‘Terughacken’ politie maakt meer kapot dan lief is

OPINIE - Het nieuwe plan van minister Opstelten om de politie terug te laten hacken is onzalig, meent computerveiligheidsdeskundige Jaap-Henk Hoepman.

Maandag verzond minister Opstelten van Veiligheid en Justitie een brief aan de Tweede Kamer over zijns inziens noodzakelijke nieuwe strafrechtelijke opsporingsbevoegdheden op het Internet. Een belangrijk onderdeel daarvan is de mogelijkheid om ‘terug te hacken’ in de strijd tegen cybercrime. De politie moet kunnen inbreken op computers in binnen- en buitenland, om (spionage) software te installeren, gegevens te doorzoeken, ontoegankelijk te maken of te verwijderen. De Tweede Kamer heeft inmiddels laten weten dit plan te ondersteunen. Is dit verstandig?

De minister constateert dat traditionele opsporings- en handhavingsmethoden minder toereikend worden tegen zaken als botnets en verspreiders van kinderporno. Cybercriminelen gebruiken encryptie voor het versleutelen van hun communicatie. Bovendien gebruiken ze systemen als Tor om communicatiepaden te verbergen. Daardoor is het vaak lastig om te bepalen in welk land een bepaalde computer zich bevind. Het is dan onduidelijk aan welk land een vraag om rechtshulp moet worden gestuurd. De criminelen blijven zo buiten schot.

Dat is een beetje eenzijdige voorstelling van de werkelijkheid.

Natuurlijk heeft de politie last van de steeds geavanceerdere technieken die criminelen (maar ook gewone burgers) gebruiken om zichzelf te beschermen. Maar daarnaast gebruikt de politie zelf ook verregaande technieken die haar slagkracht behoorlijk hebben vergroot. Denk aan de bewaarplicht, het opvragen van verkeers- en locatiegegevens (waar encryptie niet volledig tegen beschermd), het surveilleren op sociale media, en systemen als het Internet Recherche Netwerk (IRN) waarmee rechercheurs anoniem op het Internet hun onderzoek kunnen doen (en waarvoor de trainingen door commerciëlepartijen gegeven worden).

Gaan de nieuwe mogelijkheden helpen?

Door spionagesoftware op computers en smartphones te installeren kan de politie meeluisteren met gesprekken, ook als deze versleuteld worden (zoals bijvoorbeeld Skype dat doet). Ook kan zij meekijken in versleutelde emails en beveiligde webpagina’s. Het gebruik van Tor helpt dan ook niet meer om te verbergen dat je naar kinderporno surft. Het is dan wel zaak dat de spionagesoftware niet ontdekt wordt: in dat geval is de crimineel gewaarschuwd, en is de onschuldige burger een illusie armer….

Daarnaast maken de nieuwe bevoegdheden het mogelijk om de controle over een botnet over te nemen, zelfs als deze vanuit een PC in het buitenland bestuurd wordt. Ook kunnen geïnfecteerde PC’s worden opgeschoond, of de eigenaren op z’n minst geïnformeerd worden over het feit dat hun PC besmet is. Hier kleven wel nadelen aan, die ik hieronder verder bespreek.

Ten derde kan illegaal materiaal, denk aan kinderporno, maar wellicht ook ter heling aangeboden digitale bestanden, vernietigd worden om verdere verspreiding per direct tegen te gaan. Hoe effectief deze maatregel in de praktijk is valt nog te bezien. Digitale kinderporno en dergelijke worden vele malen gekopiëerd. Het verwijderen van dergelijk materiaal van één enkele server helpt dan weinig. Binnen de kortste keren is het materiaal via een andere server alsnog weer toegankelijk.

Zijn er ook nadelen?

De genoemde verruiming van de opsporingsmogelijkheden heeft ook enkele nadelen.

Bij het opruimen van het Bredolab botnet in 2010 maakte de politie al gebruik van de mogelijkheden waar de minister nu een duidelijke wettelijke basis voor wil bieden. In dat geval verspreide ze, via het botnet, ook waarschuwingen aan gebruikers van geïnfecteerde PCs in binnen- en buitenland. Ik zou eerlijk gezegd behoorlijk geschokt zijn als een vergelijkbare mededeling van de FBI (of de Chinese politie) op mijn beeldscherm zou verschijnen! Hoe kan ik er op vertrouwen dat zij niet stiekem toch nog een klein achterdeurtje hebben opengelaten? Zulke acties versterken het gevoel dat er altijd iemand met je meekijkt, en hebben dus een grote impact op de privacy van de burger.

In de brief zegt de minister:

“Zo heeft de politie bijvoorbeeld de inhoud van servers op het hierboven al beschreven Tor netwerk met daarop opgeslagen afbeeldingen van ernstig seksueel misbruik van kinderen gekopieerd en daarna vernietigd dan wel ontoegankelijk gemaakt op de server. Op dat moment kon de exacte locatie van deze servers niet met zekerheid worden bepaald doordat het communicatiepad versluierd was.”

Bij het opschonen van een computer is er altijd een kans dat het niet helemaal goed gaat. Bovendien kan een reboot noodzakelijk zijn. Het is dan wel belangrijk om te weten welke computer het betreft en of opschonen geen ongewenste consequenties heeft. Als je niet weet waar de computer staat,
kan het maar zo zijn dat je de controller van een kerncentrale, op een operatiekamer, of op de beursvloer reset.

De minister geeft zelf toe dat kennis en ervaring ontbreekt:

De actuele situatie is dat het aantal cybermisdrijven toeneemt en de capaciteit, kennis en ervaring binnen de strafrechtketen hiermee geen gelijke pas houdt.

Die expertise is absoluut noodzakelijk om dergelijke nieuwe opsporingstechnieken verantwoord toe te passen. Zonder die expertise heeft het geen zin om om verruiming van de mogelijkheden te vragen. We kunnen commerciële partijen als Fox-IT niet voor dit soort klusjes laten opdraaien. De politie (en het leger) hebben het geweldsmonopolie om de orde te handhaven. Je verwacht ook geen Securitas werknemer op de stoep als je gearresteerd wordt.

Tenslotte is de vraag wanneer terughacken legitiem is. Kennelijk voor de bestrijding van botnets en kinderporno. Maar ook om Wikileaks de mond te snoeren? Of de Pirate Bay voor goed uit de lucht te halen? We moeten niet vreemd opkijken als de VS op basis van strikte naleving van copyright wetgeving in Nederland gaat terughacken. Als de Nieuw Zeeland al zover krijgen om een inval te doen bij Megaupload….

Wat zijn de alternatieven?

Cybercrime heeft een aantal oorzaken. Eén daarvan is: “Gelegenheid maakt de dief”. Het bestaan van botnets bijvoorbeeld wordt veroorzaakt door de beroerde beveiliging van computers. Dit is deels te wijten aan onkunde van de gebruikers, maar zeker ook aan de nog steeds te wensen overlatende veiligheid van software en systemen. Investeringen om die te verbeteren helpen ook. We verliezen wel eens uit het oog dat de systemen die we nu gebruiken om wereldwijd te communiceren en handel te drijven, en waarop een hele critische infrastructuur is gebouwd, daar oorspronkelijk helemaal niet voor bedoeld waren. Zelfs de modernste systemen zijn in essentie nauwelijks anders dan de eerste computers. De basis van de huidige operatingsystemen is gelegd in de jaren 70. Hetzelfde geldt voor het Internet. Niemand kon toen voorzien hoe we die systemen nu gebruiken. En daar is in het basisontwerp dan ook geen rekening mee gehouden.

Bestrijding van identiteitsfraude en misbruik van creditcard gegevens (een ander voorbeeld dat in de brief wordt genoemd) is ook te bereiken door de authenticatie te verbeteren: een losstaand creditcard nummer zou gewoon waardeloos moeten zijn. En dat zelfde zou ook moeten gelden voor een kopie van een paspoort.

Voor het omzeilen van encryptie is er inderdaad geen andere mogelijkheid dan te proberen op één van de eindpunten van de communicatie in te breken. Maar dat creëert wel een perverse prikkel voor overheden om aan te dringen op onveilige systemen om zo spionage mogelijk te maken. Het verwijderen van onwelgevallig materiaal tenslotte is volgens mij in essentie onmogelijk op het Internet (nog afgezien van de vraag of het wenselijk is).

Conclusie

Het nut en de noodzaak voor de door de minister aangekondigde nieuwe maatregelen zijn niet overtuigend aangetoond. De voorstellen ondermijnen de (legitieme) wens van gebruikers zoals u en ik om ons tegen een al te sterke, nieuwsgierige overheid (en private sector!) te beschermen. Andere landen zullen nu spoedig met vergelijkbare wetgeving komen. Welke rechtspositie heeft een Nederlandse burger dan nog? Het is essentieel de balans tussen de macht van de staat en die van haar burgers in evenwicht te houden. Deze voorstellen verstoren dat evenwicht.

  1. 1

    Wie inbreekt op mijn computer mep ik met de zegen van Teeven naar de andere wereld.
    En verder vraag ik mij af: wanneer stoppen we nou eindelijk eens met maniakken als Opstelten en Teeven zoveel macht te geven?

  2. 2

    Als ik de strekking van het voorstel goed begrijp, is het de bedoeling dat er sprake is van een actieve vorm van hacken dat wil zeggen: plaatsen van content in welke vorm dan ook op de te onderzoeken PC. Er is weinig voorstellingsvermogen voor nodig om te bedenken dat bij teleurstelling aan OM-zijde deze teleurstelling actief omgebogen kan worden in vreugde (planten van bewijs).

    Daarnaast zou het momenteel om vergrijpen gaan waarvoor minimaal 4 jaar hechtenis geldt. De ervaring leert dat deze grens weldra gaat dalen en de maatregel ook voor mindere vergrijpen gaat gelden.

    De ervaring leert tevens dat in het verleden ook illegaal is getapt. Illegaal hacken zal dus ook ingang gaan vinden, met alle gevolgen voor (wellicht) onschuldige burgers.

    Gezien de machtsbalans die de laatste jaren al sterk richting overheid is opgeschoven, lijkt dit mij een heel erg slecht idee dat de bijl aan de wortels van de rechtstaat zet.

  3. 4

    “… de balans tussen de macht van de staat en die van haar burgers in evenwicht te houden”
    De verhouding tussen burger en staat is altijd al onevenwichtig, de staat is uitgerust met tal van machtmiddelen die de burger mist. Om deze kloof tussen burger en overheid te verkleinen kent de rechtstaat een aantal wetten om de macht van de overheid te beperken. Dat veronderstelt dat juist de overheid zich aan de wet houdt, wie anders? Natuurlijk beperkt dat de mogelijkheden van de overheid, daar zijn juist die wetten voor!

    Met het al of niet stelselmatig overtreden van de wet door de overheid glijdt de rechtstaat weg. Dat gaat meestal sluipender wijze. Zo is een uitkering een vrijbrief voor huiszoeking voor de kontrolleer. Wat ooit het briefgeheim was, geldt digitaal niet meer.

    Onveilige of milieubelastende produkten worden verboden met normen en het handhaven ervan. Blijkbaar gelden dergelijke produkt eisen niet in de digitale wereld en misbruikt de overheid de gebrekkige kwaliteit om de eigen macht te vergroten.

  4. 5

    Als de ‘dwingende noodzakelijkheid’ voor het verkrijgen van een huiszoekingsbevel ontbreekt heeft de overheid niets op betreffende computer te zoeken. Is die er wel dan bestaan er uitstekende mogelijkheden voor inbeslagname van de computer of voor het aftappen van de communicatie. Hebben we geen nieuwe hack mogelijkheden voor nodig.