Van kwetsbaarheid naar privacyrisico

Op 12 mei maakten we kennis met een opvallend gevolg van het gebruik van kwetsbaarheden in software door inlichtingendiensten. De ransomware die onder de naam WannaCry honderdduizenden slachtoffers maakten zal inderdaad de nodige mensen het huilen nader gebracht hebben dan het lachen. Nu was ransomware niet nieuw, maar de schaal van verspreiding en vooral de herkomst van de basis van de software was wel ongekend. De ransomware was namelijk ontleend aan een tool (Eternal Blue) die door de NSA was gebouwd om gebruik te maken van een kwetsbaarheid in Windows XP. Deze tool is in april gelekt en in verkeerde handen terecht gekomen. Een belangrijke les voor het gebruik van zero day exploits door inlichtingendiensten ligt voor de hand. Maar of die les geleerd zal worden is natuurlijk nog maar zeer de vraag.

 

Het gebruik van kwetsbaarheden in software door inlichtingendiensten is een bekend fenomeen. Met behulp van de kwetsbaarheden is het immers mogelijk om in te breken in systemen of computers en om gegevens af te tappen of af te luisteren. Wanneer een tool wordt gebouwd om een kwetsbaarheid te gebruiken om toegang te verkrijgen tot computers of systemen is het uitbaten relatief eenvoudig geworden. En natuurlijk allemaal voor de goede zaak: het bestrijden van terrorisme en het afwenden van andere risico’s voor de Staat of Nederlandse bevolking. Dat de schaal en wijze waarop gegevens worden afgetapt privacyrisico’s met zich brengt is al vaker besproken. Het is dan ook van groot belang dat de inlichtingendiensten zorgvuldig met deze gegevens omgaan en ze goed beveiligen tegen inbreuken van buitenaf of lekken. Maar wat nu als de tool zelf wordt gelekt en anderen op dezelfde schaal toegang tot systemen kunnen krijgen en dit misbruiken?

 

Slordig is wel een understatement hier. Ten eerste hebben de inlichtingendiensten (in ieder geval NSA, maar waarschijnlijk ook veel andere inlichtingendiensten) de kwetsbaarheid niet gemeld toen deze in maart werd ontdekt. Daarmee is de kwetsbaarheid bewust in stand gehouden. Vervolgens is een tool ontwikkeld om de kwetsbaarheid te gebruiken. En deze tool is tenslotte gelekt in april. Ook toen is geen actie ondernomen om de kwetsbaarheid te verhelpen. Er was dus bekend dat er een kwetsbaarheid was, dat er een tool was om deze te misbruiken en dat de tool gelekt was. Door geen actie te ondernemen is de NSA hier ernstig nalatig geweest en heeft zij bewust het risico genomen dat veel bedrijven en burgers op een of andere manier het slachtoffer van misbruik van de kwetsbaarheid zouden worden. En zo geschiedde.

 

Met de ransomware WannaCry werden talloze systemen geblokkeerd en gegijzeld. De infecties hadden een wereldwijde spreiding en de schade die bedrijven en burgers geleden hebben en mogelijk nog zullen lijden moet gigantisch zijn. We mogen nog van geluk spreken dat een Britse onderzoeker gezorgd heeft voor een kill switch door toevalligerwijs een emailadres te ontdekken in de broncode en de bijbehorende domeinnaam te registreren. Daarmee ontstond een response op de tool en konden veel aanvallen afgeslagen worden.

 

De gebeurtenissen tonen aan hoe gevaarlijk het kan zijn als inlichtingendiensten gebruik maken van zero day exploits en deze niet of niet adequaat rapporteren. Uiteindelijk zijn veel bedrijven blootgesteld aan een beveiligingsrisico. Specifiek is de beschikbaarheid van de gegevens, één van de pijlers van informatiebeveiliging, in het geding (geweest). En in het verlengde daarvan kan niet gegarandeerd worden dat geen gegevens zijn gelekt, waarmee mogelijk ook een privacyrisico is ontstaan. Dat hangt immers maar net van de software af en de tool is ontwikkeld om gegevens af te luisteren. Ongeautoriseerde toegang kan dus een logisch gevolg zijn.

 

De les is duidelijk: het gebruik van zero day exploits door inlichtingendiensten is bijzonder riskant. Over de wenselijkheid wil ik hier geen uitspraak doen. Maar adequate actie in het geval een afluistertool wordt gelekt is op zijn minst van cruciaal belang. Voor de veiligheid van bedrijven en burgers tenminste. En dat is toch wat de inlichtingendiensten juist moeten waarborgen.