Tweede Kamer-leden willen gebruik van beveiligingslekken door politie aan banden leggen

D66-Kamerlid Verhoeven, SP-Kamerlid Gesthuizen en GroenLinks-Kamerlid Van Tongeren willen de bevoegdheden van de politie inperken om kwetsbaarheden in software te gebruiken om geautomatiseerde werken binnen te dringen. Hiervoor hebben de Tweede Kamerleden een amendement (docx) voor het Wetsvoorstel Computercriminaliteit III ingediend.

De Tweede Kamerleden stellen dat de politie voldoende mogelijkheden heeft om zonder gebruik van kwetsbaarheden geautomatiseerde werken van verdachten binnen te dringen. “Dit amendement beperkt de bevoegdheid voor de politie om geautomatiseerde werken binnen te dringen, er mag namelijk geen gebruik worden gemaakt van kwetsbaarheden in software”, schrijven Verhoeven, Gesthuizen en Van Tongeren in een toelichting in het amendement.

Phishing, keyloggers en brute forcing

“Het binnendringen van geautomatiseerde werken zonder gebruik van kwetsbaarheden in software kan bijvoorbeeld door middel van (spear)phishing technieken, oftewel het sturen van een misleidende email of bericht waarmee een verdachte verleid kan worden om een wachtwoord of logingegevens prijs te geven of om een technisch hulpmiddel zoals een keylogger of andere software te installeren, mits zonder het gebruik van kwetsbaarheden, waarmee vervolgens inloggegevens buitgemaakt kunnen worden. Een andere techniek is social engineering, waarmee door middel van psychologische manipulatie het uitvoeren van handelingen of het openbaar maken van vertrouwelijke informatie, zoals een wachtwoord of inloggegevens, uitgelokt kan worden. Daarnaast zijn technieken mogelijk als brute forcing, dictionary attacks of shoulder surfing.”

De Tweede Kamerleden stellen dat de noodzaak om geautomatiseerde werken binnen te dringen via kwetsbaarheden in software onvoldoende is aangetoond. Daarnaast noemen Verhoeven, Gesthuizen en Van Tongeren deze bevoegdheid onwenselijk, aangezien kwetsbaarheden in onder andere telefoons, tablets en andere apparaten onnodig lang blijven bestaan. Dit vergroot het risico dat mensen slachtoffer worden van cybercrime.

‘Overheid krijgt belang bij onveilige apparaten’

“Hiermee zou de overheid een belang krijgen bij onveilige apparaten, zoals laptops, smartphones, wearables en computers en, gezien de brede definitie van ‘geautomatiseerde werken’, ook pacemakers, auto’s en medische apparatuur. Dit zorgt ervoor dat hackers die fouten in software vinden eerder geneigd zullen zijn om gevonden fouten te verkopen aan bedrijven als HackingTeam of Gamma International dan ze te melden aan de maker van de software zodat ze gedicht kunnen worden. Dit kan bijvoorbeeld gaan om een fout in het besturingssysteem van smartphones”, aldus Verhoeven, Gesthuizen en Van Tongeren.

Lees ook
Kaspersky Lab ontdekt meerdere kwetsbaarheden in wijd verspreide bedrijfssoftware voor licentiebeheer

Kaspersky Lab ontdekt meerdere kwetsbaarheden in wijd verspreide bedrijfssoftware voor licentiebeheer

ICS CERT onderzoekers van Kaspersky Lab hebben een aantal ernstige kwetsbaarheden aangetroffen in het licentiebeheersysteem Hardware Against Software Piracy (HASP), dat veel wordt toegepast in bedrijfs- en ICS-omgevingen om software onder licentie te activeren. Wereldwijd loopt het aantal systemen met deze technologie wellicht in de honderdduizend1

Zero-day kwetsbaarheid in iOS 10 kan 1,5 miljoen dollar opleveren

Zero-day kwetsbaarheid in iOS 10 kan 1,5 miljoen dollar opleveren

Wie een zero-day kwetsbaarheid in Apple’s mobiele besturingssysteem iOS 10 weet te vinden kan hier flink geld mee verdienen. Zerodium, een beveiligingsbedrijf dat handelt in beveiligingslekken, verhoogt de bonus voor iOS zero-day kwetsbaarheden naar 1,5 miljoen dollar. Een zero-day lek is een lek dat nog niet eerder is ontdekt en niet is gemeld bi1

F-Secure ontdekt duizenden beveiligingsgaten in bedrijfsnetwerken

F-Secure ontdekt duizenden beveiligingsgaten in bedrijfsnetwerken

Bedrijfsnetwerken wereldwijd bevatten duizenden kwetsbaarheden die door aanvallers kunnen worden misbruikt om bedrijven binnen te dringen. De gaten worden vooral veroorzaakt door verouderde software en verkeerd geconfigureerde IT-systemen. Dit blijkt uit onderzoek van beveiligingsbedrijf F-Secure. Het bedrijf heeft via de scan- en beheeroplossing1