'Strengere regels nodig voor hacks door overheid via zero day-bugs'

time icon
NOS
Geschreven door
Joost Schellevis
redacteur Tech

Er moeten strengere regels komen voor het gebruik van bepaalde hackwapens door de politie, geheime diensten en het leger. Daarvoor pleit D66-Kamerlid Kees Verhoeven vanmiddag in de Tweede Kamer.

Het gaat om tools die gebruik kunnen maken van zogenoemde zero day-bugs. Dat zijn lekken in de software die nog niet bekend zijn en die kunnen worden gebruikt om computers, telefoons en andere apparaten te kraken.

Omdat die bugs nog onbekend zijn, kunnen hackers ze gebruiken om in te breken op goed beveiligde computers. Die zijn niet bestand tegen misbruik van het lek, omdat hun software er nog niet tegen beschermd is.

Onder andere overheidshackers zijn daarom dol op dit soort lekken. Een belangrijke keerzijde is dat als de lekken niet worden gedicht, ook onschuldige burgers risico lopen op hackaanvallen.

Verhoeven komt daarom met een initiatiefwet. Hij wil dat een onafhankelijke commissie meekijkt als overheden dat soort kwetsbaarheden in software gebruiken om computers te kraken. "Nu beslissen ze daar zelf over, buiten het zicht van het parlement en de bevolking", zegt hij. "We willen voorkomen dat dit soort bugs te pas en te onpas worden ingezet."

Waarom hackers een 'zero day'-bug zo aantrekkelijk vinden

Een veelgehoord advies om je computer goed te beveiligen is: werk je software en besturingssysteem bij. Dat komt doordat beveiligingsonderzoekers continu gaatjes in software vinden, waardoor kwaadwillenden zouden kunnen binnendringen. Die bugs worden vaak doorgegeven aan de makers van de software, die dan een nieuwe versie kunnen uitbrengen waarin die gaten zijn gedicht.

Maar ook kwaadwillenden, overheden en commerciële bedrijven jagen op deze bugs. Een 'zero day'-bug, een lek dat nog niet door anderen is ontdekt, is dus waardevol. Daarmee kun je zelfs inbreken op apparaten die de allernieuwste software bevatten: de fabrikant heeft immers nog niet de kans gehad om het gat te dichten.

Die commissie zou moeten bestaan uit een aantal relevante organisaties, denkt Verhoeven. "Bijvoorbeeld het ministerie, maar ook het Nationaal Cyber Security Centrum en de Autoriteit Persoonsgegevens."

Als bijvoorbeeld de politie een verdachte met een zero day-bug wil hacken, of als de AIVD een terrorist wil achtervolgen, dan zou die commissie zich daarover moeten buigen. "Die kan dan afwegen hoelang de kwetsbaarheid mag worden gebruikt om in te breken. Dat kan per keer verschillen", zegt Verhoeven. "Je moet dit heel goed afwegen: het belang van opsporing tegen de economische schade en privacy van internetgebruikers."

Altijd gemeld

Uiteindelijk zouden de diensten de bugs altijd moeten melden bij de maker van de software, meent Verhoeven. Gebeurt dat niet, dan blijven ook andere gebruikers immers kwetsbaar voor de bugs. Daar zouden andere hackers of inlichtingendiensten van andere landen gebruik van kunnen maken.

Verhoeven wil daarnaast dat de overheidsdiensten geen commerciële kant-en-klare hacktools waarvan de werking onbekend is meer mogen gebruiken. "Je weet niet wat voor trucs die bedrijven uithalen om te kunnen inbreken", zegt hij. "Dat mag niet meer tot de mogelijkheden behoren."

Interne screening

Er zijn op dit moment wel regels voor het gebruik van zero day-bugs: zo heeft de AIVD een interne commissie die afweegt hoe ermee moet worden omgegaan. "Maar er is geen wetgeving voor of een overkoepelende instantie", zegt het Kamerlid.

In een reactie laat de AIVD weten altijd per situatie af te wegen "welke middelen worden ingezet". Daarbij kan het zijn dat een computerbug niet wordt gemeld aan de maker, omdat dat de nationale veiligheid in gevaar kan brengen. Het ministerie van Defensie, dat hackoperaties mag uitvoeren via de MIVD en offensieve hack-operaties, laat weten het voorstel te zullen bestuderen.

Volgens Verhoeven zou Nederland het eerste land ter wereld zijn dat een wet invoert om gebruik van zero day-bugs te reguleren. "In de Verenigde Staten zijn wel regels, maar dat is geen wetgeving", zegt Verhoeven.

Uitgelekte hackwapens

De Amerikaanse geheime dienst NSA verzamelde net als veel andere inlichtingendiensten zero day-kwetsbaarheden, maar wist een aantal niet goed te beveiligen. Vorig jaar lekten hackers, waarschijnlijk afkomstig uit Rusland, een aantal NSA-hacktools. Een daarvan, een lek in Windows, veroorzaakte wereldwijd veel schade, en werd gebruikt bij de grote hackaanvallen in de lente van 2017.

Overigens waren de bugs toen al opgelost door Microsoft: gebruikers die toch werden getroffen hadden de inmiddels beschikbare update nog niet geïnstalleerd.

STER Reclame