Regelmatig geef ik presentaties over it-beveiliging, in het rijtje aanvallers heeft tot nu toe de politie ontbroken. Waarschijnlijk mijn naïviteit, maar het schijnt een reële optie te zijn. Dus naast criminelen, 'insiders', veiligheidsdiensten, terroristen en industriele spionnen moeten we schijnbaar ook de politie in Nederland aan dit illustere rijtje toevoegen.
Een artikel van Marcel Proost haalde onlangs de voorpagina van mijn regionaal dagblad onder de titel 'Politie hackt computer verdachten misdrijven'. Wat is de juridische basis voor deze activiteiten, mag dit zo maar, hoe doen ze dit dan? Genoeg storende vragen tijdens het ontbijt om ook voor iemand die zich vooralsnog netjes aan de wet probeert te houden eens te onderzoeken waar de grenzen zijn. Het argument van de politie is dat traditionele methoden zoals telefoontaps steeds minder op leveren omdat de criminelen hun communicatie verleggen naar het internet en Skype. De politie moet met zijn tijd mee en voegt een nieuw wapen aan het arsenaal toe. Het idee is eenvoudig, we installeren bijvoorbeeld een trojan horse op de pc van een crimineel en luisteren vervolgens mee met de chatsessies, onderzoeken zijn documenten en als er ook nog een camera geïnstalleerd is, is het helemaal feest bij onze speurneuzen.
Nu bestaat er voor de telefoontap een mooie wet en procedure die onze rechten beschermd, maar zoals zo vaak haalt de techniek de bestaande praktijk in en beweegt de overheid zich nu in het schaduwgebied tussen wet en illegaliteit. Onze oosterburen zijn hier duidelijk over, hacking door de politie is niet toegestaan! Een uitspraak van de Duitse hoge raad verbiedt het. De twee belangrijkste argumenten zijn dat telefoontaps verschillen van hacking doordat het bij telefoontaps om 'live' communicatie gaat en bij hacking ook sprake is van inzage in gearchiveerde informatie. Het andere argument is dat hacking ook verschilt van het huiszoekingsargument omdat bij een huiszoeking de verdachte (of een andere getuige) aanwezig is en bij hacking hier geen sprake van is.
Hoe doet de politie dit dan? Er van uitgaande dat de fatsoensregels door de overheid in acht genomen worden en dat de trojan horse alleen bij de crimineel geïnstalleerd wordt, zijn er niet zoveel mogelijkheden om de pc te infecteren, eigenlijk alleen één op één communicatie zoals e-mail of chatsessies zijn de opties. Een methode die gebruikt maakt van een webpagina zoals www.boeventips&tricks.nl gaat niet werken omdat ook niets vermoedende burgers de pagina zouden kunnen oproepen. Zal men ook zo netjes zijn om na de geslaagde aanval de malware weer te verwijderen om de crimineel te beschermen tegen aanvallen van zijn vakbroeders? Vele vragen blijven open, niet in de laatste plaats het subtiele verschil tussen de rechten van een verdachte en van een crimineel. Voor mij lijkt het er sterk op dat onze boevenvangers het dievenpad hebben gekozen.
Je hebt via IDS, IPS, anti-malware software, goed beheer, et cetera wellicht het nodige gedaan om (onopgemerkte) inbraak onmogelijk te maken. Desondanks zal een hack mogelijk toch mogelijk zijn. Ook door de politie. Het lijkt mij echter dat je je om een aantal redenen hierover niet (te) veel zorgen moet maken. De politie staat niet boven de wet en is zich hiervan bewust. Men zal terughoudend zijn wegens de publieke opinie en aansprakelijkheid (schade is zo veroorzaakt). Ook hoe het elders uitpakt ? zoals in Duistland ? zal meewegen. Verder is actuele detailkennis nodig die moeilijk zelf te genereren is en betrokkenheid van andere partijen impliceert, tenminste als we andere inside bronnen uitsluiten. Operaties stilhouden zal lastig zijn. Verder lijkt me wel dat hacks van binnenuit min of meer legitiem in te brengen zijn in undercover-operaties. Dat is echter speculeren over een tamelijk duistere kant van het opsporingswezen. Als het zover is …
Technische oplossingen gaan wel vaker voor wet- en regelgeving uit. De vraag is of het reeel is de politie op te zadelen met ?ouderwetse? opsporingsmethoden terwijl de misdaad zich wel vernieuwd.
Al in 1998 verschenen de eerste artikelen over privacy op internet en het probleem dat internetverkeer wordt afgetapt. Dat dit tot op vandaag nog niet gedaan is rampzalig voor de ontwikkeling van ons informatielandschap.
Hacking vanuit een undercover positie moet legitiem te maken zijn. Men zet daar niet voor niets een opsporingsambtenaar in.
Het hacken van een computer van buitenaf moet naar mijn idee tegengegaan worden. Niet alleen vanwege privacy aspecten, maar ook omdat bijvoorbeeld niet na te gaan is of je wel op de juiste computer bezig bent.
Ik denk wel dat het tijd wordt om solide wetgeving te ontwikkelen die past bij de hedendaagse vormen van informatie uitwisseling.
Elke organisatie dient rekening te houden met dit soort ongewenste toegang tot resources. Het zou een goede ethische en juridische discussie kunnen zijn of een (lokale) opsporingsinstantie deze techniek mag gebruiken. Maar de techniek is voorhanden en er zullen altijd individuen, organisaties en overheden zijn die jouw informatie interessant zullen vinden. Het maakt voor een risicoanalyse dus niet uit of een script kid, een concurrent, de lokale overheid of een vreemde mogendheid als China of de US zich deze toegang wil verschaffen. Belangrijke informatie dient dus beschermd te worden met (control) maatregelen.
Verder lijkt het me wel een leuke vervolg discussie opleveren indien de lokale overheid heimelijk malware mag instaleren en dezelfde overheid bedrijven oproept zich te wapenen tegen cyberterreur. Een interessante paradox.
Als het gaat om inbreken op de computers van verdachten zelf, dan heeft de politie niet meer middelen in huis dan de gemiddelde hacker. Als je dus jezelf tegen hackers beveiligd hebt, ben je ook veilig voor de politie, los van discussie over rechtmatigheid.
Waar het verschil zit is de toegang tot jouw gegevens bij je internet provider. Hier heeft de politie meer middelen dan de hacker en alleen daarom al hoort dit zeker via de rechter geregeld te worden. Hier zijn dan gelukkig ook regels voor.
Ook de politie moet zich houden aan wet en regelgeving en kan zich dus niet zomaar toegang verschaffen op pc’s van verdachten. Artikel 138a in het Wetboek van Strafrecht, Computervredebreuk, stelt het opzettelijk en wederrechtelijk binnendringen van een geautomatiseerd werk strafbaar. Dit is ook bij onze oosterburen zo maar een interessante ontwikkeling en heel actueel is een duitse wet die het ‘Bundes Kriminal Ambt’, de federale recherche toestemming geeft om online pc’s van particulieren te doorzoeken. De enige restricties die hierin geldt is dat de woning waar de pc staat niet mag worden betreden om bewakingssoftware te installeren. Lijkt mij nog maar een kwestie van tijd voor een dergelijke wet voor de verruiming van opsporingsbevoegdheden ook in Nederland van kracht wordt.
Waar ik mij met name zorg om maak is de methodiek die gebruikt wordt. iedereen zal het met mij eens zijn dat de politie na een huiszoeking netjes de deur weer op slot doet. Hoe zit dat met een inbraak via hacking? Als men bewust een Trojan horse installeert om toegang te krijgen, dan vraag ik mij af wie daar nog meer gebruik van kan maken. Ik ga er vanuit dat zolang er geen rechter aan te pas is gekomen dat de verdachte dezelfde rechten heeft als elke eerzame burger, dus niet met een open deur hoeft te leven.