Microsoft deelt bugs met NSA voor “risico-analyse en –bestrijding”

Volgens buurlanden is hackvoorstel gevaarlijk

TAFTA: Europese Commissie regeert met onduidelijk mandaat over graf heen.

Als het aan minister Opstelten ligt mag de politie straks via het internet inbreken op de computers van burgers om daar rond te snuffelen en hen vanaf daar te bespieden. Volgens Opstelten is zo’n hackbevoegdheid geen vreemd verschijnsel. Hij wijst daarvoor naar België, Duitsland en Frankrijk, maar dat is onterecht. De praktijk daar leert namelijk vooral dat zijn voorstel controversieel en gevaarlijk is.

Duitsland

Hoewel Duitsland een hackbevoegdheid kent, gaat deze gaat lang niet zo ver als die van Opstelten. Niet alleen mag ze slechts worden ingezet ter bestrijding van internationaal terrorisme, maar de Duitse politie mag ook geen gegevens verwijderen en heeft geen bevoegdheid om te hacken buiten landsgrenzen.

Ook zijn de Duitsers zich welbewust van de gevaren van zo’n wet. Zo overwoog het Duitse Grondwettelijke Hof dat gegevens kunnen worden verwijderd of gewijzigd of nieuwe gegevens kunnen worden aangemaakt, zie paragraaf 174 van de uitspraak. Daarnaast uitte het Hof zorgen over de wijze waarop overheidssoftware zal worden verspreid. Als die software wordt verstopt in andere – schijnbaar nuttige of aantrekkelijke – programma’s, dan bestaat het risico dat het doelwit deze software doorspeelt aan derden zodat de software zich veel verder verspreidt dan wenselijk is (zie paragraaf 175).

Dat deze gevaren aan de orde van de dag zijn, bewezen security-onderzoekers van de Duitse Chaos Computer Club (CCC). Zij ontdekten dat de software van de overheid ook door derden kon worden overgenomen en misbruikt. Zo kon met de software de microfoon of webcam van de computer worden aangezet, kon vals bewijs worden geüpload en konden gegevens worden verwijderd. Het was bovendien niet uit te sluiten dat derden via deze weg de IT-infrastructuur van de politie zouden kunnen aanvallen. De Duitse overheid heeft daarop laten weten de bevoegdheid pas weer in te zetten als ze over veilige sofware beschikt. Tot die tijd is de bevoegdheid dus praktisch onbruikbaar en vooral een kostbaar grapje.

Frankrijk

Ook de Franse hackbevoegdheid is beperkt: alleen gegevens die ‘realtime’ op het scherm van de computer te zien zijn of worden ingetikt, mogen worden onderzocht. Het doorzoeken van andere gegevens, zoals gegevens op de harde schijf, is verboden. Verder mag de politie geen gegevens verwijderen en is niet voorzien in hacken over landsgrenzen. Opvallend genoeg is ook in Frankrijk de bevoegdheid praktisch onbruikbaar omdat de overheid er nog steeds niet in is geslaagd veilige software te ontwikkelen.

België

Tot slot kunnen we over België kort maart krachtig zijn. Opstelten schrijft immers zelf “dat de Belgische wetgever het op afstand heimelijk binnendringen van een geautomatiseerd werk door de overheid uitdrukkelijk uitsluit,” zie pagina 30-31 van de Memorie van Toelichting bij het wetsvoorstel.

Opstelten houdt Nederland voor de gek

Opstelten gaat met zijn voorstel dus veel verder dan de ons omringende landen. Bovendien leert de ervaring daar dat zelfs zo’n beperkte bevoegdheid grote veiligheidsrisico’s kent en zonder fatsoenlijke software niets waard is. De vraag is: waarom? Want een onnodige, onbruikbare en kostbare bevoegdheid, wie wordt daar nou beter van?

  1. DIRNSA

    Keith B. Alexander: I got an idea… of what they’re looking at.
    Keith B. Alexander: You wanna know what they’re looking at?
    Keith B. Alexander: I mean – is this guy something, or is he something?
    Keith B. Alexander: This crew is good!
    Keith B. Alexander: You know what they’re looking at?
    Barack Obama: What?
    Keith B. Alexander: Us. The NNNational SSSSecurity AAAAgency… We just got made.

    Barack Obama: I’m a good citizen.
    Keith B. Alexander: I’m Donald Duck!

  2. Jan-Jaap Oerlemans

    Dat zijn inderdaad belangrijke nuances van de ‘hackbevoegdheden’ van onze buurlanden. Waarbij natuurlijk eerlijkheidshalve wel zou moeten worden aangegeven dat het in België volgens jurisprudentie wel grensoverschrijdend mag worden toegepast en mogelijk toch op afstand (maar dat laatste is niet duidelijk). Ook in Groot-Brittannië zijn er volgens sommige auteurs mogelijkheden voor opsporingsinstanties om te kunnen hacken en vervolgens gegevens op afstand te kopiëren. Ten slotte: waar maken jullie uit op dat de buurlanden het niet grensoverschrijdend toepassen of niet mogen toepassen? Graag een linkje of zoiets, ik ben heel benieuwd :-).

    • Ton Siedsma

      Ha Jan-Jaap, natuurlijk, maar de netwerkzoeking is iets anders dan op afstand hacken. Zoals je zegt: over de praktijk is veel onduidelijk; de verschillende overheden moeten dan ook om opheldering worden gevraagd. Wel is duidelijk dat geen van deze landen voorziet in expliciete mogelijkheid om over landsgrenzen te hacken en dit onderwerp ook heel omstreden is. Zie bijvoorbeeld dit rapport uit Duitsland of dit onderzoek uit Frankrijk. Naar deze landen wijzen als voorbeeld voor wat Opstelten wil, is dus niet juist.

  3. Friedo

    deze wet is hier toch goedgekeurt? ons internet in belgië is dus met andere woorden gecensurrerd zoals in china

  4. Invoering van de ‘terughackwet’ - Jurist van de toekomst

    […] of Freedom, hebben namelijk gesteld dat in vergelijking met andere landen de wet zeer ver gaat (https://www.bof.nl/2013/06/17/volgens-buurlanden-is-hackvoorstel-gevaarlijk/). In Frankrijk is het bijvoorbeeld voor opsporingsdiensten alleen toegestaan om mee te kijken op […]

Laat een antwoord achter aan DIRNSA Antwoord annuleren

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.