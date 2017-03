Net als criminelen heeft de CIA exploits gekocht van black-hat onderzoekers die hun vondsten verkopen op het dark web. De dienst richt zich momenteel op onderzoek welke aannemer hun documenten heeft gelekt, maar het zou beter zijn als ze leveranciers hielpen om de gebruikte kwetsbaarheden op te lossen. Ze zijn nu immers niet zo waardevol meer en criminelen zullen ze gaan gebruiken om consumenten te belagen.

WikiLeaks-frontman Julian Assange heeft die hulp aangeboden. Hij belooft de gebruikte exploitcode te zullen onthullen aan leveranciers. Hij zegt dat gedetailleerde code expres uit de documentatie is gehouden om te voorkomen dat criminelen het gebruiken. De CIA zou hetzelfde moeten doen, omdat de dienst precies weet hoe de exploits uitgevoerd kunnen worden en omdat een overheidsdienst het publieke belang zou moeten dienen.

Vage randvoorwaarden

Er is kritiek op het geheimhouden van kwetsbaarheden in plaats van het op de hoogte stellen van de getroffen platforms zodat de lekken gepatcht kunnen worden. Onder president Obama is er een beleid dat kwetsbaarheden wel gedeeld moeten worden, tenzij dat gevolgen heeft voor de nationale veiligheid, maar dat is natuurlijk een vage randvoorwaarde.

De CIA bestaat immers uit spionnen en hun werk bestaat uit het vinden en bewaren van geheimen. Ze hebben middelen nodig om dat werk te doen en het zou niet logisch zijn om die middelen openbaar te maken. Het probleem met dat Obama-beleid is eigenlijk dat het iets belooft wat de CIA niet waar kan maken.

Lekken worden gevonden

Niet alle exploits zijn nog te gebruiken. Apple, de Linux Foundation, Kapersky en Google hebben allemaal aangegeven dat de gebruikte kwetsbaarheden al zijn gedicht. Dat is mooi, want het geeft aan dat als meerdere mensen naar code kijken, ze dezelfde problemen op den duur onafhankelijk van elkaar zullen vinden. Een rijke en diverse beveiligingscommunity blijkt dus essentieel.

Dat is tegelijkertijd ook een van dé argumenten tegen een wettelijke backdoor in encryptie, waardoor de overheid onder strikte voorwaarden toegang kan krijgen tot versleutelde communicatie. Een backdoor is een kwetsbaarheid in de code en die zal uiteindelijk worden gevonden en vervolgens worden gebruikt door anderen.

Beter dan backdoor

Ook interessant is hoe de documenten laten zien dat content opgevangen kan worden zonder versleuteling zelf te breken. De CIA gebruikt exploits waarmee de communicatie binnen het systeem kan worden bekeken en daarom nog voordat er encryptie wordt toegepast. Een geïnfecteerde gebruiker waant zich daarom veilig, maar het platform is onbetrouwbaar geworden.

Dat is niet hetzelfde als een backdoor in versleuteling, maar het is in sommige gevallen een work-around. En het heeft lang niet zoveel nadelen als een daadwerkelijke backdoor. Dit laat zien dat er een veel betere oplossing is voor het vermeende 'going dark' probleem van terroristen dan een gat in de encryptiesoftware die we allemaal gebruiken.