Politie gebruikt niet goedgekeurde commerciële hacksoftware bij operaties
De politie maakt bij de inzet van de hackbevoegdheid gebruik van niet goedgekeurde commerciële hacksoftware waarvoor het "enkele miljoenen" euro's betaalt. Daarnaast laat het toezicht op de inzet van de hackbevoegdheid te wensen over, zo blijkt uit onderzoek van het Wetenschappelijk Onderzoek- en Documentatiecentrum van het ministerie van Justitie en Veiligheid.
Op 1 maart 2019 werd de Wet Computercriminaliteit III van kracht, die politie de bevoegdheid geeft om heimelijk een geautomatiseerd werk zoals een laptop of een smartphone van een verdachte binnen te dringen, ook wel de hackbevoegdheid genoemd. De wet zou na twee jaar, in twee delen, worden geëvalueerd. Het eerste deel van de evaluatie richt zich specifiek op de hackbevoegdheid.
Vanwege de coronapandemie liep het evaluatierapport enige vertraging op, maar is nu door minister Yesilgöz van Justitie en Veiligheid aan de Tweede Kamer aangeboden. Uit het rapport komen vijf knelpunten naar voren: de manier waarop politie op systemen kan binnendringen, de inzet van commerciële hackmiddelen, de meldplicht bij het gebruik van zerodaylekken, het toezicht door de Inspectie en de keuring van technische hulpmiddelen.
Niet goedgekeurd
Gegevens die de politie met behulp van de hackbevoegdheid verzamelt moeten betrouwbaar, herleidbaar en integer zijn. Een belangrijke waarborg om hiervoor te zorgen is een keuring van de gebruikte hacksoftware. Volgens de onderzoekers blijkt dat het de politie de afgelopen jaren nauwelijks is gelukt om bij de inzet van de hackbevoegdheid een vooraf goedgekeurd technisch hulpmiddel in te zetten.
Dat komt voornamelijk omdat de politie gebruikmaakt van één commerciële hacktool, waarvan de leverancier zich verzet tegen een keuring. "Dat betekent dat aan één van de waarborgen, namelijk de keuring, bij een groot deel van de inzetten niet wordt voldaan", aldus de onderzoekers. "In de praktijk is gebleken dat dat middel hoogstwaarschijnlijk ook niet goedgekeurd kan worden. Het middel maakt namelijk gebruik van een server waartoe de leverancier toegang heeft." Vanwege het ontbreken van de keuring neemt de politie wel technische en tactische waarborgen om gegevens die met de hacksoftware zijn verkregen te kunnen verifiëren.
"Enkele miljoenen"
Bij de inzet van de hackbevoegdheid blijkt de politie vooral gebruik te maken van zerodaylekken die in de niet nader genoemde commerciële hacksoftware verwerkt zitten. Met deze software kan toegang tot telefoons worden verkregen. "Voor de opsporingspraktijk is dit product onmisbaar, omdat zij anders een groot deel van de inzetten (op een telefoon) niet kan doen", zo stellen de onderzoekers.
In het regeerakkoord is echter afgesproken dat het gebruik van commerciele hacksoftware moet worden beperkt om de markt van zerodaylekken niet te stimuleren. Hierdoor moet de politie voor elke zaak een aparte licentie aanschaffen. Omdat de commerciële hacksoftware veelvuldig wordt ingezet, wordt geschat dat deze afspraak ertoe heeft geleid dat inmiddels ruim twee keer de aanschafprijs voor het product is betaald. Naar schatting gaat het om "enkele miljoenen". Gezien het veelvuldige gebruik van de hacksoftware is het onwaarschijnlijk dat het afgesproken licentiemodel ervoor zorgt dat de markt van onbekende kwetsbaarheden minder wordt gestimuleerd, concluderen de onderzoekers.
Meldplicht
Een ander knelpunt dat de onderzoekers signaleren is de meldplicht. Er is afgesproken dat gebruikte zerodaylekken uiteindelijk aan de fabrikant of leverancier van de betreffende software moeten worden gemeld, zodat die een update kan ontwikkelen om zijn gebruikers te beschermen. Deze meldplicht geldt ook voor software die criminelen zelf ontwikkelen, wat inhoudt dat deze personen uiteindelijk moeten worden ingelicht over kwetsbaarheden in hun systemen. De meldplicht zou ook de samenwerking met andere partijen, zowel nationaal als internationaal, bemoeilijken, zo laten de onderzoekers weten.
Toezicht door de Inspectie
De onderzoekers zien ook verschillende knelpunten bij het toezicht op de inzet van de hackbevoegdheid. Op dit moment is het voor de Inspectie namelijk niet goed mogelijk om, vanwege het ontbreken van een kwaliteitssysteem bij de politie, het door de wetgever gewenste systeemtoezicht te houden. Er wordt dan ook geadviseerd om te kijken naar wat in de praktijk georganiseerd zou moeten worden om het systeemtoezicht van de grond te krijgen. Daarnaast is het nodig meer duidelijkheid te krijgen over de wijze waarop het toezicht door de Inspectie tot haar recht kan komen en er ook aandacht is voor de uitvoerbaarheid van de hackbevoegdheid.
Ingrijpende inbreuk
Afsluitend stellen de onderzoekers dat ervoor de inzet van de hackbevoegdheid verschillende waarborgen zijn. "Die waarborgen zijn er niet voor niets. De bevoegdheid vormt een zeer ingrijpende inbreuk op het privéleven van mensen en mag om die reden niet zomaar worden ingezet. Dat neemt niet weg dat het wenselijk is om een aantal van die waarborgen en daaraan verwante onderwerpen nog eens nader onder de loep te nemen."
In het komend najaar zal naar verwachting een rapport van de Hoge raad verschijnen, over de toepassing van de hackbevoegdheid, gericht op het handelen van het Openbaar Ministerie. Minister Yesilgöz van Justitie en Veiligheid zal in het voorjaar van 2023 met haar reactie op het eerste deel van de evaluatie en het rapport van de Hoge Raad komen. Het tweede deel van de evaluatie van de hackbevoegdheid staat voor 2024 gepland.
Zo werkt dat in Nederland.
Dat heet: dienstverlening, uitbesteed werk
Het balanceert op de woordspeling: Met boeven moet je boeven vangen. Hier: met betwijfelbare middelen ga je bewijzen van misdrijven bij verdachten verzamelen. Natuurlijk is het discutabel dat de politie middelen aangrijpt die niet binnen de maat van: ofwel het regeerakkoord- dan wel: wettelijk vastgelegde afspraken vallen.
Brandpunt: zolang misdaadbestrijding bestaat - al vele eeuwen - blijft de discrepantie tussen wat dienaangaande mag, en moet om doeltreffend misdaadbestrijding te bevorderen/uitoefenen een constante.
Maar... zolang die constante onder de loep blijft en - héél belangrijk - uitgangspunt vormt voor discussie én - belangrijk - opvolging krijgt (Ja!... Nederland is geen bananenrepubliek) is er wat mij betreft geen vuiltje aan de lucht.
Helaas.
Dus mensen denk erom vooral VVD blijven stemmen dan gaan ze dit soort problemen echt wel uitbannen en komen er zeker geen INCIDENTEN meer voor.
</sarcasme>
Helaas.
Het is dus schering en inslag.
Dus mensen denk erom vooral VVD blijven stemmen dan gaan ze dit soort problemen echt wel uitbannen en komen er zeker geen INCIDENTEN meer voor.
</sarcasme>
Als je binnen je beroepsgroep bewust de kantjes ervan af snijdt verlies je je bevoegdheden. Een kleuterleidster die niet verantwoordelijk met kinderen omgaat mag dat werk niet meer doen. Een rijbewijs raak je kwijt als je te vaak te hard rijdt of ander onverantwoordelijk gedrag vertoond.
Helaas laat de politie keer op keer zien hun boekje te buiten te gaan. Dat betekent niet meer, maar juist minder privileges, en meer controle. Tenminste, dat zou het moeten betekenen in een land dat zijn rechtsorde serieus neemt.
Helaas.
Nee, de huidige minister van justitie ramt er een plakwetje door een opeens is illegaal gedrag legaal. Zo werkt het voor de burger gek genoeg nou nooit.
Helaas.
En als de politie wel iets doet, dan is het bewijs vervolgens twiijfelachtig want:
"Gegevens die de politie met behulp van de hackbevoegdheid verzamelt moeten betrouwbaar, herleidbaar en integer zijn."
En dat is het nu niet.
Zo kunnen de verzamelde gegeven (ongemerkt) achter de rug van de politie gemanipuleerd worden.
Waar is het bewijs van de leverancier of de politie dat dat het niet kan?
Helaas.
Nee, de huidige minister van justitie ramt er een plakwetje door een opeens is illegaal gedrag legaal. Zo werkt het voor de burger gek genoeg nou nooit.
De minister is er ook niet voor de burger, maar voor haar lobbygroepen: de politie en veiligheidsdiensten.
Dat zijn haar "klanten". De burger is (weer eens) het "product".
De testen en keuringen voor anpr camera's heeft een tijdje geduurd om te bedenken hoe een juiste werking gecontroleerd kan worden zonder inbreuk op de patentrechten te maken.
Los het vraagstuk van hoe en wat die keuring moet inhouden maar eerst enns op.
Tot die tijd is het geen vrijbrief om moordenaars niet aan re willen pakken. Ik las elders dat de inzet een beperkt aantal (ca 20) betrof voor dat soort zaken
De testen en keuringen voor anpr camera's heeft een tijdje geduurd om te bedenken hoe een juiste werking gecontroleerd kan worden zonder inbreuk op de patentrechten te maken.
Los het vraagstuk van hoe en wat die keuring moet inhouden maar eerst enns op.
Tot die tijd is het geen vrijbrief om moordenaars niet aan re willen pakken. Ik las elders dat de inzet een beperkt aantal (ca 20) betrof voor dat soort zaken
Helaas.
De politie/overheden hebben zich ook aan de wet te houden, sterker nog, een misdadiger zou wel eens vrijuit kunnen gaan als blijkt dat er illegaal verkregen materiaal als bewijslast opgevoerd wordt.
De testen en keuringen voor anpr camera's heeft een tijdje geduurd om te bedenken hoe een juiste werking gecontroleerd kan worden zonder inbreuk op de patentrechten te maken.
Los het vraagstuk van hoe en wat die keuring moet inhouden maar eerst enns op.
Tot die tijd is het geen vrijbrief om moordenaars niet aan re willen pakken. Ik las elders dat de inzet een beperkt aantal (ca 20) betrof voor dat soort zaken
Zucht:
De politie en veiligheidsdiensten moeten hun taken vervullen BINNEN DE GRENZEN VAN DE BESTAANDE WET- en REGELGEVING.
Niet de wet herschrijven alleen omdat de werkwijze (van personen) daar niet aan voldoet.
En dat is wat er nu elke keer gebeurt. Steeds iets meer oprekken. En nog iets oprekken. En nog iets oprekken.
Als je lang geonoeg doorgaat, verworden de poltie en veiligheidsdiensten tot de criminele organisaties die ze behoren te bestrijden.
De politiek moet eens ophouden het rechtssysteem steeds verder uit te hollen.
Het doel heiligt niet de middelen. Want dan verwordt je uiteindelijk tot een politiestaat met willekeur.
De testen en keuringen voor anpr camera's heeft een tijdje geduurd om te bedenken hoe een juiste werking gecontroleerd kan worden zonder inbreuk op de patentrechten te maken.
Los het vraagstuk van hoe en wat die keuring moet inhouden maar eerst enns op.
Tot die tijd is het geen vrijbrief om moordenaars niet aan re willen pakken. Ik las elders dat de inzet een beperkt aantal (ca 20) betrof voor dat soort zaken
Zucht:
De politie en veiligheidsdiensten moeten hun taken vervullen BINNEN DE GRENZEN VAN DE BESTAANDE WET- en REGELGEVING.
Niet de wet herschrijven alleen omdat de werkwijze (van personen) daar niet aan voldoet.
En dat is wat er nu elke keer gebeurt. Steeds iets meer oprekken. En nog iets oprekken. En nog iets oprekken.
Als je lang geonoeg doorgaat, verworden de poltie en veiligheidsdiensten tot de criminele organisaties die ze behoren te bestrijden.
De politiek moet eens ophouden het rechtssysteem steeds verder uit te hollen.
Het doel heiligt niet de middelen. Want dan verwordt je uiteindelijk tot een politiestaat met willekeur.
Ik zie dat criminelen de rechtsstaat uit hollen èn uithollen. Kan zijn dat ik blind ben....
Zou je het fatsoen kunnen opbrengen mijn post https://www.security.nl/posting/768267#posting768274 niet uit zijn verband te rukken? Dank!
Door jouw selectieve manier van quoten lijkt het of ik criminele sujetten die onze samenleving teisteren de hand boven het hoofd houd terwijl je nota bene direct hierboven https://www.security.nl/posting/768267#posting768349 mijn 100% negatieve houding t.o.v. criminelen ongetwijfeld gelezen moet hebben anders ben je blind.
Ja misdaad moet aangepakt worden maar wel onder de regels die we door voor opgesteld hebben.
De testen en keuringen voor anpr camera's heeft een tijdje geduurd om te bedenken hoe een juiste werking gecontroleerd kan worden zonder inbreuk op de patentrechten te maken.
Los het vraagstuk van hoe en wat die keuring moet inhouden maar eerst enns op.
Tot die tijd is het geen vrijbrief om moordenaars niet aan re willen pakken. Ik las elders dat de inzet een beperkt aantal (ca 20) betrof voor dat soort zaken
Zucht:
De politie en veiligheidsdiensten moeten hun taken vervullen BINNEN DE GRENZEN VAN DE BESTAANDE WET- en REGELGEVING.
Niet de wet herschrijven alleen omdat de werkwijze (van personen) daar niet aan voldoet.
En dat is wat er nu elke keer gebeurt. Steeds iets meer oprekken. En nog iets oprekken. En nog iets oprekken.
Als je lang geonoeg doorgaat, verworden de poltie en veiligheidsdiensten tot de criminele organisaties die ze behoren te bestrijden.
De politiek moet eens ophouden het rechtssysteem steeds verder uit te hollen.
Het doel heiligt niet de middelen. Want dan verwordt je uiteindelijk tot een politiestaat met willekeur.
Ik zie dat criminelen de rechtsstaat uit hollen èn uithollen. Kan zijn dat ik blind ben....
Dus moet de rechtstaat ook maar afzakken naar het niveau van criminelen. Lijkt me niet de oplossing. Dan hebben we dadelijk een overheid die zich crimineel gedraagt.
Vraag: overtreden criminelen de wet, of passen ze de wet aan?
Dat laatste zou dan namelijk beteken dat ze in de Tweede Kamer zitting hebben of daar een grote invloed op hebben. :-)
Wanneer houdt deze ellende nou eens op...
Links, rechts, overal corruptie!
een beetje hacker gebruikt ook geen goedgekeurde software voor de dingen die ze doen.
Dat heet: dienstverlening, uitbesteed werk
wat een onzin, een ambtenaar zeker bang dat hij geen werk heeft. stempeltjes zetten.
Ik zie dat criminelen de rechtsstaat uit hollen èn uithollen. Kan zijn dat ik blind ben....
Goed gezien. Als de politie zich niet aan de wet houdt worden het inderdaad criminelen. Daarmee wordt de rechtsorde en rechtsstaat aangetast en uitgehold. Een uiterst zorgwekkende ontwikkeling. Als zelfs de politie zich niet meer aan de wet houdt is het einde zoek.
wat een onzin, een ambtenaar zeker bang dat hij geen werk heeft. stempeltjes zetten.
Een pentester is ook een hacker, maar eentje met een document dat wat ie doet is goedgekeurd door de opdrachtgever/eigenaar van het te testen doelwit.
Een cybercrimineel is iemand die crimineel is of voor criminelen hand- en spandiensten verricht. Foute boel dus.
Als de politie moet hacken ter handhaving van de wet, het zij zo. Schaar het onder ethisch hacken.
Commercieel doet Big Tech met spellingcheckers en via toetsenbordjes ergere en grootschaliger dingen.
Daarbij overtreden ze ook niet de wet of krijgen anders zelden boetes of hebben grote legers advocaten in dienst.
Wanneer was er het bewijs dat vingerafdrukken een goede onderbouwing van de betreffende persoon is?
Je kunt niet vooraf een wetenschappelijke onderbouwing met keuring verzinnen. Dat blijkt dan ineens praktisch niet realistisch te zijn. Kom eens met een lijst van keuringseisen.
Ja advocaten zullen vanuit de verdediging de meest onzinnige verhalen ophangen als daar maar twijfel gezaaid wordt.
Je voorbeeld met Taghi is uitstekend. Zelfs een ver familielid met bekende dubieuze bedoelingen, daar mocht niets mee gebeuren want privacy en discriminatie argumenten. Van de betreffende telefoons gaat de rechter heel ver mee. De berichten zijn echt, daar is niet mee gerommeld. De eerdere argumenten hielden terecht geen stand.
Het is zonder twijfel een veelvoud van dat aantal. ....... om een (opsporings)ambtenaar niet het verwijt te kunnen maken dat hij zich niet aan wet- en regelgeving heeft gehouden. Hierdoor is een discussie over het goedkeuren van commerciële hacksoftware feitelijk onzinnig.
Complete verhaal is via het artikel te vinden, het rapport betreft 200 pagina's. De frictie van uitvoerbaarheid en werkbaarheid met de keuringsdienst is benoemd. Opvallend die alles is goed of alles is fout houding. De wereld is analoog niet binair.
Vervolgens stoppen ze de software erin en kunnen ze meelezen, geven dit aan Frankrijk, die geeft het weer terug dus dan is het bewijs gekregen van Frankrijk en dus wel legaal. Zo zijn vele verdachten opgepakt en veroordeeld, pas nadat Belgie en andere landen verdachten lieten gaan i.v.m onrechtmatig verkregen bewijs zijn Nederlandse rechters opnieuw vragen gaan stellen aan de officier van justitie die nu uiteindelijk meerdere keren zijn verhaal heeft aangepast (lees toegegeven gelogen te hebben) waardoor nu gelukkig sommige rechters ook gaan twijfelen (goede richting maar nog steeds illegaal) en ook hier verdachten worden heengezonden. Grappige is zodra een verdachte op een leugen wordt betrapt in de rechtzaal dan nemen ze meteen de rest van zijn verdediging ook als leugen. Het gaat mij er niet om dat verdachten niet veroordeeld moeten worden, maar als de politie de wet overtreed is deze in mijn ogen ook crimineel bezig, als ze dit niet alleen doen, dus ook een criminele organisatie, het enige verschil is dat zij een uniform met een penning dragen. En dat heel veel rechters erin meegaan door de wet te overtreden doet mij denken waar we heen willen met zijn allen in de samenleving en met elkaar. Ik heb het in aap, noot Mies geschreven omdat ik niet wist ofdat ik links kan plaatsen om het te onderbouwen wat ik probeer uit te leggen maar alles is terug te vinden op een CRIME site, die hebben inzage gehad waardoor er vragen zijn gesteld, en natuurlijk ook de broer, neef of van meneer Moscowitz met dezelfde naam maar als verschil deze nog wel advocaat is en daar een mooi duidelijk stuk over staat op de CRIME site. En persoonlijk denk ik dat als mensen het wel normaal vinden als ambtenaren van ons belastinggeld betaald de wet mogen overtreden, deze mensen eens rustig en goed moeten nadenken ipv meteen terug te reageren, want als dit nu al te vaak wordt toegelaten, waar is het einde dan? Straks krijgen we een Phillipijnen (vorige president) politie hit team hier die gewoon even gaat straffen op straat, niet te vergelijken omdat het zo ver weg is? Dat dachten we ook van mensenrechten en discriminatie, wijzen naar China, Rusland of willekeurig arabisch land, terwijl we nu door de laatste 3 jaar wel beter weten.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
