AIVD gebruikte sinds 2018 zerodaylek zonder toetsingscommissie in te lichten – Computer – Nieuws

AIVD gebruikte sinds 2018 zerodaylek zonder toetsingscommissie in te lichten – Computer – Nieuws

De Nederlandse inlichtingendiensten gebruikten sinds 2018 een zerodaylek bij operaties om computers binnen te dringen, zonder de toetsingscommissie over de toestemming in te lichten. Die commissie zou een inzetverzoek onrechtmatig verklaard hebben.

De AIVD en de militaire inlichtingendienst MIVD hebben de Toetsingscommissie Inzet Bevoegdheden of TIB pas halverwege 2021 ingelicht over de inzet van de zerodaykwetsbaarheid. Dit zijn kwetsbaarheden die niet bekend zijn bij de fabrikant van de software, en waar nog geen patch voor is uitgebracht. De inlichtingendiensten gebruikten de betreffende kwetsbaarheid al vanaf 1 mei 2018, bij een niet nader genoemd aantal operaties. Ze moeten daar toestemming voor krijgen van ministers en de TIB toetst vooraf of de verzoeken rechtmatig zijn. De commissie zou het verzoek om de zerodays in te mogen zetten, niet als rechtmatig hebben beoordeeld, concludeert de TIB.

De inzet vond in 2018 plaats nadat de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten constateerde dat er heel wat tekortkomingen waren bij de omgang met zerodaylekken door de inlichtingendiensten. Het ministerie van Binnenlandse Zaken beloofde toen de toetsing aan te scherpen. De AIVD en MIVD kunnen voor het binnendringen van systemen gebruikmaken van kwetsbaarheden die de gezamenlijke Joint Sigint Cyber Unit ontdekt, of die ze gekocht hebben van commerciële partijen zoals Zerodium.

De TIB benadrukt dat het de technische risico’s bij elke inzet van de hackbevoegdheid moet toetsen en daarvoor over juiste informatie moet beschikken. De commissie constateert dat een van de twee diensten bij een operatie de technische risico’s van de inzet van de zeroday alleen vrij algemeen beschreef, omdat de dienst niet zou weten hoe de systemen daadwerkelijk zouden worden binnengedrongen. “Achteraf bleek dat de betreffende dienst van te voren wist hoe te hacken met de onbekende kwetsbaarheid”, beschrijft de TIB. Bovendien bleek de dienst geen gebruik van versleuteling te hebben gemaakt bij de inzet. “Het onversleuteld uitbuiten van een onbekende kwetsbaarheid kan ertoe leiden dat zowel de exploit-code als het geautomatiseerde werk dat er vatbaar voor is, bekend worden”, stelt de TIB in zijn jaarverslag.

Bron: https://tweakers.net/nieuws/195936/aivd-gebruikte-sinds-2018-zerodaylek-zonder-toetsingscommissie-in-te-lichten.html

Giliam Budel

Giliam Budel is bij InternetBlabla.nl betrokken sinds 2020. Giliam is opgegroeid in een klein dorp nabij Utrecht. Ze verhuisde naar Breda om te studeren. Voordat ze betrokken raakte bij InternetBlaBla.nl heeft Giliam even als freelance journalist gewerkt bij een aantal radio stations. Daar versloeg ze politieke en economische verhalen met een digitale component.

Gerelateerd nieuws

Bloomberg: Assassin’s Creed Rift uitgesteld naar lente 2023 – Gaming – Nieuws

Bloomberg: Assassin’s Creed Rift uitgesteld naar lente 2023 – Gaming – Nieuws

Online functies Killzone: Shadow Fall en RIGS worden in augustus stopgezet – Gaming – Nieuws

Online functies Killzone: Shadow Fall en RIGS worden in augustus stopgezet – Gaming – Nieuws

Google maakt livestreamen Google Meet-videogesprekken op YouTube mogelijk – Computer – Nieuws

Google maakt livestreamen Google Meet-videogesprekken op YouTube mogelijk – Computer – Nieuws

Deal op een RTX 2060: moet je zo’n oude kaart nu nog kopen? – Computer – Nieuws

Deal op een RTX 2060: moet je zo’n oude kaart nu nog kopen? – Computer – Nieuws

Diablo IV-bèta gespot in code Battle.net – Gaming – Nieuws

Diablo IV-bèta gespot in code Battle.net – Gaming – Nieuws

Google wordt geblokkeerd in pro-Russische gebieden in Oekraïne – IT Pro – Nieuws

Google wordt geblokkeerd in pro-Russische gebieden in Oekraïne – IT Pro – Nieuws