De boefjes van EenVandaag

Volgens EenVandaag is  er paniek in de onderwereld: het Nederlands Forensisch Instituut blijkt in staat te zijn om versleutelde berichten van dure ‘PGP-telefoons’ te halen. De toestellen zouden vooral in het criminele circuit gebruikt worden.

Als het verhaal van EenVandaag zou kloppen en PGP-versleutelde berichten in het wild te kraken zouden zijn dan is de impact enorm. We zijn van dit soort technieken zeer afhankelijk.

Behalve criminelen hebben ook bedrijven, banken, overheden, journalisten, activisten, ondernemingsraden, ambassades, techneuten en risicobewuste burgers deze software in gebruik. Zelf gebruik ik het voor mails met klanten, mijn vrouw en vrienden. Kortom: De techniek is breed in gebruik.

Specifieke aanval

Wat EenVandaag beschrijft is een aanval die in januari van dit jaar bekend werd. Het Nederlands Forensisch Instituut gebruikt een applicatie van Cellebrite, een maker van forensische software. Om berichten te kunnen lezen, moeten de onderzoekers beschikken over het apparaat met daarop ook de geheime sleutels om de berichten te lezen.

De aanval op de berichten is dan ook heel specifiek. Pas als de overheid het toestel in handen heeft, kunnen berichten worden ontcijferd. Welk apparaat je ook hebt, zodra het in kundige, onbedoelde handen valt dan worden de berichten erop gekraakt. Het is niet hetzelfde als het kraken van de techniek. Je moet bij dit voorbeeld de telefoon al in handen hebben. Bij een inbeslagname moet daar wel juridische grond voor zijn.

Server kraken

In de uitzending wordt ook beweerd dat een server in beslag is genomen en de berichten op die server zijn gekraakt. Mocht dat waar blijken dan zou dat groot nieuws zijn. Op de server hebben berichten namelijk nooit in onversleutelde vorm gestaan en ook de sleutels zelf staan niet op de server. Zo’n aanvalt schoffelt de techniek onderuit.

Het punt is alleen dat  EenVandaag niet het begin van bewijs levert en het verhaal ook niet aannemelijk maakt. Er is geen forse steiging in de oplossingspercentages van criminaliteit. Uit documenten blijkt het niet. De passages uit het item zijn gewoon afkomstig van in beslag genomen telefoons.

PGP zal ooit wel te kraken zijn, maar dit is niet het verhaal dat dat bloot legt.

Journalistieke boefjes

Het is bangmakerij voor die ‘oh zo criminele’ versleuteling. De ‘paniek in de onderwereld’ maakt dat beeld nog nét iets sterker. Dat die paniek er is, wordt niet aannemelijk gemaakt. Het klinkt natuurlijk stoer: het zijn vooral boefjes die PGP gebruiken.

De werkelijkheid is ingewikkelder. Zeker 15 redacteuren van de Telegraaf, 10 van de NOS en eentje van EenVandaag zijn te benaderen via hun publieke PGP-sleutel. Dat is handig voor mensen met vertrouwelijke informatie en volstrekt legitiem.

Erik de Jong: Hoe moet je omgaan met cryptolocker?

Wat moet er gebeuren als je organisatie geconfronteerd wordt met een datalek. Natuurlijk is het eerst achterhalen wat er gebeurd is en wat de acties zouden moeten zijn. Maar hoe moet het forensisch onderzoek plaatsvinden, hoe moet je een crisis team inrichten, welke expertise moet daarin vertegenwoordigd zijn. Erik de Jong van Fox-it legt aan Brenno de Winter uit welke stappen een organisatie moet nemen om te achterhalen of er een datalek is en hoe daar mee om te gaan. Stel je hebt last van een cryptolocker wat kun je dan doen? Moet je ingaan op de eisen van de aanvallers en geld betalen? Hoe werkt het proces dan, als je ingaat op de chantage eisen hoe gaat dat dan?

Eerder vertelde Erik de Jong al over datalekken. Welke stappen moet je nu zetten om later datalekken te kunnen opsporen en te achterhalen wat er precies gebeurd is?

Erik de Jong: Ik heb een datalek. Wat nu?

Sinds 1 januari 2016 geldt er een meldpunt datalekken voor alle organisaties in Nederland. Iedere organisatie moet datalekken melden aan de Autoriteit Persoonsgegevens. De vraag is hoe je erachter komt dat jouw organisatie een datalek heeft. Erik de Jong van FoxIT legt aan Brenno de Winter uit hoe je datalekken kunt opsporen en wat je moet vastleggen om bij misdaad eventuele daders te identificeren.

Als de macht geen kennis heeft

Kennis is macht, maar heeft de macht ook kennis? Met het wetsvoorstel van Ard van der Steur om de politie te laten hacken is veel mis. Neem het gebrek aan kennis bij mensen met veel macht.

Rechter

Als de hackbevoegdheid wordt ingezet dan gaan de rechter-commissaris en de Officier van Justitie daarover. In de toelichting bij de wet erkent de minister dat het bij hen ontbreekt aan kennis. Volgens de minister moet daarom worden afgegaan op de expertise van de politie.

In tegenstelling tot bijvoorbeeld een huiszoeking kijkt een rechter-commissaris niet mee tijdens het hacken. Dat zou ook weinig uithalen, want probeer maar een handeling te destilleren uit allerlei ingewikkelde plaatjes op het scherm of langs vliegende karakters. De rechtelijke macht heeft gewoon die kennis niet en krijgt die van Van der Steur ook niet.

Advocaten

Voor de advocaat is het nog lastiger. Hij moet afgaan op het verslag van de agent. Daar moet maar uit blijken of de juiste apparaten zijn gehacked, het bewijs klopt of er is gerommeld met het bewijs. Dat laatste lijkt misschien vergezocht, maar in 2013 bleken tapgesprekken in een drugszaak door de politie verzonnen. Een gesprek is terug te luisteren, maar bij een proces-verbaal van een hack ontbreekt het onderliggende bewijs.

In het wetsvoorstel staat of valt een zaak met die ene hackende expert met veel kennis en vooral veel macht. En de advocaat krijgt niet de toegang tot die informatie om onschuldige mensen straks uit de cel te kunnen houden.

Politiek

En de politiek? Die gaat straks stemmen over een wetsvoorstel, waarbij de toelichting op de wet beschrijft dat ze veel informatie (en dus kennis) niet hebben. Bijvoorbeeld: Hoe stellen we vast of de gebruikte hulpmiddelen correct functioneren? Hoe waarborgen we het updaten van hacking tools en de correcte werking na een update? Hoe voorkomen we dat er fouten worden gemaakt? Hoe  regelen we toezicht tijdens het hacken?

Al deze vragen moeten in een later stadium na het aannemen van de wet nog eens beantwoord worden. De kamer ontbeert dus zeer belangrijke kennis en op ict-gebied concluderen ze zelf ook al kennis te ontberen:

“De Kamer maakt haar controlerende taak niet waar door een gebrek aan interesse voor ICT en een gebrek aan deskundigheid op ICT-gebied.”

Tja kennis is macht, maar bij de hackbevoegdheid ontbreekt het aan kennis bij hele machtige mensen…

Wetgeving en wijsheid bij digitale criminaliteit

Nederland is hard op weg om wetgeving voor digitale criminaliteit aan te nemen. Het heeft er alle schijn van dat die nieuwe wetgeving weinig zal bijdragen aan het voorkomen van de nogal ernstige fouten die worden belicht in ‘Making a Murderer’.

De urenlange documentaireserie ‘Making a Murderer’ laat op pijnlijk wijze zien hoe twee Amerikanen in dezelfde moordzaak worden veroordeeld. Beide veroordeelden hebben onderling verschillende verhaallijnen. Vooral de manier waarop bewijs is verzameld, kun je niet anders typeren dan ‘twijfelachtig’.

Een van de meest opmerkelijke aspecten van de zaak is de autosleutel van het slachtoffer. Die lag op de grond in de woontrailer van Steven Avery, de hoofdverdachte. Op een foto is duidelijk te zien dat het bewijsmiddel voor het oprapen ligt. Het DNA van de verdachte zat zelfs nog op de sleutel. Het begin van een sterke zaak, zou je denken.

Wat de zaak aanmerkelijk compliceert, is dat de trailer gedurende meerdere dagen diverse keren is doorzocht zonder dat de sleutel werd aangetroffen. Als de sleutel uiteindelijk wordt aangetroffen, ligt hij duidelijk zichtbaar op de grond. Het DNA-spoor is dan wonderbaarlijk genoeg het enige dat op de sleutel zit. Verder is het object brandschoon. Er zitten zelfs geen vingerafdrukken van het slachtoffer op. Erg onwaarschijnlijk, wat de vraag rechtvaardigt: is die sleutel er later neergelegd?

Het manipuleren van bewijs komt vaker voor. Ook in Nederland zijn bijvoorbeeld tapverslagen onjuist uitgewerkt, waardoor er iets anders stond dan de verdachte heeft gezegd. In 2013 bleek dat in een drugszaak zelfs tapverslagen door de politie zijn verzonnen. Natuurlijk maakt dat een verdachte nog niet onschuldig. Maar soms vergeet ook een agent dat het uitgangspunt de onschuld van mensen is.

In de digitale wereld worden die risico’s groter. Recent stuurde Minister Van der Steur het wetsvoorstel Computercriminaliteit III naar de Tweede Kamer. Dat moet de politie de bevoegdheid geven in grotere zaken in te breken op computers, spionagesoftware te plaatsen of informatie ontoegankelijk te maken. Ofwel: ze mogen computers manipuleren op afstand.

In Duitsland draaide die bevoegdheid uit op een puinhoop. Hackers kregen de software in handen en analyseerden die. Ook de software bleek een puinhoop: het was kwetsbaar voor misbruik, verdachten konden de politie hacken en onbevoegden konden bij verdachten inbreken en bewijs planten zonder sporen achter te laten.

Welke software in Nederland gebruikt gaat worden, is geheim. Hoe we toetsen of dit goed gebruikt wordt, of de software correct werkt (en na een update blijft werken) en hoe misbruik wordt voorkomen, is allemaal onbekend. Ik wens de wetsmakers in Den Haag nadrukkelijk veel wijsheid toe, maar geef direct toe: helemaal gerust ben ik er niet op.

Digitaal gewapend beton

Vanaf 1 januari 2016 gaat de nieuwe Wet bescherming persoonsgegevens, WBP, in. Dat betekent dat organisaties moeten weten welke data ze in huis hebben en welke onderdelen persoonsgegevens zijn. Wie dat niet doet, zal vrijwel zeker problemen krijgen.

De nieuwe WBP is niet zozeer een dreiging vanwege de mogelijke boetes en onderzoeken die organisaties riskeren, maar zijn gevaarlijk vanwege de onvolwassenheid van de ict-industrie. Zo vinden we het helemaal niet vanzelfsprekend om vooraf na te denken wat voor gegevens we verwerken en wat voor de bescherming daarvan aan maatregelen nodig is.

Datalekkenregen

Anno 2016 is het niet meer vol te houden dat mensen niet zouden weten dat gegevens kunnen worden gehackt, verloren of onrechtmatig worden verwerkt. De incidenten vinden massaal plaats. Volgens een schatting van het CBP, dat na 1 januari 2016 de Autoriteit Persoonsgegevens gaat heten, zijn er jaarlijks 62.000 datalekken waarbij persoonsgegevens zijn betrokken. Niet ieder incident zal direct leiden tot identiteitsfraude of ernstige gevolgen, maar vaak loert dat gevaar wel. En dan moet u melden.

Sinds ‘Lektober’ was al duidelijk dat dit een probleem was, maar eigenlijk is de situatie nog onvoldoende verbeterd. Persoonsgegevens lopen op veel manieren risico. Dat gebeurt niet alleen via hacks, maar ook gegevens die op een USB-stick staan kunnen door verlies, diefstal of het stallen bij leveranciers, in verkeerde handen terechtkomen.

Dankzij de uitspraak van het Europese Hof van Justitie in de zaak die ‘Safe Harbor’ onderuit haalde, is duidelijk dat iedereen die persoonsgegevens verwerkt, moet waken tegen elke vorm van misbruik. De verantwoordelijkheid ligt dus in eerste instantie bij degene die de informatie laat verwerken. Deze persoon moet daardoor ook goed kijken met wie hij of zij zaken doet.

Aardbevingen

De problematiek laat zich tot op zekere hoogte vergelijken met beschermingsmaatregelen tegen aardbevingen. Om instortingsgevaar te verkleinen, gebruiken we in de bouw gewapend beton. Dat regel je voor de bouw al, omdat het metaal achteraf niet meer is toe te voegen. Wie dan nog het risico wil beperken, moet dure capriolen uithalen om een woning alsnog ietwat te beschermen tegen aardbevingen.

Digitaal is het niet veel anders. Wie vanaf het eerste moment bezig is met het bouwen van privacyvriendelijke en beveiligde oplossingen, kan het digitaal gewapend beton inbouwen in de systemen. Wie dat achteraf moet doen, loopt niet alleen tegen duurdere ontwikkelkosten aan, maar moet ook mensen anders opleiden, afspraken met leveranciers opnieuw maken en daardoor meer kosten maken.

Met de lange levensduur van systemen zal het een hele tour worden om op een volwassen manier de rechten van mensen te beschermen. De wetgever heeft een grote stap gezet om de industrie te dwingen betere systemen te bouwen. Nu is het aan ons om die handschoen op te pakken. Verzet u niet langer tegen gewapend beton!

Deze column verscheen eerder bij ICT Magazine.

De duivel uitdrijven met Beëlzebub

Het klinkt simpel: als hackers inbreken in computers, dan moeten we de politie ook de mogelijkheid tot hacken bieden. Het lijkt een nuttig middel om hackers te stoppen. Alleen worden wij er onveiliger van. Het is de duivel uitdrijven met Beëlzebub.

In het wetsvoorstel, dat nu bij de Tweede Kamer ligt, krijgt de politie de bevoegdheid om ook te mogen hacken in computers, mobieltjes en andere apparaten die met internet verbonden zijn. Eufemistisch noemt Minister Van der Steur het “heimelijk en op afstand (‘on line’) onderzoek doen in computers”.

Inbrekerstuig

Hacken is niet de digitale variant van inbreken in een huis. Om binnen te komen in een computersysteem (of mobiel) zijn zwakheden nodig. Zodra die lekken zijn verholpen werkt de aanval niet meer. Je kunt digitaal niet een deur intrappen of een ruit open maken en die achteraf vervangen.

Wil de politie binnenkomen dan zijn zogenaamde 0day-lekken nodig ofwel lekken die nog niet publiekelijk bekend zijn. Bedrijven als Hacking Team leveren dit soort digitaal inbrekerstuig aan overheden.

Lekken niet dichten

De lekken worden aangeboden in een schimmige wereld. Bij het kopen van 0day-lekken van hackers beloven ze naast tienduizenden euro’s te betalen de zwakheden niet bij de leverancier te melden, zodat de aanval blijft werken.

Zoals beschreven in deze e-mail met afspraken met een Russische hacker:

“You promise to not report this 0day to vendor or disclosure it before the patch. obviously it is not our interest!”

Duistere zaken

Om te kunnen inbreken op enkele computers van verdachten blijven honderden miljoenen computers lek. Want zodra de zwakheid is gemeld bij de softwarebouwer kan die het probleem dichten. Als dat is gedaan dan is deze route om binnen te komen afgelopen.

Het kopen van dit soort 0day-lekken is een duistere business, waarin veel geld omgaat. Sommige experts zijn zeer actief in het vinden van deze lekken voor de handel. Niets staat ze in de weg om naast het verkopen van de lekken aan Hacking Team ze ook aan criminelen te verkopen.

Schimmige zaken

Ondertussen blijkt onze politie serieus geïnteresseerd te zijn om met Hacking Team zaken te doen. Een pijnlijke bijkomstigheid daarbij is dat deze beoogd leverancier hun tools ook leveren aan twijfelachtige regeringen van landen als Azerbeidzjan, Kazachstan, Uzbekistan, Rusland, Bahrein, Saudi Arabië, de Verenigd Arabische Emiraten, Nigeria en Ethiopië.

In deze landen nemen de overheden het niet altijd even nauw met de mensenrechten. Het digitaal inbrekerstuig wordt regelmatig gebruikt om in te breken op computers van journalisten. Dat brengt zowel hen als hun bronnen in gevaar. Ook bijvoorbeeld tegenstanders van dergelijke regimes worden door dit soort hackertools aangevallen.

Duivel uitdrijven

Krijgt de minister zijn zin krijgt dan wordt het aanschaffen van digitaal inbrekerstuig legitiem We houden daarmee een industrie in stand met als gevolg het minder snel dichten van lekken met bijkomende onveiligheid.

De lekken zijn ondertussen voor iedereen beschikbaar: twijfelachtige regimes, de politie met goed bedoelde intenties, criminelen en organisaties die bedrijfsspionage willen plegen. Alleen daarom is de voorgestelde hackbevoegdheid een klassiek voorbeeld van de Duivel uitdrijven met Beëlzebub.