Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 109 reacties

De manier waarop de overheid het botnet Bredolab offline haalde, was in strijd met de privacy. Dat betoogt een studente Informatierecht in haar masterscriptie. Het KLPD hackte vorig jaar computers van zowel slachtoffers als een verdachte.

Volgens Merel Koning, die met haar scriptie over de Bredolab-affaire afstudeerde in een master Informatierecht, was het 'terughacken' van slachtoffers in strijd met privacywetgeving. Het KLPD deed dat om gebruikers te waarschuwen dat ze waren geïnfecteerd met malware en onderdeel waren van een botnet. De politie installeerde hiervoor een programma dat ze doorverwees naar een waarschuwingspagina. Volgens Koning doen de goede bedoelingen echter niets af aan het feit dat het simpelweg niet mag.

"Op dit moment is dat niet toegestaan", zegt Koning tegen Tweakers.net. Ze tekent aan dat de politie enorm veel over burgers te weten kan komen als ze hun computers hacken. "Het is een hele ingrijpende maatregel. Er zijn minder ingrijpende mogelijkheden om gebruikers te waarschuwen", stelt zij. Het KLPD had bijvoorbeeld internetproviders kunnen inschakelen om gebruikers te waarschuwen. Daar komt bij dat de Nederlandse politie buiten het grondgebied van Nederland geen bevoegdheden heeft.

De politie brak in op de computers van besmette Bredolab-slachtoffers, door de zogenoemde command-and-control-servers van het botnet binnen te dringen. Daardoor kon ook de verdachte beheerder achter het botnet worden bespioneerd. Ook dat was niet in lijn met privacywetgeving, stelt Koning. "Het probleem is dat hier geen regels voor zijn. Het KLPD heeft maar wat gedaan", zegt ze. Voor andere bevoegdheden van de opsporingsautoriteiten, zoals het oppakken van een verdachte of het binnendringen van een woning, zijn waarborgen ingebouwd die excessen moeten voorkomen, maar die ontbreken bij het 'terughacken' door de KLPD.

Bovendien zijn er ook geen regels die het terughacken legitimeren: nergens in de wet heeft de politie de bevoegdheid gekregen om te hacken. Het Openbaar Ministerie is voorstander van een dergelijke bevoegdheid, maar volgens Koning moet nog maar blijken of het niet in strijd is met het Europese Mensenrechtenverdrag, waar Nederland zich aan moet houden. Een artikel van dat verdrag betreft privacybescherming van burgers.

Koning weerspreekt ook de volgens haar 'spectaculaire' claims die de overheid deed bij de ontmanteling van het botnet. Het botnet zou niet 143 commandoservers hebben gehad, zoals werd geclaimd, maar slechts zes. De overige servers zouden wel zijn gebruikt voor cybercrime, maar niet specifiek voor Bredolab.

Ook de claim van 30 miljoen infecties die het Openbaar Ministerie maakte, is volgens de onderzoekster gebaseerd op een twijfelachtige calculatie. Het OM heeft zelf 3 miljoen infecties aangetroffen en heeft dat als basis genomen om terug te rekenen. Via extrapolatie kwam het OM op een uiteindelijk aantal van 30 miljoen. Volgens Koning heeft het OM echter lineair teruggerekend vanaf 3 miljoen, terwijl botnets exponentieel groeien. Het aantal besmettingen lag in feite waarschijnlijk veel lager, concludeert ze.

Moderatie-faq Wijzig weergave

Reacties (109)

Tja, weer het zoveelste probleem door compleet missende wetgeving omtrent ICT misdrijven en handhaving. Hoog tijd dat hier op globaal niveau eens echt iets aan gedaan wordt.

Op zich was het natuurlijk doeltreffende wat de politie gedaan heeft met dat terughacken. Maar inderdaad, hiermee schenden ze wel de privacy van de slachtoffers als dit ook via de provider gespeeld kan worden. Kortom, hier moet bescherming via de wet geregeld worden, waarbij politie dus alleen bij hoge uitzondering (en dus niet in de hoeveelheden waar nu bijv. informatie wordt opgevraagd en gegeven) zoiets zou mogen doen.

Aan de andere kant moeten we ook niet doordraven. Iemand zn mensenrechten zijn voor mijn gevoel niet ter plekke geschonden als de politie via zijn computer een 3e persoon (de hacker ed.) weet op te pakken. Op een gerichte manier (en met gedegen, getoetste en beperkte bevoegdheid) iemand zn computer hacken is veel minder erg dan bij wijze van spreken zijn deur inbeuken om te zeggen dat er is ingebroken. Maar daar geldt wel weer bij: mochten ze nou (zelfs nadat een rechter gezien de echte noodzaak dit goed heeft gekeurd) op zo'n burger zijn computer iets van pr0n of illegale software vinden, dan mag je daar in het kader van dat onderzoek niet ook maar meteen die burger voor oppakken.
Ze hebben mijn inziens niet de privacy van de slachtoffers geschonden.
De KLPD heeft het botnet opdracht gegeven een executable te downloaden. Deze executable toonde een website bij de volgende login. Waarschijnlijk door de 'homepage' van de browser aan te passen. Een aanpassing in het register van een computer is voldoende.

De KLPD heeft GEEN toegang gehad tot de systemen, wel de mogelijkheid om toegang te krijgen tot de systemen. Als ze echt toegang hadden willen krijgen tot de systemen dan hadden ze een andere programma moeten installeren op de systemen van de slachtoffers, wat ze niet gedaan hebben.

Wat hebben ze wel kunnen achterhalen: IP adressen van de machines. De executable moet ergens worden opgehaald en het bezoeken van de 'he joh, je bent deel van een botnet' pagina laat ook een IP adres achter.

Mochten ze het slachtoffer hacken? Ik zie er geen probleem mee. Ze hebben systemen gemonitored waarvan zeker was dat er verkeerde dingen mee gedaan werden. Door het monitoren hebben ze de dader kunnen achterhalen. Vergelijk het met het ontdekken van een grote wietplantage, het is van buiten al te zien dat het een wietplantage is, dus de politie laat het slot openmaken, gaat binnenzitten en wacht op de daders.


Overigens word ik een beetje moe van hoe de politie/KLPD de laatste tijd heel negatief in beeld wordt gebracht. Dit komt niet ten goede van waar de politie voor staat.
De politie moet kracht, respect en daadkracht uitstralen. Als een politie-agent je aanspreekt moet je denken 'ja meneer, sorry meneer'
De laatste tijd worden ze als slappelingen (http://www.nu.nl/binnenla...t-niet-in-bij-geweld.html), als ze ingrijpen en daarvoor gebruik maken van hun wapen, dan wordt er meteen een onderzoek uitgevoerd terwijl de agent op non-actief staat.
Laat de politie met rubber-kogels op een menigte schieten als ze door die menigte worden belaagd, laat ze een waarschuwingschot afvuren voordat die menigte het in zijn hoofd haalt de politie te belagen. Het mag best wel zijn zoals in de VS, daar hebben de mensen nog respect voor de politie.
De computers van de slachtofters zijn niet direct door de politie gehackt. De politie heeft simpelweg het bestaande botnet de opdracht gegeven een bestand te uploaden, waarmee de browser geredirect werd naar een informatie pagina van de politie.
Geen sprake van dus, dat de politie op de pc's van de slachtoffers aan het rondsnuffelen was.
Ik vind het nogal gezeur eigenlijk. Ik lees hierboven dat 'de KLPD maar een brief had moeten sturen ofzo'.
De KLPD wist van het botnet alleen de IP adressen. Ik neem aan dat ze wel de mogelijkheid hebben om daar een telefoonnummer/post adres bij te zoeken, maar dat is een hoop werk (dat van belastinggeld moet worden betaald), en plotseling hebben de anonieme botnetslachtoffers een naam gekregen (over privacy gesproken).
In plaats daarvan hebben ze het botnet zelf gebruikt om een waarschuwing te verspreiden, waarbij de ontvangers dus feitelijk anoniem zijn gebleven, maar dan wordt er geklaagd over privacy.
Zucht.
Precies, en als de KLPD niets had gedaan, dan hadden hier 100 posts gestaan waarin verontwaardigd werd gereageerd over het feit dat ze wat hadden moeten doen. ;) Prima actie van de KLPD wat mij betreft.
Als ik niet thuis ben (of lig te slapen) wanneer er ingebroken wordt en langslopende politie ziet een inbreker in mijn huis bezig, dan is de politie welkom om mijn huis te betreden door het reeds geforceerde slot om die dief aan te houden.

Ik ben de politie dan dankbaar voor het beschermen van mijn gezin en eigendommen.

Uiteraard vind ik het dan niet tof als de politie in mijn spullen gaat zitten rommelen of mijn koelkast plundert. Maar ik heb toch echt het vertrouwen dat zij ethisch en integer handelen.
Ja, maar de langslopende politie mag jouw huis dan betreden omdat dit zo in de wet geregeld is. (Er is dus een wettelijke basis waarop zij jouw huis betreden op dat moment. )

In dit geval is er geen wettelijke basis om via een bestaande hack veranderingen aan te brengen op iemands computer. Ook al is de intentie goed, de agenten die het uitvoeren kunnen zich niet beroepen op een wet die dat toestaat.
Wat ik wel mooi vind is dat een Master student tegenwoordig ook meteen rechter is.

Zoals duidelijk aangegeven wordt is er weinig of geen wetgeving rondom het terughacken, maar dat betekend dus NIET dat je automatisch fout bezig bent. Zeker in een dergelijke situatie heb je maar 2 mogelijkheden: wetgeving creëren die dit wel dekt OF een rechter een uitspraak laten doen op basis van huidige wetgeving.

Maar gelukkig zijn we niet al te hypocriet bezig: Vandaag roepen we om privacy, morgen om harder straffen en overmorgen is de politie een laf schoothondje. Volgens mij moeten we een 'Facebook"-like systeem invoeren, kan elke burger aangeven of hij die agent een "good"-cop of "bad"-cop vind (en is daarmee de hele zaak afgedaan). Als een agent dan eerst een gezin red uit een brandende auto, kan hij daarna even zijn gummiknuppel gebruiken op wat hardleerse jongeren. Staat hij onderaan de streep weer netjes op 0.
Wat ik wel mooi vind is dat een Master student tegenwoordig ook meteen rechter is.

Zoals duidelijk aangegeven wordt is er weinig of geen wetgeving rondom het terughacken, maar dat betekend dus NIET dat je automatisch fout bezig bent.
Natuurlijk wel! Je hoeft geen rechter te zijn om de basiszaken van de wet te interpreteren. Sterker nog, als burger worden we geacht de wet te kennen en te begrijpen (afgezien van het naleven).

Feit 1) hacken is illegaal.
Feit 2) er zijn geen wettelijke regels hieromtrent die een specifieke uitzonderingspositie geeft aan de KLPD.
Feit 3) Zolang er geen specifieke uitzonderingspositie is voorzien voor de KLPD, geldt voor hen gewoon dezelfde regels als voor burgers (en gelukkig maar)!

Kortom, hacken is voor de KLPD gewoon verboden. Als de KLPD legaal wil kunnen 'terughacken', zullen ze dit gewoon netjes moeten (laten) regelen bij de wet.

[Reactie gewijzigd door Top-Rob op 8 november 2011 12:28]

Alle 3 je 'feiten' zijn sowieso al geen feit. Hacken met toestemming van de rechter mag al bijvoorbeeld wel. KLPD heeft een zeer bijzonder positie, dat deze niet 'gedefinieerd' is voor hacken betekend nog niet dat deze via een andere wet niet alsnog van toepassing is. Feit 3 = Feit 2 en is al onwaar. Het simpelste voorbeeld hiervan is dat de KLPD wel blauwe lampjes op de auto mag en gewone burgers niet.

En daarnaast hebben deze KLPD-ers pas de wet overtreden als de rechter daar een uitspraak over doet (of er een schikkingsvoorstel komt). Tot die tijd zijn deze mannen nog onschuldig. (En dat is wel een feit in onze rechtstaat)

Gelukkig leven we nog niet in een Peter R. de Vries-rechtsstaat waarbij de media bepaald hoe 'fout' iets is en heeft een rechter uiteindelijk het laatste woord.
Alle 3 je 'feiten' zijn sowieso al geen feit. Hacken met toestemming van de rechter mag al bijvoorbeeld wel. KLPD heeft een zeer bijzonder positie, dat deze niet 'gedefinieerd' is voor hacken betekend nog niet dat deze via een andere wet niet alsnog van toepassing is. Feit 3 = Feit 2 en is al onwaar. Het simpelste voorbeeld hiervan is dat de KLPD wel blauwe lampjes op de auto mag en gewone burgers niet.
Er is volgens mijn op dit moment geen enkel wets artikel wat een rechter in staat stelt om toestemming te geven tot het hacken van een PC. (Daar gaat dit onderzoek nu juist over).

Dus feit 2 is in mijn ogen correct.

Mocht je een bron hebben die aangeeft dat er al wel gerechtelijke toestemming is gegeven tot het uitvoeren van een hack, dan ben ik daar zeer in geďnteresseerd. :)

(Niet om te muggenziften, maar feit 3 is ook waar en juist. Om je eigen voorbeeld te gebruiken: die blauwe lampje en het gebruik ervan zijn juist bij wet geregeld voor hulpdiensten.)
Natuurlijk wel! De huidige wetgeving zegt dat hacken (binnendringen bij andermans computers) verboden is. Er is geen uitzondering voor de politie, dus is de politie 'strafbaar' bezig als ze gaan hacken.

En wat dat like-systeem betreft: we moeten voor het beoordelen van politieoptreden geen Idols-achtig systeem opzetten. Laten we dat toch maar aan de rechter over.

[Reactie gewijzigd door Apaat op 8 november 2011 12:24]

Hoezo geen uitzondering? Gewoon de politiewet erbij pakken: "De ambtenaar van politie die is aangesteld voor de uitvoering van de politietaak heeft toegang tot elke plaats, voor zover dat voor het verlenen van hulp aan hen die deze behoeven, redelijkerwijs nodig is.".

Als die plek op de computer van slachtoffers is, dan heeft de politie daar dus ook toestemming, maar die gaat niet verder dan hulpverlening cq. waarschuwen. Meer heeft de politie hier niet gedaan.

Het lijkt dus dat deze student niet ver genoeg gezocht heeft.
Gaat niet op : " redelijkerwijs nodig is".

Het was niet nodig, er zijn andere methodes om dit te doen.

Mede op verzoek van 'de politie' ontwikkeld : opvragen adresgegevens bij ISP in geval van computermisbruik.
"Het probleem is dat hier geen regels voor zijn. Het KLPD heeft maar wat gedaan", zegt ze. Voor andere bevoegdheden van de opsporingsautoriteiten, zoals het oppakken van een verdachte of het binnendringen van een woning, zijn waarborgen ingebouwd die excessen moeten voorkomen, maar die ontbreken bij het 'terughacken' door de KLPD.

There's your problem ;) Kwestie van tijd voordat er regelgeving wordt ingevoerd hoe de KLPD hiermee om moet gaan. Vind de conclusie dat er minder ingrijpende maatregelen konden worden genomen wel erg gemakkelijk. Via de provider had inderdaad ook een melding gedaan kunnen worden, dat daar niet voor is gekozen is "jammer", maar het eindresultaat blijft hetzelfde, de KLPD heeft lopen snuffelen en gevonden dat persoon X is opgenomen in een botnet. Of die waarschuwing dan via de provider of het KLPD komt, doet er mijns inziens niet zo toe.
Of die waarschuwing dan via de provider of het KLPD komt, doet er mijns inziens niet zo toe.
Het gaat dan ook niet om de melding, het gaat om het terughacken wat een ingrijpende maatregel is. En daar ben ik het wel mee eens. Je had prima eerst kunnen waarschuwen.
Als je zo een waarschuwing krijgt is het eerste wat in je op komt "virus", en dus "doe vooral niet wat dat waarschuwing zegt"!
Mwoah, dan zet je er bij: "bel voor meer informatie met <nummer> van de KLPD of je lokale politiebureau."
Helaas is Fox-it nogal eens voorstander van dit soort praktijken, en in veel van dit soort zaken ook aansturend. Ze hebben namelijk een behoorlijk aantal van dit soort overheids klussen gedaan, en zullen dit in de toekomst ook nog wel blijven doen.

De directeur van Fox-it heeft dit soort acties zelfs op een bijeenkomst van Bits of freedom durfen te verdedigen, hij zag er helemaal geen kwaad in dat de politie de wetten nogal ruim interepreteert en daarbij de privacy van burgers schaad.
Wat is je punt? Het is een insteek die te verdedigen valt met de huidige wetgeving, alleen de rechter kan uiteindelijk de beperkingen vastleggen maar tot die tijd is zijn opinie net zo valide als jouw opinie of die van BoF.

Overigens snap ik niet goed waarom Fox-It hierbij gesleept wordt, hun naam wordt nergens genoemd in het artikel.
De reden dat Fox-IT erbij gehaald wordt is dat de operatie waarmee Bredolab is opgerold is uitgevoerd door KLPD i.s.m. Fox-IT - zie de diverse artiekeln over de daadwerkelijke aanpak van het botnet
Mjah, maar dit artikel gaat over de handelswijze en de eventuele rechtmatigheid van de acties van de KLPD, niet die van Fox-IT.
Is dit niet een geval van 'het doel heiligt de middelen'? Het verdient wellicht de schoonheidsprijs niet, maar het is ook iets waard om 'slachtoffers' te laten weten dat ze gehacheld zijn.
Jawel maar daar ligt nu net het probleem, de politie dient zich te houden aan wettelijke kaders en mag geen 'het doel heiligt de middelen' toepassen, zie het gebruik van infiltranten bijvoorbeeld.

Wat je nu ziet is dat de politie, vermoedelijk na samenspraak met het OM, voor een optie kiest waar de wetgever (nog) niet in heeft voorzien, soms is dat de enige manier om duidelijkheid te verkrijgen over wetgeving overigens.
Gelukkig is de rechtspraak niet zo zwart-wit. Niet voor niets hebben wij rechters, die naar de intentie van de wet kunnen kijken, i.p.v. alleen de letter van de wet. En dan kan het wel degelijk zo zijn dat het doel de middelen heiligt!
Klinkt wel als de overheid: gewoon doen dan pas nadenken en kijken wat de consequenties zijn. Ook hier lijkt gewoon niet goed te zijn na gedacht aan de gevolgen: maar meer aan het probleem wat op dit moment voor ze ligt.
Je kan stellen dat justitie handelden in eer en geweten. Jammer dat (toekomstige) advocaten dat niet kunnen.
Anders kun je ook geen advocaat worden. ;)
Het gaat hier in eerste instantie niet over "de Politie" , maar over de KLPD
Dat is al een groot verschil.
En het valt op dit moment dus nog onder het takenpakket van de KLPD

De Overheid is bezig om een "cyber police" oid op te richten.you dun doofed
Zodra dit klaar is zal het op het takenlijstje van de cyber police staan.

Ik ben het er wel mee eens dat de KLPD hier niet goed over nagedacht heeft.
Als je het nu goed gaat spelen kan je deze zaak dus laten seponeren aangezien de klpd zich niet aan de regels heeft gehouden
Dat is een conclusie die nergens door gestaafd wordt, het zou best kunnen dat de KLPD zich tot Justitie of het OM heeft gewend en dat die het goedgekeurd hebben, er staat ook in het artikel dat het OM voorstander is van deze methodiek.
Nieuwe technologie, nieuwe manieren..daar zal altijd een grens overschreden worden, omdat er nog geen jurisprudentie is.
Nu zal er uitgezocht worden hoe de KLPD voortaan wel mag terug hacken om bijv botnet computers te aanpakken.

Er komt dus een nieuwe permissie voor. Met denk ik een standaard identifcatie bericht Dit is KLPD we hebben uw PC benaderd want:" blah blah en website blah en whatever.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True