Octrooien zijn nog steeds een mooie graadmeter van waar techneuten zich mee bezighouden. Jaren geleden woonde ik een lezing bij van Octrooicentrum Nederland (het BIE, toen nog). Daar vertelde een onderzoeker dat het aantal octrooien op stille winkelwagentjes flink was toegenomen sinds er aandacht vanuit de politiek was voor herrie op zaterdagochtend door, inderdaad, luidruchtige winkelwagentjes op asfalt.

Vandaag de dag spelen winkelwagentjes een minder prominente rol dan, zeg, bestrijding van terrorisme. Er worden allerlei nuttige en minder nuttige dingen bedacht om aanslagen te voorkomen of de effecten te minimaliseren. Neatorama maakte een top 10 van de vreemdste uitvindingen.

Ik vond deze antizelfmoordaanslagparaplu het sterkste idee:

En u?

Via Schneier on Security.

Arnoud

Vorige week zondag berichtte ik over een videoclip per beveiligingscamera, die op basis van de (Engelse) Wet Bescherming Persoonsgegevens tot stand zou zijn gekomen. Dat bleek een publiciteitsstunt, maar zou het werkelijk kunnen, vroeg een lezer me. Jazeker. Maar hoe krijg je dat de beveiligingsmensen uitgelegd?

Het CBP bevestigt in haar Informatieblad Als u mensen filmt dat het recht op inzage (en correctie) ook geldt voor beelden waar mensen herkenbaar opstaan. Men beveelt aan:

Leg in een procedure of protocol vast hoe iemand inzage kan krijgen in de gegevens die over hem of haar in het systeem zitten en hoe wordt omgegaan met de overige rechten van de betrokkene.

Je hoeft geen specifieke reden op te geven om inzage te krijgen. Wel moeten de beelden natuurlijk opgeslagen zijn. Vaak wordt met een analoge camera op afstand toezicht gehouden maar wordt er niets opgenomen. Je kunt niet eisen dat men dit gaat opnemen zodat je er een kopie van kunt krijgen.

Uit artikel 38 Vrijstellingsbesluit (uitgewerkt in een handreiking) blijkt wel dat beelden na 24 uur moeten worden verwijderd of vernietigd. Een verzoek om inzage zal in veel gevallen dus al daarop af moeten ketsen, want gegevens die je niet meer hebt, hoef je niet af te geven.

Langer bewaren mag alleen als het gaat om beelden waar een “incident” op te zien is, omdat de beelden dan nuttig kunnen zijn als bewijs. De gefilmde personen die betrokken zijn bij het incident, kunnen dan kopieën van de beelden opeisen. Dat moet geen probleem zijn, want de beelden zijn bekend en liggen klaar. Wie cameraopnamen in het algemeen langer wil bewaren, moet zijn verwerking trouwens ook aanmelden bij het CBP.

De Hoge Raad oordeelde in 2007 dat de Dexia-bank transcripties van opgenomen telefoongesprekken met klanten moest maken en verstrekken aan die klanten. Meer over die zaak in De WBP na de Dexia-uitspraken. En als geluidsopnamen onder de Wbp vallen, waarom video-opnamen dan niet?

Wel is het inzagerecht beperkt tot beelden waar je zelf opstaat. Je kunt dus niet zomaar alle camerabeelden van een bepaalde dag opvragen omdat je daar misschien opstaat. En als er andere mensen herkenbaar op staan, zal de verantwoordelijke deze onherkenbaar moeten maken.

Een punt is natuurlijk wel dat de betreffende beelden een stuk moeilijker terug te vinden zullen zijn. De opnames van telefoongesprekken met klant X zijn waarschijnlijk wel voorzien van de aanduiding “klant X”, maar bij camerabeelden zit zelden een tag met de personen die erop te zien zijn.

Het bedrijf heeft dan het recht om te eisen dat het verzoek wordt gepreciseerd: op welke tijdstippen was u op welke locaties, en wat voor jas had u aan? Alleen met dat soort informatie kan men de juiste opnamen lokaliseren en daaruit de betreffende beelden selecteren.

Natuurlijk is dat veel werk voor het bedrijf, maar dat speelde ook in de Dexia-zaak en daar zei de Hoge Raad over:

Waar het om gaat is of door de inwilliging van het enkele verzoek van [verweerder] de administratieve lasten zodanig disproportioneel zijn dat Dexia in een van haar rechten en vrijheden wordt aangetast of dreigt te worden aangetast Daarbij geldt dat Dexia per persoonsgegeven en per document aannemelijk zal moeten maken dat dit het geval is, aangezien art. 43 Wbp slechts de mogelijkheid biedt om art. 35 Wbp buiten toepassing te laten voor zover dit noodzakelijk is in het belang van de in art. 43 Wbp genoemde gronden.

En dat gaat alleen in uitzonderlijke gevallen op, waarbij het bedrijf ook nog eens zal moeten bewijzen dat het werkelijk onhaalbaar is voor hen om aan een individueel verzoek te voldoen. Een algemeen “dat is te veel werk” of “dat is een aantasting van de beveiliging” is niet voldoende.

Je kunt natuurlijk ook een petje en zonnebril opzetten om herkenning te voorkomen.

Hoe veel beveiligingscamera’s hangen er eigenlijk in Nederland, is daar iets over bekend?

Arnoud

Gisteren verscheen het Trendrapport 2008 van GOVCERT.NL: de stand van zaken en ontwikkelingen in cybercrime en informatiebeveiliging in Nederland. Een belangrijk en lovenswaardig initiatief, want over cybercrime gaan veel cowboyverhalen rond maar er zijn maar weinig betrouwbare cijfers. Dit rapport heeft een paar leuke: de meest gebruikte naam voor malware-bestanden (hqghumea.dll) of de meest geprobeerde poort (445, SMB) bij portscans.

De belangrijkste maar ietwat houterig geschreven constateringen in het Trendrapport zijn:

• Er is een enorme toename in nieuwe virussen en malware, je kunt spreken van een explosieve groei.
• Botnets zijn alomtegenwoordig. Ze zijn in staat ontwrichtende aanvallen op landen uit te voeren.
• Internetcriminelen zijn professioneler geworden en in toenemende mate succesvol gebleken in het afschermen van hun infrastructuur tegen uitschakeling.
• Er is een levendige markt ontstaan voor allerlei aan cybercrime gerelateerde zaken en diensten.
• Ongerichte aanvallen komen veel voor, maar we zien een toename in gerichte aanvallen en hacktivisme.
• Er is een toename in aanvallen op eindgebruikers in plaats van op centrale diensten.
• Het is niet reëel meer om de verantwoordelijkheid voor de beveiliging vooral bij de eindgebruiker te leggen.
• Kabinet en overheid zijn zich bewust van de dreiging door cybercrime en realiseren nadere afstemming en beleid.
• Alleen inzicht leidt tot duurzame oplossingen voor cybercrime.

Het rapport zelf leest een stuk prettiger en gaat goed en uitgebreid in op de verschillende technieken voor cybercrime. In de verklarende woordenlijst trouwens nog deze:

End-User Licence agreement (EULA)
Een overeenkomst tussen softwareleverancier en gebruiker, waarin de gebruiksrechten worden vastgelegd. Het zijn de schermpjes waar je (te) snel doorheen klikt bij het installeren van software.

Het Trendrapport is overigens Creative Commons Naamsvermelding 3.0 Nederland en dat zouden meer overheidsinstanties moeten doen.

Arnoud

Stel je wilt een videoclip maken maar je hebt geen geld voor een camera. Wat doe je dan? Dan zoek je plekken op waar ze veel beveiligingscamera’s hebben, je treedt recht voor de lens op en je vraagt de firma vervolgens om inzage in je persoonsgegevens. Want een videopname waar je herkenbaar op staat, is een persoonsgegeven.

Dit is namelijk precies wat de Engelse band The Get Out Clause heeft gedaan met hun laatste nummer (ik krijg de embed niet werkend, sorry).

In principe zou dit in Nederland ook moeten kunnen. Ook bij ons zijn afbeeldingen en opnamen van mensen persoonsgegevens, zolang ze er maar herkenbaar op staan. Je zou dus bij de Blokker een kopietje moeten kunnen krijgen van de beveiligingsbeelden van het moment dat je in de winkel was. Maar of dat in de praktijk ook gaat werken?

Via Slashdot.

Arnoud

Toen ik een hele tijd geleden een Google Adsense account opende, maakte Google 79 cent naar me over om te verifiëren of mijn bankrekeningnummer klopte. Toch leuk als eerste inkomsten. Er zijn meer diensten die dat doen, onder andere Schwab en E*Trade. Kun je rijk worden van die centjes? Ene Michael Largent (sic) heeft het geprobeerd, las ik op NU.nl. De truc:

Largent schreef een computerscript dat hem automatisch vele malen aanmeldde. Zo opende hij zo’n 58 duizend beleggingsrekeningen, waarop de kleine bedragen binnenkwamen. Ook van Googles betaaldienst Checkout wist hij op vergelijkbare wijze ruim achtduizend dollar los te peuteren.

Op zich is dat legaal. Alleen, die bedrijven houden natuurlijk bij wie er een account opent, dus je zult heel veel bedrijven moeten vinden om hier rijk mee te worden. Of je neemt natuurlijk een valse naam aan met een eveneens vals rekeningnummer. En dat heet fraude.

Wie weet er legale trucs om rijk te worden met Adsense of andere internetdiensten?

Arnoud

Waar had u vroeger meer last van? Uw grote broer of uw kleine zusje? Wie nu moeite heeft met Grote Broer, kan bij Klein Zusje terecht voor uitleg en software om zijn privacy beter te beschermen. Sinds kort is er namelijk het Small Sister Project.

SmallSister is a loosely organized group of volunteers that feel that we need to protect our privacy against increasingly invasive corporate and governmental snooping. See OurMotivation for an explanation about why we started this group.

SmallSister will not organize rallies; there are other groups that are better and have more experience in that. We will cooperate with them and individual SmallSister members are free to join any group that supports privacy and is critical of unbridled snooping.

Small Sister, een initiatief van Brenno de Winter, heeft o.a. een discussielijst en nieuwsoverzicht over privacy. Een belangrijk doel waar nu aan gewerkt wordt, is het maken van toolkits om technische bescherming van privacy eenvoudiger te maken. Wie wil meedoen, kan zich via de site aanmelden.

Arnoud

Vandaag een gastbijdrage van strafrechtadvocaat mr. A.H. (Bert) Staring van advocatenkantoor Krikke & Staring.

Onlangs is het rapport High-tech crime: soorten criminaliteit en hun daders van het Ministerie van Justitie verschenen. High-tech crime is een overkoepelend containerbegrip dat verwijst naar een veelheid aan criminele activiteiten waarbij gebruik wordt gemaakt van ICT. Voorbeelden hiervan zijn kinderporno (cybercrime) en hackers (computercriminaliteit).

Een van de speerpunten van dit kabinet is de aanpak van cybercrime. Onder het mom hiervan kondigt de minister Hirsch Ballin aan dat hij de bevoegdheden van politie en justitie tot onder meer het vorderen van gegevens van bedrijven en instellingen opnieuw tegen het licht wil houden. Wat mogen politie en justitie op dit moment al?

De Wet bevoegdheid vorderen gegevens geeft politie en justitie vergaande bevoegdheden om persoonsgegevens op te vragen bij maatschappelijke instellingen en bedrijven. Toepassing van deze bevoegdheden mag alleen indien dat voor de opsporing noodzakelijk is en er sprake is van een verdenking van een zwaarder misdrijf. Het gaat dan niet alleen over high-tech crime maar ook om criminele activiteiten waarbij geen gebruik wordt gemaakt van ICT zoals bijvoorbeeld moord.

Bedrijven en instellingen die een openbaar telecommunicatienetwerk of -dienst (telefonie en internet) aanbieden kunnen met de op deze wet gebaseerde vorderingsbevoegdheid worden geconfronteerd. Het gaat dan over de aanbieders van een geheel of gedeeltelijk besloten communicatienetwerk of -dienst alsmede degenen die in de uitoefening van een beroep of bedrijf gegevens verwerken of opslaan ten behoeve van een aanbieder van een communicatiedienst of diens gebruikers. Met een aanbieder van een geheel of gedeeltelijk besloten communicatienetwerk of -dienst worden private netwerken bedoeld, zoals een vorm van intranet. Met degene die in de uitoefening van een beroep of bedrijf gegevens verwerkt of opslaat ten behoeve van een communicatiedienst of diens gebruikers dient men te denken aan een aanbieder van webhostingdiensten of een beheerder van websites.

Niet alleen de gegevens van de verdachte maar ook de gegevens van die personen waarmee verdachte contact heeft gehad of in relatie kan worden gebracht, kunnen middels deze wet worden opgevraagd door politie of justitie.

De wet maakt onderscheid tussen drie categorieën gegevens:

• identificeerbare gegevens (naam, adres);
• andere gegevens (verkeersgegevens, logs, administratie);
• gevoelige gegevens.

Bij ‘identificeerbare gegevens’ gaat het niet alleen om iemands naam, adres, woonplaats, postadres, geboortedatum of geslacht, maar ook om zogenoemde administratieve kenmerken, zoals een klantnummer, een nummer van een polis, een bankrekeningnummer, of een lidmaatschapsnummer. Deze gegevens kunnen door iedere agent of opsporingsambtenaar worden opgevraagd.

De categorie ‘andere gegevens’ is zeer omvangrijk. Het gaat vooral om gegevens uit de administratie van bedrijven. Om deze gegevens in te zien, is geen bevel van een rechter nodig, maar kan met een bevel van de officier van justitie worden volstaan. Alleen voor ‘gevoelige gegevens ‘, zoals godsdienst, ras, politieke gezindheid, gezondheid of seksuele leven, blijft een gerechtelijk bevel noodzakelijk.

Bedrijven en instellingen weten veelal niet hoe met een dergelijke vordering om te gaan en werken gemakshalve maar mee. Dit terwijl:

• Het verstrekken van gegevens veelal inhoud dat de gegevens, meestal persoonsgegevens, voor een ander doel worden gebruikt dan waartoe ze door internet provider of website exploitant, als houder van de gegevens, zijn verwerkt.
• De toepassing van deze opsporingsbevoegdheid door politie en justitie gegarandeerd tot een inbreuk van de persoonlijke levenssfeer van de klant leidt.
• Indien het gaat om gegevens van derden die geen persoonsgegevens zijn, er nog altijd belangen van derden aan de orde zijn die verstrekking problematisch maken, bijvoorbeeld een contractuele geheimhoudingsplicht.

Naar mijn mening dienen bedrijven en instellingen zich weerbaar op te stellen tegen de toenemende houdgreep van de overheid. Zij dienen in ieder geval op de navolgende punten te letten:

1. U hoeft niet vrijwillig gegevens aan politie of justitie te verstrekken.
2. Toepassing van vorderingsbevoegdheid mag alleen indien dat voor de opsporing noodzakelijk is en het gaat om een verdenking van een bepaald kaliber misdrijf.
3. Voor de vordering van gevoelige gegevens is toestemming van de rechter nodig.
4. In beginsel dient er bij de toepassing van een van de hier bovengenoemde bevoegdheden een schriftelijk vordering van de bevoegde ambtenaar vooraf te gaan. Waarin de gegevens staan vermeld die u minimaal nodig heeft om de vordering uit te kunnen voeren. U dient dat ook te allen tijde naar de schriftelijke vordering te vragen.
5. Bij een aantal bevoegdheden kan bij dringende noodzaak een vordering mondeling worden gegeven. Echter in dat geval dient achteraf en wel binnen drie dagen nadat de vordering is gedaan deze alsnog op schrift te worden gesteld.
6. In beginsel dient de bevoegde ambtenaar van elke vordering een proces-verbaal op te maken. Van belang is dat hierin wordt vermeld in welk onderzoek naar welk strafbaar feit de bevoegdheid is toegepast. U dient dat ook altijd naar het proces-verbaal te vragen.
7. De kosten die aan de nakoming van een vordering kunnen worden toegerekend in de vorm van extra personeelskosten en extra administratiekosten komen voor vergoeding in aanmerking.
8. Belanghebbende kunnen zich tegen de vordering tot verstrekken van gegevens zelf alsook tegen het gebruik van gegevens die gevorderd zijn beklagen. Zowel de houder van de gegevens tot wie de vordering is gericht als degenen op wie de gegevens betrekking hebben, kunnen als belanghebbende worden aangemerkt.

Gelet op de hier bovenstaande aandachtspunten is het verstandig contact op te nemen met een strafrechtadvocaat. Deze weet namelijk alles over de bijzondere opsporingsmethode die politie en justitie in het kader van een opsporingsonderzoek kan inzetten tegen u en uw klanten. Hij kan u derhalve adviseren wat hierbij uw rechten en plichten zijn.

mr. A.H. (Bert) Staring is partner van advocatenkantoor Krikke & Staring en gespecialiseerd in strafrecht.

Ook op virussen en bots zit auteursrecht. Het is alleen wat lastig om je recht te halen als het werk ontworpen en gebruikt is voor illegale activiteiten zoals spammen en computervredebreuk. Een slimme Rus had daar wat op verzonnen: plak een EULA op je botsoftware met een leuke boeteclausule:

In cases of violations of the agreement and being detected, the client loses any technical support. Moreover, the binary code of your bot will be immediately sent to antivirus companies.

Een soort van arbitrageovereenkomst dus, maar dan anders.

Via Slashdot.

Arnoud

Een leuk idee van de security conferentie Infosecurity Europe: ga de straat op en vraag mensen of ze hun wachtwoord willen afgeven in het kader van een onderzoek, in ruil voor een reep chocola en de kans een reisje naar Parijs te winnen. Toch is de organisatie tevreden:

This year’s survey results were significantly better than previous years. In 2007 64% of people were prepared to give away their passwords for a chocolate bar, this year it had dropped to just 21% so at last the message is getting through to be more infosecurity savvy. The researchers also asked the office workers for their dates of birth to validate that they had carried out the survey here the workers were very naïve with 61% revealing their date of birth. Another slightly worrying fact discovered by researchers is that over half of people questioned use the same password for everything (e.g. work, banking, web, etc.)

Een klassiek voorbeeld van social engineering.

Waarmee krijg ik jullie zo gek je wachtwoord af te geven?

Via Schneier on Security.

Arnoud

Een lezer biecht op:

In een donker duister verleden heb ik mij de toegang verschaft tot een gedeelte van een forum dat met een wachtwoord was beveiligd. De makers hadden aangegeven dat er echt niks interessants stond. En alsof dit nog niet voldoende was om de nieuwsgierigheid bij mij op te wekken was het ook nog eens met een wachtwoord beveiligd. Ik heb daarop tervergeefs een aantal pogingen ondernomen om het wachtwoord te raden. Totdat ik op een gegeven moment bij mezelf dacht “Wat zou het wachtwoord toch zijn? Dat gaan ze natuurlijk niet aan mij vertellen, want dat is geheim”. Als gauw ondervond ik dat ik gelijk had: het wachtwoord was geheim, letterlijk wel te verstaan. Natuurlijk heb ik de beheerders direct op de hoogte gesteld, maar nu vraag ik me af: heb ik door mijn nieuwsgierigheid te bevredigen de wet overtreden?

Het achterhalen van een wachtwoord om daarmee binnen te dringen in een computersysteem dat niet van jou is, is een riskante onderneming. Opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk is strafbaar als computervredebreuk.

De vraag is hier wel of er ook echt binnengedrongen is. Alleen maar een gevonden sleutel in het slot omdraaien is nog geen inbreken, en alleen maar een wachtwoord intypen dat werkt, lijkt me ook nog geen computerinbraak. En onze mysterieuze lezer is uit eigen wil gestopt met de poging. Dat heet “vrijwillige terugtred” in het strafrecht. Een poging die je uit jezelf afbreekt, is niet strafbaar (art. 46db Strafrecht).

Aan de andere kant, zodra je het wachtwoord goed intypt, krijg je meteen ook een resultaat te zien. Je wordt ingelogd, je krijgt de beheerspagina voor je neus of wat er dan ook maar moet gebeuren bij de gebruiker wiens wachtwoord je achterhaald hebt. Dus je kunt betogen dat de inbraak voltooid was op het moment dat het wachtwoord geaccepteerd was en de “U bent ingelogd” pagina op het scherm kwam te staan.

Wat denken jullie? Moet dit kunnen zolang je maar niets doet als je het wachtwoord geraden hebt, of hoort deze meneer een SWAT-team door het raam te krijgen?

Arnoud