Open brief aan Philippe van HackingTeam
Begin deze week bleek dat het Italiaanse HackingTeam gehackt is, waardoor er onder andere veel mailconversaties publiek zijn geworden, net als informatie over nog niet bekende zwakheden (`zerodays') in software en broncode van hun producten. Een van die e-mailgesprekken ging over de interesse
van de Nederlandse politie in de producten van HackingTeam. Hoog tijd om eens navraag te doen bij de schrijver van de mails aan de Nederlandse ambtenaren, de VP Business Development van HackingTeam.
Hee Philippe,
Alles goed? Vast een zware tijd nu even met die hack bij jullie. Dat een hacker misbruik kan maken van zwakheden in software om in te breken bij iemand gun je natuurlijk helemaal niemand. Zelfs niet bij een bedrijf dat zijn geld juist verdiend met het vinden en exploiteren van dat soort
zwakheden.
Maar even over iets anders. Mijn oog viel op een mail die je gestuurd hebt naar Nederlandse ambtenaren.
Wat blijkt: de Nederlandse overheid is geinteresseerd in jullie producten. Dat is niet verrassend: de Nederlandse regering heeft al jaren het plan om de Nederlandse politie de bevoegdheid te geven om in te breken op computers. Dan is daar natuurlijk ook malware voor nodig; daarom hebben jullie
ook een presentatie gepland die een paar dagen geleden zou plaatsvinden. Ik ben benieuwd of die is doorgegaan en of de Nederlandse politie tevreden was!
Over die presentatie gesproken. Jij zegt in de eerder genoemde mail iets interessants:
I'm convinced that there is a real need in the Netherlands for such a capability and that we will impress them :-).
Je moet weten: ik ben zelf ook een fan van smileys in mails, dus de zin had gelijk mijn interesse. Maar je bent er dus van overtuigd dat er in Nederland een noodzaak is om dit soort malware door de politie te laten gebruiken. Toen had je mijn aandacht helemaal, Philippe!
Want tot nu toe - en misschien wist je dat nog niet, maar je kunt dat bijvoorbeeld hier en hier nalezen - zijn wij nog helemaal niet zo overtuigd van de noodzaak om de politie computers te laten hacken. En als die noodzaak voor die bevoegdheid er niet is, dan is jullie product ook niet nodig
natuurlijk.
De regering is tot nu toe ook niet zo goed geweest in het uitleggen waarom die bevoegdheid zo hard nodig is. Kennelijk weet jij meer - zou je niet een tipje van de sluier kunnen oplichten? Dan kunnen we in Nederland een wat beter debat voeren over de noodzaak van dit soort bevoegdheden. En jij
hebt er ook wat aan: als die bevoegdheid er komt, dan zijn jullie een speler waar Nederland kennelijk in geinteresseerd is.
Ik hoor graag van je!
He tot slot nog een vraagje: vind je het ook niet opmerkelijk dat bedrijven wiens zwakheden jullie exploiteren tot nu toe nogal mild zijn naar jullie? Per slot van rekening: hun gebruikers, wij, hebben nu ook last van het feit dat jullie producten maken die profiteren van zwakheden in software
en die verder verkopen, in plaats van die zwakheden bij de betreffende bedrijven bekend te maken. Nu gebruiken we software die veiliger had kunnen zijn als jullie die zwakheden niet voor jullie klanten hadden gehouden.
Groetjes!
Ton