Het regeerakkoord (*1) van het nieuwe kabinet lijkt minister Opstelten alle ruimte te gaan geven, met zijn plannen om in te breken op computers van verdachten en het "ongericht afluisteren" van internetverkeer.
Enkele weken geleden is een conceptbrief van de minister van Veiligheid en Justitie aan de Tweede Kamer gepubliceerd, waarin hij vraagt om de politie meer rechten te geven in de strijd tegen cybercriminaliteit. De politie krijgt de bevoegdheid om de computers van verdachten op afstand te doorzoeken en daarbij gegevens ontoegankelijk te maken, ongeacht in welk land de computer staat en zonder medeweten van de plaatselijke autoriteiten. De nieuwe wetgeving zou het helen van digitale gegevens strafbaar maken.
Dit zou bedacht zijn met het oog op het gebruik van cloud-computing, mobiele pc's en botnets, beperking van criminele data op buitenlandse servers en een snelheidswinst bij het 'terughacken' – en als een voorproefje van wat de Europese Raad overweegt. De implicaties voor persoonlijke beveiliging en privacy zijn zorgwekkend. Het plan lijkt afstand te nemen van de traditionele macht van het KLPD en een veel grotere arena te betreden. Een arena die verder strekt dan de traditionele invloedsferen van de landsgrenzen en de openbare weg en waar er waarden en normen gelden die ernstige obstakels kunnen vormen voor haar gebruikelijke autoriteit en werkwijze.
Het nut van terughacken
Nu worden er in minister Opsteltens brief een paar voorbeelden genoemd waarin de voorgestelde methodes hebben gewerkt. Hier zijn de conclusies dat iemand vrij anoniem data kan uploaden en dat moderne encryptie praktisch niet te ontcijferen is. Er wordt ook opgemerkt hoe gemakkelijk data tussen computers over de hele wereld verspreid kan worden en het zo moeilijker word om de fysieke server te vinden. Als ze die eenmaal hebben gevonden, kost het de politie te veel tijd voor alle rechtshulpverzoeken in orde zijn. De beredenering is dat als de politie bij een dergelijk scenario bij machte was geweest om spyware te installeren (*2), ze mogelijk een wachtwoord had kunnen onderscheppen. Had de politie data op een server mogen vernietigen zonder tussenkomst van het OM, dan had dit tijd gescheeld bij het voorkomen van verdere schade. Volgens minister Opstelten hebben de politie en het OM behoefte aan deze mogelijkheden om de afgesproken opsporings- en vervolgingsprestaties te kunnen leveren.
Digitale huiszoeking
Opstelten beschreef de nieuwe bevoegdheden in een interview als het vermogen tot een digitale huiszoeking. Dit sluit aan op de insteek van de overige bevoegheden in dit veld.
Op het moment mag de politie namelijk op basis van de Telecommunicatiewet vrijwel alle elektronische verkeer aftappen en opnemen, zoals data- en telefoonverkeer.
De concurrentie
De concurrentie is prima in staat om dezelfde software te gebruiken om bij de politie binnen te dringen en data te kopiëren of in te voeren en hiermee de waarde van het bewijsmateriaal te compromitteren, zoals gedemonstreerd in Duitsland door de CCC (*3). In hun proeven bleek het mogelijk om de controle over de software over te nemen, en zich voor te doen als een iteratie van de software en valse data te uploaden. De politie kan zodanig in het hemd worden gezet dat de geloofwaardigheid van het opsporingsdiensten in twijfel getrokken wordt. Een groep Italiaanse hackers liet zien hoe alle gegevens, waaronder adressenlijsten, namen, dossiers en chatlogs van de cybercriminaliteitsdivisie van de politie eruit zagen door het op een Pastebin site te plakken (*4). De concurrentie is vaak relatief jong en bekender met het Internet dan met televisie en radio. Ze hebben enkel zichzelf te beschermen en hoeven geen verantwoording af te leggen. Autoriteit in deze kringen is niet gebaseerd op de strepen op een schouder, maar op vaardigheid. Dit maakt het een heel andere tegenstander dan de politie gewend is.
Eigen broncode
In tegenstelling tot de politie en de andere opsporingsdiensten die zich bedienen van de software in kwestie, schrijft de concurrentie haar eigen software en beschikt wél over de broncode (*5) – wat betekent dat ze niet afhankelijk zijn van derden voor flexibiliteit en nieuwe software. Dit betekent dat de politie blind is, en door een derde geleid moet worden.
Een ander probleem is dat zolang de politie niet beschikt over haar eigen programmeurs, de software die hiervoor gebruikt wordt altijd een onbekende zal vormen en ze zo geen scherp beeld zal hebben op het speelveld. Waar op straat weinig mensen effectief gewapend zijn of een agent iets zullen weigeren, is er hier een wereld waar de vrijwel iedereen zich wapent tegen elke ongenode indringer, en waar men leert te wantrouwen vanaf de eerste kennismaking. Hier is de politie niet anders dan een misdadiger die uit is op cpu-tijd of waardevolle gegevens, en wapent de burger zich met firewalls, virus-scanners, I.D.S.'s, honey-pots of een externe schijf waar slechts om de zoveel tijd contact mee wordt gemaakt (om maar een paar dingen te noemen).
Twee gezichten van de politie
Dezelfde organisatie die de Nederlanders vertelt hoe het huis beveiligd moet worden tegen inbrekers, gaat er nu belang bij krijgen dat wij met zijn allen de cyber-deur niet op slot doen.
Hoe zou de minister opkijken als de politieagent die zijn huis komt controleren even met een schroevendraaier de voordeur opent, en dat zegt dat het huis prima in orde is? Op internet wordt veel aan beveiliging gedaan; als iemand op jouw computer kan komen, heeft die beveiliging gefaald. In plaats van het waarschuwen voor beveiligingsproblemen, wil de politie er gewoon gebruik van maken.
De toekomst?
De vraag over de competentie van een instantie die al over de voorgenoemde machten beschikt, maar nog niet slaagt in het uitoefenen van haar taak is beter daargelaten. Het is eerder de vraag of het zich wel is in het juiste vaarwater begeeft als men het vermogen zoekt om haar tegenstander na te mogen bootsen. Het lijkt er op dat als men zou spelen op haar eigen krachten en de tegenstander's zwakten, men mogelijk een voorbeeldfunctie zou kunnen vormen voor de andere landen – een korps dat aan de ene kant ongrijpbaar is voor de tegenstander en aan de andere kant onvoorspelbaar is. Ook al lijkt de huidige trend erop te wijzen dat allerlei mogendheden hun best doen om steeds meer controle te verwerven over het internet onder de vlag van cybercriminaliteitsbestrijding (*6,7), lijkt het een beetje onzinnig om dit na te volgen terwijl we nog niet in staat zijn om vlaggenschip te spelen.
Op het moment lijken het vooral de IT-bedrijven met overheidscontracten te zijn die profiteren van de situatie, en heeft de minister hun wensen maar in te leveren bij het parlement, omdat hij de materie niet begrijpt. Het is daarom nog maar de vraag waar dit naartoe gaat.
Deze bijdrage is geschreven door Traumblaser.
In 2012 het woord “cyber” gebruiken?! Foei!
Hopelijk naar een echte IT-er als minister van Cyber Zaken, RAAAA 😀
Wat is er mis met het principe van het hebben van een “warrant” (bevelschrift?). Voor het doorzoeken van een woning bij een strafrechtelijk onderzoek is dat immers ook noodzakelijk. Formeel heb je dan in ieder geval nog een vorm van gerechtelijke toets vooraf geregeld.
In de conceptbrief vertelt Opstelten dat dat te lang zou duren – iets wat een dag of twee zou kunnen duren, zou ook in een paar uurtjes geregeld kunnen zijn. Een belangrijk punt is dat Opstelten dit allemaal wil kunnen doen zonder een Officier van Justitie of rechter erbij te hoeven betrekken. Dit, samen met het testen van deze middelen voordat ze de bevoegdheid hebben en het weigeren van het vrijgeven van zelfs geaggregeerde data over hun bezigheden (was een poosje geleden in het nieuws, over hoe vaak ze social media controleren) lijkt op ruzie zoeken met de burger die ooit nog in een van de meest ruimdenkende Westerse landen ter wereld is opgegroeid.
Toch interessant, ze ondersteunen wel netneutraliteit, maar passen ondertussen toch censuur (TPB) en privacyinbreuk toe… dag democratisch Nederland, hallo politiestaat Nederland…
Privacy houd ongeveer op bij je voordeur – en nu nog je modem/ router – en mogelijk wat er in je brieven zit. Althans, we hebben nog het briefgeheim, maar de politie mag in Nederland alle elektronische data-verkeer zonder issues kopieren en een ISP is verplicht alle data af te geven over de gebruiker. Cameratoezicht in Nederland valt inmiddels onder de Wet Politiegegevens, waardoor ze hier geen data over hoeven af te geven (hoewel er een vrijwilligersinitiatief is om het aantal te tellen). In een zekere zin hebben we nu dus al iets van tien jaar een staat waarin de politie toegang/ beschikking heeft tot bijna alle gegevens over een persoon, hoewel het nu pas probeert burgers te intimideren op het Internet en lobby’t om elektronische data ook onder die Wet Politiegegevens te krijgen. Strikt genomen moeten ze die data gewoon ophoesten, maar komt er allerlei onzin uit over hoe ze dat gewoon niet gaan doen (Teeven, op verscheidene Kamervraagronden).
Wat Democratie betreft – wat we hier hebben is per definitie geen ‘democratie’. We hebben gewoon een monarch die ons per jaar ongeveer een kwart miljard kost (voorzichtig genomen; de Rekenkamer heeft hier eens wat over opgezocht) en die zonder enige transparantie met de premier wekelijks overlegt en haar handtekening moet zetten – en ze mag nog steeds het Parlement ontbinden. En dan heb ik het nog niet eens gehad over die ‘getrapte verkiezingen’… Dit is dus geen volksvertegenwoordiging.
Anyway: we zitten al in een politiestaat en we hebben nooit een democratie gehad. Aan de andere kant – we zitten wel in een prima gelegenheid om er iets aan te doen! Met huidige technologie en bevolkingsopbouw is het bijna onmogelijk om het volk het vermogen te ontnemen tot onafhankelijke communicatie onder elkaar en dus te organiseren. De economische crisis betekent ook dat er hervormingen moeten plaatsvinden (niemand zit immers te wachten op een gewelddadige revolutie) en na zoiets is een politiestaat al niet meer effectief (dat werkt echt alleen maar als men bang is en zich machteloos voelt). Dit betekent vooral dat het tijd is om hier iets aan te doen, hoor 😛 En het kan nu nog heel makkelijk.
Dat, en dat de Eerste Kamer door de Provinciale Staten word gekozen. Eerlijk gezegd ben ik het niet 100% zeker, maar ik had ook het idee dat een Kamerlid onafhankelijk van z’n partij beslissingen kon nemen (en er niet meteen uitgezet kon worden).