'Hacken botnetslachtoffers door KLPD was in strijd met privacy'

De manier waarop de overheid het botnet Bredolab offline haalde, was in strijd met de privacy. Dat betoogt een studente Informatierecht in haar masterscriptie. Het KLPD hackte vorig jaar computers van zowel slachtoffers als een verdachte.

Volgens Merel Koning, die met haar scriptie over de Bredolab-affaire afstudeerde in een master Informatierecht, was het 'terughacken' van slachtoffers in strijd met privacywetgeving. Het KLPD deed dat om gebruikers te waarschuwen dat ze waren geïnfecteerd met malware en onderdeel waren van een botnet. De politie installeerde hiervoor een programma dat ze doorverwees naar een waarschuwingspagina. Volgens Koning doen de goede bedoelingen echter niets af aan het feit dat het simpelweg niet mag.

"Op dit moment is dat niet toegestaan", zegt Koning tegen Tweakers.net. Ze tekent aan dat de politie enorm veel over burgers te weten kan komen als ze hun computers hacken. "Het is een hele ingrijpende maatregel. Er zijn minder ingrijpende mogelijkheden om gebruikers te waarschuwen", stelt zij. Het KLPD had bijvoorbeeld internetproviders kunnen inschakelen om gebruikers te waarschuwen. Daar komt bij dat de Nederlandse politie buiten het grondgebied van Nederland geen bevoegdheden heeft.

De politie brak in op de computers van besmette Bredolab-slachtoffers, door de zogenoemde command-and-control-servers van het botnet binnen te dringen. Daardoor kon ook de verdachte beheerder achter het botnet worden bespioneerd. Ook dat was niet in lijn met privacywetgeving, stelt Koning. "Het probleem is dat hier geen regels voor zijn. Het KLPD heeft maar wat gedaan", zegt ze. Voor andere bevoegdheden van de opsporingsautoriteiten, zoals het oppakken van een verdachte of het binnendringen van een woning, zijn waarborgen ingebouwd die excessen moeten voorkomen, maar die ontbreken bij het 'terughacken' door de KLPD.

Bovendien zijn er ook geen regels die het terughacken legitimeren: nergens in de wet heeft de politie de bevoegdheid gekregen om te hacken. Het Openbaar Ministerie is voorstander van een dergelijke bevoegdheid, maar volgens Koning moet nog maar blijken of het niet in strijd is met het Europese Mensenrechtenverdrag, waar Nederland zich aan moet houden. Een artikel van dat verdrag betreft privacybescherming van burgers.

Koning weerspreekt ook de volgens haar 'spectaculaire' claims die de overheid deed bij de ontmanteling van het botnet. Het botnet zou niet 143 commandoservers hebben gehad, zoals werd geclaimd, maar slechts zes. De overige servers zouden wel zijn gebruikt voor cybercrime, maar niet specifiek voor Bredolab.

Ook de claim van 30 miljoen infecties die het Openbaar Ministerie maakte, is volgens de onderzoekster gebaseerd op een twijfelachtige calculatie. Het OM heeft zelf 3 miljoen infecties aangetroffen en heeft dat als basis genomen om terug te rekenen. Via extrapolatie kwam het OM op een uiteindelijk aantal van 30 miljoen. Volgens Koning heeft het OM echter lineair teruggerekend vanaf 3 miljoen, terwijl botnets exponentieel groeien. Het aantal besmettingen lag in feite waarschijnlijk veel lager, concludeert ze.

Door Joost Schellevis

Redacteur

Feedback • 08-11-2011 12:01 109

08-11-2011 • 12:01

109

Lees meer

'Dorifel-uitbraak was sneller te stoppen via terughacken'
'Dorifel-uitbraak was sneller te stoppen via terughacken' Nieuws van 21 oktober 2012
Overheid wil verdachten cybercrime kunnen hacken
Overheid wil verdachten cybercrime kunnen hacken Nieuws van 15 oktober 2012
Russische beheerder Bredolab-botnet krijgt vier jaar cel
Russische beheerder Bredolab-botnet krijgt vier jaar cel Nieuws van 25 mei 2012
Nederlandse recherche hackt buitenlandse computers illegaal
Nederlandse recherche hackt buitenlandse computers illegaal Nieuws van 10 maart 2012
'RIPE klaagt KLPD aan om ip-blokkade'
'RIPE klaagt KLPD aan om ip-blokkade' Nieuws van 16 november 2011
OM: hacken botnetslachtoffers was toegestaan
OM: hacken botnetslachtoffers was toegestaan Nieuws van 15 november 2011
Estse botnetbeheerders hadden server in Nederland
Estse botnetbeheerders hadden server in Nederland Nieuws van 12 november 2011
Politie blokkeert ip-adressen botnetbeheerders
Politie blokkeert ip-adressen botnetbeheerders Nieuws van 10 november 2011
FBI rolt megabotnet op met hulp van KLPD
FBI rolt megabotnet op met hulp van KLPD Nieuws van 9 november 2011
Microsoft ontmantelt spambotnetwerk met hulp Nederlandse politie
Microsoft ontmantelt spambotnetwerk met hulp Nederlandse politie Nieuws van 18 maart 2011
'Ddos-aanval op Mastercard.com werd vanuit Nederland opgezet' - update
'Ddos-aanval op Mastercard.com werd vanuit Nederland opgezet' - update Nieuws van 8 december 2010
Govcert waarschuwt voor impact cybercrime
Govcert waarschuwt voor impact cybercrime Nieuws van 15 november 2010
OM: botnet bracht Bredolab-beheerder ton per maand op
OM: botnet bracht Bredolab-beheerder ton per maand op Nieuws van 1 november 2010
GroenLinks: terughoudend zijn met 'terughacken' door politie
GroenLinks: terughoudend zijn met 'terughacken' door politie Nieuws van 28 oktober 2010
'Politie moet computers cybercriminelen kunnen hacken' - update
'Politie moet computers cybercriminelen kunnen hacken' - update Nieuws van 26 oktober 2010
Nationale Recherche haalt Bredolab-botnet uit de lucht
Nationale Recherche haalt Bredolab-botnet uit de lucht Nieuws van 25 oktober 2010
Meer producten en artikelen
Privacy Politiek en recht Internet Nederland Wetgeving

Reacties (109)

-Moderatie-faq
109
105
88
12
0
0
Wijzig sortering
Evil_king 8 november 2011 13:03
Tja, weer het zoveelste probleem door compleet missende wetgeving omtrent ICT misdrijven en handhaving. Hoog tijd dat hier op globaal niveau eens echt iets aan gedaan wordt.

Op zich was het natuurlijk doeltreffende wat de politie gedaan heeft met dat terughacken. Maar inderdaad, hiermee schenden ze wel de privacy van de slachtoffers als dit ook via de provider gespeeld kan worden. Kortom, hier moet bescherming via de wet geregeld worden, waarbij politie dus alleen bij hoge uitzondering (en dus niet in de hoeveelheden waar nu bijv. informatie wordt opgevraagd en gegeven) zoiets zou mogen doen.

Aan de andere kant moeten we ook niet doordraven. Iemand zn mensenrechten zijn voor mijn gevoel niet ter plekke geschonden als de politie via zijn computer een 3e persoon (de hacker ed.) weet op te pakken. Op een gerichte manier (en met gedegen, getoetste en beperkte bevoegdheid) iemand zn computer hacken is veel minder erg dan bij wijze van spreken zijn deur inbeuken om te zeggen dat er is ingebroken. Maar daar geldt wel weer bij: mochten ze nou (zelfs nadat een rechter gezien de echte noodzaak dit goed heeft gekeurd) op zo'n burger zijn computer iets van pr0n of illegale software vinden, dan mag je daar in het kader van dat onderzoek niet ook maar meteen die burger voor oppakken.
Rob @Evil_king8 november 2011 21:05
Ze hebben mijn inziens niet de privacy van de slachtoffers geschonden.
De KLPD heeft het botnet opdracht gegeven een executable te downloaden. Deze executable toonde een website bij de volgende login. Waarschijnlijk door de 'homepage' van de browser aan te passen. Een aanpassing in het register van een computer is voldoende.

De KLPD heeft GEEN toegang gehad tot de systemen, wel de mogelijkheid om toegang te krijgen tot de systemen. Als ze echt toegang hadden willen krijgen tot de systemen dan hadden ze een andere programma moeten installeren op de systemen van de slachtoffers, wat ze niet gedaan hebben.

Wat hebben ze wel kunnen achterhalen: IP adressen van de machines. De executable moet ergens worden opgehaald en het bezoeken van de 'he joh, je bent deel van een botnet' pagina laat ook een IP adres achter.

Mochten ze het slachtoffer hacken? Ik zie er geen probleem mee. Ze hebben systemen gemonitored waarvan zeker was dat er verkeerde dingen mee gedaan werden. Door het monitoren hebben ze de dader kunnen achterhalen. Vergelijk het met het ontdekken van een grote wietplantage, het is van buiten al te zien dat het een wietplantage is, dus de politie laat het slot openmaken, gaat binnenzitten en wacht op de daders.


Overigens word ik een beetje moe van hoe de politie/KLPD de laatste tijd heel negatief in beeld wordt gebracht. Dit komt niet ten goede van waar de politie voor staat.
De politie moet kracht, respect en daadkracht uitstralen. Als een politie-agent je aanspreekt moet je denken 'ja meneer, sorry meneer'
De laatste tijd worden ze als slappelingen (http://www.nu.nl/binnenla...t-niet-in-bij-geweld.html), als ze ingrijpen en daarvoor gebruik maken van hun wapen, dan wordt er meteen een onderzoek uitgevoerd terwijl de agent op non-actief staat.
Laat de politie met rubber-kogels op een menigte schieten als ze door die menigte worden belaagd, laat ze een waarschuwingschot afvuren voordat die menigte het in zijn hoofd haalt de politie te belagen. Het mag best wel zijn zoals in de VS, daar hebben de mensen nog respect voor de politie.
Anoniem: 175233 @Evil_king8 november 2011 17:00
De computers van de slachtofters zijn niet direct door de politie gehackt. De politie heeft simpelweg het bestaande botnet de opdracht gegeven een bestand te uploaden, waarmee de browser geredirect werd naar een informatie pagina van de politie.
Geen sprake van dus, dat de politie op de pc's van de slachtoffers aan het rondsnuffelen was.
Mijzelf 8 november 2011 12:29
Ik vind het nogal gezeur eigenlijk. Ik lees hierboven dat 'de KLPD maar een brief had moeten sturen ofzo'.
De KLPD wist van het botnet alleen de IP adressen. Ik neem aan dat ze wel de mogelijkheid hebben om daar een telefoonnummer/post adres bij te zoeken, maar dat is een hoop werk (dat van belastinggeld moet worden betaald), en plotseling hebben de anonieme botnetslachtoffers een naam gekregen (over privacy gesproken).
In plaats daarvan hebben ze het botnet zelf gebruikt om een waarschuwing te verspreiden, waarbij de ontvangers dus feitelijk anoniem zijn gebleven, maar dan wordt er geklaagd over privacy.
Zucht.
NLxAROSA @Mijzelf8 november 2011 12:51
Precies, en als de KLPD niets had gedaan, dan hadden hier 100 posts gestaan waarin verontwaardigd werd gereageerd over het feit dat ze wat hadden moeten doen. ;) Prima actie van de KLPD wat mij betreft.
bommel845 8 november 2011 12:35
Als ik niet thuis ben (of lig te slapen) wanneer er ingebroken wordt en langslopende politie ziet een inbreker in mijn huis bezig, dan is de politie welkom om mijn huis te betreden door het reeds geforceerde slot om die dief aan te houden.

Ik ben de politie dan dankbaar voor het beschermen van mijn gezin en eigendommen.

Uiteraard vind ik het dan niet tof als de politie in mijn spullen gaat zitten rommelen of mijn koelkast plundert. Maar ik heb toch echt het vertrouwen dat zij ethisch en integer handelen.
Sundog @bommel8458 november 2011 18:59
Ja, maar de langslopende politie mag jouw huis dan betreden omdat dit zo in de wet geregeld is. (Er is dus een wettelijke basis waarop zij jouw huis betreden op dat moment. )

In dit geval is er geen wettelijke basis om via een bestaande hack veranderingen aan te brengen op iemands computer. Ook al is de intentie goed, de agenten die het uitvoeren kunnen zich niet beroepen op een wet die dat toestaat.
TheGhostInc 8 november 2011 12:11
Wat ik wel mooi vind is dat een Master student tegenwoordig ook meteen rechter is.

Zoals duidelijk aangegeven wordt is er weinig of geen wetgeving rondom het terughacken, maar dat betekend dus NIET dat je automatisch fout bezig bent. Zeker in een dergelijke situatie heb je maar 2 mogelijkheden: wetgeving creëren die dit wel dekt OF een rechter een uitspraak laten doen op basis van huidige wetgeving.

Maar gelukkig zijn we niet al te hypocriet bezig: Vandaag roepen we om privacy, morgen om harder straffen en overmorgen is de politie een laf schoothondje. Volgens mij moeten we een 'Facebook"-like systeem invoeren, kan elke burger aangeven of hij die agent een "good"-cop of "bad"-cop vind (en is daarmee de hele zaak afgedaan). Als een agent dan eerst een gezin red uit een brandende auto, kan hij daarna even zijn gummiknuppel gebruiken op wat hardleerse jongeren. Staat hij onderaan de streep weer netjes op 0.
Top-Rob @TheGhostInc8 november 2011 12:25
Wat ik wel mooi vind is dat een Master student tegenwoordig ook meteen rechter is.

Zoals duidelijk aangegeven wordt is er weinig of geen wetgeving rondom het terughacken, maar dat betekend dus NIET dat je automatisch fout bezig bent.
Natuurlijk wel! Je hoeft geen rechter te zijn om de basiszaken van de wet te interpreteren. Sterker nog, als burger worden we geacht de wet te kennen en te begrijpen (afgezien van het naleven).

Feit 1) hacken is illegaal.
Feit 2) er zijn geen wettelijke regels hieromtrent die een specifieke uitzonderingspositie geeft aan de KLPD.
Feit 3) Zolang er geen specifieke uitzonderingspositie is voorzien voor de KLPD, geldt voor hen gewoon dezelfde regels als voor burgers (en gelukkig maar)!

Kortom, hacken is voor de KLPD gewoon verboden. Als de KLPD legaal wil kunnen 'terughacken', zullen ze dit gewoon netjes moeten (laten) regelen bij de wet.

[Reactie gewijzigd door Top-Rob op 23 juli 2024 02:35]

TheGhostInc @Top-Rob8 november 2011 12:42
Alle 3 je 'feiten' zijn sowieso al geen feit. Hacken met toestemming van de rechter mag al bijvoorbeeld wel. KLPD heeft een zeer bijzonder positie, dat deze niet 'gedefinieerd' is voor hacken betekend nog niet dat deze via een andere wet niet alsnog van toepassing is. Feit 3 = Feit 2 en is al onwaar. Het simpelste voorbeeld hiervan is dat de KLPD wel blauwe lampjes op de auto mag en gewone burgers niet.

En daarnaast hebben deze KLPD-ers pas de wet overtreden als de rechter daar een uitspraak over doet (of er een schikkingsvoorstel komt). Tot die tijd zijn deze mannen nog onschuldig. (En dat is wel een feit in onze rechtstaat)

Gelukkig leven we nog niet in een Peter R. de Vries-rechtsstaat waarbij de media bepaald hoe 'fout' iets is en heeft een rechter uiteindelijk het laatste woord.
Sundog @TheGhostInc8 november 2011 15:45
Alle 3 je 'feiten' zijn sowieso al geen feit. Hacken met toestemming van de rechter mag al bijvoorbeeld wel. KLPD heeft een zeer bijzonder positie, dat deze niet 'gedefinieerd' is voor hacken betekend nog niet dat deze via een andere wet niet alsnog van toepassing is. Feit 3 = Feit 2 en is al onwaar. Het simpelste voorbeeld hiervan is dat de KLPD wel blauwe lampjes op de auto mag en gewone burgers niet.
Er is volgens mijn op dit moment geen enkel wets artikel wat een rechter in staat stelt om toestemming te geven tot het hacken van een PC. (Daar gaat dit onderzoek nu juist over).

Dus feit 2 is in mijn ogen correct.

Mocht je een bron hebben die aangeeft dat er al wel gerechtelijke toestemming is gegeven tot het uitvoeren van een hack, dan ben ik daar zeer in geïnteresseerd. :)

(Niet om te muggenziften, maar feit 3 is ook waar en juist. Om je eigen voorbeeld te gebruiken: die blauwe lampje en het gebruik ervan zijn juist bij wet geregeld voor hulpdiensten.)
Apaat @TheGhostInc8 november 2011 12:22
Natuurlijk wel! De huidige wetgeving zegt dat hacken (binnendringen bij andermans computers) verboden is. Er is geen uitzondering voor de politie, dus is de politie 'strafbaar' bezig als ze gaan hacken.

En wat dat like-systeem betreft: we moeten voor het beoordelen van politieoptreden geen Idols-achtig systeem opzetten. Laten we dat toch maar aan de rechter over.

[Reactie gewijzigd door Apaat op 23 juli 2024 02:35]

MSalters
@Apaat8 november 2011 12:54
Hoezo geen uitzondering? Gewoon de politiewet erbij pakken: "De ambtenaar van politie die is aangesteld voor de uitvoering van de politietaak heeft toegang tot elke plaats, voor zover dat voor het verlenen van hulp aan hen die deze behoeven, redelijkerwijs nodig is.".

Als die plek op de computer van slachtoffers is, dan heeft de politie daar dus ook toestemming, maar die gaat niet verder dan hulpverlening cq. waarschuwen. Meer heeft de politie hier niet gedaan.

Het lijkt dus dat deze student niet ver genoeg gezocht heeft.
moreasy @MSalters8 november 2011 15:17
Gaat niet op : " redelijkerwijs nodig is".

Het was niet nodig, er zijn andere methodes om dit te doen.

Mede op verzoek van 'de politie' ontwikkeld : opvragen adresgegevens bij ISP in geval van computermisbruik.
Swedish Clown 8 november 2011 12:13
"Het probleem is dat hier geen regels voor zijn. Het KLPD heeft maar wat gedaan", zegt ze. Voor andere bevoegdheden van de opsporingsautoriteiten, zoals het oppakken van een verdachte of het binnendringen van een woning, zijn waarborgen ingebouwd die excessen moeten voorkomen, maar die ontbreken bij het 'terughacken' door de KLPD.

There's your problem ;) Kwestie van tijd voordat er regelgeving wordt ingevoerd hoe de KLPD hiermee om moet gaan. Vind de conclusie dat er minder ingrijpende maatregelen konden worden genomen wel erg gemakkelijk. Via de provider had inderdaad ook een melding gedaan kunnen worden, dat daar niet voor is gekozen is "jammer", maar het eindresultaat blijft hetzelfde, de KLPD heeft lopen snuffelen en gevonden dat persoon X is opgenomen in een botnet. Of die waarschuwing dan via de provider of het KLPD komt, doet er mijns inziens niet zo toe.
rodie83 @Swedish Clown8 november 2011 12:21
Of die waarschuwing dan via de provider of het KLPD komt, doet er mijns inziens niet zo toe.
Het gaat dan ook niet om de melding, het gaat om het terughacken wat een ingrijpende maatregel is. En daar ben ik het wel mee eens. Je had prima eerst kunnen waarschuwen.
GalaxyNote @rodie838 november 2011 12:39
Als je zo een waarschuwing krijgt is het eerste wat in je op komt "virus", en dus "doe vooral niet wat dat waarschuwing zegt"!
GreatDictator @GalaxyNote8 november 2011 14:20
Mwoah, dan zet je er bij: "bel voor meer informatie met <nummer> van de KLPD of je lokale politiebureau."
killercow 8 november 2011 13:47
Helaas is Fox-it nogal eens voorstander van dit soort praktijken, en in veel van dit soort zaken ook aansturend. Ze hebben namelijk een behoorlijk aantal van dit soort overheids klussen gedaan, en zullen dit in de toekomst ook nog wel blijven doen.

De directeur van Fox-it heeft dit soort acties zelfs op een bijeenkomst van Bits of freedom durfen te verdedigen, hij zag er helemaal geen kwaad in dat de politie de wetten nogal ruim interepreteert en daarbij de privacy van burgers schaad.
Tijger @killercow8 november 2011 15:04
Wat is je punt? Het is een insteek die te verdedigen valt met de huidige wetgeving, alleen de rechter kan uiteindelijk de beperkingen vastleggen maar tot die tijd is zijn opinie net zo valide als jouw opinie of die van BoF.

Overigens snap ik niet goed waarom Fox-It hierbij gesleept wordt, hun naam wordt nergens genoemd in het artikel.
hellknight @Tijger8 november 2011 15:15
De reden dat Fox-IT erbij gehaald wordt is dat de operatie waarmee Bredolab is opgerold is uitgevoerd door KLPD i.s.m. Fox-IT - zie de diverse artiekeln over de daadwerkelijke aanpak van het botnet
Tijger @hellknight8 november 2011 16:15
Mjah, maar dit artikel gaat over de handelswijze en de eventuele rechtmatigheid van de acties van de KLPD, niet die van Fox-IT.
Pixeltje 8 november 2011 12:30
Is dit niet een geval van 'het doel heiligt de middelen'? Het verdient wellicht de schoonheidsprijs niet, maar het is ook iets waard om 'slachtoffers' te laten weten dat ze gehacheld zijn.
Tijger @Pixeltje8 november 2011 13:02
Jawel maar daar ligt nu net het probleem, de politie dient zich te houden aan wettelijke kaders en mag geen 'het doel heiligt de middelen' toepassen, zie het gebruik van infiltranten bijvoorbeeld.

Wat je nu ziet is dat de politie, vermoedelijk na samenspraak met het OM, voor een optie kiest waar de wetgever (nog) niet in heeft voorzien, soms is dat de enige manier om duidelijkheid te verkrijgen over wetgeving overigens.
Anoniem: 175233 @Tijger8 november 2011 16:57
Gelukkig is de rechtspraak niet zo zwart-wit. Niet voor niets hebben wij rechters, die naar de intentie van de wet kunnen kijken, i.p.v. alleen de letter van de wet. En dan kan het wel degelijk zo zijn dat het doel de middelen heiligt!
Anvesi 8 november 2011 12:10
Klinkt wel als de overheid: gewoon doen dan pas nadenken en kijken wat de consequenties zijn. Ook hier lijkt gewoon niet goed te zijn na gedacht aan de gevolgen: maar meer aan het probleem wat op dit moment voor ze ligt.
IStealYourGun @Anvesi8 november 2011 12:30
Je kan stellen dat justitie handelden in eer en geweten. Jammer dat (toekomstige) advocaten dat niet kunnen.
NLxAROSA @IStealYourGun8 november 2011 12:53
Anders kun je ook geen advocaat worden. ;)
Pablo 8 november 2011 12:13
Het gaat hier in eerste instantie niet over "de Politie" , maar over de KLPD
Dat is al een groot verschil.
En het valt op dit moment dus nog onder het takenpakket van de KLPD

De Overheid is bezig om een "cyber police" oid op te richten.you dun doofed
Zodra dit klaar is zal het op het takenlijstje van de cyber police staan.

Ik ben het er wel mee eens dat de KLPD hier niet goed over nagedacht heeft.
Als je het nu goed gaat spelen kan je deze zaak dus laten seponeren aangezien de klpd zich niet aan de regels heeft gehouden
Tijger @Pablo8 november 2011 12:29
Dat is een conclusie die nergens door gestaafd wordt, het zou best kunnen dat de KLPD zich tot Justitie of het OM heeft gewend en dat die het goedgekeurd hebben, er staat ook in het artikel dat het OM voorstander is van deze methodiek.
Solstice 8 november 2011 12:08
Nieuwe technologie, nieuwe manieren..daar zal altijd een grens overschreden worden, omdat er nog geen jurisprudentie is.
Nu zal er uitgezocht worden hoe de KLPD voortaan wel mag terug hacken om bijv botnet computers te aanpakken.

Er komt dus een nieuwe permissie voor. Met denk ik een standaard identifcatie bericht Dit is KLPD we hebben uw PC benaderd want:" blah blah en website blah en whatever.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq