FBI bevestigt gebruik van zero day-lekken
De FBI maakt gebruik van zero day-lekken in software om toegang tot de systemen van verdachten te krijgen, zo heeft FBI-topvrouw Amy Hess tegenover de Washington Post laten weten. Zero day-lekken zijn kwetsbaarheden waarvoor het softwarebedrijf in kwestie nog geen update heeft uitgebracht.
Het gebruik van dit soort beveiligingslekken is wel iets waar de FBI mee worstelt, aldus Hess. "Wat is beter voor het algemeen belang - iemand kunnen identificeren die de openbare veiligheid bedreigt? Of de softwarebedrijven op de kwetsbaarheden wijzen, die als ze ongepatcht blijven, consumenten risico kunnen laten lopen?" Volgens Hess is het vinden van de juiste balans hierin een 'continue uitdaging' voor de FBI.
Daarbij merkt ze op dat het hacken van computers geen geliefde techniek is bij de FBI. "Het is gevoelig", zo laat ze weten. Zodra softwarebedrijven beveiligingsupdates uitbrengen is de aanvalsvector verdwenen. Het is dan ook niet zo betrouwbaar als het plaatsen van een traditionele tap, voegt Hess toe.
Onzin - er zijn diensten die dingen mogen waar je totaal geen weet van hebt. Veel is geregeld en netjes gedocumenteerd, maar er zal altijd een schimmig, grijs hoekje bij de overheid blijven waar regeltjes per definitie niet gelden...
(edit: linkje naar stuk van Tweakers.net waarin gesproken wordt over wat de AIVD/MIVD mag en niet mag - hacken van computers mag zonder toestemming: https://tweakers.net/reviews/4099/wat-mogen-de-geheime-diensten-straks.html)
Trouwens - zoals Buran al stelt - door dit verhaal van de FBI verandert er wel degelijk iets. Een vermoeden (dat iedereen al had) wordt nu bevestigd. En dus kan je nu in plaats van wat rondtoeteren op alu-hoedjes sites over wat de FBI allemaal doet, verhaal halen bij de overheid. Wat vindt de rechter hiervan? Wat denkt het Witte Huis hier aan te gaan doen? Vermoedens konden ze ontkennen, bekentenissen niet...
Bekend, en ook al lang en breed toegegeven. Hieronder een voorbeeld uit 2013 -
Here's that FBI Firefox Exploit for You (CVE-2013-1690)
https://community.rapid7.com/community/metasploit/blog/2013/08/07/heres-that-fbi-firefox-exploit-for-you-cve-2013-1690
Dit is inderdaad niets nieuws. Het eerder genoemde boek van Kim Zetter gaat hier ook dieper op in.
Hoe denk je dat de recherche zaken aanpakt als het plaatsen van afluister apparatuur in een woning, of bij inkijk operaties ? Dan is er geen sprake van een huiszoekingsbevel, en dan wordt je niet geinformeerd.
''De Dienst Specialistische Recherche Toepassingen (DSRT) is een onderdeel van het Korps landelijke politiediensten (KLPD) maar is ondersteunend aan de gehele Nederlandse politie bij de inzet van specialistische technologie en tactieken. Zo zorgt de DSRT onder andere voor het plaatsen van afluisterapparatuur, infiltratie, inkijkoperaties en het aftappen van communicatie.''
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.