Nederland zet veilige software op internationale agenda
Tijdens de Global Conference on CyberSpace (GCCS) die deze week in Den Haag plaatsvindt zet Nederland zich onder andere in voor veilige software, dat mede door het Internet of Things steeds belangrijker wordt. Dat zegt Wilma van Dijk, plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) in een interview met Security.nl. Vanuit het Nationaal Cyber Security Center (NCSC), dat onderdeel van de NCTV is, wordt er elk jaar een dreigingsbeeld opgesteld met cyberdreigingen. Naast cybercrime en cyberspionage noemt Van Dijk ook het Internet of Things als risico en kans, zeker nu er steeds meer apparaten met internet zijn verbonden. Apparaten die niet altijd worden geüpdatet.
"Wat wij zien is dat het updaten van software niet voldoende op het netvlies van gebruikers staat, maar ook niet van de leveranciers van deze software en producten. Daarbij komt dat juist door het Internet of Things, software voor gebruikers steeds onzichtbaarder wordt. Als je dingen aan het internet verbindt moet je ook de verantwoordelijkheid nemen dat de software wordt geüpdatet en dat je er ook voor zorgt dat als het product overgedragen wordt aan een ander het updaten niet verloren gaat."
Volgens Van Dijk moeten leveranciers zich dan ook voor automatische updates inzetten. "Het is een uitdaging voor en een vraag aan leveranciers om te kijken welke middelen er daarvoor zijn en het automatisch updaten is daar een voorbeeld van." Vanuit de overheid vindt er met verschillende partijen zoals ICT Nederland en leveranciers overleg plaats hoe hier stappen in kunnen worden genomen. Het is ook een onderwerp dat Nederland deze week op de internationale agenda zet. Er wordt bijvoorbeeld gedacht aan normen en standaarden voor software en dan vooral op Europees gebied.
Van Dijk verwacht dat veilige software en het vraagstuk van ICT Duurzaamheid, software die niet gemaakt is om zolang mee te gaan, maar nog wel wordt gebruikt, niet een-twee-drie is opgelost. Ze maakt de vergelijking met veilige auto's. Voordat er veilige auto's verschenen ging hier een proces van jaren aan vooraf. Om de oplossing van dit probleem te versnellen is het daarom belangrijk om te kijken wie welke rol vervult. "Aan de ene kant moet de gebruiker zoveel mogelijk zijn eigen risico's inperken en heeft hij daarin een eigen verantwoordelijkheid, maar een producent heeft ook een verantwoordelijkheid waar het gaat om software aan te bieden waarop vertrouwd kan worden en waar niet mee te sjoemelen is."
Het komt ook voor dat er kwetsbaarheden in software aanwezig zijn die niet meteen zichtbaar zijn, iets wat het een lastig onderwerp maakt, merkt Van Dijk op. Ze stelt dat de inzet voor veilige software op Europees niveau moet worden aangepakt. Nederland zal in ieder geval niet met wetgeving komen die bedrijven bijvoorbeeld verplicht om veilige software te maken. Bij de gesprekken die deze week plaatsvinden zullen meerdere partijen betrokken zijn. "Juist dit gesprek moet je voeren met degenen die de producten op de markt brengen, dit willen verkopen en de overheden die er belang bij hebben dat software veilig is", laat Van Dijk weten.
Ze merkt op dat de bevindingen van de gesprekken, die deze week tijdens de GCCS over het onderwerp plaatsvinden, zullen worden meegenomen naar het EU-voorzitterschap van Nederland in 2016. "En daar zal dit thema ook zeker op de agenda komen."
[X] GAMMA FINFISHER TROJAN
Nederlandse politie gaf 2,7 miljoen euro uit aan FinFisher-spyware
….
Dit blijkt uit documenten die via Wikileaks zijn uitgelekt.
De uitgelekte documenten bevatten het klantenbestand van Gamma, dat door hackers is buitgemaakt. Uit dit bestand is af te leiden dat de Nederlandse politie in totaal 16 licenties heeft afgenomen bij Gamma. Het gaat om licenties voor FinSpy, FinSpy Mobile en FinFly USB. Voor de licenties betaalde de Nederlandse politie in totaal 2.741.760 euro.
[X] Finfisher
[X] Malware installeren op computers van anderen : GAMMA FINFISHER TROJAN
https://www.wikileaks.org/spyfiles/list/tags/gamma-finfisher-trojan.html
[X] 'Veilige software' inzetten tegen politiek activisme
"Cyber Attacks on Activists Traced to FinFisher Spyware of Gamma"
http://www.bloomberg.com/news/articles/2012-07-25/cyber-attacks-on-activists-traced-to-finfisher-spyware-of-gamma
[X] Welke landen gebruiken deze 'heilige' software al ?
http://www.zdnet.com/article/top-govt-spyware-company-hacked-gammas-finfisher-leaked/
[X] Praktijk voorbeeldje
From Bahrain With Love: FinFisher’s Spy Kit Exposed?
https://citizenlab.org/2012/07/from-bahrain-with-love-finfishers-spy-kit-exposed/
? Bypassing of 40 regularly tested Antivirus Systems
? Covert Communication with Headquarters
? Full Skype Monitoring (Calls, Chats, File Transfers, Video, Contact List)
? Recording of common communication like Email, Chats and Voice-over-IP
? Live Surveillance through Webcam and Microphone
? Country Tracing of Target
? Silent Extracting of Files from Hard-Disk
? Process-based Key-logger for faster analysis
? Live Remote Forensics on Target System
? Advanced Filters to record only important information
? Supports most common Operating Systems (Windows, Mac OSX and Linux)
[XXX] Nederland vergat gebruik 'heilige' software op internationale de agenda te zetten …
[X] GAMMA FINFISHER TROJAN
Nederlandse politie gaf 2,7 miljoen euro uit aan FinFisher-spyware
….
Dit blijkt uit documenten die via Wikileaks zijn uitgelekt.
De uitgelekte documenten bevatten het klantenbestand van Gamma, dat door hackers is buitgemaakt. Uit dit bestand is af te leiden dat de Nederlandse politie in totaal 16 licenties heeft afgenomen bij Gamma. Het gaat om licenties voor FinSpy, FinSpy Mobile en FinFly USB. Voor de licenties betaalde de Nederlandse politie in totaal 2.741.760 euro.
[X] Finfisher
[X] Malware installeren op computers van anderen : GAMMA FINFISHER TROJAN
https://www.wikileaks.org/spyfiles/list/tags/gamma-finfisher-trojan.html
[X] 'Veilige software' inzetten tegen politiek activisme
"Cyber Attacks on Activists Traced to FinFisher Spyware of Gamma"
http://www.bloomberg.com/news/articles/2012-07-25/cyber-attacks-on-activists-traced-to-finfisher-spyware-of-gamma
[X] Welke landen gebruiken deze 'heilige' software al ?
http://www.zdnet.com/article/top-govt-spyware-company-hacked-gammas-finfisher-leaked/
[X] Praktijk voorbeeldje
From Bahrain With Love: FinFisher’s Spy Kit Exposed?
https://citizenlab.org/2012/07/from-bahrain-with-love-finfishers-spy-kit-exposed/
? Bypassing of 40 regularly tested Antivirus Systems
? Covert Communication with Headquarters
? Full Skype Monitoring (Calls, Chats, File Transfers, Video, Contact List)
? Recording of common communication like Email, Chats and Voice-over-IP
? Live Surveillance through Webcam and Microphone
? Country Tracing of Target
? Silent Extracting of Files from Hard-Disk
? Process-based Key-logger for faster analysis
? Live Remote Forensics on Target System
? Advanced Filters to record only important information
? Supports most common Operating Systems (Windows, Mac OSX and Linux)
[XXX] Nederland vergat gebruik 'heilige' software op internationale de agenda te zetten …
Dank u wel voor deze uitgebreide en volledige reactie.
'De' Risico's waar (niet) over gesproken wordt
Niet genoemd risico : onveilige software voor en door overheden
De strategisch vergeten dreiging op de hele conferentie : dreiging door overheidssurveillance
Een component van die overheidssurveillance is een attackerende overheid :
- overheidshacking met gebruik van hacksoftware
- overheidshacking met gebruik van kwetsbaarheden in software
- overheidshacking met gebruik van backdoors in software
- overheidshacking met gebruik van extra ontsleutel mogelijkheden en rechten voor overheden in software
Software die voor overheidssurveillance wordt ingezet maakt zelf ook gebruik van kwetsbaarheden in software, misschien ook nog wel van bewust stilgehouden kwetsbaarheden in software. Op grote schaal wordt er gehandeld in zero days voor bedragen die juist alleen overheden zich kunnen veroorloven.
Hier raakt het gebruik van FinFisher aan de discussie.
De overheid maakt gebruik van voor burgers bedreigende software, niet veilige software.
Die software zal vermoedelijk waar het kan gebruikmaken van gaten en kwetsbaarheden in software. De duurste zero days's zullen weliswaar gebruikt worden voor spionage of high profile targeted attacks, in de lagere regionen zullen kwetsbaarheden breder ingezet kunnen en zullen worden.
Makers van spionage en hacksoftware zullen daarbij ongetwijfeld hun eigen arsenaal aan gevonden kwetsbaarheden beheren en inzetten.
Het promoten van veiliger software is wederom nogal dubbel als overheden juist gebruikmaken van kwetsbaarheden in software of zelfs actief inzetten op het minder veilig maken van software, het corrumperen van versleutelingstechnieken, verzoeken of eisen dat er voor overheden backdoors moeten worden ingebouwd, voorstellen dat er in software een Frontdoor komt (overheden krijgen een eigen voordeur sleutel).
Het verlagen van beveiliging in software uit eigen belang heeft niets te maken met het opkomen voor veilige software.
Je hebt dan ook in zekere zin gelijk, dit artikel raakt niet alleen aan malware als FinFisher, het optreden van overheden raakt in zijn geheel de garantie van veilige software en is daarmee een nog groter 'vergeten' punt.
Software die is aangepast in het belang van overheden is geen veilige software.
Software die gebruik maakt van kwetsbaarheden om burgers aan te vallen is geen veilige software.
Misbruik van software is een gevaar, in de rij van misbruikers hoort ook thuis misbruik door overheden.
Pleiten voor veilige software is in het licht van allerlei plannen van overheden tot aanpassing en misbruik van software in eigen belang en dat gevaar niet benoemen is onhoudbaar. In het belang van overheden gecorrumpeerde sofware up to date houden heeft uiteindelijk geen zin, het beschermt de burger slechts tegen een deel van de dreigingen.
Misbruik door overheden werd onterecht niet aangekaart op de conferentie en daarmee ook in het artikel niet aangehaald.
Waarom dat allemaal niet wordt aangekaart is wel te begrijpen, maar niet goed te praten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
