image

Politie kan commerciële hacksoftware straks voor meer zaken hergebruiken

vrijdag 8 december 2023, 14:33 door Redactie, 16 reacties

De politie kan commerciële hacksoftware bedoeld voor het binnendringen van systemen van verdachten straks voor meerdere zaken hergebruiken. Daarnaast wordt het toezicht op de hackbevoegdheid aangepast en komt het uitgangspunt om goedgekeurde hacksoftware te gebruiken te vervallen. Dat heeft demissionair minister Yesilgoz van Justitie en Veiligheid aan de Tweede Kamer laten weten. De politie heeft de hackbevoegdheid van 2019 tot en met 2022 in totaal 71 keer ingezet. In 51 gevallen werd er gebruikgemaakt van 'commerciële binnendringsoftware'.

De Wet Computercriminaliteit III geeft politie de bevoegdheid om heimelijk een geautomatiseerd werk zoals een laptop of een smartphone van een verdachte binnen te dringen. Hiervoor kan er gebruik worden gemaakt van software die door externe partijen is ontwikkeld. De Inspectie Justitie en Veiligheid stelde afgelopen augustus dat politie zich onvoldoende aan de regels houdt voor de inzet van de hackbevoegdheid. Vorig jaar meldde het Wetenschappelijk Onderzoek- en Documentatiecentrum van het ministerie van Justitie en Veiligheid dat politie niet goedgekeurde commerciële hacksoftware bij operaties gebruikt. Het kabinet is nu met een beleidsreactie op de rapporten van het WODC en Inspectie gekomen en de knelpunten die werden vastgesteld.

Hergebruik commerciële hacksoftware

Op dit moment schaft de politie commerciële hacksoftware of de benodigde licentie alleen aan voor een specifieke zaak. Daarna moet de software worden verwijderd of is de licentie verbruikt. Het idee hierachter is dat de Nederlandse overheid zo niet de markt voor zerodaylekken stimuleert waar commerciële hacksoftware gebruik van maakt. Een bekend voorbeeld van dergelijke software is de Pegasus-spyware van de NSO Group. De zerodaylekken die het bedrijf gebruikt worden bijvoorbeeld niet bij Apple gerapporteerd, waardoor er ook geen updates voor de betreffende kwetsbaarheden verschijnen.

Nu maakt deze aanpak de aanschaf van commerciële hacksoftware waarschijnlijk duurder en is het ook de vraag of de Nederlandse houding invloed op markt voor zerodaylekken heeft, aldus de rapporten. Daarom gaat het kabinet de regels aanpassen en wordt het mogelijk voor politie om binnendringsoftware aan te schaffen en te hergebruiken in andere zaken. "Indien een andere methode met succes kan worden ingezet, dan wordt daarvoor gekozen. Minder ingrijpende methoden zoals social engineering, handmatig binnendringen of gebruik van rechtmatig verkregen inloggegevens worden eerst overwogen", voegt Yesilgoz toe.

Toezicht

Een ander punt dat gaat veranderen is het toezicht op de hackbevoegdheid. Op dit moment wordt dit per inzet gecontroleerd, bijvoorbeeld op basis van de verschillende typen logging die worden bijgehouden. Volgens de minister is het toezicht op de hackbevoegdheid relatief zwaar en intensief vergeleken met andere bijzondere opsporingsmiddelen. Om dat te veranderen wil de bewindsvrouw toewerken naar systeemtoezicht op de hackbevoegdheid. Hierbij maakt de inspectie straks gebruik van 'politie-interne borgingssystemen' in plaats van zelf tijdens en na elke inzet te controleren.

Keuring

Gegevens die de politie met behulp van de hackbevoegdheid verzamelt moeten betrouwbaar, herleidbaar en integer zijn. Een belangrijke waarborg om hiervoor te zorgen is een keuring van de gebruikte hacksoftware. Volgens het WODC blijkt dat het de politie de afgelopen jaren nauwelijks is gelukt om bij de inzet van de hackbevoegdheid een vooraf goedgekeurd technisch hulpmiddel in te zetten. Dat komt voornamelijk omdat de politie gebruikmaakt van één commerciële hacktool, waarvan de leverancier zich tegen een keuring verzet.

Opsporingsdiensten ervaren dit als een grote belemmering in de uitvoering van de hackbevoegdheid. Daarom is er besloten om het uitgangspunt dat alleen goedgekeurde hacksoftware wordt ingezet te wijzigen. In plaats daarvan worden politie en het Openbaar Ministerie gevraagd om uit te werken dat alle technische hulpmiddelen die gegevens automatisch detecteren, registreren en transporteren ter keuring worden aangeboden bij een keuringsdienst.

Afsluitend laat de minister weten dat op sommige onderdelen meer onderzoek nodig is, omdat het vaak om complexe vraagstukken gaat. "Uiteindelijk is het doel dat de binnendringbevoegdheid een effectiever instrument wordt. Dat is van belang in de strijd tegen ernstige en georganiseerde criminaliteit, maar ook in opsporingsonderzoeken naar moord, cybercrime, terrorisme en seksueel kindermisbruik."

Image

Reacties (16)
08-12-2023, 15:03 door Anoniem
Ach ja, de verruiming waarvan je wist dat die zou komen.

'politie-interne borgingssystemen' , my ass.
08-12-2023, 16:32 door Anoniem
Als deze verruiming er is, dan kan de Client Side Scanning vervallen lijkt mij.

Alleen vrees ik dat rupsje nooit genoeg ook nog de CSS willen om over een zo groot mogelijk spectrum van spionagepools te beschikken
08-12-2023, 16:34 door Anoniem
Door Anoniem: Ach ja, de verruiming waarvan je wist dat die zou komen.

'politie-interne borgingssystemen' , my ass.

Ja, het wordt Wild West. Laten ze meteen maar naar de speelgoedwinkel gaan om een paar sheriff-sterren aan te schaffen zodat ze die naast andere onderscheidingstekens op hun uniformen kunnen plakken.

Politie-interne borgingssystemen = zoekgeraakte bonnetjes, gewiste berichtjes en het ontbreken van 'actieve herinneringen'. Wat zou Pieter Omtzigt hiervan vinden? Hij zou met zijn ervaringen moeten snappen hoe het werkt.

Gegevens die de politie met behulp van de hackbevoegdheid verzamelt moeten betrouwbaar, herleidbaar en integer zijn. Een belangrijke waarborg om hiervoor te zorgen is een keuring van de gebruikte hacksoftware. Volgens het WODC blijkt dat het de politie de afgelopen jaren nauwelijks is gelukt om bij de inzet van de hackbevoegdheid een vooraf goedgekeurd technisch hulpmiddel in te zetten. Dat komt voornamelijk omdat de politie gebruikmaakt van één commerciële hacktool, waarvan de leverancier zich tegen een keuring verzet.

Opsporingsdiensten ervaren dit als een grote belemmering in de uitvoering van de hackbevoegdheid. Daarom is er besloten om het uitgangspunt dat alleen goedgekeurde hacksoftware wordt ingezet te wijzigen.

Dus de leverancier zegt: 'Jullie mogen niet weten wat ik jullie eigenlijk verkoop.'
De koper reageert: 'Nou dan wil ik ook niet meer weten wat ik van jou of van anderen koop.'

Iedereen tevreden behalve onschuldige burgers die zonder te weten gehackt worden en dan vijf of tien jaar later merken dat ze enorme problemen krijgen.

Als het er dan heel veel worden en het niet meer in de doofpot kan worden gestopt, komt er een Omtzigt2 of Omtzigt3 die het gaat onderzoeken en aankaarten. En dan zegt de politie in 2035 of 2040 met een vroom gezicht. 'Dit had nooit mogen gebeuren. Dit is nooit de bedoeling geweest. Met de kennis van nu...'
08-12-2023, 17:04 door Anoniem
Aan de ene kant commerciele datalekken en metadataverzamelingen, aan de andere kant de overheid, geheime diensten en politie die pushed voor meer spionage en middelen.
In het midden de burger. )-:
Wordt met de dag beter.
08-12-2023, 17:04 door Anoniem
Ik snap niet waarom, de Politie verteld me altijd dat ze het te druk om uberhaput nog te handhaven, dan lijkt het me dat ze het ook te druk hebben om te spioneren?

Ik erger me al jaren aan de dubbele moraal bij de uitvoering van de handhaving: Veehouders mogen alles regels overtreden die er zijn maar een klimaatactivist die op een weg gaat zittten krijgt een knuppel in zijn nek, illegaal de weg filmen of parkeeroverlast wordt ook allemaal maar gedoogd omdat anders de aso's gaan snowflaken ;)

Met de opkomst van het "rules for thee but not for me" partijen zoals de PVV/VVD/CDA/SGP/NSC in het achterhoofd vrees ik dat de uitbreiding van de Politie "opsporing" wel eens steeds meer nadelen van krijgen voor burger die geen deel uitmaken van deze ideologische stroming, lekker naar de stasi van Geertje, juffrouw Jannie en Dilan.
08-12-2023, 17:39 door Anoniem
Moment dat enig iemand zonder mijn toestemming succesvol connectie legt met mijn hardware en data beschouw ik ze als geldig doelwit voor tegen actie.

Ik heb nog een mooie reeks malware in de digitale la liggen door de jaren heen opgebouwd voor beveiliging training sample analyse die dormant is zolang niemand mijn data naar een onbekend IP versleept. Komt het erbuiten dan zijn de gevolgen voor de andere. Kunnen ze een keer echt zeggen dat ze data echt kwijt zijn.

Als de politie net zo erg wordt als de criminelen dan verdienen ze dezelfde behandeling
08-12-2023, 21:35 door Rubbertje
De politie kan commerciële hacksoftware bedoeld voor het binnendringen van systemen...

Hoe? Via een e-mail met een link? Denken zij dat die criminelen gek zijn? Die passen dezelfde tactiek toe! Hahahaha
08-12-2023, 22:32 door Anoniem
Wat is beter dan een kluis? Een verborgen kluis.

Meestal ben je een makkelijk doelwit als jou telefoon nummer, email-adres, mac-adres etc bekend zijn bij de tegenpartij.
Op allerlei manieren kan er pegasus zomaar op je telefoon komen te zitten gluren. exploits installeren ze bijv d.m.v. telefoon oproepen, smsjes of whatsappjes

- Verwijder WhatsApp (in het verleden is WhatsApp gebruikt om exploits op afstand te installeren, nu wss nog)
- Gooi je iPhone per direct uit het raam
- Vanaf android 12 kan je je camera of microfoon toegang aan/uit zetten, zet deze uit wanneer je ze niet nodig hebt

beste wat je goedkoop en simpel kan doen om het Big Brother een tandje moeilijker te maken bij jou als onschuldige belastingbetalende burger zomaar te gluren is een Google Pixel toestel aanschaffen en GrapheneOS erop tyfen. Natuurlijk is social engineering het eerste en meest effectieve aanvals factor dus bescherm jezelf op elk vlak.
09-12-2023, 08:06 door Anoniem
Ook ier blijkt weer: de overheid is niet te vertrouwen.
Sterker nog: de overheid IS de vijand. Elke keer weer.
09-12-2023, 10:31 door karma4
De wetgever faalt met niet realistische aannames en dan gaan klagen dat de wet niet gehandhaafd kan worden.
Het blijft verwonderlijk.
09-12-2023, 13:54 door Anoniem
Door Rubbertje:
De politie kan commerciële hacksoftware bedoeld voor het binnendringen van systemen...

Hoe? Via een e-mail met een link? Denken zij dat die criminelen gek zijn? Die passen dezelfde tactiek toe! Hahahaha
primair telefoons met bv pegasus... een sms in een bepaald formaat, bericht in een of ander applicatie, push notificatie, wifi access, stinger, bluetooth, etc.
10-12-2023, 23:32 door Anoniem
Als de grote door het WEF voorspelde Internet outing cyberaanval er komt, zal ook hier in deze kringen wel even achter de oren gekrabd worden.

Met wie verbind je je? Voor wie treedt je op en tegen wie?

Een ieder zal bij zichzelf te rade moeten gaan.
Hoor ik bij de opbouw of de afbraak?
11-12-2023, 08:02 door Bitje-scheef
Door karma4: De wetgever faalt met niet realistische aannames en dan gaan klagen dat de wet niet gehandhaafd kan worden.
Het blijft verwonderlijk.

Het wordt steeds meer met minder. Minder budget of personeel maar wel meer taken. Handhaving is geen tijd meer voor.
11-12-2023, 10:32 door Anoniem
Door Anoniem: Ach ja, de verruiming waarvan je wist dat die zou komen.

'politie-interne borgingssystemen' , my ass.

Kijk naarder aantal keren ingezet.
Daaruit blijkt dat het toch echt wel meevalt.
En dat we hier geen China ofcRisland,Iran,Noord-Korea zijn.
We moeten wel alles in perspectief blijven zien.
Loos geschreeuw hebben we niets aan.
11-12-2023, 20:20 door Anoniem
Hacken is naar mijn mening in strijd met de grondwet
en een schending van onze privacy.

De meeste informatie die de meeste mensen hebben, hebben
ze ook nog van het internet gedownload.

Mensen die willen dat hun geheimen niet gestolen worden,
sluiten hun computers gewoon niet aan het internet.

Deze "hackbevoegdheid" is naar mijn mening meer een
dekmantel om onze cryptocurrency te stelen, om
te kijken met wie wij contact hebben, en om ons
te stalken.

Naar mijn mening kan een criminele zaak zoals het
altijd het geval was zonder "hackbevoegdheid"
opgelost worden. Via ISP logs misschien,....

De golden rule, de politie wenst niet gehackt te
worden, dus de politie moet ook geen burgers beginnen
te hacken....
11-12-2023, 20:38 door Anoniem
Als het om computer criminaliteit gaat kunnen
IT specialisten altijd de logs van ISP raadplegen
en computer forensics laten doen zonder "hackbevoegdheid".

Deze mensen kunnen niet met computer criminaliteit
omgaan en ze zijn de domste dingen aan het verzinnen,
om hun meer macht te geven, terwijl er certificaten
zijn die ons leren hoe wij met computer criminaliteit
horen om te gaan, zonder zelf een computer crimineel
te worden door te hacken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.