image

Minister: expertise leveranciers commerciële hacksoftware onmisbaar

vrijdag 15 juli 2022, 14:27 door Redactie, 28 reacties

De Nederlandse autoriteiten zijn voor het gebruik van hacksoftware afhankelijk van de "onmisbare expertise" van commerciële leveranciers. Screening door de AIVD en bindende contractuele afspraken moeten risico's over het gebruik van dergelijke software door de politie wegnemen, zo heeft minister Yesilgöz van Justitie en Veiligheid laten weten tijdens een debat met de vaste commissie voor Justitie en Veiligheid over de politie.

In mei oordeelde de Inspectie Justitie en Veiligheid dat het gebruik van commerciële hacksoftware door de politie een risico blijft, aangezien de softwareleverancier toegang tot verkregen gegevens kan krijgen. Ook zijn er daardoor spanningen met het rechtskader. De Wet Computercriminaliteit III geeft politie de bevoegdheid om heimelijk een geautomatiseerd werk zoals een laptop of een smartphone van een verdachte binnen te dringen. De Inspectie Justitie en Veiligheid houdt toezicht op de inzet van deze hackbevoegdheid.

Volgens de Inspectie is de hacksoftware voor zowel de politie als Inspectie een 'black box' en is onbekend hoe die precies werkt. De softwareleverancier kan hierdoor toegang tot alle binnengehaalde informatie krijgen, wat een risico is. Een conclusie die de Inspectie eerder ook al in 2019 en 2020 stelde. De leverancier van de hacksoftware heeft de servers die de politie hiervoor gebruikt in technisch beheer en kan hier op afstand op inloggen om beheer- en supportwerkzaamheden uit te voeren.

Werkzaamheden die de leverancier uitvoert kunnen, mogelijk zelfs tijdens uitvoering van een bevel, gevolgen hebben voor de werking en functionaliteit van de software. Hoewel met de leverancier is afgesproken dat deze uitsluitend mag inloggen na toestemming van de politie, kan de politie dit niet technisch controleren of beperken. Tijdens het debat vroeg VVD-Kamerlid Michon-Derkzen hier opheldering over.

"Onmisbare expertise op dit terrein ligt bij commerciële partijen. Dat is wel wat het is. De Nederlandse overheid is in die zin vaker afhankelijk van goede samenwerking met commerciële partijen vanwege de onmisbare expertise. Daar heb ik het vaker over gehad in deze commissie. Het zal ook vaker gebeuren, maar dat is de realiteit waar we mee te dealen hebben", reageerde de minister.

Volgens Yesilgöz zijn er echter maatregelen genomen om de risico's te beperken. "Door screening door de AIVD van leveranciers van commerciële software en het maken van bindende contractuele afspraken met leveranciers wordt wel de integere uitvoering geborgd. Op die manier hebben we altijd de borging geregeld." Na de zomer verschijnt nog een evaluatie rapport over de Wet computercriminaliteit. De minister sluit niet uit dat er dan verder over het onderwerp wordt gesproken.

Reacties (28)
15-07-2022, 14:36 door Anoniem
Grote fout. Realiteit is dat het een politieke keuze is. Van mij hoef je geen medelijden te verwachten wanneer "the chickens have come home to roost'"
15-07-2022, 14:53 door Anoniem
Door Anoniem: Grote fout. Realiteit is dat het een politieke keuze is. Van mij hoef je geen medelijden te verwachten wanneer "the chickens have come home to roost'"

+1
15-07-2022, 15:08 door Anoniem
Nou, het zou mij niets verbazen als hier een antwoord op zal komen.
PEGASUS werd immers ook gedecteerd in veel landen.
https://www.security.nl/posting/712743/%22Journalisten+en+activisten+wereldwijd+bespioneerd+via+Pegasus-spyware%22
15-07-2022, 15:39 door Anoniem
Dan moet je die software niet gebruiken dus als je er niet op aan kunt dat het doet wat het moet doen en niets meer en niets minder dan dat...
Als de politie een auto koopt om patrouile te rijden is het toch van den zotte dat mercedes de auto stil kan zetten tijdens een zwaailicht scenario om de radio te updaten?
Of dat mercedes een seintje krijg waar de auto 24/7 is, welke snelheden, de gesprekken kan afluisteren in de politie auto...
En dat mercedes een server heeft draaien in het beveiligde gedeelte van de politie en daar via remote 24/7 bij kan en dus ook bij andere devices in dat datacenter?

Dan zou de wereld te klein zijn.... Als het Mercedes was.. Of Huawei... maar nu is een eng clubje met closed source software (ik dacht overheid = politie = open source tenzij) waarvan we WETEN dat het dubieus is.. maar dat is wel wat het is...
Ja, lekker makkelijk..

Beetje advocaat maakt hier natuurlijk gehakt van als dit als bewijs gebruikt gaat worden...
Waardoor je dit 'bewijs' alleen maar kunt gebruiken als indicatie...
Voordeel is wel dat onrechtmatig verkregen bewijs in Nederland niet lijkt te bestaan als ik de huis-jurist volg...
Maar dan moet het wel bewijs zijn wat staat als een huis... en dat lijkt hier niet het geval...
15-07-2022, 18:34 door Anoniem
Is dit legaliseren of gedoogen ?
Hacken mag niet.
15-07-2022, 19:10 door Anoniem
Komt (bijna) allemaal uit Israel. Idem voor monitoring en detectie tools.
15-07-2022, 20:03 door Anoniem
"Door screening door de AIVD van leveranciers van commerciële software en het maken van bindende contractuele afspraken met leveranciers wordt wel de integere uitvoering geborgd. Op die manier hebben we altijd de borging geregeld."

Deze gasten kunnen de AIVD hacken als ze er zin in hebben. Geen zaken mee doen. Geen legitimiteit geven. Hacken door commerciële bedrijven is fout. Lekken in vitale software laten zitten is fout. Deze bedrijven hebben een belang bij een kwetsbare internet infrastructuur. Burgers hebben een belang bij een veilig internet. Voor iedereen. Ook voor criminelen.
15-07-2022, 21:45 door Anoniem
Het lijkt er echt op dat ons kabinet een patent heeft op domme keuzes maken. "Just go with the flow," lijken ze wel te willen zeggen. Niet slim, maar wat had je anders verwacht? Slimme oplossingen? Van ons kabinet?
15-07-2022, 23:19 door Anoniem
Dan moet eerst Artikel 139d WvS van tafel.
Ieder jaar worden mensen vervolgd voor het ontwikkelen of voorhanden hebben van exploits,crypters,rat software etc...
15-07-2022, 23:41 door Anoniem
Door Anoniem: Dan moet je die software niet gebruiken dus als je er niet op aan kunt dat het doet wat het moet doen en niets meer en niets minder dan dat...
Als de politie een auto koopt om patrouile te rijden is het toch van den zotte dat mercedes de auto stil kan zetten tijdens een zwaailicht scenario om de radio te updaten?
Of dat mercedes een seintje krijg waar de auto 24/7 is, welke snelheden, de gesprekken kan afluisteren in de politie auto...
En dat mercedes een server heeft draaien in het beveiligde gedeelte van de politie en daar via remote 24/7 bij kan en dus ook bij andere devices in dat datacenter?

Dan zou de wereld te klein zijn.... Als het Mercedes was.. Of Huawei... maar nu is een eng clubje met closed source software (ik dacht overheid = politie = open source tenzij) waarvan we WETEN dat het dubieus is.. maar dat is wel wat het is...
Ja, lekker makkelijk..

Beetje advocaat maakt hier natuurlijk gehakt van als dit als bewijs gebruikt gaat worden...
Waardoor je dit 'bewijs' alleen maar kunt gebruiken als indicatie...
Voordeel is wel dat onrechtmatig verkregen bewijs in Nederland niet lijkt te bestaan als ik de huis-jurist volg...
Maar dan moet het wel bewijs zijn wat staat als een huis... en dat lijkt hier niet het geval...

Zouden er advocaten zijn die de licentie voorwaarden daadwerkelijk lezen zoals van Microsoft producten zoals Windows en Office? Microsoft legt heel goed uit wat privacy is, maar ook dat privacy voor Microsoft waarde heeft. En dan een langdurige sessie van duizenden woorden in juridische taal met als eindconclusie: Microsoft mag alles wat een advocaat typt of doet verkopen aan zakelijke partners, en de waardering voor privacy die Microsoft heeft wordt uitgedrukt in geld.

Of kijk naar websites: Wij waarderen uw privacy, of We value your privacy. Juridisch is privacy waarderen in geld correct in taal en uitleg. Maar je zou denken dat Microsoft privacy respecteert.

Hoe dan ook, Microsoft producten hebben geen 'hack' nodig. Windows is gewoon iets met voordeur.

En betreffende de AVG, daarvoor heeft de US de CLOUDACT aangenomen. Dat betekent dat US niet gebonden is aan welke regel de EU oplegt inzake bescherming persoonsgegevens.

Een duidelijk voorbeeld is dat 6 grote farmaceutische bedrijven grootaandeelhouder zijn van de software die huisartsen en ziekenhuizen gebruiken in vele landen, waarvan in Nederland er een data set van 72000 mensen aan Follow The Money is gegeven. Het is technisch niet mogelijk dit anoniem te doen.

Of Facebook die perongeluk op ziekenhuis inlog portalen draaide voor artsen en verpleegkundigen.
16-07-2022, 10:35 door karma4
Door Anoniem: Het lijkt er echt op dat ons kabinet een patent heeft op domme keuzes maken. "Just go with the flow," lijken ze wel te willen zeggen. Niet slim, maar wat had je anders verwacht? Slimme oplossingen? Van ons kabinet?
Hoeze domme keuzes?
Probeer eens als overheid met iets tegens de marktmacht in te werken. Het is nog nooit gelukt al is vele malen wel eens een poging ondernomen De communisten in de koude oorlog gingen er vrij ver in. Uiteindelijk zijn er vele tegenstanders dir je voor moet zien te blijven en nog meer individuen met persoonlijke belangen.
16-07-2022, 12:02 door Anoniem
"Door screening door de AIVD van leveranciers van commerciële software en het maken van bindende contractuele afspraken met leveranciers wordt wel de integere uitvoering geborgd. Op die manier hebben we altijd de borging geregeld."

how naive...
16-07-2022, 13:03 door Anoniem
Waarom niet technisch afdwingen dat de leverancier voor onderhoud toegang moet aanvragen?

Je weet inderdaad niet wat men met de data doet. Een stap zou kunnen zijn om bij verzameling alles te versleutelen waarvan de prive sleutel in bezit van onze overheid is. Dan kan men natuurlijk een onversleutelde kopie opslaan maar daartegen moet onze AIVD en wetgeving ons beschermen.

En anders zit er niks anders op dan zelf deze kennis en kunde in het land te houden. Dus niet dat het zoals Foxit opeens opgekocht kan worden. Ja zulke mensen zijn zeldzaam en dus duur....
16-07-2022, 15:34 door Anoniem
Fix your etc. en je hebt de data die je wilt hebben of ben die juist kwijt. Hoe niet snugger kun je zijn. Alles draait dankzij de schlemiel.
16-07-2022, 17:22 door Anoniem
Door Anoniem: Dan moet je die software niet gebruiken dus als je er niet op aan kunt dat het doet wat het moet doen en niets meer en niets minder dan dat...
Als de politie een auto koopt om patrouile te rijden is het toch van den zotte dat mercedes de auto stil kan zetten tijdens een zwaailicht scenario om de radio te updaten?
Daarentegen, als een stel criminelen met een Mercedes met 230km over de snelweg raced en weigert te stoppen voor
de politie, dan is het juist weer heel handig als de politie op een knop kan drukken die deze gevaarlijke situatie beeindigt.

En aangezien je echt wel mag aannemen dat de beheerders geen software gaan updaten als de auto rijdt, is de som van
deze 2 scenario's nog altijd voordelig. Ik vind het helemaal niet slecht als de politie of een daartoe aangewezen
beveiligingsbedrijf auto's stil kan zetten die gestolen zijn of die veel te hard rijden, wat jij ook voor scenario's verzint
waarin dat naar jouw idee niet goed zou zijn.
16-07-2022, 20:54 door Anoniem
Door Anoniem: "Door screening door de AIVD van leveranciers van commerciële software en het maken van bindende contractuele afspraken met leveranciers wordt wel de integere uitvoering geborgd. Op die manier hebben we altijd de borging geregeld."

how naive...
heb je ooit wel eens zo'n screening mogen ondervinden? Ik denk het niet want dan had je dit niet geschreven. Één rotte appel in de mand en je ligt er als bedrijf voorgoed uit.
16-07-2022, 21:16 door Remmilou
Door Anoniem: Komt (bijna) allemaal uit Israel. Idem voor monitoring en detectie tools.
Ja... en?
16-07-2022, 23:02 door Anoniem
Door Anoniem: Is dit legaliseren of gedoogen ?
Hacken mag niet.

Ben je echt zo dom ?

Ander voorbeeld : je mag geen vuurwapens bezitten.
Kom nu eens uit je kamer , loop over straat en observeer dat er daar tweetallen mensen lopen met herkenbare kleding (geel over de schouders) die een pistool op de heup dragen.

Huiswerk voor volgende week : ga eens wetboeken lezen voor regels & uitzonderingen.
17-07-2022, 02:27 door Anoniem
Wist je nog,

Je eerste internetverbinding,je eerste pc,
en hoe blij en nieuwsgierig wij allen waren

1995-1998

en nu hedendaags?

we raken steeds meer kwijt,
en we moeten van alles,en we moeten vooral
in de stress blijven vanwege privacy,security issues

2022
17-07-2022, 08:34 door Anoniem
Papieren borging.
17-07-2022, 12:17 door Anoniem
Door Anoniem: Wist je nog,

Je eerste internetverbinding,je eerste pc,
en hoe blij en nieuwsgierig wij allen waren

1995-1998

en nu hedendaags?

we raken steeds meer kwijt,
en we moeten van alles,en we moeten vooral
in de stress blijven vanwege privacy,security issues

2022

Ja ik weet nog heel goed dat ik het toen heel naief en zelfs wel dom vond dat er mensen waren die
riepen dat het internet helemaal vrij was, eigenlijk een soort parallelle samenleving waarin alles
mocht wat in de normale wereld verboden was. Ik snap niet hoe men dat kon denken.
Maar kennelijk zijn er nu in 2022 nog steeds mensen die dachten dat dat waar was en dat we
dat "kwijt geraakt zijn". Natuurlijk niet, het heeft nooit bestaan, het was alleen fantasialand.
En ik vind dat ook heel goed want we zien aan de drugsmafia hoe slecht het is als er een parallelle
samenleving is. In tegenstelling tot wat veel voorvechters van vrijheid en privacy in hun naiviteit
denken kan dat nooit blijvend functioneren, controle is altijd nodig om minkukels aan te kunnen pakken.
17-07-2022, 12:43 door Anoniem
Door Anoniem:
Door Anoniem: Is dit legaliseren of gedoogen ?
Hacken mag niet.

Ben je echt zo dom ?

Ander voorbeeld : je mag geen vuurwapens bezitten.
Kom nu eens uit je kamer , loop over straat en observeer dat er daar tweetallen mensen lopen met herkenbare kleding (geel over de schouders) die een pistool op de heup dragen.

Huiswerk voor volgende week : ga eens wetboeken lezen voor regels & uitzonderingen.

Ja, dat klopt. De beveiligers van de B.V. Nederland lopen inderdaad met vuurwapens rond.
17-07-2022, 12:47 door Anoniem
De expertise van minsters die eens goed op hun plaat zijn gegaan is eveneens onmisbaar.
17-07-2022, 14:48 door Anoniem
Het is vrij simpel, als we als samenleving niet bereid zijn het zelfde geld te betalen aan mensen als de corporate wereld dat doet, dan zal je als overheid extern moeten inkopen als oplossing.
18-07-2022, 08:33 door Anoniem
Door Anoniem: Het is vrij simpel, als we als samenleving niet bereid zijn het zelfde geld te betalen aan mensen als de corporate wereld dat doet, dan zal je als overheid extern moeten inkopen als oplossing.
+1
18-07-2022, 14:14 door Anoniem
Wat een discussie. Wil ik naar binnen bij een militair object dan gat d slagboom alleen open wanneer ik persoonlijk geautoriseerd ben. Zeg ik en bewijs ik dat ik de burgemeester ben dan kan ik de toegang wel het schudden zo lang ik niet over een token beschik. "Heeft u als burgemeester hier iets te maken?" Simpele toegangscontrole werkt het beste.

Een leverancier wil toegang tot een gedeelte van het systeem. hij vraagt gemotiveerd toegang aan Security. Wanneer deze aanvraag gegrond is krijgt de leverancier een random gegenereerde sleutel die deze tezamen met een persoonlijk identificatietoken invoert bij de inlog. Daarna logt het systeem hem in. Simpel toch. Heeft een leverancier bezwaar tegen dezse procedure, dan is dat pech. Hij komt er niet in.

Een betrouwbare leverancier heeft geen bezwaar tegen een securityprotocol, waarom zou-ie. Een onbetrouwbare wel.

Je kunt dit verzwaren door meerdere tokens te verlangen, zoals biometrische. 't is toch eigenlijk veel simpeler dan integriteitsverklaringen of vodjes papier.

Even oppassen met commentaar. Een voorbeeld van een denkwijze. Vele variaties denkbaar.

Haal ik nog Einstein aan: "Een gerezen probleem los je niet op met dezelfde denkwijze waarbij het ontstond."
18-07-2022, 15:35 door Anoniem
Door Anoniem:
"Door screening door de AIVD van leveranciers van commerciële software en het maken van bindende contractuele afspraken met leveranciers wordt wel de integere uitvoering geborgd. Op die manier hebben we altijd de borging geregeld."

Deze gasten kunnen de AIVD hacken als ze er zin in hebben. Geen zaken mee doen. Geen legitimiteit geven. Hacken door commerciële bedrijven is fout. Lekken in vitale software laten zitten is fout. Deze bedrijven hebben een belang bij een kwetsbare internet infrastructuur. Burgers hebben een belang bij een veilig internet. Voor iedereen. Ook voor criminelen.

Ik ben het voor een groot deel met deze stelling eens. Hier compromitteer je toch onze nationale veiligheid mee? Je denkt toch niet dat onze natiionale veiligheid in het belang is van een privaat commercieel bedrijf (als het al geen dekmantel is)?
21-07-2022, 11:05 door Anoniem
"NSO employees told me that the company was unaware of the hack. One of them said, “We hear about every, every phone call that is being hacked over the globe, we get a report immediately”

meestal backdoor, of phone home constructie in agent of saas back-end.

https://www.newyorker.com/magazine/2022/04/25/how-democracies-spy-on-their-citizens

maakt niet uit wat er in het contract wordt geschreven..... wordt er reverse enginnering en static/dyn sandb analyses op alle betrokken binaries

Warme groeten aan .... Martijn
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.