Het regeerakkoord (*1) van het nieuwe kabinet lijkt minister Opstelten alle ruimte te gaan geven, met zijn plannen om in te breken op computers van verdachten en het "ongericht afluisteren" van internetverkeer.
Enkele weken geleden is een conceptbrief van de minister van Veiligheid en Justitie aan de Tweede Kamer gepubliceerd, waarin hij vraagt om de politie meer rechten te geven in de strijd tegen cybercriminaliteit. De politie krijgt de bevoegdheid om de computers van verdachten op afstand te doorzoeken en daarbij gegevens ontoegankelijk te maken, ongeacht in welk land de computer staat en zonder medeweten van de plaatselijke autoriteiten. De nieuwe wetgeving zou het helen van digitale gegevens strafbaar maken.
Dit zou bedacht zijn met het oog op het gebruik van cloud-computing, mobiele pc's en botnets, beperking van criminele data op buitenlandse servers en een snelheidswinst bij het 'terughacken' - en als een voorproefje van wat de Europese Raad overweegt. De implicaties voor persoonlijke beveiliging en privacy zijn zorgwekkend. Het plan lijkt afstand te nemen van de traditionele macht van het KLPD en een veel grotere arena te betreden. Een arena die verder strekt dan de traditionele invloedsferen van de landsgrenzen en de openbare weg en waar er waarden en normen gelden die ernstige obstakels kunnen vormen voor haar gebruikelijke autoriteit en werkwijze.
Nu worden er in minister Opsteltens brief een paar voorbeelden genoemd waarin de voorgestelde methodes hebben gewerkt. Hier zijn de conclusies dat iemand vrij anoniem data kan uploaden en dat moderne encryptie praktisch niet te ontcijferen is. Er wordt ook opgemerkt hoe gemakkelijk data tussen computers over de hele wereld verspreid kan worden en het zo moeilijker word om de fysieke server te vinden. Als ze die eenmaal hebben gevonden, kost het de politie te veel tijd voor alle rechtshulpverzoeken in orde zijn. De beredenering is dat als de politie bij een dergelijk scenario bij machte was geweest om spyware te installeren (*2), ze mogelijk een wachtwoord had kunnen onderscheppen. Had de politie data op een server mogen vernietigen zonder tussenkomst van het OM, dan had dit tijd gescheeld bij het voorkomen van verdere schade. Volgens minister Opstelten hebben de politie en het OM behoefte aan deze mogelijkheden om de afgesproken opsporings- en vervolgingsprestaties te kunnen leveren.
Digitale huiszoeking
Opstelten beschreef de nieuwe bevoegdheden in een interview als het vermogen tot een digitale huiszoeking. Dit sluit aan op de insteek van de overige bevoegheden in dit veld.
Op het moment mag de politie namelijk op basis van de Telecommunicatiewet vrijwel alle elektronische verkeer aftappen en opnemen, zoals data- en telefoonverkeer.
De concurrentie
De concurrentie is prima in staat om dezelfde software te gebruiken om bij de politie binnen te dringen en data te kopiëren of in te voeren en hiermee de waarde van het bewijsmateriaal te compromitteren, zoals gedemonstreerd in Duitsland door de CCC (*3). In hun proeven bleek het mogelijk om de controle over de software over te nemen, en zich voor te doen als een iteratie van de software en valse data te uploaden. De politie kan zodanig in het hemd worden gezet dat de geloofwaardigheid van het opsporingsdiensten in twijfel getrokken wordt. Een groep Italiaanse hackers liet zien hoe alle gegevens, waaronder adressenlijsten, namen, dossiers en chatlogs van de cybercriminaliteitsdivisie van de politie eruit zagen door het op een Pastebin site te plakken (*4). De concurrentie is vaak relatief jong en bekender met het Internet dan met televisie en radio. Ze hebben enkel zichzelf te beschermen en hoeven geen verantwoording af te leggen. Autoriteit in deze kringen is niet gebaseerd op de strepen op een schouder, maar op vaardigheid. Dit maakt het een heel andere tegenstander dan de politie gewend is.
Eigen broncode
In tegenstelling tot de politie en de andere opsporingsdiensten die zich bedienen van de software in kwestie, schrijft de concurrentie haar eigen software en beschikt wél over de broncode (*5) - wat betekent dat ze niet afhankelijk zijn van derden voor flexibiliteit en nieuwe software. Dit betekent dat de politie blind is, en door een derde geleid moet worden.
Een ander probleem is dat zolang de politie niet beschikt over haar eigen programmeurs, de software die hiervoor gebruikt wordt altijd een onbekende zal vormen en ze zo geen scherp beeld zal hebben op het speelveld. Waar op straat weinig mensen effectief gewapend zijn of een agent iets zullen weigeren, is er hier een wereld waar de vrijwel iedereen zich wapent tegen elke ongenode indringer, en waar men leert te wantrouwen vanaf de eerste kennismaking. Hier is de politie niet anders dan een misdadiger die uit is op cpu-tijd of waardevolle gegevens, en wapent de burger zich met firewalls, virus-scanners, I.D.S.'s, honey-pots of een externe schijf waar slechts om de zoveel tijd contact mee wordt gemaakt (om maar een paar dingen te noemen).
Twee gezichten van de politie
Dezelfde organisatie die de Nederlanders vertelt hoe het huis beveiligd moet worden tegen inbrekers, gaat er nu belang bij krijgen dat wij met zijn allen de cyber-deur niet op slot doen.
Hoe zou de minister opkijken als de politieagent die zijn huis komt controleren even met een schroevendraaier de voordeur opent, en dat zegt dat het huis prima in orde is? Op internet wordt veel aan beveiliging gedaan; als iemand op jouw computer kan komen, heeft die beveiliging gefaald. In plaats van het waarschuwen voor beveiligingsproblemen, wil de politie er gewoon gebruik van maken.
De toekomst?
De vraag over de competentie van een instantie die al over de voorgenoemde machten beschikt, maar nog niet slaagt in het uitoefenen van haar taak is beter daargelaten. Het is eerder de vraag of het zich wel is in het juiste vaarwater begeeft als men het vermogen zoekt om haar tegenstander na te mogen bootsen. Het lijkt er op dat als men zou spelen op haar eigen krachten en de tegenstander's zwakten, men mogelijk een voorbeeldfunctie zou kunnen vormen voor de andere landen - een korps dat aan de ene kant ongrijpbaar is voor de tegenstander en aan de andere kant onvoorspelbaar is. Ook al lijkt de huidige trend erop te wijzen dat allerlei mogendheden hun best doen om steeds meer controle te verwerven over het internet onder de vlag van cybercriminaliteitsbestrijding (*6,7), lijkt het een beetje onzinnig om dit na te volgen terwijl we nog niet in staat zijn om vlaggenschip te spelen.
Op het moment lijken het vooral de IT-bedrijven met overheidscontracten te zijn die profiteren van de situatie, en heeft de minister hun wensen maar in te leveren bij het parlement, omdat hij de materie niet begrijpt. Het is daarom nog maar de vraag waar dit naartoe gaat.
Deze bijdrage is geschreven door Traumblaser.
Het lijkt raar dat tegen de wil van de Kamer en van eigenlijk iedereen, het downloadverbod steeds weer op de agenda komt. Je krijgt de neiging om 'corruptie' te roepen. Of is het alleen het resultaat van een gebrek aan overzicht van de Nederlandse politiek?
Op regelmatige basis hoor je het argument ‘als je niets te verbergen hebt, heb je ook niets te vrezen’ als rechtvaardiging voor verhoogde en privacy schendende controle. Dit argument is niet alleen gevaarlijk, maar ook oneerlijk en laf.