image

NSA aangeklaagd over gebruik zero day-lekken

woensdag 2 juli 2014, 11:59 door Redactie, 3 reacties

De Amerikaanse burgerrechtenbeweging EFF heeft de NSA aangeklaagd om openbaarheid te geven over het gebruik van zero day-lekken. Het gaat dan om kwetsbaarheden waarvoor nog geen beveiligingsupdate beschikbaar is. Hierdoor wordt het eenvoudig om de computer van een verdachte over te nemen.

De EFF wil nu weten of inlichtingendiensten zoals de NSA dit soort lekken openbaren of geheimhouden. De burgerrechtenbeweging wijst naar een artikel van Bloomberg waarin wordt gesteld dat de NSA al twee jaar de Heartbleed-bug in OpenSSL zou hebben gebruikt voordat het lek openbaar werd. De Amerikaanse overheid ontkende de beschuldiging. De EFF diende echter een Wob-verzoek in om documenten over het gebruik zero day-kwetsbaarheden op te vragen.

De gevraagde informatie werd echter niet aangeleverd. Daarom is er nu een Freedom of Information Act (FOIA)-rechtszaak aangespannen. "Aangezien deze kwetsbaarheden invloed op de veiligheid van gebruikers over de hele wereld hebben, moet het publiek weten hoe inlichtingendiensten de risico's en voordelen afwegen over het gebruik van zero-days in plaats van ze aan de leveranciers te melden", zegt EFF-analist Eva Galperin.

Reacties (3)
02-07-2014, 13:56 door Anoniem
Is dat niet precies wat inlichtingendiensten doen? Zorgen dat je informatie kan onttrekken van plaatsen waar je eigenlijk geen toegang toe hebt, en daarom gebruik moet maken van een onbekende truuk?
02-07-2014, 14:27 door Anoniem
Door Anoniem: Is dat niet precies wat inlichtingendiensten doen? Zorgen dat je informatie kan onttrekken van plaatsen waar je eigenlijk geen toegang toe hebt, en daarom gebruik moet maken van een onbekende truuk?

Er is hier een discrepantie. NSA moet de Amerikaanse overheid beschermen en gebruikt hiervoor een lek dat diezelfde overheid bloot stelt aan gevaar.

Dat lijkt op die glashandelaar die merkt dat er door ongelukken met glasplaten bij het laden en lossen van vrachtwagens fietsers een lekke band krijgen. Maar hij gaat niet voorkomen dat er ongelukken gebeuren. Nee, hij begint een fietsplakzaakje.

Peter
03-07-2014, 17:49 door Anoniem
NSA is in dezen een Januskop. Een afdeling heeft tot taak er voor te zorgen dat de communicatie moeilijker af te luisteren is, de andere om af te luisteren. Maar kwetsbaarheden bestaan of bestaan niet, ze bestaan niet alleen voor NSA. Het kan zijn dat anderen ze nog niet ontdekt hebben, maar als die groepen (Chinezen, Russen, cybercriminelen of bijvoorbeeld Al Qaeda) dat ook stilhouden, weet je dat niet zeker. Dat dilemma is een paar keer treffend verwoord door Bruce Schneier en anderen.

Probleem is dat je een slotenmaker die samenwerkt met de politie om bewust fouten te laten zitten niet meer vertrouwt. Niet per se omdat je oom agent niet vertrouwt, maar inbrekers die misschien dezelfde fout hebben gevonden vertrouw je zeker niet, en je wil in ieder geval een slot dat tegen inbrekers beschermt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.