Mag de politie je systeem patchen na een malware infectie?

De FBI gaat nu netwerken van privépartijen patchen, las ik (vrij vertaald) bij Schneier’s blog. Het gaat om honderden met malware geïnfecteerde Microsoft Exchange-servers, waar webshells (commandoregel-toegang op afstand) op waren geplaatst. Nadat de federale politie daartoe door een rechtbank was gemachtigd, gaf zij al deze servers een speciaal commando waarmee de kwaadaardige code werd gewist. Dat gaf dus ophef, want men passeerde zo het eigen IT-beleid van die organisaties. En hoezo mag de politie überhaupt bij mensen thuis dingen komen fixen?

Over een week gaat de politie bij ons Emotet wissen van een miljoen computers wereldwijd, dus dit is lekker actueel. Ik zei toen dat dat mocht, want wij hebben artikel 125o Wetboek van Strafvordering:

Indien bij een doorzoeking in een geautomatiseerd werk gegevens worden aangetroffen met betrekking tot welke of met behulp waarvan het strafbare feit is gepleegd, kan de officier van justitie dan wel indien deze de doorzoeking verricht, de rechter-commissaris bepalen dat die gegevens ontoegankelijk worden gemaakt voor zover dit noodzakelijk is ter beëindiging van het strafbare feit of ter voorkoming van nieuwe strafbare feiten.

De doorzoeking vond hier plaats in de centrale server, en via die server vind je dan ook de clientsoftware bij de slachtoffers thuis. Dat zijn “gegevens met behulp waarvan het strafbare feit is gepleegd”, zodat de politie die mag wissen (ontoegankelijk maken).

In de VS moet de FBI het doen met Rule 41, waarmee men algemeen gezegd warrants oftewel bevelen mag halen om bewijs of contraband mee te nemen, illegale voorwerpen in beslag te nemen of mensen op te halen. In het jargon, een search & seizure – zoeken en inbeslagname. Onder deze Rule heeft men nu de warrant gekregen om op al die Exchange-servers binnen te dringen en daar de wis-instructie te geven. En dat is wat vreemd, want oké ze zouden fysiek langs mogen gaan en al die servers meenemen met zo’n bevel maar dat blijft wat anders dan een stukje informatie daarop aanpassen.

Niet gek dus dat vele mensen op de achterste benen staan. Het gaat ook verder dan eerdere zaken waarbij de FBI botnets verwijderde: daar kwamen de geïnfecteerde computers naar de inbeslaggenomen server toe voor nieuwe instructies, en men kon toen vrij eenvoudig “wis jezelf” teruggeven. Dat is toch wat anders dan actief inloggen bij die clients en daar een wis-instructie geven.

Arnoud

9 reacties

  1. Het is juridisch anders, en het is technisch anders, maar ik vind dat het functioneel, moreel, en ethisch niet anders is. Is er in de Amerikaanse wet geen bepaling over billikheid of iets dergelijks waarmee je zoiets kan rechttrekken?

    1. In Nederland heb je natuurlijk zaakwaarneming (buurman op vakantie, kraan staat open, dus je breekt in om de kraan dicht te draaien), maar dat geldt expliciet niet voor de opsporingsdiensten. Op het moment dat opsporingsdiensten dit doen, kan het best zijn dat ze bewijs tegenkomen van ‘andere criminele activiteiten’ en verder gaan zoeken. Dat breekt met bijvoorbeeld het EVRM artikel ‘recht op persoonlijke levenssfeer’. Daarnaast, zoals Freeaqingme ook zegt: hoe zit het met aansprakelijkheid van de politie?

      1. De politie (meer algemeen: de overheid) aansprakelijk stellen voor iets dat binnen hun gewone werk valt, is lastig. Als ze onrechtmatig handelen, dan gaat het via de gewone regels. Maar als ze bevoegd zijn het te doen (je deur openbreken omdat ze denken dat er een inbreker is) dan ligt het lastiger. Het kan wel: 1. als er sprake is van rechtmatig overheidsoptreden en, 2. de schade buiten het normaal maatschappelijke risico valt en, 3. als er geen sprake is van eigen schuld van de benadeelde.

        Ik zou die derde wel een leuke vinden: toon maar aan dat de schade door de politie komt en niet door de malware, of überhaupt doordat je systeem al buitengewoon zwak ingericht was. Je was immers niet besmet door malware als je geheel ISO 27001 en onder de firewalls had gezeten.

        1. Het hangt er denk ik ook vanaf wáár ze de bewijsstukken in zo’n geval vinden. Als ze allerlei lades gaan openmaken, dan zijn ze duidelijk niet op zoek naar de inbreker, maar als ze kijken of de inbreker zich in een kledingkast heeft verstopt en ze zien daar toevallig 4 zakken liggen die sterk op cocaïne lijken, dan wordt het, neem ik aan, een ander verhaal.

  2. (c) Persons or Property Subject to Search or Seizure. A warrant may be issued for any of the following: (1) evidence of a crime; (2) contraband, fruits of crime, or other items illegally possessed; (3) property designed for use, intended for use, or used in committing a crime; or

    Valt dit niet onder 1, evidence of a crime?

    In Nederland is data niets is dat in de USA ook zo of is het daar wellicht een “item” of “property”?

      1. Het verzamelen van de data van de besmetting is inderdaad gewoon logisch en noodzakelijk voor het verzamelen van het bewijs. Ik neem maar weer eens een voordeur analogie (hoewel ze vaak incompleet zijn). Als de politie ziet dat een slot van de voordeur is geforceerd, mogen ze op onderzoek uit. Als vervolgens een inbraak wordt geconstateerd, zullen ze het bewijs van de inbraak verzamelen (foto’s opengebroken slot, huis overhoop gehaald etc). Maar als nu blijkt dat de bewoner van het pand op vakantie zijn, zich dus niet direct bewust zijn van de inbraak en niet binnen 24 uur terug kunnen zijn, zullen er toch acties ondernomen moeten worden om een nieuwe inbraak te voorkomen (lees: slot/deur vervangen, zodat de boel weer dicht kan). De malware op een computer verwijderen kan via dezelfde beargumentatie rechtvaardig gevonden worden.

  3. Ik ben ook wel benieuwd wat dit doet met de aansprakelijkheid van de politie, en dit nu ook als verkapt opsporingsmiddel ingezet kan worden. Stel de politie patcht een systeem, maar het systeem wordt daardoor in z’n geheel onbruikbaar. Hoe kom je er dan achter dat het de politie was die het geheel onbruikbaar gemaakt heeft, en zou je die dan voor de vervolgschade aansprakelijk kunnen stellen?

    Andere puntje; als de politie inlogt op zo’n exchange server, en toevallig in een logbestand ziet dat men die server gebruikt om criminele activiteiten voor te bereiden. Zou men dat dan kunnen gebruiken om een onderzoek op te starten?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.