Amendement: overheid moet geen kwetsbaarheden software misbruiken

Want pervers
Want pervers
Tja, we worden er niet echt vrolijk van. Het wetsvoorstel Computercriminaliteit III dat momenteel behandeld wordt in de Tweede Kamer. En vergaande bevoegdheden aan de opsporings- en inlichtingendiensten geeft. Waaronder de bevoegdheid om computers en telefoons te hacken van verdachten. Onder meer door gebruik te maken van kwetsbaarheden die in software worden aangetroffen. Hoe het werkt ziet u hierrr. Nogal pervers inderdaad, want de overheid krijgt er hierdoor een belang bij dat de computers en telefoons van inwoners niet goed zijn beveiligd. D66-Kamerlid Verhoeven en GroenLinks-Kamerlid Van Tongeren hebben dan ook een amendement ingediend bij het wetsvoorstel om dit gebruik van ontdekte lekken te verbieden. Er zijn namelijk nog genoeg andere manieren om gegevens te bemachtigen waarbij geen lekken moeten worden geëxploiteerd: denk aan keyloggers, trojan horses en het kraken van wachtwoorden. Op die manier hoeft de overheid niet (actief of passief) mee te werken aan een onveiliger internet. Lijkt ons uitstekend. Aannemen dat amendement.

Reaguursels

Inloggen

(Quote)En vergaande bevoegdheden aan de opsporings- en inlichtingendiensten geeft. Waaronder de bevoegdheid om computers en telefoons te hacken.
.
Dit is helemaal niets nieuws, die bevoegdheden bestaan "onderwater" al een kwart eeuw. HardTaps zijn met toestemming van rechter, SoftTaps staan zonder rechterlijke toestemming. Wat er getapt wordt en met welke techniek maakt niet uit, vroeger waren dat de huistelefoons, in dorpen kon je enkel een hele straat tappen en niet op persoon. post werd onderschept op adres/postcode niet op persoon, enzovoort.
Zo blijven taps tegenwoordig veelal langer staan dan rechterlijk vastgelegd. het enige wat er veranderd is dat er nu een wet van wordt gemaakt.

@dejeroen
Veel te ingewikkeld/risicovol
Bij grotere bedrijven loop je 's morgens(liefst maandag of vrijdagochtend met de stroom mee er is altijd een computer vrij.
Met kwade bedoelingen wil je ongemerkt binnenkomen, je loopt simpelweg met de massa mee.
Een andere optie is uitzoeken met wie een "doel" uitzend-contracten heeft, zo had Randstad lang geleden contracten met defensie. Je melden als uitzendkracht was genoeg om binnen te komen, je kreeg zelfs een "pasje" en kon ongemerkt rondhuppelen, screening nul nada noppes!!
Tot er een bom afging op de van Alkemadelaan!!

Sexpresso | 05-12-16 | 11:22 | + 0 -

@Methylfenidaat | 03-12-16 | 10:47 |
Al gedacht aan social engineering en andere vormen van inbaak? Dat is de afgelopen jaren sterker gegroeid als manier om te hacken dan inbreken in een computer.
Bij veel mensen zijn de computers inmiddels wel goed beveiligd, maar er zijn ook andere manieren om binnen te komen. Deze manieren kosten iets meer moeite, maar zijn bij lange na niet onmogelijk.

Veel mensen worden gehackt doordat er iemand zogenaamd belt van een helpdesk en je vraagt om iets te installeren. (Quid pro qou).

Het komt ook vaak voor dat mensen de vraag krijgen om de creditcard gegevens door te sturen om zo geld van je rekening af te halen (phishing).

Op de parkeerplaats van een bedrijf een usb stick of cd in hoesje achter te laten ( bij voorkeur met het logo van een bedrijf erop). nadat deze in een computer wordt gestopt is de aanvaller binnen(baiting).

Wat ook gebeurt bij grotere bedrijven is dat iemand binnenloopt en verteld dat de telefoon leeg is (lege telefoon meenemen). dan binnen vraagt om even een email te kunnen verzenden dat nog moet gebeuren, en of je dan even op een van de computers daar kan inloggen om de mail te verzenden (of bustijden/reistijden op te zoeken om de weg naar huis te kunnen vinden). in bijna de helft van de gevallen (zo is mij verteld) lukt het je om achter een computer te komen zitten bij het bedrijf (of instelling, of winkel, of waar dan ook). in dat geval stop je een usb stick in de computer en je bent binnen (social engineering).
Als ze merken dat je er een usb stick in stopt, vertel dan dat het gaat om een bijlage die je moet verzenden.

dejeroen | 03-12-16 | 12:34 | + 2 -

Modem (hardened linux firmware) -> zelfbouw linux firewall met intrusion detection -> Thuisnetwerk IPv6 only -> hardened linux Laptop's/PC's met VPN client bij diverse VPN hosts. -> Storage: zelfbouw hardened linux NAS met zwaar encrypted RAID6.
.
Hit me!

Methylfenidaat | 03-12-16 | 10:47 | + 2 -

Die zelfde overheid die nog vol op XP draait?
Als er een orgaan is dat qua IT mijlen ver achterloopt is het wel de overheid.

Super Grover | 02-12-16 | 20:17 | + 2 -

Dat wordt een wapenwedloop die de overheid alleen kan winnen door terug te gaan naar papieren formulieren, archiefdozen en stencil machines. (Wat in veel meer opzichten een goed plan is.)

W_F | 02-12-16 | 19:41 | + 2 -

@jezusisonzin | 02-12-16 | 17:13
.
Het ligt iets genuanceerder. Bij het gebruikmaken van kwetsbaarheden krijg je dus de situatie dat de politie weet dat bepaalde software niet veilig is, maar dit niet meldt bij de softwaremaker. Hierdoor werkt de politie actief mee aan het instandhouden van cybercriminaliteit. Stel dat van duizenden mensen de bankrekening geplunderd wordt vanwege een kwetsbaarheid in de gebruikte software en de politie moet achteraf bekennen dat ze al jaren op de hoogte waren van die kwetsbaarheid. Buiten de cyberwereld zou iedereen er direct tegen zijn om andere mensen bloot te stellen aan risico's om een crimineel te vangen, zoals het creëren van een file om een vluchtende overvaller te laten stoppen.

Bytemaster | 02-12-16 | 19:13 | + 4 -

@Eigenaar_IJsland | 02-12-16 | 16:00 |
.
Deze wet in combinatie met een beroerde vaardigheid in ICT is JUIST reden om je zorgen te maken.
Het is gewoon wachten op het moment dat de overheid internetcriminaliteit faciliteert zonder dat ze het zelf in de gaten hebben.

Bytemaster | 02-12-16 | 18:38 | + 5 -

Als de overheid ergens in een computer wil kijken, is het handig dat er een lek zit. Beetje naïef amendement en dat men hier daar ook nog voor is, zegt iets over de wereldvreemde mensen in de 2e kamer en nog erger, op de redactie.

jezusisonzin | 02-12-16 | 17:13 | + 2 -

Vergeten: en ze mogen de kwetsbaarheden niet kopen (of ruilen met b.v. iets met een andere dienst als de NSA. Alleen zelf vinden dus.

Raider Twix | 02-12-16 | 16:22 | + 1 -

Hmmm... Was leuk met die belastingaangiftes. Een .exe bestand downloaden en moeten uitvoeren....

En dan zit daar "natuurlijk" een lek in zoals per ongeluk ingebouwde remote control oid...

Grondleggers van de gronwet draaien zich om in hun graf...

mrXL | 02-12-16 | 16:19 | + 2 -

De bedoeling is goed, maar het lijkt een beetje op wetgeving voor de sier. Je kunt inbreken op iemands computer via het installeren van b.v. een keylogger. Al heeft Microsoft die al standaard in Window 10 ingebouwd (de wachtwoord evaluator). Dit soort inbraken is ook niet zonder risico voor de gebruiker.
-
Een alternatief is wel een lek mogen gebruiken, maar na het, controleerbaar en correct, melden aan de betreffende fabrikant.
Laten we zeggen minimaal 5 seconden voordat ze het lek gebruiken.

Raider Twix | 02-12-16 | 16:18 | + 0 -

Overheid en ict?
Jongens, waar maken we ons nu druk om :-)

Eigenaar_IJsland | 02-12-16 | 16:00 | + 5 -

@Reinaert | 02-12-16 | 14:47
Gaat hier niet zozeer om die privacy (dat hoort ook op een andere plek, nl. bij de rechter, afgedekt te worden), maar het gaat erom dat door dit type lek te misbruiken, het voor de inlichtingendiensten aantrekkelijk wordt dat die gaten erin zitten. Gevonden kwetsbaarheden worden dan dus niet gemeld, of nog erger, bedrijven worden aangespoord om "per ongeluk" wat gaten te laten vallen.
Het gevolg is dus onveiligere software, en alle daarbij horende gevaren.

TheEgg | 02-12-16 | 15:06 | + 12 -

Trojan horses, keyloggers en gekraakte wachtwoorden mogen wel? Volgens mij pleeg je dan ook inbreuk op de privacy van een eventuele verdachte. Zeker de eerste twee vereisen actief ingrijpen door 'iets' op de computer/telefoon/tablet/whatever van verdachte te plaatsen, en dat moet wel kunnen? Wachtwoorden kraken is overigens ook dubieus: op die manier verschaft de overheid zich - ongetwijfeld ongewenst door de eigenlijke gebruiker van het apparaat - tóch toegang tot diens data.

Criminaliteitsbestrijding: prima! Maar er zijn wel grenzen, dit is een hellend vlak & glad ijs tezamen, want waar eindigt het? Wie het (beter) weet mag het zeggen.

Reinaert | 02-12-16 | 14:47 | + 1 -

REAGEER OOK

Linktip: Energie vergelijken