Wetsvoorstel computercriminaliteit: terughackbevoegdheid, webcammeekijkrecht, decryptiebevel en wereldwijde rechtsmacht bij cybercrime

team-high-tech-crimeMinister van Veiligheid en Justitie Ivo Opstelten wil de politie de mogelijkheid geven om fors in te grijpen tegen hackers, meldde NRC en vele andere media. In een nieuw wetsvoorstel tegen cybercrime stelt hij voor de politie een terughackbevoegdheid en een webcamgluurrecht te geven. Oh ja, en weigeren je wachtwoord te geven wordt strafbaar.

Het wetsvoorstel bevat een al lang liggend verlanglijstje van Justitie om meer bevoegdheden te krijgen. Zo wordt het apart strafbaar gesteld om gegevens te ‘helen’, oftewel gegevens over te nemen die niet openbaar zijn. Dit naar aanleiding van de Manon Thomas-zaak, waarin er strafrechtelijk weinig te doen was tegen de publicatie van via computervredebreuk verkregen privéfoto’s van de bekende Nederlandse. Dat kan nu wel – een jaar cel – maar “overnemen van niet-openbare gegevens” is gelijk wel een pondje zwaarder dan “publicatie van gevoelige privégegevens”.

De gegevens hoeven niet via computervredebreuk verkregen te zijn. Een laptop ouderwets jatten en dan de inhoud op pastebin zetten is ook strafbaar als dit wet wordt. Netjes is wel dat er een expliciete uitzondering is opgenomen voor serieuze journalistiek:

Niet strafbaar is degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang bekendmaking van de gegevens vereiste.

Het decryptiebevel. Tsja. Zoals de minister zelf al zegt:

De verdachte kan zich erop beroepen niet in staat te zijn aan het bevel te voldoen omdat hij niet in staat is de sleutel te reproduceren.
Dat levert dan overmacht op, waardoor hij niet strafbaar is. Maar de rechter mag wel zijn conclusies trekken over hoe geloofwaardig dit overkomt en wat dat betekent voor de rest van het bewijs. Opmerkelijk is nog dat het bevel alleen gegeven mag worden bij terrorisme en kinderporno, want dan durft niemand er tegen te zijn.

Verder wordt de gerechtelijke toets bij weghaalbevelen voor tussenpersonen (zoals hostingpartijen) toch niet geschrapt. Wel wordt de regeling herschreven maar voor zover ik kan zien, is dat vooral een verduidelijking. De belangrijkste aanvulling is dat er nu eindelijk een klachtmogelijkheid is tegen een dergelijk bevel.

Meest controversieel is toch wel de hackbevoegdheden die Justitie gaat krijgen onder dit wetsvoorstel. Men mag binnendringen in een computer, router of cloudserver waar de verdachte gebruik van maakt (ja, ook als hij niet de enige is) en deze “onderzoeken” om vast te stellen wie de eigenaar is of waar het apparaat staat. Maar ook alle gegevens overnemen “die noodzakelijk zijn om de waarheid aan het licht te brengen” – de wettelijke definitie van “bewijs vergaren”. Wel moet sprake zijn van een ernstig delict, en er moet toestemming zijn van de rechter-commissaris.

Hiermee mag dus ook de cloud gehackt worden – en neemt Nederland dus rechtsmacht aan voor alle cloudservers waar ze bij kunnen.

Aangenomen wordt dat bevoegdheden als de ontoegankelijkmaking of het veiligstellen van gegevens tot de eigen territoriale beschikkingsmacht behoort voor zover de Nederlandse strafwet toepasselijk is op het strafbare feit dat wordt opgespoord. De noodzaak tot onverwijld optreden maakt dit onvermijdelijk en ook volkenrechtelijk goed verdedigbaar. Dit betekent dat wanneer de plaats van opslag van de gegevens niet bekend is, zelfstandig kan worden opgetreden.

En wij maar piepen als de FBI gaat datagraaien in Europese computers onder hun Patriot Act.

Met een apart bevel mag men ook communicatie aftappen, vertrouwelijke communicatie opnemen en de verdachte stelselmatige observeren – inderdaad, de politie mag dan je webcam stiekem aanzetten en meekijken. Hiervoor komt een aanvulling op het Besluit technische hulpmiddelen strafvordering, waarin nu al staat wanneer de politie met richtmicrofoons of camera’s mag afluisteren of meekijken.

De hiervoor te gebruiken software lijkt nog te moeten worden ontwikkeld:

De softwareapplicatie dient te zijn gecertificeerd. De eisen voor de certificatie worden neergelegd in het Besluit technische hulpmiddelen strafvordering. Dit brengt met zich mee dat de mogelijkheid bestaat om technische hulpmiddelen van verschillende leveranciers te betrekken, op voorwaarde dat deze middelen aan de wettelijke eisen voldoen.

Harde eis: In het geval dat de software wordt herkend, is het van essentieel belang dat deze niet te herleiden is tot de politie. Eh.

Arnoud

55 reacties

  1. Nouja, gelukkig hebben we het laten hacken van onze systemen door de overheid deels zelf in de hand. Naast de standaard bots, verveelde tieners en spammers moeten we onze systemen ook beveiligen tegen een graaiende overheid.

    Het verplichten tot het geven van een wachtwoord / sleutel vind ik zorgwekkender. Ik dacht dat je hier in Nederland niet hoefde mee te werken aan je eigen veroordeling, of haal ik nu het Amerikaanse recht en het Nederlandse recht door elkaar?

      1. Mijn sleutel stond een tijd op een USB stick. Zonder de stick kon ik niet nij de schijf. Inmiddels heb ik een nieuwe computer. De data is overgezet en nu gebruik ik geen stick meer. Die is dus gewist, maar die.oude harddisk ligt nog wel thuis en is niet gewist. Dan zou dus zo’n digibete rechter moeten bepalen of dat geloofwaardig is? BTW ik heb het encrypted omdat er belasting en financiele gegevens op staan en soms werk gegevens. Vooral dat laatste is economisch erg gevoelige info die ik moet beveiligen.

        1. Jammer dat er blijkbaar een klimaat ontstaat waarbij mensen de noodzaak voelen om hun volstrekt legitieme en legale gebruik van encryptie te verdedigen. “Het is echt geen terrorisme/kinderporno hoor!”

      2. Deze stelling is logisch equivalent aan dat recht bestaat absoluut niet… Schandalig hoe men (uit onmacht of onkunde) steeds meer gaat tornen aan de basisprincipes van de rechtstaat, en daarmee de hele rechtstaat de facto opheft, want die basisprincipes zijn er niet om de criminelen te beschermen, maar de rechtstaat zelf.

        Voor mensen die iets uit de ogen van justitie willen houden blijven de nodige middelen beschikbaar, maar dit soort uitbreidingen van bevoegdheden, gecombineerd met steeds meer “slachtofferloze” misdaden, zoals het bezit van bepaalde informatie (die dus heel makkelijk op ongewenste partijen te plaatsen zijn) maken misbruik door autoriteiten tegen politieke tegenstanders (of puur om doelstellingen te halen) wel heel makkelijk.

        Uiterst verwerpelijk wetsvoorstel dus…

        1. Rechtsbeginselen zijn geen axioma’s, alles in het recht is vatbaar voor inperking of omzeiling. Het recht moet uiteindelijk rechtvaardig en redelijk zijn, en dat kan soms betekenen dat je een principe passeert. Er is dus rechtstheoretisch niets mis met zeggen “dit recht geldt niet in geval X of Y”, mits maar in een wet vastligt hoe die gevallen dan werken.

          Dat het in dit geval onzinnig is, ben ik met je eens.

          1. Het aloude principe hierachter is “nood breekt wet”. Het is dus prima om de basisprincipes als axioma’s te handhaven (dat is in ieder geval stukken makkelijker te begrijpen voor politici), zonder daar allerlei complexe wetgeving met moeilijke uitzonderingen in het leven te roepen, en laten we voor die gevallen waar de nood echt de wet moest breken de toets achteraf, en voor ieder geval opnieuw bij een rechter leggen (en het beter kunnen aanpakken van verdachten is wat mij betreft geen nood).

      3. Ik vind het toch een lastig verhaal, omdat ik bij een huiszoeking de politieagent toch ook niet de kluiscombinatie hoef te geven. Ik loop dan slechts het risico dat ze mijn mooie nieuwe kluis kapotmaken.

        En hoe zit het dan met de categorie wilsafhankelijk en wilsonafhankelijke middelen a la Saunders. Zit daar misschien niet een kleine mogelijkheid voor advocaten?

  2. “Zo wordt het apart strafbaar gesteld om gegevens te ‘helen’, oftewel gegevens over te nemen die niet openbaar zijn’ Zo, in Nederland dus geen kans dat de overheid door heling verkregen CD’s met Zwiterse bankgegevens mag gebruiken……

    1. Helaas, ze zullen je gewoon aanslaan en Dan mag jij aantonen dat het niet klopt.

      Ze trekken zich sowieso nergens van aan. Illegaal in Nederland? Geen probleem als je maar nelasting betaald. Verdien je ke geld in de drugs Handel? Geen probleem voor de nelastingdienst, als je maar belasting afdraagt.

    • Mogen buitenlandse regeringen nu ook in Nederlandse computers inbreken, en zo niet, hoe gaat Nederland dit verkopen in het buitenland?

    • Als je weigert je wachtwoord te geven, veroordeeld wordt, je straf uit zit en dan nog steeds weigert je wachtwoord te geven, kan je dan onbeperkt opnieuw opgesloten worden? Ik vind het een beetje eng als het illegaal is om iets niet te doen…

    • Is er niet een soort principe dat iedereen soeverein is over zijn eigen lichaam en zijn eigen gedachten (inclusief wachtwoorden)?

    • Ik welke opzichten verschilt de Nederlandse politie nu nog van de Oost-Duitse Stasi?

    1. Corné, het is nog niet zo ver dat de wet ook aangenomen is en ik verwacht wel een interessante discussie in de Tweede Kamer over dit voorstel. Waar ik benieuwd naar ben is het advies van de Raad van State, die leveren soms ongezouten kritiek op waar de regering mee komt.

  3. Even aanhakend op de actualiteit over het blokkeren van The Pirate Bay etc. door providers: het beoogde art. 125p geeft de officier van justitie de bevoegdheid (met machtiging van de rechter-commissaris) om in geval van verdenking van een strafbaar feit providers te bevelen websites te blokkeren of gegevens offline te halen ter beëindiging van een strafbaar fiet of ter voorkoming van nieuwe strafbare feiten. Auteursrechteninbreuk is ook een strafbaar feit, dus op die manier zou de OvJ, met goedkeuring van een RC, dat soort sites zelf offline kunnen halen.

    1. roethof, veroordeling van The Pirate Bay is gebeurd op grond van “Onrechtmatige daad”; het verspreiden van informatie over waar werken te downloaden zijn is op zichzelf geen auteursrechtinbreuk. Blokkade met argumentatie “ter voorkoming van nieuwe strafbare feiten” zou kunnen, maar zo’n verbod kan getoetst worden aan de vrijheid van meningsuiting en dan komt “proportionaliteit” al heel snel om de hoek kijken.

  4. Harde eis: In het geval dat de software wordt herkend, is het van essentieel belang dat deze niet te herleiden is tot de politie

    Gouden handel voor de Fox-IT’s en dergelijke van deze wereld: “lawful” intercept software die niet traceerbaar geleverd mag worden (want als Brenno via een WOB procedure aantoont dat er door leverancier X software geleverd is aan de politie en iemand komt in het nieuws die ongewenst software van leverancier X op een systeem aantreft is hieraan niet meer voldaan). En als het niet te herleiden mag zijn tot de politie, gaat de politie dan ook niet klagen als malware-detectie software ‘hun’ software herkent?

    1. Ik zie een alternatief, dat lijkt me veel erger: Stel, je gooit een stuk malware van je computer en dan blijkt dat dat een politie-sniffer was. De politie komt je vervolgens aanklagen op verdenking van kinderporno, met het argument dat je blijkbaar iets te verbergen hebt omdat je hun sniffersoftware hebt geblokkeerd. Ze kunnen niks bewijzen, maar ze geven je wel een fikse boete voor ‘obstruction of justice’, of wat daar ook de .nl term voor is.

      1. We kennen “obstruction of justice” niet als strafbaar feit. Het “niet opvolgen van een wettig gegeven bevel” lijkt me ook niet van toepassing… Verder denk ik dat een “ontvanger” van de politie-trojan het gedrag van deze software mag observeren als “verkrijger van een rechtmatig kopie.” Dat lijkt me iets dat Opstelten waarschijnlijk niet wil. (En het is onvermijdelijk dat de trojan in de virus-database zal belanden, ik zie de verspreiding niet tot het Nederlands grondgebied beperkt blijven.)

  5. Andere vraag. In hoeverre is bewijs dat door hacking of malware door de politie te vertrouwen? Zou een goed advocaat niet kunnen beargumenteren dat op de zelfde manier het bewijs aangetast kan zijn?

    1. Als een agent het op ambtseed zegt, is het waar. Plus, de rechter zal niet snel geloven dat een agent bewijs gaat vervalsen in Nederland. Dus je moet wel met een héél bijzonder verhaal komen waarom men specifiek jou erbij wilde lappen door zelf KP of ander bewijs op je PC te zetten.

      Intrigerend: is het mogelijk een systeem te bouwen dat er voor zorgt dat je bewijs hebt wát er op je PC stond op timestamp X, zonder een kopie te hoeven maken van je hele PC elk uur? Dat bewijs kan dan tegen de ambtsedige verklaring komen te staan.

      1. Volgens mij doet elk back-up programma dat; een index maken van files, inclusief bestandsgrootte, time-stamp en soms ook MD5-hash van zowel je HD als je backup. Met behulp van die index ziet je backup program snel van welke files een backup gemaakt moet worden. Zeker een MD5-hash kan bewijzen of een door de politie aangeleverd bestand inhoudelijk hetzelfde is als het bestand op jouw PC.

        1. Afgezien van het feit dat MD5 onveilig is en je echt beter bijv. SHA256 kunt gebruiken:

          Zulk bewijs is makkelijk te vervalsen. Je kunt heel goed in je “hash-script” wat regels opnemen om die ene directory met gevoelige informatie over te slaan, en om, wanneer het script zichzelf hasht, een hash van een onschuldige versie van het script opslaan, om het vervalsen zelf te verbergen.

          Vergeet niet dat je verdachte bent van terrorisme/KP-gerelateerde zaken: juist in het scenario dat je schuldig bent is het aannemelijk dat je al deze moeite zult nemen, en een goede aanklager zal dat ook beargumenteren.

          Als de rechter de politie op haar woord gelooft, dan komt het er volgens mij echt op neer dat je als burger weerloos bent tegenover de politie. Het enige dat ik nog kan bedenken is dat je als burger de politie bespioneert, en daarbij opnames maakt waaruit hun snode plannen blijken.

          1. Ik klonk wellicht cynischer dan ik bedoelde; de wet vindt het woord van een agent die onder ambtseed een verklaring aflegt, zwaarder wegen dan het woord van een gewone burger. En dat is eigenlijk een heel praktisch ding: stel alleen deze ene agent zag het gebeuren, en de verdachte ontkent. Wie moet je dan geloven? Dan maar de agent. Plus, er moet natuurlijk altijd een tweede bewijsmiddel zijn, alléén een verklaring is nooit genoeg voor een veroordeling.

            Dat wil niet zeggen dat rechters nooit kritisch zijn op wat agenten zeggen of doen: voorbeeld:

            Een opsporingsambtenaar die in een ambtsedig proces-verbaal onwaarheden vastlegt dient zich ervan bewust te zijn dat dit de rechtspraak tot op het bot raakt en op dit handelen past de bijkomende straf van ontzetting van het recht om ambten te vervullen.
            Tien maanden cel en vijf jaar lang geen opsporingsambtenaar meer mogen zijn.

            En deze is ook fraai:

            Verdachte ontkent. Het is zijn woord tegen dat van vier politiemensen. Verdachte heeft met zijn mobiele telefoon gefilmd wat voor zijn aanhouding is gebeurd. Deze beelden zijn door twee politieambtenaren gewist, omdat zij geen toestemming hadden gegeven te worden gefilmd. De politierechter oordeelt dat verdachte zijn standpuntdaardoor niet meer kan onderbouwen en dat zijn recht op een eerlijk proces (art. 6 EVRM) is geschonden, dat de wet dit onder zich nemen van de telefoon en het wissen door de politie niet toestaat (art. 1, 94 e.v. en 134 Sv) en dat verdachte niet vrijelijk informatie heeft kunnen vergaren (art. 10 EVRM).

            En als de officier wérkelijk zo losjes hiermee omging als in het vonnis staat (“De politie mag inderdaad niet zo maar beelden wissen, maar verdachte mag ook niet zo maar filmen.”) dan mag die wat mij betreft ook ergens gaan werken waar de maatschappij er geen last van heeft. Ik word er zowaar bóós van op de vrijdagmiddag.

  6. Er is voldoende software beschikbaar die registreert welke activiteiten er door welk proces plaatsvinden. Daarbij wordt meestal niet meteen de hele inhoud van bestand X gelogd, maar wel bijvoorbeeld het aanmaken van dat bestand. Als dat bestand dan door een proces ‘firefox.exe’ (liefst met complete pad, zodat duidelijk is dat het niet uit de map Mozilla/Firefox komt!) is aangemaakt, heb je daarmee dan genoeg bewijs om aannemelijk te maken dat niet JIJ maar iets/iemand anders dat op jouw computer heeft gezet?

  7. Als er een computer in het buitenland wordt gehacked door een Nederlandse opsporingsambtenaar en men komt daar achter. Het slachtoffer dient een aanklacht in bij zijn overheid, en die overheid gaat hier serieus mee aan de slag. Kan er dan een internationaal arrestatiebevel worden uitgegeven tegen die hackers en/of hun opdrachtgevers? Zal Nederland ze uitleveren? Zal een ander land ze oppakken tijdens een vakantie en uitleveren? Eerlijk gezegd hoop ik van wel.

    1. Hoe gaat men erachter komen welke specifieke politieagent de hack uitvoerde? Je kunt niet zomaar een willekeurige Nederlandse agent arresteren nadat in de krant wordt gemeld dat Nederland met succes een Spaans botnet ontmantelde. Bovendien verwacht ik niet dat ze het vanaf proxy.thtc.politie.nl gaan uitvoeren.

      1. Het gaat over de overheid en IT, wat is de kans dat het niet mis zal gaan? Of misschien krijgt 1 van de overheidshackers last van zijn geweten en geeft wikileaks wat leuke documenten.

        Degene die het uitvoert is waarschijnlijk lastig te achterhalen, maar de opdrachtgever zal toch wel bekend zijn? De hoofdcommesaris of korpsbeheerder, de officier van justitie die het onderzoek leide, de rechter die toestemming gaf. Allen zijn toch deels verantwoordelijk in zo’n geval? Uiteindelijk zelfs ministers of staatssecretarrisen en de minister President, al zijn die veilig omdat ze reizen met een diplomatiek paspoort.

  8. Na nog even over dit wetsvoorstel nagedacht te hebben denk ik dat dit grote problemen kan veroorzaken voor alle ambtenaren die voor justitie werken, inclusief alle politie-agenten, stadswachten en de rest. Waarom? Stel dat de Nederlandse justitie besluit om een server in het buitenland te hacken. En stel dat de hacker wordt betrapt tijdens het infiltreren van een buitenlandse regerings-server waar zeer gevoelige informatie op staat. Men wordt betrapt en kan het herleiden tot het Nederlandse justitie-orgaan, die op deze manier eigenlijk een georganiseerde criminele bende wordt in de ogen van deze buitenlandse regering. Dat betekent tevens dat iedereen die tot deze “bende” behoort dus lid is van een criminele organisatie en kan dus toegang tot dat betreffende land ontzegd worden. Of erger, die persoon zou gearresteerd kunnen worden om diezelfde reden!

    Okay, toegegeven… Het is een beetje vergezocht en een regering zou wel enorm paranoide moeten zijn als ze een wijkagent op zijn vakantie arresteren omdat justitie een regerings-server heeft gehackt. Het zal eerder een diplomatieke rel veroorzaken. Maar toch, het is een leuk doem-scenario voor de echte zwartkijkers onder ons. 🙂

    Betreffende het decryptiebevel denk ik dat iemand met een 9-volt batterij en een Arduino Leonardo een eenvoudige manier kan bedenken die het een stuk lastiger zal maken om een wachtwoord te kunnen afgeven. Dit kleine apparaat kan immers de wachtwoorden bewaren en ‘intypen’ op de computer, aangezien het een toetsenbord kan nabootsen. Met een simpel toetsenbordje erbij zou je eerst een pincode moeten invoeren en dan stuurt het apparaat een wachtwoord door. Door middel van pincodes kun je zelfs meerdere wachtwoorden in het systeem programmeren. En het apparaat is dusdanig klein dat je het ergens in kunt verstoppen waarbij het niet snel zal opvallen bij een huiszoeking. Je hebt dan een goed excuus want je zegt dan dat je een password-generator apparaat hebt die jouw wachtwoord bewaard en dat je deze dus niet zelf weet. (Is nog veilig ook!) En waar die generator precies is hoef je niet te vertellen. Toch? 🙂

    1. En waar die generator precies is hoef je niet te vertellen. Toch?

      Waarom niet? Als je gedwongen kan worden om een wachtwoord af te geven, waarom kan je niet gedwongen worden om al het andere af te geven wat nodig is om in te loggen? Je kan gewoon gedwongen worden om aan je eigen veroordeling mee te werken.

      Ik zie zelf meer heil in encryptie-methoden waarbij je twee wachtwoorden hebt: 1 die je zelf gebruikt, en 1 die je aan de politie kunt geven. Als er dan ingelogd wordt onder het “politie”-wachtwoord, dan zijn een heleboel bestanden niet te zien. En het feit dat dat andere wachtwoord überhaupt bestaat is ook niet te zien aan de encrypted disk.

      Wat kan je het beste antwoorden als de politie dan vraagt om dat stuk schijfruimte dat op de één of andere manier niet beschikbaar is? Of om het feit dat je persoonlijke map wel erg “schoon en leeg” is?

      Ik ga hierbij trouwens uit van het scenario dat je niet ècht een praktiserend pedofiel of terrorist bent, maar gewoon gehecht bent aan je privacy, of bang bent dat de politie weliswaar geen dingen zal vinden waar ze officieel naar op zoek zijn, maar wel andere dingen waar je in de toekomst mee in de problemen zou kunnen raken.

      1. Ik zie zelf meer heil in encryptie-methoden waarbij je twee wachtwoorden hebt: 1 die je zelf gebruikt, en 1 die je aan de politie kunt geven. Als er dan ingelogd wordt onder het “politie”-wachtwoord, dan zijn een heleboel bestanden niet te zien. En het feit dat dat andere wachtwoord überhaupt bestaat is ook niet te zien aan de encrypted disk.

        Er is echter vaak bewijs adhv verkeersgegevens en dergelijk dat iemand bepalde site heeft bezocht of iets dergelijks. Het is onwaarschijnlijk dat de gegevens op het ‘politie’-wachtwoord dat de gegevens dan kloppen met de bekende feiten. Bovendien is de software die degelijke dubbele wachtwoordmogelijken biedt natuurlijk wel zichtbaar.

        Het is heel naief om te denken dat je met een technocratisch oplossing als encryptie met zo’n dubbel wachtwoord alle sporen van je gedrag kan verbergen.

        1. Het feit dat software op je pc staat die een hidden volume mogelijk maakt, is geen bewijs dat die bestaat. Als ze encrypted bestanden vinden die decoderen gaat mij al te ver. Maar eisen een sleutel te geven voor iets waarvan je het bestaan niet kan aantonen is weer wat anders. Hoe zou een rechter daar mee om moeten gaan?

          1. Tegen de tijd dat de politie bij je op de stoep staat weten ze al dat je iets hebt, de vraag is alleen waar precies. Staat het niet op de gewone partitie? Dan staat het op de hidden partitie.

          2. Het feit dat software op je pc staat die een hidden volume mogelijk maakt, is geen bewijs dat die bestaat
            Nee maar als de verkeersgegevens of tap gegevens aangeven welke sites je dagelijks bezocht en de informatie van de browsercaches op je unencrypted partitie matchen daar niet mee is het al een stuk verdachter.
            Een dummy partitie waarvan de gegevens duidelijk niet overeen komen met het bekende computer en internet gebruik van die persoon in combinatie met de aanwezigheid van encryptiesoftware met een duaal wachtwoord maken wel heel goed duidelijk dat je een neppartitie aan de polite hebt gegeven en dus het decryptiebevel bewust en opzettelijk zou hebben overtreden.
            Als de rechter daie opzettelijke omzeiling van het decryptiebevel ook zo oordeelt zal hij daarvoor de maximum straf kunnen opleggen die aan het negeren van decryptiebevel is verbonden.

  9. Waarom niet? Als je gedwongen kan worden om een wachtwoord af te geven, waarom kan je niet gedwongen worden om al het andere af te geven wat nodig is om in te loggen?
    Hiervoor zou eigenlijk gekeken moeten worden naar wat de wet hierover gaat zeggen. Hoe ver mag de dwang uiteindelijk gaan? In ieder geval kun je wel netjes aangeven dat je wachtwoord wordt beheerd door een USB apparaat dat je ergens hebt verborgen, maar het overdragen van dat apparaat kun je weer niet doen omdat je dan meewerkt om bewijs tegen jezelf te verzamelen. Sowieso heb je een goede reden om een dergerlijk apparaat te gebruiken, simpelweg omdat het je wachtwoorden op een veilige manier kan bewaren, zodat ze niet makkelijk in verkeerde handen vallen. Je kunt zo nooit je wachtwoord meer vergeten en je kunt diverse, unieke wachtwoorden bijhouden wat handig is als je op 50 verschillende sites een wachtwoord nodig hebt. De apparatuur is sowieso niet verdacht omdat deze al massaal op de markt is, wereldwijd… En met de Arduino Micro praten we over een apparaat van €18,00 dat al standaard een toetsenbord en muis kan nabootsen waarbij je verder alleen een USB kabel nodig hebt en een ruimte om dit apparaat van 2×5 cm te verbergen. Een pluchen pop zou al kunnen! Okay, misschien wat extra electronica erbij zodat je b.v. een pincode kunt invoeren die daarna het wachtwoord vrijgeeft. De grote vraag is natuurlijk of de politie tijdens hun onderzoek eraan denkt om die pluchen pop ook mee te nemen, anders kan een handlanger deze nog altijd jatten. Maar je kunt ook gewoon beweren dat het apparaat in een bloempot ligt (leugen) want de politie kan daarna toch niet meer controleren of het waar is. (Na de huiszoeking kan immers iemand het apparaat hebben verwijderd of een agent heeft het gewoon meegenomen en het is kwijt geraakt.) Kortom, je kunt liegen over de locatie van het apparaat en hebt alleen een probleem indien ze het apparaat gevonden hebben. En als ze het toch hebben gevonden, geef ze dan een self-destruct pincode die het geheugen van het apparaat wist. Wie weet vergeten ze deze veilig te stellen of weten ze niet eens hoe dat moet… In ieder geval, je kunt rustig verklaren dat je wachtwoord wordt beheerd door een extern apparaat en dat je deze dus niet uit je hoofd weet… En eigenlijk kun je zelfs daarover liegen! 🙂

    Overigens heb ik meerdere Arduino boards simpelweg omdat ik de laatste maanden veel interesse heb in electronica. Je kunt er leuke dingen mee bouwen, zoals je eigen game controller, of allerlei sensoren, of gewoon gezellige verlichting in je huis krijgen. Modelbouw-liefhebbers kunnen het ook nog eens gebruiken om hun modelbaantjes wat interactiever te laten reageren. En ja, ik heb ook een Leonardo en in combinatie met wat knopjes en een mini-joystick kan ik er spelletjes op mijn computer mee bedienen. 🙂

    En een dubbel wachtwoord? Daar kom je misschien mee weg maar wie zegt dat ik niet een dubbel wachtwoord met mijn Arduino kan gebruiken? Met pincode 1234 krijg ik het politie-wachtwoord en met 4321 mijn echte wachtwoord. Pincode invoeren op een 3×4 keypad van nog geen 4 euro die je aan de Arduino kunt solderen en klaar! Okay, mijn oplossing heeft wel een prijskaartje en vereist wat technische kennis. De hardware zelf kost in totaal 24 euro, zonder USB kabel maar die heb je vast wel ergens liggen. De software is open-source en iedereen kan software schrijven voor de Arduino met een beetje kennis van C. En ja, je moet een keypad solderen dus daar zul je gereedschap voor moeten hebben, lenen, stelen of huren. Maar je hebt dan een systeem waar je in principe duizenden wachtwoorden kunt opslaan zodat je alleen nog de pincode moet onthouden bij iedere website. En niet betrapt worden met dat apparaat aangesloten op je computer… 🙂 En ook niet de code van die software die je ervoor hebt geschreven bewaren!

    1. De dwang is heel simpel: er hangt je maximaal drie jaar cel boven het hoofd als je het niet doet.

      En het is breder dan letterlijk “vertel je wachtwoord”: de huidige tekst spreekt van een

      bevel [om] toegang te verschaffen tot een geautomatiseerd werk of delen daarvan, tot een gegevensdrager of tot versleutelde gegevens
      Of je nu met een wachtwoord, een vingerafdruk, een Arduino-vogel of een speciale toegangspas zo’n ding beveiligd hebt, maakt dus niet uit. Justitie wil erbij, dus zorg maar dat het open en toegankelijk wordt.

      1. Alleen met een Arduino-vogel is het onmogelijk om aan het bevel te voldoen indien het apparaat niet meer beschikbaar is. In principe kun je beweren dat het in dit-of-dat voorwerp verborgen zat en dan is het aan justitie om dat ding maar op te sporen want zelf kun je dat niet. En indien het vervolgens niet gevonden kan worden kun je beweren dat iemand het heeft ontvreemd. Ofwel, je bent de sleutel van je kluis verloren. En dan kun je nog zoveel mee willen werken als je wilt, maar het wachtwoord afgeven zit er dan echt niet meer bij… Tja, dan moet een rechter vervolgens maar beoordelen of je drie jaar de cel in moet. Maar goed, kan jij het helpen dat justitie die sleutel zoek heeft gemaakt tijdens hun huiszoeking? Ik denk dat je met goede argumenten kunt aankomen waardoor je alsnog onder die straf kunt uitkomen, zeker indien je goed meewerkt aan de opsporing van dat apparaat. (Wat natuurlijk leuk is als het apparaat niet eens bestaat, maar hoe komen ze daar achter?) Kortom, het is een oplossing waarbij je prima kunt meewerken aan het vinden van die sleutel en toch kunt ontkomen zolang die sleutel niet wordt gevonden…

        Zou een rechter je dan alsnog veroordelen, terwijl je aantoonbaar meewerkt om die sleutel te vinden?

        Er zijn overigens genoeg vergelijkbare oplossingen zoals b.v. het gebruik van dongles. En die dongles kunnen enorm klein zijn.

        1. Dat het onmogelijk is om aan het bevel te voldoen is jouw probleem. Jij moet er, volgens die wet, voor zorgen dat justitie er bij kan. Hoe je dat doet is jouw probleem. Als je besluit om dat met een dongle te doen moet je er m.i. voor zorgen dat je deze altijd hebt of desnoods 2, op verschillende locaties, etc.

          En waar die generator precies is hoef je niet te vertellen. Toch? 🙂
          Deze wet gaat er niet over dat je verplicht bent om een wachtwoord te geven maar om toegang te geven tot de gegevens. Dat is wel een verschil!

          1. Toch blijft het probleem ontstaan dat je gewoon kunt vertellen dat je deze “sleutel” bewaarde in een pluche Tux poppetje in je vensterbank. Waar deze nu is weet je niet, want de politie heeft bij hun onderzoek je gehele huis overhoop gehaald. Maar als ze dat poppetje vinden dan hebben ze de sleutel.

            Wat bedoel je met “ze hebben dit poppetje niet gevonden?” Het stond in mijn vensterbank! Heeft een agent deze niet stiekem gejat om aan zijn kind te geven of zo? Heeft een politiehond hem opgegeten? Politiehonden eten ook hamsters dus kan die sleutel niet verdwenen zijn in de maag van zo’n hond?

            Feit is dat ook justitie zaken kan kwijtraken. En als justitie de sleutel van jouw kluis kwijtraakt dan kan dat jou niet worden aangerekend. Natuurlijk kun je er gewoon over liegen maar dan zal men dat toch eerst moeten aantonen. Je werkt namelijk mee aan het ontcijferen van je geheime data, alleen kom je niet verder omdat iemand de sleutel is kwijtgeraakt. En dit is dan je tegenargument voor de rechter die jou mogelijk tot 3 jaar wil gaan veroordelen. Is misschien niet 100% foolproof maar het lijkt mij dat je er een behoorlijk eind mee komt. Ook als het gewoon niet waar is maar men dat niet kan aantonen.

            1. Wat een rechter zal zeggen is natuurlijk altijd koffiedik kijken maar ik vermoed dat de wetgever er niet voor niets voor heeft gekozen om te zeggen dat je verplicht bent om toegang te verschaffen en niet om mee te werken aan het verschaffen van toegang.

              Mijn docenten hadden nooit heel veel begrip voor de hond heeft mijn huiswerk opgegeten en ik verwacht dat de rechter daar ook niet echt in mee gaat…..

        2. Een interessante vraag is wat er gebeurt als justitie de sleutel kapot maakt. Denk aan een device dat na drie keer een foute pin invoeren de sleutel wist, waarmee politieagenten hebben lopen spelen.

          1. Daar kan ik nog een interessante variant op bedenken! Zorg ervoor dat je al een dergerlijk apparaat in huis hebt, inclusief defect. Dan zal aangetoond moeten worden dat deze al defect was voordat de politie ermee ging “spelen”. Maar goed, een apparaat met een tilt-sensor erop zou zichzelf al defect kunnen maken indien deze toevallig verkeerd vastgehouden wordt. Opbergen in een muur, voorzien van een batterij in een plastic doosje met alleen de USB poort zichtbaar en als de politie deze vervolgens uit de muur haalt en even kantelt… POEF! Sleutel kapot. Of andere methodes die een self-destruct kunnen doen van de sleutel. Er zijn er vast veel te bedenken. Het probleem is gewoon dat het jou niet verweten kan worden indien de sleutel verloren of defect raakt tijdens de huiszoeking. En dat terwijl dit best goed mogelijk is. Het enige wat het aantoont is hoe paranoide je uiteindelijk bent op beveiligingsgebied. 🙂

            1. Het probleem is gewoon dat het jou niet verweten kan worden indien de sleutel verloren of defect raakt tijdens de huiszoeking.

              Maar jou kan nog steeds verweten worden dat je geen toegang geeft tot de gegevens. Ik zou hier toch echt snel korte metten mee maken als rechter.

              1. Het wetsartikel noemt “Hij die opzettelijk niet aan een bevel”. Lijkt me dan ook dat bij een dergelijke verdediging centraal zal staan of bij het gebruik van een dergelijk ‘paranoïde’ beveiligingssysteem een voorwaardelijke opzet aanwezig is tot het niet opvolgen van het bevel. Denk dat je als OM best kan beweren dat door het opzetten van zo’n systeem je bewust voor lief heb genomen dat ook het OM niet meer bij jouw bestanden kon komen.

                Opzet is trouwens wel iets meer dan verwijtbaarheid, dus kan me voorstellen dat in de praktijk het moeilijk kan worden de zaak hard te maken.

                1. Tja, voor mijn werk moet ik regelmatig bezig gaan met beveiliging van gegevens. Het gebruik van een wachtwoord-apparaat is een methode om gegevens mee te beschermen en het gebruik ervan is sowieso niet verboden. De hardware is voor nog geen 50 euro te koop en de bijbehorende software is open-source. Ik kan er zelfs voor zorgen dat ik zelfs de broncode van mijn wachtwoord-software kan vrijgeven, mits ik op de een of andere manier een willekeurige sleutel invoer. Simpel gezegd, de eerste keer dat ik de software invoer typ ik een willekeurige code van 10 cijfers in die het systeem bewaart. Daarna voer ik een pincode van 4 cijfers in en het systeem genereert dan een random wachtwoord op basis van de 10 eerder ingevoerde cijfers in combinatie met deze pincode. Omdat ik de oorspronkelijke 10-cijfer code gewoon weer kan vergeten en het wachtwoord ook nooit weet, maar alleen de pincode, kan ik ook nooit het wachtwoord afgeven.

                  En hoe voer ik dit wachtwoord in op een website? Simpel! Er wordt altijd gevraagd om een wachtwoord in te voeren, dus apparaat koppelen en een pincode invoeren. Het apparaat genereert dan een wachtwoord. Herhalen, omdat je wachtwoorden altijd twee maal moet invoeren voor deze wordt opgeslagen en klaar! Het apparaat onthoudt het wachtwoord wel en zelf hoef je alleen de pincode te weten. Dat is best veilig, toch?

                  Bedenk verder dat dit systeem het gewoon mogelijk maakt dat je de pincode voor iedere website of verslutelde partitie gewoon noteert. Mochten die notities in verkeerde handen vallen dan hebben ze er niets aan zonder het apparaat. En aan het apparaat hebben ze niets zonder de pincode. En nee, voor justitie ben ik niet zo bang want ik doe niets fout. Maar als het b.v. gaat om een schijf met patientgegevens dan is het goed voor te stellen dat dit zo veilig mogelijk wordt bewaard…

              2. Aangezien ik meewerk aan het onderzoek en aangeef hoe ik mijn wachtwoorden bescherm en welke hardware ik gebruik kan mij niet verweten worden dat ik geen toegang geef. Maar zonder die hardware is toegang geven gewoon niet mogelijk. En tijdens de huiszoeking is die sleutel gewoon verloren geraakt en dat kan mij niet verweten worden. In ieder geval niet zonder bewijs, aangezien ik nog steeds onschuldig ben tot het tegendeel is bewezen. Kortom, er zal toch bewijs moeten komen dat ik die sleutel met opzet heb vernield, beschadigd of zelfs dat ik erover lieg. Zoniet, dan zal justitie moeten accepteren dat ook ikzelf niet meer bij de gegevens kan komen…

            2. Daar kan ik nog een interessante variant op bedenken! Zorg ervoor dat je al een dergerlijk apparaat in huis hebt, inclusief defect. Dan zal aangetoond moeten worden dat deze al defect was voordat de politie ermee ging “spelen”.

              Het is niet ondenkbaar dat een forensich onderzoek van zo’n apparaat dan ook laat zien dat het al maanden of jaren defect is (of niet gebruikt wordt) en dat je dus blijkbaar dat apparaat helemaal niet gebruikte voor toegang tot je computer terwijl bepaalde verkeersgevens of tap gevens duidelijk aantonen dat je er elke dag mee op het internet zat. En dat heb je een probleem want dan is meteen opzet duidelijk.

              1. Een forensisch onderzoek zou inderdaad kunnen aantonen dat het apparaat al maanden stuk is, wat dus aantoont dat ik het al maanden niet gebruikt kan hebben. Maar goed, als het om een archief-schijf gaat die ik ook al een half jaar niet heb gebruikt zou dat mij nauwelijks opvallen. Daarnaast kost een dergerlijk onderzoek veel resources, en dus veel geld. De vraag is dan vooral of de kosten van het onderzoek opwegen tegen hetgeen waar ik uiteindelijk voor veroordeeld zou kunnen worden. Bedenk wel dat zelfs indien ze mijn wachtwoord weten het nog steeds mogelijk is dat er geen bewijs gevonden kan worden om mij te veroordelen. Het kan best zijn dat ik mijn harde schijf heb beveiligd omdat ik naaktfoto’s van Manon Thomas op mijn computer heb staan, die ik verder met niemand wil delen. (Of okay, vakantiefoto’s van mij en mijn vriendin op het naaktstrand van Cap D’Agde in Frankrijk…) Mensen hebben sowieso genoeg redenen om bepaalde gegevens enorm beveiligd te bewaren. Wat ik geheim wil houden is niet automatisch illegaal of crimineel. Alleen maar vervelend als het bekend wordt. Mijn paranoia bepaalt hoe stevig ik het wil beveiligen en gezien de kosten van de hardware is mijn oplossing een prima systeem om lekker paranoide mee te zijn…

  10. met truecrypt is het nu al onmogelijk om verborgen partities op te sporen, laat staan dat je vrij eenvoudig een paar dwaalsporen kan zetten en voordat justitie iets wijzer is ben je al weer 50 jaar verder.

    1. Misschien wel een jaar of drie in een PI 😉

      Anywho; het blijft continue een balans tussen de misdrijven die worden gepleegd en de privacy die we bereid zijn op te geven. Die balans bepalen we samen (tijdens de verkiezingen en daarna fingers crossed). Dat opgeven van privacy doen we natuurlijk al jaren, de grens vervaagt door de realiteit.

    2. met truecrypt is het nu al onmogelijk om verborgen partities op te sporen

      Dat is niet geheel juist. Onmogelijk is zwaar overdreven. Het is veel moeilijker om die op te sporen. Een verborgen partitie kun je echter op meerdere manieren opsporen. Als je partitie niet op directe wijze kan ontdekken dan is het best mogelijk dat het op indirecte wijze nog wel kan. Bijvoorbeeld omdat je vanaf je encrypted partitie apps hebt gebruikt die op je dwaalspoor partitie helemaal niet voorkomen en daar blijkens de registry ook nooit geinstalleerd waren.

      1. met truecrypt is het alsof je water van water moet gaan onderscheiden, geloof me, je bent echt jaren zoniet eeuwen bezig als daar een stevige encyptie op zit om genoeg data bij elkaar te sprokkelen om die vervolgens nog te kunnen decrypten. je moet natuurlijk geen sporen daar na toe leiden.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.