08.03.2017
Cybercrime

Vault 7: hoe bang moeten we zelf zijn voor spionagepraktijken?

By: Patrick Smeets

BlogCybercrime

De laatste infodump van WikiLeaks, genaamd Vault 7, laat zien dat de CIA nogal wat mogelijkheden heeft (of ja, had) om in onze smartphones te komen en zelfs andere apparaten kan overnemen om ‘ons’ te bespioneren. Deze eerste lading documenten die uit het Center for Cyber Intelligence in Langley zijn gepikt bevestigen dat. Even vooropgesteld: los van wat je van WikiLeaks vindt hebben ze ons als burger hier een dienst bewezen.

Er is namelijk niks waardevoller aan een hack (of een exploit of 0-day, zoals dat in jargon ook heet) dan het feit dat niemand er nog van weet. Nu dat de methodes in de openbaarheid zijn, kunnen de smartphone-makers als Apple en Google de nog niet gedichte lekken in iOS en Android stoppen. Op de korte termijn is dat dus een goede zaak, wat de intenties achter het lek ook waren.

Exploits sparen

Als je kijkt naar hoe de CIA opereert blijkt wel dat ze zich niet aan de regels hebben gehouden: De Obama-administratie had duidelijk gemaakt dat het niet de bedoeling was om exploits voor zichzelf te houden. Het lijkt een beetje op de discussie die zich in de tweede kamer afspeelde rondom de hackwet, waarbij kwetsbaarheden na een paar weken wel bekend moesten worden gemaakt. Dat had de CIA eigenlijk ook moeten doen, maar dat hebben ze dus mooi gelaten.

Het openbreken van een smartphone, tablet of ander internet of things-apparaat blijft tricky en op de grijze markt moet er veel geld neergeteld worden voor dat soort hacks. Nu lijkt het er sterk op dat de CIA het grootste gedeelte van haar exploits zelf fabriceerde. Dat maakt het des te verwoestender voor ze dat alles nu lijkt te zijn uitgelekt, want al die kwetsbaarheden zouden (als het goed is!) binnen afzienbare tijd weggenomen moeten zijn.

Het houdt niet op

Maar waar er eentje verdwijnt, daar volgt ook weer een nieuwe. De dans tussen hackers en makers van apparaten blijft voor altijd doorgaan. We zullen dus ook in de toekomst horrorverhalen blijven horen zoals de Samsung smart tv die – zo zegt dit lek – kan worden gebruikt als afluister-apparaat. Als we straks onze virtuele assistenten hebben is de kans ook groot dat die data ooit ergens opgevangen zal kunnen worden. Telefoons blijven telefoons en als je daar in komt heb je toegang tot alles dat er op staat.

Voor alle duidelijkheid: de veiligheid van berichten-apps zoals Whatsapp, Signal en andere apps die je berichten versleutelen voordat ze verstuurd worden zijn niet in het geding. Het is juist doordat de grote stroom berichten nauwelijks meer af te luisteren is dat organisaties als de CIA zich richten op de telefoons zelf. Als je kunt zien wat iemand aan het typen is, maakt het namelijk niet meer uit dat het bericht daarna veilig verstuurd wordt.

Altijd blijven opletten

Moeten we ons dus zorgen maken over allerlei hacks? Natuurlijk moeten we dat. Niet omdat de CIA het op je gemunt zou hebben. Maar omdat de commerciële hackers uit hetzelfde vaatje tappen. Als die opmerken dat een bepaalde hack mogelijk is zullen ze het niet nalaten om te kijken of ze dat ook kunnen, en je wil niet straks dat je een bitcoin (à meer dan duizend euro het stuk) moet betalen om je apparaten weer werkzaam te krijgen. Je moet dus ook zelf een beetje proberen het risico te minimaliseren.

WikiLeaks zelf vergelijkt met met een wapenwedloop, maar dan wel een onzichtbare. Het is heel makkelijk om allerlei kwetsbaarheden te sparen zonder dat iemand het doorheeft en ze dan te gebruiken als het nodig is. Als de organisatie op een verantwoorde manier de kwetsbaarheden die er nu allemaal zijn lekt naar de mensen die het kunnen oplossen, dan zijn we voorlopig weer even één stapje voor op de hackers. Voor zolang het duurt.

[Afbeelding © Nmedia – Fotolia]

Share this post