image

Op basis van welke bevoegdheid kan politie malware van besmette pc's verwijderen?

woensdag 3 februari 2021, 10:32 door Arnoud Engelfriet, 27 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Autoriteiten zullen de Emotet-malware waarvan de hoofdservers zijn overgenomen op 25 april van besmette computers verwijderen, las ik bij Security.NL. Op grond van welke wet is dat eigenlijk toegestaan, en hoe gaat men om bij schade door ondeskundig verwijderen?

Antwoord: Vorige week lieten politie en het Openbaar Ministerie weten dat het gelukt was om het Emotet-netwerk over te nemen en de malware te deactiveren. Het ontmantelen is dan een logische actie, maar natuurlijk komt dan ook meteen de vraag: mag je het botnet zelf deïnstalleren bij mensen op hun computer?

"De Emotet-besmetting is niet langer actief op de computers van ruim 1 miljoen slachtoffers wereldwijd", zo meldt de politie. Op twee van de hoofdservers van het Emotet-botnet, die zich in Nederland bevinden, wordt een software-update geplaatst voor alle besmette machines. Deze computers zullen de update automatisch binnenhalen, waarna de Emotet-besmetting in quarantaine wordt geplaatst, zo lieten het OM en de politie verder weten.

Dat verwijderen gaat an sich vrij eenvoudig: de software heeft een deïnstallatie-routine ingebouwd. Een en ander gaat op 25 april gebeuren, zodat tot die tijd het netwerk kan worden gemonitord op verkeer om de aanwezigheid van Emotet aan te tonen.

De vraag is dus vooral, welke bevoegdheid kan de politie hierbij inzetten? Deze vraag hebben we vaker gehad (2014: Blackshades, 2010 Bredolab) maar nu zijn er meer mogelijkheden. Sinds de Wet computercriminaliteit III hebben we namelijk onder meer dit wetsartikel 125o erbij in Strafvordering:

Indien bij een doorzoeking in een geautomatiseerd werk gegevens worden aangetroffen met betrekking tot welke of met behulp waarvan het strafbare feit is gepleegd, kan de officier van justitie dan wel indien deze de doorzoeking verricht, de rechter-commissaris bepalen dat die gegevens ontoegankelijk worden gemaakt voor zover dit noodzakelijk is ter beëindiging van het strafbare feit of ter voorkoming van nieuwe strafbare feiten.

De doorzoeking vond hier plaats in de centrale server, en daarbij werd dus de command&control software aangetroffen. Die mag dan ontoegankelijk worden gemaakt. Maar de strekking kun je breder lezen: ook de clientsoftware bij de slachtoffers thuis zijn “gegevens met behulp waarvan het strafbare feit is gepleegd” natuurlijk. En die mogen dan ook ontoegankelijk worden gemaakt.

De toe te passen methode van ontoegankelijkmaking, bijvoorbeeld wissen of versleutelen, zal volgens de memorie van toelichting moeten afhangen van de effectiviteit daarvan alsmede van de beginselen van proportionaliteit en subsidiariteit. Daarbij weegt zwaar dat het gaat om computers van derden. Maar daar staat in dit geval voor mij tegenover dat het kennelijk een eenvoudige instructie is, die een ingebouwde deactivatie uitvoert. Dat is heel wat anders dan met een zelfgebakken ingreep iets proberen weg te halen dat mogelijk een logische bom aan boord heeft als het dat merkt.

Om diezelfde reden maak ik me minder zorgen om schade. Maar als je aantoonbaar gegevens kwijt bent door dit overheidshandelen, dan is op papier een claim mogelijk. Wel zit je dan zoals altijd met de vraag wat die gegevens waard zijn en waarom je geen back-up had gemaakt (juridisch: eigen schuld, art. 6:101 BW).

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (27)
03-02-2021, 10:44 door Anoniem
Gewoon, de eerste stap naar totale controle over wat jij digitaal doet.
Nu in Noord-Korea (overheids-OS). Over 10 jaar in Nederland. De natte droom van Grapperhaus.
03-02-2021, 11:03 door Anoniem
“gegevens met behulp waarvan het strafbare feit is gepleegd”
Wanneer je dat erg breed maakt kan het hele besturingssysteem op de betreffende PC legaal gewist worden. Vreemde zaak.
03-02-2021, 12:17 door Anoniem
Door Anoniem: “gegevens met behulp waarvan het strafbare feit is gepleegd”
Wanneer je dat erg breed maakt kan het hele besturingssysteem op de betreffende PC legaal gewist worden. Vreemde zaak.
Dat kan ook. ALS daarmee een strafbaar feit gepleegd is. Als je een strafbaar feit pleegt kunnen ze zelfs je hele PC in beslag nemen en nooit meer terug geven.
Dus pas maar op!
03-02-2021, 13:29 door Anoniem
Door Anoniem:
Door Anoniem: “gegevens met behulp waarvan het strafbare feit is gepleegd”
Wanneer je dat erg breed maakt kan het hele besturingssysteem op de betreffende PC legaal gewist worden. Vreemde zaak.
Dat kan ook. ALS daarmee een strafbaar feit gepleegd is. Als je een strafbaar feit pleegt kunnen ze zelfs je hele PC in beslag nemen en nooit meer terug geven.
Dus pas maar op!
Wat op zichzelf weer absurd is. De hardware is niet kwaad of goed, een eventuele datadrager kan data bevatten die wellicht wel zo ingeschat kan worden.
03-02-2021, 14:16 door jant - Bijgewerkt: 03-02-2021, 14:16
Generiek zou je de vraag kunnen stellen over het ruimen van een wietplantage....
03-02-2021, 14:33 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: “gegevens met behulp waarvan het strafbare feit is gepleegd”
Wanneer je dat erg breed maakt kan het hele besturingssysteem op de betreffende PC legaal gewist worden. Vreemde zaak.
Dat kan ook. ALS daarmee een strafbaar feit gepleegd is. Als je een strafbaar feit pleegt kunnen ze zelfs je hele PC in beslag nemen en nooit meer terug geven.
Dus pas maar op!
Wat op zichzelf weer absurd is. De hardware is niet kwaad of goed, een eventuele datadrager kan data bevatten die wellicht wel zo ingeschat kan worden.
Als je een misdrijf met je auto pleegt kunnen ze ook je auto in beslag nemen en verbeurd verklaren.
Weet je wat, dat kan zelfs als het misdrijf helemaal niet met je auto gepleegd is! (zie bijv de avondklokrellen waarbij er besloten is de schade persoonlijk op de veroordeelde daders te gaan verhalen door bijv hun auto te verkopen)
03-02-2021, 14:53 door Anoniem
Door Anoniem: Gewoon, de eerste stap naar totale controle over wat jij digitaal doet.
Nu in Noord-Korea (overheids-OS). Over 10 jaar in Nederland. De natte droom van Grapperhaus.
Meer de natte droom van de criminelen die de malware maakten waarmee al die pc's besmet werden. Het verwijderen ervan levert geen controle door de overheid op die pc's op, het maakt de controle door de criminelen ongedaan.

Door Anoniem: “gegevens met behulp waarvan het strafbare feit is gepleegd”
Wanneer je dat erg breed maakt kan het hele besturingssysteem op de betreffende PC legaal gewist worden. Vreemde zaak.
Daarom noemt Arnoud het proportionaliteitsbeginsel noemt: staat de maatregel in verhouding tot het probleem? De hele pc wissen zou een buitenproportionele maatregel zijn, die zou zijn doel ver voorbij schieten. De malware verwijderen is duidelijk wel proportioneel met het probleem.

De vreemde zaak die je bedenkt wordt daarom geen werkelijkheid. De beginselen van doeltreffendheid, proportionaliteit en subsidiareit zijn fundamenteel bij wetgeving en bestuur en maken dat een heleboel van die hellende vlakken die mensen bedenken geen werkelijkheid worden.

Doeltreffendheid: de maatregel moet wel werken.
Proportionaliteit: de maatregel moet wel in verhouding staan tot het probleem.
Subsidiariteit: de maatregel moet wel de juiste zijn, als een andere maatregel duidelijk beter is moet je die nemen.
03-02-2021, 15:33 door Anoniem
Mijn vraag is meer waarom moet het dan zolang duren nu nog 2 maanden. En dan is nog maar de vraag of het ECHT gedaan wordt.

Als ze het dan over juridische dingen hebben klopt dat ook niet want het staat al in de wet dat het zo mag. En aangezien ze de servers dan ook al bezitten kunnen ze ook wel die deinstall commando sturen naar iedereen.
03-02-2021, 16:33 door Anoniem
Door Anoniem: Mijn vraag is meer waarom moet het dan zolang duren nu nog 2 maanden. En dan is nog maar de vraag of het ECHT gedaan wordt.
Nouja voor zover ik begreep is de uninstaller al uitgerold alleen met een check erin of het die datum is.
Dus als je voor die tijd zelf de boel verwijdert is er niks aan de hand, anders gaat het vanzelf.
Waarom die periode zo lang is (en of men zich misschien een maand heeft vergist) weet ik niet, misschien juist om iedereen
de kans te geven het naar eigen inzicht te doen ipv automatisch.
03-02-2021, 18:49 door Anoniem
Ik vind een zeer hachelijke zaak en ik kan het weten. Ik heb malware verwijderd van meer dan 100.000 machines van klanten bij ons bedrijf. En ik schreef zelf de unistallers.

Dit moet in fases gebeuren want een fout is echt zo gemaakt.

STEL dat je heel Nederland aanpakt ( en voor de snel lezers: STEL) dan begin je eerst in een klein dorp en dat breidt je uit en dan voer je de aantallen langzaam op.

Graag zou ik ook willen weten of ze een fall back plan hebben voor als het misgaat.

Nogmaals dit is echt linke soep. Malware verwijderen doe je niet zomaar. En ik kan het weten. Ik ben developer geweest en infrastructuurspecialist en change manager nog vele andere functies.

Zomaar wat aandachtspuntjes: EN NIET VOLLEDIG EN OOK NIET IN EEN SPECIFIEKE VOLGORDE

Elke change brengt op zich ook weer veranderingen met zich mee.

Stel dat je een machine aanpast en er raakt iets onherstelbaar beschadigd..data e.ed? en dan wie is er dan aansprakelijk?

En hoe geschiedt de terugkoppeling v.d.gebruikers of het een succes was?

Er wordt echt veels te simpel over gedacht. Wie accepteert de solution?

Hoe kan de eindafnemer beoordelen of de solution idd goed zijn werk heeft gedaan?
03-02-2021, 21:35 door Anoniem
Door Anoniem: Ik vind een zeer hachelijke zaak en ik kan het weten. Ik heb malware verwijderd van meer dan 100.000 machines van klanten bij ons bedrijf. En ik schreef zelf de unistallers.

Dit moet in fases gebeuren want een fout is echt zo gemaakt.

Nouja misschien zijn die mensen wel veel beter en maken ze niet zoveel fouten.
En ik geloof dat de uninstaller ook al door de malware schrijvers gemaakt was en ze alleen een commando moesten sturen.
Dus dan is het een stuk eenvoudiger.

Bovendien, niet iedereen ziet zoveel beren op de weg. En tenzij de boel verprutst wordt valt het dan vaak ook allemaal
wel mee.

Voor zover ik begrijp krijgen de beheerders van die machines 3 maanden de kans om het zelf te doen voor het
automatisch gaat, dan moet zelfs de meest bureaucratische organisatie het change proces wel voltooid hebben.
04-02-2021, 06:52 door Anoniem
Door Anoniem: Nogmaals dit is echt linke soep. Malware verwijderen doe je niet zomaar.
Ik zou denken dat die malware maar laten zitten ook linke soep is. Wordt de vraag dan niet wat het minste van twee kwaden is?
04-02-2021, 10:20 door Anoniem
Door Anoniem:
Door Anoniem: Nogmaals dit is echt linke soep. Malware verwijderen doe je niet zomaar.
Ik zou denken dat die malware maar laten zitten ook linke soep is. Wordt de vraag dan niet wat het minste van twee kwaden is?
De meeste mensen hebben nieteens door dat ze die malware hebben, ik denk dat het uitschakelen van malware via een overgenomen C2 server best prettig is eigenlijk. Ik heb liever dat hier en daar dingen stuk gaan dan dat iedereen een emotet bot blijft. MAAR, wil je als nationale politie de verantwoordelijkheid en communicatie op je nemen? Want als jij iets stuk maakt dan heb jij het stukgemaakt
04-02-2021, 10:46 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Nogmaals dit is echt linke soep. Malware verwijderen doe je niet zomaar.
Ik zou denken dat die malware maar laten zitten ook linke soep is. Wordt de vraag dan niet wat het minste van twee kwaden is?
De meeste mensen hebben nieteens door dat ze die malware hebben, ik denk dat het uitschakelen van malware via een overgenomen C2 server best prettig is eigenlijk. Ik heb liever dat hier en daar dingen stuk gaan dan dat iedereen een emotet bot blijft. MAAR, wil je als nationale politie de verantwoordelijkheid en communicatie op je nemen? Want als jij iets stuk maakt dan heb jij het stukgemaakt
Nou ik mag toch aannemen dat degenen die het voor die tijd nog niet zelf hadden opgelost en die zo'n zootje van hun omgeving gemaakt hebben dat de uninstaller de mist in gaat niet de moed hebben om dat aan de grote klok te hangen...
04-02-2021, 11:01 door Anoniem
Door Anoniem:
Door Anoniem: Ik vind een zeer hachelijke zaak en ik kan het weten. Ik heb malware verwijderd van meer dan 100.000 machines van klanten bij ons bedrijf. En ik schreef zelf de unistallers.

Dit moet in fases gebeuren want een fout is echt zo gemaakt.

Nouja misschien zijn die mensen wel veel beter en maken ze niet zoveel fouten.
En ik geloof dat de uninstaller ook al door de malware schrijvers gemaakt was en ze alleen een commando moesten sturen.
Dus dan is het een stuk eenvoudiger.

Bovendien, niet iedereen ziet zoveel beren op de weg. En tenzij de boel verprutst wordt valt het dan vaak ook allemaal
wel mee.

Voor zover ik begrijp krijgen de beheerders van die machines 3 maanden de kans om het zelf te doen voor het
automatisch gaat, dan moet zelfs de meest bureaucratische organisatie het change proces wel voltooid hebben.

Ik zal even reageren. Het gaat niet om de kwaliteit vd uninstaller maar het gaat om de diversiteit vd doelgroep.

De doelgroep wordt gezien als 1 terwijl elke pc inrichting verschillend is. Zelfs Microsoft kan al die verschillende Situaties niet voorzien bij het patchen.

Het is superarrogant om te denken dat je dan geen problemen veroorzaakt. Maar dat kokerdenken hoort wel bij de politie vind ik. Ze doen alles goed terwijl ze zekf hun huishouden niet op orde hebben.

Zeker die arrigantie om bij belangrijke gesprekken niet eens komen opdagen.

Tikkie terug
04-02-2021, 11:42 door Anoniem
Daarnaast slaat die hele actie nergens op.

Zodra er malware op je pc is geweest kun je je hele pc niet meer vertrouwen. Er kan allang andere malware binnengehaald zijn. Tenzij je zeker weet dat er geen toegang was tot bepaalde delen van die pc.

Bij bedryven is dit anders de machines worden doorgaans centraal beheerd via policies en is er local hardening toegepast en wordt er veel meer in de gaten gehouden.

Maar daar hebben we te maken met clausules in contracten en beschikbaarheid. En acceptatie van mutaties door de klant. En worden de machines om de zoveel jaar vervangen.

Dit is bij privegebruikers totaal anders. Er wordt hier schijnveiligheid gecreeerd waarbij de gevolgen totaal gedragen worden door de gebruikers. Daarnaast geeft geen enkele gebruiker vooraf toestemming voor die wijziging.

Je begeeft je door die actie op heel glad ijs.
04-02-2021, 18:16 door Anoniem
“gegevens met behulp waarvan het strafbare feit is gepleegd”
Wanneer je dat erg breed maakt kan het hele besturingssysteem op de betreffende PC legaal gewist worden. Vreemde zaak.

Daarom maken ze het dan ook niet zo breed. Proportionaliteit speelt ook een rol, en schade aanrichten op PC's die ontsmet moeten worden is geen doelstelling.
04-02-2021, 18:17 door Anoniem
Zodra er malware op je pc is geweest kun je je hele pc niet meer vertrouwen. Er kan allang andere malware binnengehaald zijn. Tenzij je zeker weet dat er geen toegang was tot bepaalde delen van die pc.

Klopt, en wanneer Emotet verwijderd worden, kunnen bijvoorbeeld TrickBot of Ryuk achterblijven.
04-02-2021, 19:33 door Anoniem
Hierboven staan vele reacties met de risico's van het de-installeren van de software bij een dergelijke grote groep systemen.

Een goede aanpak is inderdaad dit stapsgewijs te laten uitvoeren.
- eerst 10 pc's met een verscheidenheid aan configuraties
- daarna 100
- daarna 1000
- daarna 10000
etc.

De economische schade kan namelijk enorm groot zijn als er 100.000 computers na de de-install niet meer functioneren. Denk aan een verlies van minimaal 100 euro per pc, dat is dus minstens 10 Miljoen Euro.

PS. bij Microsoft en Apple hebben ze honderden virtual machines waarop updates worden uitgetest.
05-02-2021, 16:12 door Anoniem
Als je schade hebt doordat een virus van je PC wordt verwijderd....
wacht, je had een virus op je pc...

#drop te mic.
06-02-2021, 12:17 door Anoniem
"Indien bij een doorzoeking"...
De C&C wordt doorzocht en daar is toestemming voor gegeven (door de rechter-commisaris?). De besmette PCs zijn echter geen deel van die doorzoeking, dus van die machines iets verwijderen lijkt me niet binnen deze bevoegdheid vallen? Hoe zit het met besmette PCs in andere landen? Buiten de EU?
07-02-2021, 11:18 door Anoniem
Zo zie je maar wat een gekte er tegenwoordig is... malware makers mogen doen met je PC wat ze willen, maar als
de politie er wat tegen doet klimmen de wannabe systeembeheerders en change managers in de gordijnen!
Bedenk wel dat als deze malware niet wordt gedeinstalleerd deze in de toekomst wellicht weer actief zou kunnen
worden als de malwaremakers weer een C&C server kunnen optuigen. Bij de schade die dan veroorzaakt kan worden
valt een enkele mislukte deinstallatie natuurlijk totaal in het niet.
07-02-2021, 16:02 door walmare
Mag ik ook terughacken als de politie aan mijn poort rammelt? bv automatische ping of death of nog erger?
07-02-2021, 16:18 door walmare
Pure huisvredebreuk. Razzia. Het OM geeft toestemming voor een de-installatie bij de mensen thuis? Waar staat dat je geen onderdeel mag zijn van een slapend botnet? Ik kan me voorstellen dat je als onderzoeker thuis of in de cloud ook een botnet zou kunnen hebben als honingpot net als je thuis een wapen mag hebben met een licentie.
07-02-2021, 17:51 door Anoniem
Door walmare: Mag ik ook terughacken als de politie aan mijn poort rammelt? bv automatische ping of death of nog erger?
Of een port-redirect naar de servers van de Russische Ambassade. Dan doen zij het werk voor je!
08-02-2021, 05:35 door Anoniem
Ok. Er is bij je ingebroken. De politie stelt vast dat dat kwam omdat er een bovenlicht open stond. Omdat het allemaal dezelfde rijtjeshuizen zijn in de hele wijk, klimmen ze vervolgens overal over de schutting om alle bovenlichten dicht te doen. Of eigenlijk om alle bovenlichten weg te halen en dicht te timmeren.

De vraag is niet enkel of ze dat mogen. De vraag is ook of dat een politietaak is.

Het gaat niet enkel om precies te weten wat in artikel zes bis drie staat. Het gaat ook over algemene rechtsprincipes. Als is het wel knap als iemand dat nog steeds allemaal weet.
08-02-2021, 09:40 door walmare
Door Anoniem: Ok. Er is bij je ingebroken. De politie stelt vast dat dat kwam omdat er een bovenlicht open stond. Omdat het allemaal dezelfde rijtjeshuizen zijn in de hele wijk, klimmen ze vervolgens overal over de schutting om alle bovenlichten dicht te doen. Of eigenlijk om alle bovenlichten weg te halen en dicht te timmeren.

De vraag is niet enkel of ze dat mogen. De vraag is ook of dat een politietaak is.

Het gaat niet enkel om precies te weten wat in artikel zes bis drie staat. Het gaat ook over algemene rechtsprincipes. Als is het wel knap als iemand dat nog steeds allemaal weet.
Ik heb geen aangifte gedaan en dus niet om de politie gevraagd.
Mijn buren hebben ook niet geklaagd dat mijn licht aanstond.
Een schot hagel kunnen ze krijgen als ze in mijn huis komen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.