De Duitse politie kreeg een aantal jaar geleden de algemene bevoegdheid om met verborgen software op de computers van burgers in te breken. Nadat het Duitse constitutionele Hof de politie terugfloot, zou die software gekortwiekt zijn. Maar uit onderzoek van security-experts van Chaos Computer Club blijkt een ander verhaal. En nu lijkt het erop dat vergelijkbare software ook aan de Nederlandse overheid is verkocht. Wat was er precies aan de hand en wat kunnen we hieruit leren voor Nederland?

Een woordvoerder van DigiTask, het Duitse bedrijf dat deze software heeft ontwikkeld, geeft aan dat het vergelijkbare software ook aan de Nederlandse overheid verkocht heeft. In hoeverre heeft de politie in Nederland gebruik gemaakt van dit soort trojans? Dat lijkt ons absoluut een WOB-verzoek en Kamervragen waard. Hierover de komende tijd meer. Eerst meer uitleg:

Een Trojaans paard of simpelweg ‘trojan’ is een computerprogramma dat, vermomd als goedaardig programma, eenmaal geïnstalleerd de mogelijkheid geeft je computer op afstand te besturen. Het wordt door kwaadwillenden gebruikt om de controle over je computer over te nemen. Zo kunnen je gegevens doorzocht, aangepast of verwijderd worden. Ook kan hiermee jouw identiteit worden overgenomen.

In Duitsland maakt de politie al een tijd gebruik van deze trojans in het kader van de opsporing. Het Duitse constitutionele Hof heeft eerder geoordeeld dat zo een algemene bevoegdheid onconstitutioneel is omdat een Duitse variant van het recht op privacy in het geding is. Naar aanleiding hiervan zou volgens de Duitse overheid een veel beperktere trojan ingezet worden, die alleen communicatie onderschept.

Maar onlangs deden de security-experts van CCC onderzoek naar deze trojans. Uit het onderzoek blijkt dat de software veel verder gaat dan dat:

Hoewel de trojan ontwikkeld zou zijn om alleen communicatie te onderscheppen, bevat het een ‘backdoor functie’ waardoor ook aanvullende programma’s kunnen worden geïnstalleerd. De trojan gaat daarmee in theorie veel verder. Met die programma’s zou men bijvoorbeeld op afstand je microfoon of webcam kunnen inschakelen.

De software maakt continu screenshots van je browser, die op afstand kunnen worden bekeken. Ook daarmee gaat de software verder dan toegestaan, nu niet alleen communicatie wordt onderschept.

Alle verzamelde data wordt verstuurd via een server in de VS. Het is absurd dat de Duitse politie gegevens van verdachten laat lopen via een Amerikaanse server, en dit leidt bovendien tot ingewikkelde vragen over jurisdictie.

De trojans blijken ‘gekaapt’ te kunnen worden, waardoor iemand anders dan de politie gebruik van het programma kan maken. Personen die gebruik maken van zo’n trojan, kunnen zich als jou voordoen op het internet. Of belastend materiaal op je computer plaatsen. En zo wordt een opsporingsmiddel van de politie een gevaarlijk instrument dat criminelen in staat stelt om de controle over jouw computer te krijgen.

De risico’s van de inzet van dit soort ingrijpende opsporingsmiddelen zijn groot, zo blijkt uit het onderzoek. Dat is bijzonder relevant omdat Hirsch Ballin in 2009 aangaf dat het gebruik van dit soort trojans ook bij de Nederlandse politie op het wensenlijstje staat. Maar nu willen we eerst weten wat dergelijke software kan, of het al gekocht is en of het gebruikt is. Zodra we meer weten, houden we jullie op de hoogte.

UPDATE 26-10-2011:

Politiewoordvoerder Wim de Bruin heeft tegenover webwereld bevestigd dat Nederlandse opsporingsdiensten ook gebruik maken van trojans. Deze trojans sluizen de toetsaanslagen door met een keylogger, maken van screenshots, en zetten stiekem de microfoon aan, zodat gesprekken in de woning van de verdachte worden opgenomen. Het heimelijk aanzetten van de webcam gebeurt niet, verklaard Wim de Bruin, woordvoerder van het Landelijk Parket van het Openbaar Ministerie tegenover Webwereld.
Met andere woorden: het gaat om multi-inzetbare trojans. Wim de Bruin meent dat de politie over een bevoegdheid hiertoe beschikt. Bits of Freedom zet hier grote vraagtekens bij en zal de ontwikkelingen op de voet volgen.