Inbreken op pc’s van slachtoffers moet mogelijk worden gemaakt!!


Oktober 2010. Groot nieuws…ladies and Gentlemen….we got HIM!!! Dus ik dacht al…we got him, waar hebben hun het nu weer over? Het bleek dat ze een hoofdverdachte hadden opgepakt welke een Nederlands botnet onder zijn hoede had. Ach, ik draai me weer om en snap de ophef niet zo. Maar het Team High Tech Crime (THTC) bleef maar in het nieuws komen, want dit was volgens hen wel een hele grote slag die ze geslagen hadden. NL stond eindelijk op de kaart wat betreft de bestrijding van cybercriminaliteit. Toch?

Maar was dat eigenlijk wel zo? Het THTC was er zo trots op dat het Bredolab netwerk offline was gehaald dat er meteen een groot item van werd gemaakt. Er werd een camerateam ingehuurd en deze mochten ter plekke filmen bij hostingprovider Leaseweb. Mooie van dit verhaal was dat een medewerker van het hostingbedrijf een rack met servers “offline” mocht halen en dit werd breeduit gefilmd door een cameraman. Uiteraard gingen deze beelden de gehele wereld over. In werkelijkheid was het een onverhuurde rack met servers welke dus niks met het Bredolab te maken had. Want deze hingen allemaal verdeeld over de gehele datacentra van Leaseweb en de rest van de wereld.

Een aantal dagen later, toen de champagneglazen nog vettig waren van het feestelijk gedruis, draaide het botnet weer op volle toeren. THTC had helemaal niets plat gelegd. En waarom niet? Simpelweg omdat justitie helemaal geen botnets uit kan schakelen. De reden daarvan was dat ze maar een heel klein gedeelte van het netwerk hadden platgegooid. Maar er waren nog miljoenen (volgens justitie 30 miljoen) besmette pc’s die het virus bij zich hadden. Hoe kan je dan stellen dat je een botnetnetwerk hebt platgelegd. Simpel, dat kan je niet.

En dat was een doorn in het oog van Justitie. Justitie had helemaal niets te zeggen in deze kwestie, maar om de crimi’s een beetje bang te maken deden ze alsof ze heel wat te zeggen hadden in de wereld van cybercriminaliteit. Ondertussen werden alle geschreven regels in vol ornaat overtreden door het THTC team en dat deden ze nog bewust ook.

Peter Zinn, senior advisor van THTC laat weten dat, ondanks de ontstane commotie rond de legitimiteit van het optreden bij de Bredolab ontmanteling, zijn team niettemin op de ingeslagen weg voortgaat “al mag het misschien niet van de rechter”. Dat een zaak door dergelijke beslissingen kapot kan gaan neemt hij voor lief.

En daar gaat Minister Opstelten nu wat aan doen. Niet aan het onbehoorlijk gedrag van het THTC. Nee, hij wilt het online doorzoeken van de pc’s van daders, maar ook van slachtoffers legaal maken. De Minister wilt namelijk nieuwe mogelijkheden om cybercriminaliteit te kunnen bestrijden en dat heeft hij aangekondigd in de brief van 23 december 2011 (Kamerstukken II, 2011-2012, 26 643, nr. 220) gericht aan de Kamer. Daarin stelt hij dat er een nieuwe wetgeving moet komen om de bestrijding van cybercriminaliteit zo succesvol mogelijk te maken. Zo tussen de regels door leest men dus:

Het onderwerp online doorzoeken (een van de belangrijkste knelpunten die door politie en OM worden genoemd) van geautomatiseerde werken is één van de belangrijkste onderwerpen waaraan wordt gewerkt.

Het nieuwe online doorzoeken. Hmm, hij bedoelt eigenlijk dus te zeggen dat er een nieuwe wetgeving gaat komen die het mogelijk maakt om op uw systeem in te breken zoals ze dat deden met het “oprollen” van het Bredolabnetwerk. En wellicht ook nog zonder de instemming van een rechter, want hey, dat kost alleen maar tijd. Het plaatsen van een trojan of een andere backdoor die dus duidelijk niet door een malware/virus scanner wordt gezien. How sophisticated, meneer Opstelten. Maar in mijn ogen dus NOT done. Want dit duidt erop dat ze dus een wet willen door gaan voeren die het mogelijk maakt OOK in te mogen breken op de systemen van slachtoffers. En in PrivacyGuru’s ogen gaat u toch weer een stapje te ver.

PrivacyGuru is helemaal niet tegen de bestrijding van cybercriminaliteit. Integendeel zelfs. Maar als er een wetgeving komt die het mogelijk maakt dat een rechercheur zomaar op uw pc kan inloggen zonder de tussenkomst van een rechter-commissaris, dan vind PrivacyGuru dat u te ver gaat. Want what’s next? Een huiszoeking zonder tussenkomst van een rechter-commissaris? En inbreken op systemen van daders is tot daar aan toe, maar ook nog ongegeneerd inbreken op systemen van slachtoffers??

Het is natuurlijk een doorn in het oog dat de politie is teruggefloten bij de aanpak van het Bredolab-netwerk in 2010. Nou ja, teruggefloten is een groot woord. Maar dat er enige frustratie heerst bij dit team en zijn bovenliggende leidinggevenden is wel duidelijk nu. Er moet gewoon een nieuwe wetgeving komen die er niet alleen voor zorgt dat de privacy wat verder wordt geschonden, maar vooral om gezichtsverlies bij het THTC te voorkomen. Dat ze alsnog een botnetnetwerk niet plat kunnen leggen is niet de hoofdzaak. Hoofdzaak is de zaak zo op te blazen dat er een nieuwe wetgeving gaat komen in naam van cybercriminaliteit. En daar moeten ALLE burgers voor wijken.

PrivacyGuru gaat wat meer aandacht aan dit onderwerp besteden, omdat er toch wel iets gaande is wat gewoonweg niet door de beugel kan. Een team wat schijnbaar Carte Blanche krijgt om uw en mijn privacy op zo’n grove manier te schenden dat je straks gewoon bang bent om je pc nog aan te zetten. En niet voor cybercriminelen, maar voor de overheid zelf. Want dit team maakt geen onderscheidt tussen daders en slachtoffers. Dit team is uit op succes en zal dit ronduit in de media uitmeten op de failures na. En er is niks mis met het bestrijden van cybercriminaliteit, maar je moet dit wel doen volgens de regels. Want op de manier zoals hun het nu (willen gaan) doen lijkt het erop alsof de rechterlijke macht het maar voor het nakijken heeft. En zo is onze democratie niet opgebouwd.

Vragen van het lid Recourt (PvdA) aan de minister en staatssecretaris van Veiligheid en Justitie over het digitaal rechercheren (ingezonden 9 maart 2012).