De makers van de TriangleDB-spyware, die volgens antivirusbedrijf Kaspersky jarenlang is gebruikt om iPhone-gebruikers te bespioneren, maakten misbruik van een onbekende hardwarefunctie van Apple-chips, zo stelt de virusbestrijder in een nieuwe analyse. Het bestaan van de spyware werd eerder dit jaar door Kaspersky onthuld, nadat het bedrijf er zelf slachtoffer van was geworden.
IPhones werden door middel van zero-click exploits, zonder enige interactie van slachtoffers, met de spyware geïnfecteerd. Eenmaal actief werden slachtoffers onder andere via de microfoon van de telefoon afgeluisterd. De afgelopen maanden maakte Kaspersky meerdere details over de spyware en gebruikte kwetsbaarheden bekend, die inmiddels door Apple zijn verholpen.
Gisteren presenteerde de virusbestrijder tijdens het Chaos Communication Congress dat de aanvallers ook misbruik maakten van een onbekende hardwarefunctie van door Apple ontworpen chips. Daardoor konden de aanvallers data naar onbekende hardwareregisters van de chip schrijven die niet door de firmware werden gebruikt.
Kaspersky vermoedt dat de functie waarschijnlijk voor debugging of testdoeleinden door Apple-engineers of de fabriek is gebruikt, of per ongeluk is toegevoegd. "Omdat deze feature niet door de firmware wordt gebruikt, hebben we geen idee hoe de aanvallers wisten hoe ze er gebruik van moesten maken", zegt onderzoeker Boris Larin.
...
Eerder dit jaar kwam Kaspersky met een tool waarmee gebruikers kunnen kijken of ze doelwit van de spyware zijn geweest. Daarnaast laat de virusbestrijder weten dat de Lockdown Mode van Apple waarschijnlijk bescherming tegen de aanval biedt, waarbij wordt gewezen naar het gebruik van de onzichtbare iMessage. De Lockdown Mode wordt echter pas sinds een jaar aangeboden en de spyware is volgens de onderzoekers al ruim daarvoor ingezet.
Alles bij de bron; Security
Verschillende Joodse instellingen eisen opheldering van de AIVD over wie opdracht heeft gegeven voor de jarenlange spionage van Holocaust-overlevenden in de jaren na de oorlog.
Uit onderzoek van Het Parool blijkt dat Joodse Amsterdammers die betrokken waren bij het Nederlands Auschwitz Comité werden bespioneerd door de voorloper van de AIVD, de Binnenlandse Veiligheidsdienst (BVD). De veiligheidsdienst bestempelde ze decennialang als ‘extremisten’ en potentieel gevaar voor de democratie.
De BVD infiltreerde het comité en deed uitvoerig verslag van Holocaustherdenkingen. De dienst reisde zelfs Auschwitzoverlevenden achterna voor herdenkingsbijeenkomsten in het buitenland. De dossiers vermelden wat het Auschwitz Comité tijdens vergaderingen besprak: van alledaagse regelzaken – wie schrijft een brochure? – tot aan het opzetten van politieke acties....
....Niet alleen Joodse instellingen, ook politici hebben met verbijstering gereageerd. Kamerlid Derk Boswijk noemt het ‘een krankzinnig verhaal’ en Pieter Omtzigt vindt de spionagepraktijken ‘bizar’ en zegt ‘graag een uitleg’ te willen.
Alles bij de bron; Parool
Amerikaanse wetgevers hebben donderdag een wetsvoorstel goedgekeurd waardoor onder meer de controversiële ‘Section 702’ van de Foreign Intelligence Surveillance Act (FISA) de komende vier maanden van kracht blijft.
Voor Amerikaanse inlichtingendiensten blijft het met de goedkeuring van het wetsvoorstel mogelijk om communicatie van buitenlanders in het buitenland te onderscheppen en te analyseren met als bedoeling om terroristische aanslagen en bedreigingen voor de nationale veiligheid te voorkomen. Deze mogelijkheid was zonder goedkeuring op 1 januari verlopen.
Privacyorganisaties en burgerbewegingen reageren teleurgesteld op het besluit en maken zich grote zorgen over deze mogelijkheid en stellen dat de verzamelende gegevens van burgers voor andere doeleinden kunnen worden gebruikt.
In Europa maakt privacyorganisatie Noyb zich al langere tijd zorgen om ‘sectie 702’ waardoor gegevens van Europese burgers volgens de organisatie niet goed genoeg beschermd zijn.
“Het fundamentele probleem met FISA 702 werd door de VS niet aangepakt, omdat de VS nog steeds van mening zijn dat alleen Amerikaanse personen grondwettelijke rechten waard zijn”
Alles bij de bron; AGConnect
De AIVD en MIVD krijgen, met een verruiming van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv), meer bevoegdheden in de cyberstrijd tegen hackers uit bijvoorbeeld China en Rusland.
De Tweede Kamer is akkoord, de Eerste Kamer zal dit naar verwachting ook doen – ondanks bezwaren van experts dat de privacy van Nederlanders geschaad gaat worden.
Het wordt voor de diensten straks mogelijk om internetverkeer dat via kabels gaat ‘te verkennen’. Bij die ‘verkenningsoperaties’ wordt echter ook het internetverkeer van Nederlanders opgevangen – en geanalyseerd.
Volgens privacyorganisaties wordt zo toch een sleepnetmethode geïntroduceerd, terwijl Nederland zich daar in 2017 in een referendum nog tegen uitsprak.
Ook BiZa-minister Hugo de Jonge reageerde laconiek op alle kritiek. ‘We zijn niet geïnteresseerd in het Netflix-gedrag van uw buurman’.
Alles bij de bron; Cops-in-Cyberspace
Europese plannen om online kindermisbruik op te sporen door chatdiensten te scannen, stuiten op veel kritiek van experts. Zij waarschuwen in gesprek met het Europees Parlement voor grove privacyschendingen. Ook zitten er veel haken en ogen aan de technische haalbaarheid.
Want om berichten te kunnen scannen, moet de beveiliging van apps worden aangepast. Dat heeft gevolgen voor de privacy van gebruikers, waarschuwden experts maandag in het Europees Parlement. Ook vanuit het Parlement zelf klinkt kritiek op het wetsvoorstel.
Zo zegt parlementslid Birgit Sippel dat er met het voorstel te laat wordt ingegrepen. "Over preventieve oplossingen wordt bijna niet gesproken."
Technisch zijn er eveneens nog veel bezwaren. Bij onderzoeken naar scanmethodes maken algoritmes nog veel fouten.
Een veelgenoemde oplossing voor de opsporing van online kindermisbruik is het zogeheten client-side scanning. Daarbij wordt de inhoud van berichten gescand voordat ze verzonden worden.
Maar dit is een nieuwe techniek die nog niet goed is onderzocht. "Alsjeblieft", zegt hoogleraar computerwetenschappen Matthew Green van Johns Hopkins University. "Geef ons meer tijd om onderzoek te doen naar veilige manieren om dit te gebruiken, voordat we dit opnemen in de wet."
Alles bij de bron; NU
Een wetsvoorstel moet de armslag van AIVD en MIVD vergroten, onder meer door bepaalde inlichtingenoperaties te kunnen inzetten zonder toestemming van de toezichthouder vooraf. Een meerderheid is voorzichtig instemmend, maar er zijn ook zorgen.
De meeste partijen waren het er maandag over eens dat de Wet op de Inlichtingen- en Veiligheidsdiensten (WIV) die in 2018 inging, op onderdelen alweer achterhaald is. Ze biedt volgens een meerderheid te weinig bescherming tegen professioneel uitgevoerde hack-aanvallen op bijvoorbeeld kritische infrastructuur in Nederland, energievoorziening en bedrijven.
Er waren veel kritische vragen van de Kamerleden Julian Bushoff (GroenLinks-PvdA), Alexander Hammelburg (D66), en Marieke Koekkoek (Volt). Die gingen over het delen van gegevens met buitenlandse diensten en het gemakkelijker kunnen verlengen van bewaartermijnen.
SP en Forum voor Democratie toonden zich zeer kritisch over de nieuwe wet. Zij vrezen dat de diensten via een omweg alsnog ongericht de gegevens van miljoenen burgers kunnen binnenhalen. Dat ‘ongericht naar binnen slepen’ van die gegevens werd wettelijk juist expliciet verboden na een referendum over de wet in 2018.
Privacy-organisatie Bits of Freedom en journalistenvakbond NVJ uitten eerder al dezelfde vrees. Zij publiceerden begin oktober een verklaring: „Voor ongericht massasurveillance is geen plaats in een democratische rechtsstaat”, schreven ze. Tevens vreesde de NVJ dat de bestaande wettelijke waarborgen tegen het aftappen van elektronisch verkeer van journalisten in het nieuwe wettelijk regime zwakker worden.
De zogeheten kabelinterceptie – het afvangen van een grote stroom digitale gegevens via de kabel – wordt tot nu toe door het toezicht vooraf weinig gebruikt door de diensten, aldus minister de Jonge. „Ongelooflijk jammer, gezien de belangrijke internetknooppunt functie die Nederland heeft. We hebben de diensten teveel aan de ketting gelegd.”
Alles bij de bron; NRC [Thnx-2-Niek]
De Europese Unie werkt aan een nieuwe wet om de digitale verspreiding van kinderporno te bestrijden. Dat is lovenswaardig en nodig ook, maar het toelaten van screening van het sociale mediaverkeer is een verkeerde oplossing. De prijs voor chat control is te hoog en de technologische ontwikkeling is nog te beperkt voor een feilloze toepassing.
Deskundigen, politici en zelfs belangenorganisaties vinden het permanent meespieken met communicatiediensten zoals Whatsapp en Tiktok om kinderpornografisch materiaal op te sporen, een paar stappen te ver. Geen bericht ontkomt aan het allesziende oog en de inbreuk op de privacy is kolossaal. Het doel heiligt in dit geval niet het middel.
Kenmerk van het (sociale) berichtenverkeer is juist dat gebruikers vrijelijk met elkaar kunnen communiceren. Elk bericht wordt versleuteld om pottenkijkers buiten te sluiten. Het EU-voorstel maakt toch een spiekmomentje mogelijk voordat deze versleuteling plaatsvindt. Dat momentje is te vergelijken met een postbode die, voordat de brief in de bus glijdt, even snel de envelop opent om de inhoud te lezen. Dat is met de post ondenkbaar, dus in het digitale berichtenverkeer ook.
...De wens is de vader van de gedachte, maar zolang een nieuwe wet niet waterdicht voldoet, mag die niet tot uitvoer worden gebracht. Zelfs niet voor het opsporen van kindermisbruik.
Alles bij de bron; LeidschDagblad
De inzet van de Pegasus-spyware is een heftige inbreuk op de mensenrechten en gaat veel en veel verder dan Watergate en George Orwells 1984, zo stelt Kamerlid Pieter Omtzigt.
Omtzigt deed als rapporteur van de Raad van Europa onderzoek naar het gebruik Pegasus door Europese lidstaten voor het bespioneren van journalisten, politieke tegenstanders, mensenrechtenactivisten en advocaten. Het gaat om Polen, Hongarije, Griekenland en Spanje, zo blijkt uit het rapport van Omtzigt.
In het onderzoeksrapport wordt ook de Nederlandse regering opgeroepen, omdat het erop lijkt dat het Pegasus ook heeft aangeschaft, duidelijk te maken hoe de spyware wordt ingezet en welk toezicht hierop plaatsvindt. Ook is Nederland gevraagd om te laten weten hoe vaak het Pegasus heeft ingezet.
Pegasus is door NSO Group ontwikkelde spyware waarmee het mogelijk is om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie te bepalen. De spyware wordt al zeker sinds 2016 via zeroday-aanvallen verspreid.
Alles bij de bron; Security
Makers en verkopers van spionagesoftware in Europa proberen doorlopend exportbeperkingen te omzeilen, blijkt uit internationaal onderzoek.
Over spionagebusjes, afluisteren met drones en Nederland als schakel. ‘Ik dacht dat overheden het zouden gebruiken bij de jacht op pedofielen’.
...De spionagesoftware ‘Predator’ wordt aan tal van regeringen en opsporingsdiensten verkocht. De ‘spyware’ wordt eveneens nog altijd ingezet tegen dissidenten, journalisten en politici, blijkt onder meer uit een nog vertrouwelijke analyse door het Security Lab van Amnesty International.
Een groot aantal gelekte documenten, met NRC gedeeld door Der Spiegel uit Duitsland en Mediapart uit Frankrijk, toont aan hoe makers en verkopers van spyware in Europa voortdurend proberen exportbeperkingen te omzeilen. Het label ‘gemaakt en gereguleerd in de EU’ wordt daarbij gebruikt als kwaliteitskeurmerk. Met Nederland als schakel.
Alles bij de bron; NRC [Thnx-2-Niek] [lang weekend artikel]
Bits of Freedom maakt zich zorgen over een wetsvoorstel waardoor het voor de AIVD en MIVD tijdelijk mogelijk wordt om van de Wet op de inlichtingen- en veiligheidsdiensten (Wiv 2017) af te wijken. Daarnaast wordt ook het toezicht aangepast.
Zo zal, in plaats van bindende toetsing vooraf door de Toetsingscommissie Inzet Bevoegdheden (TIB), er tijdens en na de inzet van een bevoegdheid toezicht plaatsvinden door de Commissie van Toezicht op de Inlichtingen- en veiligheidsdiensten (CTIVD).
Verder wordt het mogelijk om tijdens een lopend onderzoek waarbij een aanvaller overstapt naar een nieuwe server of apparaat, deze te blijven volgen zonder dat er eerst toestemmingsaanvraag moet worden ingediend. Normaliter hadden de inlichtingendiensten eerst toestemming moeten vragen aan de minister en moet de TIB deze toestemming toetsen.
Het wetsvoorstel verruimt ook de medewerkingsplicht van derde partijen, zoals telecomproviders en opslagdiensten. De inlichtingendiensten kunnen gegevens opvragen bij aanbieders van telecommunicatie- en opslagdiensten. Het gaat dan meestal om het opvragen van disk-images van servers.
In de Wiv 2017 is geregeld dat wanneer de bronbescherming op het spel staat, voordat het systeem van een journalist mag worden binnengedrongen, de rechtbank eerst toestemming moet geven. Door de nieuwe wet mogen de inlichtingendiensten op het systeem van een journalist inbreken als dat door aanvallers wordt gebruikt. Bits of Freedom maakt zich zorgen dat met de nieuwe regels de bronbescherming, en daarmee het werk van journalisten, op het spel komt te staan, zo liet de burgerrechtenbeweging tegenover het radioprogramma Argos weten.
Ook hekelt Bits of Freedom de genoemde noodzaak van de wet en hoe die behandeld wordt.
"De "spoedwet" die de huidige wet zal wijzigen is inmiddels al 2,5 jaar in de maak. Je zou je kunnen afvragen of hier wel echt sprake is van hoge urgentie. Bovendien is dit de zóveelste (tijdelijke) wijziging van de Wet op de inlichtingen- en veiligheidsdiensten", zegt directeur Evelyn Austin.
Volgens Austin is er inmiddels een complete studie vereist om goed te kunnen begrijpen wat de geheime diensten mogen en wat daarvan de gevolgen zijn. "Het lijkt wel alsof de democratische controle opzettelijk wordt verward en uitgeput. Op maandag 16 oktober wordt de wet in de Tweede Kamer behandeld. Aan Kamerleden de haast onmogelijke taak goed beslagen ten ijs te komen. Wij zijn benieuwd."
Eerder uitte ook voormalig TIB-lid Bert Hubert felle kritiek. "Het voorstel pakt geen cybertuig aan, het voorstel maakt het met name makkelijker onschuldige Nederlanders af te luisteren en te hacken, en de opbrengst te delen met het buitenland. Voor ons ligt een wet waarmee niet alleen hele wijken afgeluisterd kunnen worden, het hele land mag er mee afgeluisterd worden. En de diensten menen dat dat geen afluisteren is, want het is slechts ter verkenning."
Alles bij de bron; Security