Policeware

In een eerdere post heb ik geschreven over hoe het Nederlandse opsporingsbeleid zijn eigen nieuwe kriminele mogelijkheden schept.

Malware die zich als de politie voordoet is niet nieuw, maar als Opstelten zijn zin krijgt en de politie de mogelijkheden heeft om komputers binnen te dringen met behulp van ‘policeware’, dan wint deze vorm van kriminaliteit aan geloofwaardigheid. Hoe kan de eenvoudige burger dan het verschil zien tussen policeware en malware die zich als politie voordoet? Tot nu toe was die vraag eenvoudig te beantwoorden, omdat de politie zoiets niet deed.

Dus ook hier een voorbeeld hoe goede (maar domme) bedoelingen de wereld onveiliger maken.

Beleidsmakers en beveiligers moeten naar beveiliging kijken vanuit een criminal’s mind. Dus analyseren hoe beveiliging door een misdadiger in zijn voordeel misbruikt zou kunnen worden bij een aanval.

Nederlands opsporingsbeleid schept zijn eigen kriminaliteit

Het opsporingsbeleid van de Nederlandse overheid inzake kinderporno is zo drakonisch, dat internet-kriminelen nieuwe afpersingsmethoden hebben ontwikkeld. Ze besmetten de komputers van onschuldige burgers met malware die kinderpornografische afbeeldingen toont op het scherm. De gebruiker kan deze niet verwijderen zonder het betalen van losgeld of de gevaarlijke gang naar justitie.

De beveiliging van komputers is poreus. Volgens kenners is 30% van de computers in Nederland besmet met spyware of andere vormen van malware. Dat betekent dat de gebruikers van deze machines feitelijk niet meer de baas zijn over de eigen machine.

Bekende payloads van malware zijn het doen verdwijnen van bestanden, het tonen van pop-ups met reklame, het versturen van spam vanaf de machine van de gebruiker, of het onderscheppen van wachtwoorden en kredietkaartnummers.

Het gijzelen van machines van gebruikers was ook al bekend: de gebruiker kreeg een vervalste pop-up met de mededeling dat zijn machine besmet was met een ernstig virus en dat dit alleen opgelost kon worden door betaling van een bedrag aan de gijzelnemer. Zeer irritant en alleen de experts konden deze berichten op waarde inschatten. Maar de gewone gebruiker kon dat niet, terwijl die door verkeerd surfgedrag toch het snelst slachtoffer werd van deze praktijken.

Maar bij deze vorm van gijzeling had het slachtoffer in ieder geval nog een alternatief en dat was de gang naar het politieburo. Met een beetje geluk trof hij daar dan een diender die hem kon gerust stellen of hem kon wijzen op een goede systeembeheerder. Aangifte is ook mogelijk, maar vermoedelijk niet erg zinvol, omdat de meeste van deze gijzelnemers zich bevinden achter vele verre grenzen van landen die we hier niet met name zullen noemen.

Het is al lang voorspeld, maar nu is het er dan eindelijk: chantage met kinderporno geplaatst door malware. Gelet op de buitensporige opsporingspraktijken van justitie, durft geen zinnig mens melding of aangifte te doen. Zelf als onschuld bewezen kan worden, worden karrières gebroken, huwelijken verwoest en verhoudingen in de buurt op scherp gezet. Dat is dan nog maar als onschuld bewezen kan worden. Maar hoe doe je dat als de kinderporno ontegenzeggelijk op de komputer aanwezig is? Het eerste vermoeden van schuld ligt er al. En niet iedereen komt weg met zogenaamde bijvangst.

Justitie moet gaan beseffen dat komputers niet meer onder volledige kontrole staan van de gebruikers. Komputers zijn poreus. Virus-scanners zijn poreus. Fire walls zijn poreus. De minister van Veiligheid en Justitie weet dit als geen ander als hij voorstelt komputers van gebruikers op afstand over te nemen voor opsporingsdoelen en bestrijding van kriminaliteit.

De toestand op gebied van komputerbeveiliging is zo droevig, dat wat men aantreft op een komputer vanuit oogpunt van de techniek niet meer kan dienen als juridisch bewijs. Ook niet als er tienduizenden foute afbeeldingen gevonden worden. Zonder medeweten van de gebruiker kan de komputer zijn overgenomen en zijn ingericht als een server voor de redistributie van de foute plaatjes. Aanwezigheid van bestanden bewijst niets. Sorry, maar het is niet anders.

Misbruik van kinderen is een zeer ernstig vergrijp, maar de jacht op de daders mag niet de levens van talloze onschuldigen verwoesten.