image

Juridische vraag: mag KLPD spionagesoftware gebruiken?

woensdag 14 december 2011, 10:22 door Arnoud Engelfriet, 18 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".

Vraag: De KLPD blijkt spionagesoftware te gebruiken om op computers van burgers te snuffelen. Mag dat wel?

Antwoord:Een tijdje geleden werd bekend dat in Duitsland trojaansepaardsoftware werd ingezet door de politie. Met deze "Bundestrojaner" kon men op computers van verdachten Skype-gesprekken af luisteren en wachtwoorden onderscheppen. En de software bleek ook nog eens lek te zijn.

In Nederland zou de software ook worden gebruikt, wat leidde tot Kamervragen (maar alles leidt tegenwoordig tot Kamervragen, dus dat zegt eigenlijk niet eens zo veel). De antwoorden van Opstelten zijn een tikje teleurstellend: hij bevestigt noch ontkent dat hier de Duitse software is ingezet, maar meldt alleen dat netjes volgens de regels wordt gewerkt.

Uit de antwoorden blijkt wel dat de basis voor deze software artikel 126l Strafvordering is: bij zeer ernstige misdrijven mag de politie vertrouwelijke communicatie opnemen (tappen). Daarvoor is wel goedkeuring van de Officier van Justitie nodig, en deze mag de goedkeuring pas geven na machtiging van de (onafhankelijke) rechter-commissaris. En wanneer het gaat om gesprekken in een woning, beslist het College van Procureurs-Generaal over het afgeven van het bevel.

De minister schrijft dat de software in kwestie gecertificeerd is door de Keuringsdienst van het KLPD. Daarbij wordt onder meer nagegaan of de software meer kan dan mag, en de illegale functionaliteit wordt dan geblokkeerd. Dat is een noodzakelijke eis om überhaupt dit middel in te mogen zetten.

Op zich lijkt me dit wetsartikel een prima basis om vertrouwelijke gesprekken af te luisteren, mits aan de genoemde voorwaarden is voldaan. Als je volgens dit artikel een hardware-’bug’ (een afluisterapparaat) mag ophangen in iemands huis, waarom dan niet een software-’bug’ in zijn computer onder dezelfde regels?

Een onbeantwoorde vraag is echter hoe die software op de pc terechtkomt. Voor hardwarebugs is dit namelijk streng gereguleerd: binnentreden van een woning om een bug op te hangen mag alleen bij de allerernstigste misdrijven waarbij het ‘dringend’ nodig is om dat te doen.

Voor softwarebugs zijn er geen expliciete regels. En dat geeft zorg. Het antwoord van de minister dat illegale functionaliteit is uitgezet is niet afdoende. Trojaansepaardsoftware is moeilijk gericht te verspreiden. Hoe weet je dat die software bij je verdachte terechtkomt? Het doet me denken aan het rondstrooien van microfoontjes met een plakbandje erop en dan hopen dat ‘ie alleen blijft plakken bij de juiste persoon die je mag afluisteren.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (18)
14-12-2011, 11:13 door Anoniem
@Arnoud :

"Het doet me denken aan het rondstrooien van microfoontjes met een plakbandje erop en dan hopen dat ‘ie alleen blijft plakken bij de juiste persoon die je mag afluisteren."

Net zoals bij een targetted malware attack door cybercriminelen, je stuurt de trojan alleen naar je doelwit, bijvoorbeeld door een spearphishing attack, of door het hacken van het systeem van de desbetreffende persoon op andere wijze.

De omschrijving die jij geeft klinkt meer als een non-targetted attack, waarbij de politie hoopt dat door de verspreiding van replicating malware het doelwit toevallig ook wordt geinfecteerd. Dat is natuurlijk -niet- wat men doet.
14-12-2011, 11:27 door SirDice
Door Anoniem: "Het doet me denken aan het rondstrooien van microfoontjes met een plakbandje erop en dan hopen dat ‘ie alleen blijft plakken bij de juiste persoon die je mag afluisteren."

Net zoals bij een targetted malware attack door cybercriminelen, je stuurt de trojan alleen naar je doelwit, bijvoorbeeld door een spearphishing attack, of door het hacken van het systeem van de desbetreffende persoon op andere wijze.
Zelfs op die manier heb je geen enkele zekerheid dat die trojan z'n werk gaat doen. En alleen daarom al denk ik dat justitie deze methode niet zal toepassen. Het is simpeler en effectiever om fysiek ergens in te breken en de software te plaatsen.
14-12-2011, 13:35 door Night
Als ik de minister moet geloven dan werkt die volgens de regels en als ik Arnaud hoor dan zijn er nog niet overal regels.

Beetje rare situatie.
14-12-2011, 13:42 door Anoniem
Beste Arnoud,

in reactie op :
"Het antwoord van de minister dat illegale functionaliteit is uitgezet is niet afdoende. Trojaansepaardsoftware is moeilijk gericht te verspreiden. Hoe weet je dat die software bij je verdachte terechtkomt?"

Ik weet niet precies naar welke software de minister refereert maar de software die ik ken en gedemonstreerd heb gezien is redelijk makkelijk op een gerichte manier te versprijden. Door allerhande gegevens te koppelen en zo de correcte locatie - fysiek of in het netwerk - te achterhalen kan de juiste computer ge-"target" worden. De softwarede die ik ken is modulair en extra functionaliteit wordt, indien vanuit het controlecentrum niet aangevinkt, niet op de PC van de verdacht geinstalleerd.

Voorts zitten er nog andere accounting en auditing toeters en bellen op, zoals een beperking in aantal installaties, versleutelde data en logging en bijvoorbeeld een deactivitie en verwijdering na een bepaalde tijd. De software is zelfs zo geavanceerd dat er indien gewenst onderscheid gemaakt kan worden tussen de onderlinge gebruikers van een computer.

Als je de juiste software koopt is er niet zo veel op aan te merken. Natuurlijk kunnen er - bewust of niet - fouten in zitten. De koper mag, van die specifieke vendor die ik ken, altijd langs komen om de broncode te bekijken. Ik denk dat dit het hoogst haalbare is gezien het niet publiek beschikbaar zijn van het wapen grotendeels de kracht ervan bepaald.
14-12-2011, 13:48 door Anoniem
Betse Arnoud,


Je zegt : "Voor softwarebugs zijn er geen expliciete regels."

Maar naar mijn bescheiden mening hoeft dit ook niet. Maakt het uit of men bij het plaatsen van een tastbare bug de politie via het openstaand raam of de voordeur naar binnen komt? Nee toch. Feit is dat men naar binnen komt (met of zonder toestemming) en er wat achterlaat. Net zo in de software wereld. Dus geen aanpassing in de wet nodig, lijkt me.
14-12-2011, 13:58 door SirDice
Door Anoniem: Betse Arnoud,


Je zegt : "Voor softwarebugs zijn er geen expliciete regels."

Maar naar mijn bescheiden mening hoeft dit ook niet. Maakt het uit of men bij het plaatsen van een tastbare bug de politie via het openstaand raam of de voordeur naar binnen komt? Nee toch. Feit is dat men naar binnen komt (met of zonder toestemming) en er wat achterlaat. Net zo in de software wereld. Dus geen aanpassing in de wet nodig, lijkt me.
Volgens mij doelde Arnoud op softwarebugs in die politie-spyware. Nu ken ik de 'standaard' afluisterapparatuur niet maar ik kan me voorstellen dat dat niet door jan en alleman opgevangen/beluisterd kan worden.

Zo moet dat natuurlijk ook met die politie-spyware. Deze mag natuurlijk op generlei wijze door derden worden misbruikt.
14-12-2011, 14:27 door Anoniem
Hallo SirDice,

"Volgens mij doelde Arnoud op softwarebugs in die politie-spyware."
Ik las hem anders maar inderdaad bewuste of onbewuste bugs in de software kunnen er eigenlijk alleen maar uitgehaald worden door een review van de source. Een goede vendor zal dit ook toestaan.

" Nu ken ik de 'standaard' afluisterapparatuur niet maar ik kan me voorstellen dat dat niet door jan en alleman opgevangen/beluisterd kan worden."

Ik volg de afluisterwereld ook meer uit interesse dan vanuit professie maar weet wel dat vele hardware bugs, zoals bijvoorbeeld het bekende verlengsnoer met de ingebouwde gsm module, geen of slechts de standaard verseuteling hebben. Vaak zijn de 'burst mode' apparaten wat complexer.

De trojan software maakt gebruik van private en public keys waarbij de trojan op de PC enkel kan versleutelen (en dus niet eens zijn eigen data kan ontsleutelen). Deze versleutelde data wordt dan op gezette tijden, bvb wanneer wireshark niet atctief is en bittorrent wel, naar de C&C gestuurd. Op de C&C wordt alles gelogged en enkel de politieman met de juiste sleutels kan er dan wat mee.

In tegenstelling tot bvb tapkamer software, zit hier wel standaard de mogelijkheid in om gepriviligeerde gesprekken te redacteren (wel met auditing aan nartuurlijk). De man die me de demo liet zien vertelde me dat het inbouwen van alle "checks & balances" ongeveer even lang duurde als het maken van de trojan zelf. Ze hadden er in ieder geval wel over nagedacht.
14-12-2011, 15:31 door Arnoud Engelfriet
Ik doelde met "zijn er geen regels" op het stuk van installeren van die softwarebugs. Er zijn wél regels over inbreken in jouw huis om een afluisterapparaat te plaatsen, maar niet over het sturen van mails met daarin een softwareafluisterapparaat.
14-12-2011, 16:25 door Mysterio
Door Arnoud Engelfriet: Ik doelde met "zijn er geen regels" op het stuk van installeren van die softwarebugs. Er zijn wél regels over inbreken in jouw huis om een afluisterapparaat te plaatsen, maar niet over het sturen van mails met daarin een softwareafluisterapparaat.
Vergelijkbaar met het sturen van een 'cadeau' met een afluistermicrofoon erin.
14-12-2011, 22:24 door Anoniem
Door Mysterio:
Door Arnoud Engelfriet: Ik doelde met "zijn er geen regels" op het stuk van installeren van die softwarebugs. Er zijn wél regels over inbreken in jouw huis om een afluisterapparaat te plaatsen, maar niet over het sturen van mails met daarin een softwareafluisterapparaat.
Vergelijkbaar met het sturen van een 'cadeau' met een afluistermicrofoon erin.

Bij een cadeau kun je een adres opgeven. Bij software kun je een situatie hebben dat deze terecht komt op de PC van buurman die mee mag liften op de verbinding van de verdachte. Ofwel je hebt dan een tap geplaatst bij een persoon op fysiek een andere lokatie terwijl er GEEN toestemming voor is gegeven. Daarmee is de tap illegaal van die PC en bovendien wordt ook nog eens de verkeerde persoon (en zijn gezin) afgeluisterd.

Verschillende softwarematige aftap/trojan produkten kunnen aangesloten microfoons activeren en web cams. Afhankelijk van de "modules" die actief zijn. Wel is het uiteraard domweg onzin als je bedenkt dat een scherm ook met van eck phreaking op flinke afstanden domweg is af te luisteren. Hiervoor zou je dan weer uitgebreide maatregelen moeten nemen. In de praktijk is het echter onzin omdat de meeste zware criminelen met wegwerp toestellen werken waar de mike en speaker letterlijk uitgesloopt zijn en alleen gecodeerde SMS of IP based traffic heen en weer gaat met versleuteling en steganografische technieken. Deze oplossingen worden verkocht in een uber-underground scene voor enorme bedragen.

Dus hou je de gemiddelde nono over die geen contacten heeft en vertrouwd op full disk diskcrypto en tor. Dat werkt alleen zolang je 100% zeker weet dat er geen fysieke compromitatie van de hardware heeft plaats gevonden. Zo kunnen we nog wel even doorgaan...

My two cents...
15-12-2011, 10:28 door Anoniem
Valt wat hier gebeurd dan niet onder computervredebreuk ??
15-12-2011, 10:59 door Anoniem
"Zelfs op die manier heb je geen enkele zekerheid dat die trojan z'n werk gaat doen."

Klopt geheel, maar de aanval is wel gericht. De uitleg van Arnoud leek meer op een non-targetted attack, waarbij je hoopt dat je per toeval de juiste persoon infecteert.
15-12-2011, 16:19 door Anoniem
als ze je een gratis laptop geven voor je bewezen diensten of voordiensten die je nog moet leveren is het eenvoudig er een trojaans paard op te zetten. En kunnen ze misschien wel verder gaan omdat de laptop officieel hun eigendom is.

Wie slaat er nu een gratis laptop af?
15-12-2011, 16:29 door Anoniem
"Valt wat hier gebeurd dan niet onder computervredebreuk ??"

Wel eens gehoord van bijzondere opsporingsbevoegdheden ? Veel zaken die de politie mag zijn voor anderen niet toegestaan (i.e. afluisteren van telefoons, plaatsen van pijlzenders, huizen doorzoeken, mensen opsluiten, vuurwapen dragen en gebruiken, etc).

Indien jij hetzelfde doet, dan valt het inderdaad onder "computervredebreuk" ;)
15-12-2011, 17:17 door Anoniem
Wat gebeurt er als zo'n (legale) inbreker ernstig gewond raakt door fysieke beveiligingsmaatregelen, bv omdat hij het bordje hoogspanningsgevaar/landmijnen negeerde?
15-12-2011, 17:58 door Arnoud Engelfriet
Dergelijke veiligheidsmaatregelen mag je helemaal niet nemen, dus als er iemand gewond raakt door een landmijn in je tuin dan is dat poging tot moord.

Er is al een heel oud arrest (1923 of daaromtrent, kan de referentie even niet vinden) van de Hoge Raad dat je verbiedt een kruisboog te installeren achter een deur zodat insluipers doodgeschoten worden omdat ze niet weten waar de safety zit.
15-12-2011, 22:46 door [Account Verwijderd]
[Verwijderd]
19-12-2011, 15:27 door Patio
SirDice schreef:

Volgens mij doelde Arnoud op softwarebugs in die politie-spyware. Nu ken ik de 'standaard' afluisterapparatuur niet maar ik kan me voorstellen dat dat niet door jan en alleman opgevangen/beluisterd kan worden.

Daar zou ik niet te zeker van zijn. Het afluisteren van gesproken woord via ontvangstapparatuur berust op het vinden van de juiste frequentie. Het wordt pas lastig als de gesprekken gecodeerd worden.

Zo is dat met software ook. Als je maar een slimme versleuteling toepast maak je het afluisteraars zo lastig mogelijk. Ook het gebruik van minder bekende besturingssystemen kan jou een voorsprong geven op kwaadwillenden die hun slachtoffers meestal onder Windowsgebruikers zoeken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.