0-day-lekken zijn de meest vervelende soorten fouten in (meestal) software en soms ook hardware. Als eindgebruiker is er weinig tegen te doen, behalve razendsnel updaten.
Het aantal potentiële digi-criminelen is groter dan ooit tevoren in de geschiedenis. En ook zijn ze helaas actiever dan ooit tevoren. Extra probleem daarbij is, dat er dan nog eens een grijs overgangsgebied is tussen cybercriminelen en overheden. Want – om maar wat te noemen – voor een Chinese overheid kan het heel gewoon zijn om burgers digitaal in de gaten te houden en daarvoor desnoods in te breken op computers, smartphones enzovoort; voor ons westerlingen klinkt dat als een recept voor een ramp. Alhoewel: de Amerikaanse NSA kan er ook wat van en inmiddels zien we ook in een deel van de ‘nieuwe’ Oost-Europese EU-lidstaten dat sommige regiems het daar zo nauw niet nemen met privacy. En dat brengt ons dan bij die 0-day-lekken uit de titel van dit artikel.
Verzwegen lek
0-day-lekken zijn niets anders dan lekken door een derde partij ontdekt, en waarvan zelfs de maker van de software (of het besturingssysteem) geen enkele weet heeft. Nu kun je als ontdekker verschillende dingen doen. Ten eerste kun je een gevonden lek gewoon aan de maker melden, zodat die een patch uit kan brengen en klaar. Punt is dat je daar maar relatief weinig of helemaal geen geld aan verdient. Zal een hoop mensen worst wezen, maar een deel ‘stoort’ zich daar wel aan. En ziet dan dat het verkopen van de ontdekking op de zwarte markt heel veel geld waard is. Zeker als je er ook nog een uitgebreide beschrijving plus eventueel wat software bij doet om het lek te misbruiken. Kan best aanlokkelijk zijn. Een criminele partij of meer autoritaire overheid kan het van jou gekochte lek vervolgens gebruiken zolang het niet ontdekt wordt door de maker van de betreffende software. Of tot iemand anders z’n mond open doet, of ziet dat er data van zijn of haar systeem verdwijnt. Wat dan de link naar Pegasus creëert.
Pegasus
Pegasus is een extreem geniepig stukje software, ontworpen door het Israëlische bedrijf NSO en de laatste tijd weer volop in het nieuws. De beweegredenen van het bedrijf zijn schimmig, maar het lijkt vooral om groot geld te gaan. Heel groot geld. Officieel wordt de spionagesoftware alleen aan overheden verkocht (in de praktijk duikt het ook elders op). Probleem van Pegasus is, dat het nagenoeg niet te detecteren valt en dat je het op een apparaat installeert door bijvoorbeeld simpelweg op een link te klikken of een ‘verkeerde’ website te bezoeken. Het nestelt zich zodanig in het besturingssysteem van een apparaat dat het voor de gemiddelde eindgebruiker niet alleen niet te detecteren is, maar ook niet te verwijderen. Zelfs experts hebben er een harde kluif aan.

Gevaarlijk
Pegasus maakt volop gebruik van die 0-day lekken. Die zullen ze ongetwijfeld op grote schaal inkopen op het dark web, maar er zit ook veel dure kennis en kunde in het bedrijf zelf. Als je heel veel geld steekt in een groot team dat maar een enkel doel heeft: het vinden van lekken in – met name – besturingssystemen en die ontdekking onder de pet houden en verwerken in de eigen spionagesoftware, heb je een ijzersterke en levensgevaarlijke bedrijfsconstructie in handen.
Niets is perfect
Denk niet dat jouw smartphone of laptop ongevoelig is voor Pegasus. Ook niet als je iOS, macOS, ChromeOS of Linux draait. Elk besturingssysteem heeft foutjes aan boord, inclusief 0-day-lekken. Vaak heel onbeduidend en met de meesten kun je weinig kwaads uithalen. Op een handjevol na. En dat handjevol is er gewoon altijd, besturingssystemen zijn dusdanig complex geworden dat daar geen ontkomen meer aan is. Draait Pegasus eenmaal op je systeem of mobiel, dan ben je ernstig de sjaak. Alles kan gemonitord en gewijzigd worden, e-mail meegelezen, inloggen bij zelfs de meest geheime websites of wat dan ook is ineens een open deur. Zelfs ongemerkt meekijken met een webcam is geen probleem, net zo min als meeluisteren.
Criminelen
Pegasus is het meest geavanceerde en gevaarlijke stukje spyware dat ooit ontdekt is. Let wel: ontdekt. Want er zullen ongetwijfeld meerdere partijen met dit soort lucratieve zaken bezig zijn. Meer traditioneel zijn de criminele hackers, die ontdekte 0-day-lekken stilletjes voor zichzelf houden. En bijvoorbeeld solo of desnoods in opdracht van een vreemde mogendheid vervelende dingen bij ‘de vijand’ uithalen. Denk aan bijvoorbeeld de aanvallen op de Amerikaanse pijpleidingen van de laatste tijd. Ook westerse overheden maken zich – natuurlijk – schuldig aan spionage, alleen zijn zij meestal minder destructief in hun manier van werken. Zeker als het gaat om landen die niet als al te grote bedreiging gezien worden, maar het wel waard zijn om in de gaten gehouden te worden. Spionage is van alle tijden en zal ook nooit verdwijnen.
Pegasus binnen de EU
Vervelend wordt het pas als je als Europese Unie een aantal paarden van Troje onder je lidstaten blijkt te hebben. Nu de politieke situatie in Hongarije en Polen verder escaleert en steeds verder af komt te staan van de (niet onredelijk te noemen) normen en waarden van de EU zijn ook dat ineens bronnen van zorg. Heel vreemd – maar wel erg zorgwekkend – is het dan ook dat Polen één van de landen blijkt te zijn die nog niet zo heel lang geleden vermoedelijk Pegasus heeft aangeschaft (https://www.politico.eu/article/poland-pis-israeli-spyware-questions/). Polen heeft ‘last’ van een anti-EU regering die steeds weer aangeeft Europa naar zijn wensen en normen en waarden wil aanpassen. In eigen land worden daarvoor de zware middelen niet geschuwd en kun je spreken van een autoritair regiem. In Hongarije kunnen we al bijna van een dictatuur spreken, niet gek dus dat Pegasus ook daar misbruikt wordt (https://www.theguardian.com/news/2021/jul/18/viktor-orban-using-nso-spyware-in-assault-on-media-data-suggests).

Wees alert
Dit soort software wil je gewoon niet in je eigen Europese achtertuin, en zeker niet in handen van twijfelachtige lieden. Maar het is er dus waarschijnlijk wel. Waardoor jij als olijke bezoeker van een kwaadwillend (EU) land mogelijk zomaar gratis en voor niks iets vervelends op je telefoon geïnstalleerd krijgt. Wilde fantasie? Nee hoor, iedereen die naar China gaat – voor vakantie of zakelijk – wordt geadviseerd om de eigen smartphone (en SIM-kaart!) thuis te laten. Koop een goedkoop telefoontje, een prepay-SIM-kaart en maak een aparte gMail-account voor mailen aan. Laptop? Thuislaten of een oud beestje meenemen. Bij terugkomst de in China gebruikte spullen nooit meer aanzetten. Of nog eens meenemen bij een volgend bezoek. Waarom? Tja, bij binnenkomst wordt apparatuur nogal grondig ‘onderzocht’ door de douane daar, uit het zicht. En inderdaad wordt er troep geïnstalleerd waar je niet op zit te wachten.
Updaten, updaten, updaten
Wat je als argeloze gebruiker in het dagelijks leven tegen 0-day-lekken kunt doen? Bijna niets. Behalve helaas updates installeren zodra ze uitkomen. Helaas, want updates zijn bij de bekende besturingssystemen Windows en macOS helaas niet opgedeeld in veiligheidspatches en functionele updates. Het is alles of niks. Wat betekent dat er vaak weer een hoop nieuwe fouten wordt geïntroduceerd met nieuwe functionaliteit. Microsoft worstelt nu al maanden met z’n print spooler die ze maar niet waterdicht krijgen, bijvoorbeeld. En Apple dichtte onlangs een serieuze 0-day die actief misbruikt werd (verdere details worden daarbij nooit verstrekt) en al jarenlang en vele versies bleek te sluimeren in macOS, iOS en iPadOS. En dat soort lekjes die makkelijk over het hoofd gezien worden zorgen voor de grootste ellende.

De bekende leefregels
Het is daarom ook dat je steeds vaker ‘out of band’-updaterondes ziet bij de diverse besturingssystemen. Als een fabrikant een of meer 0-day-lekken ontdekt én er in no time een noodpatch voor uitrolt, kun je er donder op zeggen dat ze meer weten. En dus is het tijd om te patchen. Met alle risico’s die dat weer met zich meebrengt. De tijd van onbezorgd computeren ligt echt achter ons. Waarbij de gebruiker nog steeds ’t grootste risico vormt. De oude regels, je kent ze wel: klik niet op links van door onbekenden verstuurde mail, appjes enzovoort. Bezoek geen twijfelachtige websites met té aanlokkelijke inhoud. Niets voor niets is iets dat ook in de digitale wereld nog voor heel veel dingen geldt. Zorg voor sterke wachtwoorden, kijk extra uit op vakantie over de grens enzovoort. Laat apparatuur nooit en te nimmer onbeheerd op een tafel liggen, zelfs niet als het om camera gaat. Blijf je spullen altijd onder controle en in het oog houden. En – wellicht de meest handige leefregel – zet dingen uit die je niet gebruikt. Stand-by is leuk maar heeft ook zo weer z’n risico’s.
Meer tips en trucs van Ronald Smit? Op dit blog zijn er veel te vinden. Al zijn tips, plus interviews met hem. vind je HIER.
Veilig online
Er is wat ellende betreft natuurlijk meer gaande dan ‘alleen’ 0-day-lekken. Om jezelf beter voor te bereiden op al dat soort zaken is er het boek Veilig online van Hans Frederiks en Ronald Smit. Bij de omschrijving ervan lezen we: ‘Het online leven is vaak leuk en zorgeloos: reizen boeken, prijzen vergelijken, shoppen, leerzame of onderhoudende video’s bekijken en natuurlijk appen met vrienden, collega’s en familie. Maar helaas heeft het online leven ook een minder leuke kant, die we onder andere te danken hebben aan spam, phising mails en andere vervelende zaken. Gelukkig kun je je tegen aanvallen van cybercriminelen goed beschermen. Dit handige en kleurrijke boekje geeft – aan de hand van vele voorbeelden – een overzicht van de gevaren waar je mogelijk aan bloot wordt gesteld. En uiteraard worden ook oplossingen aangedragen, zodat je zorgeloos kunt (blijven) surfen op het wereldwijde web.

Ronald Smit kan dankzij een combinatie van een elektronica- en een journalistieke opleiding (afstudeerrichting radio en nieuwe media) technische zaken op een heldere en eenvoudige manier uitleggen. Zijn jarenlange schrijfervaring voor onder meer Computer Idee geeft u al snel de ‘aha-erlebnis’ waar u wellicht al zo lang naar op zoek was. En wordt het dan toch allemaal wat ingewikkeld, dan loodst hij de lezer snel en zeker langs eventuele barrières en valkuilen. De boeken van Ronald vind je hier.