Politie kan commerciële hacksoftware straks voor meer zaken hergebruiken
De politie kan commerciële hacksoftware bedoeld voor het binnendringen van systemen van verdachten straks voor meerdere zaken hergebruiken. Daarnaast wordt het toezicht op de hackbevoegdheid aangepast en komt het uitgangspunt om goedgekeurde hacksoftware te gebruiken te vervallen. Dat heeft demissionair minister Yesilgoz van Justitie en Veiligheid aan de Tweede Kamer laten weten. De politie heeft de hackbevoegdheid van 2019 tot en met 2022 in totaal 71 keer ingezet. In 51 gevallen werd er gebruikgemaakt van 'commerciële binnendringsoftware'.
De Wet Computercriminaliteit III geeft politie de bevoegdheid om heimelijk een geautomatiseerd werk zoals een laptop of een smartphone van een verdachte binnen te dringen. Hiervoor kan er gebruik worden gemaakt van software die door externe partijen is ontwikkeld. De Inspectie Justitie en Veiligheid stelde afgelopen augustus dat politie zich onvoldoende aan de regels houdt voor de inzet van de hackbevoegdheid. Vorig jaar meldde het Wetenschappelijk Onderzoek- en Documentatiecentrum van het ministerie van Justitie en Veiligheid dat politie niet goedgekeurde commerciële hacksoftware bij operaties gebruikt. Het kabinet is nu met een beleidsreactie op de rapporten van het WODC en Inspectie gekomen en de knelpunten die werden vastgesteld.
Hergebruik commerciële hacksoftware
Op dit moment schaft de politie commerciële hacksoftware of de benodigde licentie alleen aan voor een specifieke zaak. Daarna moet de software worden verwijderd of is de licentie verbruikt. Het idee hierachter is dat de Nederlandse overheid zo niet de markt voor zerodaylekken stimuleert waar commerciële hacksoftware gebruik van maakt. Een bekend voorbeeld van dergelijke software is de Pegasus-spyware van de NSO Group. De zerodaylekken die het bedrijf gebruikt worden bijvoorbeeld niet bij Apple gerapporteerd, waardoor er ook geen updates voor de betreffende kwetsbaarheden verschijnen.Nu maakt deze aanpak de aanschaf van commerciële hacksoftware waarschijnlijk duurder en is het ook de vraag of de Nederlandse houding invloed op markt voor zerodaylekken heeft, aldus de rapporten. Daarom gaat het kabinet de regels aanpassen en wordt het mogelijk voor politie om binnendringsoftware aan te schaffen en te hergebruiken in andere zaken. "Indien een andere methode met succes kan worden ingezet, dan wordt daarvoor gekozen. Minder ingrijpende methoden zoals social engineering, handmatig binnendringen of gebruik van rechtmatig verkregen inloggegevens worden eerst overwogen", voegt Yesilgoz toe.
Toezicht
Een ander punt dat gaat veranderen is het toezicht op de hackbevoegdheid. Op dit moment wordt dit per inzet gecontroleerd, bijvoorbeeld op basis van de verschillende typen logging die worden bijgehouden. Volgens de minister is het toezicht op de hackbevoegdheid relatief zwaar en intensief vergeleken met andere bijzondere opsporingsmiddelen. Om dat te veranderen wil de bewindsvrouw toewerken naar systeemtoezicht op de hackbevoegdheid. Hierbij maakt de inspectie straks gebruik van 'politie-interne borgingssystemen' in plaats van zelf tijdens en na elke inzet te controleren.
Keuring
Gegevens die de politie met behulp van de hackbevoegdheid verzamelt moeten betrouwbaar, herleidbaar en integer zijn. Een belangrijke waarborg om hiervoor te zorgen is een keuring van de gebruikte hacksoftware. Volgens het WODC blijkt dat het de politie de afgelopen jaren nauwelijks is gelukt om bij de inzet van de hackbevoegdheid een vooraf goedgekeurd technisch hulpmiddel in te zetten. Dat komt voornamelijk omdat de politie gebruikmaakt van één commerciële hacktool, waarvan de leverancier zich tegen een keuring verzet.Opsporingsdiensten ervaren dit als een grote belemmering in de uitvoering van de hackbevoegdheid. Daarom is er besloten om het uitgangspunt dat alleen goedgekeurde hacksoftware wordt ingezet te wijzigen. In plaats daarvan worden politie en het Openbaar Ministerie gevraagd om uit te werken dat alle technische hulpmiddelen die gegevens automatisch detecteren, registreren en transporteren ter keuring worden aangeboden bij een keuringsdienst.
Afsluitend laat de minister weten dat op sommige onderdelen meer onderzoek nodig is, omdat het vaak om complexe vraagstukken gaat. "Uiteindelijk is het doel dat de binnendringbevoegdheid een effectiever instrument wordt. Dat is van belang in de strijd tegen ernstige en georganiseerde criminaliteit, maar ook in opsporingsonderzoeken naar moord, cybercrime, terrorisme en seksueel kindermisbruik."
'politie-interne borgingssystemen' , my ass.
Alleen vrees ik dat rupsje nooit genoeg ook nog de CSS willen om over een zo groot mogelijk spectrum van spionagepools te beschikken
'politie-interne borgingssystemen' , my ass.
Ja, het wordt Wild West. Laten ze meteen maar naar de speelgoedwinkel gaan om een paar sheriff-sterren aan te schaffen zodat ze die naast andere onderscheidingstekens op hun uniformen kunnen plakken.
Politie-interne borgingssystemen = zoekgeraakte bonnetjes, gewiste berichtjes en het ontbreken van 'actieve herinneringen'. Wat zou Pieter Omtzigt hiervan vinden? Hij zou met zijn ervaringen moeten snappen hoe het werkt.
Opsporingsdiensten ervaren dit als een grote belemmering in de uitvoering van de hackbevoegdheid. Daarom is er besloten om het uitgangspunt dat alleen goedgekeurde hacksoftware wordt ingezet te wijzigen.
Dus de leverancier zegt: 'Jullie mogen niet weten wat ik jullie eigenlijk verkoop.'
De koper reageert: 'Nou dan wil ik ook niet meer weten wat ik van jou of van anderen koop.'
Iedereen tevreden behalve onschuldige burgers die zonder te weten gehackt worden en dan vijf of tien jaar later merken dat ze enorme problemen krijgen.
Als het er dan heel veel worden en het niet meer in de doofpot kan worden gestopt, komt er een Omtzigt2 of Omtzigt3 die het gaat onderzoeken en aankaarten. En dan zegt de politie in 2035 of 2040 met een vroom gezicht. 'Dit had nooit mogen gebeuren. Dit is nooit de bedoeling geweest. Met de kennis van nu...'
In het midden de burger. )-:
Wordt met de dag beter.
Ik erger me al jaren aan de dubbele moraal bij de uitvoering van de handhaving: Veehouders mogen alles regels overtreden die er zijn maar een klimaatactivist die op een weg gaat zittten krijgt een knuppel in zijn nek, illegaal de weg filmen of parkeeroverlast wordt ook allemaal maar gedoogd omdat anders de aso's gaan snowflaken ;)
Met de opkomst van het "rules for thee but not for me" partijen zoals de PVV/VVD/CDA/SGP/NSC in het achterhoofd vrees ik dat de uitbreiding van de Politie "opsporing" wel eens steeds meer nadelen van krijgen voor burger die geen deel uitmaken van deze ideologische stroming, lekker naar de stasi van Geertje, juffrouw Jannie en Dilan.
Ik heb nog een mooie reeks malware in de digitale la liggen door de jaren heen opgebouwd voor beveiliging training sample analyse die dormant is zolang niemand mijn data naar een onbekend IP versleept. Komt het erbuiten dan zijn de gevolgen voor de andere. Kunnen ze een keer echt zeggen dat ze data echt kwijt zijn.
Als de politie net zo erg wordt als de criminelen dan verdienen ze dezelfde behandeling
Hoe? Via een e-mail met een link? Denken zij dat die criminelen gek zijn? Die passen dezelfde tactiek toe! Hahahaha
Meestal ben je een makkelijk doelwit als jou telefoon nummer, email-adres, mac-adres etc bekend zijn bij de tegenpartij.
Op allerlei manieren kan er pegasus zomaar op je telefoon komen te zitten gluren. exploits installeren ze bijv d.m.v. telefoon oproepen, smsjes of whatsappjes
- Verwijder WhatsApp (in het verleden is WhatsApp gebruikt om exploits op afstand te installeren, nu wss nog)
- Gooi je iPhone per direct uit het raam
- Vanaf android 12 kan je je camera of microfoon toegang aan/uit zetten, zet deze uit wanneer je ze niet nodig hebt
beste wat je goedkoop en simpel kan doen om het Big Brother een tandje moeilijker te maken bij jou als onschuldige belastingbetalende burger zomaar te gluren is een Google Pixel toestel aanschaffen en GrapheneOS erop tyfen. Natuurlijk is social engineering het eerste en meest effectieve aanvals factor dus bescherm jezelf op elk vlak.
Sterker nog: de overheid IS de vijand. Elke keer weer.
Het blijft verwonderlijk.
Hoe? Via een e-mail met een link? Denken zij dat die criminelen gek zijn? Die passen dezelfde tactiek toe! Hahahaha
Met wie verbind je je? Voor wie treedt je op en tegen wie?
Een ieder zal bij zichzelf te rade moeten gaan.
Hoor ik bij de opbouw of de afbraak?
Het blijft verwonderlijk.
Het wordt steeds meer met minder. Minder budget of personeel maar wel meer taken. Handhaving is geen tijd meer voor.
'politie-interne borgingssystemen' , my ass.
Kijk naarder aantal keren ingezet.
Daaruit blijkt dat het toch echt wel meevalt.
En dat we hier geen China ofcRisland,Iran,Noord-Korea zijn.
We moeten wel alles in perspectief blijven zien.
Loos geschreeuw hebben we niets aan.
en een schending van onze privacy.
De meeste informatie die de meeste mensen hebben, hebben
ze ook nog van het internet gedownload.
Mensen die willen dat hun geheimen niet gestolen worden,
sluiten hun computers gewoon niet aan het internet.
Deze "hackbevoegdheid" is naar mijn mening meer een
dekmantel om onze cryptocurrency te stelen, om
te kijken met wie wij contact hebben, en om ons
te stalken.
Naar mijn mening kan een criminele zaak zoals het
altijd het geval was zonder "hackbevoegdheid"
opgelost worden. Via ISP logs misschien,....
De golden rule, de politie wenst niet gehackt te
worden, dus de politie moet ook geen burgers beginnen
te hacken....
IT specialisten altijd de logs van ISP raadplegen
en computer forensics laten doen zonder "hackbevoegdheid".
Deze mensen kunnen niet met computer criminaliteit
omgaan en ze zijn de domste dingen aan het verzinnen,
om hun meer macht te geven, terwijl er certificaten
zijn die ons leren hoe wij met computer criminaliteit
horen om te gaan, zonder zelf een computer crimineel
te worden door te hacken.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
