Internetrecht door Arnoud Engelfriet

Een groep anonieme hackers heeft de oorlog verklaard aan de omstreden Scientology-beweging, meldde Tweakers gisteren. Het initiatief voor deze serie aanvallen komt van een groep die zich “Project Chanology” noemt.

Directe aanleiding voor deze actie is de actie van Scientology tegen een gelekt video-interview van Tom Cruise. Diverse sites kregen een takedown notice om de film te verwijderen. Enkele daarvan waren gerelateerd aan 4chan, een internetfenomeen dat verantwoordelijk is voor allerlei internet-ongein (zoals de de lolcat) maar ook serieuze vormen van internetvandalisme.

Security.NL meldt dat er meer dan 488 DDoS-aanvallen zijn uitgevoerd op Scientology-websites, goed voor een dataverkeer van gemiddeld 21 megabytes per seconde oftewel de inhoud van zo’n 3 DVD’s per minuut. Best veel, maar niet uitzonderlijk voor verstikkingsaanvallen.

Op internet heeft Scientology een slechte reputatie, door de keiharde manier waarop zij tegenstanders en kritiek aanpakt, zoals schrijfster Karin Spaink en internetprovider XS4All halverwege de jaren negentig ondervonden. Het is mede dankzij hun standvastig optreden dat ik nu IT-jurist ben trouwens.

Hoe begrijpelijk de weerstand tegen Scientology ook is, het is nog geen excuus voor dit soort vigilante justice. Al was het maar vanwege de kans op onschuldige slachtoffers, zoals een Nederlandse school die een paar minuten per ongeluk op de korrel werd genomen omdat de aanvallers het verkeerde IP-adres hadden gebruikt (oh noes!). Bovendien: Scientology van het net proberen te krijgen is precies hetzelfde als wat de beweging altijd kwalijk wordt genomen.

Kritiek leveren mag best, zelfs als je daarbij gebruik maakt van gelekt materiaal zoals die Tom Cruise video. Dat bepaalde het Gerechtshof in die eerder genoemde zaak tegen XS4All en Spaink:

Naar ’s hofs oordeel kan in deze bijzondere omstandigheden niet worden gezegd dat een beperking van de informatievrijheid op grond van de handhaving van het auteursrecht nodig is in de zin van artikel 10 EVRM en evenmin dat het belang van [F] en de Providers en het algemeen belang bij de informatievrijheid van artikel 10 lid 1 EVRM in verhouding tot dat van Scientology c.s. bij handhaving van hun auteursrecht in dit geval minder zwaar weegt. Derhalve behoort het eerstgenoemde belang niet te wijken voor het belang van Scientology c.s. en slaagt het beroep op artikel 10 lid 1 EVRM.

Maar dit is natuurlijk van een heel andere orde dan Scientology proberen van internet te pesten met dit soort computercriminaliteit. Ook Scientology heeft het recht om haar mening te uiten. Uit jurisprudentie over datzelfde artikel 10 lid 1 EVRM blijkt dat je heel ver mag gaan daarin. Pas wanneer je de democratie zelf aanvalt, overschrijdt je een grens. Maar zelfs dan is het de taak van de overheid, en niet zelfbenoemde vigilantes met te veel vrije tijd om daar wat aan te doen.

Arnoud

Een slimme lezer las mijn artikel over digitaal spoorzoeken en bedacht het volgende:

Een verzender verstuurd daadwerkelijk een bericht dat zo is vormgegeven dat het lijkt dat het vervalst is. Hiermee lokt hij bijvoorbeeld een levering, dienst of toezegging uit en probeert onder zijn eigen toezeggingen uit te komen door zijn bericht als onecht aan te merken.

Aangezien de ontvanger er belang bij kan hebben om een onecht bericht voor echt door te laten gaan, hebben beide partijen dus een motief om te “knoeien” met een emailbericht. Met andere woorden, welke conclusie moet een rechter trekken als je kunt aantonen dat een email niet in orde lijkt?

Elektronisch bewijs is in theorie triviaal te vervalsen, dat klopt. Er zijn het afgelopen jaar een paar zaken geweest waarbij b.v. MSN chatlogs gebruikt werden als bewijs, maar daarbij waren partijen het eens over de inhoud van de log. De discussie ging over hoe het gezegde moest worden geïnterpreteerd.

De rechter moet bij bewijs altijd afwegen wat de partijen zeggen over het bewijs, en dan concluderen wat hem het meest logisch voorkomt. De eerste vraag is dus altijd of de partijen het bewijs wel in twijfel trekken. Als beiden het eens zijn, of zelfs maar er niets over zeggen, dan mag de rechter niet zelfstandig nog eens gaan kijken of het bewijs technisch wel klopt.

De rechter hoeft dus geen verstand te hebben van techniek. Hij moet alleen maar kunnen inschatten welke deskundige het meest overtuigend overkomt. Degene die uitlegt dat er met bewijs geknoeid is, of degene die aantoont dat dit toch echt een legitiem bericht was?

De partijen zullen dus zelf moeten aantonen of het bewijs klopt. Alleen maar roepen dat het bewijs vervalst zou kunnen zijn, is niet genoeg. Je zult wel moeten aangeven waarom dat waarschijnlijker is dan dat het bericht echt is. Waarom zou een hacker nu net jouw draadloze netwerk uitkiezen om muziek mee te verspreiden, en dan ook nog eens jouw account gebruiken? Om die reden verloor Jammie Thomas haar rechtszaak. Plus natuurlijk het feit dat zij geen draadloos netwerk had. Oeps.

In het geval van de vraagsteller hebben we persoon A, die een bestelling plaatst bij B met daarin opzettelijk aangebrachte wijzigingen. B ziet deze niet en handelt de bestelling keurig af. Achteraf zou A dan kunnen claimen dat hij de bestelling niet geplaatst heeft. Maar waarom zou hij? Dan moet hij het bestelde natuurlijk teruggeven. Dat is hooguit leuk voor 13jarigen die een keer iemand willen pesten.

Ik zou me kunnen voorstellen dat persoon A iets beledigends over B wil publiceren, en dat doet vanaf zijn eigen account maar in een vaag cybercafé in Duitsland, met meer spelfouten dan normaal en met nog wat dingen die hij normaal niet doet. Hij kan dan achteraf claimen dat zijn account gehackt was, of dat iemand anders er in geslaagd is het bericht te plaatsen onder zogenaamd zijn naam. Dat zou hij kunnen winnen. Maar ik zou dan wel verwachten dat hij het bericht meteen weghaalt of laat halen. Gaat hij eerst verdedigen dat het bericht niet beledigend was, en daarna pas roepen dat hij gehackt was, dan zal dat niet geloofwaardig overkomen.

Het zal dus altijd afhangen van alle omstandigheden van de zaak.

Arnoud

Door dit zegel te verbreken, aanvaardt u de licentievoorwaarden. Dat is een bekende tekst bij EULA’s of software-licenties. Omdat je de CD met de software niet uit de envelop krijgt zonder het zegel te verbreken, kan de maker van de software nu eenvoudig bewijzen dat je de EULA geaccepteerd hebt.

Niet helemaal, zoals uit de foto hiernaast blijkt. Dit was een zeer creatieve oplossing van ene Wellington Grey. En ja, hij mag nu de software installeren en gebruiken. Hij heeft deze rechtmatig verkregen, en dan zegt art. 45j Auteurswet dat je de software mag gebruiken. Het blijft natuurlijk verboden om deze te kopiëren en te verspreiden.

De rest van de presentatie gaat verder over de DMCA en waarom die dit zou verbieden als hij ook op niet-digitale zaken van toepassing zou zijn. De analyse rammelt nogal; de DMCA verbiedt het hacken van beveiliging van software, maar welke beveiliging wordt hier gehackt? Een knopje “Akkoord met licentie” omzeilen is echt geen beveiliging van de software. Maar dat is iets voor een andere keer.

De hierboven getoonde foto is gemaakt door Wellington Grey en is beschikbaar onder de Creative Commons 3.0 BY-SA licentie.

Arnoud

Verspreiden gestolen computerinformatie wordt strafbaar, meldde NU.nl donderdag. Het is nu verboden om in te breken in computersystemen en gegevens daaruit over te nemen, maar nergens staat dat anderen die die gegevens verder verspreiden, ook strafbaar zijn. Virtuele heling is dus legaal, en minister Hirsch Ballin wil nu verandering in brengen.

In zijn brief aan de Tweede Kamer legt de minister verder uit wat je nu al kunt doen aan gestolen informatie die mensen op internet verspreiden. Laat ik eens een poging wagen dit in minder ambtelijke taal te vertalen.

Ten eerste heb je meestal auteursrecht op de gegevens. Een tekst of foto is auteursrechtelijk beschermd, en kopiëren mag dan niet zonder jouw toestemming.

Mensen kunnen trouwens niet wegkomen met “ja maar ik citeer alleen maar uit de tekst”. Je mag namelijk alleen citeren uit rechtmatig gepubliceerd werk, en dus niet uit gestolen teksten.

Ten tweede heb je bij foto’s en films portretrecht. Ook hier weer: het gaat om materiaal dat je niet zelf gepubliceerd hebt, privéfoto’s dus. Zonder toestemming mogen zulke foto’s niet worden gepubliceerd.

Een voorbeeld: in 2005 werd de digitale camera van prinses Maxima gestolen. De foto’s daaruit doken op in de Telegraaf en de Privé. Dat werd verboden met een beroep op het portretrecht. Een beroep op de vrije nieuwsgaring werd afgewezen; zulke privéfoto’s hebben zelden tot nooit nieuwswaarde. En om het nieuwsfeit te melden dat de camera gestolen was (jaja, slim bedacht) hoef je de foto’s zelf niet te laten zien natuurlijk.

Daar kun je zowel de plaatser van de gegevens als diens provider op aanspreken. Ook kun je aangifte doen bij de politie, want opzettelijke inbreuk op auteursrecht of portretrecht is een misdrijf.

Als het gaat om bedrijfsgegevens, dan is er nog een derde optie. Het onthullen van bedrijfsgeheimen is namelijk strafbaar. En Hirsch Ballin wil dus een vergelijkbare bepaling voor privégegevens van natuurlijke personen invoeren.

Wat ik nog miste in het antwoord, is een beroep op de Wet Bescherming Persoonsgegevens. Gestolen foto’s, maar ook tekstuele informatie met daarin gegevens over jezelf zijn persoonsgegevens en mogen alleen met toestemming worden verwerkt. En die is er natuurlijk niet. Een “aantoonbare noodzaak” is dan het enige toegelaten alternatief, maar dat zal er ook niet snel zijn bij publiceren van gestolen informatie.

Mede via Volledig bericht, pardon Boek 9.

Arnoud

De meeste forumsoftware heeft de mogelijkheid ingebouwd om deelnemers elkaar privéberichten (pb’s) te laten sturen. Alleen de ontvanger kan die dan lezen - en de beheerder natuurlijk, want de beheerder kan alles. Maar mag dat wel, zo vroeg een lezer van deze blog me onlangs.

Ik zou zeggen van niet, tenzij de beheerder een dringende reden heeft die te maken heeft met de goede werking van het forum. Het heet niet voor niets privébericht: mensen verwachten dat de inhoud daarvan privé is en blijft. En dan hebben zij er recht op dat de beheerder uit het bericht blijft.

Een dringende reden kan bijvoorbeeld zijn dat iemands inbox verstopt is, dat de beheerder een bevel van justitie kreeg om de inhoud van een pb af te geven of dat de virusscanner aangaf dat er een probleem was met een bericht.

Er is geen briefgeheim voor e-mail, en dus ook niet voor privéberichten op forums. Maar specifiek voor beheerders (administrators) zijn er wel regels over geheimhouding van privé communicatie van gebruikers.

Medewerkers van bedrijven die een telecommunicatiedienst (”dienst die geheel of gedeeltelijk bestaat in het overbrengen van signalen via een elektronisch communicatienetwerk”) aanbieden, zijn strafbaar als ze kennisnemen van de inhoud van die overgebrachte communicatie. artikel 273d Wetboek van Strafrecht. Afhankelijk van hoe je de definities leest is goed verdedigbaar dat de beheerder van een forum daar ook onder valt.

Je zou als beheerder in je forumreglement kunnen aangeven dat alle berichten, ook pb’s, gelezen worden. Dan wordt het een ander verhaal. Als je weet dat alles gelezen zal worden, heb je geen privacy. Maar dat moet dan wel heel expliciet vermeld worden, ik zou zelfs zeggen bij het scherm waar je de pb’s schrijft.

Arnoud

Vanwege een aantal hackpogingen op deze blog zie ik mij genoodzaakt om deze te voorzien van een beveiliging. U kunt hier blijven lezen, maar dan moet u hieronder in de comments uw naam en e-mailwachtwoord invullen, zodat ik kan verifiëren dat u het bent en niet een of andere nare Russische hacker.

Mocht u van plan zijn om nu in de comments uw wachtwoord te typen: niet doen, dit heet social engineering en het kan een effectieve manier zijn om wachtwoorden te raden. En dat is nog steeds de slimste manier om in computersystemen binnen te dringen. Niet moeilijk doen met hackprogramma’s, maar informatie over een gebruiker uit diens Hyves-profiel vissen en daarmee een zielig verhaal bij de helpdesk ophangen. Of juist doen of je de helpdesk belt.

En daarover een zeer uitgebreide analyse bij CorCom:

Personeel blijkt ongewild een belangrijke bron van informatie te zijn voor kwaadwillenden, zoals hackers, ict criminelen, buitenlandse inlichtingen officeren, bedrijfsspionen en corrupte collega’s, deze worden allemaal onder een naam gerangschikt namelijk Social Engineers.Deze personen breken dikwijls succesvol op computer systemen in. Hun werkmethode heet Social Engineering. Vandaar de verzamelnaam voor deze personen, Social Engineers. Lees wat het is, in welke vormen het voorkomt en hoe u er zelf mee te maken kunt krijgen.

Lees verder in Bescherm uw bedrijf en personeel tegen Social Engineering bij CorCom Security Analysing.

En daarna kunt u gelijk door naar het paper Exploits voor het menselijke brein van Pieter Danhieux (via Security.nl).

Arnoud

Cryptografie-expert Bruce Schneier meldt in Wired dat een voorstel voor een nieuwe standaard voor cryptografie (encryptie of ook wel geheimschrift) mogelijk een achterdeur bevat waardoor de Amerikaanse veiligheidsdienst NSA alle berichten zou kunnen lezen. Nu wordt er al meer dan tien jaar gespeculeerd over mogelijke achterdeuren in bijvoorbeeld PGP, maar dit is de eerste keer dat er ook werkelijk aanwijzingen zijn voor zo’n achterdeur.

De standaard gaat over zogeheten elliptic-curve cryptografie. Elliptische krommen hebben niets te maken met ellipsen. Een elliptische kromme is een vergelijking met x en y, met x tot de derde macht en y in het kwadraat. Zulke vergelijkingen zijn nuttig bij cryptografie. Daarvoor moet je wel afspreken welke vergelijking je gaat gebruiken. En bij die keuze blijken nu bepaalde getallen zodanig gekozen te zijn dat er theoretisch een “loper”, een master key bestaat waarmee alle versleutelde berichten te openen zijn.

Omdat de getallen in kwestie gekozen zijn door de Amerikaanse National Security Agency, de experts op het gebied van cryptografie, is het moeilijk te geloven dat dit toeval is.

Zoals Schneier schrijft:

Of course, we have no way of knowing whether the NSA knows the secret numbers that break Dual_EC-DRBG. We have no way of knowing whether an NSA employee working on his own came up with the constants — and has the secret numbers. We don’t know if someone from NIST, or someone in the ANSI working group, has them. Maybe nobody does.

We don’t know where the constants came from in the first place. We only know that whoever came up with them could have the key to this backdoor. And we know there’s no way for NIST — or anyone else — to prove otherwise. This is scary stuff indeed.

Via Slashdot.

Arnoud

Voor de achtergrond, zie Fietspolitie verstuurt spam per telefoon.

Arnoud

Port scans stellen vast welke systemen luisteren naar inkomend netwerkverkeer (actieve systemen) en via Internet bereikbaar zijn. Met een port scanner kan een succesvolle computerinbraak (hack) worden voorbereid. Een port scan kan dan ook strafbaar zijn als poging tot misdrijf.

Een port scanner is een van de meest gebruikte tools van de tegenwoordige hacker. Port scans worden toegepast om vast te stellen welke TCP- en UDP-poorten op externe systemen luisteren en zijn een mogelijke indicatie dat er een gerichte aanval op een geautomatiseerd systeem, het doelsysteem, op handen is. Binnendringen in een computersysteem is strafbaar als computervredebreuk. Echter, in het Wetboek van Strafrecht is geen bepaling opgenomen die de portscan strafbaar stelt.

Het hangt van de omstandigheden van het geval af of de port scan wordt gebruikt voor het plegen van een ander strafbaar feit, zoals het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk (art. 138a, lid 1 WvSr). Er kan dan sprake zijn van poging met betrekking tot het plegen van dat andere delict. Indien de port scan kan worden gezien als een voornemen van de dader tot het binnendringen in de computer, het vernielen van een geautomatiseerd werk, het vernielen van gegevens of afluisteren, dan kan strafbaarheid ontstaan op grond van poging. Dit artikel is een bewerking van de scriptie van jurist Jaap Timmer over de strafbaarheid van portscannen.

Lees verder in De portscan als strafbare voorbereiding (in Beveiliging > Hacken @ iusmentis.com).

Arnoud

Vanochtend in het Algemeen Dagblad een artikel over de verklikkersactie van Agent Van Geel. Maandagavond werd ik door deze belcomputer gebeld, en ik irriteerde me daar zo aan dat ik er een blogpost aan wijdde. Leuk item voor Geenstijl, zo bleek, maar vervolgens ging Webwereld er serieus op in: ook de OPTA zei dat dit niet mocht. Ook Ouders Online was boos: was dit nou het goede voorbeeld als het gaat om het beschermen van de persoonlijke levenssfeer van kinderen?

In het AD nu een uitgebreide reactie van het ministerie van Verkeer en Waterstaat, verantwoordelijk voor deze actie en overigens ook voor de Telecommunicatiewet uit 1998 waarin deze actie verboden werd.

,,Het is geen pest- of kliklijn,’’ reageert het ministerie van Verkeer. Het systeem is deze week aangepast. Daarmee zou het belangrijkste bezwaar zijn ondervangen. Nu moet in het mailtje dat via Fietslichtaan.nl wordt ontvangen, eerst ergens op worden geklikt. Daarmee zou de persoon toestemming geven om op zijn mobiel te worden gebeld. ,,We voldoen ook aan de privacywetgeving,’’ vindt het ministerie. ,,Alle gegevens worden verwijderd nadat er is gebeld en iemand kan maar één keer worden gebeld.’’

Het probleem is alleen dat die aanpassing niet werkt. Het mailtje met link zat er maandagavond ook al in namelijk, en toch werd ik gebeld zonder eerst een mailtje te krijgen. Want hoe werkt dit: je moet het e-mailadres en telefoonnummer van je slachtoffer opgeven, en dan wordt naar dat adres een mail gestuurd. Wordt daarin op een link geklikt, dan wordt dat telefoonnummer gebeld.

Is het nou echt zo moeilijk om te bedenken dat als ik mijn EIGEN e-mailadres en het telefoonnummer van iemand anders invul, die persoon gebeld wordt nadat ik het mailtje met de link heb gekregen?

Bovendien is het nog steeds een aardig misleidend mailtje (”check deze link ff, bespaar je 20 euro mee”). Dat er nu in kleine letters onder staat “Als je op de knop drukt, krijg je een telefoontje van agent van Geel”, maakt dat niet anders. De “besparing” van 20 euro gaat namelijk over het feit dat de boete op fietsen zonder licht 20 euro is.

Besluit van de OPTA	Bon van agent Van Geel

Een beschikking van de OPTA ziet er lang niet zo gelikt uit als de schoolposter van deze actie, maar de OPTA mag tot 450.000 euro gaan. Wat toch echt iets meer is dan de 20 euro voor fietsen zonder licht.

UPDATE (19 november): Agent Van Geel is met pensioen.

Arnoud