De boefjes van EenVandaag

Volgens EenVandaag is  er paniek in de onderwereld: het Nederlands Forensisch Instituut blijkt in staat te zijn om versleutelde berichten van dure ‘PGP-telefoons’ te halen. De toestellen zouden vooral in het criminele circuit gebruikt worden.

Als het verhaal van EenVandaag zou kloppen en PGP-versleutelde berichten in het wild te kraken zouden zijn dan is de impact enorm. We zijn van dit soort technieken zeer afhankelijk.

Behalve criminelen hebben ook bedrijven, banken, overheden, journalisten, activisten, ondernemingsraden, ambassades, techneuten en risicobewuste burgers deze software in gebruik. Zelf gebruik ik het voor mails met klanten, mijn vrouw en vrienden. Kortom: De techniek is breed in gebruik.

Specifieke aanval

Wat EenVandaag beschrijft is een aanval die in januari van dit jaar bekend werd. Het Nederlands Forensisch Instituut gebruikt een applicatie van Cellebrite, een maker van forensische software. Om berichten te kunnen lezen, moeten de onderzoekers beschikken over het apparaat met daarop ook de geheime sleutels om de berichten te lezen.

De aanval op de berichten is dan ook heel specifiek. Pas als de overheid het toestel in handen heeft, kunnen berichten worden ontcijferd. Welk apparaat je ook hebt, zodra het in kundige, onbedoelde handen valt dan worden de berichten erop gekraakt. Het is niet hetzelfde als het kraken van de techniek. Je moet bij dit voorbeeld de telefoon al in handen hebben. Bij een inbeslagname moet daar wel juridische grond voor zijn.

Server kraken

In de uitzending wordt ook beweerd dat een server in beslag is genomen en de berichten op die server zijn gekraakt. Mocht dat waar blijken dan zou dat groot nieuws zijn. Op de server hebben berichten namelijk nooit in onversleutelde vorm gestaan en ook de sleutels zelf staan niet op de server. Zo’n aanvalt schoffelt de techniek onderuit.

Het punt is alleen dat  EenVandaag niet het begin van bewijs levert en het verhaal ook niet aannemelijk maakt. Er is geen forse steiging in de oplossingspercentages van criminaliteit. Uit documenten blijkt het niet. De passages uit het item zijn gewoon afkomstig van in beslag genomen telefoons.

PGP zal ooit wel te kraken zijn, maar dit is niet het verhaal dat dat bloot legt.

Journalistieke boefjes

Het is bangmakerij voor die ‘oh zo criminele’ versleuteling. De ‘paniek in de onderwereld’ maakt dat beeld nog nét iets sterker. Dat die paniek er is, wordt niet aannemelijk gemaakt. Het klinkt natuurlijk stoer: het zijn vooral boefjes die PGP gebruiken.

De werkelijkheid is ingewikkelder. Zeker 15 redacteuren van de Telegraaf, 10 van de NOS en eentje van EenVandaag zijn te benaderen via hun publieke PGP-sleutel. Dat is handig voor mensen met vertrouwelijke informatie en volstrekt legitiem.

Als de macht geen kennis heeft

Kennis is macht, maar heeft de macht ook kennis? Met het wetsvoorstel van Ard van der Steur om de politie te laten hacken is veel mis. Neem het gebrek aan kennis bij mensen met veel macht.

Rechter

Als de hackbevoegdheid wordt ingezet dan gaan de rechter-commissaris en de Officier van Justitie daarover. In de toelichting bij de wet erkent de minister dat het bij hen ontbreekt aan kennis. Volgens de minister moet daarom worden afgegaan op de expertise van de politie.

In tegenstelling tot bijvoorbeeld een huiszoeking kijkt een rechter-commissaris niet mee tijdens het hacken. Dat zou ook weinig uithalen, want probeer maar een handeling te destilleren uit allerlei ingewikkelde plaatjes op het scherm of langs vliegende karakters. De rechtelijke macht heeft gewoon die kennis niet en krijgt die van Van der Steur ook niet.

Advocaten

Voor de advocaat is het nog lastiger. Hij moet afgaan op het verslag van de agent. Daar moet maar uit blijken of de juiste apparaten zijn gehacked, het bewijs klopt of er is gerommeld met het bewijs. Dat laatste lijkt misschien vergezocht, maar in 2013 bleken tapgesprekken in een drugszaak door de politie verzonnen. Een gesprek is terug te luisteren, maar bij een proces-verbaal van een hack ontbreekt het onderliggende bewijs.

In het wetsvoorstel staat of valt een zaak met die ene hackende expert met veel kennis en vooral veel macht. En de advocaat krijgt niet de toegang tot die informatie om onschuldige mensen straks uit de cel te kunnen houden.

Politiek

En de politiek? Die gaat straks stemmen over een wetsvoorstel, waarbij de toelichting op de wet beschrijft dat ze veel informatie (en dus kennis) niet hebben. Bijvoorbeeld: Hoe stellen we vast of de gebruikte hulpmiddelen correct functioneren? Hoe waarborgen we het updaten van hacking tools en de correcte werking na een update? Hoe voorkomen we dat er fouten worden gemaakt? Hoe  regelen we toezicht tijdens het hacken?

Al deze vragen moeten in een later stadium na het aannemen van de wet nog eens beantwoord worden. De kamer ontbeert dus zeer belangrijke kennis en op ict-gebied concluderen ze zelf ook al kennis te ontberen:

“De Kamer maakt haar controlerende taak niet waar door een gebrek aan interesse voor ICT en een gebrek aan deskundigheid op ICT-gebied.”

Tja kennis is macht, maar bij de hackbevoegdheid ontbreekt het aan kennis bij hele machtige mensen…

Wetgeving en wijsheid bij digitale criminaliteit

Nederland is hard op weg om wetgeving voor digitale criminaliteit aan te nemen. Het heeft er alle schijn van dat die nieuwe wetgeving weinig zal bijdragen aan het voorkomen van de nogal ernstige fouten die worden belicht in ‘Making a Murderer’.

De urenlange documentaireserie ‘Making a Murderer’ laat op pijnlijk wijze zien hoe twee Amerikanen in dezelfde moordzaak worden veroordeeld. Beide veroordeelden hebben onderling verschillende verhaallijnen. Vooral de manier waarop bewijs is verzameld, kun je niet anders typeren dan ‘twijfelachtig’.

Een van de meest opmerkelijke aspecten van de zaak is de autosleutel van het slachtoffer. Die lag op de grond in de woontrailer van Steven Avery, de hoofdverdachte. Op een foto is duidelijk te zien dat het bewijsmiddel voor het oprapen ligt. Het DNA van de verdachte zat zelfs nog op de sleutel. Het begin van een sterke zaak, zou je denken.

Wat de zaak aanmerkelijk compliceert, is dat de trailer gedurende meerdere dagen diverse keren is doorzocht zonder dat de sleutel werd aangetroffen. Als de sleutel uiteindelijk wordt aangetroffen, ligt hij duidelijk zichtbaar op de grond. Het DNA-spoor is dan wonderbaarlijk genoeg het enige dat op de sleutel zit. Verder is het object brandschoon. Er zitten zelfs geen vingerafdrukken van het slachtoffer op. Erg onwaarschijnlijk, wat de vraag rechtvaardigt: is die sleutel er later neergelegd?

Het manipuleren van bewijs komt vaker voor. Ook in Nederland zijn bijvoorbeeld tapverslagen onjuist uitgewerkt, waardoor er iets anders stond dan de verdachte heeft gezegd. In 2013 bleek dat in een drugszaak zelfs tapverslagen door de politie zijn verzonnen. Natuurlijk maakt dat een verdachte nog niet onschuldig. Maar soms vergeet ook een agent dat het uitgangspunt de onschuld van mensen is.

In de digitale wereld worden die risico’s groter. Recent stuurde Minister Van der Steur het wetsvoorstel Computercriminaliteit III naar de Tweede Kamer. Dat moet de politie de bevoegdheid geven in grotere zaken in te breken op computers, spionagesoftware te plaatsen of informatie ontoegankelijk te maken. Ofwel: ze mogen computers manipuleren op afstand.

In Duitsland draaide die bevoegdheid uit op een puinhoop. Hackers kregen de software in handen en analyseerden die. Ook de software bleek een puinhoop: het was kwetsbaar voor misbruik, verdachten konden de politie hacken en onbevoegden konden bij verdachten inbreken en bewijs planten zonder sporen achter te laten.

Welke software in Nederland gebruikt gaat worden, is geheim. Hoe we toetsen of dit goed gebruikt wordt, of de software correct werkt (en na een update blijft werken) en hoe misbruik wordt voorkomen, is allemaal onbekend. Ik wens de wetsmakers in Den Haag nadrukkelijk veel wijsheid toe, maar geef direct toe: helemaal gerust ben ik er niet op.

De duivel uitdrijven met Beëlzebub

Het klinkt simpel: als hackers inbreken in computers, dan moeten we de politie ook de mogelijkheid tot hacken bieden. Het lijkt een nuttig middel om hackers te stoppen. Alleen worden wij er onveiliger van. Het is de duivel uitdrijven met Beëlzebub.

In het wetsvoorstel, dat nu bij de Tweede Kamer ligt, krijgt de politie de bevoegdheid om ook te mogen hacken in computers, mobieltjes en andere apparaten die met internet verbonden zijn. Eufemistisch noemt Minister Van der Steur het “heimelijk en op afstand (‘on line’) onderzoek doen in computers”.

Inbrekerstuig

Hacken is niet de digitale variant van inbreken in een huis. Om binnen te komen in een computersysteem (of mobiel) zijn zwakheden nodig. Zodra die lekken zijn verholpen werkt de aanval niet meer. Je kunt digitaal niet een deur intrappen of een ruit open maken en die achteraf vervangen.

Wil de politie binnenkomen dan zijn zogenaamde 0day-lekken nodig ofwel lekken die nog niet publiekelijk bekend zijn. Bedrijven als Hacking Team leveren dit soort digitaal inbrekerstuig aan overheden.

Lekken niet dichten

De lekken worden aangeboden in een schimmige wereld. Bij het kopen van 0day-lekken van hackers beloven ze naast tienduizenden euro’s te betalen de zwakheden niet bij de leverancier te melden, zodat de aanval blijft werken.

Zoals beschreven in deze e-mail met afspraken met een Russische hacker:

“You promise to not report this 0day to vendor or disclosure it before the patch. obviously it is not our interest!”

Duistere zaken

Om te kunnen inbreken op enkele computers van verdachten blijven honderden miljoenen computers lek. Want zodra de zwakheid is gemeld bij de softwarebouwer kan die het probleem dichten. Als dat is gedaan dan is deze route om binnen te komen afgelopen.

Het kopen van dit soort 0day-lekken is een duistere business, waarin veel geld omgaat. Sommige experts zijn zeer actief in het vinden van deze lekken voor de handel. Niets staat ze in de weg om naast het verkopen van de lekken aan Hacking Team ze ook aan criminelen te verkopen.

Schimmige zaken

Ondertussen blijkt onze politie serieus geïnteresseerd te zijn om met Hacking Team zaken te doen. Een pijnlijke bijkomstigheid daarbij is dat deze beoogd leverancier hun tools ook leveren aan twijfelachtige regeringen van landen als Azerbeidzjan, Kazachstan, Uzbekistan, Rusland, Bahrein, Saudi Arabië, de Verenigd Arabische Emiraten, Nigeria en Ethiopië.

In deze landen nemen de overheden het niet altijd even nauw met de mensenrechten. Het digitaal inbrekerstuig wordt regelmatig gebruikt om in te breken op computers van journalisten. Dat brengt zowel hen als hun bronnen in gevaar. Ook bijvoorbeeld tegenstanders van dergelijke regimes worden door dit soort hackertools aangevallen.

Duivel uitdrijven

Krijgt de minister zijn zin krijgt dan wordt het aanschaffen van digitaal inbrekerstuig legitiem We houden daarmee een industrie in stand met als gevolg het minder snel dichten van lekken met bijkomende onveiligheid.

De lekken zijn ondertussen voor iedereen beschikbaar: twijfelachtige regimes, de politie met goed bedoelde intenties, criminelen en organisaties die bedrijfsspionage willen plegen. Alleen daarom is de voorgestelde hackbevoegdheid een klassiek voorbeeld van de Duivel uitdrijven met Beëlzebub.

Censuur politie helpt strijd tegen racisme niet

Het lijkt een onschuldig berichtje in de Leeuwarder Courant. De politie gaat – ongetwijfeld goed bedoeld – op bezoek bij Facebookers die zich schuldig zouden maken aan opruiing, discriminatie en belediging. Wie kan nou tegen zijn? Nou ik.

Want als we het bericht nader gaan ontleden dan is de materie toch iets complexer de agenten Naomi Hoekstra en Willem Feenstra voorspiegelen. Neem het voorbeeld dat ze aandragen:

Iemand die ik bezocht, had een foto van vluchtelingen geplaatst met een tekstballon waarin stond: ‘We gaan roven en verkrachten’.

Dat dit smakeloos, niet mijn stijl en weinig respectvol is, staat wat mij betreft niet ter discussie. Maar wat agent Feenstra hier beschrijft, is ook duidelijk een geval van iemand die de spot drijft. Dit is evident ingegeven door recente nieuwsberichten in Duitsland. Waarschijnlijk is zo’n uiting niet strafbaar, maar dat weten we pas zeker als er een onafhankelijke rechter naar heeft gekeken. Maar dat gebeurt niet volgens Feenstra:

Dan leg ik uit dat zoiets niet kan. En dan wordt zo’n bericht verwijderd.

Anders gezegd: het gevolg van een bezoek van de politie is dat de meningsuiting wordt verwijderd. En daar zit het eerste probleem, want die rol mag de overheid niet hebben zegt het Europees Verdrag voor de Rechten van de Mens:

Een ieder heeft recht op vrijheid van meningsuiting. Dit recht omvat de vrijheid een mening te koesteren en de vrijheid om inlichtingen of denkbeelden te ontvangen of te verstrekken, zonder inmenging van enig openbaar gezag

Het signaal wat de overheid afgeeft is heel duidelijk. Sociale media worden continue afgestruind naar opinies die onwenselijk zijn. Daarop volgt een bezoek van de politie en het eind van het liedje is dat de posting wordt verwijderd. Hoeveel meer inmenging van openbaar gezag kun je hebben? Waar je bij diefstal de overheid tot actie moet manen is men hier wel heel pro-actief.

Misdrijf

Dat betekent niet dat alles geroepen mag worden. De wetgever heeft grenzen gesteld en als je die overgaat pleeg je een misdrijf. Dat is het tweede probleem met de handelwijze van de agenten. Zij stellen dat die strafrechtelijke grens is overtreden en dat het gaat om discriminatie, belediging of opruiing. Zoiets is complex en daarom hoort dit bij de rechter thuis.

Maar laten we even Feenstra en Hoekstra volgen in hun redenering. Dan is hun handelen op z’n zachtst gezegd vreemd. Op opruiing staat vijf jaar cel en dat is meer dan de straf die het wetboek van strafrecht kent voor bijvoorbeeld hacking, dood door schuld, inbraak, mishandeling, winkeldiefstal of verduistering. Daarbij moeten we bedenken dat opruiing daadwerkelijk gevaarlijk is, omdat hier een georganiseerd geweldsaspect om de hoek komt.

Geen actie

En dit is het derde probleem. Discriminatie is een dijk van een probleem. In 2013 werden er 3600 meldingen bij de politie gedaan, kwamen er 1600 aangiften en landden slechts 83 zaken bij het Openbaar Ministerie.

In 2014 nam het aantal antisemitische incidenten met 71 procent toe ten opzichte van een jaar eerder. En als iemand oproept tot geweld tegen Israëlische toeristen krijgt deze persoon alle ruimte om die oproep op nationale televisie te herhalen. En dat maakt het resultaat van het handelen van Feenstra en Hoekstra zo laakbaar: zij bedrijven niet alleen censuur, ze dekken het daadwerkelijke probleem toe.

OV Amsterdam veiliger door speciaal politieteam

AMSTERDAM – De criminaliteit in het Amsterdamse openbaar vervoer is de afgelopen jaren fors gedaald. Door de inzet van een speciaal politieteam nam het aantal geweldsmisdrijven binnen drie jaar met een kwart af. Dit blijkt uit cijfers die door de politie Amsterdam-Amstelland aan NU.nl zijn verstrekt. Sinds de oprichting van het Veiligheidsteam Openbaarheid Vervoer (VOV) daalde het aantal geweldsmisdrijven van 222 in 2007 naar 168 in 2010. Lees het verhaal op NU.nl.

Journalist eist rectificatie van vuurwerkrampagenten

ENSCHEDE – Onderzoeksjournalist Rop Vorkink van RTV Oost eist een rectificatie van een persbericht van drie agenten, omdat daarin onwaarheden zouden worden verkondigd. Woensdag had het drietal aangifte wegens smaad tegen de journalist gedaan. Zij storen zich aan de berichtgeving rond de vuurwerkramp. Inzet van de zaak is een aangifte van oud-SE Fireworks-directeur Rudi Bakker tegen drie leidinggevende agenten. Lees het verhaal.

Politie mocht camera niet in beslag nemen

ROTTERDAM – De politie Rotterdam-Rijnmond is haar boekje te buiten gegaan door een videocamera van een man in beslag te nemen in zijn eigen woning. De gemeente Rotterdam en de man bestoken elkaar met aangiftes.

In november kwamen drie inspecteurs en twee politieagenten in de woning om een huisbezoek af te leggen. De gemeente vermoedde dat er zes bewoners in het pand zouden wonen, maar dat bleek niet zo te zijn. Lees het verhaal op NU.nl.

Politie wil sneller verdachten op internet plaatsen

De politie wil sneller verdachten van misdrijven op zijn website depolitiezoekt.nl plaatsen. Dat moet de tegenvallende populariteit van de website een impuls geven.

Dat blijkt uit een tussentijdse evaluatie van de website. NU.nl kreeg de documenten in handen met een beroep op de Wet openbaarheid van bestuur. De website blijkt nauwelijks bezocht te worden en ook weinig op te leveren. Alleen bij de lancering op 5 januari van dit jaar waren er ruim 82.000 bezoekers. Daarna kelderde het bezoek tot een dieptepunt van 240 bezoekers in april. Lees het hele verhaal op NU.nl.

De gang van zaken rond de website: “politie zoekt”

Om criminelen achter de tralies te krijgen, plaats de politie soms een beschrijving en een foto op een website “De Politie Zoekt“. De tips moeten tot de aanhouding leiden. Maar niet altijd gaat deze vorm van opsporing goed en komt er iemand ten onrechte op de website. Om daarover helderheid te krijgen, werd een Wob-verzoek ingediend bij de Politie Amsterdam-Amstelland. Zij maken de site en voeren het beheer uit.

Het blijkt niet eenvoudig de informatie los te krijgen en onder dreiging van een gang naar de rechter om een voorlopige voorziening te vragen, komt uiteindelijk een deel van de informatie boven tafel. Dan blijken er wel degelijk goede procedures te zijn om mensen aan de site toe te voegen, die altijd even goed worden opgevolgd. Ook blijkt de website niet goed te lopen en moeten de regels worden opgerekt. “De gang van zaken rond de website: “politie zoekt”” verder lezen