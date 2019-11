Eerder dit jaar bracht Facebook een noodpatch uit nadat het een softwarekwetsbaarheid had ontdekt in de VoIP-code in WhatsApp die aanvallers in staat stelde om op afstand malware op het apparaat van een gebruiker te installeren door eenvoudigweg via Whatsapp te bellen naar de telefoon van de gebruiker - de gebruiker hoefde zelfs niet eens te antwoorden. De ernst van deze kwetsbaarheid werd een week geleden nog duidelijker nadat Facebook een rechtszaak had aangespannen tegen NSO Group, een Israëlisch cyberbeveiligingsbedrijf. Facebook beweerde dat NSO Group zijn malware gebruikte om 1.400 mobiele telefoons van journalisten, diplomaten, mensenrechtenactivisten en hoge overheidsfunctionarissen te besmetten in een poging om toegang te krijgen tot hun versleutelde WhatsApp-berichten (vermoedelijk namens een of meer onbekende klanten). WhatsApp werkte samen met Citizens Lab, een academisch onderzoekscentrum aan de Munk School van de Universiteit van Toronto, om de getroffen gebruikers te identificeren en hen op de hoogte te stellen van deze inbreuk op de privacy.

De meeste mensen zijn waarschijnlijk niet bekend met NSO Group, maar het is een van de vele gespecialiseerde bedrijven die software verkopen aan rechtshandhavings- en inlichtingendiensten over de hele wereld. Het bedrijf beschrijft zijn belangrijkste product, Pegasus, als een online digitaal hulpmiddel dat toegang heeft tot de persoonlijke gegevens van gebruikers van Google, Apple, Facebook, Amazon en Microsoft zonder dat de gebruikers of de betrokken technobedrijven hiervan op de hoogte zijn. Het kan worden gebruikt om de locatie van individuele apparaten te volgen en zelfs de microfoons en camera's aan te zetten om mensen op afstand af te luisteren. De software werkt door gebruik te maken van gedocumenteerde en ongedocumenteerde kwetsbaarheden in deze systemen.

Sinds deze onthullingen naar buiten zijn gekomen, is er over en weer naar elkaar gewezen wie de schuld op zich moet nemen. NSO Group ontkent de beschuldigingen. Ze zegt dat ze dit instrument alleen verkoopt aan diegenen die "misdaad en terreur bestrijden" en de implicatie is dus dat als een of meer van haar klanten (d.w.z. een overheidsinstantie) misbruik maken van haar instrument, de overheid de enige is die verantwoordelijk is voor eventuele misbruiken. De meeste regeringen beschuldigen Facebook, dat eigenaar is van WhatsApp, en zeggen dat het bedrijf eerder informatie over de aanval had moeten doorgeven. En Facebook, dat een verbodsactie tegen NSO Group wil instellen, geeft het bedrijf duidelijk de schuld voor het ontwikkelen en verkopen van toegang tot zijn online tool om de WhatsApp-systemen te hacken.

Elk heeft een punt. Het is duidelijk dat overheidsinstellingen een dergelijk instrument niet zouden moeten gebruiken als het in strijd is met de wetten en internationale normen - wat velen vermoeden gezien de lijst van slachtoffers en het gebrek aan strikt toezicht op de inlichtingenoperaties in sommige landen. Ook WhatsApp heeft misschien eerder meer details over de aanval kunnen onthullen, maar dat betekent niet dat het verkeerd was om te wachten: het kost tijd om de bron van de aanval te achterhalen en te verifiëren. En tot slot is het duidelijk dat deze specifieke voorbeelden van surveillance niet zouden zijn gebeurd als de NSO-groep zijn instrument niet had verkocht of beter had gecontroleerd wie er toegang toe had.

Hoe moeten beleidsmakers reageren?

Hoewel Facebook zijn rechtszaak moet hebben en zodoende de mogelijkheid om NSO Group verantwoordelijk te stellen voor illegale activiteiten, is de grotere vraag hier uiteindelijk hoe beleidsmakers moeten reageren om dit soort situaties te voorkomen.

Er zijn een paar mogelijke manieren waarop zij kunnen reageren.

Beleidsmakers kunnen landen onder druk zetten om de export van dit soort producten te controleren om te voorkomen dat ze in verkeerde handen vallen. Maar het is niet duidelijk dat dit soort controles volledig effectief zal zijn. NSO Group heeft immers een exportvergunning van het Israëlische Ministerie van Defensie (hoewel Amnesty International een rechtszaak heeft aangespannen om deze te laten intrekken). En niet alle individuen en bedrijven die instrumenten maken en verkopen opereren binnen de grenzen van de wet.

Beleidsmakers zouden ook kunnen proberen te voorkomen dat overheidsinstellingen misbruik maken van deze instrumenten door wetten aan te nemen die het gebruik van deze digitale instrumenten door de overheid aanzienlijk beperken, met name tegen hun eigen onschuldige burgers, en door multilaterale verbintenissen aan te gaan om deze praktijk wereldwijd te verspreiden. Hoewel dit enige beperkingen kan stellen aan het gebruik van deze instrumenten door de wetshandhaving voor ongepaste doeleinden (ze kunnen nog steeds toestaan dat dergelijke instrumenten openlijk worden gebruikt om legitieme redenen, zoals de toegang tot het apparaat van een crimineel met een geautoriseerd gerechtelijk bevel), werkt de inlichtingendienst heimelijk en zal het moeilijk zijn om toezicht te blijven houden op het gebruik van deze instrumenten door de overheid.

Betere opties?

Een betere optie is dat beleidsmakers de rol van de overheid bij het verbeteren van de veiligheid van commerciële producten heroverwegen. Veel overheden hebben in het verleden al scherpe kritiek gekregen op het feit dat ze kwetsbaarheden in commerciële systemen niet bekend maken en in plaats daarvan kennis van deze kwetsbaarheden te gebruiken om hun offensieve cybercapaciteiten te vergroten. De Amerikaanse regering heeft in 2017 haar Vulnerabilities Equities Process (VEP) herzien om een redelijker, consistenter en transparanter proces te creëren voor het nemen van een beslissing over het tijdstip waarop bedrijven op de hoogte moeten worden gesteld van ontdekte kwetsbaarheden.

Er is echter nog veel grijs gebied in dit beleid. Overheidsinstellingen kunnen bijvoorbeeld gebruik maken van commerciële instrumenten, zoals Pegasus, om te profiteren van zero-day-exploits en tegelijkertijd directe kennis van kwetsbaarheden te vermijden die hen zouden kunnen verplichten om deze gegevens aan de leverancier bekend te maken en zo dit beleid te omzeilen. Het resultaat is dat consumenten- en zakelijke producten exploiteerbare kwetsbaarheden hebben die kunnen worden misbruikt door overheidsinstanties over de hele wereld.

Beleidsmakers moeten deze tekortkomingen aanpakken. Regeringen zou bijvoorbeeld moeten overwegen om de mogelijkheden uit te breiden met bugbounty-programma's (programma's die mensen belonen voor het opsporen van zwakke plekken in de beveiliging), waar die er niet of onvoldoende zijn. Beleidsmakers zouden ook de markt voor exploits, het toezicht op het gebruik van exploits door de inlichtingendiensten en de rol van overheidsinstellingen in de rapportage over bekende exploits nader moeten bekijken.

De recente WhatsApp rechtszaak toont het grote risico voor individuen aan, evenals het vertrouwen van het publiek, dat voortkomt uit het toestaan van commerciële systemen om exploiteerbaar te blijven. Diverse regeringen moeten inzien dat zij een grotere rol moeten spelen bij het bevorderen van cyberbeveiliging in commerciële systemen en de prikkels moeten aanpassen zodat het winstgevender is om deze kwetsbaarheden op te lossen dan ze te exploiteren.