ioloverheid als hacker
Trojaans paard
Het plan van Justitie om op afstand in te
laten breken in computers lijkt vooral te
zijn geboren uit frustratie. Opsporings
diensten trekken in cyberspace veelal aan
het kortste eind.
woensdag 17 oktober 2012
Vrij spel in
cyberspace
door Annemieke van Dongen
en Niki van der Naald
illustratie Mark Reijntjens
jft W k heb liever dat een
I Nederlandse politie-
i I man in mijn computer
j I neust dan een Oekra-
i I iense internetcrimi-
JIL neel." Ronald Prins,
medeoprichter van cybersecurity-
bedrijf FoxlT en op dat vlak over-
heidsadviseur, ligt duidelijk niet
wakker van het voornemen van
het ministerie van Veiligheid en
Justitie om de bevoegdheden van
internetrechercheurs dusdanig op
te rekken, dat ze ook op afstand
mogen inbreken in computers. „Ik
weet uit eigen ervaring dat buiten
landse autoriteiten, bijvoorbeeld
Amerika, al lang op afstand inbre
ken, maar dan zonder het geregu
leerd te hebben. Als je kijkt naar
de voorwaarden die Opstelten
stelt aan dat hacken van compu
ters door de politie, ga ik ervan uit
dat het echt om hoge uitzonderin
gen gaat. Het moet een laatste red
middel zijn, vooral bedoeld voor
de aanpak van verspreiders van
kinderporno en criminelen die bij -
voorbeeld vanuit Oost-Duitsland
bankrekeningen in Nederland leeg
plunderen. Op dit moment staat
de politie erbij en kijkt ernaar. Ze
kan en mag niets", schetst hij.
Criminaliteit overschrijdt steeds
vaker landsgrenzen, maar dat geldt
volgens Prins des te meer voor cri
minaliteit via de digitale snelweg.
„Wat dat betreft zou je cyberspace
veel meer als internationale wate
ren moeten beschouwen. Het is
een wereld zonder duidelijke
landsgrenzen en dus moeten de
opsporingsdiensten - als alle ande
re opties bekeken zijn - daar ook
niet door worden beperkt."
Cybercriminelen weten anno 2012
feilloos een barrière aan te leggen
van bijna niet te traceren netwer
ken en computers.
De huidige wetgeving om internet-
misdaad aan te pakken volstaat
niet om bij ernstige zaken snel
door die barrière heen te breken,
aldus Prins. „We zagen het on
langs nog, toen het Dorifel-virus
de sites van overheden en instellin
gen plat legde. D.e bron van dat vi
rus leek uit Amerika te komen,
maar hackers achterhaalden dat
het gelinkt was aan een computer
in Oostenrijk die weer doorlinkte
naar een computer in de Oekraï
ne. De Nederlandse autoriteiten
kunnen dat in principe niet zelf
achterhalen, omdat ze niet be
voegd zijn om door die hele rij
computers heen te kijken en moe
ten wachten op antwoorden op
rechtshulpverzoeken in het buiten
land. Het lijkt me dat je dat als
overheid beter zelf kunt doen dan
dat je het aan hackers overlaat."
Prins' beveiligingsbedrijf was be
trokken bij het helpen inbreken in
de versleutelde kinderpornonet
werken die ontdekt werden in het
'Op dit moment staat de
politie erbij en kijkt ernaar.
Ze kan en mag niets\
grote strafrechtelijke onderzoek
naar de Amsterdamse zedenzaak
rond Robert M. Veel van de kin
derpornoafbeeldingen waren ge
plaatst op het zogenoemde
Tor-netwerk, een anoniem, onder
gronds world wide web dat eigen
lijk veelal gebruikt wordt door poli
tieke dissidenten in landen met in-
ternetcensuur.
Prins: „In dat soort zaken vind ik
het geoorloofd dat de politie in
zo'n computer en netwerk in
breekt."
Bert-Jaap Koops, hoogleraar regule
ring van technology bij het Cen
trum voor Recht, Technologie
en Samenleving van de Universi
teit van Tilburg, noemt het oprek
ken van de opsporingsbevoegdhe
den in dat licht ook 'logisch'.
„Voor politie en justitie is het mo
menteel erg lastig om cybercrimi
nelen aan te pakken. Door het ge
bruik van mobiele apparatuur zo
als smartphones en tabiets zijn in
ternetgebruikers voortdurend on
derweg en zijn hun computers
dus moeilijker traceerbaar."
De huidige internationale verdra
gen om cybercriminelen aan te
pakken zijn achterhaald. Kwaad
willenden gebruiken software om
-gegevens of hun communicatie te-
versleutelen en wissen daarmee
hun digitale sporen uit. „Dat ver
sleutelen wordt echt een pro
bleem. Soms is het goed om nog
voordatje een huiszoeking doet
bij een verdachte, heimelijk onder
zoek te verrichten en zijn gangen
na te gaan om meer informatie te
verzamelen. Met de nieuwe regel
geving kan dat makkelijker."
Tegelijkertijd vindt Koops dat er
ook haken en ogen zitten aan het
verruimen van de opsporingsbe
voegdheden. ,;Er wordt
een potentieel grote inbreuk op de
privacy gemaakt", zo vult hij de
kritiek aan die ook digitale burger
rechtenorganisatie Bits of
Freedom (BOF) gisteren uitte. Vol-
lgens BOF krijgt de politie met dit
plan „een belang om de digitale in
frastructuur kwetsbaar te houden,
zodat zij makkelijk kunnen inbre
ken. Als zij dat echter kunnen,
kunnen anderen dat ook."
Welke waarborgen voor privacy
Justitie geeft, is nog niet duidelijk.
Als het aan Koops ligt wordt de lat
hoog gelegd, misschien wel bij mis
drijven waar een gevangenisstraf
van zes jaar of meer op staat. „Er
wordt gesproken over misdrijven
waar een strafeis van vier jaar of
meer voor geldt, maar dat bete
kent in theorie dat je ook zo ver
met de opsporing kan gaan bij
'flutzaken', voor het zonder toe
stemming kopiëren van een be
stand uit de computer van
je overspelige partner bijvoor
beeld. Dat lijkt me niet de bedoe
ling."
FoxIT-oprichter Prins noemt het
'heel goed' dat een organisatie als
Bits of Freedom de vinger aan de
pols blijft houden. „Maar laten we
niet te bang zijn en denken dat de
politie zomaar ieders e-mail be
kijkt. Tappen gebeurt alleen als er
gerichte aanwijzingen zijn, zoals
dat bij ieder strafrechtelijk onder
zoek gebeurt. Dat staat los van het
doorbreken van versleutelde net
werken van criminelen die nu den
ken dat ze ongrijpbaar zijn."
Hoe breekt de politie in
op een computer van ie
mand die verdacht
wordt van cybercrimi-
naliteit?
Volgens Bert-Jaap Koops, hoogle
raar bij het Centrum voor Recht,
Technologie en Samenleving in Til
burg, wordt in veel gevallen een zo
genoemd Trojaans paard naar de
computer van een verdachte ge
stuurd.
„Dat is een programma waarmee
je van alles op de pc van zo'n ver
dachte kunt doen: de toetsaansla
gen volgen, elke minuut een
screenshot van zijn scherm maken
of zelfs de webcam aanzetten."
Het zijn wat betreft Koops verschil
lende mogelijkheden die je de ene
keer misschien wel moet gebrui
ken en de andere keer niet. „Het
lijkt mij dat je daar zeer zorgvuldig
mee moet omgaan en de politie
geen blanco cheque moet geven
om ongebreideld het hele compu
tergedrag te monitoren."
Misschien moet iemand van bui
tenaf wel toezicht houden op het
inbreken in computers door de au
toriteiten, zegt de hoogleraar. „Ik
vind het goed dat een rechter-com-
missaris eerst toestemming moet
verlenen om te hacken, maar die
rechter kijkt vooral naar de verden
king en de gronden om die opspo
ringsbevoegdheid in te zetten.
Hoe zo'n ingrijpend onderzoek
wordt uitgevoerd is iets waar ie
mand met voldoende technische
kennis wel onafhankelijk toezicht
op zou moeten houden."