De politie hackt. Nee, niet zelf. En is dat erg?

Source: Vrij Nederland – Blendle

Hackende politie | permanent paardenmiddel

Reportage

De politie mag spelen met cybergranaten

Als de wet computercriminaliteit III door de Tweede Kamer komt, mag de politie computers en telefoons van verdachten hacken. Daarbij wordt gebruik gemaakt van beveiligingslekken. Zou de politie niet juist moeten helpen om het internet veiliger te maken?

Verborgen in een zijstraatje in Wittenvrouwen, een van de chicste woonwijken van Utrecht, is de hackerspace Random­Data. Een kleine ruimte met 3D-printers, printplaatjes, jongens met laptops vol stickers. Een elektronische hobbyclub waar ‘ethische hackers’ bij elkaar komen. Een bekend gezicht in de Utrechtse hackerspace is Barry van Kampen. Geen bleke jongen met een hoody, maar een jonge vader achter een Macbook Pro. Naast hacker is hij ondernemer en eigenaar van het bedrijfje S-Unit, dat test of computersystemen veilig zijn. ‘Wij kunnen u vertellen waar u kwetsbaar bent en doen dit graag vóórdat u er last van heeft,’ staat te lezen op de website.

Een bliepje. Van Kampen kijkt op zijn telefoon. ‘Haha,’ zegt hij op hoge toon en hij richt zich tot de andere hackers in de hackerspace. Hij leest vanaf zijn beeldscherm. ‘The fix timeline is sometime in 2016… Dit is al de tweede case waarmee ze er echt een puinzooi van maken.’ Van Kampen heeft een lek gevonden in een veelgebruikte dienst van een groot softwarebedrijf. Maar het bedrijf heeft geen tijd om het meteen te repareren.

The dark side

Van Kampen en zijn collega’s zijn ethische hackers, of white hats. Als ze een foutje vinden in een computerprogramma, sturen ze een mailtje naar de maker van het programma zodat het foutje gerepareerd kan worden en de digitale wereld een klein beetje veiliger en beter wordt. Met de komst van responsible disclosures en de bug bounties kun je daar tegenwoordig aardig aan verdienen. Softwarebedrijven en overheden geven premies aan mensen die een lek eerlijk komen melden.

Van Kampen: ‘Als we even de tijd hebben, proberen we ons nuttig te maken. Met mijn bedrijf S-unit hebben we een paar bug bounties aangebracht bij Microsoft. En we hebben wel dertig responsible disclosures gedaan. Ook bij overheid.nl. Het afgelopen jaar hebben we verschillende gaten gevonden in Office 365. Je kunt er 18.000 dollar voor betaald krijgen. Maar soms is het een T-shirt. We hebben inmiddels een aardige collectie.’

Er zijn ook black hats. Als die een lek vinden, koesteren ze dat geheim en proberen ze het te verkopen. Zero days heten ze in het jargon: lekken die ‘nul dagen’ bekend zijn in de wereldwijde gemeenschap van softwarebouwers, hackers en beveiligingsonderzoekers. Je kunt 0days, zoals het vaak geschreven wordt, aanbieden op een van de zwarte markten op het Tor-netwerk. Op de dark website The Real Deal staat een MS Office 0day te koop voor 39.0178 bitcoins, zo’n 14.000 euro. Van Kampen struint de black markets op het Tor-netwerk ook af om op de hoogte te blijven van wat er circuleert en zo zijn klanten te kunnen informeren over de exploits die er zijn.

De software wordt in landen als Egypte, Soedan, Ethiopië ingezet tegen journalisten en politieke tegenstanders.

Aanvankelijk was de 0day-markt voornamelijk een criminele. Dieven betaalden graag geld om computers van gewone burgers te kunnen binnendringen en hun bankgegevens te kunnen stelen. Maar de laatste jaren is de wereld veranderd. Een hacker kan zijn 0days ook kwijt aan legale bedrijven als het Duits-Engelse Gamma, het Italiaanse Hacking Team, de Israëlische NSO Group en het Franse Vupen. Dit zijn bedrijven die ‘hacksoftware’ ontwikkelen voor overheden en politie, of die weer doorverkopen aan andere bedrijven. Het is een industrie die in de hackersgemeenschap gezien wordt als onderdeel van the dark side. In hackerskringen is het opmerkelijk uncool om een zwarte hoed op te zetten. ‘Ik ken maar één of twee hackers die een discutabele reputatie hebben,’ zegt van Kampen die wereldwijd honderden tophackers kent.

Een superkoevoet

‘Het verkopen van 0days is controversieel, omdat je in feite een wapen verkoopt,’ zegt hacker Rickey Gevers via de telefoon. Gevers is een van de eerste hackers die in Nederland door een arrestatieteam van zijn bed is gelicht vanwege het hacken van universiteitsnetwerken. Nu werkt hij als cybercrime expert bij RedSocks B.V. ‘Het is te vergelijken met het uitvinden van een superkoevoet waarmee je elk huis kunt openbreken. Je verkoopt hem aan de bouwmarkt, zodat hij beschikbaar wordt voor een heleboel mensen. De meeste hackers zeggen: dat moet je niet doen, want dan komt die koevoet ook bij de verkeerde mensen terecht. Maar juridisch gezien is het helemaal legaal.’

De bedrijven Gamma en Hacking Team worden door hacktivistische organisaties en mensenrechtenorganisaties bekritiseerd omdat ze hun software ook hebben verkocht aan ondemocratische regimes als die van Egypte, Soedan, Ethiopië en de Verenigde Arabische Emiraten. De software wordt daar ingezet tegen journalisten en politieke tegenstanders.

Screen Shot 2016-02-05 at 01.07.42

Maar de dark side is verleidelijk. De start-up Zerodium bood in september vorig jaar een miljoen dollar voor een lek in iOS 9, het besturingssysteem van de iPhone en de iPad. De klanten van Zerodium zijn volgens de website grote bedrijven en grote overheidsdiensten. Oprichter van Zerodium is Chaouki Bekrar, die graag speelt met zijn imago van ‘The Wolf of Vulnerability Street & Darth Vader of Cybersecurity’. Zijn foto op zijn twitteraccount is die van Darth Vader. Zijn motto is: ‘Life is short, sell your 0days to Zerodium’.

Bekrar is niet alleen makelaar in zero days bij Zerodium, maar ook de baas van het Franse bedrijf Vupen, waar ‘beveiligingsonderzoekers’, zoals hackers zichzelf tegenwoordig vaak noemen, in topteams op zoek zijn naar 0days, om die weer door te verkopen aan overheidsdiensten en de eerder genoemde Gamma en Hacking Team.

Hé, wat zit je te kijken

Een andere opmerkelijke 0day-makelaar is de legendarische hacker Kevin Mitnick. De laatste jaren is ook hij weer gevallen voor de verlokkingen van the dark side, als hij daar al ooit helemaal van los is geweest.

Als twaalfjarige wist hij al gratis te reizen door zelf buskaartjes te drukken. Als zestienjarige ontdekte hij hoe hij met een autoradio kon inbreken op intercomsystemen. ‘Rijdt u maar door, vandaag is alles gratis,’ klonk midden jaren tachtig zijn metalige stem uit de intercom van een McDonald’s Drive-in. ‘Vandaag is de cola op, we hebben alleen appelsap,’ kreeg een andere klant te horen. Daarna klonk het geluid van een man die in een glas plast.

Hoogtepunt uit zijn hackerscarrière noemt hij zelf het moment dat de manager van de McDonald’s Drive-in naar buiten kwam, verwilderd om zich heenkijkend. Hij liep naar de parkeerplaats om bij alle auto’s naar binnen te kijken of daar iemand met een microfoontje zat. Uiteindelijk liep hij terug naar de metalen kast met de intercomspeaker. Hij keek in de speaker om te kijken of er misschien iemand in zat. ‘Hé, wat zit je te kijken,’ zei Mitnick hard door zijn microfoontje. De manager sprong drie meter achteruit.

Mitnick leerde ook telefooncentrales over te nemen door de bliep­geluidjes na te maken. Telephone phreaking heette dat. Bevriende grappenmakers waren Steve Wozniak en Steve Jobs. Wozniak was het ooit gelukt om contact te rijgen met de privételefoon van de paus in Rome. Maar Mitnick ging nog veel verder. Midden jaren negentig had hij controle over het hele telefoonnetwerk van de Verenigde Staten. Hij kon willekeurige telefoons uit- en aanzetten, en – als hij wilde – het complete telefoonverkeer van Amerika saboteren. Toen de FBI hierachter kwam, was dat het startschot van een enorme klopjacht op Mitnick die zijn achtervolgers nog lang voor kon blijven door ze via een gsm-trackingsysteem in de gaten te houden.

‘Dit zijn gewoon slimme jongens. Ze hebben een goed businessmodel bedacht. Maar ethisch is het twijfelachtig.’

Uiteindelijk kreeg de FBI hem in 1995 toch te pakken. Vijf jaar verdween de hacker achter de tralies, waarvan acht maanden in eenzame opsluiting om te voorkomen dat hij in de buurt van een telefoon zou komen. De FBI-agenten dachten dat hij door geluiden van modems na te doen in staat was om kernwapens af te vuren. Een ‘Free Mitnick’-sticker op je laptop was het teken dat je een hacker was.

Na zijn vrijlating werd Mitnick nog twee jaar in de gaten gehouden. Daarna ontpopte hij zich tot computer security consultant. Bedrijven huurden hem in om in hun digitale systemen in te breken om zo kwetsbaarheden in het systeem te vinden voordat criminelen die vonden. Mitnick werd een white hat, die meehielp om de online wereld veiliger te maken.

Cyberwapens

Maar sinds september 2014 handelt ook Mitnick openlijk in 0days. Niet om ze te kunnen repareren, maar om ze door te kunnen verkopen aan de overheidsdiensten. En het gaat hier niet om huis-, tuin-, en keuken-hacks, maar alleen om beveiligingsgaten van de hoogste orde. Om de haute couture van de spywaremee te kunnen maken. 0days die alleen met handschoentjes aangepakt kunnen worden.

‘Pas als je een high priority target hebt, iets heel belangrijks, dan zet je zo’n zero day in,’ zegt Rickey Gevers. ‘Er is altijd een kans dat een inbraak ontdekt wordt en dan ben je je 0day kwijt en je geld.’

Zero days zijn te gebruiken als cyberwapens. Ze zijn in te zetten ­tegen computersystemen en te gebruiken voor het saboteren van kerncentrales, energiecentrales en havens. Op 23 december 2015 gingen de lichten uit in Oekraïne. De verdenking viel op een ­hackersgroep met banden met de Russische overheid – jargon voor: de ­Russische geheime dienst. En de geheime diensten van Amerika, Engeland, Israël en misschien ook wel de AIVD zijn net zo gehaaid.

Maar 0days worden niet alleen gekocht voor het heel grote supergeheime sabotagewerk, ook voor surveillance komen ze goed van pas. Telefoons zijn voor de politie steeds lastiger te tappen omdat WhatsApp en FaceTime goed versleuteld zijn. Wat overblijft, is het hacken van de telefoons zelf. Het is niet voor niks dat gaten in de ­telefoonbesturingsystemen van Apple, Microsoft en Android het meeste opleveren bij de 0day-brokers.

De AIVD en de MIVD mogen al lang hacken. Maar als de nieuwe wet computercriminaliteit erdoor komt, mag de politie dit ook gaan doen. Welke methodes de politie daarvoor gebruikt, is geheim. ‘We geven geen inhoudelijk antwoord over gebruikte systemen van de politie,’ luidt het antwoord van politiewoordvoerder Thomas Aling. Wel is zeker dat de politie contact heeft gehad met zowel Gamma als Hacking Team. En dat allemaal door de mysterieuze hacker Phineas Fisher.

Geheim overleg in Haarlem

Om 3.15 uur op 6 juli 2015 zag David Vincenzetti, de CEO van Hacking Team, dat er iets mis was met het computersystemen van zijn bedrijf. Onmiddellijk belde hij al zijn technici om naar het kantoor te komen om alle systemen offline te halen en de data te beschermen. Maar het was al te laat. Het twitteraccount van Hacking Team was omgedoopt tot Hacked Team. Daarop verschenen een datadump van 400 gigabyte aan e-mailcorrespondenties en andere files van het bedrijf, die nu te vinden zijn op de site van WikiLeaks.

Het was prachtig materiaal voor beveiligingsspecialisten en andere hackers. Het programma, dat tientallen duizenden euro’s kostte, lag op straat.

Is het eigenlijk erg dat de politie de hulp van de ‘dark side’ inroept om mensen die kinderporno verspreiden op te sporen?

Barry van Kampen van de Utrechtse hackerspace bestudeerde het programma. ‘Wat ze eigenlijk verkopen, is een zogenoemde wrapper. Het kan een cocktail zijn waar vijftig verschillende 0days in zitten die niet door een antivirusprogramma worden gedetecteerd. Ik vind het wel knap hoe ze een totaal geautomatiseerde wasstraat van een stuk of twintig, dertig virusscanners hadden om ervoor te zorgen dat ze niet gedetecteerd zouden worden. Dit zijn gewoon slimme jongens. Ze hebben een goed businessmodel bedacht. Maar ethisch is het twijfelachtig.’

Screen Shot 2016-02-05 at 01.07.54

De programma’s van Hacking Team, Gamma en de Israëlische NSO Group zijn een soort Zwitsers zakmes dat je kunt gebruiken om Skype­ af te luisteren, e-mails te onderscheppen en de camera en microfoon van telefoons en computers te kunnen gebruiken.

Het lek van Hacking Team gaf een inkijkje in de duistere handel van 0days. Inzichtelijk zijn de onderhandelingen met de Russische hacker Vitaliy Toropov, een freelancer die een paar gaten in Flash vond en de 0days voor 45.000 dollar verkocht.

Uit de Hacking Team-files op WikiLeaks bleek verder dat er voor 6 juli, via het bedrijf Providence BNLX, een geheim overleg was georganiseerd in Haarlem voor een demonstratie aan de Nederlandse politie. De eis was dat er een technische expert aanwezig zou zijn omdat het niet om een sales pitch ging, maar om een real capability overview. Of de meeting is doorgegaan, is de vraag, omdat het precies die ochtend was dat David Vincenzetti de hack ontdekte. Wat daarna is gebeurd, is niet bekend. Wel presenteerde Hacking Team afgelopen september op een groot beveiligingscongres de nieuwste en eerste update van de software na de hack van deze zomer.

Uit een eerdere hack van Phineas Fisher bleek dat de Nederlandse politie in 2013 voor een kleine 3 miljoen euro aan licenties voor Fin­Fisher-software betaalde. De licenties zijn inmiddels verlopen.

Het onveilig houden van onze apparaten

Christopher Soghoian is de technische man van de American Civil ­Liberties Union, een organisatie die opkomt voor de vrijheden en rechten van Amerikaanse burgers. Hij heeft geen idee wie Phineas Fisher is, zegt hij. ‘Dat is een mysterie. Maar ik zou hem graag op een biertje trakteren.’

Soghoian denkt dat de Nederlandse politie software gebruikt van Hacking Team, Gamma of de NSO Group. ‘Dat zijn de usual suspects.’ Hij sluit uit dat de politie zelf een paar hackers aan het werk heeft gezet. ‘Je wilt iets wat iedere agent makkelijk kan gebruiken. Een klein groepje hackers kan iets maken wat moeilijk te gebruiken is.’

Is het eigenlijk zo erg dat de politie de hulp van de dark side inroept om bijvoorbeeld mensen die kinderporno verspreiden te kunnen opsporen? Er zijn inderdaad voordelen voor de politie, zegt Soghoian. ‘De FBI hackte een Tor-website en via die website 1500 mensen. Zeg dat je 20.000 dollar hebt betaald voor een 0day om Tor te kunnen hacken, dan krijg je veel waar voor je geld.’

Soghoians grootste bezwaar tegen het inzetten van dergelijke software is dat het ook gebruikt kan worden door criminelen. ‘Het is net als een handgranaat. De tegenstander kan hem opvangen en snel teruggooien.’ Criminelen zullen de software ontdekken in hun computer en zelf ook gaan gebruiken.

Ton Siedsma van Bits of Freedom sluit zich hierbij aan: ‘Wij willen graag dat de overheid onze infrastructuur zo veilig mogelijk houdt. Maar als de politie zelf wil gaan hacken, krijg je een situatie waarin de politie belang heeft bij het bestaan van zwakheden. De politie heeft die zwakheden nodig om een computer binnen te kunnen ­komen en dat vinden wij haaks staan op het feit dat de politie de burger juist zou moeten beschermen. Want een zwakheid waar de politie gebruik van maakt, kan ook gebruikt worden door een ­crimineel. Daarmee houden ze een markt in stand waarmee veel geld wordt verdiend aan het onveilig houden van onze apparaten en infrastructuur.’

Rechters die het snappen

Ronald Prins van beveiligingsbedrijf Fox-It vindt dit te naïef: ‘Je moet het zo zien: er zitten nu al duizend kwetsbaarheden in elke computer. Als je er één gaat fixen, wordt je computer niet per se ­veiliger. Ik zou me meer zorgen maken als de politie niet mocht ­hacken. Cybercrime groeit, als je daar geen antwoord op hebt, is dat niet goed.’

Hacker Van Gerven kiest in dit geval ook de kant van de politie. ‘Ik vind dat ze het moeten gebruiken. Heel veel mensen zijn er vanuit een activistisch standpunt op tegen, maar je moet wel realistisch blijven. We leven in een democratie en op het moment dat er pedofielen rondlopen zonder dat de politie hun computer mag hacken, is het vrij eenvoudig om de meerderheid van de bevolking ervan te overtuigen dat ze die jongens wél mogen hacken.’

Van Gerven pleit wel voor serieuze regulering. Het is met deze hacksofware bijvoorbeeld ook een koud kunstje om bij iemand kinderporno op zijn laptop te plaatsen. ‘Dat is het heel grote gevaar. Ik zou ervoor willen pleiten om maar vijf cases per jaar te doen, waarbij dit een geoorloofd middel is om in te zetten. En er moet een rechter-commissaris naast staan die precies waarneemt wat er gebeurt.’

Ronald Prins is het met Van Gerven eens. Hij heeft de politie een aantal jaren geleden geholpen met hackklussen en wijst erop dat de politie het hacken voornamelijk gebruikt om IP-adressen te achterhalen van cybercriminelen die zich verschuilen achter vage namen. ‘Als je een vaag IP-adres hebt en je denkt: in welk land zit dit nu eigenlijk, dan kun je daar door hacken achter komen. Zodra je het IP-adres hebt, moet je onmiddellijk stoppen met je bevoegdheid. Het is een paardenmiddel dat je maar een paar keer per jaar moet inzetten,’ zegt Prins.

‘Er komt nu een goed wetgevend kader. Een agent moet nu verdomd goed kunnen uitleggen waarom hij het wil gebruiken en of het niet ook op een andere manier kan. Dit soort handtekeningen zijn maatwerk, alleen voor delicten waar meer dan vier jaar voor staat. De centrale toetsingscommissie van justitie moet er ook nog een handtekening voor zetten. Dat wordt heel strikt afgekaderd. En dat is ook goed. Als je overal in mag hacken, in telefoons mag meekijken, ­e-mails mag lezen, de microfoon mag aanzetten, los je elke zaak zo op. Daar zit een enorme aantrekkingskracht voor de politie. Mijn grootste zorg ligt bij de rechterlijke macht die de handtekening moet zetten en precies moet beschrijven wat mag. Zijn er wel rechters die het allemaal goed snappen en niet te makkelijk die handtekening gaan zetten?’

GERARD JANSSEN

Gerard Janssen (1967) studeerde technische natuurkunde in Delft. Hij schrijft voor Vrij Nederland, uitgeverij Snor (bestsellers als ‘Dochters!’, ‘Zoons’ en ‘Zwangerschapsboek voor mannen’) en Nieuw Amsterdam en maakte deel uit van dj-duo de Easy Aloha’s.

 

Advertisements