Juridische vraag: mag KLPD spionagesoftware gebruiken?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".
Vraag: De KLPD blijkt spionagesoftware te gebruiken om op computers van burgers te snuffelen. Mag dat wel?
Antwoord:Een tijdje geleden werd bekend dat in Duitsland trojaansepaardsoftware werd ingezet door de politie. Met deze "Bundestrojaner" kon men op computers van verdachten Skype-gesprekken af luisteren en wachtwoorden onderscheppen. En de software bleek ook nog eens lek te zijn.
In Nederland zou de software ook worden gebruikt, wat leidde tot Kamervragen (maar alles leidt tegenwoordig tot Kamervragen, dus dat zegt eigenlijk niet eens zo veel). De antwoorden van Opstelten zijn een tikje teleurstellend: hij bevestigt noch ontkent dat hier de Duitse software is ingezet, maar meldt alleen dat netjes volgens de regels wordt gewerkt.
Uit de antwoorden blijkt wel dat de basis voor deze software artikel 126l Strafvordering is: bij zeer ernstige misdrijven mag de politie vertrouwelijke communicatie opnemen (tappen). Daarvoor is wel goedkeuring van de Officier van Justitie nodig, en deze mag de goedkeuring pas geven na machtiging van de (onafhankelijke) rechter-commissaris. En wanneer het gaat om gesprekken in een woning, beslist het College van Procureurs-Generaal over het afgeven van het bevel.
De minister schrijft dat de software in kwestie gecertificeerd is door de Keuringsdienst van het KLPD. Daarbij wordt onder meer nagegaan of de software meer kan dan mag, en de illegale functionaliteit wordt dan geblokkeerd. Dat is een noodzakelijke eis om überhaupt dit middel in te mogen zetten.
Op zich lijkt me dit wetsartikel een prima basis om vertrouwelijke gesprekken af te luisteren, mits aan de genoemde voorwaarden is voldaan. Als je volgens dit artikel een hardware-’bug’ (een afluisterapparaat) mag ophangen in iemands huis, waarom dan niet een software-’bug’ in zijn computer onder dezelfde regels?
Een onbeantwoorde vraag is echter hoe die software op de pc terechtkomt. Voor hardwarebugs is dit namelijk streng gereguleerd: binnentreden van een woning om een bug op te hangen mag alleen bij de allerernstigste misdrijven waarbij het ‘dringend’ nodig is om dat te doen.
Voor softwarebugs zijn er geen expliciete regels. En dat geeft zorg. Het antwoord van de minister dat illegale functionaliteit is uitgezet is niet afdoende. Trojaansepaardsoftware is moeilijk gericht te verspreiden. Hoe weet je dat die software bij je verdachte terechtkomt? Het doet me denken aan het rondstrooien van microfoontjes met een plakbandje erop en dan hopen dat ‘ie alleen blijft plakken bij de juiste persoon die je mag afluisteren.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
"Het doet me denken aan het rondstrooien van microfoontjes met een plakbandje erop en dan hopen dat ‘ie alleen blijft plakken bij de juiste persoon die je mag afluisteren."
Net zoals bij een targetted malware attack door cybercriminelen, je stuurt de trojan alleen naar je doelwit, bijvoorbeeld door een spearphishing attack, of door het hacken van het systeem van de desbetreffende persoon op andere wijze.
De omschrijving die jij geeft klinkt meer als een non-targetted attack, waarbij de politie hoopt dat door de verspreiding van replicating malware het doelwit toevallig ook wordt geinfecteerd. Dat is natuurlijk -niet- wat men doet.
Net zoals bij een targetted malware attack door cybercriminelen, je stuurt de trojan alleen naar je doelwit, bijvoorbeeld door een spearphishing attack, of door het hacken van het systeem van de desbetreffende persoon op andere wijze.
Beetje rare situatie.
in reactie op :
"Het antwoord van de minister dat illegale functionaliteit is uitgezet is niet afdoende. Trojaansepaardsoftware is moeilijk gericht te verspreiden. Hoe weet je dat die software bij je verdachte terechtkomt?"
Ik weet niet precies naar welke software de minister refereert maar de software die ik ken en gedemonstreerd heb gezien is redelijk makkelijk op een gerichte manier te versprijden. Door allerhande gegevens te koppelen en zo de correcte locatie - fysiek of in het netwerk - te achterhalen kan de juiste computer ge-"target" worden. De softwarede die ik ken is modulair en extra functionaliteit wordt, indien vanuit het controlecentrum niet aangevinkt, niet op de PC van de verdacht geinstalleerd.
Voorts zitten er nog andere accounting en auditing toeters en bellen op, zoals een beperking in aantal installaties, versleutelde data en logging en bijvoorbeeld een deactivitie en verwijdering na een bepaalde tijd. De software is zelfs zo geavanceerd dat er indien gewenst onderscheid gemaakt kan worden tussen de onderlinge gebruikers van een computer.
Als je de juiste software koopt is er niet zo veel op aan te merken. Natuurlijk kunnen er - bewust of niet - fouten in zitten. De koper mag, van die specifieke vendor die ik ken, altijd langs komen om de broncode te bekijken. Ik denk dat dit het hoogst haalbare is gezien het niet publiek beschikbaar zijn van het wapen grotendeels de kracht ervan bepaald.
Je zegt : "Voor softwarebugs zijn er geen expliciete regels."
Maar naar mijn bescheiden mening hoeft dit ook niet. Maakt het uit of men bij het plaatsen van een tastbare bug de politie via het openstaand raam of de voordeur naar binnen komt? Nee toch. Feit is dat men naar binnen komt (met of zonder toestemming) en er wat achterlaat. Net zo in de software wereld. Dus geen aanpassing in de wet nodig, lijkt me.
Je zegt : "Voor softwarebugs zijn er geen expliciete regels."
Maar naar mijn bescheiden mening hoeft dit ook niet. Maakt het uit of men bij het plaatsen van een tastbare bug de politie via het openstaand raam of de voordeur naar binnen komt? Nee toch. Feit is dat men naar binnen komt (met of zonder toestemming) en er wat achterlaat. Net zo in de software wereld. Dus geen aanpassing in de wet nodig, lijkt me.
Zo moet dat natuurlijk ook met die politie-spyware. Deze mag natuurlijk op generlei wijze door derden worden misbruikt.
"Volgens mij doelde Arnoud op softwarebugs in die politie-spyware."
Ik las hem anders maar inderdaad bewuste of onbewuste bugs in de software kunnen er eigenlijk alleen maar uitgehaald worden door een review van de source. Een goede vendor zal dit ook toestaan.
" Nu ken ik de 'standaard' afluisterapparatuur niet maar ik kan me voorstellen dat dat niet door jan en alleman opgevangen/beluisterd kan worden."
Ik volg de afluisterwereld ook meer uit interesse dan vanuit professie maar weet wel dat vele hardware bugs, zoals bijvoorbeeld het bekende verlengsnoer met de ingebouwde gsm module, geen of slechts de standaard verseuteling hebben. Vaak zijn de 'burst mode' apparaten wat complexer.
De trojan software maakt gebruik van private en public keys waarbij de trojan op de PC enkel kan versleutelen (en dus niet eens zijn eigen data kan ontsleutelen). Deze versleutelde data wordt dan op gezette tijden, bvb wanneer wireshark niet atctief is en bittorrent wel, naar de C&C gestuurd. Op de C&C wordt alles gelogged en enkel de politieman met de juiste sleutels kan er dan wat mee.
In tegenstelling tot bvb tapkamer software, zit hier wel standaard de mogelijkheid in om gepriviligeerde gesprekken te redacteren (wel met auditing aan nartuurlijk). De man die me de demo liet zien vertelde me dat het inbouwen van alle "checks & balances" ongeveer even lang duurde als het maken van de trojan zelf. Ze hadden er in ieder geval wel over nagedacht.
Bij een cadeau kun je een adres opgeven. Bij software kun je een situatie hebben dat deze terecht komt op de PC van buurman die mee mag liften op de verbinding van de verdachte. Ofwel je hebt dan een tap geplaatst bij een persoon op fysiek een andere lokatie terwijl er GEEN toestemming voor is gegeven. Daarmee is de tap illegaal van die PC en bovendien wordt ook nog eens de verkeerde persoon (en zijn gezin) afgeluisterd.
Verschillende softwarematige aftap/trojan produkten kunnen aangesloten microfoons activeren en web cams. Afhankelijk van de "modules" die actief zijn. Wel is het uiteraard domweg onzin als je bedenkt dat een scherm ook met van eck phreaking op flinke afstanden domweg is af te luisteren. Hiervoor zou je dan weer uitgebreide maatregelen moeten nemen. In de praktijk is het echter onzin omdat de meeste zware criminelen met wegwerp toestellen werken waar de mike en speaker letterlijk uitgesloopt zijn en alleen gecodeerde SMS of IP based traffic heen en weer gaat met versleuteling en steganografische technieken. Deze oplossingen worden verkocht in een uber-underground scene voor enorme bedragen.
Dus hou je de gemiddelde nono over die geen contacten heeft en vertrouwd op full disk diskcrypto en tor. Dat werkt alleen zolang je 100% zeker weet dat er geen fysieke compromitatie van de hardware heeft plaats gevonden. Zo kunnen we nog wel even doorgaan...
My two cents...
Klopt geheel, maar de aanval is wel gericht. De uitleg van Arnoud leek meer op een non-targetted attack, waarbij je hoopt dat je per toeval de juiste persoon infecteert.
Wie slaat er nu een gratis laptop af?
Wel eens gehoord van bijzondere opsporingsbevoegdheden ? Veel zaken die de politie mag zijn voor anderen niet toegestaan (i.e. afluisteren van telefoons, plaatsen van pijlzenders, huizen doorzoeken, mensen opsluiten, vuurwapen dragen en gebruiken, etc).
Indien jij hetzelfde doet, dan valt het inderdaad onder "computervredebreuk" ;)
Er is al een heel oud arrest (1923 of daaromtrent, kan de referentie even niet vinden) van de Hoge Raad dat je verbiedt een kruisboog te installeren achter een deur zodat insluipers doodgeschoten worden omdat ze niet weten waar de safety zit.
Volgens mij doelde Arnoud op softwarebugs in die politie-spyware. Nu ken ik de 'standaard' afluisterapparatuur niet maar ik kan me voorstellen dat dat niet door jan en alleman opgevangen/beluisterd kan worden.
Daar zou ik niet te zeker van zijn. Het afluisteren van gesproken woord via ontvangstapparatuur berust op het vinden van de juiste frequentie. Het wordt pas lastig als de gesprekken gecodeerd worden.
Zo is dat met software ook. Als je maar een slimme versleuteling toepast maak je het afluisteraars zo lastig mogelijk. Ook het gebruik van minder bekende besturingssystemen kan jou een voorsprong geven op kwaadwillenden die hun slachtoffers meestal onder Windowsgebruikers zoeken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
