Teleurstellend: Tweede Kamer stemt in met hackvoorstel. Maar wie stemde wat?

Stel de AIVD doorbreekt versleuteling. Wat dan?

Word jij gastschrijver bij Bits of Freedom?
DOSSIER: Versleuteling

De Nederlandse geheime diensten zouden bezig zijn de versleuteling van WhatsApp- en Telegram­berichten te doorbreken. Dat is op zich niet gek. De vraag is vooral: als het lukt, wat dan?

Zaterdag kopte de Telegraaf: “AIVD kraakt WhatsApp”. Maar zoals wel vaker wordt de soep minder heet gegeten: de Nederlandse geheime diensten zouden er mee bezig zijn en hoewel het nu nog niet echt lukt wordt het ook niet onmogelijk geacht. Dat suggereert tenminste Dick Schoof, de baas van de NCTV. Uit het korte artikel wordt overigens helemaal niet duidelijk hoe de diensten precies “bezig [zijn] toegang te krijgen tot versleutelde berichtendiensten als WhatsApp en Telegram.”

Of de geheime diensten dat nu daadwerkelijk proberen of wat de stand van zaken precies is, is niet het belangrijkste. Er is op zich niet zoveel mis met een geheime dienst die de beveiliging van veelgebruikte communicatiemiddelen probeert te doorbreken. Sterker nog, je zou kunnen zeggen dat er iets goed mis is als ze het niet zouden proberen. Het willen doorbreken van zulke beveiliging is een tweede natuur van de diensten – het is kennis waarmee de diensten het verschil kunnen maken tussen oorlog en vrede.

De belangrijkste vraag is wat de AIVD zou doen als het haar echt lukt om de beveiliging van WhatsApp te doorbreken. Houdt ze die kennis dan achter de hand om vroeg of laat eens te gebruiken? Of brengt ze de ontwikkelaars van de app op de hoogte zodat die de zwakte kan oplossen? Dat laatste is erg belangrijk: want zolang de kennis over een kwetsbaarheid in Whatsapp niet met de makers ervan wordt gedeeld lopen de meer dan één miljard gebruikers het risico dat anderen die kwetsbaarheid ook vinden (of al gevonden hebben) en deze wél misbruiken.

Het achter de hand houden van de kennis over een onbekende kwetsbaarheid is onverantwoord en brengt grote risico’s voor de veiligheid van onze maatschappij. Daarom is het belangrijk dat onze overheid als beleid hanteert dat alle onbekende kwetsbaarheden die zij tegenkomt direct en op verantwoorde wijze gemeld worden bij de ontwikkelaars van de kwetsbare software. Helaas heeft ons kabinet een gevaarlijk standpunt gekozen: onbekende kwetsbaarheden in software mogen door de overheid achter de hand gehouden worden voor gebruik door de geheime diensten en de politie.

Met dat in het achterhoofd wordt het morgen een spannende dag: dan stemt de Tweede Kamer over het wetsvoorstel waarmee de politie de bevoegdheid zou krijgen om in te breken op alles dat met het internet is verbonden. Eén van de belangrijkste twistpunten bij die stemming: mag de politie indirect onbekende kwetsbaarheden inkopen, waarmee Nederland die schimmige markt in stand houdt. De Partij van de Arbeid heeft de sleutel in handen: gaan zij stemmen voor of tegen het gebruik van onbekende kwetsbaarheden? “Laat Recourt weten dat kwetsbaarheden niet thuis horen bij de politie!

Trouwens, over die kop van Telegraaf gesproken… Eigenlijk is het heel gek dat Schoof dit heeft gezegd in een interview. Dat “de Nederlandse geheime diensten bezig toegang te krijgen tot versleutelde berichtendiensten als WhatsApp en Telegram” zegt iets over de modus operandi, het kennisniveau en de capaciteiten van de AIVD en de MIVD. Dat is daarmee automatisch staatsgeheim. Zou Schoof nu echt een staatsgeheim gelekt hebben?

  1. Pacemaker-error

    Medisch beroepsgeheim?

    Dus als er morgen voor gestemd wordt mogen ook gehackt worden:

    – Ziekenhuizen
    – GGZ instellingen
    – Huisartsenpraktijken
    – Psychiaterpraktijken
    – Pscycholgenpraktijken
    – Alle instellingen in de medische zorg die nu hun data van een nieuwsgierige overheid kunnen afschermen vanwege het beroepsgeheim?

    (- pacemakers weigert men uit te sluiten van hackbevoegdheid, waarom? Dat geeft te denken over werkelijke wensen.)

    Wetten worden in de jaren erna altijd opgerekt.
    Waar gaat dit naartoe?
    Straks persoonlijke data inzichtelijk voor boa’s, uitkeringsinstanties, gemeentemedewerkers etc etc?
    Alles in dat verborgen burger profiel dat helpt beslissen welke rang en rechten je krijgt in onze toekomstige maatschappij?

    Er gaat een hoop op de helling aan burherrechten.
    In ruil voor niets.
    Nou, ja, hele vage suggesties rondom bestrijding van criminaliteit.

    Merkwaardig dat we geen beslissingen meer nemen op basis van onderbouwde feedback (genegeerd), overtuigende cijfers (zijn er niet) en klinkende overtuigende beloften (worden niet gegeven).

    Als het JA wordt is er dus op basis van iets anders besloten.
    Coalitieafspraken voor na de verkiezingen?
    Waarom wordt er niet meer voor de burger opgekomen?
    De burger staat aan de kant en mag toekijken hoe basis burgerrechten stukje bij beetje bij het grof vuil worden gezet.

    Alsof het niets is.

  2. Peter1984

    There is no end-to-end encryption (when you are using cloud services)….De meeste mensen maken gebruik van de standaard iCloud of Google cloud voor backup. En daar staan alle ‘end-to-end’ berichtjes mooi onversleuteld opgeslagen. En als de AIVD daar geen toegang tot krijgt, gaan ze naar de endpoint. Waarbij de (brakke) Android endpoint meestal wel een (bekende) kwetsbaarheid heeft.

    Shit, verklap ik nu ook een staatsgeheim 😉

  3. chern

    men heeft geen idee waar men mee bezig is. Alle verworven schepen worden (nu) en straks verbrand. Alles door ééndimensionaal denken.
    zijn we nog verbaasd dat ooit superieure samenlegingen zichzelf ten gronde richtten?

    Wat een roekeloos beleid.

  4. Jan

    De discussie die wordt gehouden is, of er expres zwakheden in encryptie methodes mogen worden geplaatst, of worden gehouden.

    AIVD en whatsapp zijn daarin nog niet zo problematisch, maar is dat nog steeds zo als een vijandige mogendheid toegang krijgt tot je beademingsapparaat wanneer je op de intensive care ligt?

    Hoe verantwoord is dan het achterhouden van zwakheden?

    Digitale versleuteling, voor zaken die via internet bereikbaar zijn, is iets anders dan een alarm installatie op of een extra slot tegen inbraak/diefstal.

    Het is iets makkelijker om digitaal opdrachten opnieuw, of parallel, uit te voeren dan het opnieuw kraken van een fysiek slot (met dezelfde zwakheid als de vorige)

    Of we moeten naar een samenleving toe willen waarin uiteindelijk alles van iedereen openbaar, doorzoekbaar en aanpasbaar is, van iedereen.

    Dat is dan, eigenlijk, waar morgen dan over wordt gestemd.

  5. Fredje

    Ehh, facebook, google whatsapp, skype zijn allemaal informatieplichtig aan de NSA cs middels de Patriotwet, dus ècht zo goed beveiligd is het zeker niet. De info komt toch bij de MIVD AIVD.
    Privacy is volgens mij te grabbel.

  6. Fredje

    Hoezo een dubbele reactie, ben ik nu al getapt?

    Ehh, facebook, google whatsapp, skype zijn allemaal informatieplichtig aan de NSA cs middels de Patriotwet, dus ècht zo goed beveiligd is het zeker niet. De info komt toch bij de MIVD AIVD.
    Privacy is volgens mij te grabbel.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.