Is het ethisch hacken om het Twitterwachtwoord van Trump te raden?

| AE 12292 | Security, Uitingsvrijheid | 6 reacties

De Nederlandse ethische hacker Victor Gevers heeft vorige week naar eigen zeggen het Twitter-account van Donald Trump gehackt. Dat meldde Tweakers vorige week. Het wachtwoord (maga2020!) was eenvoudig te raden, zegt Gevers tegen Vrij Nederland. VN zegt ook dat er sterke aanwijzingen zijn dat Gevers achter een beruchte tweet van de president zat. Het gaf de nodige discussie over ethisch hacken, dingen mogen veranderen en hoe publiek je mag gaan met zo’n ontdekking.

Victor Gevers was ook een van de hackers die in 2016 in wisten te breken op het account van Trump. Daarom kreeg deze inlog zo veel aandacht, hoewel er ook twijfel is over de echtheid. Twitter zelf zegt geen rare inlog te hebben gezien, en bij een screenshot van Gevers dat het interne profiel van Trump toont, ontbreekt het Amerikaanse vlaggetje in de biografie-regel. (Mogelijk kwam dat door de gebruikte browser/OS combinatie.)

Maar dat even terzijde. Stel inderdaad, je weet het wachtwoord van zo’n prominent account te raden en je ziet dat ook alle beweerdelijke extra maatregelen (zoals 2FA) er niet zijn. Wat mag je dan doen? Nou ja, het slachtoffer en/of de dienstverlener informeren natuurlijk, dat past volledig binnen de heersende spelregels voor ethische hackers.

Ermee naar buiten treden is een ander verhaal. Natuurlijk, bij responsible disclosure hoort ook een melding op zeker moment zodat het publiek ook weet wat er mis is. Maar dat is omdat het publiek getroffen kan zijn door het lek dat jij als ethisch hacker had ontdekt. Of omdat ze moeten weten dat die dienstverlener zat te prutsen. Bij een probleem als dit zie ik geen reden om met (responsible) disclosure te dreigen.

Wel is het natuurlijk zo dat het zeer groot nieuws is dat dit oppermachtige Twitteraccount zó slecht beveiligd is. Dan kun je prima naar de pers stappen en melden dat je dit nieuws ontdekt hebt. Ook als je het zelf hebt gemaakt, dat nieuws. Een journalistieke hack is niet hetzelfde als een ethische hack.

Arnoud

Moet je als jurist leren programmeren? #legaltechtuesday

| AE 12261 | Innovatie | 10 reacties

Code as law. Met dat mantra is de toon gezet: steeds vaker speelt software en online dienstverlening een steeds belangrijker rol in de juridische praktijk. Software maakt beslissingen, software selecteert of wijst af. Of functioneert anderszins op onnavolgbare wijze. Ga er maar aan staan met een juridische analyse of claim: de mindset die hoort bij software en ICT ontwerpen, is een hele andere dan die hoort bij een aansprakelijkheidsstelling formuleren of een dagvaarding opstellen. Vandaar dat je steeds vaker leest dat advocaten en juristen moeten leren programmeren. Maar is dat wel echt zo nuttig?

Vooropgesteld: programmeren is gewoon leuk. Het is puzzelen, in logische volgorde instructies uitwerken en rekening houden met randgevallen waar niemand aan gedacht heeft. Wie wel eens een Lego Mindstorms robot heeft ingesteld, begrijpt meteen wat ik bedoel. (Zoekt u nog een Sint- of Kerstcadeau voor uw kind of neefje/nichtje?)

En het mooie is, programmeren lijkt ergens wel op contracteren of juridisch puzzelen. Want ook daar moeten logische stappen genomen worden, hindernissen geëlimineerd, randzaken ingeperkt en risico’s afgedekt. Dat het bij programmeren gaat om het risico dat een temperatuursensor 4000 graden aangeeft en bij contracteren dat een opdrachtnemer ziek wordt, dat is een inhoudelijk detail.

Toch zijn er ook wel verschillen. Juristen leren denken binnen het redelijke en billijke (art. 6:2 en 6:248 BW, bijvoorbeeld). Als een uitkomst al te bizar is, dan weet iedere jurist dat deze kan worden bijgesteld. Een boeteclausule die op zes ton uitkomt voor een overtreding van een half uur, dat wordt gegarandeerd gematigd. Bij de menselijke rechter inderdaad, want het contract komt op zes ton. En als je dit in software doet, dan komt daar ook gewoon spijkerhard zes ton uit. Computers zijn niet redelijk, zij rekenen alleen maar.

Deze verschillen maken dat het best interessant kan lijken om als jurist een cursus programmeren te doen. Als jurist en programmeur kan ik u vertellen: dat is ook zeker de moeite waard, alleen moet u wel vooraf bedenken wat u zou willen kunnen. Je hebt namelijk programmeren en programmeren: gaat het om het begrijpen van de basics, wilt u doorgronden hoe algoritmes (stappenplannen) opgebouwd worden en welke valkuilen daarbij komen kijken, wilt u een juridische dienst of app opzetten of iets anders? Dit zijn namelijk zeer verschillende cursussen.

Voor mij staat voorop dat de skill van het programmeren zelf niet zo heel belangrijk is. Programmeren is namelijk geen handeling op zich, zoals bijvoorbeeld schilderen of fotograferen. Het is een activiteit binnen een groter kader, namelijk applicatie- of dienstontwikkeling. Onderhoud en meegaan met nieuwe ontwikkelingen zijn essentieel. Tenzij je het dus houdt bij Mindstorms robots. Maar programmeren is niet iets dat je leert en daarna altijd onder je riem hebt; je moet het altijd bijhouden en opnieuw toepassen.

Wat je wél kunt leren van een korte cursus, zijn algemene skills en vaardigheden uit dit digitale domein. Een specifieke skill is bijvoorbeeld hoe je een groot algemeen probleem opdeelt in kleine blokjes, en daarna ieder deelprobleem oplost op een manier dat het aansluit bij het vorige en het volgende deelprobleem. Ook helpt programmeren u data beter te begrijpen – een waardevolle skill als u met zogenaamde artificial intelligence aan de slag gaat. Want u kunt wel om een verkeerde komma heen lezen in een dossier, uw robot paralegal slaat onverbiddelijk op hol van zo’n onnozele fout. Ook leert u door programmeren meer projectmatig denken, want software ontwerpen is te groot om even snel op een middag te doen.

Een alternatief dat steeds meer aan populariteit wint, is het zogeheten no-code programmeren. Hierbij hoeft de programmeur geen details van programmeertalen te kennen, maar heeft zhij een visuele interface waarmee dingen aan elkaar te knopen zijn. De computer heeft de benodigde programmeercode op de achtergrond paraat, maar valt u daar niet mee lastig.

Een heel simpel voorbeeld? Probeert u dan IFTTT (if this then dat) eens, een dienst waarmee u van alles aan elkaar kunt knopen. Van agenda’s tot e-mail tot Onenote of zelfs uw wasmachine, als die dat ondersteunt. Dat vereist enig logisch nadenken over wat u precies wilt, en vooral: omzetten naar specifieke, concrete instructies. Zo zou ik op warme dagen graag willen dat mijn zonwering op tijd dicht gaat. Vertalen naar instructies: Als de temperatuur om 13uur boven de 26 graden is, doe dan de zonwering omlaag. Tenzij in mijn agenda “afwezig” staat. Tenzij het regent. Tenzij … kijk, daar voelt u al een programmeur in uzelf omhoog komen.

Overweegt u programmeerervaring op te doen? Vraag u dan eerst af wat u eigenlijk zou willen bereiken. Koop een Mindstorms robot, puzzel met een no-code dienst zoals IFTTT en ga eens puzzelen wat uw eigen robot paralegal zou moeten doen. En beslis daarna.

Arnoud

Mag je contactgegevens via WhatsApp doorgeven of is dat ook al een AVG probleem?

| AE 12287 | Privacy, Uitingsvrijheid | 16 reacties

Een lezer vroeg me:

Er zijn beperkingen bij het doorgeven van het e-mailadres aan derden. Maar contactgegevens doorgeven via WhatsApp is een standaard feature. Het zijn weliswaar geen e-mailadressen, maar kan dat volgens de wet zo maar?
Voor het doorgeven van e-mailadressen, 06-nummers en alle andere contactgegevens van personen (ook indien voor zakelijk contact) gelden gewoon dezelfde regels. Dat zijn immers allemaal persoonsgegevens onder de AVG.

Het maakt niet uit of je handmatig een 06-nummer in een e-mail plakt en deze zo doorgeeft, of dat je in de WhatsApp applicatie voor de optie “Contactpersoon toevoegen” kiest, een gegevenssetje kiest uit de lijst van je Android/Apple adresboek en deze in mooie layout laat verschijnen bij de ontvanger. In beide gevallen gebeurt hetzelfde: de contactgegevens komen bij de ontvanger.

Of dat mag, hangt allereerst af van of het delen onder de AVG valt. Die kent immers een uitzondering voor huishoudelijk of zuiver persoonlijk gebruik (artikel 2 lid 2c AVG). In principe geldt die alleen als je de gegevens voor jezelf houdt, maar in zeer beperkte kring delen kan vaak nog net. Als de buurvrouw mijn nummer aan de overbuurman geeft omdat die een afspraak wil om een pakketje bij me te halen, dan zie ik dat als buiten de AVG.

Als het onder de AVG valt heb je een grondslag nodig. Dat zal vaak toestemming zijn (“geef mijn nummer maar aan Jaap, hij mag me altijd appen voor een offerte”), maar dat is niet de enige. Uitvoering van een overeenkomst kan ook (“Jaap is mijn accountant, app hem maar over de jaarcijfers zodat we het contract kunnen finaliseren”). En wellicht kom je er ook met een eigen gerechtvaardigd belang (“Jaap vindt het vast fijn als Pieter hem appt hierover”).

Ik lees vaak dat men zegt, als je WhatsApp (of vergelijkbare applicatie) gebruikt dan ben je akkoord met de voorwaarden en dan mag iedereen je dus appen. Dat argument volg ik niet. Ten eerste staat dat niet in de voorwaarden van WhatsApp, en ten tweede kunnen die voorwaarden geen toestemming afdwingen voor levenslang gecontacteerd te worden door eender wie.

Het maakt dus niet uit hoe je iemands contactgegevens deelt. De kern is dat je het alleen moet doen als het netjes is om te doen.

Arnoud

Met één klik je privacyvoorkeuren juridisch bindend doorgeven, gaat dat ooit lukken?

| AE 12269 | Privacy | 7 reacties

Met de Global Privacy Control in je browser kun je straks met één muisklik instellen of je gevolgd en geprofileerd wil worden, las ik bij Ars Technica. Deze nieuwe optie, die echt niet hetzelfde is als de keihard gefaalde Do Not Track instelling in je browser (waarmee je met één muisklik kon instellen of je gevolgd en… Lees verder

Niet noemen open source licentie is auteursrechtinbreuk

| AE 12278 | Intellectuele rechten | 6 reacties

Apollo Fintech maakte inbreuk op het auteursrecht van Jelurida door een cryptomunt aan te bieden die is gebaseerd op de ‘Nxt software’, zonder daarbij de licentie van Jelurida (de Jelurida Public License of ‘JPL’) te verstrekken, zo meldde Rechtspraak.nl onlangs (via). Leuk dat dan ‘JPL’ tussen aanhalingstekens moet als kennelijk gekke term, terwijl cryptomunt gewoon… Lees verder

Banken en verzekeraars mogen niet zomaar meewerken aan ransomware-betalingen

| AE 12276 | Ondernemingsvrijheid | 26 reacties

De VS waarschuwen banken en verzekeraars dat ze mogelijk de wet overtreden wanneer ze ransomware-losgeld betalen aan criminelen, las ik bij Trouw onlangs. Allereerst omdat je dan met verdachte transacties te maken hebt (je gaat ineens in bitcoin betalen) en ten tweede omdat je nog wel eens aan partijen in sanctielanden (zoals Noord-Korea, Wannacry) blijkt… Lees verder

Thuiskopieheffing gaat bij aankoop smartphones flink omhoog naar 7,30 euro

| AE 12283 | Intellectuele rechten | 82 reacties

De Stichting Onderhandelingen Thuiskopievergoedingen, ofwel SONT, heeft de hoogte van de thuiskopievergoeding voor smartphones verhoogd naar zeven euro dertig, las ik bij Tweakers. Inderdaad, zeven euro dertig (voor juristen: €7,30), een verhoging met 50% van het oude tarief van €4,70. Als verklaring voor de verhoging voor smartphones wordt genoemd dat het maken van thuiskopieën op de… Lees verder

Mag je zelf bepalen wanneer je een datalek meldingswaardig vindt?

| AE 12252 | Privacy | 21 reacties

Tientallen keren per jaar komt privacygevoelige informatie van patiënten door datalekken bij het Noordwest Ziekenhuis in Alkmaar en Den Helder in verkeerde handen terecht. Dat las ik bij Langedijk Centraal, dat het weer van het Noordhollands Dagblad had. Vaak gaat het om verkeerd geadresseerde post, maar ook om rondslingerende usb-sticks of geneus zonder toestemming. En, zo lazen… Lees verder

Heeft die consent-balk van Teams bij video-opnames ook maar enige betekenis?

| AE 12255 | Ondernemingsvrijheid, Privacy | 29 reacties

Via Twitter: als tijdens een videooverleg de organisator ‘opnemen’ aanzet dan lijkt dit me geen AVG-conforme manier om toestemming omdat die ‘vrijelijk’ gegeven moet worden. Ik verbaas me ook regelmatig over dat balkje bovenin de meeting, met de tekst “This meeting is being recorded. By joining you are giving consent for this meeting to be… Lees verder

Facebook mag pagina’s offline halen die in strijd zijn met haar eigen COVID-19 beleid.

| AE 12274 | Uitingsvrijheid | 17 reacties

Facebook mag pagina’s offline halen die in strijd zijn met haar eigen COVID-19 beleid, las ik bij Rechtspraak.nl. Dat is gek, want Youtube mocht laatst juist niet bepaalde video’s offline halen omdat ze in strijd waren met haar eigen regels. De betreffende Facebook-regels dateren uit januari. Sinds die tijd “werkt Facebook samen met wereldwijde organisaties zoals… Lees verder