FBI hackt webcams, hoe zit dat hier?
De NSA blijkt niet de enige Amerikaanse overheidsorganisatie die wel raad weet met de nodige malware en spyware. Volgens Webwereld en the Washington Post gebruikt de FBI al jaren geavanceerde malware om de webcams van verdachten ongemerkt in te schakelen. Hoe zit dat en mag zoiets hier (ook)?
Volgens de berichtgeving (1, 2) beschikt de FBI over geavanceerde malware waarmee webcams op afstand kunnen worden ingeschakeld, zonder dat daarbij het lichtje aan gaat dat normaal brandt als de webcam aan staat. Daarnaast zou de malware kunnen worden gebruikt om bestanden op de harde schijf en het werkgeheugen te zoeken en om gps-coördinaten van de locatie van het apparaat te genereren.
Een recent geval waarbij de FBI de malware zou hebben gebruikt, betreft de zoektocht naar ene ‘Mo’, die diverse keren zou hebben gedreigd om universiteiten en vliegvelden plat te leggen met bomontploffingen. De bevoegdheid om te hacken, die niet onomstreden is, bestaat voor de FBI alleen bij concrete verdenking en na machtiging van de rechter. In dat opzicht zijn de bevoegdheden en mogelijkheden van de FBI heel anders dan de NSA.
De Amerikaanse rechter blijkt gelukkig ook niet altijd zomaar toestemming te geven. Er is bijvoorbeeld een zaak van dit jaar bekend waarbij de rechter in Texas de gevraagde ‘warrant’ om de computer van een verdachte te hacken heeft geweigerd, omdat de rechter er onvoldoende van overtuigd was dat aan de geldende voorwaarden was voldaan. Ten eerste was volgens de rechter niet voldaan aan het vereiste dat de ‘search and seizure’ zou plaatsvinden op het grondgebied waarover de rechter bevoegd was. De locatie van de te hacken computer was namelijk uitdrukkelijk niet bekend.
Verder vond de rechter het te onzeker of er met een phishing-actie in de verdachte inbox wel daadwerkelijk toegang zou worden verkregen tot de computer van de verdachte en niet tot die van iemand anders. De rechter overwoog namelijk dat het goed mogelijk kon zijn dat de bewuste inbox door de verdachte computercrimineel was gespoofed, Verder vond de rechter in algemeenheid dat de waarborgen dat er geen onschuldige personen slachtoffer zouden worden van de hacking, inconcreet en onvoldoende gespecificeerd waren.
In Nederland hebben opsporingsinstanties op dit moment geen (specifieke) bevoegdheid om in te breken in computers en (dus) ook niet om zonder toestemming stiekem webcams aan en uit te zetten. Al in 2007 verschenen echter nieuwsberichten waaruit bleek dat ze dat wel gewoon doen. Misschien net zo goed een rechtszaak tegen de staat waard als die momenteel wordt gevoerd in verband met het ‘witwassen’ van illegale NSA-data door Nederlandse geheime diensten?
Inmiddels ligt er wel een voorstel om een bevoegdheid voor ‘terughacken’ te creëren, maar dat voorstel is op de nodige kritiek gestuit.
Bits of Freedom betoogt bijvoorbeeld dat terughacken systemen kwetsbaar maakt, risico’s voor misbruik schept en onschuldige burgers in gevaar brengt. Het huidige voorstel geeft de politie bovendien de mogelijkheid om in te breken in computers die zich in het buitenland bevinden. Dit schendt in feite de territoriale soevereiniteit van andere staten, wat ook te vrezen geeft voor onze eigen soevereiniteit. Het risico daarbij is dat computers en gegevens van burgers potentieel doelwit kunnen vormen van àlle opsporingsinstanties van àlle staten, voor àlle dingen die daar maar strafbaar kunnen zijn gesteld.
Daar kun je leuke horroscenario’s van schetsen: Nederlandse agenten die vrolijk alle Finnen met huskysleeën begluren en hun computers leegrausen omdat honden als trekkracht gebruiken hier verboden is, terwijl Iraanse staatsmalware alle porno op pc’s ter wereld vervangt door verzen uit de koran en Noord-Korea alle PC’s met kritiek op hun Grote Leider op afstand voorziet van malware die de pc de hele dag alleen maar ROK-staatspropaganda laat uitzenden. En geef Iran en Noord-Korea dan nog maar eens ongelijk. Want hullie doen het toch ook?
Een beter idee lijkt het me als staten investeren in open source software waarvan de werking transparant en veilig is en de wetten, normen en waarden van dat land zoveel mogelijk reflecteert, ook om een alternatief te bieden tegen het de-facto monopolie dat de Amerikaanse bedrijven en overheden in de 'cloud' hebben. Duitsland lijkt hier al mee begonnen.
Dit lijkt momenteel de meest zekere manier om te zorgen dat onze strenge Europese privacywetten ook daadwerkelijk in de code van de software wordt ingebakken, zonder achterdeurtjes naar geheimzinnige buitenlandse instanties die zich niets aan (hoeven) trekken van onze rechten.
Tot die tijd is een webcam met een schuifje ervoor wel handig. Of als je laptop die niet heeft, kan een eenvoudig stickertje ook dienst doen.
Als je Microsoft’s Bitlocker, wat wel erg makkelijk werkt, niet vertrouwt, kun je het open source programma TrueCrypt gebruiken voor het versleutelen van data.
En wie kent er een laptop/telefoon met een fysieke aan/uit knop voor de microfoon?
Matthijs van Bergen is juridisch adviseur bij ICTRecht. Matthijs is specialist in het informatierecht en heeft in het bijzonder veel kennis over grondrechtelijke kwesties op internet, zoals netneutraliteit, privacy en vrijheid van meningsuiting.
Alweer een reden waarom de term gebruiken zoals we met z'n allen zo lekker popi doen, niet heel slim is. Behoorlijk dom zelfs.
aangezien het gebruik van een klepje of stickertje niet voldoende is om onbewerkt
in huis afgeluisterd te worden.
Kun je nog altijd een externe microfoon gebruiken indien noodzakelijk.
Ik mis het onderscheid. Die (niet onbelangrijke-)fout maken veel media ook.
De politie mag dergelijke opsporingsactiviteiten niet uitvoeren, zij hebben dan ook te maken met de politiewet.
Inlichtingendiensten hebben te maken met de Wet op inlichtingen- en Veiligheidsdiensten.
Daarin staat heel helder en duidelijk omschreven dat deze diensten dat wel gewoon mogen (al sinds 2002).
Verder is het volgens mij al zeker 5-6 jaar bekend dat de camera een van de meest eenvoudige zaken is om over te nemen op een PC. Die zwakheid is ook al regelmatig in het nieuws geweest in de afgelopen jaren. Zijn ook tooltjes voor op de markt gewoon.
Ik betwijfel of het uitschakelen van de webcamapparatuur in Apparaatbeheer, of het niet installeren van de drivers wel voldoende is om niet bespioneert te worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.