Schijnveilig

Er is een hoogst curieuze veiling gaande: een groep hackers, de ShadowBrokers, slijt publiekelijk een roedel zogeheten zero-day exploits aan de hoogstbiedende. Zero-day exploits zijn beveiligingsgaten die nog niet zijn gepubliceerd en waar de betrokken software- of hardware-fabrikant geen weet van heeft, zodat ze geen verweer tegen de bewuste kwetsbaarheid hebben kunnen ontwerpen.

Het effect? Iedereen die zulke hardware of software gebruikt, kan worden gehackt door deskundigen – of door groepjes die zulke exploits verzamelen en heimelijk aan elkaar doorgeven – met mogelijk grote gevolgen. De fabrikant heeft niet door dat zijn product lek is, de klant weet niet dat zijn gegevens geoogst kunnen worden door kwaadwillenden. Beiden denken hun zaakjes op orde te hebben, maar verkeren in schijnveiligheid.

We weten al langer dat de NSA, de Amerikaanse afluisterdienst, dergelijke zero-day exploits verzamelt. De NSA zet zelfs deskundigen in om die als eerste op te sporen, teneinde ze later naar eigen goeddunken te gebruiken tegen mogelijk verdachte organisaties.

De NSA is terdege bekritiseerd om deze praktijk. Door gevonden exploits niet te publiceren, zoals serieuze veiligheidsexperts doen, maar ze te eigen bate geheim te houden, verzwakken ze uiteindelijk ieders veiligheid. Want welke zekerheid hebben we dat andere, minder nette clubjes, diezelfde exploits niet ook hebben gevonden? Vergroot het onze veiligheid wanneer de NSA denkt dat zij als enige dergelijke exploits heeft gevonden en die secuur kan beheren? Is het niet beter om zulke exploits bekend te maken, opdat ieders algemene veiligheid wordt verbeterd?

De NSA denkt: als wij zulke lekken niet bekend maken, kunnen alleen wij ze heimelijk inzetten.

Deze veiling maakt korte metten met dat idee. De ShadowBrokers hebben ergens in 2013 digitaal ingebroken bij de NSA en zijn er vandoor gegaan met het hele toenmalige pakket aan zero-day exploits. En die verkopen ze nu aan de hoogste bieder. Aan de hand van het lokkertje dat de ShadowBrokers vorige week publiceerden om bieders over de streep te halen, hebben diverse beveiligingsexperts inmiddels bevestigd dat de verkopers een set authentieke zero-day exploits in handen hebben, en dat die inderdaad van de NSA afkomstig moet zijn.

Je wil er niet aan denken dat ISIS, of een andere terreurorganisatie, straks de hoogste bieder blijkt te zijn, en dan dat akelige pakket aan exploits in handen krijgt.

Wat te doen?

De slimste optie: de NSA gedraagt zich per direct als een verantwoordelijk beveiliger, meldt alle ooit gevonden beveiligingslekken alsnog bij de betreffende fabrikanten, wacht tot die een patch hebben uitgebracht, en publiceert dan het lek. Dat ondermijnt de veiling van ShadowBrokers finaal en maakt iedereen op slag veiliger.

Maar de kans dat de NSA voor die optie kiest, is klein. Om ons te beveiligen, hebben ze liever dat wij kwetsbaar blijven.


Aantal reacties: 2