Foute software voor foute regimes – en Nederland
De Nederlandse politie blijkt klant te zijn bij het bedrijf Gamma. Dat is een fout bedrijf dat foute software aan foute regimes levert. Die software kan veel meer dan de Nederlandse politie ermee mag. Zou de Nederlandse politie zich kunnen inhouden?
Gamma verkoopt de software waarmee een aanvaller de computer van iemand anders kan overnemen. In de woorden van Gamma zelf:
FinSpy is a field-proven Remote Monitoring Solution that enables Governments to face the current challenges of monitoring Mobile and Security-Aware Targets that regularly change location, use encrypted and anonymous communication channels and reside in foreign countries. […] When FinSpy is installed on a computer system it can be remotely controlled and accessed as soon as it is connected to the internet/network, no matter where in the world the Target System is based.
Gamma heeft veel overheden als klanten. Uit de gelekte bestanden blijkt dat het bedrijf ook veel zaken doet met landen die lak aan grondrechten hebben. De foute regimes van landen als Iran en Bahrein blijken grootverbruikers te zijn. Een analyse van de logbestanden toont aan dat die laatste overheid de software heeft gebruikt voor het bespioneren van advocaten die zich sterk maken voor burgerrechten.
De Nederlandse politie mag deze software niet zonder meer gebruiken. Deze software kan namelijk op afstand worden geïnstalleerd. Dat gebeurt dan door de verdachte een besmet PDF-bestand toe sturen of de spyware als een update voor iTunes te vermommen. Zeg maar, zoals criminelen de computers van onschuldige internetgebruikers besmetten. De Nederlandse politie mag hooguit delen van deze software gebruiken, bijvoorbeeld om de toetsaanslagen van de gebruiker te registreren. En dat mag dan ook alleen maar als zij de software heeft kunnen installeren op de computer met die computer fysiek in handen. De vraag is natuurlijk: als de politie zulke krachtige software daarvoor inzet, kan zij zich inhouden?
Uit gelekte bestanden blijkt dat de Nederlandse politie sinds 2012 tenminste drie verschillende producten heeft afgenomen en op dit moment voor tenminste twee van de producten nog een actieve licentie heeft. De politie lijkt die producten actief te gebruiken, gegeven de vele recente vragen aan de helpdesk van Gamma. Die vragen leiden overigens ook tot zorgen over de kwaliteit van de software: in één van de tickets klaagt de politie dat de verzending van de afgeluisterde SMS-berichten naar de politie niet versleuteld is.
De Nederlandse politie heeft dus iets uit te leggen. Want waarom beschikt de politie over zulke software? Hoe wordt de software precies ingezet? Welke functionaliteiten van de software worden daarbij gebruikt? Hoe wordt de integriteit van de vergaarde informatie gewaarborgd? Is te controleren of de politie van de verboden vruchten heeft kunnen afblijven? Over welke andere spyware beschikt de politie ook nog?
Kijk, vroeg of laat gaan we de antwoorden op al die vragen toch achterhalen. Is het niet omdat de politie zelf en vrijwillig transparant is daarover, dan wel via de Wet openbaarheid bestuur en een gang naar de rechter, via gehackte leveranciers of omdat iemand het lef heeft om klokken te luiden. Maar voor een serieuze discussie over het gebruik van zulke software is onze minister van Veiligheid en Justitie beter gewoon open en eerlijk.