Internetrecht door Arnoud Engelfriet

Waar had u vroeger meer last van? Uw grote broer of uw kleine zusje? Wie nu moeite heeft met Grote Broer, kan bij Klein Zusje terecht voor uitleg en software om zijn privacy beter te beschermen. Sinds kort is er namelijk het Small Sister Project.

SmallSister is a loosely organized group of volunteers that feel that we need to protect our privacy against increasingly invasive corporate and governmental snooping. See OurMotivation for an explanation about why we started this group.

SmallSister will not organize rallies; there are other groups that are better and have more experience in that. We will cooperate with them and individual SmallSister members are free to join any group that supports privacy and is critical of unbridled snooping.

Small Sister, een initiatief van Brenno de Winter, heeft o.a. een discussielijst en nieuwsoverzicht over privacy. Een belangrijk doel waar nu aan gewerkt wordt, is het maken van toolkits om technische bescherming van privacy eenvoudiger te maken. Wie wil meedoen, kan zich via de site aanmelden.

Arnoud

Vandaag een gastbijdrage van strafrechtadvocaat mr. A.H. (Bert) Staring van advocatenkantoor Krikke & Staring.

Onlangs is het rapport High-tech crime: soorten criminaliteit en hun daders van het Ministerie van Justitie verschenen. High-tech crime is een overkoepelend containerbegrip dat verwijst naar een veelheid aan criminele activiteiten waarbij gebruik wordt gemaakt van ICT. Voorbeelden hiervan zijn kinderporno (cybercrime) en hackers (computercriminaliteit).

Een van de speerpunten van dit kabinet is de aanpak van cybercrime. Onder het mom hiervan kondigt de minister Hirsch Ballin aan dat hij de bevoegdheden van politie en justitie tot onder meer het vorderen van gegevens van bedrijven en instellingen opnieuw tegen het licht wil houden. Wat mogen politie en justitie op dit moment al?

De Wet bevoegdheid vorderen gegevens geeft politie en justitie vergaande bevoegdheden om persoonsgegevens op te vragen bij maatschappelijke instellingen en bedrijven. Toepassing van deze bevoegdheden mag alleen indien dat voor de opsporing noodzakelijk is en er sprake is van een verdenking van een zwaarder misdrijf. Het gaat dan niet alleen over high-tech crime maar ook om criminele activiteiten waarbij geen gebruik wordt gemaakt van ICT zoals bijvoorbeeld moord.

Bedrijven en instellingen die een openbaar telecommunicatienetwerk of -dienst (telefonie en internet) aanbieden kunnen met de op deze wet gebaseerde vorderingsbevoegdheid worden geconfronteerd. Het gaat dan over de aanbieders van een geheel of gedeeltelijk besloten communicatienetwerk of -dienst alsmede degenen die in de uitoefening van een beroep of bedrijf gegevens verwerken of opslaan ten behoeve van een aanbieder van een communicatiedienst of diens gebruikers. Met een aanbieder van een geheel of gedeeltelijk besloten communicatienetwerk of -dienst worden private netwerken bedoeld, zoals een vorm van intranet. Met degene die in de uitoefening van een beroep of bedrijf gegevens verwerkt of opslaat ten behoeve van een communicatiedienst of diens gebruikers dient men te denken aan een aanbieder van webhostingdiensten of een beheerder van websites.

Niet alleen de gegevens van de verdachte maar ook de gegevens van die personen waarmee verdachte contact heeft gehad of in relatie kan worden gebracht, kunnen middels deze wet worden opgevraagd door politie of justitie.

De wet maakt onderscheid tussen drie categorieën gegevens:

• identificeerbare gegevens (naam, adres);
• andere gegevens (verkeersgegevens, logs, administratie);
• gevoelige gegevens.

Bij ‘identificeerbare gegevens’ gaat het niet alleen om iemands naam, adres, woonplaats, postadres, geboortedatum of geslacht, maar ook om zogenoemde administratieve kenmerken, zoals een klantnummer, een nummer van een polis, een bankrekeningnummer, of een lidmaatschapsnummer. Deze gegevens kunnen door iedere agent of opsporingsambtenaar worden opgevraagd.

De categorie ‘andere gegevens’ is zeer omvangrijk. Het gaat vooral om gegevens uit de administratie van bedrijven. Om deze gegevens in te zien, is geen bevel van een rechter nodig, maar kan met een bevel van de officier van justitie worden volstaan. Alleen voor ‘gevoelige gegevens ‘, zoals godsdienst, ras, politieke gezindheid, gezondheid of seksuele leven, blijft een gerechtelijk bevel noodzakelijk.

Bedrijven en instellingen weten veelal niet hoe met een dergelijke vordering om te gaan en werken gemakshalve maar mee. Dit terwijl:

• Het verstrekken van gegevens veelal inhoud dat de gegevens, meestal persoonsgegevens, voor een ander doel worden gebruikt dan waartoe ze door internet provider of website exploitant, als houder van de gegevens, zijn verwerkt.
• De toepassing van deze opsporingsbevoegdheid door politie en justitie gegarandeerd tot een inbreuk van de persoonlijke levenssfeer van de klant leidt.
• Indien het gaat om gegevens van derden die geen persoonsgegevens zijn, er nog altijd belangen van derden aan de orde zijn die verstrekking problematisch maken, bijvoorbeeld een contractuele geheimhoudingsplicht.

Naar mijn mening dienen bedrijven en instellingen zich weerbaar op te stellen tegen de toenemende houdgreep van de overheid. Zij dienen in ieder geval op de navolgende punten te letten:

1. U hoeft niet vrijwillig gegevens aan politie of justitie te verstrekken.
2. Toepassing van vorderingsbevoegdheid mag alleen indien dat voor de opsporing noodzakelijk is en het gaat om een verdenking van een bepaald kaliber misdrijf.
3. Voor de vordering van gevoelige gegevens is toestemming van de rechter nodig.
4. In beginsel dient er bij de toepassing van een van de hier bovengenoemde bevoegdheden een schriftelijk vordering van de bevoegde ambtenaar vooraf te gaan. Waarin de gegevens staan vermeld die u minimaal nodig heeft om de vordering uit te kunnen voeren. U dient dat ook te allen tijde naar de schriftelijke vordering te vragen.
5. Bij een aantal bevoegdheden kan bij dringende noodzaak een vordering mondeling worden gegeven. Echter in dat geval dient achteraf en wel binnen drie dagen nadat de vordering is gedaan deze alsnog op schrift te worden gesteld.
6. In beginsel dient de bevoegde ambtenaar van elke vordering een proces-verbaal op te maken. Van belang is dat hierin wordt vermeld in welk onderzoek naar welk strafbaar feit de bevoegdheid is toegepast. U dient dat ook altijd naar het proces-verbaal te vragen.
7. De kosten die aan de nakoming van een vordering kunnen worden toegerekend in de vorm van extra personeelskosten en extra administratiekosten komen voor vergoeding in aanmerking.
8. Belanghebbende kunnen zich tegen de vordering tot verstrekken van gegevens zelf alsook tegen het gebruik van gegevens die gevorderd zijn beklagen. Zowel de houder van de gegevens tot wie de vordering is gericht als degenen op wie de gegevens betrekking hebben, kunnen als belanghebbende worden aangemerkt.

Gelet op de hier bovenstaande aandachtspunten is het verstandig contact op te nemen met een strafrechtadvocaat. Deze weet namelijk alles over de bijzondere opsporingsmethode die politie en justitie in het kader van een opsporingsonderzoek kan inzetten tegen u en uw klanten. Hij kan u derhalve adviseren wat hierbij uw rechten en plichten zijn.

mr. A.H. (Bert) Staring is partner van advocatenkantoor Krikke & Staring en gespecialiseerd in strafrecht.

Ook op virussen en bots zit auteursrecht. Het is alleen wat lastig om je recht te halen als het werk ontworpen en gebruikt is voor illegale activiteiten zoals spammen en computervredebreuk. Een slimme Rus had daar wat op verzonnen: plak een EULA op je botsoftware met een leuke boeteclausule:

In cases of violations of the agreement and being detected, the client loses any technical support. Moreover, the binary code of your bot will be immediately sent to antivirus companies.

Een soort van arbitrageovereenkomst dus, maar dan anders.

Via Slashdot.

Arnoud

Een leuk idee van de security conferentie Infosecurity Europe: ga de straat op en vraag mensen of ze hun wachtwoord willen afgeven in het kader van een onderzoek, in ruil voor een reep chocola en de kans een reisje naar Parijs te winnen. Toch is de organisatie tevreden:

This year’s survey results were significantly better than previous years. In 2007 64% of people were prepared to give away their passwords for a chocolate bar, this year it had dropped to just 21% so at last the message is getting through to be more infosecurity savvy. The researchers also asked the office workers for their dates of birth to validate that they had carried out the survey here the workers were very naïve with 61% revealing their date of birth. Another slightly worrying fact discovered by researchers is that over half of people questioned use the same password for everything (e.g. work, banking, web, etc.)

Een klassiek voorbeeld van social engineering.

Waarmee krijg ik jullie zo gek je wachtwoord af te geven?

Via Schneier on Security.

Arnoud

Een lezer biecht op:

In een donker duister verleden heb ik mij de toegang verschaft tot een gedeelte van een forum dat met een wachtwoord was beveiligd. De makers hadden aangegeven dat er echt niks interessants stond. En alsof dit nog niet voldoende was om de nieuwsgierigheid bij mij op te wekken was het ook nog eens met een wachtwoord beveiligd. Ik heb daarop tervergeefs een aantal pogingen ondernomen om het wachtwoord te raden. Totdat ik op een gegeven moment bij mezelf dacht “Wat zou het wachtwoord toch zijn? Dat gaan ze natuurlijk niet aan mij vertellen, want dat is geheim”. Als gauw ondervond ik dat ik gelijk had: het wachtwoord was geheim, letterlijk wel te verstaan. Natuurlijk heb ik de beheerders direct op de hoogte gesteld, maar nu vraag ik me af: heb ik door mijn nieuwsgierigheid te bevredigen de wet overtreden?

Het achterhalen van een wachtwoord om daarmee binnen te dringen in een computersysteem dat niet van jou is, is een riskante onderneming. Opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk is strafbaar als computervredebreuk.

De vraag is hier wel of er ook echt binnengedrongen is. Alleen maar een gevonden sleutel in het slot omdraaien is nog geen inbreken, en alleen maar een wachtwoord intypen dat werkt, lijkt me ook nog geen computerinbraak. En onze mysterieuze lezer is uit eigen wil gestopt met de poging. Dat heet “vrijwillige terugtred” in het strafrecht. Een poging die je uit jezelf afbreekt, is niet strafbaar (art. 46db Strafrecht).

Aan de andere kant, zodra je het wachtwoord goed intypt, krijg je meteen ook een resultaat te zien. Je wordt ingelogd, je krijgt de beheerspagina voor je neus of wat er dan ook maar moet gebeuren bij de gebruiker wiens wachtwoord je achterhaald hebt. Dus je kunt betogen dat de inbraak voltooid was op het moment dat het wachtwoord geaccepteerd was en de “U bent ingelogd” pagina op het scherm kwam te staan.

Wat denken jullie? Moet dit kunnen zolang je maar niets doet als je het wachtwoord geraden hebt, of hoort deze meneer een SWAT-team door het raam te krijgen?

Arnoud

Veel bedrijven hebben de irritante gewoonte om je mails te sturen en onderaan te zetten dat je geen antwoord per mail mag sturen. Daarvoor moet je bellen of een vaag formulier op de site gebruiken. Om nu te voorkomen dat mensen toch gaan mailen, gebruikt men dan een ongeldig e-mailadres als afzender. Een populaire is het gebruik van “donotreply.com”. Ietwat pijnlijk alleen is dat dit domein al jaren gewoon bestaat, en dat de beheerder in zijn gebruiksvoorwaarden heeft staan dat hij alle ontvangen mails op zijn site publiceert.

De site ontvangt wekelijks miljoenen bounces en foutmeldingen, maar ook reacties van consumenten en zakelijke klanten op mails die met een donotreply.com-adres zijn verzonden. En die reacties variëren van scheldpartijen tot gedetailleerde financiële rapporten of lijsten met wachtwoorden of pincodes.

Security.NL vertelt:

Als [eigenaar Chet Faliszek] de bedrijven inlicht reageren die vaak vol verbazing en hij wordt regelmatig met rechtszaken bedreigd door bedrijven die niet snappen waarom hij de e-mail inclusief vertrouwelijke bijlagen ontvangt. “Mensen schreeuwen soms tegen me dat de e-mails privé zijn en ik ze niet moet lezen. Ze raken helemaal in paniek, met name als je met niet technische mensen binnen die bedrijven praat,” zo laat Faliszek weten, die zijn avonturen in dit blog bijhoudt.

Die rechtszaken zullen weinig kans maken. Als de afzender zelf zo slordig is met het invullen van het e-mailadres, dan aanvaardt hij de kans dat mensen toch gaan reageren. Je kunt dan moeilijk die ontvanger aanspreken voor de schade die je daardoor lijdt.

Faliszek is wel zo netjes om persoonsgegevens te anonimiseren voordat hij de mails publiceert.

Arnoud

Twee lezers hadden ruzie over de regels rond draadloos internetten:

Ik had altijd begrepen dat de insteek over draadloze netwerken is, “mag je alleen gebruiken als het open staat en de SSID duidelijk aangeeft dat je binnen mag”. Maar mijn discussiepartner zegt nu juist dat de regel is, “Als er geen ‘foei ten strengste verboden’ in de SSID staat dan mag het”. Wat is het nu?

Je gebruikt andermans netwerk illegaal als dat opzettelijk en wederrechtelijk gebeurt (art. 138a lid 1 Strafrecht). Ook als daarbij geen beveiliging wordt omzeild of misleid.

De nuance daarbij is dat je wel moet weten (of had moeten weten) dat je niet op dat netwerk mocht zijn. Bij een netwerk met “boe ga weg” als netwerknaam lijkt me dat vrij duidelijk. Een netwerk met “Open WIFI, kom binnen” mag je gewoon gebruiken. De vraag is dan wat je mag bij een netwerk met “linksys” of “default” als SSID. Kun je daar iets uit afleiden over het al of niet binnen mogen komen?

Een ander punt is dat ‘opzettelijk’. Hoe actief moet dat zijn? Veel laptops en PDA’s zijn ingesteld om zich automatisch op alle netwerken in de buurt aan te melden. Meld je je dan opzettelijk aan op zo’n netwerk? Ik zou denken van niet, maar een uitgemaakte zaak is het niet.

Dat maakt het heel lastig voor de politie om een zaak rond te krijgen. Zij moeten bewijzen dat jij had moeten weten dat je niet op dat netwerk had mogen zitten. En natuurlijk moeten ze eerst zien dat jij op andermans wifi zit. Dat zal niet meevallen. Er zijn een paar arrestaties geweest, maar die hebben nooit tot een veroordeling geleid.

Staat jullie netwerk open of dicht?

Arnoud

De beveiliging van Corsairs Padlock USB-stick blijkt op eenvoudige wijze te kraken: het solderen van een weerstand tegen een van de chips binnenin de stick blijkt genoeg om de pincodebeveiliging te omzeilen. Dat meldde -wie anders- Tweakers gisteren. Nu is dit soort hardware-hacken volstrekt legaal. Deze keer dan ook een iets andere vraag: als je als koper van zo’n stick bent afgegaan op de belofte van beveiliging, heb je dan nu een juridische claim richting de fabrikant?

Wie iets koopt, heeft zekere verwachtingen van het product. Daar moet het product dan ook aan voldoen (art. 7:17 BW). Een belangrijke vraag daarbij is wat voor mededelingen de verkoper heeft gedaan: je mag er als consument in principe vanuit gaan dat die kloppen en dat het product dus kan wat de verkoper belooft.

De Corsair Padlock wordt aangeprezen door de fabrikant als:

Flash Padlock is the best way to secure your data while on the go. This prevents any unauthorized access or “Brute Force” attack to the data on Flash Padlock. Users can program in a PIN, much like they do for an ATM machine, to lock/unlock their data.

Dat klinkt veelbelovend: het systeem biedt de beste manier om je data te beveiligen en voorkomt elke ongeautoriseerde toegang tot de data. Maar noch de whitepaper noch de app note gaan hier dieper op in. Veel onderzoek kan ik dus niet doen. Ik kan als koper dan ook weinig anders dan het bedrijf op haar blauwe ogen geloven dat dit wel de beste manier zal zijn.

Als het product vervolgens die belofte niet nakomt, dan schendt de verkoper de overeenkomst en op grond daarvan mag ik deze ontbinden zodat ik mijn geld terugkrijg. Normaal moet ik de verkoper eerst de kans geven het product te vervangen of te repareren, maar dat heeft hier weinig zin natuurlijk.

Daar staat tegenover dat deze stick slechts 15 euro kost. Hoeveel beveiliging mag je daarvoor verwachten? Bij een fietsslot van 15 euro moet ik ook niet gek staan kijken als mijn fiets op zeker moment toch weg is. Ik mag niet verwachten dat mijn fiets met zo’n fietsslot tegen elke fietsendief bestand is, ik moet weten dat dat soort lui met accu-aangedreven slijptollen rondloopt en daarmee alles openkrijgt.

Maar gaat dat verhaal voor pinbeveiligingen op USB-sticks ook op? Lastige vraag. Wat weet de gemiddelde koper van USB-sticks over de mogelijkheden en onmogelijkheden van beveiliging?

Wat vinden jullie? Behoor ik mijn geld terug te krijgen nu deze stick zo slecht beveiligd blijkt, of had ik moeten weten dat je voor 15 euro weinig veiligheid koopt?

Arnoud

Nederland behoort tot de vijf landen die de meeste illegale content via het internet verspreiden, meldt Security.NL. Dit blijkt uit een aanstaand rapport van X-Force. De term “illegale content” moet breed worden uitgelegd: hiermee bedoelt het rapport niet alleen aanbod van software, films of muziek dat inbreuk maakt op het auteursrecht, maar ook websites die worden gebruikt voor computercriminaliteit, illegale drugs, malware of die gewelddadig en extremistisch van aard zijn. Tsja. Om dat nou allemaal over één kam te scheren?

Ditzelfde definitieprobleem zie je wel vaker bij cybercrime: de kreet “misdrijven die met een computer gepleegd worden” is zo breed dat volgens sommige definities ook iemand de hersens inslaan met een laptop onder computercriminaliteit valt. Zijn sites van een coffeeshop sites die gebruikt worden voor illegale drugs?

Arnoud

Het internet gaat aan haar eigen succes ten onder. Hoewel er steeds meer kabels gelegd worden en steeds grotere datacentra, blijft het netwerk kwetsbaar. Dat komt door een fundamentele beperking in de opzet van internet: elk stukje informatie moet van één bron komen. En als die verstopt of onbereikbaar wordt, gaat het fout.

Caches en mirrors (of hulpnetwerken zoals Akamai) zijn een gedeeltelijke oplossing. Meer fundamenteel is een nieuwe opzet van het internet: zet de data centraal, niet de computers waar het vandaan komt. Iedereen doet mee aan de verspreiding, zodat er altijd genoeg bronnen zijn om de data te pakken te krijgen die je wilt. Technisch haalbaar, maar alle wetten over aansprakelijkheid, auteursrecht en aanverwante zaken kunnen het raam uit.

Het internet zou gebouwd zijn om gedurende een nucleaire oorlog te blijven werken. Dat is een mythe. Het internet is allerminst robuust. Deze kaart van de Guardian (via ZBDigitaal) laat zien hoe weinig verbindingen er eigenlijk zijn tussen de continenten:

En het gaat ook vaak genoeg mis. Eén kabelbreuk blijkt al genoeg om het halve Midden-Oosten zonder internet te laten zitten (complottheorieën te over trouwens). In december 2006 zorgde een zeebeving voor een grote internetstoring in Zuid-Oost Azië. Vietnam zat in juni 2007 zonder internet door diefstal van kilometers glasvezelkabel.

Raar eigenlijk, want op zich is er netwerkcapaciteit genoeg in die landen, en de meeste pagina’s, filmpjes en andere content die de mensen daar wilden zien was ook ongetwijfeld allang aanwezig op de harde schijven op de miljoenen computers aldaar. Maar toch moest iedereen per se naar de originele server om zijn eigen kopie van die pagina’s of filmpjes op te vragen. Onzin eigenlijk, maar ja, zo is internet nu eenmaal gebouwd.

Bittorrent is een voorbeeld van hoe het ook anders kan. Net als bij elk file sharing netwerk worden bestanden van computer naar computer verspreid. Het unieke aan Bittorrent is dat er niet één persoon is die het hele bestand verstuurt. Elk bestand wordt in delen opgehakt, en elk deel wordt afzonderlijk verstuurd. Zodra iemand een deel heeft, deelt hij dat deel ook weer met iedereen die op zoek is naar dat bestand.

Deze techniek is een eenvoudige versie van wat in de wetenschappelijke wereld bekend staat als content-centric networking, content disseminatie netwerken of swarming.

Deze video-uitleg van Van Jacobson legt heel duidelijk uit waar het over gaat. Iedere computer die een stukje data langs ziet komen, bewaart daar een kopietje van. Als deze vervolgens een verzoek langs ziet komen voor dat stukje data, stuurt hij zijn kopietje in plaats van het verzoek door te geven aan de mogelijk heel ver weg staande oorspronkelijke server.

Deze netwerktechnologie heeft vérstrekkende gevolgen, ook voor het internetrecht. Als er geen centrale bron meer is die de content “op internet zet”, wie moet je dan aanspreken als de publicatie onrechtmatig is? En zelfs als je de eerste plaatser van de content vindt, hoe kan deze dan de publicatie stopzetten? Ben ik aansprakelijk als mijn computer iets bewaart en doorgeeft dat in Koeweit illegaal is?

Of wat dacht je van de vraag hoe je een stuk content vindt? Als er geen “officiële” site meer is, en content overal vandaan kan komen, kan ik het verschil niet meer zien tussen een geautoriseerde en een ongeautoriseerde publicatie.

De oplossing zal op een of andere manier uitgebreid gebruik moeten maken van encryptie en digitale handtekeningen. Vervalsing van data is immers triviaal, als iedereen antwoord mag sturen op elk verzoek. Met een digitale handtekening kan de ontvanger dan nagaan of hij echt de voorpagina van NU.nl heeft gekregen of een neppagina. En voor veel data (zoals e-mail of chatgesprekken) is het niet de bedoeling dat iedereen meeleest, dus daar is encryptie cruciaal.

Via de digitale handtekening op content zou je dus de plaatser kunnen achterhalen. Maar dat is een lastige: hoe weet je welke digitale handtekening gezet is door welke persoon? Wie is de echte Disney?

En om dan de content te kunnen verwijderen, is nog heel wat meer nodig. Youtube heeft nu al problemen genoeg om een film weg te halen als ze daar een bevel toe krijgen.

Kortom, genoeg stof om over na te denken. Onlangs kocht ik het boek The Big Switch van Nicholas Carr, een aanrader over dit onderwerp!

Arnoud