Moet de overheid zerodays wel of niet gebruiken in de handhavings- en inlichtingendiensten?

| AE 12832 | Regulering | 7 reacties

qimono / Pixabay

Op Twitter las ik deze inhaker op een NRC-column van jurist Vincent de Haan over gebruik van zero-days. “Zonder 0days wordt onze overheid nog machtelozer online dan ze nu al zijn en dat kunnen we ons niet veroorloven. Als de overheid niet digitaal kan optreden loopt onze privacy en veiligheid een groot gevaar”, aldus Ronald Prins daar. Daar stelde De Haan dus tegenover “Met behulp van [zerodays] houden autoritaire regimes journalisten, activisten en advocaten in de gaten. … Maar we moeten ons realiseren dat de Nederlandse overheid, door het gebruiken van zero-days – één van de belangrijkste ingrediënten van de Pegasus software – medeverantwoordelijk is.”

Een zeroday is security-jargon voor een kwetsbaarheid waarvan misbruik te maken is, maar die nog niet bekend is bij de maker van de software of dienst. (De etymologie is wat vaag maar lijkt afkomstig uit de warez scene waar het ging over de zeer prestigieuze actie om gekraakte software dezelfde dag als het origineel te publiceren. Het heeft dus niet perse te maken met dat de bug zero days geleden ontdekt of gemeld is of iets dergelijks.)

Wie een dergelijke kwetsbaarheid heeft, kan bij de betreffende software inbreken en bijvoorbeeld gegevens aftappen, eigen software (zoals spyware) installeren of wat je maar zou willen doen. Dat is voor criminelen aantrekkelijk maar ook voor opsporings- en inlichtingendiensten die op die manier interessante personen kunnen volgen. Of dus journalisten kunnen volgen en dan arresteren wanneer deze al te irritant worden. Zoals bij de Pegasus-software, waar deze heisa mee begon.

Het punt is dan dat overheden niet perse zelf kwetsbaarheden gaan ontdekken, maar deze ook op de vrije markt gaan inkopen. En vooral, dat die overheden vervolgens de makers niet informeren maar het gat lekker laten bestaan:

Het Pegasusschandaal is immers precies waarvoor gevreesd werd bij de invoering van de hackbevoegdheid: onschuldige mensen worden gehackt met kwetsbaarheden die bij de overheid reeds bekend waren, maar die voor het gemak van het boevenvangen niet gedicht zijn.
Prins stelt daar tegenover dat “Als duidelijk is dat 0days misbruikt worden door criminelen of andere staten moeten ze onmiddellijk gemeld worden. In het algemeen geldt dat software altijd meerdere kwetsbaarheden zal hebben. Het melden van niet gebruikte 0days maakt een product niet significant veiliger”. Dat is natuurlijk waar, maar waar het om gaat is of het ethisch is dat de overheid weet van grote kwetsbaarheden en die dan voor zich houdt omdat ze die nodig heeft voor de inlichtingen- en veiligheidsdiensten.

Natuurlijk kun je dan zeggen, als die dit nodig hebben dan is dat in het landsbelang. Maar het is nooit zo dat een dergelijk gat alléén bekend is bij de AIVD, zeker niet als het op de vrije markt is ingekocht. Want reken maar dat zo’n bedrijf diezelfde informatie verkoopt aan wie dan ook, dus de criminelen hebben dit snel genoeg te pakken. Is het dan niet juist je maatschappelijke plicht als overheid om deze lekken zo snel mogelijk dicht te krijgen?

Arnoud

Zijn de Encrochat-berichten bruikbaar als bewijs?

| AE 12799 | Regulering, Security | 5 reacties

Europese speurders hebben de berichtendienst EncroChat gekraakt en zo ongeveer 1.800 vermoedelijke misdadigers kunnen arresteren. Dat meldde HLN een tijdje geleden. In het rechercheonderzoek 26Lemont kon de politie maanden live meekijken met bij criminelen razend populaire, versleutelde communicatie. Dit dankzij Nederlands/Franse samenwerking waarbij men een backdoor via de server van Encrochat ongezien op telefoons van alle 50.000 Encro-klanten wist te installeren. Een recent vonnis laat zien hoe de Nederlandse rechter daar tegen aankijkt.

De Encrochat-hack gaat niet zo ver als de Amerikaanse FBI truc waarbij men als politiedienst zogenaamd veilige telefoons verkocht (Anom) om vervolgens op het gemak mee te lezen. Er was daadwerkelijk een inbraak door politie op de servers van het bedrijf achter de Encrochat dienst gepleegd. Encrochat begon ooit als veilige dienst voor celebrities die bang waren voor hackende journalisten (met name in Engeland een reëel risico) maar werd ook veel door criminelen gebruikt.

De precieze details van de hack zijn nog steeds onduidelijk, maar het komt erop neer dat de Franse Justitie in samenwerking met de Nederlandse politie binnen wist te dringen in de infrastructuur van Encrochat en van daaruit malware op de telefoons wist te pushen. Althans, malware voor de criminelen – voor de politie was het natuurlijk een legitieme afluister- en kopieertool. Aldus wist men vele, heel vele criminele transacties en overleggen te pakken te krijgen, wat tot een golf aan arrestaties en strafzaken leidde.

Maar is dat nu legaal, zo’n actie? De operatie was goedgekeurd door de opsporingsdiensten en rechter-commissaris, maar dat is natuurlijk voor een beetje advocaat geen argument. Allereerst zit je met het punt dat de actie was gebracht als een onderzoek tegen het bedrijf van Encrochat, en hoezo mag je dan chats van gebruikers lezen? Dat staat buiten dat onderzoek, zou je zeggen. En ten tweede, hoezo mag de Franse justitie toestemming geven om chats van Duitse figuren te lezen die in Duitsland snode plannen maken?

In Nederland kwam dit voor het eerst begin juli in een vonnis terug. Acht verdachten stonden terecht in een grote strafzaak, en hadden onder meer bezwaar gemaakt tegen gebruik van Encrochat-data als bewijs tegen hen. Het eerste punt van bezwaar was dat in die Frans/Nederlandse samenwerking er geen bevel was van de Nederlandse rechter-commissaris. Maar dat hoeft niet, aldus de rechter: de feitelijke inbreuk op de privacy was door de Franse autoriteiten begaan, niet (ook) door de Nederlanders.

Je moet dan toetsen onder het Franse recht, en dat bleek goed gegaan te zijn:

In het dossier zitten (vertalingen van) een zestal Franse processen-verbaal waaruit afgeleid kan worden dat een Franse rechter toestemming heeft gegeven voor het onderscheppen van Encrochatgegevens en dat er periodieke rechterlijke controle heeft plaatsgevonden.
De Duitse rechter zag dat dus anders: die eist dat als het gaat om Duitse burgers, de Duitse rechter om toestemming wordt gevraagd.

Maar hoe zit dat dan met dat ‘bijvangst’-argument? Hoezo mocht men chats van gebruikers lezen als het onderzoek tegen het bedrijf gericht was en niet tegen verdachte gebruikers?

Voorafgaand aan de interceptie, zo stelt het openbaar ministerie, is ingezien dat een inbreuk op de persoonlijke levenssfeer van gebruikers van Encrochat voorzienbaar was, maar dat dit noodzakelijk was om bewijs tegen het bedrijf Encrochat te verzamelen. De verdediging stelt daar tegenover dat de Encrochat hack in werkelijkheid bedoeld was om bewijs te verkrijgen tegen individuele gebruikers van de Encrochat telefoons en ziet dit vermoeden bevestigd in de zogenaamde Britse stukken. De rechtbank acht deze stelling van de verdediging vooralsnog onvoldoende onderbouwd nu die Britse stukken op zichzelf niet onverenigbaar zijn met het standpunt van het openbaar ministerie dat het onderzoek zich richtte op het bedrijf Encrochat.
Het argument daar achter is dus dat als je legitiem bezig bent met een bedrijf te onderzoeken, en je vindt dan ook bewijs tegen gebruikers, dat dat als ‘bijvangst’ gewoon gebruikt mag worden. Het zou raar zijn als je dat moest laten liggen, terwijl je geen regel overtrad bij het vinden. Bijvangst is legaal verkregen bewijs. Dat wordt anders als dat onderzoek niet echt naar dat bedrijf was, maar een smoesje om eigenlijk de gebruikers te kunnen volgen.

Uit de Engelse stukken blijkt niet dat de Franse/Nederlandse samenwerking daarop gericht was. Oké, denk ik dan, maar een backdoor op al die telefoons pushen voelt niet als een heel logische actie bij een onderzoek naar het bedrijf.

Een volgend probleem was dat de verdediging al die berichten moeilijk kan onderzoeken. Dit is altijd een probleem in het strafrecht: het OM kan in theorie met onbeperkte middelen technisch onderzoek doen en deskundigen laten opdraven, en de advocaat van de verdachte moet maar hopen dat hij iemand vindt die het voor een leuk bedragje wil doen.

De rechter hier is bereidwillig:

Nu de verdediging in dit dossier voor de informatie over het onderzoek voor een belangrijk deel is aangewezen op de door het openbaar ministerie door onder nummer bekend zijnde officieren van justitie opgestelde processen-verbaal, is de rechtbank van oordeel dat in het licht van een eerlijk proces aan de verdediging de mogelijkheid moet worden geboden tot het uitoefenen van meer directe controle. Om die reden zal de rechtbank beslissen dat het verzoek tot het horen van de officier van justitie van het landelijk parket bekend als LAP 0797 zal worden toegewezen.
Kennelijk zijn de meeste stukken geheim, wat natuurlijk logisch is gezien de enorme scope van de vangst, maar wel wringt met het idee van openbaarheid in de strafrechtspleging. “We hebben bewijs maar u mag er niet te lang naar kijken want dan gaan andere onderzoeken stuk” is niet echt de bedoeling.

Ondertussen werkt het NFI aan meer gedegen rapporten over de werking van Encrochat en de hack, en ook deze documenten zullen met de verdachten worden gedeeld. Het is dus sowieso nog even afwachten, en de kans lijkt me groot dat we (net als in Duitsland) hoger beroep gaan krijgen. Ik ben heel benieuwd.

Arnoud

Mag Facebook optreden tegen gemeenten met nepprofielen?

| AE 12787 | Regulering | 21 reacties

Een lezer vroeg me:

In mei leerden we dat diverse gemeenten met nep-profielen actief zijn op sociale netwerken om burgers te volgen. Veel socialmedia hanteren echter een ‘real-name policy’ waarbij in de voorwaarden staat dat je je echte naam moet gebruiken. Hoe zit dat nu juridisch? Is de gemeente dan strafbaar (valsheid in geschrifte), is bewijs om die reden uit te sluiten en mag Facebook de accounts van die ambtenaren blokkeren?
Het maakte nogal wat los toen we in mei erachter kwamen dat gemeenten burgers volgen op sociale media en daarbij zelfs onder nepnamen (niet als opsporingsambtenaar herkenbaar) opereerde. Of dat legaal was, blijft voor mij de vraag. Gemeentes opereren namelijk niet onder het wetboek van strafrecht maar onder de Algemene wet bestuursrecht, en die lijkt meer ruimte te bieden.

Dat gezegd hebbende, natuurlijk overtreedt zo’n gemeente de regels van Facebook als ze een account maken dat niet op de eigen naam van de betreffende werknemer/ambtenaar aangemaakt is. Facebook mag dus dat account sluiten, en hoeft geen rekening te houden met de opsporingsbelangen van de gemeente. De Albert Heijn mag ook een volgauto van de sociale dienst van haar parkeerterrein wegsturen wanneer Janny daar btw fraude komt plegen, pardon boodschappen komt doen met gekregen geld.

Strafbaar is het niet om gebruiksregels te overtreden. Facebook bepaalt niet wat strafbaar is natuurlijk. In theorie zou Facebook de gemeente mogen aanklagen voor wanprestatie (in een civiele procedure dus) en schadevergoeding eisen, maar die schade lijkt me nihil. Want het is geen valsheid in geschrifte om een account op valse naam aan te maken. Voor dat misdrijf gaat het erom dat je iets vervalst dat bedoeld is als bewijsstuk (een diploma, een creditcard, een ondertekend contract), en dat is het account niet.

Als burger kun je hier echter niets mee. Het is iets tussen Facebook en de gemeente wat die dienstverlener doet met de nepaccounts van die ambtenaren. Jij kunt daar zeg maar geen rechten aan ontlenen, en het tast ook de bruikbaarheid van de constateringen (wat jij dus zei of deed op Facebook) in het geheel niet aan.

Arnoud

Politie overtreedt opnieuw regels voor inzet hackingtools

| AE 12762 | Regulering | 6 reacties

De politie heeft zich opnieuw niet aan de regels gehouden bij het inzetten van hackingtools. Dat las ik bij Tweakers, dat zich baseert op een rapport van de Inspectie Justitie en Veiligheid. In dit rapport concludeert de inspectie dat de politie zich niet hield aan de gestelde voorwaarden houdt voor het inzetten van hacking tools. De politie… Lees verder

Zweedse politie beboet voor gebruik gezichtsherkenning Clearview

| AE 12507 | Regulering | 8 reacties

De Zweedse politie heeft van de Zweedse privacytoezichthouder een boete van 250.000 euro opgelegd gekregen wegens het onrechtmatig gebruik van het gezichtsherkenningssysteem van het bedrijf Clearview AI. Dat meldde Security.nl onlangs. “De politie heeft onvoldoende organisatorische maatregelen ingevoerd om ervoor te zorgen dat het verwerken van persoonlijke data in dit geval volgens de wet plaatsvond”, aldus de… Lees verder

Autoriteiten verwijderen Emotet-malware op 25 april van besmette pc’s

| AE 12486 | Regulering | 3 reacties

Autoriteiten zullen de Emotet-malware waarvan de hoofdservers zijn overgenomen op 25 april van besmette computers verwijderen, las ik bij Security.nl, dat weer afging op een beveiligingsonderzoeker op Twitter. Vorige week lieten politie en het Openbaar Ministerie weten dat het gelukt was om het Emotet-netwerk over te nemen en de malware te deactiveren. Het ontmantelen is… Lees verder

Marechaussee mocht onder dwang vingerafdruk afnemen om telefoon te ontgrendelen

| AE 11100 | Regulering | 26 reacties

De Koninklijke Marechaussee mocht onder dwang de vingerafdruk van een verdachte afnemen om zijn telefoon te ontgrendelen, las ik bij Security.nl. De rechtbank Noord-Holland bepaalde dat dit legitiem was bij een verdachte die vorig jaar augustus was aangehouden op Schiphol aangehouden wegens het invoeren van drugs. De verdachte had betoogd dat dit in strijd was… Lees verder

Politie en FBI geven elkaar toegang tot databank met vingerafdrukken

| AE 10967 | Privacy, Regulering | 38 reacties

De Nederlandse politie krijgt toegang tot databanken met daarin vingerafdrukken van miljoenen Amerikanen, las ik bij Tweakers. Omgekeerd kan de FBI de Nederlandse strafdatabank met vingerafdrukken van 1,3 miljoen veroordeelden en verdachten benaderen. Zo moeten beide politiediensten makkelijker vingerafdrukken kunnen matchen aan bekende daders (of verdachten) uit eerdere onderzoeken. Een nogal opmerkelijke stap, die veel… Lees verder

Politie test koppelen cameradata tegen dieven in Roermond

| AE 10843 | Informatiemaatschappij | 41 reacties

De politie en de TU Eindhoven testen een systeem om data uit verschillende bronnen, met name camera’s, te koppelen en te analyseren, om winkeldieven uit Oost-Europa in een vroeg stadium te herkennen. Dat meldde Tweakers afgelopen maandag. De camera’s zijn die uit de anpr-nummerplaatherkenning, gekoppeld aan een database die de politie heeft over voertuigen die… Lees verder

Mag de eigenaar van een gestolen laptop deze opsnuffelen bij een legitieme koper?

| AE 9571 | Regulering, Security | 32 reacties

Een lezer vroeg me: Onlangs kreeg ik de politie aan de deur: ik zou in het bezit zijn van een gestolen laptop! Bij navraag bleek het te gaan om een tweedehands die ik keurig in een computerwinkel had gekocht (met bon, reële prijs, semi-bekende keten wiens naam ik even niet noem) dus niets aan de… Lees verder