image

Fox-IT wil softwarelekken in bepaalde gevallen met AIVD en politie delen

woensdag 23 augustus 2017, 13:38 door Redactie, 32 reacties
Laatst bijgewerkt: 25-08-2017, 14:51

Securitybedrijf Fox-IT wil in bepaalde gevallen onbekende softwarelekken die het vindt en waar nog geen updates van de leverancier voor beschikbaar zijn delen met de inlichtingendiensten en politie. Dat liet directeur Ronald Prins gisteren tijdens een presentatie in het hoofdkantoor in Delft weten, zo meldt RTL Z.

Werknemers van het securitybedrijf kunnen tijdens hun werk onbekende kwetsbaarheden tegenkomen, bijvoorbeeld als ze worden ingeschakeld voor het uitvoeren van een audit. Prins wil deze beveiligingslekken in bepaalde gevallen met de opsporingsdiensten delen en gedurende die tijd niet bij de leverancier melden. Bijvoorbeeld als er een terreuraanslag dreigt. De leverancier kan zodoende geen update ontwikkelen en uitbrengen, waardoor gebruikers kwetsbaar voor aanvallen zijn. De meeste softwarelekken worden echter wel bij de leverancier in kwestie gemeld, aldus Prins.

Daarnaast stelt de directeur dat hij opsporingsdiensten ook zou willen helpen bij het inbreken op smartphones als daar aanleiding toe is. "Als je daarmee toegang krijgt tot een terroristisch netwerk, dan is dat zeer belangrijke informatie voor de opsporingsdiensten." Fox-IT kwam eind 2015 in Britse handen. Dat zorgde binnen de Nederlandse politiek voor zorgen over de beveiliging van staatsgeheimen, maar die zorgen zijn volgens Prins ongegrond: "De Britten komen hier niet zomaar binnen", zo merkt hij op.

Update

Fox-IT heeft op de eigen website het standpunt over zerodays gepubliceerd. Daarin laat het securitybedrijf weten dat onbekende kwetsbaarheden die tijdens eigen onderzoek of in het kader van een opdracht van een klant worden gevonden, alleen met de betreffende leverancier en de eventueel betrokken klant worden gedeeld. "In geen geval houdt Fox-IT informatie over onbekende kwetsbaarheden geheim, of deelt ze die met derden. Ook niet met opsporingsdiensten of inlichtingendiensten."

Verder verklaart het securitybedrijf dat het nog nooit in opdracht van een opsporings- of inlichtingendienst naar onbekende kwetsbaarheden heeft gezocht. "Maar we sluiten dit in een toekomstige situatie niet uit. Indien er acuut en direct aanwijsbaar gevaar dreigt voor de samenleving en de inlichtingen- en opsporingsdiensten roepen de hulp in van Fox-IT dan zal de ethische commissie van Fox-IT hierover advies geven op basis van een risicoanalyse."

Reacties (32)
23-08-2017, 13:47 door Anoniem
Delen... jaja...

Voor grof geld verkopen, zal 'ie bedoelen.

En hoe mag ik dit lezen?

"De meeste softwarelekken worden echter wel bij de leverancier in kwestie gemeld"

Waar ligt de knip?
23-08-2017, 13:58 door Anoniem
Dus als je Fox-IT inhuurt voor een audit, word je enkele maanden later gehackt door een binnenlandse of buitenlandse geheime dienst.
23-08-2017, 14:02 door Anoniem
Schandalig van Prins/Fox-IT, stel ik ben opdrachtgever om een security audit te doen en ze vinden een zero-day in het OS. Dan willen ze dus niet aan mij terugmelden dat mijn systeem op dat punt lek is zodat ik aktie kan ondernemen.

De overheid moet heel gauw die toko buiten stampen en een NEDERLANDS bedrijf inhuren of zelf de nodige expertise op gaan doen als overheid.
23-08-2017, 14:16 door VriendP - Bijgewerkt: 23-08-2017, 14:18
[Verwijderd]
23-08-2017, 14:38 door Anoniem
Iedereen moet eens leren lezen.
Het gaat niet om lekken gevonden in Audits die zij uitvoeren voor klanten, maar lekker in derde-partij software.
Soms vraag ik mij af om mensen hier alleen komen om te ranten i.p.v. inhoudelijk het security aspect te bespreken.
23-08-2017, 14:56 door Anoniem
Door Anoniem: Iedereen moet eens leren lezen.
Het gaat niet om lekken gevonden in Audits die zij uitvoeren voor klanten, maar lekker in derde-partij software.
Soms vraag ik mij af om mensen hier alleen komen om te ranten i.p.v. inhoudelijk het security aspect te bespreken.

Ik ben het 100% met je eens dat veel mensen komen om te ranten. In dit geval wordt staat er:

Werknemers van het securitybedrijf kunnen tijdens hun werk onbekende kwetsbaarheden tegenkomen, bijvoorbeeld als ze worden ingeschakeld voor het uitvoeren van een audit. Prins wil deze beveiligingslekken in bepaalde gevallen met de opsporingsdiensten delen en gedurende die tijd niet bij de leverancier melden. Bijvoorbeeld als er een terreuraanslag dreigt. De leverancier kan zodoende geen update ontwikkelen en uitbrengen, waardoor gebruikers kwetsbaar voor aanvallen zijn. De meeste softwarelekken worden echter wel bij de leverancier in kwestie gemeld, aldus Prins.

Volgens mij (maar misschien begrijp ik het ook wel verkeerd) staat hier gewoon: tijdens audits, en niet melden aan leveranciers ? Ik weet niet of ik dit zo netjes vind. Fox-it is geen verkapt overheids orgaan en ik weet zeker dat ik ze op deze grond niet meer zal inhuren.

Eminus
23-08-2017, 15:08 door Anoniem
Door Anoniem: Iedereen moet eens leren lezen.
Het gaat niet om lekken gevonden in Audits die zij uitvoeren voor klanten, maar lekker in derde-partij software.
Dat staat er niet.

``Werknemers van het securitybedrijf kunnen tijdens hun werk onbekende kwetsbaarheden tegenkomen, bijvoorbeeld als ze worden ingeschakeld voor het uitvoeren van een audit.''

Er staat niet expliciet of dat delen alleen geldt voor lekken in derde-partij software. En in zo'n geval is dat wel aannemen juist gevaarlijk naïef.

Wat, bijvoorbeeld, als ze door een softwareleverancier worden ingehuurd om eens een duidelijke audit te doen? Fluistert de AIVD in dat die software gebruikt wordt door een der hunner doelwitten, en wellicht laten fox-it daarom een paar sappige gaten gevonden in de software buiten het auditrapport maar sturen ze die naar de AIVD.

``Prins wil deze beveiligingslekken in bepaalde gevallen met de opsporingsdiensten delen en gedurende die tijd niet bij de leverancier melden.''

En hier vliegt'ie nog harder uit de bocht, door de AIVD van lekken te voorzien die ze, bijvoorbeeld, mooi met de NSA kunnen delen als wisselgeld, iets wat vast wel practisch en leuk voor de AIVD is, maar toch ernstige vragen zet bij prinsmans zijn motivatie. Hij is namelijk niet de AIVD; hij zou er moeten zijn voor zijn klanten, en dat is'ie niet.

Ik zou hem en zijn bedrijf om deze reden alvast niet met mijn systemen vertrouwen. Zelfs als hij hier en nu publiekelijk afstand van dit balletje neemt. Nooit meer, doei.

En weet je wat? Zo moet je dat doen in het wereldje waarin informatie je grootste asset is. Wat niet wil zeggen dat je ze dan niet inhuurt. Maar wel dat je dat doet wetend dat je de AIVD meekrijgt. Zo werkt dat in het wereldje.

Soms vraag ik mij af om mensen hier alleen komen om te ranten i.p.v. inhoudelijk het security aspect te bespreken.
Wat bedoel je met "inhoudelijk"? Puur de technische kant? Dat is meestal de meest oninteressante kant van het geheel. Het mensengedoe en in bijzonder de politiek eromheen is vaak veel gevaarlijker, want die is veel gekleurder dan de toch relatief neutrale technische inslag. Plus natuurlijk dat er echt ontzettend veel scheef zit in het wereldje van de "computer security". Tot en met de meest bekende kopstukken aan toe.
23-08-2017, 15:13 door Anoniem
Door Anoniem: Iedereen moet eens leren lezen.
Het gaat niet om lekken gevonden in Audits die zij uitvoeren voor klanten, maar lekker in derde-partij software.
Soms vraag ik mij af om mensen hier alleen komen om te ranten i.p.v. inhoudelijk het security aspect te bespreken.
Ook bij RTL Z hebben ze het niet over derde-partij software.

"De hackers van Fox-IT komen tijdens hun werk regelmatig zerodays tegen. Ze worden bijvoorbeeld ingehuurd door bedrijven om hun beveiliging te testen en vinden dan fouten in software."

Dus als je Fox-IT een security-audit of pentest van je netwerk laat doen kun je zonder dat je dit weet de AIVD van zero-days voorzien...
23-08-2017, 16:06 door Anoniem
"Bijvoorbeeld als er een terreuraanslag dreigt"
Mooi. Het argument KinderPorno is blijkbaar zo belachelijk geworden dat nu het argument Terrorisme is.

...dus de AIVD legt een arsenaal aan exploits en dergelijke aan waar de CIA jaloers op is, de CIA leent dat, lekt dat, en daarna hebben we weer... pfff...
23-08-2017, 16:20 door Anoniem
Iedereen moet eens leren lezen.
Het gaat niet om lekken gevonden in Audits die zij uitvoeren voor klanten, maar lekker in derde-partij software.

Het voorbeeld in het artikel gaat over lekken, die men vindt tijdens een audit voor klanten. Het is dan ook niet verbazingwekkend, dat men in de reactie verder op dit voorbeeld in gaat. Het gaat om werkzaamheden uitgevoerd voor de klant. Dat zwakheden in bijvoorbeeld derde-partij software worden gevonden, doet daar niets aan af.

Je kan je afvragen of je bevindingen tijdens een audit voor een klant wel kunt delen met andere partijen, tenzij je daar expliciete toestemming voor vraagt. Zeker aangezien de werkwijze impliceert dat een patch om het probleem te verhelpen, door deze werkwijze voor de betalende klant ook pas later beschikbaar zal zijn.

Het gaat dus, in ieder geval tijdelijk, ten koste van de veiligheid van de infrastructuur van de klant.

Soms vraag ik mij af om mensen hier alleen komen om te ranten i.p.v. inhoudelijk het security aspect te bespreken.

Soms vraag ik mij wel eens af, of mensen een artikel goed genoeg lezen, voordat ze hier reageren.
23-08-2017, 16:21 door Anoniem
R.I.P. Fox-IT.

Bij mij zullen ze geen audits meer uitvoeren.

Daarnaast ook het feit dat ze bij cyberaanvallen binnen 30min op TV te zien zijn met verkeerde informatie, zijn voor mij doorslaggevend om de diensten te stoppen.
23-08-2017, 16:25 door Anoniem
Volgens mij is het delen van bevindingen, die je doet tijdens het uitvoeren van een audit, een schending van de geheimhoudingsclausule in de overeenkomst met de klant (behoudens het geval dat de klant geinformeerd wordt over het voornemen, en expliciet toestemming verleent).
23-08-2017, 16:25 door Anoniem
Dus als je Fox-IT een security-audit of pentest van je netwerk laat doen kun je zonder dat je dit weet de AIVD van zero-days voorzien...

Of ze dit doen zonder dat je het weet is niet iets wat je uit dit artikel kunt herleiden.
23-08-2017, 16:27 door Anoniem
En hier vliegt'ie nog harder uit de bocht, door de AIVD van lekken te voorzien die ze, bijvoorbeeld, mooi met de NSA kunnen delen als wisselgeld, iets wat vast wel practisch en leuk voor de AIVD is, maar toch ernstige vragen zet bij prinsmans zijn motivatie. Hij is namelijk niet de AIVD; hij zou er moeten zijn voor zijn klanten, en dat is'ie niet.

Ook de AIVD is een betalende klant van Fox IT, net als tal van andere overheids organen. Waarom zou je geen diensten mogen leveren aan de AIVD ?
23-08-2017, 16:29 door Anoniem
Schandalig van Prins/Fox-IT, stel ik ben opdrachtgever om een security audit te doen en ze vinden een zero-day in het OS. Dan willen ze dus niet aan mij terugmelden dat mijn systeem op dat punt lek is zodat ik aktie kan ondernemen.

Dat staat nergens, het is slechts een conclusie die jij trekt.
23-08-2017, 16:29 door Anoniem
En hier vliegt'ie nog harder uit de bocht, door de AIVD van lekken te voorzien die ze, bijvoorbeeld, mooi met de NSA kunnen delen als wisselgeld, iets wat vast wel practisch en leuk voor de AIVD is, maar toch ernstige vragen zet bij prinsmans zijn motivatie. Hij is namelijk niet de AIVD...

Weet je dat laatste zeker?
23-08-2017, 17:57 door Anoniem
Door Anoniem: R.I.P. Fox-IT.

Bij mij zullen ze geen audits meer uitvoeren.

Daarnaast ook het feit dat ze bij cyberaanvallen binnen 30min op TV te zien zijn met verkeerde informatie, zijn voor mij doorslaggevend om de diensten te stoppen.

Eigenlijk geloof ik niet dat jij een decision maker bent bij een klant van Fox-IT.
23-08-2017, 18:29 door SecGuru_OTX
Bijgaand meer uitleg van Ronald Prins:

https://twitter.com/cryptoron/status/900388865416073218

https://twitter.com/cryptoron/status/900387678939688961

Het lijkt dus allemaal wel mee te vallen.
23-08-2017, 19:29 door Anoniem
Door Anoniem:
En hier vliegt'ie nog harder uit de bocht, door de AIVD van lekken te voorzien die ze, bijvoorbeeld, mooi met de NSA kunnen delen als wisselgeld, iets wat vast wel practisch en leuk voor de AIVD is, maar toch ernstige vragen zet bij prinsmans zijn motivatie. Hij is namelijk niet de AIVD; hij zou er moeten zijn voor zijn klanten, en dat is'ie niet.
Ook de AIVD is een betalende klant van Fox IT, net als tal van andere overheids organen. Waarom zou je geen diensten mogen leveren aan de AIVD ?
Nouja, als je je door een klant (niet zijnde de AIVD) laat betalen voor zekere diensten en in plaats van zoals verwacht de gevonden lekken aan de leverancier te melden ze maar doorschuift naar de AIVD is het even de vraag voor wie prinsmans denkt nou eigenlijk te werken. Dat lijkt me een redelijk duidelijk conflict. Wellicht dat prinsmans de AIVD er voor laat betalen, maar dan blijft nog steeds staan dat je als klant (niet zijnde de AIVD) niet meer weet of fox-it nog wel voor jou of toch meer voor de AIVD aan het werk is. Dus zo simpel als jij het voorstelt ligt het toch net niet.


Door Anoniem:
[prinsmans] is namelijk niet de AIVD...
Weet je dat laatste zeker?
Dat is inderdaad de vraag.


Door Anoniem: Eigenlijk geloof ik niet dat jij een decision maker bent bij een klant van Fox-IT.
Dan geloof je het toch mooi niet joh.


Door SecGuru_OTX: Het lijkt dus allemaal wel mee te vallen.
Al draagt een aap een gouden ring...

Maar hee, als je je als "sec guru" graag in slaap laat sussen, moet je dat vooral doen. Mocht je nog wakker worden, kijk dan ook even na hoe je linkjes neerzet hier?
24-08-2017, 02:24 door Anoniem
Ronald Prins verkocht in het verleden software aan repressieve regimes waarmee ze hun tegenstanders - internetactivisten - konden traceren. Het op de wenken bedienen van autoriteiten kan hij kennelijk niet laten. Dat lekkende software tot onrechtmatige daden leidt deert hem niet als de autoriteiten dat onrecht ook maar stiekem kunnen begaan. Zo molt hij dus zaken als privacy en persvrijheid.
24-08-2017, 08:05 door Anoniem
Door Anoniem: Iedereen moet eens leren lezen.
Het gaat niet om lekken gevonden in Audits die zij uitvoeren voor klanten, maar lekker in derde-partij software.
Soms vraag ik mij af om mensen hier alleen komen om te ranten i.p.v. inhoudelijk het security aspect te bespreken.

Dus dat ze hun muil hielden over de GHCQ achterdeur die ze vonden tijdens een audit bij Belgacom, in opdracht notabene van Begacom, was een 'foutje'? Die achterdeur is jaren lang misbruikt en werd uiteindelijk door een ander bedrijf gemeld.
Fox-IT is gewoon een fout bedrijf wat voor de geheime diensten werkt, helemaal nu ze in Britse handen zijn gekomen. GHCQ=Britse geheime dienst=Fox-IT?
24-08-2017, 08:36 door SPer - Bijgewerkt: 24-08-2017, 08:38
Door Anoniem:
Schandalig van Prins/Fox-IT, stel ik ben opdrachtgever om een security audit te doen en ze vinden een zero-day in het OS. Dan willen ze dus niet aan mij terugmelden dat mijn systeem op dat punt lek is zodat ik aktie kan ondernemen.

Dat staat nergens, het is slechts een conclusie die jij trekt.

Als reactie op : "Dat staat nergens, het is slechts een conclusie die jij trekt."

Ik persoonlijk denk dat als ze het niet aan de leverancier melden dat ze dit ook niet aan de auditee melden. Ik zou namelijk gelijk contact opnemen met de leverancier en vragen of ze een patch hebben omdat er blijkt dat mijn systeem, waar de audit op wordt uitgevoerd, lek is.

Ergo, aan de hand van bovenstaande trek ik in ieder geval de conclusie dat ze dit niet melden aan de betreffende klant en daarom vind ik ook dat FOX-IT zich uiterst vreemd gedraagt . Van Security onderzoekers naar verlengstuk van de AIVD .

Ik weet daarom ook niet zeker of het verstandig is om in de toekomst dit bedrijf (welke inmiddels in handen is van GB) in te huren omdat ik sterk twijfel of ze mijn bedrijfsbelangen nog 100% behartigen .
24-08-2017, 09:21 door Anoniem
Ik ben hier zeer ernstig op tegen, want het vervaagt wat wel en niet acceptabel is.

Wat gaat er nu verzwegen worden tegen klanten bij audits? Lekken in systemen die wel gedetecteerd worden op kosten van de klant, maar vervolgens niet worden gemeld omdat FOX van mening is dat er op een andere manier nog geld mee te verdienen valt.
Terrorisme is een kapstok waarmee alles tegenwoordig maar goedgepraat kan worden, van verregaande inbreuk op de privacy, tot dit soort zaken waarbij willens en wetens de veiligheid van (mogelijk) het hele internet geriskeerd wordt onder het mom van terrorisme bestrijding.

Het is een hellend vlak, één waar ik me niet fijn bij voel.
24-08-2017, 09:26 door Anoniem
Door Anoniem:
Schandalig van Prins/Fox-IT, stel ik ben opdrachtgever om een security audit te doen en ze vinden een zero-day in het OS. Dan willen ze dus niet aan mij terugmelden dat mijn systeem op dat punt lek is zodat ik aktie kan ondernemen.

Dat staat nergens, het is slechts een conclusie die jij trekt.

Dat is een veilige conclusie aangezien Fox-IT geen controle heeft of ik een eventueel wel gemelde zero day niet aan mijn leverancier door zal geven. Fox-IT doet dit met een reden, een logische reden zou kunnen zijn dat ze de Nederlandse overheid 'te vriend' willen houden. Immers, als de overheid deze Engelse toko buiten zou zetten dan zijn die Engelsen veel informatie en toegang tot gegevens kwijt.
24-08-2017, 16:51 door Anoniem
Responsible disclosure, ooit van gehoord Mijnheer Prins?
24-08-2017, 18:10 door Anoniem
Agh Fox. Ooit waren ze marktleider in Nederland. nu worden ze links en rechts ingehaald.
En de overheidscontracten die ze hebben gaan ook vanzelf naar een betere partij.
25-08-2017, 09:54 door Anoniem
Wij gaan de gevonden zwakheden eerst met MI6 delen, aldus meneer Prins.
25-08-2017, 09:58 door Anoniem
Door Anoniem:
Door Anoniem: R.I.P. Fox-IT.

Bij mij zullen ze geen audits meer uitvoeren.

Daarnaast ook het feit dat ze bij cyberaanvallen binnen 30min op TV te zien zijn met verkeerde informatie, zijn voor mij doorslaggevend om de diensten te stoppen.

Eigenlijk geloof ik niet dat jij een decision maker bent bij een klant van Fox-IT.

Oh, is meneer of mevrouw van de HRM afdeling van FOX soms getriggerd?
25-08-2017, 22:15 door Anoniem
Tsjaa uiteindelijk zijn alle principes te koop
26-08-2017, 21:54 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: R.I.P. Fox-IT.

Bij mij zullen ze geen audits meer uitvoeren.

Daarnaast ook het feit dat ze bij cyberaanvallen binnen 30min op TV te zien zijn met verkeerde informatie, zijn voor mij doorslaggevend om de diensten te stoppen.

Eigenlijk geloof ik niet dat jij een decision maker bent bij een klant van Fox-IT.

Oh, is meneer of mevrouw van de HRM afdeling van FOX soms getriggerd?

Typisch weer, meteen denken dat iemand die kritisch leest wel belanghebbend moet zijn.

Nogal dom ook, als je wat wilt insinueren zou je moeten denken dat ik een sales/account manager van Fox-IT ben.
Dat zijn de mensen die weglopende klanten erg vinden. HRM gaat daar niet over.

Maar mijn inschatting is voornamelijk gebaseerd op de observatie dat alle mensen die ik heb meegemaakt die echt de beslissingen namen over wat duurdere opdrachten bij deze of gene partij niet rondhingen op een forum als dit, en al helemaal niet om daar erg stellige uitspraken te doen over wie eruit lag wegens een twitterbericht van een ceo of in het belboekje van de NOS staan als deskundoloog.
Dat soort kreten worden wel gedaan door junior beheerders in zwarte t-shirts met baard.

Die staan dan later in een hoekje van de borrel te oreren dat het management nooit naar ze luistert. Geen wonder, als je het punt wat je eventueel hebt totaal niet kunt uitleggen en binnen twee minuten staat te ranten over iets wat je toehoorder _totaal_ niet kan volgen.
Begrijpelijk , to the point en helder kunnen uitleggen is een heel nuttige vaardigheid, en mensen die dat kunnen worden door hun management over het algemeen erg gewaardeerd , en suggesties worden dan vaak gevolgd.
Als je laat zien dat je je gehoor niet snapt is het een vuistregel dat je opninie ook wel niet doordacht zal zijn.
28-08-2017, 01:33 door Eric-Jan H te D
Ik heb jaren geleden de integriteit van Fox-IT/Prins al ter discussie gesteld. Toen voor zover ik mij kan herinneren in het kader deep packet inspectie - waar Fox-IT een applicatie voor had - en netneutraliteit die door de KPN overboord dreigde te worden gegooid. De reactie was behoorlijk intimiderend.
05-09-2017, 10:55 door Anoniem
Dus een bedrijf loopt het risico dat Fox-IT, betaald door het bedrijf, bevindingen meldt aan de overheid, maar maar niet aan de partij die haar betaalt, die dus risico's blijft lopen zonder dit te weten. En alles ter beoordeling van Fox-IT. En die partij en de leverancier is niet in de gelegenheid om de fouten te herstellen of compenserende maatregelen te nemen.

Tsja, Fox-IT verdient veel geld aan overheidsopdrachten en wil op deze manier kennelijk de band met de overheid wat hechter maken, maar het is zeker geen integere houding van Fox-IT en vermoedelijk zelfs illegaal.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.