Terughacken maakt meer kapot dan me lief is...

October 16, 2012

Maandag verzond minister Opstelten van Veiligheid en Justitie een brief aan de Tweede Kamer over zijns inziens noodzakelijke nieuwe strafrechtelijke opsporingsbevoegdheden op het Internet. Een belangrijk onderdeel daarvan is de mogelijkheid om 'terug te hacken' in de strijd tegen cybercrime. De politie moet kunnen inbreken op computers in binnen- en buitenland, om (spionage) software te installeren, gegevens te doorzoeken, ontoegankelijk te maken of te verwijderen. De Tweede Kamer heeft inmiddels laten weten dit plan te ondersteunen. Is dit verstandig?

Is er een aanleiding?

De minister constateert dat traditionele opsporings- en handhavingsmethoden minder toereikend worden tegen zaken als botnets en verspreiders van kinderporno. Cybercriminelen gebruiken encryptie voor het versleutelen van hun communicatie. Bovendien gebruiken ze systemen als Tor om communicatiepaden te verbergen. Daardoor is het vaak lastig om te bepalen in welk land een bepaalde computer zich bevindt. Het is dan onduidelijk aan welk land een vraag om rechtshulp moet worden gestuurd. De criminelen blijven zo buiten schot.

Dat is een beetje eenzijdige voorstelling van de werkelijkheid. Natuurlijk heeft de politie last van de steeds geavanceerdere technieken die criminelen (maar ook gewone burgers) gebruiken om zichzelf te beschermen. Maar daarnaast gebruikt de politie zelf ook verregaande technieken die haar slagkracht behoorlijk hebben vergroot. Denk aan de bewaarplicht, het opvragen van verkeers- en locatiegegevens (waar encryptie niet volledig tegen beschermd), het surveilleren op sociale media, en systemen als het Internet Recherche Netwerk (IRN) waarmee rechercheurs anoniem op het Internet hun onderzoek kunnen doen (en waarvoor de trainingen door commerciële partijen gegeven worden).

Gaan de nieuwe mogelijkheden helpen?

Door spionagesoftware op computers en smartphones te installeren kan de politie meeluisteren met gesprekken, ook als deze versleuteld worden (zoals bijvoorbeeld Skype dat doet). Ook kan zij meekijken in versleutelde emails en beveiligde webpagina's. Het gebruik van Tor helpt dan ook niet meer om te verbergen dat je naar kinderporno surft. Het is dan wel zaak dat de spionagesoftware niet ontdekt wordt: in dat geval is de crimineel gewaarschuwd, en is de onschuldige burger een illusie armer.…

Daarnaast maken de nieuwe bevoegdheden het mogelijk om de controle over een botnet over te nemen, zelfs als deze vanuit een PC in het buitenland bestuurd wordt. Ook kunnen geïnfecteerde PC's worden opgeschoond, of de eigenaren op z'n minst geïnformeerd worden over het feit dat hun PC besmet is. Hier kleven wel nadelen aan, die ik hieronder verder bespreek.

Ten derde kan illegaal materiaal, denk aan kinderporno, maar wellicht ook ter heling aangeboden digitale bestanden, vernietigd worden om verdere verspreiding per direct tegen te gaan. Hoe effectief deze maatregel in de praktijk is valt nog te bezien. Digitale kinderporno en dergelijke worden vele malen gekopiëerd. Het verwijderen van dergelijk materiaal van één enkele server helpt dan weinig. Binnen de kortste keren is het materiaal via een andere server alsnog weer toegankelijk.

Zijn er ook nadelen?

De genoemde verruiming van de opsporingsmogelijkheden heeft ook enkele nadelen.

Bij het opruimen van het Bredolab botnet in 2010 maakte de politie al gebruik van de mogelijkheden waar de minister nu een duidelijke wettelijke basis voor wil bieden. In dat geval verspreide ze, via het botnet, ook waarschuwingen aan gebruikers van geïnfecteerde PCs in binnen- en buitenland. Ik zou eerlijk gezegd behoorlijk geschokt zijn als een vergelijkbare mededeling van de FBI (of de Chinese politie) op mijn beeldscherm zou verschijnen! Hoe kan ik er op vertrouwen dat zij niet stiekem toch nog een klein achterdeurtje hebben opengelaten? Zulke acties versterken het gevoel dat er altijd iemand met je meekijkt, en hebben dus een grote impact op de privacy van de burger.

In de brief zegt de minister:

"Zo heeft de politie bijvoorbeeld de inhoud van servers op het hierboven al beschreven Tor netwerk met daarop opgeslagen afbeeldingen van ernstig seksueel misbruik van kinderen gekopieerd en daarna vernietigd dan wel ontoegankelijk gemaakt op de server. Op dat moment kon de exacte locatie van deze servers niet met zekerheid worden bepaald doordat het communicatiepad versluierd was."

Bij het opschonen van een computer is er altijd een kans dat het niet helemaal goed gaat. Bovendien kan een reboot noodzakelijk zijn. Het is dan wel belangrijk om te weten welke computer het betreft en of opschonen geen ongewenste consequenties heeft. Als je niet weet waar de computer staat, kan het maar zo zijn dat je de controller van een kerncentrale, op een operatiekamer, of op de beursvloer reset.

De minister geeft zelf toe dat kennis en ervaring ontbreekt:

De actuele situatie is dat het aantal cybermisdrijven toeneemt en de capaciteit, kennis en ervaring binnen de strafrechtketen hiermee geen gelijke pas houdt.

Die expertise is absoluut noodzakelijk om dergelijke nieuwe opsporingstechnieken verantwoord toe te passen. Zonder die expertise heeft het geen zin om om verruiming van de mogelijkheden te vragen. We kunnen commerciële partijen als Fox-IT niet voor dit soort klusjes laten opdraaien. De politie (en het leger) hebben het geweldsmonopolie om de orde te handhaven. Je verwacht ook geen Securitas werknemer op de stoep als je gearresteerd wordt.

Tenslotte is de vraag wanneer terughacken legitiem is. Kennelijk voor de bestrijding van botnets en kinderporno. Maar ook om Wikileaks de mond te snoeren? Of de Pirate Bay voor goed uit de lucht te halen? Mogen streng islamitische landen dan ook terug gaan hacken op pornosites of de Playboy? We moeten ook niet vreemd opkijken als de VS op basis van strikte naleving van copyright wetgeving in Nederland gaat terughacken. Als de Nieuw Zeeland al zover krijgen om een inval te doen bij Megaupload.…

Wat zijn de alternatieven?

Cybercrime heeft een aantal oorzaken. Eén daarvan is: "Gelegenheid maakt de dief". Het bestaan van botnets bijvoorbeeld wordt veroorzaakt door de beroerde beveiliging van computers. Dit is deels te wijten aan onkunde van de gebruikers, maar zeker ook aan de nog steeds te wensen overlatende veiligheid van software en systemen. Investeringen om die te verbeteren helpen ook. We verliezen wel eens uit het oog dat de systemen die we nu gebruiken om wereldwijd te communiceren en handel te drijven, en waarop een hele critische infrastructuur is gebouwd, daar oorspronkelijk helemaal niet voor bedoeld waren. Zelfs de modernste systemen zijn in essentie nauwelijks anders dan de eerste computers. De basis van de huidige operatingsystemen is gelegd in de jaren 70. Hetzelfde geldt voor het Internet. Niemand kon toen voorzien hoe we die systemen nu gebruiken. En daar is in het basisontwerp dan ook geen rekening mee gehouden.

Bestrijding van identiteitsfraude en misbruik van creditcard gegevens (een ander voorbeeld dat in de brief wordt genoemd) is ook te bereiken door de authenticatie te verbeteren: een losstaand creditcard nummer zou gewoon waardeloos moeten zijn. En dat zelfde zou ook moeten gelden voor een kopie van een paspoort.

Voor het omzeilen van encryptie is er inderdaad geen andere mogelijkheid dan te proberen op één van de eindpunten van de communicatie in te breken. Maar dat creëert wel een perverse prikkel voor overheden om aan te dringen op onveilige systemen om zo spionage mogelijk te maken. Stel de politie vindt een bug in Android. Zou ze die dan melden? Of zou ze die geheim houden om zo hun spionagesoftware te kunnen blijven installeren op smartphones?

Het verwijderen van onwelgevallig materiaal tenslotte is volgens mij in essentie onmogelijk op het Internet (nog afgezien van de vraag of het wenselijk is).

Conclusie

Het nut en de noodzaak voor de door de minister aangekondigde nieuwe maatregelen zijn niet overtuigend aangetoond. De voorstellen ondermijnen de (legitieme) wens van gebruikers zoals u en ik om ons tegen een al te sterke, nieuwsgierige overheid (en private sector!) te beschermen. Andere landen zullen nu spoedig met vergelijkbare wetgeving komen. Welke rechtspositie heeft een Nederlandse burger dan nog? Het is essentieel de balans tussen de macht van de staat en die van haar burgers in evenwicht te houden. Deze voorstellen verstoren dat evenwicht. Update 17-10-2012, 11:10: Nog enkele voorbeelden ter verduidelijking toegevoegd. Zie ook de blogpost van Bits of Freedom over dit onderwerp.

In case you spot any errors on this page, please notify me!
Or, leave a comment.
‘Terughacken’ politie maakt meer kapot dan lief is | Sargasso
, 2012-10-17 10:00:21
(reply)

[…] Opstelten om de politie terug te laten hacken is onzalig, meent computerveiligheidsdeskundige Jaap-Henk Hoepman.Maandag verzond minister Opstelten van Veiligheid en Justitie een brief aan de Tweede Kamer over […]

Carlo Seddaiu
, 2012-10-18 08:50:14
(reply)

Het hacken van systemen is een maatregel maar helaas geen waterdichte. Het is gebleken uit onderzoek dat het mogelijk is om met malware op systemen de browser bepaalde web sites te laten bezoeken. Waarbij de onschuldige gebruiker NIETS ziet en top antivirus produkten niets zien c.q. ten onrechte een melding geven van een tegen gehouden virus. In het laatste geval was de PC wel degelijk besmet. Van de verdere activiteiten van deze besmetting was verder NIETS te merken omdat de gehele besmetting verder volledig verliep in RAM geheugen en NIETS naar de harde schijf werd geschreven. Behalve datgene wat de aanvaller expliciet op de harde schijf geplaatst wilde hebben. Het is ook mogelijk om de malware code daarna onzichtbaar te verwijderen uit het geheugen. Bestaande forensische technieken zijn dan per definitie machteloos. Het is in hoge mate onwaarschijnllijk dat spionage software van overheidsdiensten dit weten te detecteren als antivirus software experts het al niet kunnen. Als men het wel kan is het bovendien de vraag of er dan geen andere zaken mogelijk zijn. Een beetje een catch 22 dus. Een image draaien zoals men dus tot nu toe vaak doet van de harde schijf is dan nutteloos. Het bewijs materiaal is fundamenteel onbetrouwbaar omdat men niet kan uitsluiten dat er via Internet, (gehackte) Wifi of bluetooth niet een handige buurman bezig is om via de PC van de ander te surfen…

Dus zonder een volledige en langdurige opslag van alle netwerk data met daarbij ook alle sleutels kan elk systeem ongemerkt als proxy (doorgeefluik) dienen. Los van de mogelijkheid om met steganografische technieken communicatie zeer effectief te verbergen in normale communicatie of side channels naar de werkelijke aanvaller.

Om het geheel nog funester te maken werd er simpelweg gebruik gemaakt van vrij verkrijgbare populaire hack tools die iedereen kan downloaden (metasploit, etc). Dus er werden middelen gebruikt die voor iedereen toegankelijk zijn. Het geeft aan dat de huidige antivirus en firewall produkten domweg niet over voldoende intelligentie beschikken om dergelijke, DOOR IEDEREEN TOEPASBARE, aanvallen tegen te houden. Uit onafhankelijke cijfers blijkt inderdaad ook dat vele antivirus produkten in WERKELIJKHEID minder dan 60 procent daadwerkelijk tegen houden van de nieuwere aanvallen.

De realiteit is dat het huidige internet en het gebruik hiervan een economische realiteit kennen waarbij het daadwerkelijk voorkomen van dergelijke zaken een vrijwel economische onmogelijkheid is. Zolang er geen wetgeving is die o.a. een bepaalde kwaliteitscontrole afdwingt in broncode is het een onoplosbaar probleem.

Wat niet wegneemt dat het bestrijden van dergelijke zaken zeer noodzakeljk is maar er zijn goedkopere en betere methoden en technieken.

Bèr Kesses
, 2012-10-18 12:56:15
(reply)

Daarbij komt nog dat het internet per definitie internationaal is. Als ik mijn door de politie geïnfecteerd laptop aan iemand net over de grens in Duitsland verkoop? De politie zal dat mogelijk pas laat merken en dus feitelijk een “act of war” plegen door als Nederlandse Overheid in te breken bij een Duits Staatsburger. En wat als ikzelf mijn laptop in Parijs openklap en ze op dat moment inbreken?

Deze wet getuigd van zo’n ongelooflijke naïviteit dat iedereen die zich hier achterschaart, per definitie niet met zulke gevaarlijke technieken om zou mogen gaan.