Overheid wil verdachten cybercrime kunnen hacken

De overheid wil bij verdenking van ernstige cybercrime-misdrijven op afstand een computer kunnen binnendringen, las ik bij Tweakers. De huidige wetgeving is verouderd, aldus minister Opstelten. Ze gaan er vanuit dat je gewoon de serverruimte binnen kunt lopen en de computer kunt afkoppelen en doorzoeken, en dat geldt vandaag de dag met cloud en SaaS en hype niet meer. Er moet dus meer ruimte komen voor opsporingsambtenaren< om binnen te dringen in computers elders ter wereld, en om met aftapsoftware op afstand waar te nemen wat daar gebeurt.

Op grond van de huidige wet (art. 125i Sv) mag men computers doorzoeken. Maar dat is nadrukkelijk alleen bedoeld voor situaties dat je fysiek in het datacenter bent. Er is dus een lacune in de wet als de computer fysiek op een onbekende plaats is, terwijl je een redelijke verdenking hebt dat daar gegevens staan die op een ernstig misdrijf wijzen. Dan moet je, aldus de minister, toch op afstand daar kunnen binnendringen en doorzoeken of aftappen wat daar gebeurt.

De minister voorziet meteen een wapenwedloop:

Criminelen weten dat de politie probeert om toegang te krijgen tot hun netwerken en gegevens en treffen daartegen maatregelen. Doorgaans worden de desbetreffende gegevens snel over het internet (wereldwijd) verplaatst c.q. de paden daartoe aangepast. Ook worden door criminele groeperingen dikwijls maatregelen getroffen om vast te stellen of derden, waaronder de politie, proberen zich toegang te verschaffen tot hun bestanden. Indien zij dergelijke signalen opvangen of vermoeden verplaatsen zij hun bestanden zo snel mogelijk en schuwen niet om indringers met digitale middelen te bestrijden.

En met dat verplaatsen is het risico reëel dat er ineens servers in een ver buitenland worden ingezet. Dat is een juridisch probleem, want onze politie mag alleen in Nederland optreden. Bij buitenlandse servers moet er een rechtshulpverzoek worden gedaan, maar dat kost natuurlijk tijd. Plus, bij wie moet je zijn als je de fysieke locatie van de server niet kunt achterhalen? Daarom stelt de minister een constructie voor waarbij men bij een onbekende serverlocatie mág hacken en gegevens ophalen. Is de locatie bekend, dan alsnog rechtshulpverzoek.

Ook een nieuwe gewenste bevoegdheid is het op afstand ontoegankelijk maken van gegevens. Stel je bent als agent binnengedrongen in een computernetwerk ergens diep in een duister stukje van de cloud (een regenwolk? sorry, flauw) en je treft daar strafbare gegevens aan. Dan moet je die toch kunnen wissen, is de gedachte. De Robert M-affaire en de via hem op TOR aangetroffen kinderporno is de situatie die moet bewijzen dat het op afstand wissen bij elk ernstig misdrijf gerechtvaardigd is.

Verder wordt het helen van digitale gegevens strafbaar. Gestolen persoonsgegevens of gekraakte creditcardgegevens in je bezit hebben is nu niet aan te pakken; pas het gebruik daarvan kan als fraude, oplichting of iets dergelijks worden vervolgd. Het deed me denken aan het onzalige plan van Hirsch Ballin als reactie op de Manon Thomas-zaak, waarin bleek dat het verspreiden van gestolen foto’s niet strafbaar was. Ik hoop dat dát buiten scope blijft.

De bevoegdheden kunnen niet zomaar worden ingezet: de machtiging van de rechter-commissaris zal elke keer nodig zijn, en het moet gaan om ernstige misdrijven (kort gezegd: minstens vier jaar cel). Dat dekt dus precies de drie ruiters en de voetganger van de Internetapocalyps: terrorisme, kinderporno, drugshandel en inbreuk op auteursrechten.

Ook is natuurlijk proces-verbaal opmaken verplicht, en moet alles worden gelogd en bewaard zodat dit achteraf raadpleegbaar is. Hopelijk ook door geïnteresseerde derden – maar de krampachtige houding bij inzage in tapgegevens belooft niet veel goeds.

Tsja, pfoe. Ik snáp het wel, en ik zou ook niet weten wat je anders moet doen als je alleen een serveradres hebt en je wéét dat daar strafbare zaken gebeuren. Maar het klínkt gewoon eng, een inbraakbevoegdheid. En er kan natuurlijk aardig wat misgaan: wat als je de verkeerde server hackt (of wist?), of wat als je achterdeurtje exploiteerbaar blijkt door criminelen?

Arnoud

12 reacties

  1. En 98% van door criminelen gebruikte “servers” zijn bots in een botnet. Alhoewel op spam staat geen 4 jaar dus dat valt buiten scope?

    “Dat dekt dus precies de drie ruiters en de voetganger van de Internetapocalyps: terrorisme, kinderporno, drugshandel en inbreuk op auteursrechten.” En het blijft een schande dat een cd’tje dupliceren in de zelfde zin staat als met een bom een bar in lopen.

  2. Ik acht het totaal kansloos. Tenzij de overheid mensen in dienst neemt die een virus van het kaliber stuxnet of flame kunnen schrijven is het een onbegonnen zaak. Degene die ze willen vangen zijn van een dusdanig niveau dat alleen de echte hackers heel misschien daar wat tegen kunnen beginnen. Zoals je zelf al zegt is het buitenland een probleem, voor je het weet heb je een internationaal incident waarbij er per ongeluk een server in Noord-Korea of China gehacked wordt.

    En dan vind ik dit persoonlijk nog 1 van de engste ‘ inbreuk op auteursrechten’, voor je het weet gaan we 14 jarige hacken die de discografie van Metallica hebben gedownload en daar is het middel veel te zwaar voor (daar staat geen 4 jaar op gok ik, maar brein/buma/sena en consorten zullen het vast zo draaien dat het veel erger lijkt). Ik snap dat ze iets willen hebben om het mee te doen maar het is een hele gevaarlijk glijdende schaal die binnen de korste keren wordt misbruikt door de copyright lobby. En als er 1 industrie is die al veel te veel macht heeft dan is het die wel.

  3. BREIN staat al te likkebaarden bij de gedachte dat (particuliere) uploaders dadelijk keihard afgesloten kunnen worden door hun torrent-clients massaal te kraken. Een van de meest populaire clients (Vuze) gebruikt Java, en we weten allemaal hoe whack Java’s beveiliging is.

    Leuk plaatje trouwens 🙂

  4. Ik vind het ook een kansloos initiatief omdat criminelen gewoon een cloud-oplossing gaan gebruiken van bots in een botnet. Met 100.000 gehackte computers wereldwijd en wat extra software kun je zo een mooi netwerk opzetten dat lastig te hacken is. Je hebt dan geen andere keuze dan dat je inzage moet krijgen in het protocol dat door het botnet wordt gebruikt zodat je je eigen commando’s kunt sturen.

    Maar een groter risico vind ik dat justitie dan mogelijk voor bepaalde kleine overtredingen de strafmaat gaat aanpassen zodat ze zwaar genoeg worden om onder deze “mag worden gehackt” regel te vallen. Of dat personen niet alleen voor een kleine overtreding worden aangepakt maar dat men er ook even een grote overtreding bij bedenkt om zo weer toegang te kunnen krijgen. Die grote overtreding-aanklacht kan later dan weer vervallen maar het bewijs is dan wel binnen.

    Dus als het kon zie ik dat er justitieel misbruik van gemaakt kan worden…

    En dan denk ik nog niet aan hoe landen zoals Syrie, Iran, Egypte en Noord-Korea het Internet binnen hun grensen proberen te controleren…

  5. Als ik het goed begrijp is dan dus het enige verschil tussen criminele hackers en de hackende overheid het feit dat de overheid wetten mag maken waarmee zij de handen in onschuld kan wassen: ‘We hebben een wet waarin staat dat wij dit mogen doen.’. O ja, nog een verschil is dat de overheid ’toestemming’ moet hebben van een rechter-commissaris voor zij overgaat tot het hacken van computers. Nu is die toestemming vrij snel te krijgen (de rechter-commissaris is natuurlijk ook afhankelijk van hetgeen hem/haar vertelt wordt), maar belangrijker is dat deze aanpassing van de wet nu nog toetsing verplicht stelt. Ik verwacht dat het dan niet al te lang zal duren voordat deze toetsing er ook uit gaat en dan is het einde zoek. En toestemming achteraf is ook niet ondenkbaar…zie hier een mooi voorbeeld http://www.nationaleombudsman.nl/rapporten/2007/178 waarin de officier van justitie achteraf, en ten onrechte, toestemming verleende voor aanhouding.

    Een ander probleem is dat wanneer de hackers van de overheid overgaan tot het wissen van bestanden, zij bewijs vernietigen. Op het moment dat een bestand met belastende gegevens wordt gewist, is er voor de overheid geen mogelijkheid meer om te bewijzen dat de eigenaar van het bestand strafbaar bezig was. Het ontoegankelijk maken van een belastend bestand zou inderdaad een mogelijkheid zijn. Helaas is dat een signaal naar de verdachte (die ineens niet meer bij zijn bestand(en) kan), en ik kan mij zo voorstellen dat de verdachte dan meteen zijn heil elders zoekt, hetzij digitaal, hetzij fysiek.

    En wie is er aansprakelijk voor de (financiële) gevolgen als er per ongeluk een verkeerde server gehacked en gewist/ontoegankelijk gemaakt wordt? Ik denk dat de onfortuinlijke eigenaar dan tevergeefs bij de overheid aan kan kloppen. Als er aan de kant van de overheid geen log bestaat over de acties op de verkeerde server/computer, wie zal dan de getroffen eigenaar van die server/computer geloven? Ik weet uit eigen ervaring dat het vrij eenvoudig is om een log of delen daarvan te wissen, of dat nu echte bestanden betreft, of logging in een database.

    Een belangrijk aspect is dat als de overheid overgaat tot het legaal hacken, zij moet inzien dat de log(bestanden) waarin alle acties voor een betreffende zaak zijn/worden vastgelegd onderdeel worden van het bewijsmateriaal. Geen logs, geen zaak. Ik vraag mij af of zij zo ver zullen gaan om dat verplicht te stellen.

    Kortom, ik ben het met @Mike eens dat het voorstel kansloos zou moeten zijn. Te veel mogelijkheden voor fouten waarbij de overheid niet aansprakelijk kan zijn voor de gemaakte fouten, en daarmee een verdachte de kans op een eerlijk proces drastisch beperkt. Ook de mogelijkheden tot misbruik of ‘gebruik’ door derden is reëel. De rel omtrent de spyware die door de Duitse politie gebruikt werd toont aan dat er erg kortzichtig met beveiliging wordt/werd omgesprongen; ik weet niet of de spyware door anderen misbruikt werd, maar het bleek bijzonder eenvoudig om mee te liften op die spyware. Helaas ben ik er ook van overtuigd dat onze overheid zich door dat soort futiliteiten niet laat weerhouden van het aannemen van een dergelijk voorstel…

  6. “…terrorisme”

    Is terrorismebestrijding niet het terrein van de MIVD, en heeft die niet al de nodige bevoegdheden?

    “kinderporno”

    Ik vraag me af wat de politie opschiet met het hacken van een server waar kinderporno op staat. Kan men daarmee strafbare feiten bewijzen?

    “drugshandel”

    Hebben we het hier over een soort digitale drugs? Een CAD-tekening van methamfetamine?

    “en inbreuk op auteursrechten.”

    Ah, nu komt de aap uit de mouw. Nu mogen auteursrechthebbenden dus onder het toeziend oog van meneer agent (diploma basiscursus Word) een server hacken om te achterhalen wat daar allemaal voor leuks op staat.

  7. Het lijkt me wel lollig. De Nederlandse overheid zegt dat haar wetshandhavers mogen gaan hacken op buitenlandse computers zonder dat daar een buitenlands rechtshulpverzoek voor nodig is. Ik zie het al gebeuren dat de advocaat van een verdachte tegen wie op deze manier bewijs is verzameld in het desbetreffende buitenland aangifte gaat doen van computervredebreuk (of wat de term ook mag zijn). Voor je het weet kan de hele cybersquad van de Nederlandse politie alleen nog op vakantie naar de Veluwe of de waddeneilanden want als ze de grens over gaan lopen ze het risico opgepakt te worden. Of een vleigtuig van KLM op weg naar de VS wordt gedwongen rechtsomkeert te maken om dat er een verdachte cyberterrorist aan boord is die de VS niet op haar grondgebied wil hebben. Weer lekker doordacht van onze oppersheriff Opstelten.

    Misschien wordt het tijd dat we inzien dat om internationale misdaad aan te pakken we een internationale organisatie nodig hebben. Maar dat betekent dan wel dat we een stukje van onze nationale soevereiniteit op moeten geven.

  8. Ik snap het wel, maar er zijn twee argumenten om dit absoluut niet te willen.

    1. Stel de Nederlandse politie mag met toestemming van een Nederlandse rechter-commissaris een server in China hacken. Mag dan de Chinese politie met toestemming van een Chinese rechter-commissaris ook legaal een server in Nederland hacken. Nee, dank u wel.

    2. Dit gaat een stuk verder dan een gewone huiszoeking. Het is ongezien (bij een huiszoeking wordt je op de hoogte gesteld), er mogen keyloggers geïnstalleerd worden (wat het tot surveilance maakt, ipv huiszoeking), en er mogen bestanden gewist worden (wat neem ik aan bij huiszoeking niet mag)

    Zoals Bastiaan (#6) schrijft zijn er al voldoende mogelijkheden voor het hacken van servers in handen van criminelen.

    Waar volgens mij nog onvoldoende mogelijkheden voor zijn is om criminelen te stoppen die botnets gebruiken. Ik zie daardoor meer in een voorstel waarbij de politie het recht heeft met kennisgeving aan de eigenaar specifieke bestanden te wissen op botnets, of een backdoor te sluiten. Nu mag de politie niet zomaar een botnet overnemen of opheffen.

  9. Vraagje: Als je de lokale computer van de NL crimineel hackt dan kun je toch genoeg bewijs verzamelen, dan hoef je toch niet te weten waar de zooi precies staat? @8/2 Dat het verder gaat dan een gewone huiszoeking zal wel moeten. De wat serieuzere criminelen nemen bij aankondiging maatregelen waardoor er niets meer te vinden is. Een telefoontap wordt toch ook niet aangekondigd?

  10. Ik zie dit niet zitten. Maar de grootste schande is het legaal mogen wissen van bestanden. Eerste wat in me opkomt als je ontdekt dat er bestanden gewist zijn is dat je bij een zaak bij de rechter roept dat je je niet goed kan verdedigen omdat politie/justitie bestanden heeft gewist.

    Dat is hetzelfde verhaal als die Mega-soap … Amerikaanse justitie wil selectief bestanden als bewijs gebruiken en de rest wordt niet beschikbaar gemaakt. Daar wordt dus ook al geroepen dat het de verdediging schaadt. MU wil substantieel legaal gebruik aantonen. Probeer dat maar eens te doen als justitie alles wist behalve wat ze als bewijs willen gebruiken …

  11. Er valt wat voor te zeggen om hacken te legaliseren, maar ik zie niet in waarom de overheid daarbij meer bevoegdheden zou mogen krijgen dan anderen. Is de gedachte soms dat de overheid op een meer integere manier met die bevoegdheid om zou gaan dan anderen? Zo ja, waar blijkt dat dan uit? Volgens mij ligt de bewijslast daarvoor bij de overheid, maar de bijbehorende transparantie is voorlopig ver te zoeken. Aan de andere kant: als andere organisaties kunnen aantonen dat ze aan de zelfde integriteitsnormen voldoen, zouden ze ook moeten kunnen hacken. Voor journalistieke doeleinden bijvoorbeeld.

    Voorlopig houd ik het erop dat de overheid zich verlaagt tot het niveau van criminelen. Dit is een nieuw voorbeeld van een overeenkomst tussen de overheid en criminele organisaties; wie beweert dat de overheid zich beter gedraagt, zal dat aan moeten tonen.

    Ik denk dat het nu nog belangrijker zal worden om je computerbeveiliging op orde te hebben. Dit geldt voor individuen, bedrijven, en ook overheden zelf. Het internet is al een slagveld voor hackers, maar nu krijg je als internetter ook nog te maken met alle overheden van de wereld. Erger nog: overheden hebben nu een motief om de computerbeveiliging van anderen niet waterdicht te houden, dus beveiligingsadvies van overheden wordt nu ook verdacht.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.