Zero-days opsporen om lekke software beter te beveiligen, dat klinkt als een nobel streven, Maar de handel hierin is ook controversieel, vol met ethische dilemma’s, grote geldbedragen en corrupte buitenlandse regimes.

Lees ook: Wat is de prijs voor het vinden van zero-days?

De laatste jaren is er een wildgroei ontstaan van bedrijven die actief op zoek gaan naar zero-days, om daar zelf software omheen te bouwen. Die wordt kant-en-klaar verkocht aan bedrijven, overheden en inlichtingsdiensten, en kan worden ingezet om verdachten te hacken of om anderen te bespioneren.

Eén van de bekendste van die bedrijven is Hacking Team, een Italiaanse organisatie die vorig jaar in het nieuws kwam nadat duizenden interne documenten na een hack op het bedrijf online kwamen te staan. Uit de e-mails, prijslijsten, offertes en klantbestanden kwam een goed beeld naar boven van wat Hacking Team precies was: Een dubieuze handelaar van zero-days, softwarelekken, en de tools om ze uit te buiten. 

In één van de uitgelekte agenda’s bleek dat onder andere de Nederlandse politie een afspraak had staan om met het bedrijf te praten, maar die afspraak werd te elfder ure weer afgezegd. Wat de politie precies wilde doen met de software van Hacking Team is niet bekend.

©PXimport

De hack op Hacking Team

Lange tijd was de handel in zero-days een publiek geheim. De bedrijven die erin handelden (zoals Hacking Team) waren niet per se illegaal, maar zaten in zo’n grijs gebied dat ze ook niet echt te koop liepen met hun diensten. Ze waren vooral bekend bij beveiligingsonderzoekers, maar niet bij het grote publiek. 

Dat veranderde na de hack op Hacking Team, want hoewel er even commotie ontstond over het bestaan van zulke handelaren was de ophef van korte duur. Inmiddels zijn er meerdere bedrijven die hun diensten publiekelijk bekend maken. Neem Zerodium, een handelaar die een paar maanden geleden in het nieuws kwam door ‘en plein public’ te adverteren met een bug bounty van niet minder dan een miljoen dollar voor een lek in iOS.

Bedrijven als Zerodium ontlenen hun bestaansrecht grotendeels aan de handel in dergelijke software, maar ook grote bedrijven (vaak defensieaannemers) zoals Lockheed Martin en Northup Grumman hebben divisies die handelen in zero-days. Die worden over het algemeen gebruikt om spionagesoftware te maken die dan weer wordt verkocht aan het Amerikaanse leger of de inlichtingendiensten, en zelden aan malafide partijen.

©PXimport

Voor en tegen

In de beveiligingswereld zijn inmiddels twee kampen ontstaan. Aan de ene kant zitten beveiligingsonderzoekers zoals Chris Soghoian, een privacyactivist die al jaren een van de meest uitgesproken critici is van zero-dayhandel. Soghoian noemde verkopers en bedrijven die zo werken ‘merchants of death’ en vergeleek hen ooit met notoire wapenhandelaren als Victor Bout die miljoenen wapens verkocht – ook tijdens burgeroorlogen in Afrika.

Soghoian heeft vooral kritiek op het feit dat zero-dayhandel zorgt voor een wildgroei aan lekken waarvan niemand weet waar ze eindigen. Iedere ‘bad guy’ kan bijvoorbeeld ook achter het lek komen, misschien door het zelf te vinden, het van een andere handelaar te kopen, of zelfs van dezelfde. Er is namelijk geen enkele garantie dat een hacker een zero-day aan slechts één partij verkoopt.

Er zijn echter ook genoeg hackers en onderzoekers die heel erg vóór de handel in zero-days zijn, en daar ook voor uit durven te komen. Eén van de meest vocale hackers is een Zuid-Afrikaanse onderzoeker die bekend staat onder het pseudoniem The Grugq. “Zero-days verkopen is precies hetzelfde als het verkopen van een gewoon softwarepakket. Je levert het met een handleiding op, zorgt dat alles werkt. Het enige verschil is dat je slechts één licentie verkoopt en het daarbij laat”, zei hij ooit in een interview.

Ethisch hacken

Binnen de verkoop aan commerciële partijen kun je overigens nog steeds ethisch werken. Zo zeggen veel onderzoekers hun bevindingen alleen te verkopen aan Europese of Amerikaanse partijen, maar niet aan Russische of Chinese. Dat gebeurt zowel vanwege financiële motieven (laatstgenoemde landen betalen significant minder voor een vondst), maar sommige hackers zeggen op deze manier ook instellingen als de NSA ‘op scherp’ te houden omdat landen als China zich ook niet laten tegenhouden door handelsembargo’s op zero-days.

Wie kopen deze exploits precies?

De handelaren en verkopers mogen dan wel steeds opener worden over hun werkzaamheden, het blijft nog steeds lastig te zeggen aan wie de exploits nou precies worden verkocht. De hack op Hacking Team gaf voor het eerst een inkijkje in het klantenbestand van de handelaren, maar ook uit interviews is voorzichtig op te maken wie er interesse heeft in zero-days. Aan de ene kant zijn dat overheden en inlichtingendiensten, zoals de NSA of de Nederlandse politie. 

Voor zover bekend maakt de politie nu nog geen gebruik van zero-days voor het hacken van computers, maar eind 2016 werd wel in de wet opgenomen dat die methode binnenkort tot de mogelijkheden van de Nederlandse opsporingsdiensten valt. Maar ook andere bedrijven, zelf softwarebouwers, kopen exploits. 

Volgens Adriel Desautels van Hacking Team-concurrent Netragard gebruikt heus niet iedere koper de lekken om te spioneren bij gebruikers. Het is ook goed mogelijk dat een bedrijf een exploit gebruikt als een ‘proof of concept’ om op hackersconferenties mee te adverteren, of dat een lek wordt gebruikt voor ‘pen-testing’. “Als je een kogelvrij vest gaat testen, gebruik je kogels, geen waterpistool”, zegt Desautels in een interview.

Er is een levendige handel in zero-days, en hoewel die allang niet meer uitsluitend ondergronds plaatsvindt is de import en export van softwarelekken nog steeds controversieel. Veel Westerse landen hebben inmiddels eigen regels voor het gebruik van zero-days.

Wet Computercriminaliteit III 

Zo is er de Nederlandse politie, die actief wil gaan zoeken naar datalekken om die vervolgens te gebruiken voor het hacken van verdachten. Het wetsvoorstel waarin dat staat ligt op dit moment bij de Tweede Kamer ter evaluatie. De Wet Computercriminaliteit III is een uitbreiding van een oudere wet die niet meer up-to-date was en niet voorzag in bepaalde onderdelen waar de politie wel behoefte aan heeft – zoals het zoeken naar gaten in de wet.

Maar daar zit een groot probleem. Als één partij weet van een lek, waarom zou een andere dat dan niet weten? Het is niet realistisch om te denken dat alléén de Nederlandse politie weet van een gat in Adobe Flash of Firefox, maar dat malafide overheden of hackersgroepen daar niet achter komen.

Het Wassenaar Akkoord

Het handelen in zero-days kreeg in 2013 dan ook een controversiële rol in het Wassenaar Akkoord, eentje waar politici én hackers op dit moment nog steeds maar moeilijk mee kunnen werken. Het Wassenaar Akkoord stamt al uit 1995, en is een verdrag tussen 13 landen waarin de export van wapens naar repressieve regimes zoveel mogelijk wordt beperkt. In 2013 vond een grote revisie van het Akkoord plaats, met als voornaamste update dat nu ook digitale wapens niet meer mochten worden verkocht.

©PXimport

De definitie van ‘digitaal wapen’ is echter nogal breed, want dat kunnen zowel virussen als Stuxnet zijn als simpele bekende gaten in Chrome. Volgens het Akkoord zou het in theorie mogelijk zijn om beveiligingsonderzoekers te verbieden om een kwetsbaarheid op een internationale conferentie te tonen – één van de bekendste en belangrijkste manieren waarop dat op dit moment gebeurt.

De handel in zero-days wordt steeds groter, en de geldbedragen die omgaan in het verkopen van softwarelekken gaan steeds verder omhoog. Toch blijft de regelgeving nog steeds achter, en ontstaat er een flinke tweedeling onder onderzoekers over de ethiek van het verkopen.

Veilig je telefoon ontgrendelen: wat is de beste methode? In dit artikel komen pincodes, vingerafdrukscans en gezichtsherkenning aan bod.

Voordelen van een wachtwoord, patroon of pincode

Wachtwoorden, patronen en pincodes zijn de oudste en in feite ook de simpelste vormen van identificatie. Belangrijk om te weten is dat de veiligheid afhankelijk is van de lengte van de code of het wachtwoord. Je hebt de veiligheid dus voor een groot deel zelf in de hand. Deze methode is altijd even betrouwbaar, omdat hij voor de veiligheid niet afhankelijk is van je de technologie in je telefoon. Bovendien verlies je de mogelijkheid om op deze manier in te loggen minder snel, omdat er geen sensoren of camera's zijn die stuk kunnen gaan.

©Supatman - stock.adobe.com

Nadelen van een wachtwoord of pincode

De nadelen van een wachtwoord liggen eigenlijk ook voor de hand. Iemand kan bijvoorbeeld stiekem over je schouder meekijken en toegang krijgen tot je telefoon. In theorie kan een hacker met je gegevens aan de haal. In de praktijk komt dat zelden voor, maar het hacken van je vinger of gezicht is in ieder geval helemaal onmogelijk. Toch was voor veel mensen gebruiksvriendelijkheid de reden om over te stappen naar een andere manier. Want iedere keer een code of wachtwoord invoeren duurt lang en begint op een gegeven moment vervelend te worden, vooral als je weet dat er snellere methodes beschikbaar zijn. Een patroon swipen gaat iets sneller, maar kost alsnog meer moeite dan andere manieren.

Vingerafdruk voor authenticatie: de voordelen

Inmiddels zijn vingerafdrukscanners op telefoons snel en reageren ze zonder al te veel problemen, zonder dat je je vinger exact op de juiste manier op de scanner hoeft te plaatsen. Doordat ze op een handige plek geplaatst zijn, ontgrendel je je smartphone min of meer zodra je het apparaat oppakt. Een goede scanner zorgt ervoor dat jij als enige je telefoon kunt unlocken.

©KOB

Vingerafdruk voor authenticatie: de nadelen

Iedereen die ooit een vingerafdrukscanner heeft gebruikt is bekend met het volgende: als je vinger nat is, of wanneer je er toevallig een snee of een pleister op zit, herkent de scanner het profiel van je vinger niet meer. Bij geavanceerdere scanners komt dit probleem minder vaak voor. Sowieso zijn verouderde en goedkopere sensoren lang niet altijd veilig. Ze zijn in het kort minder complex, waardoor ze minder lijnen registreren en je vingerafdruk niet heel nauwkeurig meten.

Voordelen van gezichtsherkenning voor ontgrendeling

Je smartphone ontgrendelen door gezichtsherkenning is de gebruiksvriendelijkste manier. Het enige wat je hoeft te doen, is naar je telefoon kijken. Kortom: het gaat automatisch en zonder dat je het in de gaten hebt. Smartphones die gebruikmaken van een 3D-scan zijn amper te misleiden en dus zeer betrouwbaar, maar alleen nieuwe (en dure) modellen zijn uitgerust met deze mogelijkheid. Let daar goed op wanneer je graag gebruikmaakt van gezichtsherkenning en op zoek bent naar een nieuwe telefoon.

©Khaletski Siarhei\goffkein.pro

Nadelen van gezichtsherkenning voor ontgrendeling

Oudere telefoons die te ontgrendelen zijn met een scan van je gezicht, zijn helaas niet heel veilig. Ze maken gebruik van een foto en vergelijken die met de 2D-scan die gemaakt wordt tijdens het ontgrendelen. In de eerste plaats is gebleken dat iemand anders met een gezicht dat veel op je lijkt de telefoon mogelijk ook kan ontgrendelen. Daarnaast is een foto van de bezitter van de telefoon soms genoeg om deze veiligheidsmethode te misleiden.

Conclusie: wat is het veiligst?

Een complex wachtwoord of lange pincode is nog altijd een veilige manier om je smartphone te vergrendelen. Als je een moderne telefoon hebt, is vingerafdrukherkenning ook erg veilig en bovendien een heel stuk gebruiksvriendelijker. Een geavanceerde scanner voor gezichtsherkenning is ook zeer betrouwbaar. Maar daarbij moet je er wel op letten dat jouw telefoon echt een 3D-scan van je gezicht maakt. De meeste smartphones kunnen dat niet. Denk er verder aan dat je niet meer kunt inloggen met een vingerafdruk of een gezichtsscan als bepaalde onderdelen van je telefoon niet meer functioneren. Daarom is het aangeraden om altijd te kiezen voor een lang wachtwoord of pincode als back-up.

📱Ook interessant: Help! Ik ben het wachtwoord van mijn Apple ID vergeten

Ben je op zoek naar een energiezuinige bijverwarming die snel en efficiënt warmte levert? Dan is een keramische verwarming wel iets voor jou: die combineert moderne technologie met gebruiksgemak. Zoals de Philips 5000 Series CX5120/11 keramische verwarming. Wat zijn de praktijkervaringen van de testers van Review.nl? Lees hier hun bevindingen.

Ben je op zoek naar een snelle, slimme en veilige manier om je huis te verwarmen? Met deze krachtige keramische verwarming zit je binnen twee seconden al lekker warm! En het beste? Je bespaart tot wel 50% energie vergeleken met een gewone verwarmingsventilator. Via de handige Philips Air+-app heb je altijd en overal controle over je verwarming. Bovendien zorgt de 5-voudige veiligheidsbescherming ervoor dat je je nergens zorgen over hoeft te maken. Warmte, gemak én gemoedsrust – wat wil je nog meer? Testers van Review.nl mochten de Philips 5000 Series CX5120/11 gedurende een periode testen. Hier lees je hun bevindingen.

Het slanke, zwarte design van deze Philips verwarming past goed in een modern interieur. Met een hoogte van minder dan 60 centimeter is het apparaat compact genoeg om onder een bureau te plaatsen. "Door het slanke en zwarte design is deze verwarming overal te plaatsen", aldus Rob, één van de testers. Het apparaat is daarnaast licht van gewicht, wat het makkelijk maakt om hem van kamer naar kamer te verplaatsen wanneer nodig.

Snelle en effectieve verwarming

De CX5120/11 overtuigt met zijn krachtige verwarmingsprestaties. "Het apparaat verwarmt de kamer verrassend snel, wat ideaal is op koude dagen", schrijft GeertK, die de CX5120/11 een 8,0 geeft. De oscillerende voet zorgt voor een goede warmteverdeling in de ruimte. Rob is blij met het vermogen: "Hierdoor is het mogelijk om in een korte periode een fijne warmte te verspreiden". Daar is tester Cindyver het mee eens. Ook wordt gewaardeerd dat de keramische verwarming geen vieze geurtjes verspreidt.

De Philips 5000 Series CX5120/11 kan ook in een thuisnetwerk worden gebruikt, waardoor app-bediening ingesteld kan worden en een koppeling met Google Home en Alexa mogelijk is. Wel kan er nog iets worden verbeterd aan het proces voor het maken van een verbinding met het draadloze netwerk. Roberto073: "Het koppelen met de Air+ app verliep zonder gedoe, al bleef het wifi-icoontje wit in plaats van oranje, zoals de handleiding aangaf. Dat was echter geen probleem, want alles werkte naar behoren." AnneliesD hierover: "De installatie was even puzzelen omdat er verwezen werd naar het netwerk van Philips in plaats van ons thuis wifi-netwerk. Maar dit was zo gewijzigd in de app."

Slim en gebruiksvriendelijk

Een groot pluspunt is de bediening via de bijbehorende app. Hiermee kun je de verwarming op afstand bedienen en programma's instellen. 'Via deze app is het mogelijk om zelf een programma te maken wanneer, hoe laat en hoe warm de verwarming moet werken', licht een enthousiaste gebruiker toe. De Auto+ modus regelt de verwarming automatisch voor optimale energiebesparing. Het touchscreen op het apparaat zelf biedt een gebruiksvriendelijk alternatief voor de app-bediening.

Tester Har74 is blij met de slimme functies van de verwarming en de app: "In de kinderkamer is de verwarming een keer omgevallen, maar de app gaf meteen een melding dat het apparaat was omgevallen en automatisch was uitgeschakeld. "

Tester AnneliesD is blij met de CX5120/11: "Vooral met thuiswerken is het ideaal om één ruimte te verwarmen en de cv-installatie niet te hoeven gebruikenm. wat dus ook aanzienlijk scheelt in de kosten! "

Geschikt voor kleinere ruimtes

De verwarming is vooral effectief in kleinere ruimtes tot ongeveer 20 m². 'In mijn studeerkamer komt de verwarming tot zijn recht', schrijft een tester. Verschillende gebruikers zetten het apparaat specifiek in als bijverwarming voor een thuiswerkplek. Een minpunt van de Philips 5000 Series CX5120/11 is volgens Max546 de lengte van het snoer. "Zonder verlengsnoer kun je hem niet zomaar overal neerzetten", aldus de tester.

Tester Har74 merkt dat deze verwarming minder geschikt is voor grotere ruimtes, want volgens de specificaties is hij vooral geschikt voor kamers tot 20 m³. Ook vindt hij het jammer dat de verwarming niet in andere kleuren dan zwart verkrijgbaar is.

Conclusie

Met een gemiddelde score van 8,7 is de Philips 5000 Series CX5120/11 een overtuigende keuze voor wie op zoek is naar een slimme bijverwarming voor kleinere ruimtes. De combinatie van snelle warmte, app-bediening en energiezuinige werking maakt het een praktisch apparaat voor bijvoorbeeld een thuiswerkplek of slaapkamer. Het compacte formaat en stille werking zijn extra pluspunten. Enige minpunten zijn de relatief korte stroomkabel en het feit dat de temperatuurmeting bij het apparaat niet altijd overeenkomt met de werkelijke kamertemperatuur.