Maandag verzond minister Opstelten van Veiligheid en Justitie een brief aan de Tweede Kamer over zijns inziens noodzakelijke nieuwe strafrechtelijke opsporingsbevoegdheden op het Internet. Een belangrijk onderdeel daarvan is de mogelijkheid om ‘terug te hacken’ in de strijd tegen cybercrime. De politie moet kunnen inbreken op computers in binnen- en buitenland, om (spionage) software te installeren, gegevens te doorzoeken, ontoegankelijk te maken of te verwijderen. De Tweede Kamer heeft inmiddels laten weten dit plan te ondersteunen. Is dit verstandig?

Is er een aanleiding?

De minister constateert dat traditionele opsporings- en handhavingsmethoden minder toereikend worden tegen zaken als botnets en verspreiders van kinderporno. Cybercriminelen gebruiken encryptie voor het versleutelen van hun communicatie. Bovendien gebruiken ze systemen als Tor om communicatiepaden te verbergen. Daardoor is het vaak lastig om te bepalen in welk land een bepaalde computer zich bevindt. Het is dan onduidelijk aan welk land een vraag om rechtshulp moet worden gestuurd. De criminelen blijven zo buiten schot.

Dat is een beetje eenzijdige voorstelling van de werkelijkheid. Natuurlijk heeft de politie last van de steeds geavanceerdere technieken die criminelen (maar ook gewone burgers) gebruiken om zichzelf te beschermen. Maar daarnaast gebruikt de politie zelf ook verregaande technieken die haar slagkracht behoorlijk hebben vergroot. Denk aan de bewaarplicht, het opvragen van verkeers- en locatiegegevens (waar encryptie niet volledig tegen beschermd), het surveilleren op sociale media, en systemen als het Internet Recherche Netwerk (IRN) waarmee rechercheurs anoniem op het Internet hun onderzoek kunnen doen (en waarvoor de trainingen door commerciële partijen gegeven worden).

Gaan de nieuwe mogelijkheden helpen?

Door spionagesoftware op computers en smartphones te installeren kan de politie meeluisteren met gesprekken, ook als deze versleuteld worden (zoals bijvoorbeeld Skype dat doet). Ook kan zij meekijken in versleutelde emails en beveiligde webpagina’s. Het gebruik van Tor helpt dan ook niet meer om te verbergen dat je naar kinderporno surft. Het is dan wel zaak dat de spionagesoftware niet ontdekt wordt: in dat geval is de crimineel gewaarschuwd, en is de onschuldige burger een illusie armer….

Daarnaast maken de nieuwe bevoegdheden het mogelijk om de controle over een botnet over te nemen, zelfs als deze vanuit een PC in het buitenland bestuurd wordt. Ook kunnen geïnfecteerde PC’s worden opgeschoond, of de eigenaren op z’n minst geïnformeerd worden over het feit dat hun PC besmet is. Hier kleven wel nadelen aan, die ik hieronder verder bespreek.

Ten derde kan illegaal materiaal, denk aan kinderporno, maar wellicht ook ter heling aangeboden digitale bestanden, vernietigd worden om verdere verspreiding per direct tegen te gaan. Hoe effectief deze maatregel in de praktijk is valt nog te bezien. Digitale kinderporno en dergelijke worden vele malen gekopiëerd. Het verwijderen van dergelijk materiaal van één enkele server helpt dan weinig. Binnen de kortste keren is het materiaal via een andere server alsnog weer toegankelijk.

Zijn er ook nadelen?

De genoemde verruiming van de opsporingsmogelijkheden heeft ook enkele nadelen.

Bij het opruimen van het Bredolab botnet in 2010 maakte de politie al gebruik van de mogelijkheden waar de minister nu een duidelijke wettelijke basis voor wil bieden. In dat geval verspreide ze, via het botnet, ook waarschuwingen aan gebruikers van geïnfecteerde PCs in binnen- en buitenland. Ik zou eerlijk gezegd behoorlijk geschokt zijn als een vergelijkbare mededeling van de FBI (of de Chinese politie) op mijn beeldscherm zou verschijnen! Hoe kan ik er op vertrouwen dat zij niet stiekem toch nog een klein achterdeurtje hebben opengelaten? Zulke acties versterken het gevoel dat er altijd iemand met je meekijkt, en hebben dus een grote impact op de privacy van de burger.

In de brief zegt de minister:

“Zo heeft de politie bijvoorbeeld de inhoud van servers op het hierboven al beschreven Tor netwerk met daarop opgeslagen afbeeldingen van ernstig seksueel misbruik van kinderen gekopieerd en daarna vernietigd dan wel ontoegankelijk gemaakt op de server. Op dat moment kon de exacte locatie van deze servers niet met zekerheid worden bepaald doordat het communicatiepad versluierd was.”

Bij het opschonen van een computer is er altijd een kans dat het niet helemaal goed gaat. Bovendien kan een reboot noodzakelijk zijn. Het is dan wel belangrijk om te weten welke computer het betreft en of opschonen geen ongewenste consequenties heeft. Als je niet weet waar de computer staat,
kan het maar zo zijn dat je de controller van een kerncentrale, op een operatiekamer, of op de beursvloer reset.

De minister geeft zelf toe dat kennis en ervaring ontbreekt:

De actuele situatie is dat het aantal cybermisdrijven toeneemt en de capaciteit, kennis en ervaring binnen de strafrechtketen hiermee geen gelijke pas houdt.

Die expertise is absoluut noodzakelijk om dergelijke nieuwe opsporingstechnieken verantwoord toe te passen. Zonder die expertise heeft het geen zin om om verruiming van de mogelijkheden te vragen. We kunnen commerciële partijen als Fox-IT niet voor dit soort klusjes laten opdraaien. De politie (en het leger) hebben het geweldsmonopolie om de orde te handhaven. Je verwacht ook geen Securitas werknemer op de stoep als je gearresteerd wordt.

Tenslotte is de vraag wanneer terughacken legitiem is. Kennelijk voor de bestrijding van botnets en kinderporno. Maar ook om Wikileaks de mond te snoeren? Of de Pirate Bay voor goed uit de lucht te halen? Mogen streng islamitische landen dan ook terug gaan hacken op pornosites of de Playboy? We moeten ook niet vreemd opkijken als de VS op basis van strikte naleving van copyright wetgeving in Nederland gaat terughacken. Als de Nieuw Zeeland al zover krijgen om een inval te doen bij Megaupload….

Wat zijn de alternatieven?

Cybercrime heeft een aantal oorzaken. Eén daarvan is: “Gelegenheid maakt de dief”. Het bestaan van botnets bijvoorbeeld wordt veroorzaakt door de beroerde beveiliging van computers. Dit is deels te wijten aan onkunde van de gebruikers, maar zeker ook aan de nog steeds te wensen overlatende veiligheid van software en systemen. Investeringen om die te verbeteren helpen ook. We verliezen wel eens uit het oog dat de systemen die we nu gebruiken om wereldwijd te communiceren en handel te drijven, en waarop een hele critische infrastructuur is gebouwd, daar oorspronkelijk helemaal niet voor bedoeld waren. Zelfs de modernste systemen zijn in essentie nauwelijks anders dan de eerste computers. De basis van de huidige operatingsystemen is gelegd in de jaren 70. Hetzelfde geldt voor het Internet. Niemand kon toen voorzien hoe we die systemen nu gebruiken. En daar is in het basisontwerp dan ook geen rekening mee gehouden.

Bestrijding van identiteitsfraude en misbruik van creditcard gegevens (een ander voorbeeld dat in de brief wordt genoemd) is ook te bereiken door de authenticatie te verbeteren: een losstaand creditcard nummer zou gewoon waardeloos moeten zijn. En dat zelfde zou ook moeten gelden voor een kopie van een paspoort.

Voor het omzeilen van encryptie is er inderdaad geen andere mogelijkheid dan te proberen op één van de eindpunten van de communicatie in te breken. Maar dat creëert wel een perverse prikkel voor overheden om aan te dringen op onveilige systemen om zo spionage mogelijk te maken. Stel de politie vindt een bug in Android. Zou ze die dan melden? Of zou ze die geheim houden om zo hun spionagesoftware te kunnen blijven installeren op smartphones?

Het verwijderen van onwelgevallig materiaal tenslotte is volgens mij in essentie onmogelijk op het Internet (nog afgezien van de vraag of het wenselijk is).

Conclusie

Het nut en de noodzaak voor de door de minister aangekondigde nieuwe maatregelen zijn niet overtuigend aangetoond. De voorstellen ondermijnen de (legitieme) wens van gebruikers zoals u en ik om ons tegen een al te sterke, nieuwsgierige overheid (en private sector!) te beschermen. Andere landen zullen nu spoedig met vergelijkbare wetgeving komen. Welke rechtspositie heeft een Nederlandse burger dan nog? Het is essentieel de balans tussen de macht van de staat en die van haar burgers in evenwicht te houden. Deze voorstellen verstoren dat evenwicht.
Update 17-10-2012, 11:10: Nog enkele voorbeelden ter verduidelijking toegevoegd. Zie ook de blogpost van Bits of Freedom over dit onderwerp.