Op basis van welke bevoegdheid kan politie malware van besmette pc's verwijderen?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Autoriteiten zullen de Emotet-malware waarvan de hoofdservers zijn overgenomen op 25 april van besmette computers verwijderen, las ik bij Security.NL. Op grond van welke wet is dat eigenlijk toegestaan, en hoe gaat men om bij schade door ondeskundig verwijderen?
Antwoord: Vorige week lieten politie en het Openbaar Ministerie weten dat het gelukt was om het Emotet-netwerk over te nemen en de malware te deactiveren. Het ontmantelen is dan een logische actie, maar natuurlijk komt dan ook meteen de vraag: mag je het botnet zelf deïnstalleren bij mensen op hun computer?
"De Emotet-besmetting is niet langer actief op de computers van ruim 1 miljoen slachtoffers wereldwijd", zo meldt de politie. Op twee van de hoofdservers van het Emotet-botnet, die zich in Nederland bevinden, wordt een software-update geplaatst voor alle besmette machines. Deze computers zullen de update automatisch binnenhalen, waarna de Emotet-besmetting in quarantaine wordt geplaatst, zo lieten het OM en de politie verder weten.
Dat verwijderen gaat an sich vrij eenvoudig: de software heeft een deïnstallatie-routine ingebouwd. Een en ander gaat op 25 april gebeuren, zodat tot die tijd het netwerk kan worden gemonitord op verkeer om de aanwezigheid van Emotet aan te tonen.
De vraag is dus vooral, welke bevoegdheid kan de politie hierbij inzetten? Deze vraag hebben we vaker gehad (2014: Blackshades, 2010 Bredolab) maar nu zijn er meer mogelijkheden. Sinds de Wet computercriminaliteit III hebben we namelijk onder meer dit wetsartikel 125o erbij in Strafvordering:
Indien bij een doorzoeking in een geautomatiseerd werk gegevens worden aangetroffen met betrekking tot welke of met behulp waarvan het strafbare feit is gepleegd, kan de officier van justitie dan wel indien deze de doorzoeking verricht, de rechter-commissaris bepalen dat die gegevens ontoegankelijk worden gemaakt voor zover dit noodzakelijk is ter beëindiging van het strafbare feit of ter voorkoming van nieuwe strafbare feiten.
De doorzoeking vond hier plaats in de centrale server, en daarbij werd dus de command&control software aangetroffen. Die mag dan ontoegankelijk worden gemaakt. Maar de strekking kun je breder lezen: ook de clientsoftware bij de slachtoffers thuis zijn “gegevens met behulp waarvan het strafbare feit is gepleegd” natuurlijk. En die mogen dan ook ontoegankelijk worden gemaakt.
De toe te passen methode van ontoegankelijkmaking, bijvoorbeeld wissen of versleutelen, zal volgens de memorie van toelichting moeten afhangen van de effectiviteit daarvan alsmede van de beginselen van proportionaliteit en subsidiariteit. Daarbij weegt zwaar dat het gaat om computers van derden. Maar daar staat in dit geval voor mij tegenover dat het kennelijk een eenvoudige instructie is, die een ingebouwde deactivatie uitvoert. Dat is heel wat anders dan met een zelfgebakken ingreep iets proberen weg te halen dat mogelijk een logische bom aan boord heeft als het dat merkt.
Om diezelfde reden maak ik me minder zorgen om schade. Maar als je aantoonbaar gegevens kwijt bent door dit overheidshandelen, dan is op papier een claim mogelijk. Wel zit je dan zoals altijd met de vraag wat die gegevens waard zijn en waarom je geen back-up had gemaakt (juridisch: eigen schuld, art. 6:101 BW).
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Nu in Noord-Korea (overheids-OS). Over 10 jaar in Nederland. De natte droom van Grapperhaus.
Wanneer je dat erg breed maakt kan het hele besturingssysteem op de betreffende PC legaal gewist worden. Vreemde zaak.
Wanneer je dat erg breed maakt kan het hele besturingssysteem op de betreffende PC legaal gewist worden. Vreemde zaak.
Dus pas maar op!
Wanneer je dat erg breed maakt kan het hele besturingssysteem op de betreffende PC legaal gewist worden. Vreemde zaak.
Dus pas maar op!
Wanneer je dat erg breed maakt kan het hele besturingssysteem op de betreffende PC legaal gewist worden. Vreemde zaak.
Dus pas maar op!
Weet je wat, dat kan zelfs als het misdrijf helemaal niet met je auto gepleegd is! (zie bijv de avondklokrellen waarbij er besloten is de schade persoonlijk op de veroordeelde daders te gaan verhalen door bijv hun auto te verkopen)
Nu in Noord-Korea (overheids-OS). Over 10 jaar in Nederland. De natte droom van Grapperhaus.
Wanneer je dat erg breed maakt kan het hele besturingssysteem op de betreffende PC legaal gewist worden. Vreemde zaak.
De vreemde zaak die je bedenkt wordt daarom geen werkelijkheid. De beginselen van doeltreffendheid, proportionaliteit en subsidiareit zijn fundamenteel bij wetgeving en bestuur en maken dat een heleboel van die hellende vlakken die mensen bedenken geen werkelijkheid worden.
Doeltreffendheid: de maatregel moet wel werken.
Proportionaliteit: de maatregel moet wel in verhouding staan tot het probleem.
Subsidiariteit: de maatregel moet wel de juiste zijn, als een andere maatregel duidelijk beter is moet je die nemen.
Als ze het dan over juridische dingen hebben klopt dat ook niet want het staat al in de wet dat het zo mag. En aangezien ze de servers dan ook al bezitten kunnen ze ook wel die deinstall commando sturen naar iedereen.
Dus als je voor die tijd zelf de boel verwijdert is er niks aan de hand, anders gaat het vanzelf.
Waarom die periode zo lang is (en of men zich misschien een maand heeft vergist) weet ik niet, misschien juist om iedereen
de kans te geven het naar eigen inzicht te doen ipv automatisch.
Dit moet in fases gebeuren want een fout is echt zo gemaakt.
STEL dat je heel Nederland aanpakt ( en voor de snel lezers: STEL) dan begin je eerst in een klein dorp en dat breidt je uit en dan voer je de aantallen langzaam op.
Graag zou ik ook willen weten of ze een fall back plan hebben voor als het misgaat.
Nogmaals dit is echt linke soep. Malware verwijderen doe je niet zomaar. En ik kan het weten. Ik ben developer geweest en infrastructuurspecialist en change manager nog vele andere functies.
Zomaar wat aandachtspuntjes: EN NIET VOLLEDIG EN OOK NIET IN EEN SPECIFIEKE VOLGORDE
Elke change brengt op zich ook weer veranderingen met zich mee.
Stel dat je een machine aanpast en er raakt iets onherstelbaar beschadigd..data e.ed? en dan wie is er dan aansprakelijk?
En hoe geschiedt de terugkoppeling v.d.gebruikers of het een succes was?
Er wordt echt veels te simpel over gedacht. Wie accepteert de solution?
Hoe kan de eindafnemer beoordelen of de solution idd goed zijn werk heeft gedaan?
Dit moet in fases gebeuren want een fout is echt zo gemaakt.
Nouja misschien zijn die mensen wel veel beter en maken ze niet zoveel fouten.
En ik geloof dat de uninstaller ook al door de malware schrijvers gemaakt was en ze alleen een commando moesten sturen.
Dus dan is het een stuk eenvoudiger.
Bovendien, niet iedereen ziet zoveel beren op de weg. En tenzij de boel verprutst wordt valt het dan vaak ook allemaal
wel mee.
Voor zover ik begrijp krijgen de beheerders van die machines 3 maanden de kans om het zelf te doen voor het
automatisch gaat, dan moet zelfs de meest bureaucratische organisatie het change proces wel voltooid hebben.
Dit moet in fases gebeuren want een fout is echt zo gemaakt.
Nouja misschien zijn die mensen wel veel beter en maken ze niet zoveel fouten.
En ik geloof dat de uninstaller ook al door de malware schrijvers gemaakt was en ze alleen een commando moesten sturen.
Dus dan is het een stuk eenvoudiger.
Bovendien, niet iedereen ziet zoveel beren op de weg. En tenzij de boel verprutst wordt valt het dan vaak ook allemaal
wel mee.
Voor zover ik begrijp krijgen de beheerders van die machines 3 maanden de kans om het zelf te doen voor het
automatisch gaat, dan moet zelfs de meest bureaucratische organisatie het change proces wel voltooid hebben.
Ik zal even reageren. Het gaat niet om de kwaliteit vd uninstaller maar het gaat om de diversiteit vd doelgroep.
De doelgroep wordt gezien als 1 terwijl elke pc inrichting verschillend is. Zelfs Microsoft kan al die verschillende Situaties niet voorzien bij het patchen.
Het is superarrogant om te denken dat je dan geen problemen veroorzaakt. Maar dat kokerdenken hoort wel bij de politie vind ik. Ze doen alles goed terwijl ze zekf hun huishouden niet op orde hebben.
Zeker die arrigantie om bij belangrijke gesprekken niet eens komen opdagen.
Tikkie terug
Zodra er malware op je pc is geweest kun je je hele pc niet meer vertrouwen. Er kan allang andere malware binnengehaald zijn. Tenzij je zeker weet dat er geen toegang was tot bepaalde delen van die pc.
Bij bedryven is dit anders de machines worden doorgaans centraal beheerd via policies en is er local hardening toegepast en wordt er veel meer in de gaten gehouden.
Maar daar hebben we te maken met clausules in contracten en beschikbaarheid. En acceptatie van mutaties door de klant. En worden de machines om de zoveel jaar vervangen.
Dit is bij privegebruikers totaal anders. Er wordt hier schijnveiligheid gecreeerd waarbij de gevolgen totaal gedragen worden door de gebruikers. Daarnaast geeft geen enkele gebruiker vooraf toestemming voor die wijziging.
Je begeeft je door die actie op heel glad ijs.
Wanneer je dat erg breed maakt kan het hele besturingssysteem op de betreffende PC legaal gewist worden. Vreemde zaak.
Daarom maken ze het dan ook niet zo breed. Proportionaliteit speelt ook een rol, en schade aanrichten op PC's die ontsmet moeten worden is geen doelstelling.
Klopt, en wanneer Emotet verwijderd worden, kunnen bijvoorbeeld TrickBot of Ryuk achterblijven.
Een goede aanpak is inderdaad dit stapsgewijs te laten uitvoeren.
- eerst 10 pc's met een verscheidenheid aan configuraties
- daarna 100
- daarna 1000
- daarna 10000
etc.
De economische schade kan namelijk enorm groot zijn als er 100.000 computers na de de-install niet meer functioneren. Denk aan een verlies van minimaal 100 euro per pc, dat is dus minstens 10 Miljoen Euro.
PS. bij Microsoft en Apple hebben ze honderden virtual machines waarop updates worden uitgetest.
wacht, je had een virus op je pc...
#drop te mic.
De C&C wordt doorzocht en daar is toestemming voor gegeven (door de rechter-commisaris?). De besmette PCs zijn echter geen deel van die doorzoeking, dus van die machines iets verwijderen lijkt me niet binnen deze bevoegdheid vallen? Hoe zit het met besmette PCs in andere landen? Buiten de EU?
de politie er wat tegen doet klimmen de wannabe systeembeheerders en change managers in de gordijnen!
Bedenk wel dat als deze malware niet wordt gedeinstalleerd deze in de toekomst wellicht weer actief zou kunnen
worden als de malwaremakers weer een C&C server kunnen optuigen. Bij de schade die dan veroorzaakt kan worden
valt een enkele mislukte deinstallatie natuurlijk totaal in het niet.
De vraag is niet enkel of ze dat mogen. De vraag is ook of dat een politietaak is.
Het gaat niet enkel om precies te weten wat in artikel zes bis drie staat. Het gaat ook over algemene rechtsprincipes. Als is het wel knap als iemand dat nog steeds allemaal weet.
De vraag is niet enkel of ze dat mogen. De vraag is ook of dat een politietaak is.
Het gaat niet enkel om precies te weten wat in artikel zes bis drie staat. Het gaat ook over algemene rechtsprincipes. Als is het wel knap als iemand dat nog steeds allemaal weet.
Mijn buren hebben ook niet geklaagd dat mijn licht aanstond.
Een schot hagel kunnen ze krijgen als ze in mijn huis komen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
