Wetsvoorstel Opstelten: de uitdagingen van terughacken onder de loep

Wat zijn de gevolgen voor privacy en technologie?

Auteur: Adam Cornelissen14 mei 2013

Minister Ivo Opstelten (Veiligheid en Justitie) heeft een wetsvoorstel opgesteld waarin hij het zogenoemde ‘terughacken’ mogelijk wil maken. Een voorstel dat een hoop vragen opwerpt en tot veel discussie leidt. Wat wordt precies bedoeld met terughacken? En is dit wel een goed idee?

Terughacken houdt in dat het voor de politie mogelijk moet zijn om in te breken op servers die gebruikt worden voor cyberaanvallen. Het doel hiervan is om informatie te vergaren over de aanvallers of om de illegale praktijken die plaatsvinden op de servers te laten stoppen, eventueel door het verwijderen van bestanden. Het wetsvoorstel is een reactie op de stelling dat de overheid te weinig kan of mag doen aan criminaliteit met een digitale component. Met enige regelmaat wordt daarom geopperd dat het mogelijk moet zijn om de constante stroom van aanvallen niet enkel op te vangen of te ontwijken, maar om ook iets terug te kunnen doen door zelf in te breken en zo de cybercriminelen uit te schakelen.

Naast de juridische vraag of het mogelijk is om in Nederland een dergelijke bevoegdheid bij wet te regelen die ook buiten de Nederlandse grenzen geldig is, zijn er ook op het gebied van privacy en technologie enkele uitdagingen.

Door het wetsvoorstel laait de discussie over het recht op privacy en de grenzen van dit recht om criminaliteit te bestrijden opnieuw op. Voorstanders zeggen dat de nieuwe maatregelen nodig zijn om cybercriminaliteit tegen te gaan. Tegenstanders beweren dat de huidige wetgeving voldoet en dat het niet nodig is dat de politie nog meer rechten krijgt om mensen af te luisteren of om in te breken op computersystemen. Bij het doorvoeren van een wetgeving op het gebied van terughacken moeten naast 'cybercrime' en 'kinderporno' woorden als 'vrijheid' en 'privacy' zeker niet vergeten worden.

Technologische uitdagingen
Een van de uitdagingen op technologisch gebied is de onwetendheid met betrekking tot wie je nu precies aanvalt. Het is mogelijk, en zeer waarschijnlijk, dat een aanvaller niet vanaf zijn eigen systeem aanvalt; het is namelijk eenvoudig om via een eerder gehackt systeem een aanval uit te voeren. Het is zelfs mogelijk om via meerdere gehackte systemen een aanval uit te voeren zodat als het ware een keten van computers ontstaat tussen aanvaller en slachtoffer. Is diegene die de politie terug wil hacken dan de daadwerkelijke aanvaller of enkel een gehackt tussenstation van een verder onschuldig individu? Veel computers maken deel uit van een botnet zonder dat de eigenaar daarvan op de hoogte is. Mag de politie ook deze systemen hacken?

Een ander vraagstuk is de mogelijke wapenwedloop die het terughacken gaat creëren. Aanval gaat vaak hand in hand met verdediging. De huidige beveiligingsmaatregelen zijn voornamelijk gericht op het dichttimmeren van de verdediging. De beveiliging is preventief; we trekken muren op (virusscanner, firewall, patching), wachten op de aanval en hopen deze te overleven. Het terughacken in deze situatie zal reactief zijn; we wachten totdat we aangevallen worden en gaan daarna kijken of we mogelijk een tegenaanval kunnen uitvoeren op degene die ons lastigvalt. Dit kan bijvoorbeeld door gebruik te maken van bekende kwetsbaarheden in software die de aanvaller uitvoert of door het gebruik van onbekende kwetsbaarheden (0-day exploits). Zeker deze laatste optie is niet zonder risico; wat als de aanvaller de aanval onderschept en de tot op heden onbekende kwetsbaarheid bij anderen gaat misbruiken?

Proactieve aanpak met honeypots
Momenteel is op beveiligingsgebied een verschuiving gaande van een 'risk based' aanpak naar een 'threat management' aanpak: het in de gaten houden van de 'digitale onderwereld', het uitwisselen van informatie over mogelijk aanvallen, en het proactief in de gaten houden van aanvallen.

Een voorbeeld hiervan is het inzetten van zogenaamde 'honeypots'; niet-essentiële systemen die in een bedrijfsnetwerk gezet worden en die aantrekkelijk gemaakt worden voor mogelijke aanvallers (bijvoorbeeld door de server 'finance' te noemen). In principe heeft niemand iets op een honeypot systeem te zoeken en zodra iemand dus gaat zitten rondneuzen op dit systeem geeft dit met redelijke zekerheid aan dat er een aanval bezig is. Doordat de honeypot geen echt cruciaal systeem is kan IT security de aanval mogelijk beperken tot enkel dit systeem of in ieder geval in de gaten houden wat de aanvaller allemaal uitspookt. Het honeypot idee is toepasbaar op (individuele) systemen, maar ook op bestanden; door een bestand bijvoorbeeld 'salary.xls' of 'finance.doc' te noemen wordt bij een aanvaller de interesse gewekt terwijl het niet per definitie om een interessant bestand hoeft te gaan. Door te kijken of dit bestand wordt geopend, gekopieerd, of aangepast is het mogelijk om aanvallers te detecteren.

Deze proactieve verdedigingsmethode kan ook als aanvalsmethode gehanteerd worden; door dergelijke bestanden te injecteren met exploits die misbruik maken van kwetsbaarheden in de software die gebruikt wordt om het bestand te openen, zijn ze als gericht tegenwapen te gebruiken. Ook hier is er echter geen zekerheid dat het verwerkingsstation waarmee de bestanden bekeken worden ook daadwerkelijk het systeem van de aanvaller is.

De aanval is de beste verdediging?
Een andere optie is opereren onder het eeuwenoude credo 'de aanval is de beste verdediging' waarbij helemaal niet gewacht wordt totdat een cybercrimineel aanvalt, maar dat de aanvaller wordt aangevallen voordat deze überhaupt begonnen is. Door het netwerk en de 'onderwereld' in de gaten te houden en informatie uit te wisselen over op hand zijnde aanvallen is het mogelijk om 'terug te hacken' alvorens een aanval in gang is gezet.

Het wetsvoorstel is een interessant voorstel dat aan de ene kant Europese privacy waakhonden waaronder het Nederlandse Bits of Freedom (BoF) tegen zich in het harnas jaagt en aan de andere kant op sympathie kan rekenen van het bedrijfsleven dat al jaren te kampen heeft met een niet te stuiten digitale horde cyberaanvallen op hun netwerken.

Er worden miljoenen euro's verdiend met digitale criminaliteit en regelmatig worden er grote internationale kinderpornonetwerken opgerold. De problemen zijn dus duidelijk aanwezig en over het feit dat deze problemen bestreden moeten worden zal geen discussie zijn. De vraag is echter; hoe ver wil je gaan? Is de huidige wetgeving inderdaad niet uitgebreid genoeg? Kinderpornonetwerken en servers van criminelen worden momenteel toch ook opgerold en onbruikbaar gemaakt? Kan dat sneller met nieuwe rechten voor politie? Wat moet er in de wet worden vastgelegd en wat moet op een case-by-case basis worden bepaald? Geeft 'terughacken' de politie mogelijk niet teveel macht? In hoeverre is de privacy van burgers en bedrijven in het geding?

Het is duidelijk; het nieuwe wetsvoorstel roept vele vragen op. Wat vind jij van het nieuwe voorstel? Zou jij willen dat de politie terug zou mogen hacken?

Deel dit bericht:

Reacties

  • Adam (15-05-2013)

    Bedankt voor je reactie Marcel. Dat het belang en de afhankelijkheid van IT toeneemt is waar. Verstoring van cruciale overheids- en bedrijfssystemen heeft een veel grotere impact dan zeg tien, twintig jaar geleden. Toch stamt veel wetgeving nog uit die tijd. De techniek en de samenleving zijn, zoals altijd, de wetgeving ver vooruit.Ik vermoed dat je met 'enkel beschermen' het verdedigen van IT elementen bedoeld (firewalls, IDS, etc). Enkel verdedigen wil niet zeggen dat criminelen 'nooit' gepakt kunnen worden; zo kunnen bijvoorbeeld IP adressen en (spam) mail adressen worden getraceerd, en kan via proactieve verdedigingsmethoden 'intelligence' worden verkregen over aanvallers (e.g., het in de gaten houden van 'de underground'). Wekelijks is op (security) nieuws sites te zien dat cybercriminelen worden opgepakt, ook zonder hacken door politie of vergelijkbare instanties.Uw opmerking met betrekking tot het verschuilen achter botnets en proxies is natuurlijk waar, maar deze geldt niet alleen als negatief punt wanneer enkel verdedigt wordt. Sterker nog, deze is nog meer van belang wanneer besloten wordt om terug aan te vallen. Immers, om bij de oorspronkelijke aanvaller te komen moet de politie mogelijk door alle tussenliggende stations heen. Dat is vaak niet alleen technisch lastig, maar dat ligt ook qua privacy en regelgeving moeilijk. En stel dat het mag, dat het wetsvoorstel dit mogelijk maakt, willen we dit dan? Hoe zullen andere landen hierop reageren? Het lijkt mij dat indien Nederland zichzelf deze rechten toezegt dat andere landen dit ook mogen.In je reactie lees ik dat je pleit voor andere regelgeving? Hoe zie je deze voor je?

  • Marcel (15-05-2013)

    Inderdaad moeilijk punt. Ik denk echter dat met het steeds grotere belang van IT de overheid wel andere handvatten moet krijgen. Het enkel beschermen zorgt er namelijk uiteindelijk voor dat we de criminelen die achter de aanvallen zitten nooit kunnen pakken. Ze verschuilen zich immers achter legio botnets en proxy's. Naar mijn idee moet er dus andere regelgeving komen. De vraag is alleen hoe zorgen we ervoor dat de overheid zijn werk kan doen zonder dat we (teveel) privacy verliezen? Daarop zullen we een antwoord moeten vinden, wellicht ook in de vorm van Europese richtlijnen...

Laat een reactie achter:


Contact

Adam Cornelissen
Consultant Risk Services
+31882888068
Adam Cornelissen is een IT Security consultant binnen het Security team van Deloitte Risk Services. Hij heeft een technische achtergrond, heeft een master titel behaald op het gebied van Computer Security en heeft een aantal jaar ervaring in een breed scala aan security-gerelateerde activiteiten. Bij Deloitte houdt Adam zich voornamelijk bezig met het uitvoeren van penetratie testen.