Zero-days opsporen om lekke software beter te beveiligen, dat klinkt als een nobel streven, Maar de handel hierin is ook controversieel, vol met ethische dilemma’s, grote geldbedragen en corrupte buitenlandse regimes.

Lees ook: Wat is de prijs voor het vinden van zero-days?

De laatste jaren is er een wildgroei ontstaan van bedrijven die actief op zoek gaan naar zero-days, om daar zelf software omheen te bouwen. Die wordt kant-en-klaar verkocht aan bedrijven, overheden en inlichtingsdiensten, en kan worden ingezet om verdachten te hacken of om anderen te bespioneren.

Eén van de bekendste van die bedrijven is Hacking Team, een Italiaanse organisatie die vorig jaar in het nieuws kwam nadat duizenden interne documenten na een hack op het bedrijf online kwamen te staan. Uit de e-mails, prijslijsten, offertes en klantbestanden kwam een goed beeld naar boven van wat Hacking Team precies was: Een dubieuze handelaar van zero-days, softwarelekken, en de tools om ze uit te buiten. 

In één van de uitgelekte agenda’s bleek dat onder andere de Nederlandse politie een afspraak had staan om met het bedrijf te praten, maar die afspraak werd te elfder ure weer afgezegd. Wat de politie precies wilde doen met de software van Hacking Team is niet bekend.

©PXimport

De hack op Hacking Team

Lange tijd was de handel in zero-days een publiek geheim. De bedrijven die erin handelden (zoals Hacking Team) waren niet per se illegaal, maar zaten in zo’n grijs gebied dat ze ook niet echt te koop liepen met hun diensten. Ze waren vooral bekend bij beveiligingsonderzoekers, maar niet bij het grote publiek. 

Dat veranderde na de hack op Hacking Team, want hoewel er even commotie ontstond over het bestaan van zulke handelaren was de ophef van korte duur. Inmiddels zijn er meerdere bedrijven die hun diensten publiekelijk bekend maken. Neem Zerodium, een handelaar die een paar maanden geleden in het nieuws kwam door ‘en plein public’ te adverteren met een bug bounty van niet minder dan een miljoen dollar voor een lek in iOS.

Bedrijven als Zerodium ontlenen hun bestaansrecht grotendeels aan de handel in dergelijke software, maar ook grote bedrijven (vaak defensieaannemers) zoals Lockheed Martin en Northup Grumman hebben divisies die handelen in zero-days. Die worden over het algemeen gebruikt om spionagesoftware te maken die dan weer wordt verkocht aan het Amerikaanse leger of de inlichtingendiensten, en zelden aan malafide partijen.

©PXimport

Voor en tegen

In de beveiligingswereld zijn inmiddels twee kampen ontstaan. Aan de ene kant zitten beveiligingsonderzoekers zoals Chris Soghoian, een privacyactivist die al jaren een van de meest uitgesproken critici is van zero-dayhandel. Soghoian noemde verkopers en bedrijven die zo werken ‘merchants of death’ en vergeleek hen ooit met notoire wapenhandelaren als Victor Bout die miljoenen wapens verkocht – ook tijdens burgeroorlogen in Afrika.

Soghoian heeft vooral kritiek op het feit dat zero-dayhandel zorgt voor een wildgroei aan lekken waarvan niemand weet waar ze eindigen. Iedere ‘bad guy’ kan bijvoorbeeld ook achter het lek komen, misschien door het zelf te vinden, het van een andere handelaar te kopen, of zelfs van dezelfde. Er is namelijk geen enkele garantie dat een hacker een zero-day aan slechts één partij verkoopt.

Er zijn echter ook genoeg hackers en onderzoekers die heel erg vóór de handel in zero-days zijn, en daar ook voor uit durven te komen. Eén van de meest vocale hackers is een Zuid-Afrikaanse onderzoeker die bekend staat onder het pseudoniem The Grugq. “Zero-days verkopen is precies hetzelfde als het verkopen van een gewoon softwarepakket. Je levert het met een handleiding op, zorgt dat alles werkt. Het enige verschil is dat je slechts één licentie verkoopt en het daarbij laat”, zei hij ooit in een interview.

Ethisch hacken

Binnen de verkoop aan commerciële partijen kun je overigens nog steeds ethisch werken. Zo zeggen veel onderzoekers hun bevindingen alleen te verkopen aan Europese of Amerikaanse partijen, maar niet aan Russische of Chinese. Dat gebeurt zowel vanwege financiële motieven (laatstgenoemde landen betalen significant minder voor een vondst), maar sommige hackers zeggen op deze manier ook instellingen als de NSA ‘op scherp’ te houden omdat landen als China zich ook niet laten tegenhouden door handelsembargo’s op zero-days.

Wie kopen deze exploits precies?

De handelaren en verkopers mogen dan wel steeds opener worden over hun werkzaamheden, het blijft nog steeds lastig te zeggen aan wie de exploits nou precies worden verkocht. De hack op Hacking Team gaf voor het eerst een inkijkje in het klantenbestand van de handelaren, maar ook uit interviews is voorzichtig op te maken wie er interesse heeft in zero-days. Aan de ene kant zijn dat overheden en inlichtingendiensten, zoals de NSA of de Nederlandse politie. 

Voor zover bekend maakt de politie nu nog geen gebruik van zero-days voor het hacken van computers, maar eind 2016 werd wel in de wet opgenomen dat die methode binnenkort tot de mogelijkheden van de Nederlandse opsporingsdiensten valt. Maar ook andere bedrijven, zelf softwarebouwers, kopen exploits. 

Volgens Adriel Desautels van Hacking Team-concurrent Netragard gebruikt heus niet iedere koper de lekken om te spioneren bij gebruikers. Het is ook goed mogelijk dat een bedrijf een exploit gebruikt als een ‘proof of concept’ om op hackersconferenties mee te adverteren, of dat een lek wordt gebruikt voor ‘pen-testing’. “Als je een kogelvrij vest gaat testen, gebruik je kogels, geen waterpistool”, zegt Desautels in een interview.

Er is een levendige handel in zero-days, en hoewel die allang niet meer uitsluitend ondergronds plaatsvindt is de import en export van softwarelekken nog steeds controversieel. Veel Westerse landen hebben inmiddels eigen regels voor het gebruik van zero-days.

Wet Computercriminaliteit III 

Zo is er de Nederlandse politie, die actief wil gaan zoeken naar datalekken om die vervolgens te gebruiken voor het hacken van verdachten. Het wetsvoorstel waarin dat staat ligt op dit moment bij de Tweede Kamer ter evaluatie. De Wet Computercriminaliteit III is een uitbreiding van een oudere wet die niet meer up-to-date was en niet voorzag in bepaalde onderdelen waar de politie wel behoefte aan heeft – zoals het zoeken naar gaten in de wet.

Maar daar zit een groot probleem. Als één partij weet van een lek, waarom zou een andere dat dan niet weten? Het is niet realistisch om te denken dat alléén de Nederlandse politie weet van een gat in Adobe Flash of Firefox, maar dat malafide overheden of hackersgroepen daar niet achter komen.

Het Wassenaar Akkoord

Het handelen in zero-days kreeg in 2013 dan ook een controversiële rol in het Wassenaar Akkoord, eentje waar politici én hackers op dit moment nog steeds maar moeilijk mee kunnen werken. Het Wassenaar Akkoord stamt al uit 1995, en is een verdrag tussen 13 landen waarin de export van wapens naar repressieve regimes zoveel mogelijk wordt beperkt. In 2013 vond een grote revisie van het Akkoord plaats, met als voornaamste update dat nu ook digitale wapens niet meer mochten worden verkocht.

©PXimport

De definitie van ‘digitaal wapen’ is echter nogal breed, want dat kunnen zowel virussen als Stuxnet zijn als simpele bekende gaten in Chrome. Volgens het Akkoord zou het in theorie mogelijk zijn om beveiligingsonderzoekers te verbieden om een kwetsbaarheid op een internationale conferentie te tonen – één van de bekendste en belangrijkste manieren waarop dat op dit moment gebeurt.

De handel in zero-days wordt steeds groter, en de geldbedragen die omgaan in het verkopen van softwarelekken gaan steeds verder omhoog. Toch blijft de regelgeving nog steeds achter, en ontstaat er een flinke tweedeling onder onderzoekers over de ethiek van het verkopen.

Google heeft een nieuwe versie van zijn AI-model Project Genie uitgebracht in de Verenigde Staten, waarmee spelers driedimensionale spelwerelden voor games kunnen genereren.

Project Genie is deze week uitgekomen voor AI Ultra-abonnees (dat 250 dollar per maand kost) in de Verenigde Staten. Hiervoor was Project Genie alleen nog maar voor een selecte groep te gebruiken. Het is niet bekend wanneer de tool in Nederland beschikbaar komt.

Zo werkt Project Genie

Project Genie combineert diverse AI-tools, zoals AI-chatprogramma Gemini en de videotool Nano Banana Pro, om complete, interactieve spelwerelden te creëren. Spelers bepalen eerst het perspectief dat het personage in de spelwereld gebruikt en de manier waarop men interactie kan hebben met de spelwereld. Vervolgens kan men in realtime de spelwereld verkennen en wordt meer van de wereld automatisch gegenereerd. Daarbij kan men het uiterlijk van personages of de spelwereld aanpassen door zelf foto's te uploaden, bijvoorbeeld van mensen die men kent.

De tool is nog niet in staat om complete games te creëren. Er zitten namelijk diverse limieten aan Project Genie. Zo kan er maar zestig seconden gegenereerd worden en is er een maximum van 24 frames per seconde en een resolutie van 720p. Dat is niet afdoende om projecten als serieuze concurrentie van games te laten bestaan. In die zin is het meer een 'proof of concept' en moet het tonen hoe de toekomst van game-ontwikkeling er in combinatie met het gebruik van AI uit kan zien.

AI in combinatie met games

Generatieve AI wordt sowieso steeds vaker ingezet bij game-ontwikkeling, bijvoorbeeld bij het creëren van artwork, in-game assets of het creëren van stemmen. Steeds meer bedrijven zetten AI in bij de dagelijkse werkzaamheden die komen kijken bij game-ontwikkeling.

Dit zorgt echter ook voor veel controverse, omdat veel gamers hier principieel tegen zijn. Zij zien liever dat games geheel door mensen worden ontwikkeld. Daarbij is werk van AI in principe gebaseerd op werk van anderen, aangezien het daar van leert. Dat zorgt er voor dat veel gamers een afkeer hebben van het gebruik van AI bij game-ontwikkeling. Wanneer gamers ontdekken dat AI is ingezet bij het maken van games, worden deze spellen dan ook vaak hevig bekritiseerd, bijvoorbeeld via gebruikersrecensies op online gamewinkels.

Hieronder zijn enkele voorbeelden te zijn van beelden die met Project Genie zijn gecreëerd, waaronder projecten die wel erg op games van andere bedrijven lijken.

Het is zo goed als zeker dat Samsung hun Galaxy S26-serie op 25 februari aankondigt.

Insider Even Blass deelde op social media namelijk de uitnodiging voor het aankomende Galaxy Unpacked-evenement. Daaruit blijkt dat eerdere geruchten kloppen, en dat het evenement op 25 februari wordt gehouden.

Het was al bekend dat daar de nieuwe Galaxy S26-serie onthuld zou worden, dus nu weten fans van de smartphones van Samsung dat ze 25 februari in hun agenda moeten omcirkelen. Gezien de weergave van Galaxy AI-illustraties op de uitnodiging zal AI ook een grote rol spelen op het evenement. Hoe dan ook zal het grootste nieuws waarschijnlijk de opvolger van de Samsung Galaxy S25-serie zijn.

Over de Samsung Galaxy S26-toestellen

Samsung brengt dit jaar naar verwachting de Galaxy S26, S26+ en S26 Ultra. Eind vorig jaar lekten er al foto's van dummyversies van de smartphones op social media, waaruit blijkt dat deze modellen waarschijnlijk een ovaalvormig camera-eiland krijgen, vergelijkbaar met de Galaxy Z Fold-smartphones.

Qua kleuren zouden de nieuwe Galaxy-modellen in Black Shadow, White Shadow, Galactic Blue en Ultraviolet beschikbaar komen. Een grote focus zou ook liggen op de toevoeging van een privacyscherm - een optie zodat het moeilijker wordt voor omstanders om je het scherm van je smartphone te kijken.