image

FBI hackt webcams, hoe zit dat hier?

dinsdag 17 december 2013, 11:39 door Matthijs van Bergen, 6 reacties

De NSA blijkt niet de enige Amerikaanse overheidsorganisatie die wel raad weet met de nodige malware en spyware. Volgens Webwereld en the Washington Post gebruikt de FBI al jaren geavanceerde malware om de webcams van verdachten ongemerkt in te schakelen. Hoe zit dat en mag zoiets hier (ook)?

Volgens de berichtgeving (1, 2) beschikt de FBI over geavanceerde malware waarmee webcams op afstand kunnen worden ingeschakeld, zonder dat daarbij het lichtje aan gaat dat normaal brandt als de webcam aan staat. Daarnaast zou de malware kunnen worden gebruikt om bestanden op de harde schijf en het werkgeheugen te zoeken en om gps-coördinaten van de locatie van het apparaat te genereren.

Een recent geval waarbij de FBI de malware zou hebben gebruikt, betreft de zoektocht naar ene ‘Mo’, die diverse keren zou hebben gedreigd om universiteiten en vliegvelden plat te leggen met bomontploffingen. De bevoegdheid om te hacken, die niet onomstreden is, bestaat voor de FBI alleen bij concrete verdenking en na machtiging van de rechter. In dat opzicht zijn de bevoegdheden en mogelijkheden van de FBI heel anders dan de NSA.

De Amerikaanse rechter blijkt gelukkig ook niet altijd zomaar toestemming te geven. Er is bijvoorbeeld een zaak van dit jaar bekend waarbij de rechter in Texas de gevraagde ‘warrant’ om de computer van een verdachte te hacken heeft geweigerd, omdat de rechter er onvoldoende van overtuigd was dat aan de geldende voorwaarden was voldaan. Ten eerste was volgens de rechter niet voldaan aan het vereiste dat de ‘search and seizure’ zou plaatsvinden op het grondgebied waarover de rechter bevoegd was. De locatie van de te hacken computer was namelijk uitdrukkelijk niet bekend.

Verder vond de rechter het te onzeker of er met een phishing-actie in de verdachte inbox wel daadwerkelijk toegang zou worden verkregen tot de computer van de verdachte en niet tot die van iemand anders. De rechter overwoog namelijk dat het goed mogelijk kon zijn dat de bewuste inbox door de verdachte computercrimineel was gespoofed, Verder vond de rechter in algemeenheid dat de waarborgen dat er geen onschuldige personen slachtoffer zouden worden van de hacking, inconcreet en onvoldoende gespecificeerd waren.

In Nederland hebben opsporingsinstanties op dit moment geen (specifieke) bevoegdheid om in te breken in computers en (dus) ook niet om zonder toestemming stiekem webcams aan en uit te zetten. Al in 2007 verschenen echter nieuwsberichten waaruit bleek dat ze dat wel gewoon doen. Misschien net zo goed een rechtszaak tegen de staat waard als die momenteel wordt gevoerd in verband met het ‘witwassen’ van illegale NSA-data door Nederlandse geheime diensten?

Inmiddels ligt er wel een voorstel om een bevoegdheid voor ‘terughacken’ te creëren, maar dat voorstel is op de nodige kritiek gestuit.

Bits of Freedom betoogt bijvoorbeeld dat terughacken systemen kwetsbaar maakt, risico’s voor misbruik schept en onschuldige burgers in gevaar brengt. Het huidige voorstel geeft de politie bovendien de mogelijkheid om in te breken in computers die zich in het buitenland bevinden. Dit schendt in feite de territoriale soevereiniteit van andere staten, wat ook te vrezen geeft voor onze eigen soevereiniteit. Het risico daarbij is dat computers en gegevens van burgers potentieel doelwit kunnen vormen van àlle opsporingsinstanties van àlle staten, voor àlle dingen die daar maar strafbaar kunnen zijn gesteld.

Daar kun je leuke horroscenario’s van schetsen: Nederlandse agenten die vrolijk alle Finnen met huskysleeën begluren en hun computers leegrausen omdat honden als trekkracht gebruiken hier verboden is, terwijl Iraanse staatsmalware alle porno op pc’s ter wereld vervangt door verzen uit de koran en Noord-Korea alle PC’s met kritiek op hun Grote Leider op afstand voorziet van malware die de pc de hele dag alleen maar ROK-staatspropaganda laat uitzenden. En geef Iran en Noord-Korea dan nog maar eens ongelijk. Want hullie doen het toch ook?

Een beter idee lijkt het me als staten investeren in open source software waarvan de werking transparant en veilig is en de wetten, normen en waarden van dat land zoveel mogelijk reflecteert, ook om een alternatief te bieden tegen het de-facto monopolie dat de Amerikaanse bedrijven en overheden in de 'cloud' hebben. Duitsland lijkt hier al mee begonnen.

Dit lijkt momenteel de meest zekere manier om te zorgen dat onze strenge Europese privacywetten ook daadwerkelijk in de code van de software wordt ingebakken, zonder achterdeurtjes naar geheimzinnige buitenlandse instanties die zich niets aan (hoeven) trekken van onze rechten.

Tot die tijd is een webcam met een schuifje ervoor wel handig. Of als je laptop die niet heeft, kan een eenvoudig stickertje ook dienst doen.

Als je Microsoft’s Bitlocker, wat wel erg makkelijk werkt, niet vertrouwt, kun je het open source programma TrueCrypt gebruiken voor het versleutelen van data.

En wie kent er een laptop/telefoon met een fysieke aan/uit knop voor de microfoon?

Matthijs van Bergen is juridisch adviseur bij ICTRecht. Matthijs is specialist in het informatierecht en heeft in het bijzonder veel kennis over grondrechtelijke kwesties op internet, zoals netneutraliteit, privacy en vrijheid van meningsuiting.

Reacties (6)
17-12-2013, 18:38 door Anoniem
Moet eens even kijken hoe dat "hacking" in de amerikaanse wet beschreven is. Ze hebben er nogal een handje van overbrede termen te gebruiken en die dan overbreed te definieëren. Daar krijg je hele vage wetgeving van die nogal veel ruimte laat voor willekeur. Dat levert behoorlijk wat schade op. Zie bijvoorbeel Aaron Swartz.

Alweer een reden waarom de term gebruiken zoals we met z'n allen zo lekker popi doen, niet heel slim is. Behoorlijk dom zelfs.
17-12-2013, 19:50 door Anoniem
Je doet er goed aan om eventuele ingebouwde microfoons ook te demonteren
aangezien het gebruik van een klepje of stickertje niet voldoende is om onbewerkt
in huis afgeluisterd te worden.

Kun je nog altijd een externe microfoon gebruiken indien noodzakelijk.
17-12-2013, 20:08 door Cybergate
Beste Matthijs,

Ik mis het onderscheid. Die (niet onbelangrijke-)fout maken veel media ook.
De politie mag dergelijke opsporingsactiviteiten niet uitvoeren, zij hebben dan ook te maken met de politiewet.

Inlichtingendiensten hebben te maken met de Wet op inlichtingen- en Veiligheidsdiensten.
Daarin staat heel helder en duidelijk omschreven dat deze diensten dat wel gewoon mogen (al sinds 2002).

Verder is het volgens mij al zeker 5-6 jaar bekend dat de camera een van de meest eenvoudige zaken is om over te nemen op een PC. Die zwakheid is ook al regelmatig in het nieuws geweest in de afgelopen jaren. Zijn ook tooltjes voor op de markt gewoon.
18-12-2013, 19:42 door Anoniem
Een van de redenen dat ik mijn webcams afplak met een stickertje. Voor de microfoon lijkt me dat wat lastiger.
Ik betwijfel of het uitschakelen van de webcamapparatuur in Apparaatbeheer, of het niet installeren van de drivers wel voldoende is om niet bespioneert te worden.
26-12-2013, 21:31 door Anoniem
voor de microfoon: een oude 3,5mm jack die afgeknipt is doet het ook prima, de pc denkt een micro te hebben maar het is niet zo....
16-03-2014, 00:03 door Anoniem
Laatste reactie over die jackplug klopt niet. Je kunt in sommige OS'en gewoon kiezen welke aansluiting je wil gebruiken, ook al heb je er bij wijze van 3 aangesloten. En als jij dat zelf al kunt, m.a.w: als de computer het kán: dan kan theoretisch gezien een indringer dat ook.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.