Een miljoen voor toegang tot de iPhone

Schimmige markt

Een nog niet eerder ontdekte fout in computersoftware kan veel geld opleveren. De handel in deze ‘zerodays’ is omstreden, maar de markt groeit.

Illustratie Pepijn Barnard

Stel: je hebt bijzonder veel verstand van computers en je vindt – vooruit: clichématig op je zolderkamer – een fout in de programmeercode van een app. Een grote fout, die kan worden gebruikt als een soort achterdeurtje om mee te lezen met andermans privégesprekken. Je kúnt de vondst aan de fabrikant doorgeven zodat het gat snel kan worden gedicht met een update. Techbedrijven geven daar een mooie beloning voor, afhankelijk van hoe problematisch de fout is. Maar je kunt je kennis ook aan een andere partij verkopen. Dat levert vaak veel meer geld op.

Dat kan op een markt speciaal voor dit soort onontdekte achterdeurtjes die zerodays genoemd worden omdat de fabrikant er nul dagen van weet. Het is een omstreden markt waar zowel criminelen als geheime diensten graag gebruik van maken.

Als de Eerste Kamer instemt met het wetsvoorstel computercriminaliteit mogen politie en justitie apparaten van verdachten hacken – dat mogen nu alleen de geheime diensten. De politie kan de hacks gebruiken om de identiteit van verdachten vast te stellen, of om bewijsmateriaal te verzamelen. Bijvoorbeeld door stiekem mee te kijken met de webcam of wachtwoorden te onderscheppen.

Voor het hacken moet de rechter-commissaris toestemming geven. Het mag alleen bij verdachten van ernstige digitale criminaliteit en verdachten van misdrijven waar minimaal vier jaar gevangenisstraf op staat. Als de wet erdoor komt, krijgen de jaarlijks gepubliceerde cijfers over het aantal taps van de politie, gezelschap van die over het aantal hacks.

De handel in achterdeurtjes

Agenten zullen eerst zelf proberen te hacken. Als dat niet lukt, kunnen ze overgaan tot het kopen van commercieel hackgereedschap op de eerder genoemde markt. Hoe ziet deze omstreden handel in achterdeurtjes er eigenlijk uit?

„Programmeurs schrijven honderdduizenden, soms miljoenen regels code voor een computerapplicatie”, zegt Rolf van Wegberg, onderzoeker van TNO. „Daar móéten dus fouten in sluipen.” Als dit soort kwetsbare plekken door buitenstaanders worden gevonden, kunnen ze worden aangeboden op handelsplaatsen zoals het Russische RuMarket. De markt voor dit soort achterdeurtjes neemt toe, zo blijkt uit onderzoek van de TU Eindhoven. Dat geldt voor het aantal gebruikers, het aantal verhandelde zerodays en de prijzen die worden betaald. „Het is niet overdreven om te zeggen dat het behoorlijk goed gaat met deze markt”, zegt Matthijs Koot van het beveiligingsbedrijf Secura.

Toegang tot WhatsApp

Het Amerikaanse bedrijf Zerodium is een handelaar in deze achterdeurtjes en schrijft op zijn site geïnteresseerd te zijn in zerodays voor besturingssystemen, apps, browsers, en e-mailprogramma’s. De geboden prijzen gaan tot 300.000 dollar (259.000 euro) voor de toegang tot computersystemen tot 1,5 miljoen voor achterdeurtjes in mobiele telefoons. Voor toegang tot WhatsApp wordt bijvoorbeeld een half miljoen dollar geboden.

Hackgereedschap bestaat vaak uit een combinatie van grote en kleine fouten in programmeercode. „Om in te breken op een nieuwe iPhone heb je tegenwoordig niet één, maar een serie van zwakke plekken nodig”, zegt Koot. „Voor zo’n combinatie – een toolchain genoemd – waarmee op iPhones kan worden ingebroken, is in het verleden een vergoeding van een miljoen dollar uitgeloofd.”

Lees ook: Het ongemakkelijke hackgereedschap van de politie

Bedrijven maken van deze combinaties spionage- en hacksoftware. Hacking Team is misschien wel de bekendste aanbieder van hacksoftware. In het verleden verkocht het omstreden Italiaanse bedrijf aan regimes van landen als Soedan, Kazachstan, Oman en Rusland. Hun software werd bijvoorbeeld ingezet tegen journalisten in Marokko en ontdekt op de computer van een activist in de Verenigde Arabische Emiraten.

WikiLeaks

In 2015 publiceerde WikiLeaks uitgelekte documenten over Hacking Team en zijn concurrenten. Daardoor werd duidelijk dat de Nederlandse politie kort daarvoor een afspraak had gemaakt voor een ‘pre-sales-gesprek’ met Hacking Team. Ook de Nederlandse Militaire Inlichtingen- en Veiligheidsdienst (MIVD) bleek sinds 2011 klant van het bedrijf.

WikiLeaks publiceerde ook documenten van de Brits-Duitse handelaar Gamma International, waarin verwijzingen naar een Nederlandse rechercheur te vinden waren. De politie doet daar geen uitspraken over.

Vorig jaar werd in één klap duidelijk hoe gevaarlijk kwetsbare plekken in software zijn. Een mysterieus collectief genaamd The Shadow Brokers kreeg onder meer een zeroday in handen die volgens beveiligingsexperts gebruikt werd door de Amerikaanse geheime dienst NSA. Het was niet zomaar een zeroday: hij gaf toegang tot versies van het populairste besturingssysteem ter wereld – Windows. Het lek werd snel gedicht door Microsoft. Maar binnen een paar maanden, voordat iedereen deze update had geïnstalleerd, sloegen criminelen toe. Computers in meer dan 150 landen werden geraakt. Van Chinese universiteiten tot Spaanse gasbedrijven: computers van slachtoffers waren niet meer bruikbaar tot er losgeld werd betaald. In het Verenigd Koninkrijk werden ziekenhuizen en huisartsenpraktijken getroffen. Operaties werden afgeblazen en artsen konden niet bij medische dossiers.

Microsoft was woedend

Microsoft was woedend op de NSA. In een persbericht schreef een topman dat het onder de pet houden en laten uitlekken van dit soort zerodays het digitale equivalent is van het Amerikaanse leger dat een Tomahawk- raketten kwijtraakt.

Minister van Justitie en Veiligheid Ferdinand Grapperhaus (CDA) zal dinsdag in de Eerste Kamer vermoedelijk benadrukken dat agenten meestal op andere manieren zullen hacken. Criminelen zijn net mensen: ook zij veranderen hun wachtwoorden niet genoeg. Of ze updaten hun programma’s te laat, waardoor inmiddels bekend geworden lekken die al door fabrikanten zijn gedicht met een update alsnog toegang geven tot een apparaat.

Zerodays zijn ook dan een „uiterste maar onmisbare optie”, zo zei Grapperhaus eerder.

    • Liza van Lonkhuyzen