Zero-days opsporen om lekke software beter te beveiligen, dat klinkt als een nobel streven, Maar de handel hierin is ook controversieel, vol met ethische dilemma’s, grote geldbedragen en corrupte buitenlandse regimes.

Lees ook: Wat is de prijs voor het vinden van zero-days?

De laatste jaren is er een wildgroei ontstaan van bedrijven die actief op zoek gaan naar zero-days, om daar zelf software omheen te bouwen. Die wordt kant-en-klaar verkocht aan bedrijven, overheden en inlichtingsdiensten, en kan worden ingezet om verdachten te hacken of om anderen te bespioneren.

Eén van de bekendste van die bedrijven is Hacking Team, een Italiaanse organisatie die vorig jaar in het nieuws kwam nadat duizenden interne documenten na een hack op het bedrijf online kwamen te staan. Uit de e-mails, prijslijsten, offertes en klantbestanden kwam een goed beeld naar boven van wat Hacking Team precies was: Een dubieuze handelaar van zero-days, softwarelekken, en de tools om ze uit te buiten. 

In één van de uitgelekte agenda’s bleek dat onder andere de Nederlandse politie een afspraak had staan om met het bedrijf te praten, maar die afspraak werd te elfder ure weer afgezegd. Wat de politie precies wilde doen met de software van Hacking Team is niet bekend.

©PXimport

De hack op Hacking Team

Lange tijd was de handel in zero-days een publiek geheim. De bedrijven die erin handelden (zoals Hacking Team) waren niet per se illegaal, maar zaten in zo’n grijs gebied dat ze ook niet echt te koop liepen met hun diensten. Ze waren vooral bekend bij beveiligingsonderzoekers, maar niet bij het grote publiek. 

Dat veranderde na de hack op Hacking Team, want hoewel er even commotie ontstond over het bestaan van zulke handelaren was de ophef van korte duur. Inmiddels zijn er meerdere bedrijven die hun diensten publiekelijk bekend maken. Neem Zerodium, een handelaar die een paar maanden geleden in het nieuws kwam door ‘en plein public’ te adverteren met een bug bounty van niet minder dan een miljoen dollar voor een lek in iOS.

Bedrijven als Zerodium ontlenen hun bestaansrecht grotendeels aan de handel in dergelijke software, maar ook grote bedrijven (vaak defensieaannemers) zoals Lockheed Martin en Northup Grumman hebben divisies die handelen in zero-days. Die worden over het algemeen gebruikt om spionagesoftware te maken die dan weer wordt verkocht aan het Amerikaanse leger of de inlichtingendiensten, en zelden aan malafide partijen.

©PXimport

Voor en tegen

In de beveiligingswereld zijn inmiddels twee kampen ontstaan. Aan de ene kant zitten beveiligingsonderzoekers zoals Chris Soghoian, een privacyactivist die al jaren een van de meest uitgesproken critici is van zero-dayhandel. Soghoian noemde verkopers en bedrijven die zo werken ‘merchants of death’ en vergeleek hen ooit met notoire wapenhandelaren als Victor Bout die miljoenen wapens verkocht – ook tijdens burgeroorlogen in Afrika.

Soghoian heeft vooral kritiek op het feit dat zero-dayhandel zorgt voor een wildgroei aan lekken waarvan niemand weet waar ze eindigen. Iedere ‘bad guy’ kan bijvoorbeeld ook achter het lek komen, misschien door het zelf te vinden, het van een andere handelaar te kopen, of zelfs van dezelfde. Er is namelijk geen enkele garantie dat een hacker een zero-day aan slechts één partij verkoopt.

Er zijn echter ook genoeg hackers en onderzoekers die heel erg vóór de handel in zero-days zijn, en daar ook voor uit durven te komen. Eén van de meest vocale hackers is een Zuid-Afrikaanse onderzoeker die bekend staat onder het pseudoniem The Grugq. “Zero-days verkopen is precies hetzelfde als het verkopen van een gewoon softwarepakket. Je levert het met een handleiding op, zorgt dat alles werkt. Het enige verschil is dat je slechts één licentie verkoopt en het daarbij laat”, zei hij ooit in een interview.

Ethisch hacken

Binnen de verkoop aan commerciële partijen kun je overigens nog steeds ethisch werken. Zo zeggen veel onderzoekers hun bevindingen alleen te verkopen aan Europese of Amerikaanse partijen, maar niet aan Russische of Chinese. Dat gebeurt zowel vanwege financiële motieven (laatstgenoemde landen betalen significant minder voor een vondst), maar sommige hackers zeggen op deze manier ook instellingen als de NSA ‘op scherp’ te houden omdat landen als China zich ook niet laten tegenhouden door handelsembargo’s op zero-days.

Wie kopen deze exploits precies?

De handelaren en verkopers mogen dan wel steeds opener worden over hun werkzaamheden, het blijft nog steeds lastig te zeggen aan wie de exploits nou precies worden verkocht. De hack op Hacking Team gaf voor het eerst een inkijkje in het klantenbestand van de handelaren, maar ook uit interviews is voorzichtig op te maken wie er interesse heeft in zero-days. Aan de ene kant zijn dat overheden en inlichtingendiensten, zoals de NSA of de Nederlandse politie. 

Voor zover bekend maakt de politie nu nog geen gebruik van zero-days voor het hacken van computers, maar eind 2016 werd wel in de wet opgenomen dat die methode binnenkort tot de mogelijkheden van de Nederlandse opsporingsdiensten valt. Maar ook andere bedrijven, zelf softwarebouwers, kopen exploits. 

Volgens Adriel Desautels van Hacking Team-concurrent Netragard gebruikt heus niet iedere koper de lekken om te spioneren bij gebruikers. Het is ook goed mogelijk dat een bedrijf een exploit gebruikt als een ‘proof of concept’ om op hackersconferenties mee te adverteren, of dat een lek wordt gebruikt voor ‘pen-testing’. “Als je een kogelvrij vest gaat testen, gebruik je kogels, geen waterpistool”, zegt Desautels in een interview.

Er is een levendige handel in zero-days, en hoewel die allang niet meer uitsluitend ondergronds plaatsvindt is de import en export van softwarelekken nog steeds controversieel. Veel Westerse landen hebben inmiddels eigen regels voor het gebruik van zero-days.

Wet Computercriminaliteit III 

Zo is er de Nederlandse politie, die actief wil gaan zoeken naar datalekken om die vervolgens te gebruiken voor het hacken van verdachten. Het wetsvoorstel waarin dat staat ligt op dit moment bij de Tweede Kamer ter evaluatie. De Wet Computercriminaliteit III is een uitbreiding van een oudere wet die niet meer up-to-date was en niet voorzag in bepaalde onderdelen waar de politie wel behoefte aan heeft – zoals het zoeken naar gaten in de wet.

Maar daar zit een groot probleem. Als één partij weet van een lek, waarom zou een andere dat dan niet weten? Het is niet realistisch om te denken dat alléén de Nederlandse politie weet van een gat in Adobe Flash of Firefox, maar dat malafide overheden of hackersgroepen daar niet achter komen.

Het Wassenaar Akkoord

Het handelen in zero-days kreeg in 2013 dan ook een controversiële rol in het Wassenaar Akkoord, eentje waar politici én hackers op dit moment nog steeds maar moeilijk mee kunnen werken. Het Wassenaar Akkoord stamt al uit 1995, en is een verdrag tussen 13 landen waarin de export van wapens naar repressieve regimes zoveel mogelijk wordt beperkt. In 2013 vond een grote revisie van het Akkoord plaats, met als voornaamste update dat nu ook digitale wapens niet meer mochten worden verkocht.

©PXimport

De definitie van ‘digitaal wapen’ is echter nogal breed, want dat kunnen zowel virussen als Stuxnet zijn als simpele bekende gaten in Chrome. Volgens het Akkoord zou het in theorie mogelijk zijn om beveiligingsonderzoekers te verbieden om een kwetsbaarheid op een internationale conferentie te tonen – één van de bekendste en belangrijkste manieren waarop dat op dit moment gebeurt.

De handel in zero-days wordt steeds groter, en de geldbedragen die omgaan in het verkopen van softwarelekken gaan steeds verder omhoog. Toch blijft de regelgeving nog steeds achter, en ontstaat er een flinke tweedeling onder onderzoekers over de ethiek van het verkopen.

Het wordt mogelijk voor nieuwe leden van WhatsApp-groepsgesprekken om oudere berichten terug te lezen via een nieuwe feature.

WhatsApp heeft een nieuwe functie voor de populaire chatapp genaamd Group Message History geïntroduceerd. Die functie viel voor sommigen al enige tijd te testen via de bètaversie, maar wordt sinds gisteren wereldwijd uitgerold.

Het houdt kortgezegd in dat beheerders van groepsgesprekken op WhatsApp kunnen instellen dat nieuwe leden van een specifieke groepsapp ook berichten van voordat ze aan het gesprek werden toegevoegd kunnen lezen. Beheerders kunnen er voor kiezen om minimaal 25 en maximaal honderd berichten van voor de toevoeging van een nieuw lid beschikbaar te stellen.

Wanneer je voorheen aan een groepsgesprek op WhatsApp werd toegevoegd, kon je geen enkel bericht uit de groepsapp van voor je toevoeging teruglezen. Dat had zowel voor- als nadelen. Het voordeel was dat eventuele gevoelige informatie of geroddel over de toegevoegde persoon van voor zijn of haar toevoeging niet leesbaar voor hen was. Het nadeel was dat sommige informatie opnieuw herhaald moest worden voor nieuwe groepsleden.

Dankzij Group Message History kunnen nieuwe leden dus wel maximaal honderd oude berichten teruglezen. Het is aan de beheerders van de groep om dit in te stellen, rekening houdend met de mogelijkheid dat de persoon in kwestie appjes te zien krijgt die eigenlijk niet voor zijn of haar ogen bestemd waren. Overige leden krijgen overigens ook een melding waaruit blijkt dat de berichtengeschiedenis wordt gedeeld.

Hij is klein van stuk, maar groot in prestaties: dat is de reden dat de Philips HR2670/00 door consumenten is uitgeroepen tot Best Reviewed van het Jaar 2025 in de categorie blender. Gebruiksgemak, ontwerp en dagelijks gemak maken hem tot een echte favoriet. In dit artikel lees je er meer over.

Partnerbijdrage - in samenwerking met Philips

De strengste jury van Nederland is positief

Duizenden gebruikers delen op Kieskeurig.nl hun eerlijke ervaringen met producten die ze dagelijks gebruiken. Deze reviews vormen de basis van Best Reviewed van het Jaar-awards. Alleen wanneer consumenten consequent tevreden zijn over het gebruiksgemak en de prestaties van een bepaald product,  komt het in aanmerking voor deze prestigieuze prijs. De Philips HR2670/00 heeft zich over een langere tijd bewezen in keukens door het hele land - en werd daarom door gebruikers beloond met de titel Best Reviewed van het jaar 2025 in de categorie Blenders.

Compact en slim ontworpen

De Philips HR2670/00 is een compacte blender met een vermogen van 350 watt: krachtig genoeg voor smoothies, shakes en zelfs crushed ice. Hij is echt gemaakt om elke dag te gebruiken. Omdat hij zo compact is, past hij makkelijk op je aanrecht of in een keukenkastje. Altijd onder handbereik dus wanneer je snel iets gezonds wilt maken. Handig is de Blend & Go-functie: je mixt direct in de bijgeleverde draagbare beker, klikt het deksel erop en neemt je smoothie zo mee naar je werk of naar de sportschool. Dankzij twee snelheidsstanden bepaal je zelf de intensiteit van het blenden. Schoonmaken is gelukkig ook zo gebeurd: de afneembare onderdelen mogen gewoon in de vaatwasser.

©Philips

Wat gebruikers zo waarderen aan deze blender

In de reviews komt vooral naar voren hoe goed de Philips HR2670/00 past in het dagelijks gebruik. Zo schrijft iemand: "Ik was blij verrast dat de blender zo compact is, dit scheelt een hoop ruimte in mijn al over volle keuken kastjes." Een ander noemt het simpelweg "een mooie kleine compacte blender" die makkelijk op te bergen is en niet veel plek inneemt op het aanrecht.

Het gebruiksgemak wordt vaak genoemd als groot pluspunt. "Je hoeft geen handleiding door te spitten om ermee aan de slag te gaan. Alles werkt intuïtief," aldus een reviewer. Heb je je smoothie, shake of saus gemaakt? Dan ben je nauwelijks tijd kwijt aan het schoonmaken. Ook het schoonmaken gaat volgens veel gebruikers snel en eenvoudig: "Dat is eenvoudig: de afneembare onderdelen passen in de vaatwasser en de beker spoelt snel schoon," zegt een van de gebruikers. Een ander voegt daar nog aan toe: "De onderdelen zijn makkelijk los te draaien en weer vast te zetten."

©Philips

De Blend & Go-beker blijkt voor veel mensen een doorslaggevende reden om juist voor deze blender te kiezen. "Ik maak 's ochtends een smoothie en neem hem direct mee zonder te hoeven overschenken," schrijft een gebruiker. "Ideaal dus voor onderweg of voor school of op je werk," zegt iemand anders nog.

Ook over de prestaties zijn veel gebruikers positief, zeker gezien het formaat. "Hij blendt goed, je krijgt een mooie gladde smoothie, ook met bevroren fruit," staat in een van de reviews. Een ander schrijft: "Er zit genoeg power in de blender om bevroren fruit klein te maken, dat vind ik een voordeel." Zelfs ijs en noten worden genoemd: "Vers, bevroren, kant en klaar, het maakt eigenlijk niet uit wat je erin gooit, hij blendt alles met gemak."

Tegelijk zijn gebruikers realistisch over wat je wel en niet moet verwachten. Zo merkt iemand op: "Deze blender is zo compact dat je niet voor het hele gezin in één keer smoothies kunt maken," en een ander schrijft: "Voor het maken van een simpele smoothie is dit een zeer fijne en betaalbare optie."

©Philips

Een eerlijk oordeel

Ook in de kritische noten blijven gebruikers eerlijk. Meerdere reviewers noemen het bedieningsprincipe als aandachtspunt: "Je kunt de blender niet op één stand zetten, je moet de knop continu indrukken." Daarnaast wordt het materiaal van de beker genoemd: "De plastic beker is wat kwetsbaarder dan glas." Ook niet elk ingrediënt laat zich blenden. Zo schrijft iemand: "Droge producten zoals dadels lukte bij mij echt niet."

Voor de meeste mensen wegen de minpunten niet op tegen het dagelijkse gemak. Ze noemen het apparaat "handig, klein en licht," prijzen de combinatie van formaat en kracht en waarderen vooral dat je snel een smoothie maakt en deze meteen mee kunt nemen. Daarmee laat de Philips HR2670/00 zien waarom hij door gebruikers is uitgeroepen tot Best Reviewed van het Jaar 2025: geen overdreven beloftes, maar een compacte blender die precies doet wat mensen ervan verwachten.