Politie waarschuwt Nederlandse hostingbedrijven weer voor malafide resellers

De politie heeft Nederlandse hostingbedrijven net als vorig jaar weer een brief verstuurd waarin wordt gewaarschuwd voor malafide resellers, meldde Security.nl onlangs. Die verhuren de serverruimte van Nederlandse hostingbedrijven door aan andere partijen, waaronder cybercriminelen. De brief bevat een lijst van verdachte resellers, met het advies “dringend om te controleren of de genoemde resellers in [uw] klantenbestand voorkomen”  en dan de overeenkomst op te zeggen. Dat voelt als een zwaktebod, als je weet dat deze figuren zo malafide zijn waarom vervolg je ze dan niet? Nou ja, dat ligt dus ingewikkeld.

In juni blogde ik over het OM, dat het “werkelijk idioot” noemde hoe de juridische en technische werelden uit elkaar zijn gegroeid op dit punt. Je hebt een Nederlands bedrijf met een server hier, op die server staat een malafide site, maar de reseller zit formeel op de Seychellen en dan krijg je geen rechtshulpverzoek. De Nederlandse verhuurder werkt niet mee want die ziet ook niet wat zijn resellers verkopen, en kan dan verder niet ingrijpen. Ja, de hele serverkast offline halen, maar dat is nogal disproportioneel.

Zoals ik toen al zei, ik kan me niet direct voorstellen dat dezelfde reseller én een berg pittige cybercriminelen én Alipay Nederland als klant heeft, maar dit is het voorbeeld dat men steeds noemt. Deze brief lijkt dus een nieuwe actie te zijn, ga eens na of er rare figuren tussen je klanten zitten en zo ja, doe er wat aan als dat zo uitkomt.

Dat is nog een lastige, want het OM kan niet vorderen (eisen) dat een bedrijf de relatie met een klant verbreekt. En dan krijg je dus de discussie of je als politie vriendelijk mag vragen terwijl er geen grond voor is. Vaste lezers weten dat dat discutabel is, omdat mensen vragen van politieagenten al snel opvatten als een vriendelijke geformuleerd bevel. De juridische regel is dat het mag, tenzij de vraag in meer dan triviale mate iemand in zijn grondrechten treft. Bij wijze van spreken: vragen of je iemand op een gele scooter hebt zien wegrijden daarnet, dat mag gewoon. Vragen of ze even je securitycambeelden mogen bekijken, dat vergt een vordering en dat mogen ze dus niet vragen.

Ik zie eerlijk gezegd geen grondrechten nontriviaal in het geding komen met deze vraag “heroverweeg eens de relatie met deze onwelriekende partijen”. Ja, ondernemersvrijheid, maar die pleit juist vóór het kunnen afsluiten. (Ik denk dat het OM het zo toejuichen als die resellers rechtszaken beginnen, want dat levert veel inzicht in relevante informatie.) En bovendien zit er nog een eigen check op, “we zeggen hierbij op want we kregen een brief van de politie” is juridisch geen steekhoudend argument. Maar “op basis van politie-informatie hebben wij – zie artikel 8.3 van onze voorwaarden – uw account geïnspecteerd en daar cybercrime-forums aangetroffen, dat is in strijd met artikel 4 TOS en daarom zegen wij op” is wél een geldige reden om op te mogen zeggen.

En let op: het gaat hier om civiel recht, dus de eisen zijn een stuk lager dan wanneer het OM een rechtszaak tegen zo’n reseller zou beginnen. Zeker als je een béétje fatsoenlijke voorwaarden hebt, waarin dingen staan als “naar ons redelijk oordeel” in plaats van “wettig en overtuigend is vast komen te staan met toegelaten bewijsmiddelen” (art. 338 en 339 WvSv). Omdat het gaat om zakelijke relaties, is er contractueel heel veel ruimte.

Arnoud

Trouw: politie houdt van 9 miljoen mensen automatisch levensgebeurtenissen bij

Iedereen met wie de politie ooit contact heeft gehad, staat in de computer. Dat bracht Trouw onlangs (via). De gegevens zijn afkomstig uit de Basis Registratie Personen (BRP) en worden automatisch door politie opgevraagd. De politie verzamelt zo informatie over onder anderen verdachten, slachtoffers, getuigen of mensen die ooit een aangifte hebben gedaan. Dit gebeurt al jaren (al in 2015 waren er zorgen) maar de politie lijkt niet van zins te stoppen. Huh.

De gegevens worden nooit verwijderd, zelfs niet na het overlijden van een persoon. Dat meldt Tweakers erbij. De politie volgt op deze manier steeds meer mensen en bewaart zo ook onnodig informatie die niet langer van belang is voor een bepaalde zaak. Een woordvoerder van de politie reageert naar Trouw met “Voor het gebruik en actueel houden van die gegevens hebben we een juridische grondslag.”

Dat zal de Wet politiegegevens zijn, want artikel 4 lid 1 daarvan bepaalt dat de politie ervoor moet zorgen dat persoonsgegevens in hun bestanden “juist en nauwkeurig” zijn. Ben je dus met iemand bezig, dan is verdedigbaar dat je via de BRP bijhoudt of die persoon verhuist.

Dit is alleen niet hetzelfde als van alle personen die ooit met de politie spraken (het gaat ook over getuigen en mensen die een keer 0900-8844 bellen)  continu de gegevens actualiseren. Want diezelfde Wpg bepaalt ook

De verwerkingsverantwoordelijke treft de nodige maatregelen opdat politiegegevens worden verwijderd of vernietigd zodra zij niet langer noodzakelijk zijn voor het doel waarvoor zij zijn verwerkt of dit door enige wettelijke bepaling wordt vereist.
Als iemand ooit een melding deed van bijvoorbeeld een ongeval of een inmiddels geseponeerd strafbaar feit, dan is er geen reden meer om die gegevens te houden. En als je ze al wil houden voor het geval dat, dan is er geen reden om van die persoon de BPR gegevens er steeds weer bij te pakken. Een historisch dossier is precies dat.

Voor mij zit de verklaring uiteindelijk in de laatste alinea bij Security.nl:

Dat de situatie nog altijd niet is aangepast komt volgens de politie doordat het om grote logge applicaties gaat die niet zomaar zijn uit te zetten.
Het zou me inderdaad helemaal niets verbazen als de applicatie zo gebouwd is dat deze alle betrokkenen uit het eigen bestand synchroniseert met de BRP, en dat er geen selectieknopje is of filter voor “alleen iedereen in actieve dossiers” of “alleen indien betrokkene verdachte” of iets dergelijks. Maar goed: “We hebben zelf de conclusie getrokken dat we met minder gegevens toe kunnen, en daar werken we aan”, aldus Henk Geveke van de korpsleiding.

Arnoud

 

Rechter beveelt politie in te loggen op WhatsApp-account overleden slachtoffer

Pexels / Pixabay

De rechter-commissaris in Den Haag heeft de politie bevolen om in te loggen op het WhatsApp- en Google-account van een overleden slachtoffer en zo de WhatsApp-communicatie en Google Takeout veilig te stellen voor zover die gegevens relevant zijn voor het onderzoek. Dat las ik bij Security.nl. Opmerkelijk, want de wet voorziet niet in een specifieke bevoegdheid hiervoor maar gezien de jurisprudentie zou het moeten kunnen.

Het slachtoffer is vermoedelijk door een misdrijf om het leven gekomen, en de politie had het vermoeden dat de WhatsApp- en Google Takeout communicatie relevant bewijs kon geven. Deze uit de telefoon van het slachtoffer halen lukte niet, omdat de telefoons onvindbaar waren. Een vordering bij WhatsApp-moederbedrijf Meta heeft geen zin vanwege de e2e encryptie, en Google zou volgens de officier makkelijk twee jaar over een rechtshulpverzoek doen en het dan waarschijnlijk afwijzen.

Blijft over de optie van de backup terugzetten. Daarvoor is technisch nodig dat je de sim van de verdwenen telefoon dupliceert (de provider kan dit), deze in een nieuwe telefoon plaatst en dan het WhatsApp-account herstelt. Alle backupdata wordt dan teruggezet, en daarna kun je deze lezen vanaf je nieuwe telefoon. Alleen, nergens in de wet is geregeld dat opsporingsambtenaren dit mogen doen. Je zou het zelfs een vorm van hacken kunnen noemen, binnendringen in andermans account bij WhatsApp immers.

De rechter-commissaris ziet in deze specifieke vorm van binnendringen weinig crimineels:

Het betreft stappen die een gebruiker zelf ook kan of zelfs moet zetten op het moment dat deze geen toegang meer heeft tot een account. Het terugzetten van een back-up (zoals bij WhatsApp) kan als een gebruikelijke handeling worden beschouwd, een back-up is immers bedoeld voor de situatie waarin er onverhoopt geen toegang meer tot de gegevens bestaat. Ook het moeten invoeren van bepaalde codes of het invullen van beveiligingsvragen om toegang te verkrijgen tot een account (zoals bij Google) is niet ongebruikelijk. … Het aanvragen van een duplicaat simkaart en het afvangen van een verificatiecode gebeurt niet alleen met toestemming van de nabestaande, maar valt naar het oordeel van de rechter-commissaris ook binnen de rechtmatige uitoefening van de politietaak gelet op artikel 3 van de Politiewet en de artikelen 141 en 142 Sv.
Het helpt natuurlijk zeer dat die nabestaande van het slachtoffer ook wilde wat er was gebeurd, en dus toestemming wilde geven. Of dat juridisch genoeg is om het binnendringen rechtmatig te maken, kun je over twisten: een nabestaande kan ook niet per definitie toestemming geven om een garagebox van de overledene open te breken. Maar de rechter-commissaris gebruikt het hier als een van de argumenten die maken waarom het binnendringen door de politie rechtmatig is.

Natuurlijk krijg je na deze actie toegang tot alle logs van alle chats, maar de vordering was beperkt tot bepaalde gesprekken in de elf dagen tot het overlijden. De overige data mag dus niet worden gebruikt.

Arnoud

Politie stuurt waarschuwingsbrief naar vermeende afnemers ddos-dienst

geralt / Pixabay

De politie heeft afgelopen maandag een waarschuwingsbrief gestuurd naar 29 mensen die in verband worden gebracht met het afnemen van ddos-diensten. Dat meldde Security.nl onlangs. “We hebben je geregistreerd in ons systeem en je krijgt nu een laatste waarschuwing. Als zich in de toekomst nieuwe soortgelijke feiten voordoen, gaan we over tot vervolging. Houd in dat geval rekening met een veroordeling, strafblad en het kwijtraken van je computer en/of laptop”, zo staat in de brief vermeld.

De briefontvangers zouden via de website MineSearch ddos-diensten hebben afgenomen, waarmee het mogelijk was om tegen betaling ddos-aanvallen te laten uitvoeren. Vorig jaar juli doorzocht politie de woningen van twee verdachten die vermoedelijk bij de website betrokken zijn. Daarbij kwamen deze klantgegevens (ik moet nu zeggen: allegedly-klant) kennelijk naar boven, en dan is het logisch dat je die mensen eens héél serieus aanspreekt.

Maar mag het, is dan gelijk de vraag die ik her en der zie. Het deed me denken aan die zaak uit januari waarbij de politie sms-berichten had gestuurd naar contacten die in de telefoons van vermeende drugsdealers werden aangetroffen. Logisch zou je zeggen, dat zullen vermoedelijk wel klanten zijn en het kopen van drugs is strafbaar, dus dat geeft een redelijk vermoeden van schuld.

De hoofdregel uit strafvordering (opsporing en bestrijding van strafbare feiten) is dat de politie alleen mag doen wat in het wetboek geregeld is. Ja, behalve wat geen of geringe inbreuk maakt op de grondrechten. Een praatje maken op straat is dus bijvoorbeeld gewoon prima, dat kun je moeilijk een inbreuk op je grondrechten noemen. Iemand meenemen naar het bureau voor een verplicht praatje is dat wel, en dat is dan ook wettelijk geregeld. Idem voor het doorzoeken van een in beslag genomen administratie of C&C server van een botnet.

Voor mij speelt hier ook mee dat er meer aanwijzingen zijn dan “je staat in de telefoon van een dealer”: je gegevens van een betaalde transactie voor een criminele dienst staan in de administratie van de (vermoedelijke) crimineel die deze verzorgde. Je bent onschuldig tot het tegendeel bewezen is, maar hier de vermoorde onschuld bepleiten is toch wel erg ingewikkeld in deze omstandigheden.

We hebben je geregistreerd in ons systeem en je krijgt nu een laatste waarschuwing. Als zich in de toekomst nieuwe soortgelijke feiten voordoen, gaan we over tot vervolging. Houd in dat geval rekening met een veroordeling, strafblad en het kwijtraken van je computer en/of laptop.
Er lijkt mij gezien die feiten eigenlijk al genoeg aanleiding te zijn om direct tot onderzoek en aanhouding over te gaan, dus dan is deze brief volgens mij juist een tegemoetkoming en niet een juridisch probleem.

Arnoud

Politie Los Angeles gevraagd om socialmedia-accounts burgers te noteren

Agenten van het politiekorps van de Amerikaanse stad Los Angeles hebben instructies gekregen om van elke burger die ze spreken de socialmedia-accounts en e-mailadressen te noteren, ook als er geen verdenking van een misdrijf is. Dat meldde Security.nl vorige week. Diverse lezers vroegen me of de Nederlandse politie dat ook zou mogen, en zo ja wanneer dan.

Wanneer agenten uit LA een burger spreken en de gegevens op een “field interview” kaarten noteren zouden ze ook om socialmedia-accounts en e-mailadres moeten vragen, zo blijkt uit instructies van het politiekorps. De via de kaarten verkregen informatie gaat in een systeem van het bedrijf Palantir, dat informatie uit allerlei bronnen samenvoegt voor analyses. Dat is natuurlijk saillant, Palantir is een dubieus bedrijf en ligt ook in Nederland onder vuur.

Maar laten we even een stapje terug doen. Stel de data gaat alleen politiesystemen in, en wordt niet gedeeld met vage particuliere clubs van derden. Zou het dan wel mogen? Het doel van field interviews in LA is gestructureerd noteren wat een getuige verklaarde, inclusief data zodat je die getuige kunt terugvinden voor bijvoorbeeld vervolgvragen. De social media gegevens kun je gebruiken voor dergelijk contact, en je kunt ook dingen correleren: tegen mij zegt hij A, op Twitter roept hij net B, dat is raar. Of: hij zegt de verdachte niet te kennen maar is op Instagram vriendjes met haar, daar ga ik eens nader achteraan.

In Nederland ken ik zulke formulieren niet. In de meeste gevallen is het ook niet relevant wat je op social media doet, tenzij hetgeen waar je over getuigt natuurlijk direct daarmee te maken heeft. En dan is het weer niet gek dat de agent vraagt onder welk account je online bent, zodat men zelf kan zien wat er gezegd of gedaan is of verder kan rechercheren.

Een stap verder gaat het inzien van een account. Dat kun je in Nederland niet eisen van een getuige, dat deze privéberichten of toegang tot het account verschaft. Daarvoor zal een bevel van de rechter-commissaris nodig zijn. Maar ik kan me dan ook weer niet veel situaties voorstellen waarin je die informatie vraagt bij een getuige, in plaats van vordert bij de informatiedienstverlener als deel van een lopend onderzoek.

Arnoud

Politie wil bij ernstige verdenkingen foto’s van kentekencamera’s gebruiken

De Nederlandse politie wil foto’s van kentekencamera’s, waar bestuurders zichtbaar op zijn, gebruiken als er ernstige verdenkingen zijn, las ik bij Tweakers. Men hoopt op méér ruimte van de wetgever, want juist door de strenge wet wordt meer privacy geschonden dan nodig is. Denk aan een gewapende overval, moord of doodslag, of een dodelijke aanrijding waarbij een verdachte is doorgereden. Nu wordt daar dan GSM-gegevens voor opgevraagd, waardoor van vele burgers locatiegegevens binnengeharkt worden.

Agenten krijgen een melding wanneer de auto van een verdachte langs een ANPR-camera rijdt. Volgens de huidige wet mag de politie met de ANPR-camera’s alle kentekens van passerende voertuigen vastleggen. Op die foto’s staan ook mensen, maar die moeten worden geblurd. Daar heeft de politie dan moeite mee:

De ANPR-foto’s gebruiken om daarop verdachten te herkennen mag niet. Daarom worden nu vaak telecomgegevens van zendmasten langs de snelweg opgevraagd om daarmee verdachten in de geregistreerde auto’s te identificeren. Dat zijn nog eens gegevens van duizenden onschuldige burgers. „Dat hoef ik niet meer te doen als de foto gewoon laat zien wie er achter het stuur zit.”
Men haakt hierbij in op de geplande evaluatie van de wet, die de input moet geven of deze wordt verlengd of ingetrokken, wat in 2022 zou moeten gebeuren. Sectorhoofd Sjoerd Top van de ANPR-camera’s: “Door de wet uit 2019, kunnen we bijvoorbeeld tien minuten voor en tien minuten na de overval alle kentekens opvragen die langs een camera in de buurt gekomen zijn.” Het probleem is dat nu beelden van ongeblurde mensen worden gebruikt bij onderzoeken (althans tot 1 juni), terwijl er voor het verzamelen ervan helemaal geen wettelijke basis was.

De politie pleit voor een uitbreiding van hun bevoegdheden: ongeblurde foto’s inzien bij ernstige misdrijven, waarbij wel de rechter-commissaris vooraf per geval beoordeelt of dit toegestaan is. Die opzet is de gebruikelijke voor zware opsporingsmiddelen, maar heeft natuurlijk als nadeel dat het zeer arbeidsintensief is. Ik zou dan ook zeer bezorgd zijn dat dit op korte termijn er weer af gaat als blijkt dat het een succes is.

Arnoud

Politie overtreedt opnieuw regels voor inzet hackingtools

De politie heeft zich opnieuw niet aan de regels gehouden bij het inzetten van hackingtools. Dat las ik bij Tweakers, dat zich baseert op een rapport van de Inspectie Justitie en Veiligheid. In dit rapport concludeert de inspectie dat de politie zich niet hield aan de gestelde voorwaarden houdt voor het inzetten van hacking tools. De politie is in 2020 vier keer een apparaat binnengedrongen waar geen goedkeuring voor werd verleend. Wat de vraag opriep, wat zou er gebeuren met die agenten die dat deden? Zijn die zelf strafbaar?

Nou ja, vrij weinig eigenlijk. Zoals in de comments ook al gezegd wordt, het gaat hier om ambtenaren die een overheidstaak uitvoeren. De Hoge Raad bepaalde in de zogeheten Pikmeer-arresten dat publiekrechtelijke rechtspersonen niet vervolgd kunnen worden als het de uitvoering betreft van een specifieke overheidstaak. Dat betekent ook dat individuele ambtenaren die zo’n taak uitvoeren, daarvan gevrijwaard blijven.

Een “specifieke overheidstaak” is kort gezegd een taak die niet geprivatiseerd kan worden, iets dat de overheid niet ook een burger kan laten doen. Bij die laatste categorie taken kan de ambtenaar die het doet dus wél vervolgd worden als de uitvoering strafbare feiten oplevert. En we hebben het hier natuurlijk over het opsporen van strafbare feiten of het zogeheten “terughacken”, oftewel inbreken bij derden in de hoop daders, bewijs of controle over softwarediensten te pakken te krijgen. Dat is echt een unieke politietaak. Ja, ik weet dat je ook hackers kunt inhuren maar die verrichten dan geen opsporingstaken.

Natuurlijk heeft zo’n situatie wel gevolgen voor de strafzaak waarbij zo gehandeld blijkt. Dergelijk bewijs zal al snel uitgesloten worden, juist omdat de politie zich aan bepaalde regels moet houden bij opsporing. En omdat vaak de zaak sterk wordt opgehangen aan zulk bewijs, is de zaak daarmee vrij snel ‘stuk’.

Wat ik zelf ernstiger vindt, uit het rapport:

Evenals in 2019 gebruikte zij commerciële software, nu zelfs in het merendeel van de zaken. De leverancier hiervan heeft toegang tot deze software en de hiermee verkregen gegevens.
Ik snap best dat je als politie je tools inkoopt, je maakt ook niet zelf dienstwagens of pistolen. Maar dat de leverancier bij de gegevens kan, de telemetrie of logs neem ik aan, dat is voor mij te bizar voor woorden?

Arnoud

Zweedse politie beboet voor gebruik gezichtsherkenning Clearview

De Zweedse politie heeft van de Zweedse privacytoezichthouder een boete van 250.000 euro opgelegd gekregen wegens het onrechtmatig gebruik van het gezichtsherkenningssysteem van het bedrijf Clearview AI. Dat meldde Security.nl onlangs. “De politie heeft onvoldoende organisatorische maatregelen ingevoerd om ervoor te zorgen dat het verwerken van persoonlijke data in dit geval volgens de wet plaatsvond”, aldus de Integritetsskyddsmyndigheten (IMY). Zo ontbrak een DPIA. Maar, zo lees ik op diverse plekken, wat is nu het probleem want de politie gebruikt dit toch alleen als hulpmiddel voor eerste leads?

De database van Clearview is opgebouwd door het scrapen van zo ongeveer alle social media sites, van Facebook tot Instagram en Venmo. En omdat die allemaal een Real Name Policy hebben, heb je een handige herkenningstool. Overheden leken de aantrekkelijkste doelgroep voor de dienst, dus daar is men heen gepivot en daarom lezen we nu dat er al tientallen zaken zijn opgelost van het soort waarvan je denkt “als ze nou toch de foto eens door Facebook heen konden halen dan hadden ze ‘m zo, de naarling”.

Nou ja, zoals ik vorig jaar zei:

[V]an bronnen blijf je af tenzij je kunt bewijzen dat je erin mag en dat je mag doen wat je van plan bent. En dat gaat natuurlijk hartstikke mis: die gegevens staan daar niet zodat Clearview er een matching tool mee kan maken maar omdat mensen zichzelf op social media willen presenteren. Dat is dus een doelbindingsprobleem, in het jargon. Ook gaat het mis met de informatieplicht: Clearview vertelt niemand dat hun foto in hun bestand verwerkt wordt en dat er matches zijn gedaan door politiediensten of andere snuffelaars. Dat is onderdeel van de transparantie die de AVG eist.
Dit zijn natuurlijk fundamentele bezwaren, maar ze zijn ook vrij abstract. En dat is lastig want het tegenargument is natuurlijk, als het de politie helpt een lead te vinden dan is dat toch mooi? Wat Clearview doet, is immers ‘gewoon’ dertig matches geven van mensen die lijken op de verdachte, met naam en Facebookprofiel er bij. Die namen trek je dan alsnog zelf door de politiesystemen. Hoe is dat anders dan een buurtonderzoek waarbij iemand zei dat zhij Wim ten Brink had gezien op de plaats delict?

Nou ja, dat is anders omdat je bij buurtonderzoek als agent zelf filtert. Je vraagt het aan mensen uit de buurt, je weet dat wat je binnenkrijgt een tip is zonder onderbouwing en je gaat dat zelf combineren met andere informatie. Dat in tegenstelling tot Clearview, dat pretendeert ‘echte’ matches te geven en daarmee hoge betrouwbaarheid suggereert.

Ook is het met zulke systemen mogelijk dat een vals positief wordt gegeven, waar je dan geen indicatie van hebt. Want die persoon lijkt wel natuurlijk, dus die moeten we het toch maar eens even gaan vragen. En dan krijg je een bekende valkuil, namelijk dat als je iemand als mogelijke verdachte benadert, je eerder bevestiging ziet van dat beeld.

Dit nog los van het feit dat Clearview zelf ook weer met de informatie aan de slag gaat – en hoezo mag een privaat bedrijf weten welke personen de politie zoekt?

Arnoud

Autoriteiten verwijderen Emotet-malware op 25 april van besmette pc’s

Autoriteiten zullen de Emotet-malware waarvan de hoofdservers zijn overgenomen op 25 april van besmette computers verwijderen, las ik bij Security.nl, dat weer afging op een beveiligingsonderzoeker op Twitter. Vorige week lieten politie en het Openbaar Ministerie weten dat het gelukt was om het Emotet-netwerk over te nemen en de malware te deactiveren. Het ontmantelen is dan een logische actie, maar natuurlijk komt dan ook meteen de vraag: mag je het botnet zelf deïnstalleren bij mensen op hun computer?

“De Emotet-besmetting is niet langer actief op de computers van ruim 1 miljoen slachtoffers wereldwijd”, zo meldt de politie. Op twee van de hoofdservers van het Emotet-botnet, die zich in Nederland bevinden, wordt een software-update geplaatst voor alle besmette machines. Deze computers zullen de update automatisch binnenhalen, waarna de Emotet-besmetting in quarantaine wordt geplaatst, zo lieten het OM en de politie verder weten.

Dat verwijderen gaat an sich vrij eenvoudig: de software heeft een deïnstallatie-routine ingebouwd. Een en ander gaat op 25 april gebeuren, zodat tot die tijd het netwerk kan worden gemonitord op verkeer om de aanwezigheid van Emotet aan te tonen.

De vraag is dus vooral, welke bevoegdheid kan de politie hierbij inzetten? Deze vraag hebben we vaker gehad (2014: Blackshades, 2010 Bredolab) maar nu zijn er meer mogelijkheden. Sinds de Wet computercriminaliteit III hebben we namelijk onder meer dit wetsartikel 125o erbij in Strafvordering:

Indien bij een doorzoeking in een geautomatiseerd werk gegevens worden aangetroffen met betrekking tot welke of met behulp waarvan het strafbare feit is gepleegd, kan de officier van justitie dan wel indien deze de doorzoeking verricht, de rechter-commissaris bepalen dat die gegevens ontoegankelijk worden gemaakt voor zover dit noodzakelijk is ter beëindiging van het strafbare feit of ter voorkoming van nieuwe strafbare feiten.

De doorzoeking vond hier plaats in de centrale server, en daarbij werd dus de command&control software aangetroffen. Die mag dan ontoegankelijk worden gemaakt. Maar de strekking kun je breder lezen: ook de clientsoftware bij de slachtoffers thuis zijn “gegevens met behulp waarvan het strafbare feit is gepleegd” natuurlijk. En die mogen dan ook ontoegankelijk worden gemaakt.

De toe te passen methode van ontoegankelijkmaking, bijvoorbeeld wissen of versleutelen, zal volgens de memorie van toelichting moeten afhangen van de effectiviteit daarvan alsmede van de beginselen van proportionaliteit en subsidiariteit. Daarbij weegt zwaar dat het gaat om computers van derden. Maar daar staat in dit geval voor mij tegenover dat het kennelijk een eenvoudige instructie is, die een ingebouwde deactivatie uitvoert. Dat is heel wat anders dan met een zelfgebakken ingreep iets proberen weg te halen dat mogelijk een logische bom aan boord heeft als het dat merkt.

Arnoud

Zucht. EU-raad wil toegang tot versleutelde data met techbedrijven onderzoeken

Zijn er technische oplossingen voor de autoriteiten om toegang tot versleutelde data te krijgen, schreef Security.nl onlangs. De Raadsresolutie Encryptie van de Europese Raad vormt volgens minister Grapperhaus van Justitie en Veiligheid het startpunt om samen met techbedrijven en andere partijen een onderzoek te doen naar de technische mogelijkheden om toegang tot versleutelde data te krijgen. Om een of andere reden blijven politici maar denken dat er een oplossing móet zijn om autoriteiten toegang te geven tot versleutelde data zonder dat criminelen dat ook kunnen. Het plaatje hiernaast is mijn kantoormuur nadat ik er met mijn hoofd tegenaan sloeg.

Versleuteling wordt namelijk ook misbruikt door criminelen, zo opent dan de Kamerbrief van Grapperhaus. End at terwijl “de opsporing steeds meer afhankelijk [is] van toegang tot digitale gegevens, terwijl versleuteling rechtmatige toegang tot digitale gegevens uitdagend of praktisch onmogelijk maakt. ” En dan komt er de grootste beleidsmatige fout van de afgelopen twintig jaar: wat offline geldt, moet ook online gelden. En omdat men offline kluizen kan openbreken, moet digitale encryptie dus ook open te breken zijn met machtiging van de rechter-commissaris. Eh ja, precies.

Deze discussie loopt al sinds de jaren negentig, toen Phil Zimmerman het programma Pretty Good Privacy op internet zetten. Encryption for the masses, een total noviteit want tot die tijd konden eigenlijk alleen overheden fatsoenlijk encryptie toepassen. De reactie is dan ook altijd eentje van angst en zorg gebleven, en vooral: van een gebrek aan technisch inzicht.

Want het is niet een stukje onwil, van die encryptiesoftwarebouwers, om te weigeren een achterdeur of centrale extra sleutel in te bouwen voor de overheid. Of technische onmogelijkheid. Het kan prima. Menig bedrijf heeft encryptie met een achterdeur: de reservesleutel in de kluis bij de CISO of IT-dienst. Voor het geval de medewerker zijn of haar sleutel kwijtraakt. Met een beetje goede controle is dat binnen het bedrijf goed te beheersen.

Alleen: dat is binnen een bedrijf, binnen één organisatorische eenheid. Daar kun je regels voor jezelf opstellen, en heeft iedereen ook hetzelfde belang. Namelijk het bedrijf door laten draaien, die klant binnenhalen en die producten of diensten verkopen. Er zijn geen buitenstaanders die aan je data gaan zitten.

En dat is wat er bij overheidstoezicht en -toegang wel speelt. Daar wil een externe partij bij de versleutelde data, bij de sleutel dus. En dat kan maar op één manier: de sleutel in een doosje bij de opsporingsdiensten, die er dan gebruik van mogen maken wanneer dat binnen hun regels en procedures moet kunnen.

Als er zo’n doosje is, dan is de vraag wie er bij mag. En waarom zouden dat wel onze opsporingsdiensten mogen zijn en niet de Duitse? Of de Russische? Of Chinese? Dat praktische bezwaar maakt het voor mij al fundamenteel onmogelijk om er voor te zijn. En wat gebeurt er als de sleutel gestolen wordt, in theorie altijd mogelijk en gezien de hoeveelheid datalekken die we nu al zien zeker niet uit te sluiten?

“Kraakbare” encryptie, dus geen sleutel in een centraal doosje maar een zwakheid inbouwen, is een nog veel slechter idee. Zo kan er inderdaad geen sleutel gestolen worden, maar de kwaadwillenden kunnen (en zullen) die zwakheid vinden en er dan ook mee aan de haal gaan. Zonder dat iemand het merkt, want het is onmogelijk te zien of iemand anders een kopie van je bericht heeft gedecrypt.

Nee, dit blijft een heel slecht idee.

Arnoud