De hacker gehackt?
Het is inmiddels alweer oud nieuws: begin augustus was er veel ophef in de media over uitspraken van Ronald Prins, directeur van IT beveligingsbedrijf Fox-IT. Prins pleit voor een vergaand recht voor de Nederlandse opsporingsdiensten om ‘terug te hacken’ wanneer in het buitenland computers worden ingezet voor het uitvoeren van criminele activiteiten gericht op Nederlandse burgers. Een controversieel standpunt, dat natuurlijk op de nodige reacties kan rekenen (uiteraard in niet meer dan 140 karakters).
Nadat minister Opstelten (digibeet pur sang) een brief aan de kamer schreef met vergelijkbare plannen, sloeg de vlam natuurlijk helemaal in de pan. Bits of Freedom besteedde aandacht aan de brief op haar website, waarbij net als in de uitspraken en de brief die de aanleiding vormen voor deze reactie wel erg kort door de bocht wordt geredeneerd.
Het voorstel
In de brief van Opstelten aan de kamer wordt voorgesteld om te onderzoeken of de Nederlandse politie en het Openbaar Ministerie meer bevoegdheden kunnen worden gegeven om beveiliging van computers te doorbreken met als doel hier bewijsmateriaal te verzamelen of criminele activiteiten stop te leggen. Ook wordt het ‘helen’ van digitale gegevens, het verkopen van gegevens verkregen door onrechtmatig toegang tot computers of systemen te verkrijgen, genoemd. Dit alles ook, of juist, als het gaat om computers of systemen in het buitenland.
De achtergrond is gelegen in een toenemende overlast van cybercriminaliteit. Diefstal uitgevoerd in het digitale domein, door vaak erg professionele en georganiseerde bendes in met name Oost-Europese en Aziatische landen. Landen waar Nederland, een erfenis uit het verleden, traditioneel weinig juridische samenwerking mee geniet. Opstelten, die zelf geen enkel idee heeft hoe het internet werkt en zich moet behelpen met analogieën in de fysieke wereld om zich een idee te vormen van het digitale domein, constateert met Prins terecht dat de traditionele opsporingsdiensten machteloos staan tegenover deze bendes.
Wilde westen
Lang geleden, toen het internet nog in de kinderschoenen stond, werd het wel eens vergeleken met het Wilde Westen. Een onontgonnen wereld. De verwachtingen waren hoog; een heel nieuw virtueel landschap dat niet gebonden was aan landsgrenzen zou een platform worden voor het vrije woord. Idealisten voorspelden een gouden toekomst. Van het vrije woord is inmiddels niet zo veel meer over op het internet. Maar de landsgrenzen zijn nog altijd irrelevant, en criminelen maken daar dankbaar gebruik van. Je hoeft niet langer naar Nederland om geld van Nederlanders te stelen, als geheime dienst hoef je niet langer een spion naar Nederland te sturen om allerlei interessante informatie over de Nederlandse burgers en de Nederlandse staat te verzamelen.
Justitie en politie blijven echter achter, en zijn gebonden aan de landsgrenzen. Bij strafbare feiten jegens Nederlandse burgers of de Nederlandse staat zijn zij afhankelijk van de samenwerking met vergelijkbare diensten in andere landen. En die verloopt niet altijd soepel, of wordt ronduit geweigerd. Tegen de tijd dat een verzoek om hulp aan het buitenland wordt beantwoord, is de crimineel al lang gevlogen. Het internet is dus voor de criminelen nog steeds het Wilde Westen: een vacuüm waarbinnen de kwaadwillende ongehinderd zijn snode plannen kan uitvoeren, met hier en daar een machteloze sheriff die krampachtig zijn stadje probeert te verdedigen tegen het boeventuig.
Terughacken
Het is dan ook niet zo vreemd dat Opstelten graag iets wil doen om ons, Nederlandse burgers maar natuurlijk ook de staat, te beschermen tegen dit boeventuig. Het is ook niet vreemd dat Prins, directeur van Fox-IT, graag ziet dat er kan worden opgetreden tegen deze praktijken. Wie zich wil beschermen, en daarbij hulp zoekt van bijvoorbeeld bedrijven als Fox-IT, ITSX, Madison Gurkha en noem ze maar op krijgt vaak nee op het rekest. De bedrijven worden overspoeld door verzoeken van bedrijven en organisaties die last ondervinden van cybercriminaliteit en hebben geen ruimte meer voor nieuwe klanten. Maar ook de autonome hackers merken dat er veel behoefte is aan bescherming, via bijvoorbeeld hackerspaces.nl krijg ik regelmatig verzoeken van instellingen die hulp willen bij het beveiligen van IT infrastructuur. Er is simpelweg niet genoeg mankracht beschikbaar om de tsunami (om maar eens een klassieke woordkeuze te gebruiken) te stoppen.
Door alleen de symptomen aan te pakken (beetje patchen hier, pentestje daar, adviesje zus, audit zo) sla je geen bres in de aanhoudende golf van oplichterij en computerinbraken. Is terughacken dan wel een oplossing? Het is mijns inziens wel een verruiming van de blik in de goede richting. Niet naar de gevolgen kijken, maar naar de bron. Immers, zolang de bron niet opdroogt blijft het dweilen met de kraan open.
Toch vind ik de voorstellen op zijn minst vreemd te noemen. Op de site van Fox-IT wordt een vergelijking getrokken met het internationaal zeerecht. Wanneer in de internationale wateren, die volgens internationale afspraken niet bij het grondgebied van een bepaald land horen, misdaden worden gepleegd is een land gerechtigd daar tegen op te treden. Deze vergelijking gaat, zoals zo veel vergelijkingen die proberen het digitale uit te leggen door vergelijkingen te maken met het fysieke, echter mank. Het voorstel gaat niet over internationale wateren, maar gaat expliciet in op het plegen van strafbare feiten door Nederlandse ambtenaren op buitenlands grondgebied.
Terecht geeft Bits of Freedom in haar reactie aan dat dit precedenten schept, en wel eens tegenaanvallen zou kunnen provoceren. Maar tegelijkertijd spreekt uit de reactie van Bits of Freedom een hoop naïviteit, door te denken dat er nu al niet door buitenlandse mogendheden actief informatie wordt verzameld (van economische of politieke aard) door op Nederlandse systemen in te breken. Het gros van de computers bij mensen thuis is voorzien van 1 of meerdere virussen, waardoor hele maffia-organisaties letterlijk mee kunnen kijken met je banktransacties.
Hypocriet
Het is eigenlijk een beetje een raar spelletje geworden. Een jaar terug riepen we vanuit de Nederlandse hackergemeenschap nog om een vergelijkbare bevoegdheid. Goedbedoelende ethische hackers durven vaak geen bevindingen te melden over systemen die slecht beveiligd zijn, uit angst voor juridische represailles. Ik liep zelf voorop in de roep om een juridische bescherming voor deze consciëntieuze hackers. Vanuit overheidswege en de grote bedrijven was het protest niet van de lucht. “Een vrijbrief om te hacken”, daar was de gevestigde orde bang voor.
Nu zijn de rollen omgedraaid. De gevestigde belangen hebben door dat het allemaal niet zo zwart-wit is gesteld, en willen nu zelf rechtsbescherming voor iets wat in feite op hetzelfde neerkomt. En vanuit de hackercommunity en privacy-voorvechters horen we nu hetzelfde “Een vrijbrief om te hacken! Schande!”.
En nu?
En nu wacht ik bevend op het wetsvoorstel dat Opstelten (mocht hij zoals verwacht in het nieuwe kabinet wederom aan de bak mogen als minister van Justitie & Veiligheid) gaat presenteren. Voorstanders van dit proefballonnetje herhalen regelmatig dat een dergelijke wet zorgvuldig moet worden toegepast, en alleen in ernstige gevallen mag worden aangeroepen. De vraag is dan automatisch wat een ernstig geval is. Of belangrijker nog: wie bepaalt wanneer een geval een ernstig geval is.
En hoe denken voorstanders van deze wet over andere landen die mogelijk ook zo’n wet aan gaan nemen? Accepteren wij als land dan dat bijvoorbeeld China bij ons mag inbreken om de daar geldende wetten te handhaven? Dat betekent dan dus dat bijvoorbeeld het verwijderen van informatie die kritisch is tegen het Chinese regime ook fair game is. Is dat wenselijk? Ik denk het niet.
De wet is in mijn ogen dan ook een slecht idee, en Opstelten is de laatste die ik vertrouw om hier een zorgvuldig en werkbaar voorstel van te maken. Toch zie ik wel een lichtpuntje. Het voorstel, en de bijbehorende provocerende stellingen van bijvoorbeeld Prins, kunnen gebruikt worden als een aanknopingspunt om nu eens echt na te denken over cybercriminaliteit.
Tegen, maar dan?
Hackers zijn er in alle soorten en maten, en binnen de gemeenschap loopt het spectrum uiteen van knutselaars tot sterk ideologisch gemotiveerde politieke dieren. De techneut voert echter de boventoon, en vanuit die hoek is cybercrime vooral een technische puzzel. Het ontbreekt wat dat betreft erg aan visie over het grotere geheel, in mijn ogen. Want wat is het antwoord op cybercrime vanuit de hackercommunity? Zero-days vinden? Linux installeren? Lachen om die domme gebruikers die hun computer niet goed kunnen beveiligen?
Dus, hackers, wat vinden we? Ja, we zijn tegen dit ondoordachte en gevaarlijke wetsvoorstel. Maar zijn we meer dan alleen tegen? Ik heb het vaker gezegd: hackers vormen het technologisch geweten van de samenleving. Welnu, wat vind ons geweten van de wetteloosheid die het internet mogelijk maakt? Hebben we een antwoord op een reëel probleem: identiteitsdiefstal en oplichting. Of vinden we het eigenlijk wel prima, en is het een prijs die we graag (laten) betalen voor privacy?
November 7th, 2012 at 23:48
Je vergelijkt het recht op “terughacken” in opdracht van (“door”, staat er, maar dat wordt uiteraard uitbesteed) opsporingsdiensten met de door delen van de hackergemeenschap gewenste juridische bescherming bij het melden van lekken. Je versimpelt beide tot “Een vrijbrief om te hacken”, zoals veel mensen doen, en het voelt alsof je de twee dingen daarmee ook aan elkaar gelijk stelt.
Ze zijn niet gelijk. De juridische bescherming was bedacht binnen een kader waarin ethisch handelen wordt afgedwongen als voorwaarde, terwijl het terughacken een offensieve handeling bij opsporing zou zijn. Het eerste is gericht op zo min mogelijk gebruik maken van beveiligingsgaten, het tweede is juist gericht op maximaal gebruik maken van beveiligingsgaten. Het eerste is bedoeld ter bevordering van ICT-beveiliging, terwijl het terughackvoorstel juist een quasi-legitieme reden introduceert om beveiligingsgaten in stand te houden.
Inderdaad hebben de gereedschappen die hackers hebben gemaakt een schaduwzijde. Tools die zorgen voor privacy en anonimiteit zijn prima te gebruiken om je te beschermen tegen de machthebber. Als dat gaat om vrijheid van meningsuiting in landen waar het heersende regime dat niet toestaat, vinden we dat geweldig. Als het gaat om mensen die het gebruiken voor het verspreiden van kinderporno, dan vinden we het erg vervelend dat de overheid er niks aan kan doen. Maar deze discussie is niet nieuw. Internet en computers zijn niet de eerste dingen die je voor zowel goed als kwaad kunt gebruiken. Het klassieke voorbeeld is het mes. Voor de mensheid onmisbaar om te overleven, maar ook heel effectief als wapen. Wereldwijd bestaat er totaal geen consensus over hoe je met dit dilemma moet omgaan. In Nederland mag je je keukenmes in de keuken hebben, maar je mag er niet zomaar mee over straat. Juridisch is het daarmee redelijk afgedekt, maar technisch zal het onderscheid geen levens redden. Je wildewestenvergelijking lijkt me daarom opgaan voor alles binnen de samenleving, en zeker niet alleen nieuwe techniek betreffen.
Het ligt voor de hand om te proberen een balans op te maken. Gegeven de positieve en negatieve gevolgen, zijn we dan beter af of slechter af met de nieuwe mogelijkheden, met beveiligingsonderzoek en publicatie van bevindingen? Ik denk dat we met burgerrechten per saldo een betere wereld hebben, zelfs als er burgers zijn die er slechte dingen mee doen, dan wanneer de overheid dergelijke rechten krijgt en de burger niet.
Daarom zet ik me graag nog steeds in voor betere beveiliging, zodat we de gegeven digitale burgerrechten kunnen gebruiken, en afdwingen waar overheden vinden dat we ze niet zouden moeten hebben. Praktisch betekent dat: mensen veilige gewoontes aanleren, communicatie en opslag beveiligen met versleuteling, beveiligingsproblemen blootleggen en dichten, en de hoeveelheid opgeslagen persoonsgegevens minimaliseren. Ik besef terdege dat al deze vooruitgang ook misbruikt kan worden. De suggestie dat dat een prijs is die we “graag” betalen, vind ik vervelend. Het is een prijs die ik ervoor over heb, omdat ik ervan overtuigd ben dat het onderaan de streep beter is. Dat is niet graag, maar weloverwogen.
Dit is geen “antwoord op cybercrime”, maar een doorlopende attitude.
(Overigens is het wellicht fair om met de lezer te delen wie je werkgever is; dat lijkt me voor dit artikel relevant, zelfs als je op persoonlijke titel spreekt.)
November 12th, 2012 at 11:57
Dank voor je reactie. In mijn post probeerde ik de reactie op onze roep om ethisch omgaan met beveilingsproblemen door vrije hackers te vergelijken met die van de hackergemeenschap en privacyvoorvechters op de discussie rondom het terughack-voorstel. Beiden schieten in een krampachtige focus op de nadelen, zonder constructief na te denken over een aanpak van het probleem waar de voorstellen uit voortkomen.
Dat “het terughackvoorstel juist een quasi-legitieme reden introduceert om beveiligingsgaten in stand te houden” lijkt me wat kort door de bocht. Ik neem aan dat de overheid nog steeds gebaat is bij een goede beveiliging van de technische infra-structuur. Los van een terughackvoorstel, dat voordelen zou kunnen opleveren voor een bepaald eiland binnen de overheid, zijn er inmiddels meer en meer gremia binnen het veelkoppige monster ‘de overheid’ die juist gemotiveerd zijn om onze technische infrastructuur beter te beveiligen.
Ik ben tegen het voorstel, zoals je in mijn post kunt lezen. Maar ik zie wel dat er een hoop dreigingen zijn; overheden die onze systemen hacken voor economisch gewin (state-sanctioned bedrijfsspionage, identiteitsdiefstal, etc..) of uit politieke dan wel ideologische motivaties. Ik zie het voorstel dan ook vooral als aanknopingspunt om daar eens constructief naar te kijken. Wat doen wij hackers om die bedreigingen voor onze privacy, onze portomonnee en soms mensenlevens te beperken? En dan heb ik het niet alleen over je eigen laptopje, maar ook die van minder computer-begaafde individuen. Want zelf zijn we prima in staat allerlei ingewikkelde encryptie-software te gebruiken. Maar voor de gewone gebruiker is het nog altijd niet eenvoudig.
Ik ben blij dat je met mij vindt dat we (de hackergemeenschap) daar een rol in hebben, en dat je je met mij inzet voor betere beveiliging, ook voor de niet-nerds.
(Wat betreft mijn werkgever, dat is niet zo moeilijk te vinden op deze blog of elders op het internet maar in mijn ogen totaal irrelevant; op deze blog post ik mijn prive-mening, en niet die van mijn werkgever of enige andere organisatie of stichting waar ik een positie bekleed of anderzijds in deel neem.)