Deep dive into QUANTUM INSERT

Summary and recommendations

QUANTUMINSERT (QI) is actually a relatively old technique. In order to exploit it, you will need a monitoring capabilities to leak information of observed TCP sessions and a host that can send spoofed packets. Your spoofed packet also needs to arrive faster than the original packet to be able to be successful.

Any nation state could perform QUANTUM attacks as long as the traffic passes through their country or possesses other capabilities to get the required TCP session data.

QUANTUMINSERT could be used for lateral movement within internal networks.

Detection is possible by looking for duplicate TCP packets but with different payload and other anomalies in TCP streams.

The usage of HTTPS in combination with HSTS can reduce the effectiveness of QI. Also using a content delivery network (CDN) that offers low latency can make it very difficult for the QI packet to win the race with the real server.

Deep dive into QUANTUM INSERT

The documents leaked by former National Security Agency (NSA) contractor Edward Snowden mention dozens of hard- and software attacks available to the NSA to gain and maintain access to target networks.

There has been some effort at recreating and open sourcing some of the hardware implants. Progress of this effort can be found at the NSA Playset[1]
website. Though various articles and blogs have been focussed on the attacks detailed in the leaked slides, little has actually been done on the detection side of things. We feel that this is important as with the publication of these documents, attacks like these could become more common.

Our focus for this article will be on performing and detecting one specific attack in the QUANTUMTHEORY[2] toolset called QUANTUMINSERT (QI). While this weakness in TCP has been known about for a long time, the NSA has allegedly deployed this attack successfully against targets..We will explain the attack, how it can be performed, and how you can detect it using Intrusion Detection Systems like Bro, Snort and Suricata. The code we used to test this attack is available on our GitHub page.

What is a QUANTUM INSERT attack

QUANTUMINSERT is described as a ‘HTML Redirection’ attack by injecting malicious content into a specific TCP session. A session is selected for injection based on ‘selectors’[3], such as a persistent tracking cookie that identifies a user for a longer period of time.

The injection is done by observing HTTP requests by means of eavesdropping on network traffic. When an interesting target is observed, another device, the shooter, is tipped to send a spoofed TCP packet. In order to craft and spoof this packet into the existing session, information about this session has to be known by the shooter.

All the information required by the shooter is available in the TCP packet containing the HTTP request:

  • Source & Destination IP address
  • Source & Destination port
  • Sequence & Acknowledge numbers

For the attack to succeed the packet injected by the shooter has to arrive at the target before the ‘real’ response of the webserver. By exploiting this speed difference or race condition, one can impersonate the webserver.

A video was posted online by The Intercept that shows the inner workings of QUANTUMHAND, which uses QUANTUMINSERT against targets visiting Facebook: https://vimeo.com/88822483.

We made the following animation showing a more high level overview of this attack:

Who is able to perform these attacks

Anyone who can passively or actively monitor a network and send spoofed packets can perform QUANTUM-like attacks. The NSA is allegedly able to perform this attack on a large scale on the internet and with a high success rate, which of course not everyone can simply do. This is because it requires the capability to listen in on potentially high volumes of internet traffic, which requires substantial resources and a fast infrastructure. This means that internet service providers (ISP) can potentially also perform these attacks.

A nation state could perform QUANTUM-like attacks when traffic passes through their country. An example of this is the recent research on China’s Great Cannon[4] by CitizenLab that confirms this.

What are QUANTUMINSERTS used for

NSA’s QUANTUM attacks are possible against various protocols and for different purposes. For both offensive and defensive capabilities as the following table shows:

Attack Description

QUANTUMINSERT

A man-on-the-side attack. Brief hijack of connection to redirect target to exploit server.

QUANTUMBOT

Capable of hijacking idle IRC bots and hijacking c2 communication from bots.

QUANTUMBISQUIT

Enhances QIs effectiveness against proxies and other hard to reach targets

QUANTUMDNS

DNS injection/redirection of A records. Targets single hosts or chaching name servers

QUANTUMHAND

Exploits the computers of Facebook users

QUANTUMSKY

Denies access to a webpage by injecting/spoofing RST packets.

QUANTUMCOPPER

File download/upload disruption and corruption.

Source: https://firstlook.org/theintercept/document/2014/03/12/one-way-quantum/

All of these programs attempt to race the response packet to the target before the response of the real server arrives.

NSA has QUANTUMINSERT capabilities since 2005. The first QUANTUM tool was QUANTUMSKY, realised in 2004. The most recent development, according to the slides was done in October of 2010.

Man-on-the-Side vs Man-in-the-Middle

The QUANTUM attacks described in the Snowden leaks are all man-on-the-side (MOTS) attacks, while China’s Great Cannon attack uses man-in-the-middle (MITM) capabilities. There is been some misinformation on the matter in write-ups.

The difference between the two can be observed by looking at the network traffic of the attacks[4]The Great Firewall of China (not to be confused with The Great Cannon), injects additional TCP reset (RST) packets, and the original real responses can be observed after these RST packets, but real responses can be observed after these RST packets. This is a sign of a MOTS attack, rather than a MITM attack. The network traffic related to the Great Cannon showed only modified packets and no original responses. In other words: the original packets were replaced. This is a sign of a MITM attack, rather than a MOTS attack. The CitizenLab report describes this in great detail.

Monitor and shooter locations

The attack can be done against remote networks on the internet, but also inside internal networks for lateral movement purposes. The closer the monitor and shooters are to the target, the higher the success rate.

Similar attacks

There has been work on injecting packet into TCP sessions. Some tools that perform a similar attack to QUANTUMINSERT are:

  • The attack performed by Kevin Mitnick back in 1994 used the same principles as QUANTUMINSERT, though he predicted TCP sequence numbers rather than observing them[5].
  • Hunt, a tool released in 1999 was able to spoof and hijack connections.
  • TCP Session Hijacking by Cheese, an article released in 2009, describes the technique accompanied by source code showing how to do it[6].
  • AirPwn[7], a framework for 802.11 (wireless) packet injection.

How we performed a QUANTUMINSERT attack

We used three virtual machines (VM) to simulate the monitor, client and shooter, as described in the leaked slides. In this controlled environment it was relatively easy to outrace the server response and inject a HTTP response into the TCP session of the web browser.

The monitoring VM received a copy of all the client traffic and was configured to search for a specific pattern in the HTTP request. When a matching packet was found, the monitor service would notify the shooter about the current IPs, ports, sequence and ACK numbers of the session. The shooter would then send a spoofed TCP packet containing the right values for the session and a not so malicious HTTP response to prove the insert was successful.

The monitor is a simple Python script that can read Tcpdump or Tshark output for the required sequence numbers, ACK numbers, IP addresses, TCP ports and optionally HTTP cookie values.

The shooter is also written in Python using Scapy for crafting and sending the spoofed packets.

We then tested this code over the internet in a controlled environment. One of the harder parts was finding a service provider that permitted source IP spoofing close to our office.

quantum_follow_stream3

Example inserted packet containing a HTTP 302 redirect response. The Content-Length of zero will cause the overlap of the original response to be ignored by the browser

The code to simulate the QI can be found on our GitHub repository: https://github.com/fox-it/quantuminsert/tree/master/poc/

Content of a QUANTUM INSERT payload

QUANTUMINSERT focuses on HTTP traffic and attempts to redirect the target to an exploit server. This means the packet will most likely contain a HTTP redirect or a HTML iframe to perform the redirect to an exploit server.It is also possible to exploit without redirection, using a browser vulnerability or malicious javascript.

While the QI can be done anywhere in a HTTP session, it is likely that the inject happens right after the HTTP GET requests that matches ‘selectors’ such as URL, source IP or Cookie header to identify and target specific users.

According to the slides, a QI is used for redirection to an exploit server but it can contain virtually any payload you want. For example, China’s Great Cannon inserted 3 TCP packets containing a malicious javascript to perform a denial of service (DDoS) attack on GitHub[8].

Detection of QUANTUM INSERT attacks

Among the leaked NSA documents was a slide from the Communications Security Establishment Canada describing how to detect QUANTUMINSERT attacks:

To clarify the above, the first content carrying packet is the first packet containing data received by the client from the server. If there are two packets received with the same sequence numbers but have a different payload, it is a possible QI attack.

Theoretically an insert can be done anywhere in the TCP session, for example in long lived HTTP/1.1 sessions. A redirect could also be performed that would have less than 10% difference with the real payload. For example by doing the QI on a similar domain name on a HTTP 302 redirect.

It is even possible to start ‘shooting’ before the client sends the HTTP request, resulting in a faster response than the real HTTP response. However, by doing so you will lose the ability to identify and target specific users. According to the leaked slides, NSA targeted clients with QUANTUMINSERT using selectors such as HTTP cookies.

So in practice we have to look for duplicate HTTP response packets with significant differences in their content.

In order to detect this using an IDS one would need to observe the network traffic between client and the internet.

Payload inconsistency

A client will receive duplicate TCP packets with the same sequence number but with a different payload. The first TCP packet will be the “inserted” one while the second is from the real server, but will be ignored by the client. Of course it could also be the other way around; if the QI failed because it lost the race with the real server response.

quantum_insert_wireshark

Example of duplicate sequence and ack numbers, but with different payload sizes.

Checking the first content carrying packet is probably the easiest way to detect a QI, but offers no guarantees, as an inject can be present later in the TCP session. Checking only the first content carry packet reduces the amount of false positives.

A retransmission with a different payload size will sometimes look like a QUANTUMINSERT, this can happen when a retransmission is cut short, for example during TCP window size changes.

TTL anomalies

The injected packets also show a difference in their Time To Live[9] (TTL) values. Because the QI packets are usually inserted closer to the target client, the TTL is relatively higher than that of the real responses, because they come from further away. While the initial TTL can be modified, it is difficult to exactly predict the correct TTL value.

Slight variations in TTL values are not unusual, due to route changes on the internet.

Other anomalies

Other anomalies can be seen if the spoofed packets are not carefully crafted. For example, the TCP Timestamp value is usually set if it was also set in the TCP SYN packet. However this could vary between operating systems.

Other values such as the Differentiated Services Code Point (DSCP) in the IP header can also be observed for anomalies.

Detection using IDS

We created a number of packet captures (pcaps) when performing the Quantum Insert attack, which can be found here: https://github.com/fox-it/quantuminsert/tree/master/pcaps

This helped us with developing detection for a number of Intrusion Detection Systems and we hope others find these pcaps useful for further analysis and research.

While we have released Snort signatures in the past, we realised that this was not going to be enough to detect Quantum Insert. The Fox-IT Security Research Team successfully made detection for Quantum Insert and released this proof of concept code into the public domain on our GitHub: https://github.com/fox-it/quantuminsert/tree/master/detection

Snort

We made custom patches to the Snort Stream pre-processor to be able to detect possible Quantum Inserts. We found this to be the most efficient way rather than creating our own pre-processor. When a possible QI is detected it will trigger an event and also try to log the payload of the other TCP packet that was inconsistent as extra data.

See the README.md for more technical details: https://github.com/fox-it/quantuminsert/tree/master/detection/snort

We hope these patches will eventually find its way upstream.

Bro

We made a Bro policy to check for inconsistencies in the first content carrying packet. Keeping track of multiple packets would be better, if this could be done in the core functionality of Bro. We attempted to use the rexmit_inconsistency event, but this did not seem to work. Others have also reported this on the mailing lists[10], however it never got much attention. It should be feasible to improve Bro so that it can also keep track of older TCP segments, in order to detect QI like attacks. There’s even an official Bro ticket for this: BIT-1314[11].

See the README.md for additional technical details:https://github.com/fox-it/quantuminsert/tree/master/detection/bro

Suricata

We asked the lead developer of Suricata, Victor Julien, if he could verify Suricata’s coverage for QI by supplying him a pcap. Victor explained that Suricata has an event called ‘stream-event:reassembly_overlap_different_data’ that can be alerted on when triggered using a default signature. We received an additional signature that detects HTTP 302 responses in possible QI payloads.

https://github.com/fox-it/quantuminsert/tree/master/detection/suricata

Evasion

Note that these detection methods are possibly not evasion proof, one could also easily spoof a FIN packet after the QI packet to close the session. This would stop tracking the TCP segments in most IDS systems. Later packets in this stream will not be matched with previous packets.

Other possibilities is to try to create a partial overlap of data, thus avoiding detection of duplicate sequence numbers.

Other work

The following blog post[12] describes how to perform QI containing Proof of Concept code to perform the attack: https://github.com/stealth/QI

HoneyBadger[13], is a comprehensive TCP stream analysis tool for detecting and recording TCP attacks written by David Stainton can most likely also detect this attack.

While writing this article a DoS attack on GitHub was going on and a analysis was posted by NETRESEC[8], we did not see duplicate packets in the screenshots that could indicate a QUANTUM (man on the side) attack. However, the difference in TTL values was noticeable.

The detection for this attack has been included in our Cyber Threat Management platform.

 

References

1. Nsaplayset website
2. Overview of QUATUMTHEORY
3. Selectors used by the NSA
4. Chinas Great Cannon
5. How Mitnick hacked Tsutomu Shimomura
6. TCP session hijacking by Cheese
7. Airpwn
8. Man on the side attack on GitHub.
9. Time To Live
10. Bro Mailing list
11. QI Bro ticket
12. Killing Schrodingers cat
13. HoneyBadger TCP stream analysis tool

Cyber Security in Nederland op de agenda!

Volgende week, op 6 december, gaat de vaste Kamercommissie voor Veiligheid en Justitie weer vergaderen over de voortgang van onze nationale Cyber Security strategie. Op de agenda staan 8 onderwerpen die in 3 uur behandeld moeten worden. Dat is weinig tijd voor stuk voor stuk belangrijke onderwerpen. Om de discussies efficiënt te laten lopen, leek het me handig om nu alvast wat onderwerpen te behandelen. De stukken van V en J over dit dossier vind je trouwens het snelst bij ikregeer.nl.

Meldplicht
Laat ik beginnen met de voorgestelde Meldplicht (security breach notification) en interventiemogelijkheden. Dat balletje is gaan rollen na een motie van Jeanine Hennis n.a.v. het Diginotar incident. Het idee is dat eigenaren/beheerders die voor de samenleving vitale systemen beheren een security incident niet onder de pet houden in de hoop dat het allemaal wel goed komt. Lijkt mij een prima idee. Ik maak altijd graag voor deze vitale systemen de vergelijking met de brandweer. We zouden ook niet willen dat bij een incident in een chemische fabriek de brandweer pas gebeld wordt op het moment dat deze overgeslagen is naar de fabriek er naast. Dus melden lijkt me logisch. En dan? In eerste instantie heeft de getroffen organisatie zelf een verantwoordelijkheid en zal het eigen interne emergency response team moeten optreden. Maar mocht het incident een maatje te groot worden, dan bellen we de alarmcentrale voor digitale branden en dan rukken ze uit?

Tja, dan moeten we wel een digitale brandweer hebben natuurlijk. Hennis ziet daarin terecht een rol voor het Nationaal Cyber Security Centrum . Maar die zijn daar nog niet klaar voor. Ze zullen eerst veel meer mensen moeten aannemen, die 24 uur per dag in een bus kunnen stappen, vol met allemaal nerdy gear om ter plekke daadwerkelijk ondersteuning te bieden. En dat houdt ook in dat ze daadwerkelijk achter de toetsenborden gaan zitten van die organisatie, om de hacker zo snel mogelijk buiten te sluiten en te borgen dat de continuïteit van de dienstverlening van die vitale organisatie niet in gevaar komt. Heel recent heeft de kamer nog wel een ‘Nationaal Crisisplan ICT’ toegestuurd gekregen. Een prachtig plan, maar ook hierin vind ik nog steeds niet welke mensen nu daadwerkelijk achter een toetsenbord kruipen om die digitale brand te stoppen.

Zolang je zelf nog niet echt ‘uitruk-klaar’ bent of ooit wilt zijn, kan je het natuurlijk ook anders regelen. In het Verenigd Koninkrijk hebben ze bijvoorbeeld vier bedrijven geaccrediteerd die in de praktijk deze functie nu al invullen. Voor een overheid tijdens een financiële crisis een perfecte oplossing. Je organiseert namelijk wel de brandweer, maar de rekening wordt bij de getroffen organisatie neergelegd.

Over de meldplicht heb ik nog wel drie vragen:

1) De meldplicht strekt zich uit over zes vitale sectoren. Eén daarvan is de telecomsector. Er wordt dan verwezen naar een meldplicht op grond van de Telecomwet. Het is mij nog niet duidelijk of de overgebleven PKI-overheid bedrijven, zoals DigiNotar was, onder de telecomwet valt. Het zou toch van de zotte zijn, als we naar aanleiding van DigiNotar een meldplicht invoeren waarbij de andere DigiNotars niet onder de meldplicht vallen?
2) Daarmee samenhangend: is het limitatief opnoemen van sectoren wel de goede methode? ICT hangt van ketens aan elkaar. Valt bijvoorbeeld de out-source partner van een energiebedrijf nu ook onder de wettelijke meldplicht? Is het niet verstandiger om de scope van de meldplichtige bedrijven abstracter aan te geven. Bijvoorbeeld, “alle organisaties waarbij door een security breach ernstige maatschappelijke ontwrichting kan plaatsvinden”.
3) En als laatste. Valt onder maatschappelijke ontwrichting bijvoorbeeld ook het stelen van grote hoeveelheden patiëntendossiers, databases met DNA samples, of andere privacygevoelige gegevens?

Soms doet een advies pijn
Een ander punt op de agenda gaat over een wat principiëlere vraag. Waarom durft de overheid in Nederland niet hardop te zeggen tijdelijk even niet van Internet Explorer gebruik te maken, terwijl bekend is dat er op dat moment actief door hackers misbruik van gemaakt wordt. Er zijn landen die dat wel doen zoals bijvoorbeeld Duitsland of talloze experts. De Duitsers adviseerden tijdelijk FireFox of Chrome te installeren. Een handeling die vele malen eenvoudiger is uit te voeren dan het technische advies dat Nederland, maar ook de Verenigde Staten geeft.
De keuze om te adviseren (tijdelijk) niet van een bepaalde leverancier gebruik te maken ligt gevoelig. Dat begrijp ik omdat je in tijden van crisis diezelfde leverancier soms ook keihard nodig hebt. Sharon Gesthuizen heeft als antwoord op haar vragen hierover van Minister Opstelten het merkwaardige antwoord gekregen dat het overstappen naar een andere browser niet een gegarandeerd veilig alternatief is. Op zich klopt dat, maar van Internet Explorer was bekend dat op dat moment de kwetsbaarheid ook daadwerkelijk misbruikt gemaakt werd. Gelukkig was er een patch binnen een paar dagen beschikbaar en viel de schade mee.

Dorifel/Citadel
Natuurlijk komt ook het Dorifel virus tijdens het overleg aan de orde. Dorifel is het virus dat door ‘een foutje’ van de dader opeens ontdekt werd, omdat netwerken van onder andere gemeentes uitvielen. De NOS liet beelden zien van ambtenaren die weer achter een ouderwetse typemachine zaten te werken. De Minister was nog met vakantie, maar staatssecretaris Teeven liet ons weten dat er niets aan de hand is, omdat de Dorifel uitbraak onder controle was. Dat was dan misschien zo, maar het heeft heel erg duidelijk gemaakt dat virussen maandenlang ongezien in netwerken wachtwoorden kunnen stelen, en dat niemand dat doorheeft. Volgens mij is de wijze les die we hieruit kunnen trekken, dat we actiever op netwerken moeten kijken of er ‘kwaardaardig’ verkeer overheen gaat.

Uit de beantwoording op de grote verzameling kamervragen rondom Dorifel haalde ik de volgende zin: ‘Een belangrijke stap hiertoe is blijven investeren in mogelijkheden
om digitale aanvallen te detecteren die gericht zijn op de Rijksoverheid’. Ik ben erg benieuwd op welke manier het NCSC daar nu handen en voeten aan gaat geven. Ik hoop dat dit initiatief niet alleen over de rijksoverheid gaat maar ook over vitale organisaties. Misschien wel bij dezelfde organisaties die ook onder de meldplicht vallen? Maar hoe wordt het verder ingericht? Gaat het NCSC zelf de sensoren ophangen bij instanties? Een aantal organisaties zoals KPN en de gemeenten zijn zelf al bezig een SOC (Security Operations Center) in te richten.  Daarnaast zijn er gespecialiseerde bedrijven die monitoring en detectie uitvoeren voor vitale instanties zoals Kahuna en Fox-IT (check dit coole filmpje). Het lijkt me waardevol als het NCSC kan verbinden met die Security Operations Centers. Op die manier kan een actueel dreigingsbeeld van Nederland worden opgebouwd. Het zou erg helpen als er een nationale monitoring protocol zou zijn, waardoor elke organisatie zijn SOC kan aansluiten op het nationale SOC. Het is waarschijnlijk het meest effectieve antwoord op de volgens het Cybersecuritybeeld Nederland grootste dreiging voor ons land: gerichte spionage. In het Verenigd Koninkrijk hebben ze deze stap al genomen.

Wetgeving bestrijding cybercrime
Het volgende punt op de agenda is het voorstel van Minister Opstelten over het digitaal binnendringen in computers door de politie in het kader van een opsporingsonderzoek. Daar is ondertussen al veel over geschreven. Het is geen geheim dat ik al langer (in 2010, en recent)  pleit voor deze bevoegdheid. Het gaat mij dan vooral om de context waarbij een acute ‘verstoring’ in Nederland dreigt en waarbij de gehackte computers onderdeel zijn van de technische infrastructuur van de criminelen. Wat mij betreft vallen daar dus geen privé pc’s van verdachten thuis onder en al helemaal niet om de pc’s van mensen die verdacht zijn van andere delicten zoals moord of drugshandel.

Na de brief van Minister waarin hij zijn voornemen bekend maakt, zijn er veel reacties gepubliceerd die fel tegen de plannen van de Minister zijn. Ik denk dat het heel goed is dat er een debat plaatsvindt over een gevoelig voorstel als dit. Bits of Freedom komt met als belangrijkste tegenargument dat Nederland onveiliger wordt omdat de politie er een belang bij heeft dat ze in computers kunnen inbreken. Dat lijkt me nogal vergezocht. Het argument zou alleen steek houden als op dit moment al de overheid actief op zoek is naar kwetsbaardheden en die met het publiek deelt om ons juist te beveiligen. Het is juist eerder andersom. Het valt mij op dat de landen die nu offensieve activiteiten ontplooien op het internet (Cyberwar) veel beter door hebben hoe kwetsbaar ze zijn, en daardoor veel actiever hun best doen om hun eigen belangen zo veilig mogelijk te maken.
Professor Bart Jacobs heeft een goed artikel geschreven in het Nederlands Juristen Blad. Hij concludeert uiteindelijk dat het een nuttig en verdedigbaar middel kan zijn om een acute cyberdreiging te verstoren. Daarmee zit we behoorlijk op een lijn, alhoewel ik wel hoop dat er af en toe ook een crimineel mee opgespoord wordt.

Het ziet er naar uit dat er een meerderheid zal zijn in de kamer voor een of andere vorm van digitaal binnendringen door de politie. De wet komt er wel, maar de grote vraag is hoe deze er uit gaat zien. Het is volgens mij relevant daarbij de volgende aspecten te bespreken.

1) De scope
Bij welke delicten wordt het middel ingezet? Ik zou dat beperkt willen zien tot alleen die delicten waarbij het ‘cyberelement’ een grote rol speelt. Dus bijvoorbeeld bij een DDoS aanval op ons betalingsverkeer of bij grootschalige verspreiding van kwaadaardige virussen waardoor continuïteit van instanties in gevaar komt. Maar behalve voor acute crisissituaties hoop ik toch ook dat de nieuwe bevoegdheden af en toe kunnen worden ingezet bij het opsporen van criminelen die zeer succesvol zijn in het stelen van geld van onze bankrekeningen. Dat is hard nodig omdat het een criminaliteitsvorm is waarvan het schade bedrag zeer snel stijgt, en het zelden lukt om daders aan te houden. Pas bij enig gevoel van pakkans zal die criminaliteit gaan afnemen.

Het beperken van de bevoegdheden tot de meer ernstige cybercrime delicten zal een uitdaging vormen voor juristen, aangezien de meeste bevoegdheden volgens mij gekoppeld worden aan een maximale gevangenisstraf.

Ik kan me een aantal uitzonderlijke gevallen voorstellen waarbij het ook gerechtvaardigd is om de computer van een verdachte te hacken die buiten deze scope vallen. De promovendus Jan Jaap Oerlemans heeft daar vorig jaar al een artikel aan gewijd. Dat is bijvoorbeeld bij het vermoeden dat de computer van de verdachte versleuteld is en dat die computer essentieel is bij het oplossen van een misdrijf. Maar dan hoeft de politie-spyware natuurlijk niet zo ver te gaan dat alles op de computer op afstand kan worden bekeken. Het zou dan alleen de wachtwoorden moeten verzamelen. Pas na een huiszoeking worden die onderschepte wachtwoorden gebruikt om de harde schijf te kunnen analyseren. Dit laatste lijkt me een veel betere oplossing dan de eveneens door de Minister voorgestelde ontsleutelplicht. Het dwingen van verdachten tot het afgeven van een sleutel is een heel slecht plan. Daar heb ik al eerder een blog aan gewijd. Het vastlopen bij kinderporno onderzoeken is belangrijkste argument voor de Minister om met de ontsleutelplicht te komen. Het nieuwe onderzoek van Koops over de ontsleutelplicht richt zich vooral op de juridische haalbaarheid van een ontsleutelbevel ten opzichte van het Nemo-tenetur beginsel. Koops komt tot de (juridische) conclusie dat dit inderdaad zou kunnen. Daarmee zegt hij niet dat per se het meest effectieve of een noodzakelijk middel is.

Ik hoop niet dat de politieke conclusie wordt dat we dit daarom automatisch maar moeten invoeren. Volgens mij is het zinvol om het totaal palet van bevoegdheden nog eens tegen het licht te houden, en dan pas te concluderen hoe hard we deze bevoegdheid nou eigenlijk echt nodig hebben.

Er ligt al een voorstel voor een bevoegdheid digitaal binnendringen. Dat biedt natuurlijk ook mogelijkheden om aan wachtwoorden te komen nog voordat een inval plaats vindt. Mocht dat niet via het internet lukken, bestaat nu al de mogelijkheid om op basis van 126l sv een keyboard sniffer te plaatsen om wachtwoorden te achterhalen.

De politie is pas recent goed begonnen met een landelijk onderzoeksteam op het gebied van kinderporno. Het uiteindelijke doel daarbij is zowel producenten als slachtoffers op te sporen. Ik ben heel blij om te zien dat eindelijk geinfiltreerd gaat worden in de kinderporno netwerken.

Misschien doen we er beter aan over een jaar nog een keer te kijken of het ontsleutelbevel nou echt nodig is. Ik durf er op te wedden dat het nieuwe team met de hackwet, infiltratie en direct afluisteren al een heel eind komt.

Een tweede uitzonderingssituatie doet zich voor als de verdachte gebruik maakt van anonimiseringstechnieken die het Internet biedt, zoals TOR-services. Via deze techniek kan je bijvoorbeeld een criminele marktplaats voor wapens on-line brengen zonder dat je het echte on-line ip-adres, waar het op draait, hoeft prijs te geven. Effectief betekent het dat de politie geen enkel spoor in de fysieke wereld heeft om de mensen achter de marktplaats te vinden. Het enige wat ze overblijft, is door in te breken in de marktplaats een echt ip-adres of andere sporen te vinden waar ze via traditionele middelen weer verder mee kunnen.

2) internationale aspecten -politie on-line gaat altijd over het ‘buitenland’

In bijna alle digitale onderzoeken zien we sporen van criminelen die zich in een snel tempo door cyberspace en daarmee door verschillende landen verplaatsen. Bij de gangbare projectie van ip-adressen uit cyberspace op landen ontkomt de Nederlandse politie er niet aan om in elk onderzoek ondersteuning te vragen aan andere landen. Het mag helder zijn dat dat zeer vertragend werkt, en dat medewerking erg afhankelijk is van bereidwilligheid en expertise van het andere land. Wat daarbij vaak nog een rol speelt, is dat we ondersteuning moeten vragen van landen waarbij zowel slachtoffer als dader helemaal geen betrokkenheid hebben met het bevraagde land. Althans, niet anders dan dat ze daar een (virtuele) computer huren voor 15 dollar per maand.

Los van het wetsvoorstel digitaal binnendringen, is het in een bredere context noodzakelijk dat het helder wordt voor de opsporing wat we gaan hanteren als ‘buitenland’ als het opsporingshandelingen in cyberspace betreft. Dat geldt trouwens niet alleen voor het strafrecht, maar zal voor het optreden van ons aanstaande cyberleger net zo goed relevant worden. In de literatuur wordt nogal eens verwezen naar de verschillende ‘lagen’ of ‘building blocks’ van cyberspace. Bijvoorbeeld Lance Strate spreekt over ‘three building blocks’ of cyberspace. Hij maakt daarbij een verschil tussen de fysieke cyberspace, die bestaat uit de computers en kabels er om heen, en een conceptuele vorm van cyberspace. Die laatste is in mijn ogen veel relevanter voor de opsporing. Ook al zou een marktplaats.nl fysiek in China staan, dan nog moet de Nederlandse politie daar gewoon onderzoek op kunnen doen.
Wat precies die conceptuele laag in cyberspace is, kunnen we het nog heel lang over hebben. De fysieke laag van cyberspace lijkt in ieder geval met het ontstaan van clouds en het leveren van online criminele dienstverlening als een service steeds minder relevant te worden. Al is het maar omdat niemand met zekerheid kan zeggen in welk land een ip-adres staat.

Wanneer het kan, moet de politie natuurlijk wel zoveel mogelijk samenwerken met andere landen. In veel gevallen helpt lokale kennis in het onderzoek en kunnen zij gegevens vorderen over bijvoorbeeld betalingen voor criminele servers waar je op afstand niet bij kan. Maar, ook al kan de lokale overheid geen toegevoegde waarde leveren, is een notificatie van de opsporingshandeling aan dat land altijd op zijn plaats.

Nederland moet zelf het voortouw nemen bij grensoverschrijdend opsporen via internet. Afwachten op wereldwijde consensus lijkt mij geen haalbare weg. Andere landen zullen minder snel de noodzaak van nieuwe wetgeving zien, omdat ze zelf nog niet het gevoel van urgentie ervaren als wij hier in Nederland.

3) Waarborgen
Een digitale doorzoeking in mijn persoonlijke computer(s) vind ik een grotere inbreuk op mijn privacy dan een doorzoeking van mijn huis. Ik vertelde dat laatst bij een presentatie aan een groep (seniore) politiemensen en die snapten daar helemaal niets van. Voor hen voelt dat blijkbaar niet zo. Ze gebruiken hun computers op een andere manier dan ik. Een inkijkje in mijn computer vertelt veel meer over me dan je ooit in mijn huis kan vinden. Ik ben zo iemand die nooit mail weggooit, dus je kan vele jaren terugkijken. Ik doe alles via e-mail, skype, irc en log dat ook nog allemaal. Filmpjes die ik bekeken heb, hebben vast ook sporen achtergelaten. Kortom voldoende materiaal om het me bij een verhoor erg moeilijk te maken ook al heb je niets over het delict, waar ik van verdacht wordt, kunnen vinden.

Daarom vind ik het dus belangrijk dat er een rechter (-commissaris) in het proces zit die, voordat hij zijn handtekening onder een last zet, daadwerkelijk aanvoelt wat de impact is van zo’n digitale inbraak (proportionaliteit) en er echt geen ander minder ingrijpend middel is om aan bruikbare sporen voor een veroordeling te komen (subsidiariteit). Voor een telefoontap kan elke rechter dat wel afwegen. Hij belt immers vast zelf ook wel eens. Die lijn kan je niet doortrekken voor een RC voor wie het internet niet meer is dan een handige manier om jurisprudentie te zoeken. Ik pleit dan ook voor een rechtbank (met bijbehorende RC’s) die gespecialiseerd is in zaken waarbij de rol van cyberspace relevant is. Mijn hoop is ook dat die rechters wel snappen dat je een jongen van 17 jaar niet zijn Internet moet ontnemen zoals met de KPN hack verdachte gebeurd is. Uiteindelijk is zo’n gespecialiseerde rechtbank hopelijk niet meer nodig. Dat is wanneer alle rechters net zo vertrouwd zijn met het internet als de slachtoffers en daders in hun zaken.

Een aantal andere aspecten zijn ook belangrijk met dit soort gevoelige bevoegdheden. Notificatie achteraf lijkt mij vanzelfsprekend logisch en de hack zelf moet volledig worden opgeslagen door de computer(s) van de hackende diender te tappen. Mocht speciale software worden ingezet die draait op de PC van een verdachte, dan moet deze goedgekeurd worden door de Keuringsdienst van de KLPD.  Net zoals gedaan wordt met de technische middelen die worden ingezet in het kader van andere bijzondere opsporingsbevoegdheden zoals ‘direct afluisteren’ en ‘stelselmatige observatie’. Deze speciale dienst kijkt trouwens alleen naar integriteits- en authenticiteitsaspecten. De confidentialiteit lijkt me in dit kader minstens zo belangrijk. Het moet immers niet zo zijn, dat door de actie van de politie anderen ook mee kunnen kijken in de computer van de verdachte.

Omdat het een gevoelig middel is, lijkt me verantwoording in de vorm van frequentie en effectiviteit van het middel geen overbodige luxe.  Door dit soort informatie geheim te houden, creëer je als staat onnodig het gevoel van controlestaat te zijn. De Amerikaanse aftaprechtbank publiceert jaarlijks een rapport van meer dan 300 pagina’s over de taps waaronder ze een handtekening gezet hebben. Zo kan het dus ook!

@cryptoron