Nederlandse politie bevriest IP-toegang DNS-bende

De Nederlandse politie heeft een cruciale rol gespeeld in het oprollen van een groot malafide DNS-netwerk, meldde Webwereld gisteren. RIPE verklaart een bevel te hebben gehad om van 8 november tot 22 maart volgend jaar deze DNS entriesIP-adressen niet te mogen wijzigen. Hiermee heeft het KLPD zo te lezen weer een botnet overgenomen, want Ronald Prins van Fox-IT meldt bij Webwereld: “De DNS-servers draaiden op bepaalde ip-adressen. Nu zijn die vervangen door servers van de politie zelf.”

In Nederland geldt de regel dat de politie alleen bevelen mag geven als die gebaseerd zijn op een bevoegdheid uit het wetboek van strafrecht. Men mag dus niet zomaar gegevens vorderen, vernietigen of aftappen. Voor elke vordering moet een grondslag aangewezen zijn, en natuurlijk moet aan de eisen uit de wet voldaan zijn. Vragen staat dus niet vrij voor de politie.

Wat is hier dan de wettelijke grondslag? Het KLPD is zeer creatief in het toepassen van de wet bij ICT-problemen. Op zich lovenswaardig, zolang ze maar binnen de wet blijven. En het zou leuk zijn als het KLPD in haar persberichten dan ook zou melden welk wetsartikel ze gebruiken. Nu moeten we maar raden wat het zou kunnen zijn.

Ik kan twee opties bedenken:

  1. Artikel 126k: betreden van een besloten plaats om daar “sporen veilig te stellen”. In dit geval zijn de DNS entries dan de sporen, en het bevriezen door RIPE is een vorm van veiligstellen. Dat voelt niet helemaal kloppend, dit artikel is bedoeld om een plaats te betreden die met een misdrijf te maken heeft.
  2. Artikel 126ni (ni!): het bewaren en beschikbaar houden van gegevens “waarvan redelijkerwijs kan worden aangenomen dat zij in het bijzonder vatbaar zijn voor verlies of wijziging”. DNS entries voldoen daar wel aan. Alleen, men mag ze hooguit 90 dagen bewaren en 8 november + 90 dagen is bij mij geen 22 maart. Verlengen is mogelijk, zo staat in het laatste lid, maar om nu meteen vanaf dag 1 er een verlenging tegenaan te gooien?

Eigenlijk zouden dit soort zaken eens moeten worden aangevochten bij de rechter, zodat we jurisprudentie krijgen over welke cyberbevoegdheden de politie heeft. Maar ja, een botnetbeheerder gaat echt niet naar Nederland komen om te procederen over artikel 126ni Wetboek van Strafrecht.

Arnoud

27 reacties

  1. “RIPE verklaart een bevel te hebben gehad om van 8 november tot 22 maart volgend jaar deze DNS entries niet te mogen wijzigen.”

    Het gaat hier niet om het vasthouden van DNS entries maar van IP range toewijzingen.

  2. Politie is ook al jaren creatief met opvragen van allerlei gegevens. Verkeerde artikelnummers op vorderingen, ondertekend door verkeerde functionarissen, geen contactgegevens voor aanlevering en als je ze daarop aanspreekt dan geven ze 7 van de 10 keer niet thuis. ‘U levert maar gewoon aan en schrijft maar een briefje’.

    Er staat ook altijd een mooi adres voor declaraties op zo’n vordering. Dat staat er ook voor de show, want ze vergoeden niets.

    Ja, ik ben deels persoonlijk gefrustreerd en deels is het al jaren zo duidelijk dat politie / OM / overheid en ICT gewoon niet samengaan dat ik niet snap dat er nou niemand opstaat die daar iets aan gaan /kan / wil doen!

  3. Wellicht toeval, Bits of Freedom berichte eerder deze week over de legitimiteit van acties van het KLPD en het OM in een andere zaak. Bits of Freedom was -zoals altijd- vrij kritisch. Om eerlijk te zijn ben ik voorzichtig positief over deze twee zaken. Wat voor mij het meest in het oog springt is dat de politie en het OM technische kennis van zaken lijken te hebben in deze zaken en bereid zijn verder te denken dan hun neus lang is. Ik heb het gevoel dat dat in het verleden wel een anders is geweest.

    Arnoud heeft gelijk dat deze creativiteit wel een wettelijke basis dient te hebben, maar de acties zelf lijken mij niet verkeerd.

  4. Daar heb je gelijk in. Maar e.e.a. is op last van een rechtshulpverzoek, dus je zou ook kunnen kijken of er in het cybercrimeverdag een aanwijzing staat. (rechtshulpverzoeken zijn vaak ‘us vraagt’ ‘wij draaien’)

    De ratio ontgaat me trouwens om dit ueberhaupt bij RIPE te doen.

    De periode duurt 135 dagen(1), ook al een vreemd aantal .. (1) http://www.berekenhet.nl/modules/vakantie/periode-tussen-twee-datums.html

  5. @13, de RIPE NCC is de organisatie die IP adressen verdeelt over netwerkbeheerders (providers) in Europa. Omdat ze toch al bijhouden welke adressen aan welke providers zijn toegekend, is het niet zo moeilijk om adressen te blokkeren en te voorkomen dat ze opeens naar een ander datacenter gerouteerd worden.

    Arnoud, een botnetbeheerder zal niet snel naar de rechter stappen. Het is een kwestie van tijd tot er een keer als bijvangst een legale internetsite betrokken wordt bij zo’n bevriezing/inbeslagname. Dan krijgen we een leuke rechtszaak.

  6. Artikel 2 Politiewet:

    De politie heeft tot taak in ondergeschiktheid aan het bevoegde gezag en in overeenstemming met de geldende rechtsregels te zorgen voor de daadwerkelijke handhaving van de rechtsorde en het verlenen van hulp aan hen die deze behoeven.

    Als ik dit naast het “Bevel van 8 november” leg, neemt de KLPD wel hele grote stappen met haar bevel. Artikel 2 lijkt mij geen fundament om een bevel van een buitenlandse onderzoeksrechter in Nederland ten uitvoer te brengen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.