gebouw van de AIVD

Inlichtingendiensten gaan boekje te buiten

De oorlog in Oekraïne wordt tegenwoordig veelvuldig als argument gebruikt om allerlei militaire en inlichtingenactiviteiten uit te breiden. Bij de Nederlandse inlichtingendiensten is men continue bezig om de bevoegdheden op te rekken. Zij gebruikten sinds 2018 een zerodaylek bij operaties om computers binnen te dringen. De AIVD en de militaire inlichtingendienst MIVD hebben de Toetsingscommissie Inzet Bevoegdheden (TIB) pas halverwege 2021 ingelicht over de inzet van de zerodaykwetsbaarheid.

Een zerodaykwetsbaarheid is een kwetsbaarheid in software (programma of besturingssysteem op een computer of smartphone), waar nog geen reparatie (een patch) voor bekend is, ofwel omdat de softwarefabrikant nog geen tijd heeft gehad om er een patch voor uit te brengen ofwel omdat de kwetsbaarheid nog niet bekend is.

De inlichtingendiensten gebruikten de betreffende kwetsbaarheid al vanaf 1 mei 2018, bij een niet nader genoemd aantal operaties. Ze moeten daar toestemming voor krijgen van ministers. De TIB toetst vooraf of de verzoeken rechtmatig zijn. Het is ronduit schandalig dat de diensten hiervan gebruik hebben gemaakt en dit lek niet gemeld hebben bij de softwarefabrikant.

Aan het gebruik van de zogenaamde ‘zero days’ kleven grote risico’s, bijvoorbeeld als ze uitlekken en ook door anderen (criminelen en hackers) misbruikt worden. De diensten moeten de inzet van zulke kwetsbaarheden melden aan de TIB. Die toezichthouder beoordeelt voorafgaand aan inlichtingenoperaties of de risico’s van een hack acceptabel zijn, maar is daarvoor wel afhankelijk van informatie die de diensten aanleveren.

Jaarverslag TIB 2021

In het op 22 april 2022 verschenen jaarverslag van de TIB wordt aangegeven dat de diensten het niet zo nauw nemen met het melden van onontdekte kwetsbaarheden. Je kunt het jaarverslag hier downloaden.

Cover TIB jaarverslag

De TIB heeft in 2021 3071 verzoeken beoordeeld, weer meer dan het jaar ervoor. Ook valt op, in vergelijking met het jaar ervoor, dat er veel geoordeeld is dat de operatie niet proportioneel was. Dat ging ook om strategische operaties. In 2021 is het 6 keer voorgekomen dat de AIVD de spoedprocedure (waarbij direct kan worden ingezet, nog vóór het bindend oordeel van de TIB) onrechtmatig heeft ingezet. Ook kwam het 3 keer voor dat de inzet zelf onrechtmatig was. In twee gevallen ging het om een journalist.

De diensten mogen onder waarborgen ook het internet via de kabel aftappen. De TIB heeft in 2021 twee keer verzoeken tot kabelinterceptie als onrechtmatig beoordeeld. Bij het eerste verzoek was het aannemelijk dat een significante hoeveelheid van het internetverkeer van onder andere Nederlandse burgers zou worden opgeslagen (bulkdata) en een deel daarvan ongezien zou worden gedeeld met een buitenlandse partnerdienst. Er was geen concrete beschrijving van de te verwachten opbrengst die deze interceptie kon rechtvaardigen. Bij het tweede verzoek was teveel onduidelijkheid over de waarborgen. Daardoor zou eenzelfde situatie kunnen ontstaan als bij het eerste verzoek.

Onversleuteld

Een van de twee diensten heeft bij een operatie de technische risico’s van de inzet van de zeroday alleen vrij algemeen beschreven, omdat de dienst niet zou weten hoe de systemen daadwerkelijk zouden worden binnengedrongen. “Achteraf bleek dat de betreffende dienst van te voren wist hoe te hacken met de onbekende kwetsbaarheid”, beschrijft de TIB. Bovendien bleek de dienst geen gebruik van versleuteling te hebben gemaakt bij de inzet. “Het onversleuteld uitbuiten van een onbekende kwetsbaarheid kan ertoe leiden dat zowel de exploit-code als het geautomatiseerde werk dat er vatbaar voor is, bekend worden”, stelt de TIB in zijn jaarverslag. Details over de hack waar deze specifieke zero day is ingezet, blijven onbekend, zoals gebruikelijk is in het staatsgeheime domein van de diensten en hun toezichthouders. Ditmaal zijn echter zelfs bepaalde passages over de kwestie in het jaarverslag van de TIB op last van de inlichtingendiensten zwart gelakt.

TIB-voorzitter Mariëtte Moussault vond de hack heel kwalijk. Niet alleen werden de minister en de TIB onjuist geïnformeerd. Door het onversleuteld gebruiken van de kwetsbaarheid ‘loop je het risico dat anderen het onderscheppen en ook gaan gebruiken.’

De zeroday-kwetsbaarheden zijn gebruikt ná 2018. Dat is nádat de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) constateerde dat er heel wat tekortkomingen waren bij de omgang met zerodaylekken door de inlichtingendiensten. Het ministerie van Binnenlandse Zaken beloofde toen de toetsing aan te scherpen. In 2017 verscheen een rapport van de CTIVD over de inzet van de hackbevoegdheid door de AIVD en MIVD.

Zero days
De documentaire Zero Days vertelt het verhaal van Stuxnet: je kunt hem hier bekijken.

Zero days exploits zijn waardevol voor hackers en inlichtingendiensten

Zero days zijn natuurlijk interessant voor criminelen die de onbekende lekken kunnen misbruiken om in te breken bij particulieren, bedrijven of organisaties. Ook security-bedrijven hebben belangstelling voor zero days, omdat ze door informatie te verzamelen over zero days hopen hun klanten beter te kunnen beschermen. Ook opsporings- en inlichtingendiensten zijn erg geïnteresseerd in onbekende lekken. Die stellen hen in staat om ongemerkt in te breken bij verdachten of om te spioneren. Al eerder bleek uit door Wikileaks geopenbaarde CIA-documenten dat de Amerikaanse inlichtingendienst zero days in zijn arsenaal had. Inmiddels maken vrijwel alle inlichtingendiensten gebruik van zero days.

Joint Sigint Cyber Unit

De Joint Sigint Cyber Unit (JSCU) is een gezamenlijk onderdeel van de Nederlandse geheime diensten AIVD en MIVD en is gericht op het afluisteren van radio- en satellietverkeer (Sigint) en het verkrijgen van inlichtingen via cyberoperaties. In principe moet de eenheid kwetsbaarheden op basis van responsible disclosure melden, dat had dus ook moeten gebeuren met de zero days die door de diensten zijn gebruikt.

De praktijk is echter weerbarstig. Diensten zijn zelf actief op zoek naar zero days. En kunnen ze zelf (te) weinig zero days vinden, dan kunnen ze ook terecht bij gespecialiseerde bedrijven, zoals Hacking Team (is in 2019 overgenomen door Memento Labs) en Zerodium.

Handel in zero days

De handel in zero days is een schimmige markt die zich grotendeels aan het zicht onttrekt. Prijzen hangen af van de aard van de opgespoorde kwetsbaarheid en van de koper. In 2016 geleden publiceerde zero-day-handelaar Zerodium zelfs een prijslijst voor onbekende lekken:

prijslijst zero days
Prijslijs van Zerodium voor zero day kwetsbaarheden

Op deze lijst staas niet alleen software die door bedrijven wordt gebruikt, maar vooral ook programma’s die iedereen wel op zijn of haar computer gebruikt. De laatste jaren is er steeds meer belangstelling voor lekken in software voor smartphones. De lekken worden o.a. gebruikt om zonder tussenkomst van de gebruiker spionage-software te installeren zoals Pegasus.

Een bedrijf als Zerodium maakt gebruik van een scala aan interne of externe beveiligingsonderzoekers, die speuren naar lekken en daarvoor een (forse) vergoeding krijgen. Naar eigen zeggen bestaat de clientèle uitsluitend uit een beperkt aantal overheden, voornamelijk inlichtingendiensten en beveiligingsbedrijven.

Begrippenlijst

De CTIVD had in 2017 al wel door, dat er veel jargon wordt gebruikt rondom dit onderwerp. Vandaar dat ze bij het rapport Toezichtsrapport nr. 53 over de inzet van de hackbevoegdheid door de AIVD en MIVD | Rapport | CTIVD een begrippenlijst (als bijlage III) opnamen. Je kunt deze begrippenlijst hier downloaden.

Onkruit en de inlichtingendiensten

Op de tentoonstelling ‘Onkruit vergaat niet’ in september 2022 wordt ook aandacht besteed aan de inlichtingendiensten. Berrie Hanselman werkte vanaf 1979 tot aan zijn pensioen in 2017 bij de BVD als analist van linkse actiegroepen. Hij vertelt hoe de BVD aan informatie over Onkruit kwam:

Links

Toezichthouder: geheime diensten gingen onzorgvuldig te werk bij hackoperaties – NRC

AIVD gebruikte sinds 2018 zerodaylek zonder toetsingscommissie in te lichten – Computer – Nieuws – Tweakers

MIVD-directeur: Het gaat om veiligheid én privacy | Nieuwsbericht | Defensie.nl

Online gastcollege Evaluatie WIV2017 – en nu? – YouTube

MIVD ontdekt Russische spionnen in Nederlandse routers | Nieuwsbericht | Defensie.nl

NCSC-UK, CISA, FBI en NSA waarschuwen voor compromittatie van SOHO-routers door APT Sandworm | Nieuwsbericht | Nationaal Cyber Security Centrum

Israëlische spyware wereldwijd ingezet tegen prominente figuren | Joods.nl Nieuws