ID.nl logo
Huis

De dubieuze bedrijven die handelen in zero-days

Zero-days opsporen om lekke software beter te beveiligen, dat klinkt als een nobel streven, Maar de handel hierin is ook controversieel, vol met ethische dilemma’s, grote geldbedragen en corrupte buitenlandse regimes.

Lees ook: Wat is de prijs voor het vinden van zero-days?

De laatste jaren is er een wildgroei ontstaan van bedrijven die actief op zoek gaan naar zero-days, om daar zelf software omheen te bouwen. Die wordt kant-en-klaar verkocht aan bedrijven, overheden en inlichtingsdiensten, en kan worden ingezet om verdachten te hacken of om anderen te bespioneren.

Eén van de bekendste van die bedrijven is Hacking Team, een Italiaanse organisatie die vorig jaar in het nieuws kwam nadat duizenden interne documenten na een hack op het bedrijf online kwamen te staan. Uit de e-mails, prijslijsten, offertes en klantbestanden kwam een goed beeld naar boven van wat Hacking Team precies was: Een dubieuze handelaar van zero-days, softwarelekken, en de tools om ze uit te buiten. 

In één van de uitgelekte agenda’s bleek dat onder andere de Nederlandse politie een afspraak had staan om met het bedrijf te praten, maar die afspraak werd te elfder ure weer afgezegd. Wat de politie precies wilde doen met de software van Hacking Team is niet bekend.

©PXimport

De hack op Hacking Team

Lange tijd was de handel in zero-days een publiek geheim. De bedrijven die erin handelden (zoals Hacking Team) waren niet per se illegaal, maar zaten in zo’n grijs gebied dat ze ook niet echt te koop liepen met hun diensten. Ze waren vooral bekend bij beveiligingsonderzoekers, maar niet bij het grote publiek. 

Dat veranderde na de hack op Hacking Team, want hoewel er even commotie ontstond over het bestaan van zulke handelaren was de ophef van korte duur. Inmiddels zijn er meerdere bedrijven die hun diensten publiekelijk bekend maken. Neem Zerodium, een handelaar die een paar maanden geleden in het nieuws kwam door ‘en plein public’ te adverteren met een bug bounty van niet minder dan een miljoen dollar voor een lek in iOS.

Bedrijven als Zerodium ontlenen hun bestaansrecht grotendeels aan de handel in dergelijke software, maar ook grote bedrijven (vaak defensieaannemers) zoals Lockheed Martin en Northup Grumman hebben divisies die handelen in zero-days. Die worden over het algemeen gebruikt om spionagesoftware te maken die dan weer wordt verkocht aan het Amerikaanse leger of de inlichtingendiensten, en zelden aan malafide partijen.

©PXimport

Voor en tegen

In de beveiligingswereld zijn inmiddels twee kampen ontstaan. Aan de ene kant zitten beveiligingsonderzoekers zoals Chris Soghoian, een privacyactivist die al jaren een van de meest uitgesproken critici is van zero-dayhandel. Soghoian noemde verkopers en bedrijven die zo werken ‘merchants of death’ en vergeleek hen ooit met notoire wapenhandelaren als Victor Bout die miljoenen wapens verkocht – ook tijdens burgeroorlogen in Afrika.

Soghoian heeft vooral kritiek op het feit dat zero-dayhandel zorgt voor een wildgroei aan lekken waarvan niemand weet waar ze eindigen. Iedere ‘bad guy’ kan bijvoorbeeld ook achter het lek komen, misschien door het zelf te vinden, het van een andere handelaar te kopen, of zelfs van dezelfde. Er is namelijk geen enkele garantie dat een hacker een zero-day aan slechts één partij verkoopt.

Er zijn echter ook genoeg hackers en onderzoekers die heel erg vóór de handel in zero-days zijn, en daar ook voor uit durven te komen. Eén van de meest vocale hackers is een Zuid-Afrikaanse onderzoeker die bekend staat onder het pseudoniem The Grugq. “Zero-days verkopen is precies hetzelfde als het verkopen van een gewoon softwarepakket. Je levert het met een handleiding op, zorgt dat alles werkt. Het enige verschil is dat je slechts één licentie verkoopt en het daarbij laat”, zei hij ooit in een interview.

Ethisch hacken

Binnen de verkoop aan commerciële partijen kun je overigens nog steeds ethisch werken. Zo zeggen veel onderzoekers hun bevindingen alleen te verkopen aan Europese of Amerikaanse partijen, maar niet aan Russische of Chinese. Dat gebeurt zowel vanwege financiële motieven (laatstgenoemde landen betalen significant minder voor een vondst), maar sommige hackers zeggen op deze manier ook instellingen als de NSA ‘op scherp’ te houden omdat landen als China zich ook niet laten tegenhouden door handelsembargo’s op zero-days.

Wie kopen deze exploits precies?

De handelaren en verkopers mogen dan wel steeds opener worden over hun werkzaamheden, het blijft nog steeds lastig te zeggen aan wie de exploits nou precies worden verkocht. De hack op Hacking Team gaf voor het eerst een inkijkje in het klantenbestand van de handelaren, maar ook uit interviews is voorzichtig op te maken wie er interesse heeft in zero-days. Aan de ene kant zijn dat overheden en inlichtingendiensten, zoals de NSA of de Nederlandse politie. 

Voor zover bekend maakt de politie nu nog geen gebruik van zero-days voor het hacken van computers, maar eind 2016 werd wel in de wet opgenomen dat die methode binnenkort tot de mogelijkheden van de Nederlandse opsporingsdiensten valt. Maar ook andere bedrijven, zelf softwarebouwers, kopen exploits. 

Volgens Adriel Desautels van Hacking Team-concurrent Netragard gebruikt heus niet iedere koper de lekken om te spioneren bij gebruikers. Het is ook goed mogelijk dat een bedrijf een exploit gebruikt als een ‘proof of concept’ om op hackersconferenties mee te adverteren, of dat een lek wordt gebruikt voor ‘pen-testing’. “Als je een kogelvrij vest gaat testen, gebruik je kogels, geen waterpistool”, zegt Desautels in een interview.

Er is een levendige handel in zero-days, en hoewel die allang niet meer uitsluitend ondergronds plaatsvindt is de import en export van softwarelekken nog steeds controversieel. Veel Westerse landen hebben inmiddels eigen regels voor het gebruik van zero-days.

Wet Computercriminaliteit III 

Zo is er de Nederlandse politie, die actief wil gaan zoeken naar datalekken om die vervolgens te gebruiken voor het hacken van verdachten. Het wetsvoorstel waarin dat staat ligt op dit moment bij de Tweede Kamer ter evaluatie. De Wet Computercriminaliteit III is een uitbreiding van een oudere wet die niet meer up-to-date was en niet voorzag in bepaalde onderdelen waar de politie wel behoefte aan heeft – zoals het zoeken naar gaten in de wet.

Maar daar zit een groot probleem. Als één partij weet van een lek, waarom zou een andere dat dan niet weten? Het is niet realistisch om te denken dat alléén de Nederlandse politie weet van een gat in Adobe Flash of Firefox, maar dat malafide overheden of hackersgroepen daar niet achter komen.

Het Wassenaar Akkoord

Het handelen in zero-days kreeg in 2013 dan ook een controversiële rol in het Wassenaar Akkoord, eentje waar politici én hackers op dit moment nog steeds maar moeilijk mee kunnen werken. Het Wassenaar Akkoord stamt al uit 1995, en is een verdrag tussen 13 landen waarin de export van wapens naar repressieve regimes zoveel mogelijk wordt beperkt. In 2013 vond een grote revisie van het Akkoord plaats, met als voornaamste update dat nu ook digitale wapens niet meer mochten worden verkocht.

©PXimport

De definitie van ‘digitaal wapen’ is echter nogal breed, want dat kunnen zowel virussen als Stuxnet zijn als simpele bekende gaten in Chrome. Volgens het Akkoord zou het in theorie mogelijk zijn om beveiligingsonderzoekers te verbieden om een kwetsbaarheid op een internationale conferentie te tonen – één van de bekendste en belangrijkste manieren waarop dat op dit moment gebeurt.

De handel in zero-days wordt steeds groter, en de geldbedragen die omgaan in het verkopen van softwarelekken gaan steeds verder omhoog. Toch blijft de regelgeving nog steeds achter, en ontstaat er een flinke tweedeling onder onderzoekers over de ethiek van het verkopen.

▼ Volgende artikel
Inbouwkoelkast vervangen: dit moet je weten over afmetingen en montage
© Oleg Fedosenko
Huis

Inbouwkoelkast vervangen: dit moet je weten over afmetingen en montage

Ben je van plan een inbouwkoelkast te kopen of een bestaande te vervangen? Let dan goed op de juiste nismaten, het type scharniersysteem en de benodigde ventilatieruimte. In dit artikel lees je hoe je de juiste maat kiest, welke standaardhoogtes er zijn en hoe je voorkomt dat je nieuwe koelkast straks nét niet past.

In dit artikel lees je:
  • Welke standaard nismaten er zijn voor inbouwkoelkasten
  • Hoe je breedte, diepte en ventilatieruimte correct opmeet
  • Wat het verschil is tussen een sleepdeur en een deur-op-deur-systeem
  • Wanneer maatwerk nodig is (en hoe je dat voorkomt)
  • Hoe je bij vervanging of een nieuwe keuken kiest voor de juiste inbouwmaat

Wie op zoek is naar een nieuwe inbouwkoelkast, ontdekt al snel dat afmetingen minstens zo belangrijk zijn als inhoud, energielabel of uitstraling. Zeker als het apparaat in een bestaande nis moet passen of deel uitmaakt van een strak ontworpen keukenfront. Een kleine afwijking in maatvoering kan leiden tot frustratie, extra kosten of zelfs een keukenaanpassing. Gelukkig zijn er standaarden die houvast bieden.

De standaardhoogtes voor inbouwkoelkasten

Inbouwkoelkasten zijn er in een aantal vaste hoogtes, afgestemd op gangbare keukenkastmaten. De meest voorkomende nishoogtes zijn 88, 102, 122, 140 en 178 centimeter. Een koelkast van 88 centimeter wordt vaak gekozen in compacte keukens of onder het aanrecht. De 102 en 122 centimeter zijn net iets ruimer en bieden meer koelruimte zonder een volledige hoge kast nodig te hebben. De 140 centimeter is populair bij mensen die wel wat extra capaciteit willen, maar niet kunnen of willen overstappen naar een vloerhoge koelkast. Wie echt voldoende ruimte zoekt voor een gezin of een royale levensstijl, komt al snel uit bij de nishoogte van 178 centimeter, die geldt als de standaard voor volwaardige inbouwkoelkasten (vaak met een vriezer er direct onder). Het is goed om te weten dat de koelkast zelf altijd iets kleiner is dan de nismaat, zodat er ruimte overblijft voor ventilatie en installatie.

©rois010

Breedte, diepte en ventilatie-eisen

Naast de hoogte zijn ook de breedte en diepte van de nis van belang. In vrijwel alle gevallen gaat het om een nisbreedte van 56 tot 60 centimeter en een diepte van ongeveer 55 tot 60 centimeter. Daarmee sluiten de meeste inbouwkoelkasten mooi aan op standaard keukenkasten. Toch is het belangrijk om altijd te controleren of er voldoende ruimte is aan de achterkant en zijkanten voor luchtcirculatie, want een gebrek aan ventilatie kan de levensduur van je apparaat verkorten en het energieverbruik verhogen. De exacte marges en ventilatie-eisen staan altijd vermeld in de inbouwtekening van de fabrikant.

Let op het juiste deursysteem

Een ander aspect waar je zeker rekening mee moet houden is het type deurscharnier en bevestigingssysteem. Er zijn twee veelgebruikte manieren om de keukendeur aan de koelkastdeur te koppelen. Bij een sleepdeur schuiven beide deuren over elkaar via een glijgeleider. Bij een deur-op-deur-systeem wordt de keukendeur rechtstreeks vastgemaakt aan de koelkastdeur. Deze laatste methode is robuuster, eenvoudiger in gebruik en vaak de voorkeur bij moderne keukens. Belangrijk is dat je bij vervanging van een koelkast goed controleert welk systeem je huidige keuken gebruikt, want een sleepdeursysteem en deur-op-deur-systeem zijn niet onderling uitwisselbaar zonder aanpassingen.

©yunava1

Wanneer maatwerk nodig is

Hoewel standaardmaten veel problemen voorkomen, is maatwerk soms toch onvermijdelijk. Dit is bijvoorbeeld het geval bij oudere keukens met afwijkende kastafmetingen, bij zelfbouwkeukens of designoplossingen waarbij concessies zijn gedaan op standaardisatie. Ook in kleine woningen of appartementen met schuine wanden of andere beperkingen kan het nodig zijn om af te wijken van de standaard. Soms volstaat een simpele opvulling of aanpassing, maar in andere gevallen moet een kast volledig opnieuw worden ontworpen.

Problemen voorkomen bij aankoop of vervanging

Wie verrassingen wil voorkomen bij de aanschaf van een nieuwe koelkast of bij de montage in een nieuwe keuken, doet er goed aan om alles zorgvuldig op en in te meten. Dat betekent dat je niet alleen de hoogte, breedte en diepte van de nis opneemt, maar ook rekening houdt met de ruimte voor ventilatie en het juiste type deursysteem.

Daarnaast is het verstandig om altijd de technische tekening van het apparaat te raadplegen en je goed te laten adviseren door een keuken- of witgoedspecialist. Zeker bij vervanging is het belangrijk om niet alleen naar de buitenmaten te kijken, maar ook naar de technische en functionele eigenschappen die bepalen of een apparaat probleemloos past.

Wie zich aan deze richtlijnen houdt en bewust kiest voor een standaardmaat, voorkomt gedoe, vertragingen of kostbare aanpassingen achteraf. Een koelkast op maat hoeft dus helemaal geen maatwerk te zijn, als je maar weet waar je op moet letten.

▼ Volgende artikel
Waar voor je geld: 5 betaalbare digitale waterpassen met laser
© ID.nl
Huis

Waar voor je geld: 5 betaalbare digitale waterpassen met laser

Bij ID.nl zijn we gek op producten waar je niet de hoofdprijs voor betaalt. Een paar keer per week speuren we daarom binnen een bepaald thema naar zulke deals. Deze zomer klussen? Goed gereedschap is dan onontbeerlijk. Ee digitale waterpas bijvoorbeeld, ook wel kruislijnlaser genoemd. Dankzij een duidelijke lijn van laserlicht kun je alles mooi waterpas ophangen, zetten of plaatsen.

Een digitale waterpas met laser, ook wel kruislijnlaser genoemd, helpt je om alles perfect recht of waterpas te krijgen, bijvoorbeeld bij het ophangen van een schilderij, het plaatsen van een plank of het tegelen van een muur. De ingebouwde laser projecteert een strakke lijn op de muur, zodat je grotere afstanden gemakkelijk kunt uitlijnen zonder steeds opnieuw te hoeven meten. Handig bij het klussen, verbouwen of inrichten van je huis! Wij vonden vijf betaalbare kruislijnlasers.

Kapro Prolaser 862GS

Deze Kapro Prolaser 862GS verrast met een opvallend groen laserlijn die beter zichtbaar is in fel licht, perfect voor binnen én buiten gebruik. Hij werkt tot zo’n 20 m met indrukwekkende nauwkeurigheid van ± 0,2 mm/m en een zelfnivelleringsbereik van ± 3°. Je krijgt er zelfs een mini‑statief bij, waardoor je meteen aan de slag kunt. Compact, lichtgewicht – maar gebouwd om te presteren onder uiteenlopende omstandigheden dankzij zijn IP 54‑behuizing en lange batterijduur. Een slimme keuze voor wie zowel gemak als zichtbaarheid wil tijdens precisiewerk.

Lasertype: Kruislijn, horizontaal, verticaal
Nauwkeurigheid: 0,4 mm / meter
Automatische correctie: ± 3 °
Lijnzichtbaarheid: 20 meter
Stroombron: 2x AA-batterij

Parkside PKLL 7 D3

De Parkside PKLL 7 D3 is een betaalbare instapper die verrassend veel kan. Hij projecteert kruislijnen met automatische nivellering tot ± 4° en werkt tot ca. 7  meter afstand. Uniek is de mogelijkheid om de lasers onder vaste hoeken te projecteren – handig bij creatief-imaginair werk of wanneer precieze hoeken nodig zijn zonder automatisch corrigerend niveau. Hij is compact, licht en ideaal voor gebruik bij kleine klussen in huis. De nauwkeurigheid van deze kruislijnlaser is met een afwijking van 0,8 mm per meter echter wel iets minder goed, iets om rekening mee te houden.

Lasertype: Kruislijn, horizontaal, verticaal
Nauwkeurigheid: 0,8 mm / meter
Automatische correctie:
Lijnzichtbaarheid: 7 meter
Stroombron: 2xAA-batterij

Makita SK105DZ

Deze Makita projecteert heldere rode lijnen tot 25 meter, ideaal voor zowel horizontale als verticale lijnprojectie. Dankzij de zelfnivellerende functie hoef je je nooit druk te maken over scheve hoeken: hij corrigeert automatisch tot zo'n 4° graden. Deze Makita werkt op en afzonderlijk te verkrijgen 12Volt CXT-accu. De nauwkeurigheid van de SK105DZ is met een afwijking van 0,3 mm per meter erg goed.

Lasertype: Kruislijn, horizontaal, verticaal
Nauwkeurigheid: 0,3 mm / meter
Automatische correctie:
Lijnzichtbaarheid: 25 meter
Stroombron: Accu

Stanley STHT77502-1 Cross 90

Deze Stanley Cross 90 projecteert naast een horizontale en verticale ook nog een extra verticale lijn op exact 90°, waardoor hij ideaal is voor bijvoorbeeld tegelwerk, vloeren en het netjes uitlijnen van tussenschotten. De automatische nivellering zorgt voor een precieze uitlijning zonder gedoe. Een uitstekende keuze voor wie professioneel resultaat wil zonder poespas.

Lasertype: Kruislijn, horizontaal, verticaal
Nauwkeurigheid: 0,5 mm / meter
Automatische correctie: ± 4°
Bereik: 12 meter
Stroombron: 2xAA-batterij

Bosch Universal Level 2

De Bosch Universal Level 2 biedt drie handige modi: kruislijnen met automatische nivellering, verticale lijnen met puntenfunctie of een hellingsmodus voor schuine uitlijning. Dankzij de heldere rode laserstraal en de intuïtieve bediening ervaar je snel gemak en nauwkeurigheid. Compleet geleverd inclusief batterijen en opberghoes.

Lasertype: Kruislijn, horizontaal, verticaal
Nauwkeurigheid: 0,5 mm / meter
Automatische correctie: 4 °
Lijnzichtbaarheid: 10 meter
Stroombron: 3xAA-batterij