FBI bevestigt gebruik van zero day-lekken
De FBI maakt gebruik van zero day-lekken in software om toegang tot de systemen van verdachten te krijgen, zo heeft FBI-topvrouw Amy Hess tegenover de Washington Post laten weten. Zero day-lekken zijn kwetsbaarheden waarvoor het softwarebedrijf in kwestie nog geen update heeft uitgebracht.
Het gebruik van dit soort beveiligingslekken is wel iets waar de FBI mee worstelt, aldus Hess. "Wat is beter voor het algemeen belang - iemand kunnen identificeren die de openbare veiligheid bedreigt? Of de softwarebedrijven op de kwetsbaarheden wijzen, die als ze ongepatcht blijven, consumenten risico kunnen laten lopen?" Volgens Hess is het vinden van de juiste balans hierin een 'continue uitdaging' voor de FBI.
Daarbij merkt ze op dat het hacken van computers geen geliefde techniek is bij de FBI. "Het is gevoelig", zo laat ze weten. Zodra softwarebedrijven beveiligingsupdates uitbrengen is de aanvalsvector verdwenen. Het is dan ook niet zo betrouwbaar als het plaatsen van een traditionele tap, voegt Hess toe.
Onzin - er zijn diensten die dingen mogen waar je totaal geen weet van hebt. Veel is geregeld en netjes gedocumenteerd, maar er zal altijd een schimmig, grijs hoekje bij de overheid blijven waar regeltjes per definitie niet gelden...
(edit: linkje naar stuk van Tweakers.net waarin gesproken wordt over wat de AIVD/MIVD mag en niet mag - hacken van computers mag zonder toestemming: https://tweakers.net/reviews/4099/wat-mogen-de-geheime-diensten-straks.html)
Trouwens - zoals Buran al stelt - door dit verhaal van de FBI verandert er wel degelijk iets. Een vermoeden (dat iedereen al had) wordt nu bevestigd. En dus kan je nu in plaats van wat rondtoeteren op alu-hoedjes sites over wat de FBI allemaal doet, verhaal halen bij de overheid. Wat vindt de rechter hiervan? Wat denkt het Witte Huis hier aan te gaan doen? Vermoedens konden ze ontkennen, bekentenissen niet...
Bekend, en ook al lang en breed toegegeven. Hieronder een voorbeeld uit 2013 -
Here's that FBI Firefox Exploit for You (CVE-2013-1690)
https://community.rapid7.com/community/metasploit/blog/2013/08/07/heres-that-fbi-firefox-exploit-for-you-cve-2013-1690
Dit is inderdaad niets nieuws. Het eerder genoemde boek van Kim Zetter gaat hier ook dieper op in.
Hoe denk je dat de recherche zaken aanpakt als het plaatsen van afluister apparatuur in een woning, of bij inkijk operaties ? Dan is er geen sprake van een huiszoekingsbevel, en dan wordt je niet geinformeerd.
''De Dienst Specialistische Recherche Toepassingen (DSRT) is een onderdeel van het Korps landelijke politiediensten (KLPD) maar is ondersteunend aan de gehele Nederlandse politie bij de inzet van specialistische technologie en tactieken. Zo zorgt de DSRT onder andere voor het plaatsen van afluisterapparatuur, infiltratie, inkijkoperaties en het aftappen van communicatie.''
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
