Bij twee aanvallen met de Pegasus-spyware op de mobiele telefoon van de Spaanse premier Pedro Sánchez is 2,7 gigabyte aan data buitgemaakt. Ook de telefoon van de Spaanse minister van Defensie Margarita Robles raakte met de spyware besmet. Daar gingen de aanvallers er met negen megabyte aan data vandoor. Het is onduidelijk wat voor data de aanvallers buitmaakten. De aanvallen op de Spaanse premier vonden vorig jaar mei en juni plaats.
Onlangs meldde het Canadese Citizen Lab dat het 63 Catalaanse personen had geïdentificeerd die met de Pegasus-spyware van de NSO Group geïnfecteerd waren. Het gaat om leden van het Europees Parlement, Catalaanse presidenten, wetgevers, juristen en leden van maatschappelijke organisaties. In sommige gevallen werden ook familieleden met de spyware besmet.
Pegasus is door NSO Group ontwikkelde spyware waarmee het mogelijk is om slachtoffers via hun microfoon en camera te bespioneren en gesprekken en communicatie via WhatsApp, Gmail, Viber, Facebook, Telegram, Skype, WeChat en andere apps af te luisteren en onderscheppen, alsmede de locatie te bepalen.
Alles bij de bron; Security
Beide toezichthouders op de geheime diensten publiceerden hun jaarverslag. Wat valt daarin op, en wat moeten we meenemen in de discussie over het aanpassen van de sleepwet (Wiv 2017) en de nieuwe Cyberwet?
Toezichthouders kunnen hun werk alleen goed doen als zij ook toegang hebben tot de juiste informatie. En een democratisch totstandkomingsproces van nieuwe wetgeving kan ook alleen plaatsvinden als duidelijk is wat er precies wordt voorgesteld. Op het gebied van informatievoorziening baren een aantal dingen in de jaarverslagen ons zorgen:
Verder valt op dat het aantal verzoeken dat de geheime diensten aan de toetsingscommissie hebben gedaan is gegroeid. Dat betekent dat zij vaker ingrijpende bevoegdheden hebben willen inzetten. Ook die verzoeken zelf zijn volgens de toetsingscommissie toegenomen in omvang en complexiteit. Dat betekent dat de geheime diensten vaker gegevens verzamelen, en ook nog eens per keer meer gegevens verzamelen.
...Meer weten?
Lees hier het jaarverslag van de toetsingscommissie (Tib)
Lees hier het jaarverslag van de toezichthouder (CTIVD)
Alles bij de bron; Bits-of-Freedom
Door technische mogelijkheden kunnen en willen de Nederlandse inlichtingendiensten steeds meer data achterhalen. Deze – voornamelijk – hackoperaties staan op gespannen voet met de wet en zijn niet altijd proportioneel. Dat blijkt uit het jaarverslag van toezichtcommissie Toetsing Inzet Bevoegdheden (TIB).
....een groeiend aantal verzoeken van de AIVD (3,3 procent, tegenover 1,9 procent in 2020) werd afgewezen.
Opvallend is dat de toezichtcommissie 54 van de ruim drieduizend verzoeken ‘niet proportioneel’ achtte. TIB-voorzitter Mariëtte Moussault: ‘De diensten willen steeds meer en ze kunnen steeds meer. Verder valt op dat de AIVD en MIVD twee journalisten afluisterden, terwijl ze daarvoor geen toestemming hadden...
...De diensten wilden twee keer kabelinterceptie toepassen. De TIB oordeelde in beide geval dat de inzet ‘niet proportioneel’ was. Het is een van de bevoegdheden waar de diensten graag meer ruimte zouden willen krijgen.
In de aanloop naar een wijziging van de Wet op de inlichtingen- en veiligheidsdiensten zouden die organisaties alvast meer ruimte willen krijgen. Moussault begrijpt die behoefte vanuit het perspectief van de diensten, maar ziet ook ‘flinke hobbels’ in het voorstel. Twee aspecten licht ze uit.
Zo mogen toezichthouders TIB en CTIVD straks geen informatie uitwisselen voordat ze de minister en het diensthoofd op de hoogte hebben gesteld. ‘Dat is van de gekke en maakt effectief toezicht onmogelijk. Dat is een flink punt waarvan ik hoop dat het eruit gaat.’
Het tweede is dat AIVD en MIVD de technische risico’s bij hacken niet meer hoeven te beschrijven. Moussault: ‘Ik begrijp dat je niet altijd weet wat je gaat tegenkomen.Maar in grote lijnen is het wel duidelijk en die informatie willen wij hebben. Waar zeggen wij en een minister anders ja tegen?’
Alles bij de bron; Volkskrant
De Toetsingscommissie Inzet Bevoegdheden (TIB) heeft het allemaal netjes op een rij gezet. Door een nieuwe inlichtingenwet mogen de geheime diensten AIVD en MIVD straks méér en makkelijker hacken en zal het ‘slepen’, het op grote schaal afluisteren van internetverkeer, eindelijk wél mogelijk zijn. Beloftes dat internetverkeer van en naar Nederland en verkeer van streamingsdiensten als YouTube daarbij gespaard worden, zijn expliciet ongedaan gemaakt. Toezeggingen, ook die na het referendum in 2018 toegevoegd zijn aan de huidige inlichtingenwet, sneuvelen op belangrijke punten.
„Dit wordt echt heel groot”, vat TIB-voorzitter Mariëtte Moussault de voorgestelde „forse uitbreiding” van de bevoegdheden van de diensten samen.
Naast dat de diensten straks meer mogen, verandert het toezicht van aard, zegt Moussault. Minder bij de TIB die vooraf toetst, méér bij de CTIVD, die achteraf en tijdens operaties in de gaten houdt of de diensten zich aan de regels houden. De CTIVD krijgt bij overtredingen de mogelijkheid om inlichtingenoperaties stil te leggen...
...Wat de uitbreiding van de bevoegdheden betreft, ben ik benieuwd of daar een debat over komt of dat de samenleving nu zegt: Rusland valt Oekraïne binnen, dus wat zeuren we.”
Alles bij de bron; NRC
In het debat over de sleepwet zijn allerlei beloften en toezeggingen gedaan. Nu blijkt uit een rapport van de toezichthouder dat die beloften in de praktijk niet nagekomen worden. En de diensten niet zorgvuldig genoeg met onze gegevens omgaan. De toezichthouder stelt de geheime diensten dus onder verscherpt toezicht. Dat is nodig, maar niet genoeg...
...Zoals we eerder al schreven komt er alweer een nieuwe wet aan. In dit wetsvoorstel wordt voorgesteld om de bevoegdheden van de geheime diensten, ook deze sleepnetbevoegdheid, nóg verder uit te breiden. Dit rapport is een nieuw teken dat we deze wet uitermate kritisch moeten bekijken.
Geheime diensten willen namelijk steeds ongerichter gegevens verzamelen. Dat betekent dat er steeds meer gegevens worden verzameld van burgers waar de diensten helemaal geen onderzoek naar doen.
Aan de andere kant onderstreept dit 'verscherpte toezicht' ook het belang van goed toezicht. Uit het rapport blijkt dat de diensten hun eigen interne controle onvoldoende naleven en prioriteren. Dit laat zien hoe belangrijk de externe toezichthouders zijn, en hoe belangrijk het is dat zij in staat worden gesteld om hun werk goed te doen. Het feit dat de toezichthouder nu wordt gedwongen haar zwaarste middel in te zetten is naast nodig, ook best wel problematisch. Want ook dit zwaarste middel is te licht en stelt de toezichthouder alsnog niet in staat in te grijpen als dat nodig is.
Je moet een vlieg niet met een kanon bestrijden, en een olifant niet met een proppenschieter.
Alles bij de bron; Bits-of-Freedom
Symantec heeft naar eigen zeggen de meest geavanceerde backdoor ooit van een aan China gelieerde spionagegroep ontdekt die voor een campagne die tegen overheden en vitale infrastructuur is ingezet en aanvallers laat communiceren met systemen die niet direct vanaf het internet toegankelijk zijn. Dat meldt het securitybedrijf in een analyse.
De backdoor wordt Daxin genoemd en komt in de vorm van een Windows-kerneldriver, iets wat tegenwoordig een zeldzaamheid is, aldus de onderzoekers. Daxin zou zijn ontwikkeld voor spionage tegen extra beveiligde doelwitten en beschikt over features die aan de geavanceerde Regin-malware doen denken.
Eenmaal actief op een systeem kunnen aanvallers via de backdoor bestanden lezen en schrijven. Ook is het mogelijk om willekeurige processen te starten. Wat Daxin echter doet opvallen is de manier waarop het communiceert en onopgemerkt blijft. De backdoor kan communiceren door legitieme tcp/ip-verbindingen te kapen.
Daxin is ook in staat om de communicatie over een reeks besmette computers binnen de aangevallen organisatie te laten lopen. De aanvallers kunnen zo communiceren met computers op zeer beveiligde netwerken waar een directe internetverbinding niet beschikbaar is.
Alles bij de bron; Security
De Amerikaanse en Britse autoriteiten hebben een waarschuwing gegeven voor een spionagegroep die wereldwijd doelen door middel van zip-bestanden aanvalt. De groep wordt MuddyWater genoemd en is gelieerd aan de Iraanse inlichtingendienst, zo stellen de betrokken instanties.
De groep heeft het voorzien op publieke en private organisaties in verschillende sectoren, waaronder telecom, defensie, olie en gas, in Afrika, Azië, Europa en Noord-Amerika. Voor het aanvallen van deze organisaties maakt de groep onder andere gebruik van bekende kwetsbaarheden in Microsoft Exchange en spearphishing. Bij deze gerichte phishingaanvallen verstuurt de groep zip-bestanden. De zip-bestanden bevatten een Excel-document met een kwaadaardige macro die, wanneer door de gebruiker ingeschakeld, malware installeert, of een pdf-document dat malware probeert te installeren.
Om aanvallen door de groep tegen te gaan adviseren de Amerikaanse en Britse autoriteiten organisaties om hyperlinks in e-mail helemaal uit te schakelen en externe e-mails van een banner te voorzien.
Alles bij de bron; Security
De wet op de inlichtingen en Veiligheidsdiensten, ook wel de sleepwet genoemd, bepaalt op welke manier de inlichtingendiensten kunnen zoeken naar data. Volgens Swillens zijn er drie jaar na de invoering op meerdere punten problemen ontstaan. Als oplossing pleit Swillens voor minder toezicht aan de voorkant en meer realtime toezicht tijdens de uitvoering.
De wet moet er ook voor zorgen dat de privacy van burgers wordt gegarandeerd als de diensten het internet afspeuren. Swillens geeft alleen aan dat op dit moment de MIVD nog geen toegang heeft tot de kabel. 'We zijn er na drie jaar nog niet in geslaagd om de wet zoals die is opgeschreven te vertalen naar de praktijk.' En dat is een probleem omdat 90 procent van al het internetverkeer hier doorheen gaat...
...In het cyberdomein spelen volgens Swillens drie zaken. 'Spionage, sabotage en als derde het ophalen van informatie om die te manipuleren en als desinformatie uit te brengen.'
De MIVD vindt dat veiligheid niet meer uitsluitend het domein is van Defensie of het ministerie van Buitenlandse Zaken. Swillens kijkt bijvoorbeeld ook naar het ministerie van Onderwijs. 'Je praat dan over de wetenschappelijke integriteit en de vrijheid om kennis te delen, ook daar kun je niet naïef in zijn.' Anderhalf jaar geleden bracht de MIVD naar buiten dat 80 Chinese studenten in Nederland promoveren die rechtstreeks te herleiden zijn tot de Chinese defensie-industrie of het Chinese Leger.
Alles bij de bron; BNR
De Europese privacytoezichthouder EDPS vindt dat het gebruik van de omstreden Pegasus-spyware in de Europese Unie verboden zou moeten worden. De spyware vormt een ongekend risico voor fundamentele rechten en vrijheden van individuen, maar kan ook democratie en de rechtsstaat aantasten...
...Gezien het risico dat Pegasus vormt voor fundamentele rechten en vrijheden van personen, maar ook democratie en rechtsorde, is het gebruik niet compatibel met democratische waarden. De EDPS pleit dan ook voor een verbod op het gebruik en de ontwikkeling van spyware die mogelijkheden van Pegasus heeft. Dat is volgens de toezichthouder de meest effectieve manier om fundamentele rechten en vrijheden te beschermen. Mochten er uitzonderlijke situaties zijn dat de spyware wordt ingezet noemt de EDPS een reeks maatregelen om onrechtmatig gebruik tegen te gaan (pdf).
Onlangs verschenen berichten dat de spyware ook in Polen en Hongarije was ingezet. Vorige week kondigde het Europees Parlement een onderzoek naar de Pegasus-spyware aan.
Alles bij de bron; Security
Apples spraakassistent Siri en de dictafoon-app hebben audio-opnames van iOS-gebruikers zonder toestemming opgeslagen en verstuurd naar Apple. Volgens het techbedrijf gaat het om een bug die inmiddels is verholpen. De ontvangen audio-opnames zijn verwijderd.
In 2019 ontstond er ophef omdat techbedrijven de audio die ze via hun spraakassistenten opnemen door mensen laten beluisteren. Ook Apple bleek dit te doen maar besloot deze werkwijze opt-in te maken. Gebruikers moeten zelf toestemming geven voor het laten beluisteren van hun audio.
In het geval gebruikers voor een opt-out kiezen wordt hun steminteractie met Siri en de dictafoon-app niet opgeslagen en gedeeld met Apple. Met de lancering van iOS 15 zorgde een bug ervoor dat de instelling bij een "klein deel" van de gebruikers die voor een opt-out hadden gekozen juist werd ingeschakeld, waardoor hun audio-opnames zonder toestemming naar Apple gingen. Het probleem is met iOS 15.2 verholpen, zo laat Apple weten. Alle audio die op deze manier werd verkregen is volgens Apple verwijderd.
Alles bij de bron; Security