image

Inspectie: gebruik commerciële hacksoftware door politie blijft risico

dinsdag 31 mei 2022, 11:34 door Redactie, 11 reacties

Het gebruik van commerciële hacksoftware door de politie blijft een risico, aangezien de softwareleverancier toegang tot verkregen gegevens kan krijgen. Ook zijn er daardoor spanningen met het rechtskader, zo laat de Inspectie Justitie en Veiligheid vandaag weten in haar verslag over de inzet van de hackbevoegdheid door politie.

De Wet Computercriminaliteit III geeft politie de bevoegdheid om heimelijk een geautomatiseerd werk zoals een laptop of een smartphone van een verdachte binnen te dringen. De Inspectie Justitie en Veiligheid houdt toezicht op de inzet van deze hackbevoegdheid. De politie heeft vorig jaar 28 keer van de hackbevoegdheid gebruikgemaakt om telefoons, laptops en andere systemen van verdachten binnen te dringen.

In de meeste zaken (23) werd hierbij gebruikgemaakt van commerciële hacksoftware. Volgens de Inspectie is de hacksoftware voor zowel de politie als Inspectie een 'black box' en is onbekend hoe die precies werkt. De softwareleverancier kan hierdoor toegang tot alle binnengehaalde informatie krijgen, wat een risico is. Een conclusie die de Inspectie eerder ook al in 2019 en 2020 stelde.

De leverancier van de hacksoftware heeft de servers die de politie hiervoor gebruikt in technisch beheer en kan hier op afstand op inloggen om beheer- en supportwerkzaamheden uit te voeren. Werkzaamheden die de leverancier uitvoert, kunnen, mogelijk zelfs tijdens uitvoering van een bevel, gevolgen hebben voor de werking en functionaliteit van de software. De Inspectie merkt hierbij op dat deze wijze van toegang door de leverancier gebruikelijk is in de markt voor deze commerciële software. De politie stelt dat er geen alternatief voorhanden is dat dezelfde functionaliteit biedt zonder deze nadelen.

Hoewel met de leverancier is afgesproken dat deze uitsluitend mag inloggen na toestemming van de politie, kan de politie dit niet technisch controleren of beperken. De Inspectie zegt er begrip voor te hebben dat deze software in het belang van de opsporing wordt ingezet, maar signaleert dat hierdoor spanning ontstaat met het rechtskader. In het rechtskader is namelijk aangegeven dat de verkregen gegevens uitsluitend toegankelijk mogen zijn voor de door de korpschef aangewezen ambtenaren.

Logging

Verder stelde de Inspectie vast dat de logging door de politie begin vorig jaar niet compleet was. Het politieteam dat de hackbevoegdheid toepast moet de handelingen die het uitvoert bij het binnendringen van systemen vastleggen. Dat moet doorlopend en automatisch via apparatuur zoals video-opnames van de beeldschermen. Dat is de logging.

Wat niet door direct door een apparaat wordt vastgelegd, moet het team handmatig in een journaal vastleggen. De logging was begin vorig jaar echter niet compleet, aldus de Inspectie. Verbeteringen in de techniek zorgden er later voor dat de logging accurater en vollediger werd. Het team heeft vorig jaar ten opzichte van 2020 ook het journaal verbeterd.

De Inspectie stelt in de conclusie dat het geen aanwijzingen heeft dat de politie in 2021 de hackbevoegdheid heeft ingezet buiten de in de bevelen aangegeven systemen. Verder stelt de Inspectie dat de keuringsdienst van de politie, ondanks de kwetsbare personele bezetting, de keuringsprocedure heeft nageleefd. Wel laat de Inspectie weten dat een kwaliteitsvoorziening voor het gehele hackproces, om zo risico's te beperken, nog steeds niet is ingericht, hoewel het hackteam inmiddels ruim drie jaar actief is.

Image

Reacties (11)
31-05-2022, 11:49 door Anoniem
Minister: Het zonder aanleiding inbreken in huizen door de politie blijft een risico.
31-05-2022, 11:51 door [Account Verwijderd] - Bijgewerkt: 31-05-2022, 11:51
De logging was begin vorig jaar echter niet compleet, aldus de Inspectie.


Ahja, en daarom weet de inspectie wel wat er tijdens die periodes is gebeurd natuurlijk.

Zoals alles bij de overheid en Nestapo, stinkt dit ook weer.

#CristallenBol
31-05-2022, 12:59 door Anoniem
Hoewel met de leverancier is afgesproken dat deze uitsluitend mag inloggen na toestemming van de politie, kan de politie dit niet technisch controleren of beperken.
Firewall? En, na afspraak, hierin een gaatje prikken?
31-05-2022, 13:04 door Anoniem
Door nu.nl: Hoewel het hackteam niet kan aantonen dat aan alle eisen voor de informatiebeveiliging is voldaan, heeft de inspectie geen grote technische beveiligingsrisico's geconstateerd.
Ik stip dit aan als "niet willen" i.p.v. "niet kunnen".
En weinig natte vinger nodig om dat met aan zekerheid grenzende waarschijnlijkheid deze stelling te stellen.

Kortom,
Politie is niet transparant en niet concreet of het zich aan de wet houdt (feit).

Dan is de speculatie invullen makkelijk:
De Politie WIL niet zeggen dat het buiten de wet gaat (makkelijke speculatie).
31-05-2022, 16:23 door Anoniem
Eigenlijk wel grappig dat een clubje als Huawei wat goedkoop, snelle en moderne spullen maakt op basis van FUD eruit moet en je wel een clubje dat bekend staat om het feit dat ze alles (laten) hacken wat los en vast zit overal naar binnen laat gaan.

Ergens klopt daar iets niet.
31-05-2022, 16:40 door -Peter-
Door Anoniem: Eigenlijk wel grappig dat een clubje als Huawei wat goedkoop, snelle en moderne spullen maakt op basis van FUD eruit moet en je wel een clubje dat bekend staat om het feit dat ze alles (laten) hacken wat los en vast zit overal naar binnen laat gaan.

Ergens klopt daar iets niet.

Dit doet me denken aan de push van de Amerikaanse overheid om overal Cisco te gebruiken, terwijl daarvan wel bewijs/aanwijzingen zijn dat zij meewerken aan het hacken van Europese organisaties.

Peter
31-05-2022, 16:43 door Anoniem
Daarnaast gebruikte de politie "bijna altijd" software die nog niet was goedgekeurd door een specialist van de politie. Dat kan te maken hebben met de capaciteit van die afdeling, schrijft de inspectie, waar vorig jaar "door omstandigheden" slechts één medewerker werkte.

https://nos.nl/artikel/2430914-privacy-verdachten-opnieuw-in-gedrang-door-hackbeleid-politie-ziet-inspectie
31-05-2022, 17:44 door Anoniem
Door Anoniem:
Hoewel met de leverancier is afgesproken dat deze uitsluitend mag inloggen na toestemming van de politie, kan de politie dit niet technisch controleren of beperken.
Firewall? En, na afspraak, hierin een gaatje prikken?
Of nog beter, gewoon een fysiek kabeltje in de ruimte waar deze hackapparatuur is opgesteld. Kabeltje ligt los totdat er support van de leverancier nodig is....
31-05-2022, 17:46 door Anoniem
Door -Peter-:
Door Anoniem: Eigenlijk wel grappig dat een clubje als Huawei wat goedkoop, snelle en moderne spullen maakt op basis van FUD eruit moet en je wel een clubje dat bekend staat om het feit dat ze alles (laten) hacken wat los en vast zit overal naar binnen laat gaan.

Ergens klopt daar iets niet.

Dit doet me denken aan de push van de Amerikaanse overheid om overal Cisco te gebruiken, terwijl daarvan wel bewijs/aanwijzingen zijn dat zij meewerken aan het hacken van Europese organisaties.

Peter
Doen alle Amerikaanse bedrijven, Amerika ziet - in tegenstelling tot Europa - economisch belang ook 'staatsbelang'.
31-05-2022, 18:42 door spatieman
pff, die hebben gewoon OMG hardware hoor.
01-06-2022, 06:11 door Anoniem
Door -Peter-:
Door Anoniem: Eigenlijk wel grappig dat een clubje als Huawei wat goedkoop, snelle en moderne spullen maakt op basis van FUD eruit moet en je wel een clubje dat bekend staat om het feit dat ze alles (laten) hacken wat los en vast zit overal naar binnen laat gaan.

Ergens klopt daar iets niet.

Dit doet me denken aan de push van de Amerikaanse overheid om overal Cisco te gebruiken, terwijl daarvan wel bewijs/aanwijzingen zijn dat zij meewerken aan het hacken van Europese organisaties.

Peter

Als complete n00b heb ik wel e.e.a meegekregen over de beschikbaarheid van een dozijn verschillende smaken van consumenten modem/ router architectuur lang geleden, en dat dat grondig veranderd is. Marktwerking zegt men dan, of 'dat is wat de consument nou eenmaal wil' - Maar of dat ooit daadwerkelijk significante factoren geweest zijn in dit proces? Ik betwijfel het ten zeerste. Als je zeer beperkt zeggenschap hebt over 'het kastje dat met de buitenwereld communiceert' haalt 90% z'n schouders op en denkt wellicht, 'vooruitgang'. Ok wellicht een beetje sarcastisch, maar voor de niet zo kritische consument telt voornamelijk 'werkt het bijna altijd?' en zijn de meeste andere overwegingen totale bijzaak of niet aanwezig.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.