Kabinet zou zero day-lekken langer geheim willen houden
Het kabinet zou zero day-lekken waarvoor nog geen beveiligingsupdate van de fabrikant of ontwikkelaar bestaat langer geheim willen houden om toegang tot de computers en telefoons van verdachten te krijgen, zo laten bronnen aan de Telegraaf weten.
Het plan zou onderdeel van het wetsvoorstel Computercriminaliteit III zijn, dat politie de bevoegdheid geeft om op afstand op de systemen van verdachten in te breken. Het kabinet had eerder aangegeven dat dergelijke kwetsbaarheden na te zijn gebruikt door politie vervolgens direct aan het betreffende softwarebedrijf zouden worden gemeld, zodat er een beveiligingsupdate kon worden gemaakt.
Nu zou het kabinet dit soort kwetsbaarheden langer geheim willen houden, zodat het tot meer telefoons en computers van verdachten toegang kan krijgen. Experts hebben gewaarschuwd dat deze werkwijze zeer risicovol is, aangezien ook criminelen van dergelijke kwetsbaarheden misbruik kunnen maken. Hoe langer een kwetsbaarheid openstaat, hoe meer systemen van burgers, overheden en bedrijven zij hierdoor kunnen aanvallen.
Zoals gebruikelijk gedraagt de Roverheid zich meer als crimineel dan als 'beschermer' van de burger. What else is new?
Dit lijkt me dus een slecht plan. Daarnaast lijkt het mij dat de politie het niet van zero day lekken moet hebben, die hebben voldoende samenwerking met netwerk providers en ISP's om de hackbevoegdheid goed uit te kunnen voeren zonder gebruik van zero day lekken. Daarnaast kunnen ze die medewerking vorderen en hebben ze ook andere bijzondere opsporingbevoegdheden die bij de uitvoering van deze wet kunnen helpen. Laat ze dan maar wat vaker heimelijk de woning van verdachten betreden om de computer te hacken, dat mogen ze nu ook in bijzondere gevallen om afluister apparatuur te plaatsen. Waarom dan niet om spyware op de computer van een boef te plaatsen.
Hoeveel is langer precies dan? 1 dag, 1 week, 1 maand, 1 jaar?
Ik zie de ramp al aankomen. Langer betekent hier waarschijnlijk: "nooit bekendmaken" waardoor bedrijven en consumenten onnodig gevaar gaan lopen.
Draait de overheid dan ook op voor de schade straks?
De burgers moeten alles via internet regelen, maar van het belang van een veilig os hebben ze geen begrip.
https://en.wikipedia.org/wiki/Vupen
Dit is een zeer interessante vraag die Arnoud Engelfriet misschien kan beantwoorden.
Een onderzoeker, die een kwetsbaarheid vindt, is ook niet verantwoordelijk te stellen als hij het niet bij de leverancier van de software meldt. Het probleem hier lijkt mij dat software leveranciers al jaren, met groot succes, het grootste deel van hun verantwoordelijkheid af hebben kunnen schuiven.
Er is, volgens mij, echter nog nooit een zaak geweest over het bewust achterhouden van informatie over een gevaarlijke situatie.
Peter
Een beetje criminele organisatie wordt ook klant bij dergelijke leveranciers.
Bronnen van de Telegraaf zijn bronnen vol met vraagtekens. Ook hier komt dé sensatiebode van Nederland niet verder met als bronvermelding: 'Haagse bronnen'.
Moet ik daar een betrouwbaarheidsfactor uit halen? Neen dat ga ik niet doen.
Bronnen van de Telegraaf zijn bronnen vol met vraagtekens. Ook hier komt dé sensatiebode van Nederland niet verder met als bronvermelding: 'Haagse bronnen'.
Moet ik daar een betrouwbaarheidsfactor uit halen? Neen dat ga ik niet doen.
Bewust systemen onveilig maken/ laten om jezelf informatie te laten verzamelen is niet de oplossing.
Niet zolang de aanvaller dezelfde mogelijkheid heeft.
Bronnen van de Telegraaf zijn bronnen vol met vraagtekens. Ook hier komt dé sensatiebode van Nederland niet verder met als bronvermelding: 'Haagse bronnen'.
Moet ik daar een betrouwbaarheidsfactor uit halen? Neen dat ga ik niet doen.
'tuurlijk! Voor het referentiekader.
Zo lang de overheid niet transparant en open is, kan je dat ook niet verwachten de rest van de wereld.
Dus we blijven lekker door modderen.
1) Doe een slecht voorstel, bijvoorbeeld backdoor
2) Merk dat het een slecht idee is bij de burger, academic etc.
3) Doe dan een tweede slecht voorstel, bijvoorbeeld hacken
4) zeg/impliceer dan : het ene voorstel OF het andere, je moet kiezen
terwijl het 2 slechte voorstellen blijven, en een 3e alternatief moet worden gezocht.
Laat je dan als wetgever wel helpen, wees transparant over doelstellingen, en betrek vele (ook niet politiek) in de oplossing.
Dat is politiek 2.0 zoals het zou moeten
En wat als de slotenfabrikant zonder dat ik het wist de hele straat van sloten heeft voorzien met dezelfde sleutels, zodat de wijkagent er daar ook makkelijk een van kon aanschaffen?
En als ik erachter kom dat de fabrikant dat wist, kan ik hem dan aansprakelijk stellen als er wat is gestolen en de verzekering betaalt niet uit (want geen braaksporen) en kan dat nog steeds als die fabrikant mij niet op de hoogte mocht stellen van de politie?
Het wordt er allemaal niet transparanter van.
Joffer Wedersmeer: `Er bestaat geen grijs. Alleen wit dat vuil is geworden.`
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
