gijzelingssoftware op te zetten.

Dat niet alleen commerciële bedrijven als Zerodium actief nieuwe lekken verzamelen, laat de documentaire Zero Days zien. Deze film gaat over het geavanceerde computervirus Stuxnet, dat door de Amerikaanse inlichtingendienst werd gemaakt om te voorkomen dat Iran kernwapens zou ontwikkelen.

De documentaire illustreert precies de spagaat waarin overheden tegenwoordig zitten: om de veiligheid van burgers te waarborgen, moet de veiligheid van internet op het spel worden gezet. Ook de onthullingen van voormalig CIA-man Edward Snowden illustreerden dat geheime diensten gretig gebruikmaken van lekken die alleen zij kennen, zodat ze kunnen worden ingezet als cyberwapen. Overigens ook weer tot plezier van criminelen: de goedgevulde gereedschapskist van de NSA bleek in 2016 in handen te zijn gekomen van de hackersgroep Shadow Brokers.

Een van die wapens was het lek in Windows dat eerder dit jaar aan de basis stond van de grote ransomwareuitbraak WannaCry. Sindsdien heeft Shadow Brokers het tot zijn verdienmodel gemaakt: een maandabonnement op de onthulling van nieuwe lekken.

Het moge duidelijk zijn: het niet melden van zero days, lekken die nog niet bekend zijn bij de softwarefabrikant, maakt internet onveiliger. Toch is het onder 'specifieke omstandigheden' verdedigbaar dat beveiligingsbedrijven een lek níét melden bij de fabrikant, zei Fox-IT-baas Ronald Prins onlangs op een persbijeenkomst. Zo krijgen geheime diensten de tijd om bijvoorbeeld de telefoon van een terrorist te kraken en zo acute dreiging te voorkomen.

Internet veiliger maken

Het is een controversiële uitspraak in hackers- en beveiligingskringen. 'Wie bepaalt of het doel de middelen heiligt?', vraagt Edwin van Andel, hacker en baas van beveiligingsbedrijf Zerocopter zich af. 'Het is onmogelijk die afweging te maken, omdat je niet alle informatie hebt. Je weet niet of iemand anders een zero day niet ook al heeft, en je weet niet of een geheime dienst een lek goed gebruikt.' Zerocopter werkt volgens Van Andel nooit mee aan verzoeken van overheden. 'Het niet melden van lekken bij fabrikanten maakt internet onveilig.'

Zijn collega Ruben van Vreeland van BitSensor heeft dezelfde mening. 'Al op jonge leeftijd wilde ik internet veiliger maken. Het is een uitdaging als eerste een kwetsbaarheid te vinden. Op het moment dat je iets vindt, geeft dat een kick.' Hij meldt ze daarna direct aan de fabrikant; het doorspelen aan een overheid is voor Van Vreeland geen optie: 'Je moet ze maar op hun blauwe ogen geloven dat het voor de goede zaak is. Wordt een lek niet ingezet voor het afluisteren van een journalist? Je weet het gewoon niet.' Hij wijst op het NSA-lek waarmee de cyberwapens van de dienst in handen van criminelen kwamen: 'Dat was rampzalig voor de veiligheid van internet. Mijn enige afweging is: hoe maak ik de digitale wereld veiliger?'

Openheid na negentig dagen

De grens van negentig dagen is heilig onder 'ethische hackers', ook wel white hat hackers genoemd (in contrast met hun collega's met zwarte hoedjes). Als zij een lek ontdekken, krijgen fabrikanten negentig dagen de tijd om het te dichten. Daarna treedt de ontdekker naar buiten, ongeacht of het gelukt is. Een bekend voorval vond in 2014 plaats. Het zero days-team van Google (Project Zero geheten) vond een lek in Windows. Microsoft slaagde er niet in het binnen die negentig dagen te dichten, waarna Google het lek toch openbaar maakte.

Het grote probleem van zero days is dat ze multi-inzetbaar zijn, zegt Rolf van Wegberg, die bij TNO en TU Delft onderzoek doet naar de verdienmodellen van cybercriminelen. 'Als er slechts één telefoon zou worden ontsleuteld, is het simpel. Maar een zero day ontsleutelt in potentie miljoenen telefoons. Uiteraard heeft de overheid in het algemeen zuiverder doelen dan criminelen, maar het effect is uiteindelijk hetzelfde.' Door elk niet gedicht lek vallen veel onschuldige slachtoffers, benadrukt Van Wegberg. 'Maar ik ben blij dat ik de afweging tussen veiligheid van het internet en de veiligheid van de rechtsstaat niet hoef te maken.'

Wie zich over deze afweging buigt, is Bibi van den Berg, universitair hoofddocent veiligheid van de Universiteit Leiden en lid van de Cyber Security Raad, die de Nederlandse overheid adviseert. 'Van oudsher is het de taak van de overheid voor onze veiligheid te zorgen. Ze mag daar alle middelen voor inzetten. Maar het is ook haar taak de internetveiligheid te waarborgen. Bijvoorbeeld door cybercriminaliteit te bestrijden, door ondergrondse marktplaatsen op te rollen - wat allemaal ook gebeurt. Tegelijkertijd doen overheden ook actief mee met handel op het dark web, door mee te bieden op zero days. Zo helpt ze die economie in stand te houden. Overheden spelen een pervers spel.'

Van den Berg weet overigens niet of ook de Nederlandse overheid hieraan mee doet. 'Maar ook hier zie ik dat de politiek deze discussie überhaupt niet voert. Als een zero day niet bij de fabrikant wordt gemeld, kiest de overheid er bewust voor om internet onveilig te maken. Burgers lopen zo risico.'

Uiteindelijk zullen overheden een keuze moeten maken, zegt Van den Berg. 'Welke veiligheid heeft prioriteit? Die vraag schuiven politici als een hete aardappel voor zich uit. Met als gevolg dat deze ongelooflijk ingewikkelde keuze nu aan de mensen wordt overgelaten die er in de praktijk mee te maken krijgen, zoals beveiligingsbedrijven en hackers.'

Maar ook als deze politieke keuze wordt gemaakt, zal het grote geld blijven lokken, vreest hacker Victor Gevers. 'In dit speelveld is het normaal om kwetsbaarheden te verhandelen. Vooral voor jonge hackers is dat aantrekkelijk. Zeg maar eens nee tegen een bak geld.'

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden