‘Terughacken’ politie maakt meer kapot dan lief is

Het nieuwe plan van minister Opstelten om de politie terug te laten hacken is onzalig, meent computerveiligheidsdeskundige Jaap-Henk Hoepman. Maandag verzond minister Opstelten van Veiligheid en Justitie een brief aan de Tweede Kamer over zijns inziens noodzakelijke nieuwe strafrechtelijke opsporingsbevoegdheden op het Internet. Een belangrijk onderdeel daarvan is de mogelijkheid om ‘terug te hacken’ in de strijd tegen cybercrime. De politie moet kunnen inbreken op computers in binnen- en buitenland, om (spionage) software te installeren, gegevens te doorzoeken, ontoegankelijk te maken of te verwijderen. De Tweede Kamer heeft inmiddels laten weten dit plan te ondersteunen. Is dit verstandig? De minister constateert dat traditionele opsporings- en handhavingsmethoden minder toereikend worden tegen zaken als botnets en verspreiders van kinderporno. Cybercriminelen gebruiken encryptie voor het versleutelen van hun communicatie. Bovendien gebruiken ze systemen als Tor om communicatiepaden te verbergen. Daardoor is het vaak lastig om te bepalen in welk land een bepaalde computer zich bevind. Het is dan onduidelijk aan welk land een vraag om rechtshulp moet worden gestuurd. De criminelen blijven zo buiten schot. Dat is een beetje eenzijdige voorstelling van de werkelijkheid.

Doneer!

Sargasso is een laagdrempelig platform waarop mensen kunnen publiceren, reageren en discussiëren, vanuit de overtuiging dat bloggers en lezers elkaar aanvullen en versterken. Sargasso heeft een progressieve signatuur, maar is niet dogmatisch. We zijn onbeschaamd intellectueel en kosmopolitisch, maar tegelijkertijd hopeloos genuanceerd. Dat betekent dat we de wereld vanuit een bepaald perspectief bezien, maar openstaan voor andere zienswijzen.

In de rijke historie van Sargasso – een van de oudste blogs van Nederland – vind je onder meer de introductie van het liveblog in Nederland, het munten van de term reaguurder, het op de kaart zetten van datajournalistiek, de strijd voor meer transparantie in het openbaar bestuur (getuige de vele Wob-procedures die Sargasso gevoerd heeft) en de jaarlijkse uitreiking van de Gouden Hockeystick voor de klimaatontkenner van het jaar.

Foto: Eric Heupel (cc)

Holocaustontkenning

Mensen zijn gehecht aan hun dreigingen.

Vorige week verschenen er berichten in de krant over cyberaanvallen op en van het Nederlandse leger. Ik werd gebeld door een journalist die vroeg: ‘Is het mogelijk om heel Nederland plat te leggen met een cyberaanval?’ Die vraag krijg ik ongeveer een keer per maand.
    Het is een onderwerp waar overdrijving de norm is geworden. Degene met de meest levendige fantasie, domineert het debat. Voor alle duidelijkheid: het lijkt me zinnig dat het leger haar systemen kan verdedigen en, binnen militaire operaties, de systemen van tegenstanders kan aanvallen. Maar veel zaken die nu onder het kopje ‘cyberoorlog’ worden geschaard, zijn marginale vormen van criminaliteit of activisme.
    Laatst was ik te gast bij de VVD. Twee Kamerleden en tiental andere partijgenoten wilden zich laten informeren over het onderwerp cyberoorlog. Mijn poging om de overdrijving te bestrijden, stuitte op scepsis. Sprekers verontschuldigden zich telkens eerst voor het feit dat ze niet deskundig waren, om vervolgens mij ervan te willen overtuigen dat er heel ernstige dreigingen waren. De kennisoverdracht verliep in omgekeerde richting.
    Op een gegeven moment sloeg de scepsis om in irritatie. Een jonge vrouw, waarvan later bleek dat ze als juriste aan de universiteit werkte, zei: ‘Ik vind het, met alle respect, nogal zinloos om te praten over of cyberoorlog wel of niet bestaat. Het lijkt me beter om ervan uit te gaan dat het bestaat.’
    Toen begreep ik: mensen zijn gehecht aan hun dreigingen. Die kun je niet zomaar afpakken.
    Ergens halverwege de bijeenkomst zei ik: ‘Ik voel me net een holocaust-ontkenner.’
    Op weg naar huis, vroeg ik me af aan welke dreigingen ik gehecht ben.

Hoeveel schade veroorzaakt cybercrime?

Het spatte vorige week van de blogs en krantenpagina’s af: in Nederland zou jaarlijks voor tien miljard euro aan schade geleden worden ten gevolge van cybercrime. TNO is met een rapport gekomen waaruit dat zou blijken. Tien miljard. Dat lijkt me sterk.

Die tien miljard vormt volgens TNO nog maar een ondergrens, mogelijk ligt de schade ergens tussen de 20 en 30 miljard. De grootste schadepost is inbreuk op auteursrecht: 3,3 miljard euro. Dan volgt spionage (2 miljard) en belasting- en uitkeringsfraude (1,5). Sluitposten zijn afpersing van bedrijven, online diefstal en het stelen van klantgegevens.

Hoe TNO op deze bedragen komt, weet ik niet: het rapport is niet vrijgegeven, we moeten het met het persbericht doen (dat klakkeloos door de media is overgenomen). TNO baseert zich op een onderzoek van het Britse adviesbureau Detica, die wel rapporten online zet, maar welke het is weet ik niet. Daarnaast wordt nog een zwik Nederlandse rapporten aangehaald. Zonder dat ik de inhoud en methodologie van het TNO-rapport  ken, plaats ik toch een aantal kanttekeningen.

Ten eerste, er wordt wel veel op het bord van cybercrime geschept. Inbreuk op auteursrecht zal inderdaad een grote kostenpost zijn. Uitkeringsfraude ook wel. Maar is dit cybercrime? Wanneer wordt iets cybercrime? Zodra er een computer in het spel is? Als is ik iemand met het elektriciteitskoord van mijn laptop wurg, is dat ook cybercrime?

Lezen: Het wereldrijk van het Tweestromenland, door Daan Nijssen

In Het wereldrijk van het Tweestromenland beschrijft Daan Nijssen, die op Sargasso de reeks ‘Verloren Oudheid‘ verzorgde, de geschiedenis van Mesopotamië. Rond 670 v.Chr. hadden de Assyriërs een groot deel van wat we nu het Midden-Oosten noemen verenigd in een wereldrijk, met Mesopotamië als kernland. In 612 v.Chr. brachten de Babyloniërs en de Meden deze grootmacht ten val en kwam onder illustere koningen als Nebukadnessar en Nabonidus het Babylonische Rijk tot bloei.

Foto: Eric Heupel (cc)

Cybercrime; preventie vs. repressie

<Webwereld column>

Cybercrime en cyberoorlog zijn op dit moment de hippe termen om als overheid extra middelen en mogelijkheden te verwerven. Als men cybercrime kan combineren met de distributie van afbeeldingen van kindermisbruik (ook wel bekend als kinderporno) is het helemaal prijsschieten. Dan mag bijna alles. Wat daarbij vreemd blijft, is dat al die aandacht gaat naar het distribueren van afbeeldingen, terwijl het toch om die kinderen zou moeten gaan. Ik heb nooit helemaal begrepen hoe die kinderen worden beschermd door het filteren op die afbeeldingen.

Bart Schremer gaf afgelopen week in zijn opiniestuk een overzicht van de vragen waar opsporingsinstanties mee zitten. Enerzijds verwacht de samenleving (of liever het mediasysteem) van wetshandhavers dat alle misdaad onmiddellijk en perfect wordt opgelost, en dan liefst ook nog voor een bescheiden budget. Anderzijds willen de meeste Nederlanders nog steeds liever geen politie-staat naar Noord-Koreaans of Amerikaans model.

Maar wat in alle discussies over toelaatbare opsporingsmethoden, (cr)(h)ackende KLPD-ers en crime-fightende politici ontbreekt, is de vraag waarom cybercrime zo enorm gegroeid is. Het feit dat we veel meer en complexere IT gebruiken zal daar zeker aan hebben bijgedragen. Maar een belangrijke andere factor is de enorme digitale ongeletterdheid onder verreweg de meeste burgers en een extreme technische mono-cultuur op de desktop. Afgezien van wat slappe voorlichtingscampagnes doet de overheid er weinig aan burgers echte kennis en volwassenheid bij te brengen.

Als je al wat langer online zit (=langer dan 15 jaar) is het lastig je voor te stellen dat veel internetgebruikers van vandaag helemaal niet weten hoe een URL in elkaar zit. Met de browsers van vandaag is dat ook niet meer zo nodig. Vaak zie ik mensen een naam van een site in Google intikken (die als homepage ingesteld staat) en daarna doorklikken. En dus voert men ook zonder blikken of blozen bankgegevens in op helpdesk.br.ru/ING, of iets dergelijks. Want het logo stond in de mail en het is toch de helpdesk van de ING? Als mensen het verschil zouden snappen tussen een top level domein en de rest van de URL, kunnen ze zelf waarschijnlijk wel bedenken dat hun ING bank niet in Rusland huist.

Een van de belangrijkste oorzaken van het succes van cybercrim is dus de diepe onwetendheid van de meeste computergebruikers. Deze onwetendheid wordt mede veroorzaakt door een onderwijssysteem dat op trucjes traint in plaats van dat het mensen echt inzicht biedt. Het ‘computerrijbewijs’ is gewoon een cursus MS-Windows & MS-Office en geeft geen enkel inzicht in wat een computer doet of hoe netwerken functioneren. Niet dat iedereen tot systeemprogrammeur hoeft te worden opgeleid, maar en set minimale inzichten (zoals het kunnen ‘lezen’ van een URL) zou al veel leed kunnen voorkomen.

Daarnaast blijft de enorme monocultuur van computersystemen een groot probleem dat de overheid nog steeds actief groter maakt. Zo is het in Nederland vrijwel onmogelijk de middelbare school af te maken zonder toegang tot een systeem met MS-Windows en MS-Office. Een school besturen en gefinancierd krijgen is nog veel moeilijker. Studeren aan veel universiteiten is zonder Google-account in hoog tempo onmogelijk aan het worden en voor het functioneren aan andere instellingen is een Facebook-account verplicht.

De Tweede Kamer, horend de beraadslaging, constateerde in 2002 al dat software een cruciale rol speelde in de kennissamenleving, en dat de aanbodzijde van de softwaremarkt op dat moment sterk geconcentreerd was. De Kamer verzocht de regering dan ook zich maximaal in te zetten om hier verbetering in aan te brengen.

Het zijn de eerste zinnen van de Motie Vendrik over de niet-functionerende markt voor desktopsoftware, die al vrij snel buiten beeld zijn geraakt in alle discussies over PDF/A en welk opensource CMS nou het beste is. Maar het ging dus in eerste instantie om een verstoring van de softwaremarkt, niet de interne bedrijfsvoering van middelbare scholen, gemeentes en agentschappen. Die verstoring oplossen is een veel taaiere klus dan ‘iets met open standaarden doen’.

Hoewel steeds meer rekenwerk in mistige wolken gebeurt, verloopt de interactie met die wolken nog steeds voornamelijk via desktop/laptopsystemen. En de markt voor deze systemen is nog vrijwel net zo gemonopoliseerd als in 2002. Diegene die controle heeft over deze desktops, heeft de facto controle over de informatievoorziening van Nederland. Tot nu toe lijken vooral criminelen interesse te hebben in onze desktops. Het desktoplandschap van Nederland is een extreme software mono-cultuur. Deze mono-cultuur maakt ons kwetsbaar, en de afgelopen tien jaar heeft de overheid vrijwel niets gedaan om deze kwetsbaarheid te verlagen.

De rol van IT voor het van seconde tot seconde functioneren van onze samenleving is de afgelopen jaren echter sterk toegenomen. Ziekenhuizen, havens, vliegvelden, scholen, politiebureaus en ambulance dispatchers? Allemaal kunnen ze alleen functioneren met werkende desktop Pc’s. En die Pc’s draaien vaak Windows zonder de laatste updates. Criminelen of buitenlandse cyberlegers die deze systemen kunnen overnemen of uitschakelen hebben onze samenleving in een wurggreep.

Als cybercrime en wellicht cyberoorlog echt zo belangrijk is, zou het logisch zijn als de overheid een begin maakt met computeronderwijs dat ook echt onderwijst, het zo snel mogelijk afbouwen van onze software-mono-cultuur en het reduceren van de hoge afhankelijkheid van buitenlandse dienstverleners. Op deze gebieden echte stappen zetten heeft meer zin dan nog meer macht geven aan een overheids-apparaat dat daardoor steeds meer totalitaire trekjes krijgt, terwijl de competentie ervan terecht nog zeer ter discussie staat.

Update, terwijl ik de column aan het schrijven was maakte een vermoedelijk Russische crimineel mijn punt nog eens even door 100.000 computers te besmetten via een java kwetsbaarheid en een hack van de website nu.nl. Alle besmette system draaiden MS-Windows. Veel meer details in het post-mortum rapport van Fox-IT.

De risico’s van het kind online

Kinderen staan online aan risico’s bloot, maar de wijze waarop beleidsmakers in Amerika en Europa die risico’s willen bestrijden, schiet door. Dat meent Simone van der Hof, associate professor regulation of ICTs aan TILT – Tilburg Institute for Law, Technology, and Society.

De vrijheid van jongeren komt onder druk te staan door de technologie. Internet geeft hen vrijheden en kansen die met beide handen worden aangrepen. Bijna allemaal zijn zij via computers en mobiele telefoons online aanwezig. Hun ‘real life’ is onlosmakelijk verweven met hun virtuele doen en laten.

Tegelijkertijd zijn hun online avonturen niet zonder – soms schadelijke – risico’s. Online ontmoeten ze mensen met onzuivere bedoelingen (groomers, fraudeurs etc.) en ook onderling kunnen jongeren elkaar het leven behoorlijk zuur maken door allerlei vormen van ‘cyberharassment’ (cyberpesten, bezemen, etc.). Bovendien vertonen jongeren in de puberteit nu eenmaal experimenteel, risicovol gedrag, ook via Internet, waarvan ze de consequenties vaak niet of onvoldoende overzien.

Het Internet heeft een ijzeren geheugen dus één misstap of onnozelheid en je bent getekend voor het leven. Bovendien is de online impact van je ondoordachte acties enorm doordat – lachwekkende, vernederende, schaamteloze – informatie zich als een veenbrand verspreidt en grenzeloos zichtbaar is.

Lezen: Venus in het gras, door Christian Jongeneel

Op een vroege zomerochtend loopt de negentienjarige Simone naakt weg van haar vaders boerderij. Ze overtuigt een passerende automobiliste ervan om haar mee te nemen naar een afgelegen vakantiehuis in het zuiden van Frankrijk. Daar ontwikkelt zich een fragiele verstandhouding tussen de twee vrouwen.

Wat een fijne roman is Venus in het gras! Nog nooit kon ik zoveel scènes tijdens het lezen bijna ruiken: de Franse tuin vol kruiden, de schapen in de stal, het versgemaaide gras. – Ionica Smeets, voorzitter Libris Literatuurprijs 2020.

Foto: Eric Heupel (cc)

Wifi netwerk van buren misbruiken is wel computervredebreuk

Een gastbijdrage van Jan-Jaap Oerlemans, promovendus aan de Universiteit Leiden. Zie ook zijn blog over cybercrime en privacy.

De rechtbank Den Haag heeft in een zaak geoordeeld dat bij het kraken van het wifi-netwerk geen sprake is van het delict computervredebreuk (hacken), zoals vastgelegd in artikel 138ab van het Wetboek van Strafrecht. Dit is naar mijn mening een verkeerd oordeel van de rechter. In de zaak ging het om een scholier van het Maerlant College in Den Haag die via het forum van de website 4chan.org zijn medescholieren met de dood had bedreigd met de volgende tekst:

“Tomorrow I’ll go and kill some peeps from my old school, the Maerlant college in The Hague. I have made arrangements already in the school, so I will be able to make a good getaway. I parked two vehicles next to both of the exits and have been studying the building plans. It will be all over the news soon :)”

Hij plaatste dit bericht online via het wifi-netwerk van zijn buurvrouw.

De verdachte heeft verklaard dat hij de inloggegevens van zijn buurvrouw heeft gekregen omdat zijn internetverbinding wel eens slecht was. De politie heeft bij KPN het IP-adres gevorderd vanwaar het bericht was verstuurd. Hier kwam het IP-adres van de buurvrouw naar boven. De router van de buurvrouw werd inbeslag genomen en hier werden vijf MAC-adressen op gevonden. Twee van de MAC-adressen waren van de laptop en PC van de onschuldige buurvrouw van de verdachte en de drie andere konden niet geïdentificeerd worden.

Lezen: De wereld vóór God, door Kees Alders

De wereld vóór God – Filosofie van de oudheid, geschreven door Kees Alders, op Sargasso beter bekend als Klokwerk, biedt een levendig en compleet overzicht van de filosofie van de oudheid, de filosofen van vóór het christendom. Geschikt voor de reeds gevorderde filosoof, maar ook zeker voor de ‘absolute beginner’.

In deze levendige en buitengewoon toegankelijke introductie in de filosofie ligt de nadruk op Griekse en Romeinse denkers. Bekende filosofen als Plato en Cicero passeren de revue, maar ook meer onbekende namen als Aristippos en Carneades komen uitgebreid aan bod.

Bestel je boeken bij Bazarow

Bazarow is een verkopende boekensite, waar je ook recensies, nieuws, een agenda en een digitaal magazine kan vinden. Nog niet alles is af, maar veel boeken zijn al te vinden en er komt de komende maanden steeds meer bij.

Het doel van Bazarow is om een site te vormen die evenveel gemak biedt als de online giganten maar die wél teruggeeft aan de boekensector. Tegen roofkapitalisme, en voor teruggeefkapitalisme, bijvoorbeeld door te zorgen dat een flink deel van de opbrengst terug naar de sector gaat en door boekhandels te steunen.