5 vragen over zero days
Zero days staan volop in de belangstelling door het Vault 7-lek waarbij de hacktools van de CIA naar buiten kwamen. Maar wat zijn zero days eigenlijk?
1. Wat zijn zero days?
Zero days zijn softwarelekken die de ontdekker ervan niet heeft gedeeld met de softwaremaker. Op het moment dat de ontdekker van het lek besluit om misbruik te maken van het lek, dan heeft de softwareproducent dus nul dagen (zero days) om een reparatieprogramma (patch) uit te brengen om zijn gebruikers te beschermen. Dat maakt zero days tot een groot gevaar: wie kwaad wil, kan met behulp van een zero day een succesvolle gerichte aanval uitvoeren of bijvoorbeeld heel veel mensen besmetten.
2. Wie zijn er geïnteresseerd in zero days?
Om te beginnen zijn zero days natuurlijk interessant voor criminelen die de onbekende lekken kunnen misbruiken om in te breken bij particulieren, bedrijven of organisaties. Maar ook security-bedrijven hebben belangstelling voor zero days. Zo is er het Zero Day Initiative van TippingPoint, dat security-onderzoekers betaalt voor zero days. Dankzij de informatie over nieuwe, onbekende lekken hoopt TippingPoint zijn klanten zo goed mogelijk te beschermen. Daarnaast zijn ook opsporings- en inlichtingendiensten in sommige landen geïnteresseerd in onbekende lekken. Die stellen hen in staat om ongemerkt in te breken bij verdachten of om te spioneren. Zo bleek uit de eerder deze maand door Wikileaks geopenbaarde CIA-documenten dat de Amerikaanse inlichtingendienst zero days in zijn arsenaal heeft om in te breken bij verschillende diensten en apparaten.
3. Wacht even. Spionage?
Het gebruik van zero days door overheden is omstreden. Tegenstanders van het gebruik van onbekende lekken door de overheid wijzen erop dat internet er onveiliger op wordt als de overheid informatie over dergelijke kwetsbaarheden voor zichzelf houdt. Zolang de maker van de software niet op de hoogte is gesteld, kan die immers geen patch uitbrengen en blijven alle gebruikers kwetsbaar. Behalve de politie of geheime dienst kunnen dus ook criminelen gebruik blijven maken van de onbekende lekken. In hun verkiezingsprogramma's pleitten D66, GroenLinks en de SP er daarom voor om het gebruik van zero days niet toe te staan. Het vorige kabinet was echter wel voor het gebruik van onbekende lekken.
Van Amerikaanse inlichtingendiensten staat vast dat ze al volop gebruikmaken van zero days. Het meest spectaculaire voorbeeld van het gebruik van zero days is de inzet van Stuxnet, malware die door de Amerikaanse en Israëlische inlichtingendiensten is ontwikkeld om het Iraanse kernprogramma te saboteren. Stuxnet bevatte verscheidene zero days, waardoor het mogelijk was om de software ongemerkt te installeren bij de de Iraanse centrale bij Natanz. Daar zorgde de software er vervolgens voor dat de centrifuges, die werden gebruikt om uranium te verrijken, veel sneller of veel trager gingen draaien. Zo konden Amerika en Israël het Iraanse programma om kernwapens te ontwikkelen vertragen.
4. Hoeveel zijn zero days eigenlijk waard?
De handel in zero days is een schimmige markt die zich grotendeels aan het zicht onttrekt. Prijzen hangen af van de aard van het opgespoorde lek en van de koper. Anderhalf jaar geleden publiceerde zero-day-handelaar Zerodium een prijslijst voor onbekende lekken. Voor een aanval die een computer via een lek in Safari of Internet Explorer kan overnemen, telt het bedrijf naar eigen zeggen 50.000 dollar neer. Een vergelijkbare aanval via Chrome levert zelfs 80 mille op. Het hoogste bedrag loofde Zerodium destijds uit voor een lek waarmee het mogelijk is om de beveiliging van iOS compleet te omzeilen: een half miljoen dollar. Wie met een dergelijk iOS-lek aanklopt bij het Zero Day Initiative houdt er aanmerkelijk minder aan over: 10.000 dollar. Ga ermee naar een overheidsinstantie en je kunt er een kwart miljoen mee binnenharken.
5. Meer weten?
Kom woensdag 22 maart naar Bright Night in de Balie in Amsterdam. Daar vertonen we de documentaire Zero Days. Die film vertelt het verhaal van Stuxnet en gaat in op de gevaren van elektronische oorlogsvoering. We hebben deze week 100 gratis kaarten weggegeven en die zijn inmiddels op. Er zijn nog wel kaartjes te koop bij De Balie voor 10 euro per stuk.
Lees ook: Zoveel kost een iPhone-hack