De lucratieve handel in softwarelekken
Hoe slaagde één Israëlisch bedrijf erin de beveiliging van zowel de iPhone als Android-smartphones meermaals te kraken? Het antwoord is ontluisterend: de gaten in de beveiliging zijn gewoon te koop – voor wie het kan betalen.
Arne Swinnen is ethisch hacker. Hij gaat op zoek naar gaten in de beveiliging van software. Zijn specialiteit zijn websites. Als hij zulke gaten vindt, meldt hij die aan de fabrikant. In ruil krijgt hij een vergoeding – de bug bounty.
Voor een doorsnee-lek in de beveiliging van een stuk software – een zogenoemde ‘exploit’ – betaalt de fabrikant enkele honderden of duizenden dollars. Maar voor de gevaarlijkste exploits in besturingssystemen of belangrijke netwerkapparatuur kan dat oplopen tot honderdduizenden dollars. Apple betaalt uitzonderlijk tot een miljoen dollar uit.
Als de exploit is gemeld, wordt het lek gedicht, meestal via een software-update – een patch – die naar alle gebruikers wordt verstuurd. Voor veel software zijn er maandelijks of zelfs wekelijks dergelijke patches. Wie die patches tijdig installeert, is veilig.
Maar soms loopt het anders. Soms wordt een lek verkocht aan een organisatie als Zerodium. Die handelt open en bloot in gevaarlijke lekken. Haar klanten? Alleen ‘gouvernementele organisaties’, en dan nog ‘vooral’ in Europa en Noord-Amerika, staat op haar website. NSO Group, het Israëlische bedrijf achter de Pegasus-spyware die is aangetroffen op de smartphones van politici, activisten en journalisten, lijkt niet onder die omschrijving te vallen. Maar een Israëlische overheidsdienst bijvoorbeeld, zou er wel kunnen aankloppen. En er bestaan andere markten.
Als een exploit wordt verhandeld via een markt als Zerodium, wordt het een zogenoemde ‘zeroday’. Dat is codetaal voor een beveiligingslek dat bij de fabrikant niet is gemeld – de fabrikant, en de rest van de wereld, hebben ‘nul dagen’ de tijd gehad om zich te beschermen. Er bestaat geen patch tegen.
Wat wordt voor zo’n zero-day betaald? De dagprijs staat op de Zerodium-website. En die ligt vele malen hoger dan de bug bounties.
‘Van hoge kwaliteit’
De allerduurste zijn zero-days waarmee je de controle over een Android-smartphone kunt overnemen, zonder dat de gebruiker van dat toestel iets hoeft te doen – hij hoeft bijvoorbeeld niet eens op een besmette link te klikken. Zerodium betaalt daar 2,5 miljoen dollar voor. Het is net zo’n lek dat Pegasus gebruikt. Opvallend: een gelijkaardige exploit voor een iPhone is iets goedkoper: ‘maar’ 2 miljoen dollar. Dat betekent niet dat de iPhone makkelijker te kraken is. Het is simpelweg de wet van vraag en aanbod: er zijn meer Android-gebruikers, dus meer potentiële doelwitten.
Onder experts in cyberbeveiliging gaat men ervan uit dat NSO zich op een dergelijke markt bevoorraadt met zero-days. ‘De exploits die NSO Group gebruikt, lijken van hoge kwaliteit te zijn’, zegt Ben Read van cybersecuritybedrijf Mandiant Threat Intelligence. ‘In die zin dat ze betrouwbaar zijn en dat het slachtoffer zelf niets hoeft te doen. Maar verder verschillen ze niet van de andere exploits die op de markt te vinden zijn.’
Een bedrijf als NSO koopt zo’n zero-day om die in te bouwen in zijn Pegasus-spyware, die het vervolgens verkoopt aan overheidsdiensten, zegt Christoph Hebeizen, director bij Lookout, een beveiligingsbedrijf in Toronto. De zero-day is nodig om toegang te krijgen tot de smartphones van doelwitten, zonder dat die er erg in hebben. Pas als de zero-day zijn werk heeft gedaan, kan de Pegasusspyware op de smartphone worden geladen en krijgt de aanvaller volledige controle over die smartphone.
Volgens Hebeizen leidt de handel in exploits onvermijdelijk tot misbruik, ook als alleen aan ‘legitieme’ organisaties wordt verkocht. ‘Zoals we nu duidelijk hebben gezien: het blijft niet beperkt tot het volgen van terroristen’, zegt Hebeizen. ‘Ik geloof niet dat je dat onder controle kunt houden.’
En als één hacker het gat kan vinden (en aan de NSO Group kan verkopen), kan een andere hacker dat ook. Het kan dus ook worden misbruikt door cybercriminelen.
Onuitputtelijke voorraad
Tot voor enkele jaren ging men ervan uit dat de meest gesofisticeerde spyware uiterst spaarzaam werd gebruikt, alleen tegen de allerbelangrijkste doelwitten. Want hoe meer smartphones je besmet, hoe groter de kans dat de spyware wordt ontdekt en geanalyseerd. En dan zal het gebruikte lek waarschijnlijk worden gedicht.
Maar twee jaar geleden bleek dat China een zero-day inzette tegen duizenden Oeigoeren. En nu blijkt Pegasus tegen tienduizenden mensen te zijn gebruikt.
‘Als één lek gedicht wordt, is NSO meteen weer actief, dus ze moeten wel een voorraad zero-days hebben’, zegt Hebeizen. ‘Ze vervangen dan gewoon één module. Voor een product als Pegasus heb je een stroom aan zero-days nodig.’ En die is er dus.
Dat zero-days verkocht worden aan een organisatie als NSO, betekent trouwens dat de gaten niet worden gedicht en dat ook criminelen ze zouden kunnen ontdekken en exploiteren.
Staten met een machtig cyberspionage-apparaat kunnen ongetwijfeld hun eigen zero-days en spyware ontwikkelen, zegt Hebeizen. ‘Maar wie die capaciteit niet heeft, die moet naar bedrijven als NSO.’ En die moet dus vertrouwen op de handel in zero-days.
Volgens ethisch hacker Arne Swinnen zou deze handel in zerodays niet mogen bestaan. ‘Het risico op onethisch gebruik is te groot’, zegt hij. ‘Een zero-day zou altijd aan de ontwikkelaar van de software gemeld moeten worden. Maar in de praktijk kun je niemand tegenhouden om exuberante prijzen te bieden voor zero-days. En helaas zijn er voldoende onethische ontdekkers van zero-days die hiervoor overstag gaan. In de praktijk is dat helaas vrijwel onmogelijk te voorkomen, lijkt me.’
‘Handel in zero-days zou niet mogen bestaan. Het risico op onethisch gebruik is te groot’
Arne Swinnen Ethisch hacker
‘Zero-day’ is codetaal voor een beveiligingslek dat bij de fabrikant niet is gemeld – de fabrikant, en de rest van de wereld, hebben nul dagen de tijd gehad om zich te beschermen