Terughacken door politie in strijd met mensenrechten
De opsporingsmethode die de Nationale Recherche bij de aanpak van bet Bredolab-botnet hanteerde was in strijd met fundamentele mensenrechten en daardoor ongeoorloofd. Dat concludeert Merel Koning in haar scriptie over de 'terughack praktijk' van Justitie. Inmiddels is Koning werkzaam voor burgerrechtenbeweging Bits of Freedom. Uit haar onderzoek blijkt dat het het Openbaar Ministerie (OM) van de inmenging op het privacyrecht wist, terwijl de waarde van het Verdrag tot Bescherming van de Rechten van de Mens (EVRM) onderbelicht bleef.
Het OM ging uit van een privacy inmenging bij het terughacken naar de slachtoffers omdat "je iets stuurt naar iemand en een aantal van de geïnfecteerde computers zich in huizen zal bevinden. In ruimtes waar mensen onbevangen zichzelf moeten kunnen zijn. En als je mensen daar benadert kunnen ze op dat moment niet even onbevangen zichzelf zijn, want ze worden geconfronteerd met de politie en dat is een privacy schending."
Bevoegdheid
De beschermingsomvang van artikel 8 EVRM omvat niet alleen de woning maar ook het ICT-systeem. Bij het terughacken werd alleen naar de aard en onderzoekbijdrage van de bevoegdheid gekeken. "Het te verwachten effect van de bevoegdheid en van de inmenging had moeten worden meegewogen", stelt Koning.
Peter Zinn, senior advisor van THTC laat weten dat, ondanks de ontstane commotie rond de legitimiteit van het optreden bij de Bredolab ontmanteling, zijn team niettemin op de ingeslagen weg voortgaat "al mag het misschien niet van de rechter". Dat een zaak door dergelijke beslissingen kapot kan gaan neemt hij voor lief.
Privacy
Volgens Koning is in deze zaak zowel het privacyrecht van een grote groep slachtoffers als van de verdachte geschonden. "Het effect van deze privacyschending is van een andere aard dan het doorzoeken van een woning. Het is dan ook vreemd dat de analogie met huiszoeking wordt gemaakt om het terughacken te legitimeren." De eerste zou legitiem zijn en is met waarborgen omkleed, maar dat geldt niet voor het tweede.
Koning verwacht dat ook toekomstig optreden "evenmin zal plaatsvinden in lijn met de rechtstaatgedachte." Daarbij ziet ze ook een overeenkomst met de IRT-affaire en het doorlaten van drugs. In de voorbereiding op de ontmanteling van het botnet liet de THTC de botnetbeheerder belangrijke hoeveelheden malware op de bots plaatsen, waarbij niet werd ingegrepen. "Dit werd uitgesteld om een zo succesvol mogelijke ontmanteling te bewerkstelligen, waardoor de internationale internetgemeenschap de slagkracht van het THTC zou ervaren", concludeert Koning.
De IRT-affaire leidde uiteindelijk tot de implementatie van de Wet Bijzondere opsporingsbevoegdheden. In deze wet zijn een groot aantal opsporingstechnieken van een expliciet wettelijke bevoegdheid voorzien. Koning: "Mijns inzien is er geen aanleiding om in geval van cybercriminaliteit van rechtstatelijke beginselen af te wijken."
De scriptie zelf is - ondanks het sexy onderwerp en de publiciteit die het via BoF krijgt - van matige kwaliteit. Niet alleen is een 'juridische analyse' op basis van veelal mediaberichten en niet de originele juridische stukken per definitie wankel, ook bestaat een deel van de analyse uit subjectieve oordelen.
Zo is het natuurlijk te zot voor woorden om de waarschuwing die het KLPD aan de geïnfecteerde PCs verspreid als een privacy-schending te kwalificeren omdat er 1 Duitser is die er op een forum over piept.
De conclusie dat 'terug-hacken' bij wet geregeld had moeten worden en dat dus nu sprake is geweest van schending van mensenrechten is erg gekleurd. Er had ook geconcludeerd kunnen worden - op basis van hetzelfde feitenmateriaal - dat de politie eindelijk iets effectiefs heeft gedaan in dit lastige domein en nog beter geholpen zou kunnen worden als ze hier een directe bevoegdheid voor zouden hebben ipv de nu gebruikte stapeling van verschillende bevoegdheden. Dat klinkt toch echt anders en doet meer recht aan de situatie
Wat ik bovendien mis - met name bij de conclusie dat de mensenrechten van de slachtoffers geschonden zouden zijn - is een analyse van de inzet van het handelen door de politie.Mijn analyse is dat ze met de beperkte middelen en mogelijkheden hun uiterste best hebben gedaan om het botnet te ontmantelen en de slachtoffers te waarschuwen en te faciliteren bij het verwijderen van de infectie op hun PC. De inzet was dus gericht op integer handelen.
Kortom, driewerf hulde voor het THTC
Alex
Men kan moeilijk stellen dat het OK is indien het een ander (tijdelijk) groter belang dient.
Dus de plisie mag straks alle rekeningrij-kastjes uitlezen om die moord op die twee kleine meisjes op te lossen ?
De goegemeente staat al te applaudisseren...
Privacy is aan een herdefinitie toe anno 2011, roep ik jaren anders begeven we ons op een hellend vlak en blijkt GO-1984 een Utopia vergeleken bij de werkelijkheid !
Dus aan de bel trekken zoals Merel Koning doet.
Van mij mag je alle GSM-locatielogs en snelwegcamera's koppelen, als je maar enorm goed met mogelijk onschuldige verdachten omgaat. Zelfde als met plicht om encryptiecodes vrij te geven bij versleutelde laptops. Principe moet zijn dat iemand onschuldig is tot tegendeel is bewezen, maar dat diegene ook moet meewerken om aan te tonen dat ie onschuldig is. Simpel gezegd; als m'n fiets gestolen is moet de politie in de achtertuin van de buren kunnen kijken vanaf de straat of ie ergens staat. Van BoF mogen ze niet op de schutting klimmen om te kijken.
Bescherming van privacy en daders lijkt echter nog steeds belangrijker dan dat van slachtoffers of opsporingsmogelijkheden.
Van jou mogen ze toch ook alleen maar over de schutting kijken? Met jouw opmerking lijk je het ook neit goed te vinden dat de politie over de schutting klimt.
Als de politie over de schutting mag klimmen, is toestemming om in de schuur of de woonkamer te kijken niet ver weg. En als je alleen in de woonkamer mag kijken, net als je alleen over de schutting mocht kijken, dan is de volgende stap ook dichtbij. Dan mag de politie de achterdeur proberen of hij open is. Zo ja, mogen ze naar binnen lopen en rondkijken. En bij de volgende wetswijziging ook alle deuren open maken. En de volgende wetswijziging staat toe om die deuren dan maar gelijk open te breken. Zo'n deur is minder waard dan een fiets en de actie is dus geoorloofd.
Peter
De Politie in Nederland mag niet zonder toestemming van de dienstdoend officier over een schutting klimmen, punt.
In Belgie en Duitsland mag het wel.
Thaddy
Men kan moeilijk stellen dat het OK is indien het een ander (tijdelijk) groter belang dient.
Dus de plisie mag straks alle rekeningrij-kastjes uitlezen om die moord op die twee kleine meisjes op te lossen ?
De goegemeente staat al te applaudisseren...
Privacy is aan een herdefinitie toe anno 2011, roep ik jaren anders begeven we ons op een hellend vlak en blijkt GO-1984 een Utopia vergeleken bij de werkelijkheid !
Dus aan de bel trekken zoals Merel Koning doet.
Totdat het JOU twee kleine meisjes zijn en dan is vast alles mogelijk. BOF snapt er ook weinig meer van, politie mag niets zolang zijzelf maar het slachtoffer niet zijn.
Dit is een "contradictio in termuinus". Als het uitgangspunt is onschuldig tenzij het tegendeel is bewezen, hoef je nooit je onschuld aan te tonen; maar dient de tegenpartij wettig en overtuigend bewijz van schuld te leveren. Op dit principe is het nederlands recht gebaseerd (uitzondeing s de fiscus, waarbij je in sommige gevallen "onschuld" moet aantonen, zgn omgekeerde bewijslast).
Het is trouwens buitebgewoon lastig zoniet onmogelijk een "negatief" te bewijzen
Zouden de "slachtoffers" vinden dat hun belangen hier worden behartigd door Bits of Freedom ? En zou ook maar een "slachtoffer" overwegen om aangifte te doen vanwege het "schenden van hun mensenrecht" ?
Verder vraag ik mij af of BoF een moment stilstaat bij de rechten van de daadwerkelijke slachtoffers van botnets, want kennelijk maken ze zich niet druk om de vraag of een zombie PC ddos aanvallen uitvoert, spam verstuurt, of fake banking websites host. Natuurlijk heeft BoF in theorie volstrekt gelijk; in de praktijk kan je je afvragen of het doel de middelen niet rechtvaardigt, en of er sprake is van "slachtoffers" zolang niemand een klacht indient wegens de gehanteerde werkwijze.
Ik zie het in ieder geval niet als mensenrecht om ongevraagd malware op mijn PC geinstalleerd te krijgen, en ik zie het ook niet als schending van mijn rechten wanneer de politie een 'kill' commando stuurt naar malware op mijn PC, zodat ik niet meer geinfecteerd ben, en zodat anderen geen overlast ondervinden van de malware op mijn PC.
Zou Bits of Freedom het ook als schending van mijn rechten zien indien mijn internet provider mijn PC in quarantaine zou zetten wanneer t.g.v. malware een fake banking website op mijn systeem zou draaien, en zo ja, zou Bits of Freedom dan ook stilstaan bij het feit dat zo'n aktie daadwerkelijke slachtoffers voorkomt, wiens bankrekeningen geplunderd zouden kunnen worden ?
Ik heb het idee dat Bits of Freedom steeds korter door de bocht gaat, en niet kijkt naar wat de werkelijke problemen zijn.
De Politie in Nederland mag niet zonder toestemming van de dienstdoend officier over een schutting klimmen, punt.
In Belgie en Duitsland mag het wel.
Thaddy
inbreker op mijn terrein, dat die maar bewijst dat die van de overheid is..
invullen wat van toepassing wat er gebeurd..
Hier op deze Third_rock_from_the_Sun geldt toch alleen the law of the jungle waar de (technologisch) sterkeren de zwakkere broeders en zusters domineren via Religie, Technology, Science and mindf***ing :-P .
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
