BINNEN ZONDER KLOPPEN
Opsporing van hackers is gebaat bij goede en slagvaardige internationale samenwerking. Maar wat te doen als het buitenland niet meewerkt? De FBI besloot onlangs het heft in eigen handen te nemen en in te breken op twee Russische servers om bewijsmateriaal te verzamelen. Juristen zijn er niet blij mee.
Internationale opsporing staat of valt met goede diplomatieke betrekkingen. De meeste overheden hebben verdragen afgesloten om data in andere landen te kunnen achterhalen. Dankzij die verdragen reikt de arm van opsporingsdiensten tot ver buiten de eigen grenzen.
Ook de VS klopt regelmatig bij andere landen aan, op jacht naar cybercriminelen. De Amerikaanse overheid heeft een verdrag met Rusland, waarin dit land belooft de VS te helpen bij opsporingsonderzoek. Maar het verdrag geldt niet voor alle soorten misdaden. Computercriminaliteit valt er niet onder.
Russische kraak
Onlangs leidde dit tot een juridische discussie. De FBI was twee Russische hackers op het spoor. Het Amerikaanse ministerie van Justitie vroeg de Russische overheid verschillende malen om medewerking, maar tevergeefs.
De FBI besloot om het heft in eigen handen te nemen. Onder valse voorwendselen werden de hackers uitgenodigd om in een Amerikaanse computer in te breken. De FBI gebruikte een 'sniffer' om alle toetsaanslagen van de twee Russen af te tappen. Dankzij de aldus verkregen wachtwoorden kon men zich toegang verschaffen tot twee Russische servers met meer dan 1 GB aan bewijsmateriaal.
Vervolgens werden de twee naar de VS gelokt om zogenaamd voor een beveiligingsbedrijf te gaan werken. Bij aankomst werden ze gearresteerd. De verdere details zijn na te lezen bij Planet Multimedia
en CNet.
Juristen hebben vraagtekens gezet bij deze wel erg voortvarende aanpak. Dit zou immers precedenten kunnen scheppen voor de toekomst. Is straks geen enkele buitenlandse computer meer veilig voor de lange arm van Amerikaanse opsporingsinstanties? Bovendien: wat als de Russische overheid inbreekt op een Amerikaanse server? Dat zou zeker tot protest van de VS leiden.
Wel kun je je afvragen in hoeverre hier sprake was van een 'hack'. De afgetapte wachtwoorden waren immers via eigen servers verkregen. Het enige dat de FBI nog op de Russische servers hoefde te doen was het intikken van de verkregen wachtwoorden. Valt dat laatste nog onder cybercriminaliteit? De meningen lopen uiteen.
Niet de eerste keer
Het is niet de eerste keer dat de FBI inbreekt in computers. Enkele maanden geleden haalde de FBI zich de woede van privacygroeperingen op de hals door een kraak uit 1999. De FBI brak toen in op de computer van een verdachte en installeerde software om alle toetsaanslagen te registreren. Tegenover de rechtbank verklaarde men dat dit noodzakelijk was, omdat de verdachte zijn gegevens had versleuteld met Pretty Good Privacy en alleen langs deze weg de sleutel te achterhalen was.
Het is ook niet de eerste keer dat Amerikaanse officials huiszoeking houden in het buitenland. In 1986 arresteerde de Mexicaanse politie de leider van een narcotica-bende en leverde hem uit aan de VS. Later doorzochten de Drug Enforcement Agency, samen met Mexicaanse officials, de huizen van de verdachte. Dat gebeurde zonder machtiging.
Ook dit leidde tot protesten, maar de Amerikaanse overheid kreeg uiteindelijk steun van de rechter. Vier jaar later oordeelde de Hoge Raad dat het doorzoeken van een buitenlandse woning van een niet-Amerikaan wel degelijk geoorloofd was, ook zonder machtiging.
Amerikaanse opsporingsinstanties kunnen zich kortom veel permitteren. Het is dus zeker niet uitgesloten dat de FBI ook nu weer de rechter aan zijn zijde vindt. Dat is goed voor de vervolging van de twee Russische cybercriminelen. Maar of dat ook goed is voor de internationale rechtsorde is nog maar de vraag.
