This web site is no longer maintained and may be outdated. It is retained primarily for historical reasons.

Wat het KLPD écht geleerd heeft, blijft geheim

Afbeelding: Bull van Frank Tellez | Licentie: CC BY-NC-SA 2.0

Het blijft onduidelijk wat het KLPD nu écht geleerd heeft van haar onderzoek of “de (huidige) wetgeving afdoende is om misdrijven in het cyberdomein op te sporen en te vervolgen.”

Logisch om naar botnets te kijken

Een botnet is een netwerk van geïnfecteerde computers. Een deel van de processor- en netwerkcapaciteit van die computers wordt door de beheerder van het botnet “verhuurt” aan andere criminelen. Zij gebruiken dat vervolgens voor het aanvallen van andere computernetwerken, het versturen van grote hoeveelheden ongevraagde e-mail, het stelen van persoonlijke gegevens van de mensen wiens computer is besmet of het omleiden van verkeer naar de website van internetbankieren.

Een botnet staat dus nooit op zichzelf, maar is vaak een belangrijk hulpmiddel voor andere strafbare feiten. Dat was voor de politie een belangrijke reden om energie te steken in het in kaart brengen van en, waar opportuun, het uit de lucht te halen van de criminele netwerken. In 2009 startte het KLPD daarom met het project Taurus om realtime overzicht en inzicht te krijgen in de grootste actieve botnets. De proeftuin was er ook op gericht om drie netwerken te kunnen ontmantelen en de beheerders ervan op te sporen en aan te houden. Om dat de politie voor haar nieuw terrein verkende, wilde de politie ook uitzoeken waar de juridische grenzen lagen.

Met een verzoek op grond van de Wet openbaarheid van bestuur vroeg ik het KLPD om alle documenten over dit project openbaar te maken. Het duurde even, maar eind januari lag er een dikke envelope op mijn deurmat.

Lessen van Taurus blijven duister

Het Kennisdocument Taurus is wellicht het meest interessante document.

Het opleveren van een evaluatiedocument en kennisdocumenten behoren ook tot de doelstellingen van Taurus. Het plan van aanpak noemt vier gebieden waarop een kennisdocument moet verschijnen, te weten Publiek Private Samenwerking (PPS), decryptietechnieken, juridische aspecten en ontmanteling van botnets.

In het hoofdstuk dat gaat over de legaliteit van de werkwijze schrijft het KLPD op pagina 15:

Een nevendoel van de proeftuin Taurus was de juridische grenzen te verkennen en bij te dragen aan de jurisprudentie ten aanzien van de bestrijding van botnets.

Ten eerste ten aanzien van de onderzoeksmethode en ontmantelingstrategieën. Het is namelijk niet altijd duidelijk of de (huidige) wetgeving afdoende is om misdrijven in het cyberdomein op te sporen en te vervolgen.

Ten tweede ten aanzien van de consequenties. Niet alle consequenties en onderzoeksrichtingen waren op voorhand in te schatten. Dit vroeg om flexibiliteit van het [Landelijke Parket] en partners om te kunnen anticiperen op voortschrijdend inzicht. Van tevoren was duidelijk dat het karakter van de juridische verkenning mogelijk op enig moment om beslissingen met onzekere uitkomst zou vragen. Het [Landelijke Parket] was bereid deze risico’s te nemen.

Op de eerste vraag, of de huidige wetgeving afdoende is, is geen antwoord geformuleerd of blijft het antwoord geheim.

De lessen die het KLPD trekt zijn in ieder geval gedeeltelijk open deuren: de politie mag derden niet om gegevens vragen maar moet die gegevens vorderen en de politie mag eigen gegevens delen met derden op basis van een convenant. Maar of de politie ook tot volledig nieuwe inzichten is gekomen is niet duidelijk: het grootste deel van het hoofdstuk is natuurlijk geweigerd. Het project heeft ook niet tot jurisprudentie geleid, zeker ook omdat halverwege de focus werd verlegd op één specifiek botnet: Bredolab. En die zaak werd afgedaan door een Armeense rechter.

Taurus zocht als proeftuin de grenzen op en stelde een aantal specifieke vragen ten aanzien van juridische mogelijkheden. De gemaakte juridische keuzes zijn nog niet getoetst bij een rechter omdat Taurus noch Tolling tot een zaak heeft geleid in Nederland.

Opmerkelijk is ook dat de hoofdstukken over “tooling” en “decryptie’ volledig zijn gecensureerd. Dat is opmerkelijk, want uit ronkende persberichten weten we dat het KLPD gebruik heeft gemaakt van een database met informatie over botnets. Vervelender is dat het hoofdstuk over de toegang tot versleutelde informatie in zijn geheel is weggestreept. De informatie is immers heel relevant in de discussie rondom het aangekondigde wetsvoorstel om verdachten te kunnen verplichten hun wachtwoord voor versleutelde bestanden af te staan. Tot nu toe is uit niets gebleken dat dat écht een probleem is.

Moeilijk doen over de betrokken bedrijven

Het KLPD wilde haar informatiepositie ook verbeteren door intensief informatie uit te wisselen met private partijen. In antwoord op mijn verzoek heeft het KLPD de namen van de betrokken private partijen weggestreept. Het is, zo stelt het KLPD “niet onaannemelijk dat openbaarmaking van de bedrijfsnamen zal leiden tot aanvallen op de infrastructuur van deze bedrijven.” Gek, want de namen zijn al bekend:

Het THTC van het KLPD, het OM, Europol, de Duitse Federale Politie (BKA), de Amerikaanse Federal Bureau of Investigation (FBI), de United States Secret Services (USSS), de Russische Federale veiligheidsdienst (FSB vroeger KGB), Secret Service Oekraïne (SBU), het Nederlandse computer emergency response team GOVCERT.NL, het Nederlands Forensisch Instituut (NFI), de Onafhankelijke Post en Telecom Autoriteit (OPTA), Stichting Internet Domein Registratie (SIDN), de Universiteit Aacken, regionale internet coördinator RIPE, Cybercrime analist ShadowServer, virus labs Qnet Labs, Norman en Kaspersky, cyber security bedrijven VeriSign en Fox-IT en hosting provider Leaseweb.

Openbaar gemaakte documenten

Met haar beslissing van 21 januari 2013 maakte het KLPD ook de volgende documenten openbaar: