Minister: expertise leveranciers commerciële hacksoftware onmisbaar
De Nederlandse autoriteiten zijn voor het gebruik van hacksoftware afhankelijk van de "onmisbare expertise" van commerciële leveranciers. Screening door de AIVD en bindende contractuele afspraken moeten risico's over het gebruik van dergelijke software door de politie wegnemen, zo heeft minister Yesilgöz van Justitie en Veiligheid laten weten tijdens een debat met de vaste commissie voor Justitie en Veiligheid over de politie.
In mei oordeelde de Inspectie Justitie en Veiligheid dat het gebruik van commerciële hacksoftware door de politie een risico blijft, aangezien de softwareleverancier toegang tot verkregen gegevens kan krijgen. Ook zijn er daardoor spanningen met het rechtskader. De Wet Computercriminaliteit III geeft politie de bevoegdheid om heimelijk een geautomatiseerd werk zoals een laptop of een smartphone van een verdachte binnen te dringen. De Inspectie Justitie en Veiligheid houdt toezicht op de inzet van deze hackbevoegdheid.
Volgens de Inspectie is de hacksoftware voor zowel de politie als Inspectie een 'black box' en is onbekend hoe die precies werkt. De softwareleverancier kan hierdoor toegang tot alle binnengehaalde informatie krijgen, wat een risico is. Een conclusie die de Inspectie eerder ook al in 2019 en 2020 stelde. De leverancier van de hacksoftware heeft de servers die de politie hiervoor gebruikt in technisch beheer en kan hier op afstand op inloggen om beheer- en supportwerkzaamheden uit te voeren.
Werkzaamheden die de leverancier uitvoert kunnen, mogelijk zelfs tijdens uitvoering van een bevel, gevolgen hebben voor de werking en functionaliteit van de software. Hoewel met de leverancier is afgesproken dat deze uitsluitend mag inloggen na toestemming van de politie, kan de politie dit niet technisch controleren of beperken. Tijdens het debat vroeg VVD-Kamerlid Michon-Derkzen hier opheldering over.
"Onmisbare expertise op dit terrein ligt bij commerciële partijen. Dat is wel wat het is. De Nederlandse overheid is in die zin vaker afhankelijk van goede samenwerking met commerciële partijen vanwege de onmisbare expertise. Daar heb ik het vaker over gehad in deze commissie. Het zal ook vaker gebeuren, maar dat is de realiteit waar we mee te dealen hebben", reageerde de minister.
Volgens Yesilgöz zijn er echter maatregelen genomen om de risico's te beperken. "Door screening door de AIVD van leveranciers van commerciële software en het maken van bindende contractuele afspraken met leveranciers wordt wel de integere uitvoering geborgd. Op die manier hebben we altijd de borging geregeld." Na de zomer verschijnt nog een evaluatie rapport over de Wet computercriminaliteit. De minister sluit niet uit dat er dan verder over het onderwerp wordt gesproken.
+1
PEGASUS werd immers ook gedecteerd in veel landen.
https://www.security.nl/posting/712743/%22Journalisten+en+activisten+wereldwijd+bespioneerd+via+Pegasus-spyware%22
Als de politie een auto koopt om patrouile te rijden is het toch van den zotte dat mercedes de auto stil kan zetten tijdens een zwaailicht scenario om de radio te updaten?
Of dat mercedes een seintje krijg waar de auto 24/7 is, welke snelheden, de gesprekken kan afluisteren in de politie auto...
En dat mercedes een server heeft draaien in het beveiligde gedeelte van de politie en daar via remote 24/7 bij kan en dus ook bij andere devices in dat datacenter?
Dan zou de wereld te klein zijn.... Als het Mercedes was.. Of Huawei... maar nu is een eng clubje met closed source software (ik dacht overheid = politie = open source tenzij) waarvan we WETEN dat het dubieus is.. maar dat is wel wat het is...
Ja, lekker makkelijk..
Beetje advocaat maakt hier natuurlijk gehakt van als dit als bewijs gebruikt gaat worden...
Waardoor je dit 'bewijs' alleen maar kunt gebruiken als indicatie...
Voordeel is wel dat onrechtmatig verkregen bewijs in Nederland niet lijkt te bestaan als ik de huis-jurist volg...
Maar dan moet het wel bewijs zijn wat staat als een huis... en dat lijkt hier niet het geval...
Deze gasten kunnen de AIVD hacken als ze er zin in hebben. Geen zaken mee doen. Geen legitimiteit geven. Hacken door commerciële bedrijven is fout. Lekken in vitale software laten zitten is fout. Deze bedrijven hebben een belang bij een kwetsbare internet infrastructuur. Burgers hebben een belang bij een veilig internet. Voor iedereen. Ook voor criminelen.
Ieder jaar worden mensen vervolgd voor het ontwikkelen of voorhanden hebben van exploits,crypters,rat software etc...
Als de politie een auto koopt om patrouile te rijden is het toch van den zotte dat mercedes de auto stil kan zetten tijdens een zwaailicht scenario om de radio te updaten?
Of dat mercedes een seintje krijg waar de auto 24/7 is, welke snelheden, de gesprekken kan afluisteren in de politie auto...
En dat mercedes een server heeft draaien in het beveiligde gedeelte van de politie en daar via remote 24/7 bij kan en dus ook bij andere devices in dat datacenter?
Dan zou de wereld te klein zijn.... Als het Mercedes was.. Of Huawei... maar nu is een eng clubje met closed source software (ik dacht overheid = politie = open source tenzij) waarvan we WETEN dat het dubieus is.. maar dat is wel wat het is...
Ja, lekker makkelijk..
Beetje advocaat maakt hier natuurlijk gehakt van als dit als bewijs gebruikt gaat worden...
Waardoor je dit 'bewijs' alleen maar kunt gebruiken als indicatie...
Voordeel is wel dat onrechtmatig verkregen bewijs in Nederland niet lijkt te bestaan als ik de huis-jurist volg...
Maar dan moet het wel bewijs zijn wat staat als een huis... en dat lijkt hier niet het geval...
Zouden er advocaten zijn die de licentie voorwaarden daadwerkelijk lezen zoals van Microsoft producten zoals Windows en Office? Microsoft legt heel goed uit wat privacy is, maar ook dat privacy voor Microsoft waarde heeft. En dan een langdurige sessie van duizenden woorden in juridische taal met als eindconclusie: Microsoft mag alles wat een advocaat typt of doet verkopen aan zakelijke partners, en de waardering voor privacy die Microsoft heeft wordt uitgedrukt in geld.
Of kijk naar websites: Wij waarderen uw privacy, of We value your privacy. Juridisch is privacy waarderen in geld correct in taal en uitleg. Maar je zou denken dat Microsoft privacy respecteert.
Hoe dan ook, Microsoft producten hebben geen 'hack' nodig. Windows is gewoon iets met voordeur.
En betreffende de AVG, daarvoor heeft de US de CLOUDACT aangenomen. Dat betekent dat US niet gebonden is aan welke regel de EU oplegt inzake bescherming persoonsgegevens.
Een duidelijk voorbeeld is dat 6 grote farmaceutische bedrijven grootaandeelhouder zijn van de software die huisartsen en ziekenhuizen gebruiken in vele landen, waarvan in Nederland er een data set van 72000 mensen aan Follow The Money is gegeven. Het is technisch niet mogelijk dit anoniem te doen.
Of Facebook die perongeluk op ziekenhuis inlog portalen draaide voor artsen en verpleegkundigen.
Probeer eens als overheid met iets tegens de marktmacht in te werken. Het is nog nooit gelukt al is vele malen wel eens een poging ondernomen De communisten in de koude oorlog gingen er vrij ver in. Uiteindelijk zijn er vele tegenstanders dir je voor moet zien te blijven en nog meer individuen met persoonlijke belangen.
how naive...
Je weet inderdaad niet wat men met de data doet. Een stap zou kunnen zijn om bij verzameling alles te versleutelen waarvan de prive sleutel in bezit van onze overheid is. Dan kan men natuurlijk een onversleutelde kopie opslaan maar daartegen moet onze AIVD en wetgeving ons beschermen.
En anders zit er niks anders op dan zelf deze kennis en kunde in het land te houden. Dus niet dat het zoals Foxit opeens opgekocht kan worden. Ja zulke mensen zijn zeldzaam en dus duur....
Als de politie een auto koopt om patrouile te rijden is het toch van den zotte dat mercedes de auto stil kan zetten tijdens een zwaailicht scenario om de radio te updaten?
de politie, dan is het juist weer heel handig als de politie op een knop kan drukken die deze gevaarlijke situatie beeindigt.
En aangezien je echt wel mag aannemen dat de beheerders geen software gaan updaten als de auto rijdt, is de som van
deze 2 scenario's nog altijd voordelig. Ik vind het helemaal niet slecht als de politie of een daartoe aangewezen
beveiligingsbedrijf auto's stil kan zetten die gestolen zijn of die veel te hard rijden, wat jij ook voor scenario's verzint
waarin dat naar jouw idee niet goed zou zijn.
how naive...
Hacken mag niet.
Ben je echt zo dom ?
Ander voorbeeld : je mag geen vuurwapens bezitten.
Kom nu eens uit je kamer , loop over straat en observeer dat er daar tweetallen mensen lopen met herkenbare kleding (geel over de schouders) die een pistool op de heup dragen.
Huiswerk voor volgende week : ga eens wetboeken lezen voor regels & uitzonderingen.
Je eerste internetverbinding,je eerste pc,
en hoe blij en nieuwsgierig wij allen waren
1995-1998
en nu hedendaags?
we raken steeds meer kwijt,
en we moeten van alles,en we moeten vooral
in de stress blijven vanwege privacy,security issues
2022
Je eerste internetverbinding,je eerste pc,
en hoe blij en nieuwsgierig wij allen waren
1995-1998
en nu hedendaags?
we raken steeds meer kwijt,
en we moeten van alles,en we moeten vooral
in de stress blijven vanwege privacy,security issues
2022
Ja ik weet nog heel goed dat ik het toen heel naief en zelfs wel dom vond dat er mensen waren die
riepen dat het internet helemaal vrij was, eigenlijk een soort parallelle samenleving waarin alles
mocht wat in de normale wereld verboden was. Ik snap niet hoe men dat kon denken.
Maar kennelijk zijn er nu in 2022 nog steeds mensen die dachten dat dat waar was en dat we
dat "kwijt geraakt zijn". Natuurlijk niet, het heeft nooit bestaan, het was alleen fantasialand.
En ik vind dat ook heel goed want we zien aan de drugsmafia hoe slecht het is als er een parallelle
samenleving is. In tegenstelling tot wat veel voorvechters van vrijheid en privacy in hun naiviteit
denken kan dat nooit blijvend functioneren, controle is altijd nodig om minkukels aan te kunnen pakken.
Hacken mag niet.
Ben je echt zo dom ?
Ander voorbeeld : je mag geen vuurwapens bezitten.
Kom nu eens uit je kamer , loop over straat en observeer dat er daar tweetallen mensen lopen met herkenbare kleding (geel over de schouders) die een pistool op de heup dragen.
Huiswerk voor volgende week : ga eens wetboeken lezen voor regels & uitzonderingen.
Ja, dat klopt. De beveiligers van de B.V. Nederland lopen inderdaad met vuurwapens rond.
Een leverancier wil toegang tot een gedeelte van het systeem. hij vraagt gemotiveerd toegang aan Security. Wanneer deze aanvraag gegrond is krijgt de leverancier een random gegenereerde sleutel die deze tezamen met een persoonlijk identificatietoken invoert bij de inlog. Daarna logt het systeem hem in. Simpel toch. Heeft een leverancier bezwaar tegen dezse procedure, dan is dat pech. Hij komt er niet in.
Een betrouwbare leverancier heeft geen bezwaar tegen een securityprotocol, waarom zou-ie. Een onbetrouwbare wel.
Je kunt dit verzwaren door meerdere tokens te verlangen, zoals biometrische. 't is toch eigenlijk veel simpeler dan integriteitsverklaringen of vodjes papier.
Even oppassen met commentaar. Een voorbeeld van een denkwijze. Vele variaties denkbaar.
Haal ik nog Einstein aan: "Een gerezen probleem los je niet op met dezelfde denkwijze waarbij het ontstond."
Deze gasten kunnen de AIVD hacken als ze er zin in hebben. Geen zaken mee doen. Geen legitimiteit geven. Hacken door commerciële bedrijven is fout. Lekken in vitale software laten zitten is fout. Deze bedrijven hebben een belang bij een kwetsbare internet infrastructuur. Burgers hebben een belang bij een veilig internet. Voor iedereen. Ook voor criminelen.
Ik ben het voor een groot deel met deze stelling eens. Hier compromitteer je toch onze nationale veiligheid mee? Je denkt toch niet dat onze natiionale veiligheid in het belang is van een privaat commercieel bedrijf (als het al geen dekmantel is)?
meestal backdoor, of phone home constructie in agent of saas back-end.
https://www.newyorker.com/magazine/2022/04/25/how-democracies-spy-on-their-citizens
maakt niet uit wat er in het contract wordt geschreven..... wordt er reverse enginnering en static/dyn sandb analyses op alle betrokken binaries
Warme groeten aan .... Martijn
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
