Eigen Trojans

iTunes heeft net een patch gehad voor een gat dat ruim drie jaar bekend was bij Apple en waar overheidsmalware gebruik van maakt. Dat geldt in ieder geval voor de Britse Trojan FinFisher, die al in Egypte is opgedoken. De Argentijnse ontdekker van het iTunes-lek heeft dat in juli 2008 ook aan Apple's security-team gemeld. Kort daarna kreeg hij een bevestiging dat zijn melding in goede orde was ontvangen, schrijft cybercrimejournalist Brian Krebs.

Vervolgens heeft de hacker er niets meer over gehoord, tot eind oktober 2011. Toen nam Apple contact met hem op. Het bedrijf vroeg in een e-mail of zijn naam en titel correct waren, om die op te kunnen nemen in de erkenning bij een aankomende patch.

Amato vertelt aan Krebs dat hij niet weet waarom Apple er ruim drie jaar over heeft gedaan om dit gat te dichten. Vooral omdat het een triviale fix is. “Misschien zijn ze het vergeten, of stond het gewoon onderaan hun to-do-lijst." Sommige security-experts trekken nu hun alhoedjes strakker aan en vermoeden overheidsbemoeienis. Een enkele cynicus wijst er ook nog op dat het gevaar alleen voor het massaal gebruikte Windows gold, niet voor Apple's eigen Mac OS X.

Het zijn ook echt niet alleen regimes in landen als Egypte en Syrië die spyware inzetten. De Duitse overheid, maar ook de Nederlandse, doen vrolijk mee. Duitsland heeft al sinds 2008 een eigen Bundestrojaner, die recent opnieuw voor ophef heeft gezorgd. Nederland heeft vervolgens bevestigd zelf ook spyware in te zetten, tegen verdachten.

Terughacken en DNS-omleiding

Black Hat-streken worden ook ingezet tegen niet-verdachten, dus tegen gewone burgers, die zelf juist slachtoffer zijn van cybercriminelen. En ook daarin speelt ons kleine kikkerlandje mee. Kijk maar naar het uitschakelen van het Bredolab-botnet. Op zich een goede actie: het oprollen van een botnetbende en het lamleggen van hun netwerk aan gekaapte pc's.

Alleen is deze operatie minder goed uitgevoerd als je naar de juridische en ethische kanten kijkt. Want de Nederlandse politie heeft toen teruggehackt, en dus ingebroken op de besmette pc's van Bredolab-slachtoffers. Nietes, welles. "Oh, maar dat mag wel, hoor", zegt de politie zelf, over zichzelf. Waarna er toch nog een wetswijziging wordt voorgesteld, om dit terughacken 'echt legaal' te maken.

De juridische en ethischie discussie hierover is nog lang niet uitgewoed. De Nederlandse politie heeft in een recenter geval wel iets anders gehandeld. Bij het oprollen van een wereldwijd opererende DNS-malwarebende zijn pc's van slachtoffers vooralsnog niet teruggehackt. Die besmette machines worden door de politie nu omgeleid. Dat is mogelijk dankzij een spoedbevel van het KLPD, waarvan internetbeheerder RIPE nu overigens de geldigheid aanvecht.

Valse certificaten

Nederland heeft meer Black Hat-links met buitenlandse mogendheden. Kijk maar naar certificaatautoriteit (CA) DigiNotar. Dat commerciële bedrijf gaf beveiligingscertificaten uit, ook voor overheidsgebruik. Vervolgens werd dat Beverwijkse bedrijf grondig gehackt door een Iraanse hacker.

Dat is ontdekt doordat Iraanse Gmail-gebruikers op valse certificaten zijn gestuit voor die maildienst van Google. Valse certificaten aangemaakt door het gekraakte DigiNotar. De Iraanse overheid heeft met die valse certificaten Gmail-gebruikers in eigen land kunnen aftappen. Daarnaast heeft het met behulp van de certificaten valse plug-ins voor Firefox kunnen distribueren, dus overheids-Trojans.

De hele DigiNotar-inbraak was overigens helemaal niet nodig geweest, als Iran gewoon een staats-CA had gehad. Veel overheden hebben dat namelijk wel. Mooi voorbeeld daarvan is het begin dit jaar gevallen regime in Tunesië, waar de regering al sinds 2000 eigen beveiligingscertificaten uitgeeft. Het ministerie van industrie en technologie heeft in 2006 zelfs een overeenkomst gesloten met Microsoft om de Tunesische root-certificaten automatisch te laten vertrouwen door Internet Explorer.

In het begin van de Arabische lente heeft dat land ook al cybercrimemiddelen ingezet tegen de eigen bevolking. Toen onderschepte het logins op en verkeer naar sociale netwerken, waaronder Facebook. Daarop volgde censuur en arrestaties van activisten, bloggers en journalisten.

Hoe de Tunesische overheid dat verkeer kon onderscheppen? Simpel: door malafide JavaScript-code draaiend op eigen servers te injecteren op de inloginpagina's van de diverse sociale netwerken. Waarbij het Tunesische internet-agentschap ook nog nep-inlogpagina's heeft opgetuigd om logins te vergaren, weer zo'n aloude Black Hat truc.

Supermalware: Stuxnet, Duqu

Van de Arabische Lente en de gesmoorde Iraanse opstand uit 2009 weer een link terug naar het Westen: Stuxnet. Die complexe supermalware heeft het Iraanse kernprogramma gesaboteerd met in zijn arsenaal vier 0-days in Windows. Laat dat even bezinken: vier 0-days.

Dat zijn dus vier gaten in het meest gebruikte besturingssysteem ter wereld waar niemand ter wereld nog van wist. Niet één, niet twee, niet drie, maar vier gaten die alleen de makers van Stuxnet hebben ontdekt. Makers die volgens experts echt in overheidskringen zitten, waarbij de VS en Israël als meest waarschijnlijke daders worden genoemd.

De vier 0-days zijn door de Stuxnet-makers hoe dan ook goed benut. Hun enige fout was dat de ontdekte versie van deze supermalware eigenlijk een 'versie 2.0' was, die ze té breed inschoten. De eerste variant, van vermoedelijk een jaar eerder, had nog enkele beperkingen ingebouwd, waardoor hij onder de radar bleef.

Alleen heeft die eerste versie het doel kennelijk niet goed - of niet goed genoeg - geraakt. Dus is de gevaarlijke tweede variant losgelaten, die wereldwijd voor besmettingen heeft gezorgd en veel ophef heeft veroorzaakt, binnen it-securitykringen maar ook op hoog politiek niveau.

Daaruit voortgekomen is Duqu, die weer een ander 0-day lek in Windows benut. Die nieuwe supermalware is gemaakt op basis van de broncode van Stuxnet, die overigens nooit is verspreid. In tegenstelling tot zijn 'vader' draagt de 'son of Stuxnet' geen saboterende lading met zich mee. Duqu is een spionagetool pur sang. Van wie en tegen wie blijft vooralsnog officieel onbekend, maar er zijn genoeg aanwijzingen. Oh, en het 0-day kernellek in Windows staat nog open, wie wil er binnen?

Aanvullend voor it-historici: eind 2000 is er bij Microsoft zelf digitaal ingebroken, waarbij broncode van Windows is buitgemaakt. Begin 2004 zijn er plots brokken broncode uitgelekt van Windows NT 4 en 2000.

Gewoon Windows-source inzien

Maar Black Hat-operaties door overheden hoeven helemaal niet zo omslachtig te zijn. Je kunt dat vermoeiende inbreek- en hackwerk gewoon overslaan als je toegang hebt tot broncode. Dat is zeker handig voor software waarvan de source niet voor iedereen toegankelijk is, en dan hebben we het natuurlijk over het wereldwijd veelgebruikte Windows, waarvan Microsoft de broncode al jaren deelt met overheden en overheidsinstanties.

In totaal hebben ruim 60 landen toegang tot de Windows-source, of delen daarvan. Daartussen zitten ook landen als China, Rusland en Tunesië. China was in 2003 één van de eersten die meedeed aan Microsoft's overheidsprogramma voor code-inzage. De communistische regering van dat land speelt die kennis door aan het leger en ingehuurde hackers, waarschuwt het Amerikaanse ministerie van Buitenlandse Zaken in een via Wikileaks uitgelekt telegram.

En China is niet het enige land waar de VS zich zorgen over maakt. Amerikaanse diplomaten waren binnenshuis behoorlijk ontstemd over Microsofts Tunesische deal in 2006, zo blijkt uit diplomatieke stukken die dit jaar zijn uitgelekt via Wikileaks. Met het toenmalige regime in Tunesië heeft Microsoft ook broncode gedeeld, net als met de Russische geheime dienst, al sinds 2002.

Het is dus maar goed dat er begin december een grote politieke bijeenkomst is over internetvrijheid. Die internationale conferentie wordt in Den Haag gehouden en verzorgd door het Nederlandse ministerie van Buitenlandse Zaken. Met als gast onder meer de Amerikaanse minister van Buitenlandse Zaken Hillary Clinton, die tégen censuur is door schurkenstaten en vóór censuur van Wikileaks.