‘Britse autoriteiten kunnen net als FBI Exchange-servers opschonen’

‘Britse autoriteiten kunnen net als FBI Exchange-servers opschonen’

Britse autoriteiten kunnen (legaal) inbreken bij kwetsbare Exchange-servers om mogelijke malware te verwijderen. Daarmee zouden ze een vergelijkbare ingreep als de FBI kunnen nabootsen. Er zitten echter wel haken en ogen aan, dus de kans is klein dat een dergelijke actie daadwerkelijk uitgevoerd zou worden.

Afgelopen week bleek dat de FBI bezig is geweest om backdoors te verwijderen die door hackers op Exchange-servers waren geïnstalleerd. Dit deed de inlichtingendienst door zelf de servers te hacken en eventueel geïnstalleerde webshells te verwijderen. De inlichtingendienst heeft zich specifiek op één soort web shell gericht en ook verder geen patches geïnstalleerd om de kwetsbaarheden zelf op te lossen.

Gemengde gevoelens

Deze actie werd met gemengde gevoelens onthaald. Over het algemeen was men positief en wordt de ingreep gezien als een slimme inzet van de legale middelen waar de FBI over beschikt. Er bestaan echter ook wetten die zware straffen leggen op het inbreken op andermans apparatuur en daar schade toebrengen aan een communicatiesysteem. Zouden de Exchange-servers dus hinder ondervinden aan de operatie, dan zou daar lastige legale vraagstukken uit voortkomen.

Toch spelen meerdere mensen met het idee om de Britse veiligheidsdiensten een vergelijkbare ingreep te laten uitvoeren op kwetsbare Exchange-servers in het Verenigd Koninkrijk. Ciaran Martin, voormalig chef bij het Britse National Cyber Security Center, reageert enthousiast op het idee van de FBI op Twitter.

Legaal mogelijk

Techadvocaat Neil Brown vertelt aan The Register dat Britse veiligheidsdiensten op basis van een bevel het idee van de FBI binnen hun eigen grenzen kunnen uitvoeren. Hiervoor moet een minister aangeven dat het verwijderen van de malware nodig is voor de gezondheid van de Britse economie. Ook moet er voorzichtig omgegaan worden met de servers om te voorkomen dat de ingreep leidt tot schade of downtime. Daarmee zouden immers de eerdergenoemde wetten op het inbreken van apparatuur worden overtreden.

NCSC maakt niet van de kans gebruik

Technisch is het voor de NCSC dus ook mogelijk om zelf in te grijpen bij kwetsbare servers, maar de dienst vertelt besloten te hebben dit niet te doen. “Het NCSC heeft zijn uiterste best gedaan om eigenaren van kwetsbare en aangetaste Exchange-servers te ondersteunen bij het verwijderen van webshells, onder meer door samen te werken met partners en ze proactief te proberen te bereiken.” Verder adviseert de instantie om altijd bij te blijven met de laatste veiligheidsupdates.