Mag je je verzetten tegen de Aftap- en Hackwet?

De Eerste Kamer nam gisteravond een wet aan waarmee de geheime diensten het internet op grote schaal kunnen aftappen, en de verzamelde mailtjes en appjes drie jaar mogen bewaren. Dat las ik bij RTL Nieuws. Maar de wet gaat niet alleen over aftappen: de nieuwe wet maakt het ook mogelijk dat de AIVD kennissen van verdachten mag hacken. Wat diverse lezers de vraag deed opperen: wat mag je daartegen doen, als je de AIVD in je firewall ziet?

Het idee achter dat stukje van de Hackwet is dat de meeste criminelen (althans, verdachten) wel enigszins op de hoogte zijn van elementaire ICT-beveiliging. Kennissen zijn dat waarschijnlijk minder, dus dat biedt dan een interessant secundair kanaal van informatie.

Dat de AIVD iets mag, wil natuurlijk niet zeggen dat je daar automatisch alle gelegenheid voor moet bieden. De wet eist niet dat jouw netwerk aftapbaar of anderszins toegankelijk is voor overheidsdiensten (behalve als je aanbieder van een openbaar telecomnetwerk bent, maar dat terzijde). Als je dus je ICT zo stevig dichttimmert dat de gleufhoeden zuchtend elders heengaan, dan is dat helemaal prima.

Sowieso is het natuurlijk heel verstandig om anno 2017 je netwerk en ICT-middelen goed te beveiligen; malware, spionage vanuit andere landen en gewone criminelen liggen natuurlijk óók op de loer. Dus voorzie alles van encryptie, werk je software bij, installeer een goede firewall en uitgebreide logging en zorg voor moeilijk voor derden toegankelijke backups.

Het opzetten van honeypots waar de aanvaller lang mee bezig is, is al een iets actievere tegenmaatregel. Het idee is dan dat je hem afleidt met een interessante maar neppe bron, bijvoorbeeld een groot bestand dat je iets van “ISIS full membership addresses Netherlands.xlsx” noemt en waar men dan jarenlang decryptie op loslaat voordat men ontdekt dat het gewoon een nepbestand is. Daar is weinig mis mee, dat is hooguit verspilling van iemands tijd.

Lastiger wordt het bij de actievere vormen van verdediging, zoals terughacken, -ddossen en anderszins -slaan van de aanvaller. Een voorbeeld is het neerzetten van dergelijke lokbestanden maar dan voorzien van malware, waarmee je hoopt dat de aanvaller dan wordt geïnfecteerd. Het digitale equivalent van een kluis waarin een kruisboog op scherp staat, met touwtje verbonden aan de deur. Auw.

Dergelijke handelingen zijn natuurlijk strafbaar; verspreiding van malware maar ook het uitvoeren van een DDOS aanval of inbreken in iemands systeem is niet toegestaan onder het Wetboek van Strafrecht. Ook niet als die iemand dat net bij jou zelf stond te doen. Natuurlijk is de kans klein dat de AIVD aangifte gaat doen van een terughack of malware-infectie, maar je weet in het algemeen natuurlijk nooit of het die dienst is dan wel een echte crimineel die een onschuldige derde z’n computer gebruikte om bij jou binnen te dringen. Dus nee, dat zou ik niet doen.

Arnoud

9 reacties

  1. Het opslaan van een of meerdere bestanden die bij derden malware proberen te installeren is toch nog redelijk passief. Zelf terughack software activeren bij detectie van poging tot inbraak op een locale computer is alweer actiever. Zelfs deze tweede variantt lijkt me nog wel als ‘zelfverdediging’ te kwalificeren. Vooral als het off line halen van een systeem of dienst eigenlijk geen optie is.

    1. Terughacken lijkt me sowieso niet verstandig, om de reden die Arnoud ook al noemt.

      je weet in het algemeen natuurlijk nooit of het die dienst is dan wel een echte crimineel die een onschuldige derde z’n computer gebruikte om bij jou binnen te dringen.
      Daarnaast kan de AIVD zelf ook prima andermans computer gebruiken om jou te hacken. Daar hebben ze expliciete toestemming voor.
      de nieuwe wet maakt het ook mogelijk dat de AIVD kennissen van verdachten mag hacken.

        1. Beetje professionele beveiligingsonderzoeker kan het in mijn inbreeksysteem laten lijken alsof jij met een aanval bezig bent, terwijl dat helemaal niet zo is. Dus dan zou ik jou mogen aanvallen, en als jij dan gaat klagen hoef ik alleen maar te zeggen “mijn inbraak detectie systeem zei dat jij begon”.

  2. dergelijke lokbestanden maar dan voorzien van malware

    Hmm is dat niet afhankelijk van het doel van de bestanden? Wat ik thuis uitspook in een gesandboxte testomgeving is compleet aan mijzelf (ga ik voor het gemak van uit). Het lijkt me dat er geen verbod is om bestanden malware te hebben, voor testdoeleinden of om te kijken wat het nu met een systeem doet. Als de AIVD zelf besluit te hacken en vervolgens daardoor schade oploopt lijkt het me toch echt het probleem van de AIVD en niet die van mij.

    1. Zeker gaat het om intentie, daarom noem ik het ook lokbestanden. Al snuffelend malware oplopen is inderdaad het risico van de inbreker. Maar als jij die malware ergens neerzet met doel dat de inbreker die downloadt, dan wordt het anders.

      Natuurlijk blijft het lastig bewijzen wat jouw doel is.

  3. Arnoud, Als jij een bestand hebt met de titel “ISIS full membership addresses Netherlands.xlsx”, dan gaat een beetje opsporingsambtenaar er wellicht van uit dat er een redelijk vermoeden van schuld bestaat betreffende het deelnemen aan een terroristische organisatie, en waarschijnlijk ook betreffende het voorbereiden of vergemakkelijken van een terroristisch misdrijf. Dan krijg jij een enkeltje naar de terroristenafdeling in Vught, om daar een tijdje met volledige beperkingen te verblijven totdat deze opsporingsambtenaar dat bestand heeft weten te openen (volgens jouw eigen zeggen is dat jaren later). Lijkt me niet leuk, en daarom zou ik dat soort bestanden niet willen hebben als ik jou was. Tis maar een suggestie.

    1. Er is ook nog zo iets als het uitbreiden van Art. 125k Wetboek Strafvordening met een decryptiebevel (nog niet in Nederland actief, maar reeds in Frankrijk en Verenigd Koningrijk). Als jij dan een bestand met random data: “ISIS full membership addresses Netherlands.aes” noemt, en men heeft een redelijk vermoeden dat je de sleutel weet, dan wordt het lastig slapen.

      (Ik denk trouwens niet dat zo’n bestand alleen voldoende is voor enkeltje Vught, maar ik denk zeker dat je wat vaker een witte bus voor je huis ziet geparkeerd.)

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.