Army preps STEM asset vehicle

Ot van Daalen

16 oktober 2012 10:32
Door Ot van Daalen

Cybersecurity

Terughacken is risico voor cybersecurity

Op 15 oktober werd bekend dat minister Opstelten politie en justitie een terughackbevoegdheid wil geven. Hoewel het doel – de bestrijding van cybercrime – belangrijk is, is het maar de vraag of dat een goed idee is. Zo een terughackmogelijkheid brengt namelijk serieuze risico’s voor de veiligheid van Nederlandse internetters – en daarmee voor cybersecurity – met zich.

Terughacken in drie smaken: inbreken, bespieden en vernietigen

Minister Opstelten stelt in een brief aan het parlement (Pastebin, maar waarschijnlijk authentiek) drie nieuwe bevoegdheden voor:

  • Het inbreken op computers (en dus ook mobiele telefoons) via het internet en het installeren van spyware, waarmee de computer door de politie kan worden overgenomen.
  • Het inbreken op computers via het internet en die computers vervolgens doorzoeken, ook in het buitenland.
  • Het inbreken op computers en de gegevens daarop vernietigen, ook in het buitenland.

Ook zou het strafbaar worden om (digitale) gegevens te helen.

Deze bevoegdheden zouden nodig zijn om cybercrime te bestrijden. Uit de brief blijkt ook dat de politie het afgelopen jaar al heeft ingebroken in computers, die computers heeft doorzocht en zelfs gegevens heeft vernietigd op servers in het buitenland – maar het is de vraag of ze daar een wettelijke bevoegdheid voor had, zo blijkt nu.

Hoewel het doel van deze bevoegdheden belangrijk is, heiligt het doel niet alle middelen. Wij noemen een paar belangrijke risico’s:

Terughacken maakt systemen kwetsbaar

Als de politie bij computers moet kunnen inbreken, heeft ze er belang bij dat die systemen kwetsbaar blijven.  Van die kwetsbaarheid profiteert echter niet alleen de politie. Ook cybercriminelen en buitenlandse mogendheden zullen makkelijker op Nederlandse computers kunnen inbreken. Vergelijk het met de inbraakbeveiliging van een woning: wanneer de politie aanbiedt aan om woningen beter te beveiligen tegen inbraak, wordt het ook voor haarzelf moeilijker om bij een onderzoek in die woningen in te breken.

Spyware is moeilijk binnen de perken te houden

In Duitsland hebben ze al ervaring met spyware. En geen goede ervaring. Uit onderzoek van de Chaos Computer Club bleek dat stiekem door de politie geïnstalleerde afluistersoftware makkelijk te hacken was – via het internet. Zodat niet alleen de politie een computer kon overnemen met behulp van spyware, maar dat ook criminelen diezelfde computer konden overnemen omdat de spyware zélf gehackt was.

Hacken in het buitenland kan zich tegen ons keren

Opstelten stelt ook voor om servers in het buitenland te kunnen hacken, zonder rechtshulpverzoek als de locatie van een server niet achterhaald kan worden. Dat klinkt wellicht aantrekkelijk, totdat je je realiseert dat andere landen – denk: China – hetzelfde zouden kunnen doen bij computers die in Nederland staan. Dit kan in het minst erge geval lopende Nederlandse opsporingsonderzoeken blokkeren. Maar in het ergste geval kunnen hierdoor ook computers van volstrekt onschuldige Nederlanders het slachtoffer worden van hackpogingen van buitenlandse overheden.

Zeker als niet alleen inbreken, maar ook vernietigen mogelijk wordt

Die bevoegdheid om in buitenlandse computers in te breken blijft niet beperkt tot het doorzoeken van die computers: het zou ook mogelijk worden om de hele computer te vernietigen. Het is duidelijk dat als China op willekeurige Nederlandse computers zou inbreken en gegevens zou vernietigen, dat op zijn minst tot een diplomatieke rel zou leiden, zo niet erger.

Privé-gegevens van onschuldige Nederlanders in het vizier van de opsporing

Bij het aftappen van telefoongesprekken wordt niet alleen de verdachte maar ook degene aan de andere kant van de lijn afgeluisterd. Datzelfde geldt natuurlijk ook bij het doorzoeken van computers, maar dan tien keer zo erg: alle mailtjes, alle foto’s en alle berichten die een verdachte met onschuldige Nederlanders heeft uitgewisseld komen in het vizier van de opsporing. Dat is een serieus privacyprobleem.

Bovendien: misbruik ligt op de loer

Dan hebben we het nog niet eens over het probleem dat deze bevoegdheden erg makkelijk misbruikt kunnen worden. Juist doordat deze opsporingshandelingen digitaal zijn is het moeilijk na te gaan of bewijs is gefabriceerd of juist is achtergehouden. Een hieraan gerelateerd voorbeeld: in Duitsland is gebleken dat de spyware die bedoeld was om alleen Skype gesprekken af te luisteren, in de praktijk ook ingezet kon worden voor het op afstand aanzetten van de camera. In Duitsland trokken onderzoekers dan ook de conclusie dat deze software niet geschikt was voor bewijsvergaring.

Onderzoek naar risico’s voor cybersecurity is noodzakelijk

Kortom: terughackbevoegdheden zijn een serieus risico voor cybersecurity. Daarbij komt dat veel incidenten met simpele maatregelen, zoals regelmatig updaten van je computer, al voorkomen of beperkt kunnen worden. Het is daarom noodzakelijk dat onderzoek wordt gedaan naar de risico’s die aan deze bevoegdheden zijn verbonden voordat dit soort verstrekkende maatregelen überhaupt worden overwogen.

24 reacties

laat een bericht achter

[…] of Freedom betoogt bijvoorbeeld dat terughacken systemen kwetsbaar maakt, risico’s voor misbruik schept en […]

kan iamnd me vertellen waroom mensen elke keer mijn computer hacken ik hack nooit alleeen als het echt nodig is maar heb nog nooit gedaan duhh

Dutch Tourist zegt:

Alles kan in scene gezet worden.

Groet Dutch Tourist
Volgs ons op: https://twitter.com/dutchTourist

Martin zegt:

Het hacken is een serieus probleem aan het worden.
het openbaar ministerie wordt geacht opsporingsbevoegdheden na te streven.
In ons rechtstelsel hebben wij het tripartite beginsel waarbij bij schuldig zijn / onrechtmatige daad de rechter beslist over de strafmaat. Het O.M. is bevoegd tot opsporing en is niet bevoegd als rechter op te treden. Binnen het O.M. maakt men een structurele fout door op de plaats van de rechter te gaan zitten. Wie zaagt er aan de wortels van de rechtsstaat, de rechtsstaat zelf. Dit wordt een zaak voor het Europese Hof in Straatsburg. De VVD toont in deze ontegenzeggelijk haar PPV gezicht. van die partij kunnen je zeggen dat ze zeggen wat ze denkt. De VVD doet datgeen wat burgers niet willen.
Het wordt op deze wijze wel zeer waarschijnlijk geacht dat financieel sterke ondernemingen, beveiligingsbedrijven zullen oprichten om net zoals het O.M. legaal bij haar concurrenten te kunnen gaan grasduinen om op deze wijze aan concurrentie gevoelige data te komen.
M.a.w. de nieuwe ‘CIA van het bedrijfsleven’ zal onder haar eigen voorwaarden, evenzo zoals de banken t.o.v. de ‘burger’een zg ‘zorgplicht’ hebben nu de z.g. ‘ontzorgingsfactor’ gaan presenteren om zich tegen elk risico te kunnen indekken.

Het WWW net heeft allen nog maar geld opleverd aan de eigenaren zoals Google e.a.de Gatekeepers – KPN ers van deze wereld. Het wordt tijd om deze bedrijven op te dragen een waterdicht systeem te leveren. Zo niet dan hen in staat van beschuldiging te stellen vanwege slechte kwaliteit van product leveringen. Het controle voorbeeld van de Voedsel en Waren Wet, kan als voorbeeld gelden, waarbij ketenaansprakelijkheid van tepassing wordt op deze incompetente zich zelf verrijkende software ontwikkelaars/bedrijven.
Vanwege onvoldoende levering van doeltreffende instrumentarium ter bescherming van klant/individu/samenleving kan toetreding op de markt tegengehouden worden. M.a.w. we worden blij gemaakt met krikkemikkege software. Je btaald voor een pakket en ook nog eens voor de waardeloze virusscanners. We moeten de ontwikkelaars ook aanpakken!

In deze tijd van cyberwar moet je bij de bron van het kwaad beginnen m.a.w. bij al diegenen die gelegenheid geven.Neem de burger in bescherming.

De Conventie van Bern heeft al eens aangegeven dat de plurifomiteit van distrubutie en controle van informatie aan de burger bescherming biedt t.o.v. de overheden ( 1940 – 1945 ). De conclusie is gerechtvaardigd dat de overheden over moeten gaan tot integrale informatie op haar websites bij wie zij met toestemming van de rechterlijke macht – RC – onderzoek mogen gaan uitvoeren. Deze voormelding werkt preventief en de notoire plegers worden op deze wijze bekend. De risico’s die zij lopen, zijn dan publiekelijk of werkt de slogan niet meer dat de burger ook de ‘pet’van de politie draagt.Diegenen die door wet en bevoegdheid boven ons gesteld zijn de hebben opdracht de burger te beschermen. Vraag de burger dan om het spel mee te spelen, maar maak van het O.M. geen elitair spionnenclubje.

Er doemt een zelfde beeld op bij de introductie van de network officers binnen de raden van Bestuur van de Banken in de wereld in de tachtiger en negentiger jaren, door incompetentie van de raden van besturen van diezelfde banken kregen zij de overhand om met computers snelle winsten te creeeren, de ideen kwamen van de software afdelingen en niet van de rieele en echte bankmensen, deze hadden een relatie met klant en haar werkgever.Automatiserings officers als machthebbers binnen de financiele wereld hebben aan de oorsprong gestaan van de huidige financiele crisis. Bij het in dienst nemen van bank personeel werd alleen maar gedacht aan computerkennis en vervolgens werd de bediening van de klant op een 2e plaats gezet.

Dit gebeurt nu weer met de bestrijding van de Cyberwar. De wizzkids zonder politieke verantwoording kunnen nu en straks doen wat zij willen. Wilt u informatie hierover ga dan bij u zelf te raden, in diverse lagen van onze cyber samenleving wordt al ruig om gegaan met privacy van de burger.

De preventieve

et wordt weer tijd voor Briefpost, fax en telex verkeer.
Wij worden nog altijd blij met een brief. Een dergelijke klant of prive persoon krijgt een prioriteits behandeling.

Rob zegt:

Een zeer kwalijk plan van Opstelten. Hieruit blijkt maar weer eens, dat de Nederlandse overheid zijn “onderdanen” bij voorbaat wantrouwt. Immers: iedereen in Nederland wordt met zo’n plan als (in potentie) crimineel beschouwd.
We zijn hiermee aardig op weg naar de dictatuur!

R zegt:

Goh, en briefgeheim is net uitgebreid voor electronische gegevensuitwisseling (lees email)
Kan iemand mij dit uitleggen????

Ray zegt:

Kan iemand mij vertellen hoe Opstelten dit eigenlijk wil gaan doen? Gaat hij zelf virussen produceren of moeten firewalls altijd een poortje oplaten (ook lekker makkelijk voor “derden”)? Wordt de wapenwedloop tussen virusschrijvers en beveiligingssoftware nu uitgebreid met het politieapparaat/OM?

Jan-Jaap zegt:

In 2004 heeft de politie dit al bij mij gedaan, in elk geval weet ik zeker dat er toen een mailserver gewist is tijdens een opsporingsperiode. Blijkbaar wordt het nu zo veel gedaan dat men het maar liever legaal wil hebben om claims etc te voorkomen.

Ot van Daalen zegt:

Hey Jan Jaap, interessant. Als je ons meer informatie wil geven per mail: we houden ons van harte aanbevolen.

PeterV zegt:

Ik stel voor dat de we (Nederlanders) de VVD en aanhang een vrijgeleide geven voor een verhuizing naar de Verenigde staten van Amerika. Mijns inziens zullen ze daar meer gehoor vinden voor hun wensen en plannen.

Jannes zegt:

Het ergste is dat de politie met deze wet ook bij onschuldige Nederlanders kan gaan inbreken. Het is in wezen een huiszoeking zonder huiszoekingsbevel. Dat laatste wordt pas afgegeven wanneer er sterke vermoedens c.q. bewijzen bestaan voor een misdrijf.

Stel, de politie gaat jouw computer binnen op zoek naar wat ze als alibi aangeven : kinderporno of terroristische activiteiten.
Kan zijn dat ze met deze wet in de hand in de toekomst bots op jouw PC loslaten en afwachten tot ze een melding krijgen van de software. Als ze nu van beiden geen bewijs vinden maar b.v. wel dat je buiyten je werk om een klant van jouw baas hebt geholpen tegen een “gereduceerd” tarief en dat dit zwart is betaald.

Naheffing belastingen, baan kwijt.. tja… we dachten dat je met kinderporno bezig was of misschien wel een terrorist bent.
Dit is een stapje verder richting “Big Brother”, politiestaat etc.

W. zegt:

Ik zie dit voorstel ook als een groot gevaar, we weten allemaal hoe overheid en digitale techniek samengaan. Zeker wat betreft privacygevoelige onderwerpen. Dat naast de haken en ogen die anderen al in de reacties beschrijven. Maar ik wil toch wel even adviseren de brief te lezen in plaats van te reageren op alleen het artikel. ‘Anoniem’ die om 11:37 reageert heeft duidelijk het volgende niet gelezen.

“Maar gezien de mate van ingrijpendheid van de wettelijke bevoegdheden tot het op afstand binnendringen van geautomatiseerde werken en het plaatsen van technische hulpmiddelen ten behoeve van de opsporing van ernstige vormen van cybercrime, vooral gelet op de inbreuk die daardoor wordt gemaakt op het recht op eerbiediging van de persoonlijke levenssfeer van personen, zal steeds een voorafgaande machtiging van de rechter-commissaris dienen te zijn verkregen.
Ook zal de bevoegdheid alleen kunnen worden uitgeoefend bij verdenking van strafbare feiten van een zekere ernst, bijvoorbeeld misdrijven waarvoor voorlopige hechtenis voorzien is of waarop een maximale gevangenisstraf van vier jaar of meer is gesteld.
Verder geldt uiteraard ook bij deze bevoegdheden de algemene eis dat van de uitoefening daarvan proces-verbaal moet worden opgemaakt. Daarnaast zullen alle bij de uitoefening van deze bevoegdheden verrichte handelingen automatisch worden gelogd en bewaard en daardoor achteraf altijd raadpleegbaar en controleerbaar zijn.”

Joost Koedam zegt:

Dat is een rare bevoegdheid die de minister voorstelt. Politie en OM worden een deel van het probleem in plaats van de oplossers en bestrijders ervan. Een strafbaar feit worden aangepakt met een strafbaar feit waarmee totaal verloren gaat wat nu het werk van de verdachte is en die van de opsporingsdienst. Ik wordt geacht de beveiliging van mijn eigen netwerk serieus te nemen. Moet er dan een poortje open blijven staan speciaal voor de opsporingsdiensten. Ik ben het wel eens met de stelling dat het grote maatschappelijke risico’s met zich meebrengt, meer dan de mogelijke maatschappelijke opbrengst ervan. Anders gezegd: voor welk probleem is nu een oplossing?

Jeroen zegt:

Ik snap helemaal niets van de wil om bestanden op afstand willen wissen. Dat kan geen enkel onderzoeksdoel dienen en kan louter bedoeld zijn om de politie voor eigen rechter te laten spelen.

PinkShinyRose zegt:

of als tweede defensie-organisatie, maar aangezien ze zichzelf vooralsnog als civiel aanmerken is het inderdaad eigen rechter spelen.

Henk van De PAS zegt:

Hoe bescherm ik mezelf tegen deze wet als dit er aan komt?
hoe kan ik controleren of de overheid spyware installeert
en wat als we de overheid terug hacken mag dat dan ook? ze komen immers ook aan mijn privacy in dat geval.

geen stem voor opstelten
nederland na de klote privacy bestaat niet meer

Peter Knoppers zegt:

Het geringste vermoeden dat de politie op je computer heeft ingebroken maakt alle bewijsmateriaal dat op die computer is aangetroffen ongeschikt voor rechtszaken.

De kinderpornoverzamelaar/-verspreider die voor de rechtbank beweert dat de incriminerende beelden mogelijk door de politie op zijn computer zijn gezet gaat zo vrijuit.

PinkShinyRose zegt:

Volgens de brief wil de politie ook gegevens kunnen verwijderen om ze ontoegankelijk te maken. Dat betekent dus dat ze het bewijs zelfs actief vernietigen. Ze willen het ook in het buitenland kunnen omdat ze het traceren van verbindingen via proxyservers te lastig vinden, maar ze houden er geen rekening mee dat de soevereiniteit van dat land dus wordt aangetast. Sterker nog, ze zouden ook moeten bedenken dat ze daardoor mogelijk medeplichtig worden aan kindermisbruik in het andere land, omdat de misbruikers dan gemakkelijker vrijuit gaan. Ik vind meer misbruik eigenlijk kwalijker dan meer filmpjes van misbruik.

Anoniem zegt:

eens met underdog_ma: distantieer je van het frame terughacken!

Tim 333 zegt:

Wat ik de laatste tijd steeds meer zie is dat onder andere Bits of Freedom heel veel tegengas geeft en inzoomt op alle negatieve kenmerken van de wetgeving en wetvoorstellen maar dat er nog maar weinig wordt meegedacht over oplossingen die wél implementeerbaar zijn en wél het probleem oplossen. Mijn inziens heb je daar veel meer aan ipv alleen gal te spuwen over wat een ander fout doet terwijl je zelf langs de kantlijn staat te wachten. Dit artikel valt nog wel mee, maar neem deze kritiek ook zeker mee voor de andere artikelen. De politiek geeft al genoeg commentaar. Het is nu tijd voor oplossingen.

underdog_ma zegt:

De term “terughacken” impliceert een min of meer maatschappelijk geoorloofde handeling, terwijl de bedoeling is om op een snelle manier in te breken op computers, om welke reden dan ook.

paul zegt:

idd.. lekker misleidende term.

anoniem zegt:

en wie controleerd de politie?
In het verleden is al meerdere malen gebleken dat de politie niet met prive gegevens om kan gaan.

Het gaat hier om ‘onderzoek’, dus wie is wel of niet verdacht?
Of is iedereen (net als bij telefonie) op voorhand (zonder tussen komst van een rechter) verdacht, tenzij het tegendeel bewezen is.

O ja, en waarom praat iedereen altijd over ‘hacken’. Hacken heeft niks met computercriminaliteit te maken!

Marcel zegt:

Deze wetgeving zal zeker een legitimatie zijn voor andere landen om systemen in Nederland terug te hacken, als een server hier de wetten, of de zeden, van dat andere land overtreedt. Ik denk dat minister Opstelten zich er allereerst van moet verzekeren dat er zich in Nederland geen computers bevinden met inhoud die andere landen boos kunnen maken. Anders kan deze wet wel eens MEER onveiligheid betekenen i.p.v. MEER veiligheid. Succes!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

De volgende HTML tags en attributen zijn toegestaan: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

WORD DONATEUR

Zoek in blog

MEEST GELEZEN

  1. Drie redenen waarom overname WhatsApp slecht nieuws is
    20 februari 2014 / 17:13
  2. Hoe kies ik de beste chat-app?
    28 februari 2014 / 17:12
  3. Drie vragen over Big Data, privacy en de ING
    10 maart 2014 / 13:40
  4. Maandag D-Day voor netneutraliteit
    21 februari 2014 / 17:02
  5. Thanks for all the fish
    21 februari 2014 / 13:37