FBI erkent zero-day kwetsbaarheden te gebruiken

De Amerikaanse FBI geeft toe zero-day kwetsbaarheden te gebruiken om mensen online te kunnen bespioneren. Het is voor het eerst dat een Amerikaanse overheidsinstantie toegeeft hiervan gebruik te maken.

Dit blijkt uit een interview van Amy Hess, executive assistant director for science and technology bij de FBI, met de Washington Post. Hess noemt de methode minder betrouwbaar dan een traditionele tap. Daarnaast zou de FBI tegen ethische vraagstukken aanlopen rond het gebruik van zero-day kwetsbaarheden. Zo noemt Hess het vinden van een balans tussen het kunnen volgen van verdachten en het melden van kwetsbaarheden zodat deze kunnen worden gedicht een constante uitdaging.

Gebruik van zero-day kwetsbaarheden is onbetrouwbaar

Verdachten aftappen met behulp van een zero-day kwetsbaarheid is volgens Hess geen populair middel, vooral door de onbetrouwbaarheid hiervan. Een dergelijke kwetsbaarheid kan op ieder moment worden ontdekt door een fabrikant, die dit lek vervolgens dicht. Zodra het lek is gedicht wordt de tool onbruikbaar en kan de FBI niet meer meekijken op apparaten van verdachten. De voorkeur van de FBI zou daarom nog steeds uitgaan naar het plaatsen van een traditionele tap.

Hess stelt in het interview ook dat de samenwerking met het bedrijfsleven door de onthullingen van NSA klokkenluider Edward Snowden in 2013 forse schade heeft opgelopen. Veel bedrijven zouden aanzienlijk minder bereid zijn opsporingsinstanties te helpen, vooral uit angst voor reputatieschade. Inmiddels zou de relatie met het bedrijfsleven wel weer zijn verbeterd, maar nog lang niet op het niveau zijn van voor de onthullingen van Snowden.