Als de macht geen kennis heeft

Kennis is macht, maar heeft de macht ook kennis? Met het wetsvoorstel van Ard van der Steur om de politie te laten hacken is veel mis. Neem het gebrek aan kennis bij mensen met veel macht.

Rechter

Als de hackbevoegdheid wordt ingezet dan gaan de rechter-commissaris en de Officier van Justitie daarover. In de toelichting bij de wet erkent de minister dat het bij hen ontbreekt aan kennis. Volgens de minister moet daarom worden afgegaan op de expertise van de politie.

In tegenstelling tot bijvoorbeeld een huiszoeking kijkt een rechter-commissaris niet mee tijdens het hacken. Dat zou ook weinig uithalen, want probeer maar een handeling te destilleren uit allerlei ingewikkelde plaatjes op het scherm of langs vliegende karakters. De rechtelijke macht heeft gewoon die kennis niet en krijgt die van Van der Steur ook niet.

Advocaten

Voor de advocaat is het nog lastiger. Hij moet afgaan op het verslag van de agent. Daar moet maar uit blijken of de juiste apparaten zijn gehacked, het bewijs klopt of er is gerommeld met het bewijs. Dat laatste lijkt misschien vergezocht, maar in 2013 bleken tapgesprekken in een drugszaak door de politie verzonnen. Een gesprek is terug te luisteren, maar bij een proces-verbaal van een hack ontbreekt het onderliggende bewijs.

In het wetsvoorstel staat of valt een zaak met die ene hackende expert met veel kennis en vooral veel macht. En de advocaat krijgt niet de toegang tot die informatie om onschuldige mensen straks uit de cel te kunnen houden.

Politiek

En de politiek? Die gaat straks stemmen over een wetsvoorstel, waarbij de toelichting op de wet beschrijft dat ze veel informatie (en dus kennis) niet hebben. Bijvoorbeeld: Hoe stellen we vast of de gebruikte hulpmiddelen correct functioneren? Hoe waarborgen we het updaten van hacking tools en de correcte werking na een update? Hoe voorkomen we dat er fouten worden gemaakt? Hoe  regelen we toezicht tijdens het hacken?

Al deze vragen moeten in een later stadium na het aannemen van de wet nog eens beantwoord worden. De kamer ontbeert dus zeer belangrijke kennis en op ict-gebied concluderen ze zelf ook al kennis te ontberen:

“De Kamer maakt haar controlerende taak niet waar door een gebrek aan interesse voor ICT en een gebrek aan deskundigheid op ICT-gebied.”

Tja kennis is macht, maar bij de hackbevoegdheid ontbreekt het aan kennis bij hele machtige mensen…

De duivel uitdrijven met Beëlzebub

Het klinkt simpel: als hackers inbreken in computers, dan moeten we de politie ook de mogelijkheid tot hacken bieden. Het lijkt een nuttig middel om hackers te stoppen. Alleen worden wij er onveiliger van. Het is de duivel uitdrijven met Beëlzebub.

In het wetsvoorstel, dat nu bij de Tweede Kamer ligt, krijgt de politie de bevoegdheid om ook te mogen hacken in computers, mobieltjes en andere apparaten die met internet verbonden zijn. Eufemistisch noemt Minister Van der Steur het “heimelijk en op afstand (‘on line’) onderzoek doen in computers”.

Inbrekerstuig

Hacken is niet de digitale variant van inbreken in een huis. Om binnen te komen in een computersysteem (of mobiel) zijn zwakheden nodig. Zodra die lekken zijn verholpen werkt de aanval niet meer. Je kunt digitaal niet een deur intrappen of een ruit open maken en die achteraf vervangen.

Wil de politie binnenkomen dan zijn zogenaamde 0day-lekken nodig ofwel lekken die nog niet publiekelijk bekend zijn. Bedrijven als Hacking Team leveren dit soort digitaal inbrekerstuig aan overheden.

Lekken niet dichten

De lekken worden aangeboden in een schimmige wereld. Bij het kopen van 0day-lekken van hackers beloven ze naast tienduizenden euro’s te betalen de zwakheden niet bij de leverancier te melden, zodat de aanval blijft werken.

Zoals beschreven in deze e-mail met afspraken met een Russische hacker:

“You promise to not report this 0day to vendor or disclosure it before the patch. obviously it is not our interest!”

Duistere zaken

Om te kunnen inbreken op enkele computers van verdachten blijven honderden miljoenen computers lek. Want zodra de zwakheid is gemeld bij de softwarebouwer kan die het probleem dichten. Als dat is gedaan dan is deze route om binnen te komen afgelopen.

Het kopen van dit soort 0day-lekken is een duistere business, waarin veel geld omgaat. Sommige experts zijn zeer actief in het vinden van deze lekken voor de handel. Niets staat ze in de weg om naast het verkopen van de lekken aan Hacking Team ze ook aan criminelen te verkopen.

Schimmige zaken

Ondertussen blijkt onze politie serieus geïnteresseerd te zijn om met Hacking Team zaken te doen. Een pijnlijke bijkomstigheid daarbij is dat deze beoogd leverancier hun tools ook leveren aan twijfelachtige regeringen van landen als Azerbeidzjan, Kazachstan, Uzbekistan, Rusland, Bahrein, Saudi Arabië, de Verenigd Arabische Emiraten, Nigeria en Ethiopië.

In deze landen nemen de overheden het niet altijd even nauw met de mensenrechten. Het digitaal inbrekerstuig wordt regelmatig gebruikt om in te breken op computers van journalisten. Dat brengt zowel hen als hun bronnen in gevaar. Ook bijvoorbeeld tegenstanders van dergelijke regimes worden door dit soort hackertools aangevallen.

Duivel uitdrijven

Krijgt de minister zijn zin krijgt dan wordt het aanschaffen van digitaal inbrekerstuig legitiem We houden daarmee een industrie in stand met als gevolg het minder snel dichten van lekken met bijkomende onveiligheid.

De lekken zijn ondertussen voor iedereen beschikbaar: twijfelachtige regimes, de politie met goed bedoelde intenties, criminelen en organisaties die bedrijfsspionage willen plegen. Alleen daarom is de voorgestelde hackbevoegdheid een klassiek voorbeeld van de Duivel uitdrijven met Beëlzebub.