De boefjes van EenVandaag

Volgens EenVandaag is  er paniek in de onderwereld: het Nederlands Forensisch Instituut blijkt in staat te zijn om versleutelde berichten van dure ‘PGP-telefoons’ te halen. De toestellen zouden vooral in het criminele circuit gebruikt worden.

Als het verhaal van EenVandaag zou kloppen en PGP-versleutelde berichten in het wild te kraken zouden zijn dan is de impact enorm. We zijn van dit soort technieken zeer afhankelijk.

Behalve criminelen hebben ook bedrijven, banken, overheden, journalisten, activisten, ondernemingsraden, ambassades, techneuten en risicobewuste burgers deze software in gebruik. Zelf gebruik ik het voor mails met klanten, mijn vrouw en vrienden. Kortom: De techniek is breed in gebruik.

Specifieke aanval

Wat EenVandaag beschrijft is een aanval die in januari van dit jaar bekend werd. Het Nederlands Forensisch Instituut gebruikt een applicatie van Cellebrite, een maker van forensische software. Om berichten te kunnen lezen, moeten de onderzoekers beschikken over het apparaat met daarop ook de geheime sleutels om de berichten te lezen.

De aanval op de berichten is dan ook heel specifiek. Pas als de overheid het toestel in handen heeft, kunnen berichten worden ontcijferd. Welk apparaat je ook hebt, zodra het in kundige, onbedoelde handen valt dan worden de berichten erop gekraakt. Het is niet hetzelfde als het kraken van de techniek. Je moet bij dit voorbeeld de telefoon al in handen hebben. Bij een inbeslagname moet daar wel juridische grond voor zijn.

Server kraken

In de uitzending wordt ook beweerd dat een server in beslag is genomen en de berichten op die server zijn gekraakt. Mocht dat waar blijken dan zou dat groot nieuws zijn. Op de server hebben berichten namelijk nooit in onversleutelde vorm gestaan en ook de sleutels zelf staan niet op de server. Zo’n aanvalt schoffelt de techniek onderuit.

Het punt is alleen dat  EenVandaag niet het begin van bewijs levert en het verhaal ook niet aannemelijk maakt. Er is geen forse steiging in de oplossingspercentages van criminaliteit. Uit documenten blijkt het niet. De passages uit het item zijn gewoon afkomstig van in beslag genomen telefoons.

PGP zal ooit wel te kraken zijn, maar dit is niet het verhaal dat dat bloot legt.

Journalistieke boefjes

Het is bangmakerij voor die ‘oh zo criminele’ versleuteling. De ‘paniek in de onderwereld’ maakt dat beeld nog nét iets sterker. Dat die paniek er is, wordt niet aannemelijk gemaakt. Het klinkt natuurlijk stoer: het zijn vooral boefjes die PGP gebruiken.

De werkelijkheid is ingewikkelder. Zeker 15 redacteuren van de Telegraaf, 10 van de NOS en eentje van EenVandaag zijn te benaderen via hun publieke PGP-sleutel. Dat is handig voor mensen met vertrouwelijke informatie en volstrekt legitiem.

De duivel uitdrijven met Beëlzebub

Het klinkt simpel: als hackers inbreken in computers, dan moeten we de politie ook de mogelijkheid tot hacken bieden. Het lijkt een nuttig middel om hackers te stoppen. Alleen worden wij er onveiliger van. Het is de duivel uitdrijven met Beëlzebub.

In het wetsvoorstel, dat nu bij de Tweede Kamer ligt, krijgt de politie de bevoegdheid om ook te mogen hacken in computers, mobieltjes en andere apparaten die met internet verbonden zijn. Eufemistisch noemt Minister Van der Steur het “heimelijk en op afstand (‘on line’) onderzoek doen in computers”.

Inbrekerstuig

Hacken is niet de digitale variant van inbreken in een huis. Om binnen te komen in een computersysteem (of mobiel) zijn zwakheden nodig. Zodra die lekken zijn verholpen werkt de aanval niet meer. Je kunt digitaal niet een deur intrappen of een ruit open maken en die achteraf vervangen.

Wil de politie binnenkomen dan zijn zogenaamde 0day-lekken nodig ofwel lekken die nog niet publiekelijk bekend zijn. Bedrijven als Hacking Team leveren dit soort digitaal inbrekerstuig aan overheden.

Lekken niet dichten

De lekken worden aangeboden in een schimmige wereld. Bij het kopen van 0day-lekken van hackers beloven ze naast tienduizenden euro’s te betalen de zwakheden niet bij de leverancier te melden, zodat de aanval blijft werken.

Zoals beschreven in deze e-mail met afspraken met een Russische hacker:

“You promise to not report this 0day to vendor or disclosure it before the patch. obviously it is not our interest!”

Duistere zaken

Om te kunnen inbreken op enkele computers van verdachten blijven honderden miljoenen computers lek. Want zodra de zwakheid is gemeld bij de softwarebouwer kan die het probleem dichten. Als dat is gedaan dan is deze route om binnen te komen afgelopen.

Het kopen van dit soort 0day-lekken is een duistere business, waarin veel geld omgaat. Sommige experts zijn zeer actief in het vinden van deze lekken voor de handel. Niets staat ze in de weg om naast het verkopen van de lekken aan Hacking Team ze ook aan criminelen te verkopen.

Schimmige zaken

Ondertussen blijkt onze politie serieus geïnteresseerd te zijn om met Hacking Team zaken te doen. Een pijnlijke bijkomstigheid daarbij is dat deze beoogd leverancier hun tools ook leveren aan twijfelachtige regeringen van landen als Azerbeidzjan, Kazachstan, Uzbekistan, Rusland, Bahrein, Saudi Arabië, de Verenigd Arabische Emiraten, Nigeria en Ethiopië.

In deze landen nemen de overheden het niet altijd even nauw met de mensenrechten. Het digitaal inbrekerstuig wordt regelmatig gebruikt om in te breken op computers van journalisten. Dat brengt zowel hen als hun bronnen in gevaar. Ook bijvoorbeeld tegenstanders van dergelijke regimes worden door dit soort hackertools aangevallen.

Duivel uitdrijven

Krijgt de minister zijn zin krijgt dan wordt het aanschaffen van digitaal inbrekerstuig legitiem We houden daarmee een industrie in stand met als gevolg het minder snel dichten van lekken met bijkomende onveiligheid.

De lekken zijn ondertussen voor iedereen beschikbaar: twijfelachtige regimes, de politie met goed bedoelde intenties, criminelen en organisaties die bedrijfsspionage willen plegen. Alleen daarom is de voorgestelde hackbevoegdheid een klassiek voorbeeld van de Duivel uitdrijven met Beëlzebub.