Update (reactie Fox-IT): Fox-IT onder vuur voor aanbieden spionagesoftware in Midden-Oosten

Abonneer je gratis op Techzine!

Securitybedrijf Fox-IT is in verlegenheid gebracht nu aan het licht is gekomen dat het zaken wilde doen met regiems in het Midden-Oosten. Dat niet alleen: het heeft actief software voor inlichtingendiensten aangeboden aan deze regiems. Het gaat om een tijdsperiode van 2007 tot 2011.

Origineel

Follow The Money schrijft dat Fox-IT in een periode waarin volledig bekend was dat deze regiems mensen zoals politieke tegenstanders onderdrukten. Fox-IT raadde regiems in die periode Fort Fox Datadiode en FoxReplay Analist aan. Deze softwarepakketten kunnen vallen onder spionagesoftware. Datadiode zorgt dat netwerkverkeer niet in twee richtingen kan gaan, maar slechts in één richting. Hierdoor kunnen beveiligde servers niet digitaal worden aangevallen. FoxReplay Analyst gaat meer om analyse, want hiermee kan real-time dataverkeer worden geanalyseerd. 

Fox-IT

Fox-IT maakt FoxReplay Analyst of Fort Fox Datadiode alleen beschikbaar voor overheden. Hoewel Fox-IT een Nederlands bedrijf is, biedt het zijn software ook aan buiten de grenzen. Dat dat ver buiten de grenzen gaat, blijkt nu uit het onderzoek van Follow The Money. Het gebruikte tussen 2007 en 2011 de reseller Advanced German Technology om bijvoorbeeld overheden in Egypte, Syrië en Saoedi-Arabië te verleiden zijn software te kopen. De familie van Bashar al-Assad bijvoorbeeld, bleek wel interesse te hebben. Bashar al-Assad is de president van Syrië die enorm veel geweld gebruikt tegen opstanden in zijn land.

Fox-IT heeft gereageerd op de aantijgingen van Follow The Money. Het geeft aan dat het geen FoxReplay Analyst heeft verkocht in het Midden-Oosten. Follow The Money meent echter dat Fox-IT-oprichter Ronald Prins en ontwerper van de software Bert Hubert dit wel hebben geprobeerd. Prins was lid van de Toetsingscommissie Inzet Bevoegdheden (TIB), die controleert of de geheime dienst zich aan de regels hield. De AIVD gebruikt namelijk software die lijkt op FoxReplay Analyst, met als doel grote hoeveelheden internetverkeer te analyseren en exact de computeractiviteiten van iemand te repliceren. Inmiddels heeft Hubert hem daar opgevolgd. 

Hoewel het ene softwarepakket volgens Fox-IT niet is verkocht in het Midden-Oosten, is Fort Dox Datadiode dat wel. Het is afwachten hoe dit verhaal zich verder ontvouwt.

Update: reactie Fox-IT

Naar aanleiding van de berichtgeving deelde Fox-IT (Managing Director Inge Bryan) een statement met ons. Hieronder één op één het statement. Daarna het originele artikel.

“De afgelopen dagen zijn op Follow the Money (FTM) twee artikelen verschenen over de pogingen die Fox-IT meer dan tien jaar geleden zou hebben ondernomen om surveillance-software te verkopen aan kwalijke regimes in het Midden-Oosten. Het tweeluik is gebaseerd op eigen onderzoek van FTM en op onderzoek van Buro Jansen & Janssen, dat over hetzelfde onderwerp in het verleden al eens heeft gepubliceerd.

In de loop der jaren heeft Fox-IT herhaaldelijk aangegeven géén surveillance-software te hebben geleverd aan bedenkelijke regimes. Dat wordt weliswaar ook in de artikelen van FTM gezegd, maar de suggestie wordt gewekt dat Fox-IT alleen al vanwege de pogingen een morele grens heeft overschreden.

Het Fox-IT van vandaag is echt een ander bedrijf dan meer dan een decennium geleden en heeft ook een andere directie. Sinds Fox-IT de surveillance-software tien jaar geleden van de hand heeft gedaan, hebben we dergelijke software niet meer verkocht en ook niet ontwikkeld.

Fox-IT heeft bovendien al jaren een ethische commissie om te voorkomen dat we, zelfs als de wet het toestaat, leveren aan landen waar onze producten gebruikt kunnen worden tegen vrijheid en democratie.

Na ons aantreden begin dit jaar bij Fox-IT, heb ik samen met Harmen Dikkers, directeur van Fox Crypto, het exportbeleid van Fox-IT verder aangescherpt en geformaliseerd. Niet alleen om te voorkomen dat we een juridische grens overschrijden, maar om te voorkomen dat we ook maar in de buurt van de morele grens komen. Dit betekent dat ons beleid veel strenger is dan het exportbeleid van de Nederlandse overheid, zoals ik enkele weken geleden ook heb gezegd in een interview met het FD.

Voor ons exportbeleid hanteren we de lijst van Freedom House. Wij leveren onder geen beding aan de onvrije landen op deze lijst. Aan landen die partly free zijn leveren we alleen defensieve middelen (zoals de DataDiode) en dan alleen aan vitale sectoren die de bevolking dienen zoals waterzuivering, elektriciteitsvoorziening en gezondheidszorg, maar uitdrukkelijk niet aan defensieorganisaties of telecombedrijven.”