Justitie wil nu terughacken

Cybercriminaliteit

Het OM krijgt meer wettelijke bevoegdheden om online-criminelen aan te pakken. Een nieuwe wet maakt het mogelijk hackers ‘terug te hacken’. Privacy-voorvechters, SP, D66 en GroenLinks vrezen het hellend vlak.

Het is een grote frustratie van rechercheurs: je ontdekt een online aanbieder van wapens of kinderporno, maar het lukt je niet om te ontdekken wie daar achter zit. Een moderne crimineel kan zich online gemakkelijk verschuilen, door bijvoorbeeld al zijn communicatie en bestanden te versleutelen.

Cybercriminaliteit groeit en de politie staat „steeds meer met lege handen”, zegt landelijk officier van justitie Martijn Egberts, die gespecialiseerd is in digitale criminaliteit. De traditionele opsporingsmethoden zoals telefoontaps en huiszoekingen schieten volgens hem tekort. Daarom wil het kabinet dat de politie straks mag inbreken op de apparaten van verdachten. Deze dinsdag bespreekt de Tweede Kamer de ‘terughackwet’.

Maar er is veel kritiek op die wet, vooral van D66, SP, GroenLinks en privacyvoorvechters. Zij zien het niet zitten dat de politie voor het inbreken gebruik mag maken van nog onbekende ‘mazen’ in computerprogramma’s en apps. Ze schetsen het beeld van rechercheurs die in de krochten van het internet – het dark web, waar veel anonieme criminele activiteiten plaatsvinden – geld betalen voor informatie over deze nog zwakke plekken in software waar de fabrikant niet van weet. Sterker nog: het hele internet wordt onveiliger als de politie meedoet aan de handel in zwakke software, zeggen zij.

Lees ook het nieuwsbericht: Kamer wil sterkere controle op hackende politie

Waarom wil de politie hacken?

Cybercriminaliteit kost Nederlandse bedrijven en de overheid ongeveer 10 miljard euro per jaar, volgens een berekening van accountants- en adviesbureau Deloitte. Toch wordt er „zelden een serieuze cybercrimineel aangehouden”, zegt beveiligingsexpert Ronald Prins. Hij is de oprichter van Fox-IT, een bedrijf dat de Nederlandse overheid en bedrijven helpt met het afslaan van digitale aanvallen.

Veel politieonderzoeken stoppen volgens Prins bij een vaag IP-adres ergens in het buitenland. En als de politie de server van een crimineel weet te vinden, blijkt die bijvoorbeeld gehuurd met de anonieme digitale munt bitcoin. Criminelen profiteren van deze zwakke online positie van de politie, zegt Prins. „Het is een loterij zonder verliezers.”

Niet alleen cybercriminelen kunnen online anoniem blijven, zegt Egberts. Het afschermen van je doen en laten is volgens hem zo eenvoudig dat andere misdadigers het ook kunnen. Ook de misdadigers die er geen verstand van hebben. Zij krijgen instructies om anoniem te blijven via het dark web. Egberts: „Er zijn in Nederland meerdere organisaties actief die dit soort diensten aan criminelen verkopen.”

Als de politie straks niet mag hacken, krijgt de georganiseerde criminaliteit „in feite vrij spel”, vreest Egberts. Dan kan het OM „geen serieus tegengewicht meer bieden”.

Bedrijven en particulieren weten dat er weinig cybercriminelen worden gearresteerd. Daardoor kiezen zij er vaak voor om überhaupt geen aangifte te doen, zegt Egberts. „Dat is een groot probleem.”

Hij maakt zich bijvoorbeeld zorgen over de financiële sector: „Die wordt continu aangevallen. Van Russische en Oekraïense banken is bij een reeks cyberaanvallen bijvoorbeeld 300 miljoen dollar buitgemaakt. Ik wil vergelijkbare scenario’s in Nederland voorkomen.”

Wat staat er in de wet?

De wet heet Wet computercriminaliteit III. In de eerste Wet computercriminaliteit, in 1993, werd hacken strafbaar. En nu, in de derde versie, willen opsporingsambtenaren juist zelf apparaten kunnen hacken.

Straks mogen zij zwakke plekken in software, bijvoorbeeld programmeerfouten, gebruiken om in te breken in elk mogelijk apparaat. Dat kan een computer zijn, maar bijvoorbeeld ook een smartphone, beveiligingscamera, navigatiesysteem of slim horloge.

Dus straks krijgen criminelen te maken met agenten die op afstand meekijken door hun smartphonecamera of meelezen met documenten op hun laptop. Het Openbaar Ministerie wil bijvoorbeeld op afstand spyware kunnen installeren die bijhoudt wat iemand intypt op zijn toetsenbord. Of met wachtwoorden die via een telefoontap zijn verkregen rustig bewijs kunnen verzamelen op bijvoorbeeld een Google Docs-account. Soms mag justitie gegevens ontoegankelijk maken, bijvoorbeeld online kinderporno.

Door op afstand computers en smartphones binnen te dringen, hoeven politie en OM zich minder aan te trekken van landsgrenzen. Cybercriminelen hebben elkaar vaak nog nooit gezien, zegt Prins. „Ze werken samen in een slim internationaal systeem. De buit wordt verdeeld via bitcoin.”

Opsporingsinstanties mogen alleen inbreken bij verdachten van ernstige digitale criminaliteit en verdachten van zwaardere misdrijven, waar minimaal vier jaar gevangenisstraf op staat. En er is toestemming nodig van een onderzoeksrechter. Die moet beslissen of het hacken van een bepaalde verdachte proportioneel is en of het echt onmogelijk is om hem met minder vergaande middelen te pakken.

Waarom is het controversieel?

Opsporingsambtenaren mogen gaan hacken via zwakke plekken in de software die nog niet bij de fabrikant bekend zijn. Dat vinden D66, SP en GroenLinks te ver gaan. De oppositiepartijen zijn bang dat de politie die lekken in de software niet direct gaat melden bij de leveranciers van die software. En dat is een probleem, zegt D66-Kamerlid Kees Verhoeven: „Elke kwetsbaarheid die de politie open laat staan om daarmee zelf te kunnen hacken, kunnen criminelen ook gebruiken om burgers te hacken.” Zijn fundamentele kritiek: „Dit geeft de overheid een belang om zwakheden te laten bestaan.”

Ook Ton Siedsma van privacyvoorvechter Bits of Freedom is tegen het hacken via zogeheten ‘onbekende kwetsbaarheden’: „Je streeft naar een markt waarin zwakke plekken zo snel mogelijk worden gerepareerd”, zegt hij. En dan geeft de overheid „een verkeerd signaal af” als die juist zélf die zwakke plekken gebruikt.

Bits of Freedom vreest ook dat justitie informatie over dit soort onbekende zwakke plekken gaat kopen van criminelen op het dark web. „Nu verdienen schimmige bedrijven veel geld met deze handel. Daar moet de overheid ver vandaan blijven.”

Nu verdienen schimmige bedrijven veel geld met deze handel. Daar moet de overheid ver vandaan blijven

Officier van justitie Egberts „verwacht niet” dat het OM zal gaan binnentreden via kwetsbaarheden die de fabrikant nog niet kent, maar hij wil het ook niet uitsluiten. Volgens Egberts zijn er bijna altijd wel ingangen te gebruiken die de fabrikant al kent. Bijvoorbeeld omdat de verdachte niet de laatste versie van de software heeft geïnstalleerd. Pas als dat niet lukt, zullen mogelijk onbekende kwetsbaarheden worden gebruikt. En die wil het OM zo snel mogelijk melden, zegt Egberts. Dat is het „uitgangspunt”.

Maar D66’er Kees Verhoeven wil niet vertrouwen op de goede intenties van de opsporingsinstanties. „Toen de telefoontaps werden mogelijk gemaakt zouden die ook alleen worden ingezet in uitzonderlijke gevallen en uiteindelijk zijn we wereldkampioen telefoontappen geworden. Ik vind dat je een principiële keuze moet maken.”

Zover wil PvdA-Kamerlid Jeroen Recourt niet gaan. „Ik snap dat je af en toe van zwakheden gebruik moet maken, maar die moet je wel direct melden.” En in „een heel enkel geval” kan hij zich voorstellen dat je dat lek niet meteen meldt, „bijvoorbeeld als die software is geschreven door een criminele organisatie”.

Maar hij vindt het niet goed dat er in de wet staat dat het OM zelf mag bepalen wanneer een zwakke plek wordt gemeld bij een fabrikant. „Als je het niet wilt melden moet dat getoetst worden door een rechter.” Hij heeft dit voorgesteld in een wetswijziging die dankzij steun van coalitiepartner VVD naar verwachting een Kamermeerderheid zal krijgen.

Ronald Prins vindt het „echt een onzinargument” dat justitie het internet onveilig houdt als het onbekende kwetsbaarheden gebruikt. De meeste software zit daar namelijk vol mee, zegt hij. Computerexperts weten die met een beetje moeite altijd wel te vinden.

Daar is Tweede Kamerlid Madeleine van Toorenburg (CDA) het mee eens. Het is juist een voordeel dat de politie straks ook op zoek gaat naar zwakheden, om die vervolgens bij de fabrikant te melden, zegt zij.

„De politie wordt straks een partner in het vinden zwakheden. Daar heeft de rechtschapen burger alleen maar voordeel bij.”

    • Liza van Lonkhuyzen
    • Christiaan Pelgrim