image

Nederland zet veilige software op internationale agenda

vrijdag 17 april 2015, 10:24 door Redactie, 5 reacties

Tijdens de Global Conference on CyberSpace (GCCS) die deze week in Den Haag plaatsvindt zet Nederland zich onder andere in voor veilige software, dat mede door het Internet of Things steeds belangrijker wordt. Dat zegt Wilma van Dijk, plaatsvervangend Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) in een interview met Security.nl. Vanuit het Nationaal Cyber Security Center (NCSC), dat onderdeel van de NCTV is, wordt er elk jaar een dreigingsbeeld opgesteld met cyberdreigingen. Naast cybercrime en cyberspionage noemt Van Dijk ook het Internet of Things als risico en kans, zeker nu er steeds meer apparaten met internet zijn verbonden. Apparaten die niet altijd worden geüpdatet.

"Wat wij zien is dat het updaten van software niet voldoende op het netvlies van gebruikers staat, maar ook niet van de leveranciers van deze software en producten. Daarbij komt dat juist door het Internet of Things, software voor gebruikers steeds onzichtbaarder wordt. Als je dingen aan het internet verbindt moet je ook de verantwoordelijkheid nemen dat de software wordt geüpdatet en dat je er ook voor zorgt dat als het product overgedragen wordt aan een ander het updaten niet verloren gaat."

Volgens Van Dijk moeten leveranciers zich dan ook voor automatische updates inzetten. "Het is een uitdaging voor en een vraag aan leveranciers om te kijken welke middelen er daarvoor zijn en het automatisch updaten is daar een voorbeeld van." Vanuit de overheid vindt er met verschillende partijen zoals ICT Nederland en leveranciers overleg plaats hoe hier stappen in kunnen worden genomen. Het is ook een onderwerp dat Nederland deze week op de internationale agenda zet. Er wordt bijvoorbeeld gedacht aan normen en standaarden voor software en dan vooral op Europees gebied.

Van Dijk verwacht dat veilige software en het vraagstuk van ICT Duurzaamheid, software die niet gemaakt is om zolang mee te gaan, maar nog wel wordt gebruikt, niet een-twee-drie is opgelost. Ze maakt de vergelijking met veilige auto's. Voordat er veilige auto's verschenen ging hier een proces van jaren aan vooraf. Om de oplossing van dit probleem te versnellen is het daarom belangrijk om te kijken wie welke rol vervult. "Aan de ene kant moet de gebruiker zoveel mogelijk zijn eigen risico's inperken en heeft hij daarin een eigen verantwoordelijkheid, maar een producent heeft ook een verantwoordelijkheid waar het gaat om software aan te bieden waarop vertrouwd kan worden en waar niet mee te sjoemelen is."

Het komt ook voor dat er kwetsbaarheden in software aanwezig zijn die niet meteen zichtbaar zijn, iets wat het een lastig onderwerp maakt, merkt Van Dijk op. Ze stelt dat de inzet voor veilige software op Europees niveau moet worden aangepakt. Nederland zal in ieder geval niet met wetgeving komen die bedrijven bijvoorbeeld verplicht om veilige software te maken. Bij de gesprekken die deze week plaatsvinden zullen meerdere partijen betrokken zijn. "Juist dit gesprek moet je voeren met degenen die de producten op de markt brengen, dit willen verkopen en de overheden die er belang bij hebben dat software veilig is", laat Van Dijk weten.

Ze merkt op dat de bevindingen van de gesprekken, die deze week tijdens de GCCS over het onderwerp plaatsvinden, zullen worden meegenomen naar het EU-voorzitterschap van Nederland in 2016. "En daar zal dit thema ook zeker op de agenda komen."

Reacties (5)
17-04-2015, 14:05 door Anoniem
'Veilige' software gebruiken ?


[X] GAMMA FINFISHER TROJAN

Nederlandse politie gaf 2,7 miljoen euro uit aan FinFisher-spyware
….
Dit blijkt uit documenten die via Wikileaks zijn uitgelekt.

De uitgelekte documenten bevatten het klantenbestand van Gamma, dat door hackers is buitgemaakt. Uit dit bestand is af te leiden dat de Nederlandse politie in totaal 16 licenties heeft afgenomen bij Gamma. Het gaat om licenties voor FinSpy, FinSpy Mobile en FinFly USB. Voor de licenties betaalde de Nederlandse politie in totaal 2.741.760 euro.
http://infosecuritymagazine.nl/2014/09/15/nederlandse-politie-gaf-27-miljoen-euro-uit-aan-finfisher-spyware/

[X] Finfisher
FinFisher, also known as FinSpy, is surveillance software marketed by Lench IT solutions PLC with a UK-based branch Gamma International Ltd in Andover, England, and a Germany-based branch Gamma International GmbH in Munich, which markets the spyware through law enforcement channels
https://en.wikipedia.org/wiki/FinFisher

[X] Malware installeren op computers van anderen : GAMMA FINFISHER TROJAN
https://www.wikileaks.org/spyfiles/list/tags/gamma-finfisher-trojan.html

[X] 'Veilige software' inzetten tegen politiek activisme
"Cyber Attacks on Activists Traced to FinFisher Spyware of Gamma"
http://www.bloomberg.com/news/articles/2012-07-25/cyber-attacks-on-activists-traced-to-finfisher-spyware-of-gamma

[X] Welke landen gebruiken deze 'heilige' software al ?
http://www.zdnet.com/article/top-govt-spyware-company-hacked-gammas-finfisher-leaked/

[X] Praktijk voorbeeldje
From Bahrain With Love: FinFisher’s Spy Kit Exposed?
https://citizenlab.org/2012/07/from-bahrain-with-love-finfishers-spy-kit-exposed/

Publicly available descriptions of the FinSpy tool collected by Privacy International among others and posted on Wikileaks8 make the a series of claims about functionality:

? Bypassing of 40 regularly tested Antivirus Systems
? Covert Communication with Headquarters
? Full Skype Monitoring (Calls, Chats, File Transfers, Video, Contact List)
? Recording of common communication like Email, Chats and Voice-over-IP
? Live Surveillance through Webcam and Microphone
? Country Tracing of Target
? Silent Extracting of Files from Hard-Disk
? Process-based Key-logger for faster analysis
? Live Remote Forensics on Target System
? Advanced Filters to record only important information
? Supports most common Operating Systems (Windows, Mac OSX and Linux)


[XXX] Nederland vergat gebruik 'heilige' software op internationale de agenda te zetten …
17-04-2015, 14:35 door Anoniem
Misschien kan mevrouw van Dijk ook iets nieuws vertellen, dit is al jaren bekend. En er bestaat niet zoiets als veilig software en als ze wat verstand ervan had weet zij dat ook. Zelfs al zou er "veilig software" bestaan is het nog altijd de mens die de zwakste schakel is (wat overigens ook al jaren bekend is).
17-04-2015, 19:06 door Anoniem
Door Anoniem: 'Veilige' software gebruiken ?


[X] GAMMA FINFISHER TROJAN

Nederlandse politie gaf 2,7 miljoen euro uit aan FinFisher-spyware
….
Dit blijkt uit documenten die via Wikileaks zijn uitgelekt.

De uitgelekte documenten bevatten het klantenbestand van Gamma, dat door hackers is buitgemaakt. Uit dit bestand is af te leiden dat de Nederlandse politie in totaal 16 licenties heeft afgenomen bij Gamma. Het gaat om licenties voor FinSpy, FinSpy Mobile en FinFly USB. Voor de licenties betaalde de Nederlandse politie in totaal 2.741.760 euro.
http://infosecuritymagazine.nl/2014/09/15/nederlandse-politie-gaf-27-miljoen-euro-uit-aan-finfisher-spyware/

[X] Finfisher
FinFisher, also known as FinSpy, is surveillance software marketed by Lench IT solutions PLC with a UK-based branch Gamma International Ltd in Andover, England, and a Germany-based branch Gamma International GmbH in Munich, which markets the spyware through law enforcement channels
https://en.wikipedia.org/wiki/FinFisher

[X] Malware installeren op computers van anderen : GAMMA FINFISHER TROJAN
https://www.wikileaks.org/spyfiles/list/tags/gamma-finfisher-trojan.html

[X] 'Veilige software' inzetten tegen politiek activisme
"Cyber Attacks on Activists Traced to FinFisher Spyware of Gamma"
http://www.bloomberg.com/news/articles/2012-07-25/cyber-attacks-on-activists-traced-to-finfisher-spyware-of-gamma

[X] Welke landen gebruiken deze 'heilige' software al ?
http://www.zdnet.com/article/top-govt-spyware-company-hacked-gammas-finfisher-leaked/

[X] Praktijk voorbeeldje
From Bahrain With Love: FinFisher’s Spy Kit Exposed?
https://citizenlab.org/2012/07/from-bahrain-with-love-finfishers-spy-kit-exposed/

Publicly available descriptions of the FinSpy tool collected by Privacy International among others and posted on Wikileaks8 make the a series of claims about functionality:

? Bypassing of 40 regularly tested Antivirus Systems
? Covert Communication with Headquarters
? Full Skype Monitoring (Calls, Chats, File Transfers, Video, Contact List)
? Recording of common communication like Email, Chats and Voice-over-IP
? Live Surveillance through Webcam and Microphone
? Country Tracing of Target
? Silent Extracting of Files from Hard-Disk
? Process-based Key-logger for faster analysis
? Live Remote Forensics on Target System
? Advanced Filters to record only important information
? Supports most common Operating Systems (Windows, Mac OSX and Linux)


[XXX] Nederland vergat gebruik 'heilige' software op internationale de agenda te zetten …

Dank u wel voor deze uitgebreide en volledige reactie.
18-04-2015, 08:37 door Anoniem
Dit artikel gaat over het maken van bug vrije software. Niet over malware zoals Finfisher.
20-04-2015, 13:38 door Anoniem
Door Anoniem: Dit artikel gaat over het maken van bug vrije software. Niet over malware zoals Finfisher.

'De' Risico's waar (niet) over gesproken wordt
Naast cybercrime en cyberspionage noemt Van Dijk ook het Internet of Things als risico

Niet genoemd risico : onveilige software voor en door overheden

De strategisch vergeten dreiging op de hele conferentie : dreiging door overheidssurveillance

Een component van die overheidssurveillance is een attackerende overheid :

- overheidshacking met gebruik van hacksoftware
- overheidshacking met gebruik van kwetsbaarheden in software
- overheidshacking met gebruik van backdoors in software
- overheidshacking met gebruik van extra ontsleutel mogelijkheden en rechten voor overheden in software

Software die voor overheidssurveillance wordt ingezet maakt zelf ook gebruik van kwetsbaarheden in software, misschien ook nog wel van bewust stilgehouden kwetsbaarheden in software. Op grote schaal wordt er gehandeld in zero days voor bedragen die juist alleen overheden zich kunnen veroorloven.
Hier raakt het gebruik van FinFisher aan de discussie.

De overheid maakt gebruik van voor burgers bedreigende software, niet veilige software.
Die software zal vermoedelijk waar het kan gebruikmaken van gaten en kwetsbaarheden in software. De duurste zero days's zullen weliswaar gebruikt worden voor spionage of high profile targeted attacks, in de lagere regionen zullen kwetsbaarheden breder ingezet kunnen en zullen worden.
Makers van spionage en hacksoftware zullen daarbij ongetwijfeld hun eigen arsenaal aan gevonden kwetsbaarheden beheren en inzetten.

Het promoten van veiliger software is wederom nogal dubbel als overheden juist gebruikmaken van kwetsbaarheden in software of zelfs actief inzetten op het minder veilig maken van software, het corrumperen van versleutelingstechnieken, verzoeken of eisen dat er voor overheden backdoors moeten worden ingebouwd, voorstellen dat er in software een Frontdoor komt (overheden krijgen een eigen voordeur sleutel).

Het verlagen van beveiliging in software uit eigen belang heeft niets te maken met het opkomen voor veilige software.
Je hebt dan ook in zekere zin gelijk, dit artikel raakt niet alleen aan malware als FinFisher, het optreden van overheden raakt in zijn geheel de garantie van veilige software en is daarmee een nog groter 'vergeten' punt.

Software die is aangepast in het belang van overheden is geen veilige software.
Software die gebruik maakt van kwetsbaarheden om burgers aan te vallen is geen veilige software.

Misbruik van software is een gevaar, in de rij van misbruikers hoort ook thuis misbruik door overheden.
Pleiten voor veilige software is in het licht van allerlei plannen van overheden tot aanpassing en misbruik van software in eigen belang en dat gevaar niet benoemen is onhoudbaar. In het belang van overheden gecorrumpeerde sofware up to date houden heeft uiteindelijk geen zin, het beschermt de burger slechts tegen een deel van de dreigingen.

Misbruik door overheden werd onterecht niet aangekaart op de conferentie en daarmee ook in het artikel niet aangehaald.
Waarom dat allemaal niet wordt aangekaart is wel te begrijpen, maar niet goed te praten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.