De NSA blijkt niet de enige Amerikaanse overheidsorganisatie die wel raad weet met de nodige malware en spyware. Volgens Webwereld en the Washington Post gebruikt de FBI al jaren geavanceerde malware om de webcams van verdachten ongemerkt in te schakelen. Hoe zit dat en mag zoiets hier (ook)?
Volgens de berichtgeving (1, 2) beschikt de FBI over geavanceerde malware waarmee webcams op afstand kunnen worden ingeschakeld, zonder dat daarbij het lichtje aan gaat dat normaal brandt als de webcam aan staat. Daarnaast zou de malware kunnen worden gebruikt om bestanden op de harde schijf en het werkgeheugen te zoeken en om gps-coördinaten van de locatie van het apparaat te genereren.
Een recent geval waarbij de FBI de malware zou hebben gebruikt, betreft de zoektocht naar ene ‘Mo’, die diverse keren zou hebben gedreigd om universiteiten en vliegvelden plat te leggen met bomontploffingen. De bevoegdheid om te hacken, die niet onomstreden is, bestaat voor de FBI alleen bij concrete verdenking en na machtiging van de rechter. In dat opzicht zijn de bevoegdheden en mogelijkheden van de FBI heel anders dan de NSA.
De Amerikaanse rechter blijkt gelukkig ook niet altijd zomaar toestemming te geven. Er is bijvoorbeeld een zaak van dit jaar bekend waarbij de rechter in Texas de gevraagde ‘warrant’ om de computer van een verdachte te hacken heeft geweigerd, omdat de rechter er onvoldoende van overtuigd was dat aan de geldende voorwaarden was voldaan. Ten eerste was volgens de rechter niet voldaan aan het vereiste dat de ‘search and seizure’ zou plaatsvinden op het grondgebied waarover de rechter bevoegd was. De locatie van de te hacken computer was namelijk uitdrukkelijk niet bekend.
Verder vond de rechter het te onzeker of er met een phishing-actie in de verdachte inbox wel daadwerkelijk toegang zou worden verkregen tot de computer van de verdachte en niet tot die van iemand anders. De rechter overwoog namelijk dat het goed mogelijk kon zijn dat de bewuste inbox door de verdachte computercrimineel was gespoofed, Verder vond de rechter in algemeenheid dat de waarborgen dat er geen onschuldige personen slachtoffer zouden worden van de hacking, inconcreet en onvoldoende gespecificeerd waren.
In Nederland hebben opsporingsinstanties op dit moment geen (specifieke) bevoegdheid om in te breken in computers en (dus) ook niet om zonder toestemming stiekem webcams aan en uit te zetten. Al in 2007 verschenen echter nieuwsberichten waaruit bleek dat ze dat wel gewoon doen. Misschien net zo goed een rechtszaak tegen de staat waard als die momenteel wordt gevoerd in verband met het ‘witwassen’ van illegale NSA-data door Nederlandse geheime diensten?
Inmiddels ligt er wel een voorstel om een bevoegdheid voor ‘terughacken’ te creëren, maar dat voorstel is op de nodige kritiek gestuit.
Bits of Freedom betoogt bijvoorbeeld dat terughacken systemen kwetsbaar maakt, risico’s voor misbruik schept en onschuldige burgers in gevaar brengt. Het huidige voorstel geeft de politie bovendien de mogelijkheid om in te breken in computers die zich in het buitenland bevinden. Dit schendt in feite de territoriale soevereiniteit van andere staten, wat ook te vrezen geeft voor onze eigen soevereiniteit. Het risico daarbij is dat computers en gegevens van burgers potentieel doelwit kunnen vormen van àlle opsporingsinstanties van àlle staten, voor àlle dingen die daar maar strafbaar kunnen zijn gesteld.
Daar kun je leuke horroscenario’s van schetsen: Nederlandse agenten die vrolijk alle Finnen met huskysleeën begluren en hun computers leegrausen omdat honden als trekkracht gebruiken hier verboden is, terwijl Iraanse staatsmalware alle porno op pc’s ter wereld vervangt door verzen uit de koran en Noord-Korea alle PC’s met kritiek op hun Grote Leider op afstand voorziet van malware die de pc de hele dag alleen maar ROK-staatspropaganda laat uitzenden. En geef Iran en Noord-Korea dan nog maar eens ongelijk. Want hullie doen het toch ook?
Een beter idee lijkt het me als staten investeren in open source software waarvan de werking transparant en veilig is en de wetten, normen en waarden van dat land zoveel mogelijk reflecteert, ook om een alternatief te bieden tegen het de-facto monopolie dat de Amerikaanse bedrijven en overheden in de 'cloud' hebben. Duitsland lijkt hier al mee begonnen.
Dit lijkt momenteel de meest zekere manier om te zorgen dat onze strenge Europese privacywetten ook daadwerkelijk in de code van de software wordt ingebakken, zonder achterdeurtjes naar geheimzinnige buitenlandse instanties die zich niets aan (hoeven) trekken van onze rechten.
Tot die tijd is een webcam met een schuifje ervoor wel handig. Of als je laptop die niet heeft, kan een eenvoudig stickertje ook dienst doen.
Als je Microsoft’s Bitlocker, wat wel erg makkelijk werkt, niet vertrouwt, kun je het open source programma TrueCrypt gebruiken voor het versleutelen van data.
En wie kent er een laptop/telefoon met een fysieke aan/uit knop voor de microfoon?
Matthijs van Bergen is juridisch adviseur bij ICTRecht. Matthijs is specialist in het informatierecht en heeft in het bijzonder veel kennis over grondrechtelijke kwesties op internet, zoals netneutraliteit, privacy en vrijheid van meningsuiting.
Deze posting is gelocked. Reageren is niet meer mogelijk.