Mag de politie een Blackshades-command en control server hacken?

blackshadesHet Team High Tech Crime van de Nederlandse politie is een server van Blackshades binnengedrongen en heeft op die manier informatie veiliggesteld, meldde Nutech onlangs. Dit in het kader van een strafrechtelijk traject tegen de beheerders, waarbij ook invallen in 34 Nederlandse huizen werden gedaan. Hoogst opmerkelijk, want er is nog steeds geen wettelijke grondslag voor het binnendringen van servers door de politie.

Blackshades is een remote access tool dat als malware wordt verspreid om zo op afstand geïnfecteerde computers te kunnen overnemen. Eén van de features is het gijzelen van bestanden totdat er wordt betaald, een steeds populair wordende truc.

Om dergelijke netwerken te kunnen beheren, zijn zogeheten command & control servers nodig. En het Team High Tech Crime wist toegang te krijgen tot deze servers, ongeveer zoals ze deden in 2010 met het Bredolab-netwerk.

Er was toen veel discussie of dat wel mag eigenlijk, hackende politie. Het idee is namelijk dat de politie niets mag, tenzij dit wettelijk geregeld is. (En nou ja, kleine dingen die de grondrechten van de burger niet raken zijn toegestaan in artikel 3 Politiewet). En nergens in de wet staat dat ze in mogen breken in een c&c server van een criminele botnetbeheerder.

Er ligt al een tijdje een wetsvoorstel Computercriminaliteit III waarin expliciet een dergelijke bevoegdheid opgenomen is:

1. In geval van verdenking van een [ernstig misdrijf] kan de officier van justitie, indien het onderzoek dit dringend vordert, bevelen dat een opsporingsambtenaar als bedoeld in artikel 141, onder b, of een buitengewoon opsporingsambtenaar als bedoeld in artikel 142, eerste lid, onder b, binnendringt in een geautomatiseerd werk of een daarmee in verbinding staande gegevensdrager, bij de verdachte in gebruik, en met een technisch hulpmiddel onderzoek doet …

De Memorie van Toelichting noemt dit een “nieuwe bevoegdheid voor opsporingsambtenaren”. En dat geeft gelijk een leuk juridisch argument: als het in een nieuwe wet toegestaan wordt, dan is het onder de huidige dús niet toegestaan.

In het Nutech-artikel wordt gemeld dat de rechter-commissaris hiervoor een machtiging heeft afgegeven. Leuk, maar onder welk artikel dan? Ik kan niet bedenken welk wetsartikel men hiervoor zou inzetten. Hooguit het in beslag nemen van de server en deze dan doorzoeken. Dat mag al, hoewel je dan wel fysiek de server mee moet kunnen nemen. En dat is volgens mij niet gebeurd.

We hebben het hier al over gehad maar zou het een goed idee zijn, zo’n hackbevoegdheid?

Arnoud

21 reacties

  1. Nee, een hackbevoegdheid is geen goed idee (hoewel het wel een goed idee kan zijn).

    Tools die op afstand data encrypten en losgeld eisen kosten niet alleen veel geld en tijd, ze kosten ook levens: http://news.softpedia.com/news/Romanian-Man-Commits-Suicide-After-Police-Ransomware-Tells-Him-He-Must-Pay-Fine-431882.shtml dus dit is wel degelijk gevaarlijke troep.

    Echter, hierbij bekruipt bij mij het volgende gevoel, wat de melding door het OM niet wegneemt: – Deze aktie was voornamelijk een FBI aktie. De FBI heeft ingebroken op servers, en de contactgegevens van kopers doorgespeeld aan het Team High Tech Crime. Deze is daarna op bezoek geweest bij de kopers. Of het Team High Tech Crime wist alleen toegang te krijgen tot deze servers na een tip van onze Amerikaanse vrienden. Dan maakt het inderdaad maar weinig uit waar een server staat en doen onze woorden en wetten er maar weinig toe: Je zegt geen neen tegen de FBI of EuroJust.

    “…Het Team High Tech Crime van de Nederlandse politie is een server van Blackshades binnengedrongen en heeft op die manier informatie veiliggesteld, meldt het OM. De locatie van de server is onbekend gebleven…. …De beheerder van de websites van Blackshades woonde volgens de politie in Delft. De site is door de FBI offline gehaald…”

    • Deze aktie valt buiten de huidige wet. Het is fout om iets te doen (mee te doen met de FBI) als dit duidelijk onwettig is (en het voorstel om dit aan te passen nog moet doorgevoerd worden).

    • Je hebt geen mogelijkheid meer om jezelf te verdedigen. Er zal vast voorzorg getroffen worden om bewijs veilig te stellen, maar dan nog: Je eindigt met een leeggetrokken en verwijderde server, met al het bewijsmateriaal in handen van de politie. Mocht er iemand een foutje maken in het opsporingsproces dan ben je goed de klos.

    • Criminelen kunnen de tools en backdoors van de politie weer reverse engineeren. Hierdoor kunnen criminelen via de politie-hack meekijken bij de concurrent.

    • Het is een gevaarlijke glijdende schaal. Wat is de noodzaak van een terughack-wet en hoe vaak gaat deze gebruikt worden? Is Nederland ook al niet koploper op telefoontaps? Straks koploper op serverhacks?

    • Vaak wordt alleen het kleine grut gepakt (zoals hier de aandacht valt op “hackers” die met hun eigen creditcard gegevens een tooltje kopen van 40$) en blijft het bij symptoom bestrijding (botnetje lamleggen).

    • Inmenging van commerciele partijen. Altijd als het ergens om gaat qua security dan wordt Fox-IT van stal gehaald. Aan het inlichtingenapparaat van Amerika hebben we gezien hoe dit gaat als bedrijven als Dell en Booz er deel van uitmaken.

    Ook van: https://www.europol.europa.eu/content/worldwide-operation-against-cybercriminals (certificaat warning)

    Mr Koen Hermans, Assistant to the National Member for the Netherlands, commented: “This case is a strong reminder that no one is safe while using the internet, and should serve as a warning and deterrent to those involved in the manufacture and use of this software. This applies not only to victims, but also to the perpetrators of criminal and malicious acts.

    Ook de hele discussie daargelaten over het strafbaar stellen van het maken van software die mogelijk gebruikt kan worden door boefjes.

    1. Ransomware is inderdaad troep maar de zelfmoord van die man is echt een incident. Anders moet je ook stellen dat pannekoeken levensgevaarlijk zijn.

      Ik ben op zich wel voor een hackbevoegdheid voor de politie maar helaas laat de overheid zien dat ze dit soort bevoegdheden altijd misbruiken voor andere doeleinden dan ze bij het indienen van de wet zeggen. In deze case zou het toch ook raar zijn als politie er niets mee deed terwijl ze dat wel konden?

      Ik vind het wel raar dat politie wel een server fysiek in beslag mag nemen en er dan alles mee mag doen maar dit niet op afstand mag doen. Heeft dat alleen te maken met het verborgen karakter ervan?

      1. Volgens mij is dat een rechtsmacht-ding. Als de politie fysiek een server in beslag kan nemen, dan staat die server in Nederland. Er is dan geen discussie dat de Nederlandse politie daar rechtsmacht over mag uitoefenen, net zoals bij een buitenlandse auto die hier rondrijdt.

        Bij servers hacken is de kans reëel dat die in een ander land staat. En dat de politie in het buitenland mag optreden is heel wat minder vanzelfsprekend.

        Daarnaast is er het vervolgpunt dat men kan binnendringen in de server en van daaruit de besmette zombie-pc’s kan gaan besturen. Dat is nóg een trapje erger voor mij dan alleen maar die server pakken. Net zoals het me erger lijkt dat je een auto achtervolgt naar België en vervolgens het huis binnendringt waar de bestuurder heen rende, dan wnneer je alleen die auto over de grens volgt en de Belgische politie er zo snel mogelijk bij haalt voor de rest.

  2. Tuurlijk, criminelen gaan steeds vaker online. Als je zelf niets misdaan hebt, hoef je ook niet bang te zijn dat een politie in jouw server zal binnendringen. En dan nog, je hebt toch niets te verbergen?

    Vroeger was de aanpak van criminelen via de straat, nu is het via de computer. Volgens mij niet meer dan logisch gevolg dat de politie dus ook digitaal gaat.

    1. Als je zelf niets misdaan hebt, hoef je ook niet bang te zijn dat een politie in jouw server zal binnendringen. En dan nog, je hebt toch niets te verbergen?

      Meen je dit nu echt of mist er een smiley?

      1. Ik denk niet dat het serieus bedoeld kan zijn.

        Botnets bestaan JUIST uit miljoenen computers van nietsvermoedende, onschuldige mensen; het enige wat zij hebben misdaan is dat ze hun computerbeveiliging niet op orde hadden. Als de politie inbreekt op deze computers, dan kunnen ze meteen kijken of je soms wel iets te verbergen hebt.

        Je zou de inbraakbevoegdheid kunnen beperken tot de “command & control” computers van botnets, maar dat is in de praktijk niet haalbaar. Een botnet kan het C&C punt vrij makkelijk op TOR-achtige wijze(*) verbergen, waardoor de politie bij talloze onschuldige mensen moet inbreken voordat ze de C&C server kunnen vinden.

        (*) Beter zelfs: TOR is low-latency, waardoor een timing correlation attack mogelijk is. Een botnet kan met high-latency berichten beheerd worden, waardoor het nog lastiger is om het C&C-punt te vinden.

  3. Zouden we niet toe moeten naar een wereld waar de politie (en, meer algemeen, de overheid) minder mag dan de burger, in plaats van meer? De overheid werkt met dwangmiddelen (je kunt er als burger niet omheen), en dus zouden ze in hun handelen extreem terughoudend moeten zijn.

    Neem vuurwapens als voorbeeld: ik ben niet voor Amerikaanse toestanden, waar (in sommige staten) zo’n beetje iedereen met een mitrailleur rond mag lopen, maar de Nederlandse situatie, waar de burger niets mag en elke agent wel een pistool bij zich heeft, vind ik ook niet goed. Sommige Scandinavische landen doen het beter: in Noorwegen en IJsland is de politie bijvoorbeeld standaard ongewapend. Het vuurwapenbezit onder burgers is daar hoger dan bij de overheid, maar het gaat toch bijna nooit mis (helaas is er een bekende uitzondering).

    Wat hacken betreft ben ik dus ook alleen voor een hackbevoegdheid van de politie als iedereen mag hacken. Eventueel zou je daarbij, voor iedereen gelijke, beperkingen kunnen stellen: dat je bijvoorbeeld wel informatie mag verzamelen, geen informatie mag vernietigen, en alleen processen mag verstoren als je overtuigend bewijs hebt dat die processen onderdeel zijn van iets illegaals. Ik meen dat er in de jaren ’80 mensen waren die tegenstander waren van het strafbaar stellen van hacken: het zou je recht moeten zijn om informatie te verzamelen d.m.v. communicatie, ook als dat communicatie met andermans computer-systemen is, en ook als die ander niet de bedoeling had om jouw vorm van communiceren mogelijk te maken.

    Er is wel een belangrijke reden om tegen de hackbevoegdheid te zijn: het geeft de overheid een motief om laks om te gaan met de computer-beveiliging van burgers, of om die beveiliging juist te saboteren. Je hebt dit gezien bij de NSA: die liet expres beveiligings-standaarden afzwakken om zichzelf de mogelijkheid te geven om in te breken. In Nederland zal het niet zo’n vaart lopen, omdat de Nederlandse overheid niet zo’n grote rol speelt bij de computerbeveiliging van burgers, maar dit probleem zou wel kunnen ontstaan waar/wanneer dit anders is/wordt.

    1. Het vuurwapenbezit onder burgers is daar hoger dan bij de overheid, maar het gaat toch bijna nooit mis (helaas is er een bekende uitzondering).

      Maar hoe vaak gaat het dan mis bij ons. Dat valt toch ook wel mee? Ik heb niet de indruk dat onze politie z’n wapens zwaar misbruikt.

      Natuurlijk moet de politie méér mogen dan burgers net als dat een scheidsrechter bij het voetbal meer mag dan de spelers en een juf voor de klas meer mag dan de leerlingen.

      Waar het, m.i., fout gaat bij de overheid is dat ze soms vergeten dat ze er voor de burgers zijn en dat dát hun enige bestaansrecht is. Ze moeten dus ook maximaal transparant zijn in wat ze doen, hoe ze het doen en waarom ze het doen. Helaas is er eerder een trend de andere kant op.

      Het toestaan van hacken door burgers lijkt me zeer onwenselijk en ik zie ook niet in waarom iemand het recht zou hebben om op mijn server iets uit te voeren. Net als dat ze niet op mijn fiets mogen rijden of in mijn huis mogen verblijven of op mijn gras mogen zitten. Een situatie waar alles van iedereen is, gaat volgens mij niet werken met mensen.

      1. Ik ben het eigenlijk ook wel met je eens, alleen is mijn kijk op de overheid iets anarchistischer 🙂 . Een scheidsrechter in een voetbalwedstrijd heeft meer recht op autoriteit dan de overheid, omdat de spelers zich vrijwillig aan zijn gezag onderwerpen. En die juf voor de klas? Er zijn mensen die school vooral zien als een gevangenis voor kinderen (zodat de ouders van ze af zijn). Op de basisschool heb ik leraren aardig tot wanhoop kunnen drijven, door ze al hun strafmogelijkheden uit te laten putten, en dan nog steeds mijn eigen gang te gaan.

        Hacken door burgers kan een verstoorde informatie-balans herstellen, bijvoorbeeld als mensen met journalistieke doeleinden bij de overheid inbreken. Toch ben ik geneigd om het recht op privacy belangrijker te vinden; mijn conclusie is dan ook dat niemand mag hacken, ook de overheid niet. Transparantie moet dan maar op andere manieren afgedwongen worden, bijvoorbeeld via de democratische weg. De WOB is een kleine stap in de goede richting, maar eigenlijk zou de overheid standaard al haar activiteiten moeten publiceren, ook als niemand daar om vraagt. Elk gebrek aan openbaarmaking is per definitie verdacht (de overheid heeft geen privacy).

        1. De systemen van de overheid zouden zo veel mogelijk openbaar toegankelijk moeten zijn waarbij alleen privacy gevoelige informatie onzichtbaar is. Stukken over lopende zaken zouden (bij een goede reden) nog verborgen mogen zijn maar alle* stukken moeten na bijv 5 jaar altijd openbaar komen. Dan heb je een groot deel van de informatie achterstand al weggewerkt en omdat de stukken altijd openbaar komen zal een overheid (hopelijk) ook anders gaan werken omdat het moeilijker is om iets in de doofpot te stoppen/houden.

          Wat mij betreft mag de politie gewoon hacken net als dat ze nu een huiszoeking mogen doen. Dit moet alleen wel in uiterste gevallen gedaan worden als er geen andere (reële) opties zijn. En daarna moeten er volledige openheid van zaken zijn. Ik denk dat Dennis Wijnbergen hieronder redelijk goede voorwaarden zet.

          * natuurlijk zijn er wat zaken die echt te maken hebben met de nationale veiligheid en niet openbaar hoeven

  4. Of er een hackbevoegdheid moet komen vind ik een lastige vraag. Ik sta er persoonlijk tweeledig in; Enerzijds is het linke boel. Men verschaft zich, zonder dat je het door hebt, toegang tot jouw gegevens. Dit is anders dan bij een normale huiszoeking heb je zoiets wél door en kun je jezelf dus ook ‘verdedigen’ door zoiets op dát moment te laten toetsen door iemand die je bijstaat. De toegang die wordt verschaft is in de basis ook ‘onbeperkt’. Anderzijds, er moet wel iets gedaan kunnen worden tegen deze vorm van criminaliteit. De techniek stelt ons in staat om onszelf in grote mate te verstoppen en anoniem te zijn. Dat is in de basis erg goed, maar trekt ook criminaliteit aan. Daar moeten we als maatschappij iets mee. Enerzijds mogen de traditionele argumenten (terrorisme, etc.) geen argument zijn om alle te hacken, anderzijds mag privacy ook geen argument zijn om alles te weigeren.

    Ik kom daarom tot de conclusie dat ik er niet per se tegen ben (misschien niet hip oid) indien; – Er een machtiging door de RC (met voorwaarde waar men naar mag zoeken en welke mate van verdeking er moet zijn (m.i. een zeer forse)). – Er moet een bepaalde zwaarte aan het misdrijf zitten. Zoals je nu bijvoorbeeld ook hebt met 67/1 feiten. – Er moet, ook voor de verdachte inzichtelijk, zodra het onderzoek dit toelaat inzicht worden verschaft in wat er is gedaan en welke informatie is veilig gesteld en wat er mee ís gebeurd en gáát gebeuren. Ook als het OM besluit om niet te vervolgen. – Er moet precies worden vastgelegd (forensisch) (screencapture oid met een slimme tool?) wat men heeft gedaan en welke informatie is ingezien. Al deze informatie zou in het opsporingdossier moeten komen, zodat ook informatie in het voordeel van de verdachte in het dossier meegenomen moet worden. – Er eerst minder ingrijpende opsporingstechnieken zijn ingezet (maar da’s opzich redelijk geregeld)

    Misschien moeten er nog wat voorwaarden bij, waar ik nog niet aan heb gedacht. Misschien zitten er nog wel juridische implicatie (jurisdictionele problemen) aan die ik onvoldoende kan overzien. Ik weet wel dat de beide uitersten mij niet direct kunnen bekoren.

      1. Volgens mij mag de politie wel achtervolgen en tot stoppen dwingen maar dan zal de politie van het buurland het over moeten nemen. Die kunnen ze dan aanhouden en dan zal er een uitleveringsverzoek gedaan moeten worden. De politie heeft (dacht ik) ook speciale teams voor de grensstreken waarbij ze samenwerken met hun collega’s in het buurland.

      2. Dat is niet echt mijn expertise, maar in de basis vervalt, tenzij anders geregeld, je status als ‘opsporingsambtenaar’ inclusief je priveleges. Ik weet dat er hier in de buurt wordt gewerkt met een zogenaamd GPT (Grensoverschrijdend Politie-team). Volgens mij ligt daar dit vedrag aan ten grondslag.

  5. Een ander punt is dat dit internationaal gevolgen heeft: als Nederland zichzelf de bevoegdheid geeft om in buitenlandse computers te hacken, dan kan het in alle redelijkheid niet meer klagen als andere landen in Nederlandse computers gaan hacken.

    Als de Nederlandse overheid alleen binnen Nederland mag hacken, dan heeft dat in de praktijk weinig waarde, tenzij er intensief wordt samengewerkt met overheden wereldwijd. Maar: voor die samenwerking moet je het wel eens zijn over de regels: wanneer mag wat gedaan worden bij hacken, welke misdaden mogen hiermee aangepakt worden, enzovoort.

    Kortom: we moeten ofwel tolereren dat de Chinese overheid hier komt hacken om Tibetaanse groeperingen op te sporen, ofwel we moeten zelf op verzoek van de Chinese overheid Tibetaanse groeperingen opsporen, ofwel we moeten niet meedoen aan al dat gehack.

    Ik denk dat mijn conclusie is dat een wereldwijd Internet niet valt te reguleren zonder een wereld-overheid. Ik ben tegen een wereld-overheid maar voor een wereldwijd Internet, en ik ben bereid de consequentie te accepteren dat het Internet niet valt te reguleren. De enige goede reactie op het bestaan van hackers is zelfverdediging, of het nou criminele hackers zijn, hackers van de Nederlandse overheid of hackers van een buitenlandse overheid. Zelfverdediging bestaat niet uit terug-hacken: het bestaat uit het op orde hebben van je eigen computerbeveiliging.

  6. FYI, ik was dinsdag bij een presentatie van Rogier Spoor van SURFnet, waar de bevoegdheden van een ISP ook ter sprake kwam:

    SURFnet develops codes of conduct how SURFnet could be involved with actions to combat botnets. As a first step SURFnet asked legal experts to write an expert opinion on legal aspects: privacy law when personal data is involved and criminal law when botnets are dismantled. On the basis of these opinions codes of conduct are developed. SURFnet is aiming at a broad consensus on these codes of conduct involving the affiliated institutions but also the public prosecutor, the Dutch National Cyber Security Centre and Dutch data protection authority.
    De slides staan op: De slides staan op: https://tnc2014.terena.org/core/presentation/51

    1. NB: Wat ik er van opgepikt hebt: • Het is vaak niet nuttig om een botnet op te rollen, in twee weken is het weer up and running • Onduidelijk van wie de gestolen data is (meestal staat er geen adres bij) • Vaak is IP adres bekend, maar na verloop van tijd is IP niet direct te herleiden tot een persoon. • Onduidelijk wat je als ISP mag doen om dit terug te krijgen bij de eigenaar: door privacywetging mag je ook niet zomaar naar de data zelf kijken.

    2. Ik denk dat ISPs best een nuttige rol kunnen spelen bij de aanpak van botnets. Ik heb de presentatie niet bekeken, dus ik weet niet precies wat de ideeën van SURFnet zijn, maar ik denk dat een ISP in eerste instantie in het belang van en in consensus met de klant moet optreden.

      Binnen die manier van werken moet er al een heleboel mogelijk zijn om botnets aan te pakken, aangezien vrijwel niemand deel wil uitmaken van een botnet, en aangezien een ISP meer expertise heeft dan de gemiddelde klant. Zodra een ISP een botnet-infectie detecteert, kan men * de internetverbinding geheel of gedeeltelijk blokkeren totdat het probleem is verholpen (in overeenstemming met wat vooraf met de klant is overeengekomen, bijv. bij het afsluiten van het abonnement) * contact zoeken met de klant, en hulp bieden bij het verwijderen van kwaadaardige software en fixen van beveiligingslekken * de klant scannen op bekende veiligheidslekken (in overeenstemming met wat vooraf met de klant is overeengekomen, bijv. bij het afsluiten van het abonnement) en contact zoeken in geval van kwetsbaarheid

      Het bovenstaande bevat wel nadelen voor de klant, bijv. het detecteren van botnets is een soort privacy-schending, en het direct beperken van internet-toegang kan beschikbaarheids-schade veroorzaken, ook als de scan van de ISP een false-positive oplevert. Ik denk dat bovenstaande optioneel zou moeten zijn voor de klant, maar het mag best opt-out zijn i.p.v. opt-in.

      Het wordt wat lastiger als ISP en klant het niet eens zijn over de te nemen acties, maar ik neem aan dat dat een weinig voorkomend probleem is. Ik denk dat het goed genoeg is als de ISP daarbij by default doet wat de klant wil, tenzij het echt illegaal is.

  7. In het Nutech-artikel wordt gemeld dat de rechter-commissaris hiervoor een machtiging heeft afgegeven. Leuk, maar onder welk artikel dan? Ik kan niet bedenken welk wetsartikel men hiervoor zou inzetten. Hooguit het in beslag nemen van de server en deze dan doorzoeken

    Is er geen artikel om het continueren van een misdrijf te stoppen om daarmee verdere schade te voorkomen?

    1. In die algemene zin: nee. Er moet echt een specifieke bevoegdheid zijn voor een specifieke actie van de politie. Stel er wordt in een huis iemand mishandeld. Dan moet er echt een machtiging tot binnentreden van een woning zijn (of acute nood omdat de agenten hulpgeroep horen of het zien gebeuren).

    2. Dan moet je echt optreden o.b.v. het misdrijf/overtreding. Die bepaalt namelijk welke bevoegdheden je hebt. Zo mag je bij een verdachte van moord, meer dan bij iemand die een plaats ongeval verlaat.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.