Toezichthouder: geheime diensten gingen onzorgvuldig te werk bij hackoperaties

De Nederlandse geheime diensten zijn onvoldoende duidelijk geweest over het gebruik van een onontdekt beveiligingsgat tijdens hackoperaties. Omdat aan het gebruik van deze zogenaamde ‘zero days’ risico’s kleven, bijvoorbeeld als ze uitlekken en ook door anderen gebruikt worden, moeten de diensten de inzet van zulke kwetsbaarheden melden aan de Toetsingscommissie Inzetbevoegdheden (TIB). Die toezichthouder beoordeelt voorafgaand aan inlichtingenoperaties of de risico’s van een hack acceptabel zijn, maar is daarvoor wel afhankelijk van informatie die de diensten aanleveren.

Het melden van de onontdekte beveilingsgaten gebeurde echter niet altijd even zorgvuldig, staat in het vrijdag verschenen jaarverslag van de TIB. Pas medio 2021 informeerden de leiding van de AIVD en de MIVD de toezichthouder over het gebruik van een zero day bij „een aantal” hackoperaties sinds mei 2018. In één geval gaf een van de diensten van tevoren bij de toezichthouder aan „geen zicht” te hebben op de manier waarop gehackt zou worden. „Achteraf bleek dat de betreffende dienst van tevoren wist hoe te hacken met de onbekende kwetsbaarheid. Die bleek bovendien onversleuteld te zijn uitgebuit”, schrijft de TIB na eigen onderzoek naar de hacks die de diensten uit hebben gevoerd.

Een onontdekte fout in logtool Log4j kon eind 2021 grote gevolgen hebben voor softwaresystemen wereldwijd. „Log4J is als suiker. Het zit overal in.”

Een goede zero day houden de diensten liever voor zichzelf. Zolang alleen zij van het bestaan van het beveilingsgat op de hoogte zijn, is het een makkelijke en exclusieve ingang tot computersystemen. Die balans slaat om als een zero day wél uitlekt: dan zijn ineens talloze systemen kwetsbaar tot het gat gedicht is.

Hackers weten de zero days óók te vinden: toen eind vorig jaar een jarenlang onontdekte fout in de populaire software Log4j gaten in de beveiliging van vele duizenden computersystemen wereldwijd dreigde te slaan, probeerden zij ogenblikkelijk op grote schaal kwetsbare computers binnen te dringen. Een andere inlichtingendienst of hackersgroepering kan door onzorgvuldig gebruik de zero days ook zelf op het spoor komen en toevoegen aan het eigen arsenaal. „Dan kan het als een boemerang tegen je gebruikt worden”, zei TIB-voorzitter Mariëtte Moussault in een recent interview met NRC.

Volgens de diensten zijn de technische risico’s van de hacks ondanks het niet vermelden van de zero day voldoende verantwoord aan de toezichthouder. De TIB zegt in het jaarverslag de desbetreffende hack niet goedgekeurd te hebben „als zij op de hoogte zou zijn geweest van de relevante feiten en omstandigheden die op dat moment reeds bij de dienst bekend waren”.

Zwart lakken

Details over de hack waar deze specifieke zero day is ingezet, blijven onbekend, zoals gebruikelijk is in het staatsgeheime domein van de diensten en hun toezichthouders. Ditmaal zijn echter zelfs bepaalde passages over de kwestie in het jaarverslag van de TIB op last van de inlichtingendiensten zwart gelakt.

Ook bij de hoofdstukken over het onderscheppen van grote hoeveelheden internetverkeer (‘slepen’) en het „strategisch hacken” zijn passages onleesbaar gemaakt. De verzoeken voor laatstgenoemde hackoperaties – volgens de diensten noodzakelijk om ‘onbekende dreigingen’ op te sporen door bijvoorbeeld alvast een sleutelpositie in een netwerk in te nemen - waren in 2021 enkele keren „zeer vergaand van aard” en werden daarom afgekeurd door de toezichthouder.

De TIB wees vorig jaar sowieso veel meer aanvragen van de diensten af, omdat de voorgestelde operaties niet proportioneel waren en bijvoorbeeld veel meer data verzamelden dan de toezichthouder noodzakelijk achtte. Het ging om 54 van de ruim drieduizend verzoeken. In 2020 waren dertien aanvragen ‘niet proportioneel’. Bij een afgekeurd verzoek om op grote schaal internetdata van de kabel te verzamelen wilden de diensten volgens de toezichthouder zes tot acht keer meer data verzamelen dan in een eerder verzoek, „terwijl belangrijke waarborgen vervielen”.

De mogelijkheden om strategisch te hacken en internetverkeer af te tappen zullen als gevolg van een nieuw wetsvoorstel fors uitgebreid gaan worden. Het toetsen van de technische risico’s bij een hack en het melden van een zero day komen juist te vervallen. Over de zwartgelakte passages schrijft de TIB in het jaarverslag: „Juist bij deze bijzondere bevoegdheden is duidelijkheid omtrent de reikwijdte en impact van belang [...]. De minister van Binnenlandse Zaken en Koninkrijksrelaties en de minister van Defensie zijn echter van oordeel dat de enkele passages te veel inzicht geven in de werkwijze van de diensten en daarmee staatsgeheim zijn.”

NRC sprak TIB-voorzitter Moussault over de nieuwe wet. Lees het interview hier: ‘Liever weglakken dan anders opschrijven’