' fill='%23cc3344'%3E%3C/rect%3E%3Cdefs id='SvgjsDefs1020'%3E%3C/defs%3E%3Cg id='SvgjsG1021' transform='matrix(0.76,0,0,0.76,34.56007507324219,34.46596069335938)'%3E%3Csvg xmlns='http://www.w3.org/2000/svg' xmlns:svgjs='http://svgjs.com/svgjs' xmlns:xlink='http://www.w3.org/1999/xlink' width='288' height='288'%3E%3Csvg xmlns='http://www.w3.org/2000/svg' width='288' height='288' viewBox='0 0 130 147'%3E%3Cpath fill='%23ffffff' fill-rule='evenodd' d='M 83.4 144.4 L 23.4 144.4 Q 10.8 144.4 3.2 146.6 Q 0 141.2 0 140.8 L 89 15 L 49.4 15 Q 33 15 27.8 20 Q 24.013 23.246 21.202 36.898 A 142.712 142.712 0 0 0 20.6 40 L 10 40.4 Q 8.2 31.2 8.2 19.5 A 94.37 94.37 0 0 1 8.531 11.353 Q 9.091 4.905 10.6 0 Q 18.8 2.4 27.8 2.4 L 108.2 2.4 Q 117.4 2.4 125.8 0 Q 128.4 5 128.4 6 A 5611.954 5611.954 0 0 0 91.109 58.073 Q 74.218 81.962 59.427 103.501 A 3201.989 3201.989 0 0 0 49.8 117.6 A 588.119 588.119 0 0 0 47.447 121.226 Q 42.775 128.488 41.8 130.6 L 100.6 130.6 Q 108.2 130.6 111.9 124.5 A 24.133 24.133 0 0 0 113.831 120.381 Q 116.106 114.238 117.4 103.6 L 128.8 102.2 A 230.301 230.301 0 0 1 129.958 120.847 A 205.854 205.854 0 0 1 130 125 A 105.533 105.533 0 0 1 129.367 136.805 A 83.52 83.52 0 0 1 128 145.2 Q 108 144.4 83.4 144.4 Z' class='color100000 svgShape color00b0f0' vector-effect='non-scaling-stroke'%3E%3C/path%3E%3C/svg%3E%3C/svg%3E%3C/g%3E%3C/svg%3E "zaplog")
<< error >> (our Markdown requires webpage links, not image links, see manual)
Opstelten wil dat de politie in jouw computer mag kijken
Op 15 oktober werd bekend dat minister Opstelten politie en justitie een terughackbevoegdheid wil geven. Hoewel het doel – de bestrijding van cybercrime – belangrijk is, is het maar de vraag of dat een goed idee is. Zo een terughackmogelijkheid brengt namelijk serieuze risico’s voor de veiligheid van Nederlandse internetters – en daarmee voor cybersecurity – met zich.
Terughacken in drie smaken: inbreken, bespieden en vernietigen
Minister Opstelten stelt in een brief aan het parlement (Pastebin, maar waarschijnlijk authentiek) drie nieuwe bevoegdheden voor:
- Het inbreken op computers (en dus ook mobiele telefoons) via het internet en het installeren van spyware, waarmee de computer door de politie kan worden overgenomen.
- Het inbreken op computers via het internet en die computers vervolgens doorzoeken, ook in het buitenland.
-
Het inbreken op computers en de gegevens daarop vernietigen, ook in het buitenland.
Ook zou het strafbaar worden om (digitale) gegevens te helen.
Deze bevoegdheden zouden nodig zijn om cybercrime te bestrijden. Uit de brief blijkt ook dat de politie het afgelopen jaar al heeft ingebroken in computers, die computers heeft doorzocht en zelfs gegevens heeft vernietigd op servers in het buitenland – maar het is de vraag of ze daar een wettelijke bevoegdheid voor had, zo blijkt nu.
Hoewel het doel van deze bevoegdheden belangrijk is, heiligt het doel niet alle middelen. Wij noemen een paar belangrijke risico’s:
Terughacken maakt systemen kwetsbaar
Als de politie bij computers moet kunnen inbreken, heeft ze er belang bij dat die systemen kwetsbaar blijven. Van die kwetsbaarheid profiteert echter niet alleen de politie. Ook cybercriminelen en buitenlandse mogendheden zullen makkelijker op Nederlandse computers kunnen inbreken. Vergelijk het met de inbraakbeveiliging van een woning: wanneer de politie aanbiedt aan om woningen beter te beveiligen tegen inbraak, wordt het ook voor haarzelf moeilijker om bij een onderzoek in die woningen in te breken.
Spyware is moeilijk binnen de perken te houden
In Duitsland hebben ze al ervaring met spyware. En geen goede ervaring. Uit onderzoek van de Chaos Computer Club bleek dat stiekem door de politie geïnstalleerde afluistersoftware makkelijk te hacken was – via het internet. Zodat niet alleen de politie een computer kon overnemen met behulp van spyware, maar dat ook criminelen diezelfde computer konden overnemen omdat de spyware zélf gehackt was.
Hacken in het buitenland kan zich tegen ons keren
Opstelten stelt ook voor om servers in het buitenland te kunnen hacken, zonder rechtshulpverzoek als de locatie van een server niet achterhaald kan worden. Dat klinkt wellicht aantrekkelijk, totdat je je realiseert dat andere landen – denk: China – hetzelfde zouden kunnen doen bij computers die in Nederland staan. Dit kan in het minst erge geval lopende Nederlandse opsporingsonderzoeken blokkeren. Maar in het ergste geval kunnen hierdoor ook computers van volstrekt onschuldige Nederlanders het slachtoffer worden van hackpogingen van buitenlandse overheden.
Zeker als niet alleen inbreken, maar ook vernietigen mogelijk wordt
Die bevoegdheid om in buitenlandse computers in te breken blijft niet beperkt tot het doorzoeken van die computers: het zou ook mogelijk worden om de hele computer te vernietigen. Het is duidelijk dat als China op willekeurige Nederlandse computers zou inbreken en gegevens zou vernietigen, dat op zijn minst tot een diplomatieke rel zou leiden, zo niet erger.
Privé-gegevens van onschuldige Nederlanders in het vizier van de opsporing
Bij het aftappen van telefoongesprekken wordt niet alleen de verdachte maar ook degene aan de andere kant van de lijn afgeluisterd. Datzelfde geldt natuurlijk ook bij het doorzoeken van computers, maar dan tien keer zo erg: alle mailtjes, alle foto’s en alle berichten die een verdachte met onschuldige Nederlanders heeft uitgewisseld komen in het vizier van de opsporing. Dat is een serieus privacyprobleem.
Bovendien: misbruik ligt op de loer
Dan hebben we het nog niet eens over het probleem dat deze bevoegdheden erg makkelijk misbruikt kunnen worden. Juist doordat deze opsporingshandelingen digitaal zijn is het moeilijk na te gaan of bewijs is gefabriceerd of juist is achtergehouden. Een hieraan gerelateerd voorbeeld: Duitsland is gebleken dat de spyware die bedoeld was om alleen Skype gesprekken af te luisteren, in de praktijk ook ingezet kon worden voor het op afstand aanzetten van de camera. In Duitsland trokken onderzoekers dan ook de conclusie dat deze software niet geschikt was voor bewijsvergaring.
Onderzoek naar risico’s voor cybersecurity is noodzakelijk
Kortom: terughackbevoegdheden zijn een serieus risico voor cybersecurity. Daarbij komt dat veel incidenten met simpele maatregelen, zoals regelmatig updaten van je computer, al voorkomen of beperkt kunnen worden. Het is daarom noodzakelijk dat onderzoek wordt gedaan naar de risico’s die aan deze bevoegdheden zijn verbonden voordat dit soort verstrekkende maatregelen überhaupt worden overwogen.
Zelf ben ik jarenlang werkzaam geweest op de IT afdeling van een grote gemeente voor zowel eerste als tweedelijns support, dus ben zeer bekend met de IT infrastructuur.
Als je als crimineel data wilt afschermen van buitenaf dan is dat kinderlijk eenvoudig als enigszins thuis bent in de IT.
Er zijn tal van manieren om het de politie wel heel erg moeilijk te maken. Waardoor het een onuitvoerbare opdracht wordt, om zware criminelen op de manier aan te pakken.
Nee, dit voorstel is puur om de vrijheid van de gewone burger nog meer in te perken.
http://www.computable.nl/artikel/nieuws/overheid/4007630/1277202/politieict-blijkt-n-groot-tranendal.html
"Volgens de NOS is een Kamermeerderheid wel te porren voor de voorstellen van Opstelten. VVD-Kamerlid Hennis-Plasschaert zou 'enthousiast' zijn over de mogelijkheid dat opsporingsdiensten mogen terughacken, terwijl PvdA-Kamerlid Recourt stelt dat politie en justitie een achterstand hebben in zowel kennis als opsporingsmogelijkheden. Wel roept hij op tot terughoudendheid bij het hacken van cloudsystemen en servers in het buitenland. De SP is terughoudend en stelt dat de voorstellen vergaand zijn en dat de privacy onvoldoende is gewaarborgd."
Ze deinzen dus publiekelijk niet terug voor criminele activiteiten als inbraak en schending van briefgeheim. Zijn dit digi-debielen of echt volslagen Stasi-terroristen aan het woord.
domme en kwaadaardige