De hackers gehackt, de lekken gelekt

Hacking Team, de Italiaanse maker van spionagesoftware, is gehackt. Ook Nederlandse opsporingsdiensten gebruiken dit omstreden gereedschap.

Handelaren op de beurs van New York, die deze week stillag door een computerstoring. Er werd meteen aan cyberterrorisme gedacht, maar de beurs zelf sprak gisteren van ‘bugs’. Het voorval toonde hoe fragiel de digitale samenleving is. Foto Spencer Platt/Getty Images/AFP

Groot alarm bij Adobe, maker van het veelgebruikte programma Flash. Door een majeure fout in Flash zijn honderden miljoenen internetgebruikers kwetsbaar voor cybercriminelen. In allerijl voerde Adobe woensdag een update door om het lek te dichten – als het goed is, is die nu op elke pc geïnstalleerd.

Dit is een van de tastbare gevolgen van de inbraak bij het Italiaanse beveiligingsbedrijf Hacking Team, afgelopen weekend. De daders – vermoedelijk activisten – stalen 400 gigabyte aan data. Ze zetten alles online, waaronder de code voor geheime kwetsbaarheden in software. Sinds gisteren zijn een miljoen mails doorzoekbaar via WikiLeaks, waaronder de correspondentie met klanten van buitenlandse inlichtingendiensten.

Hacking Team maakt Galileo, spionagesoftware waarmee overheidsorganisaties computers en telefoons van personen kunnen afluisteren. Het bedrijf levert de software aan tientallen landen, zoals Mexico, Saoedi-Arabië, Oman, Kazachstan, Soedan en Rusland. Het bedrijf blijkt weinig scrupules te hebben bij leveranties aan regeringen die mensenrechten schenden en politieke tegenstanders afluisteren. Zo werd afluistersoftware aan Soedan geleverd, ondanks een VN-wapenembargo tegen dat land.

Galileo stelt overheden in staat om op afstand de versleutelde communicatie van verdachten te omzeilen en camera en microfoon te gebruiken om doelwitten te bespioneren. „You want to look through your target’s eyes” , aldus de reclame van Hacking Team.

Nederlandse klanten

De Nederlandse militaire inlichtingendienst MIVD was, zo blijkt uit de geopenbaarde mails, al in 2011 een klant van Hacking Team. Ook de Belastingdienst en de Nationale Politie hebben interesse voor Galileo: Hacking Team had een afspraak voor een pre-sales-gesprek met Nederlandse politiemedewerkers, afgelopen maandag.

Het contact werd tot stand gebracht via een tussenpersoon van een Amsterdams beveiligingsbedrijf, nadat politievertegenwoordigers Hacking Team eerder hadden bezocht op een beurs in het Verenigd Koninkrijk.

Daarmee lijkt de politie vooruit te lopen op de extra bevoegdheden die voormalig minister van Veiligheid en Justitie Ivo Opstelten wilde geven om onder meer „ernstige vormen van cybercriminaliteit” te bestrijden. De Tweede Kamer moet nog toestemming geven voor deze zogeheten terughackwet.

Volgens een verklaring van de politie „handelt de politie altijd binnen de kaders van de wet maar is het voor de aanpak van digitale criminaliteit van belang een goed beeld te hebben van welke middelen er op de markt zijn”. Inlichtingendiensten zoals AIVD en MIVD hebben wel toestemming om in te breken op computers en telefoons.

Een prachtige bug

Galileo is een remote control system (RCS) dat volledig toegang heeft tot telefoons en computers. Om in te breken gebruikt Hacking Team nieuwe softwarefouten, die nog niet door de fabrikant zijn gerepareerd. Het is een omstreden methode; als zulke lekken zelf uitlekken, bedreigt dat alle internetters. Dat verklaart Adobes ijver om „the most beautiful Flash bug in the last four years” deze week onmiddellijk te dichten – die omschrijving komt van medewerkers van Hacking Team.

Hacking Team is ook controversieel omdat de software gebruikt wordt door regeringen die daarmee politieke tegenstanders afluisteren. De inbrekers, vermoedelijk hacktivisten, wilden Hacking Team daarvoor aan de schandpaal nagelen.

Daarin zijn ze geslaagd. Het Italiaanse bedrijf bleek slecht beveiligd – terwijl de medewerkers zich ervan bewust waren dat ze onder vuur lagen van de hacktivisten. Hacking Team werd gerekend tot de „vijanden van het internet”, net als andere producenten van spionagesoftware.

Desondanks gebruikten ze zwakke wachtwoorden en bleken de computers die ‘los’ van internet hoorden te staan toch met de buitenwereld verbonden – een doodzonde in de beveiligingsindustrie.

„Hacking Team krijgt een koekje van eigen deeg”, zegt Bart Jacobs. De Nijmeegse hoogleraar digitale beveiliging is adviseur voor de Nederlandse Cyber Security Raad. Volgens hem zou de Nederlandse politie zich niet moeten inlaten met een bedrijf dat handelt in „softwarelekken met een laagje vernis eromheen”.

Volgens Jacobs heeft de overheid als taak om de veiligheid te verbeteren: „Onze infrastructuur is al rot genoeg. Softwarefouten moet je niet exploiteren, maar zo snel mogelijk publiek maken zodat ze gerepareerd kunnen worden.” De handel in zero day exploits, nieuwe softwarelekken, voltrekt zich in het zwarte circuit, waar zowel cybercriminelen als opsporingsdiensten hun slag slaan.

Opsporingsdiensten klampen zich ondertussen vast aan hun technologische voorsprong, nu het grote publiek – ook criminelen en terroristen – zich beter leert beveiligen met versleutelde berichten. Zo klaagde FBI-directeur Comey deze week in het Congres dat de FBI „niet meer in staat is de berichten van IS te ontcijferen”.

Comey viel de Britse premier Cameron bij, die de overheid als enige „achterdeurtjes” wil verschaffen in versleutelingstechniek. Maar exclusieve toegang is niet te waarborgen, toont de inbraak bij Hacking Team. Hackers worden gehackt, lekken lekken uit.

Daar zijn de overheden zelf ook weer het slachtoffer van. Door een hack bij een Amerikaanse overheidsdienst werden in juni tientallen miljoenen personeelsdossiers gestolen.

Twee grote computerstoringen in de VS – een bij United Airlines, de andere bij de beurs in New York – werden deze week meteen geassocieerd met cyberterreur. Dat was niet het geval. Deze storingen bewijzen wel hoe wankel het fundament van onze digitale samenleving is: urenlang geen vliegtuigen, geen beurshandel door een paar bugs.