Wat moet ik juridisch nou weer van NFT’s vinden?

| AE 12628 | Informatiemaatschappij | 7 reacties

In onze digitale wereld, ons ecosysteem dat bestaat uit enen en nullen, onze vrijplaats waar alles kan wat in het echt niet kan, daar is het heel lastig om zaken uniek te maken. Dat las ik in een recent Tweakers Plus-artikel, dat me wijs zou gaan maken over de lol van de non-fungible tokens oftewel NFT’s die nu hot, pardon cool, pardon wreed, pardon populair zijn. U ziet het: ik voel me oud bij het lezen over deze nieuwe technologie. Ik zag het recent voor het eerst voorbij komen als het digitale equivalent van Panini-voetbalplaatjes: de NBA Topshots, flitsen van een spannend basketbalmoment. Maar daar word je dan weer geen eigenaar van. Leeswaarschuwing: blockchain.

Waarom staan nft’s nu ineens zo in de belangstelling? Dat komt doordat Christie’s, een traditioneel kunstveilinghuis, ineens een nft ging veilen. Dat gaf “real world” aandacht voor een internethype, en omdat het ook nog eens over blockchain en crypto gaat is de hype dan snel gegroeid.

De kern van een nft is dat ergens (op de blockchain dus) wordt genoteerd dat jij ‘eigenaar’ bent van een bepaald stukje informatie. Net zoals je eigenaar bent van zo’n zeldzaam voetbalplaatje, of van een koekblik van Rembrandt om het Tweakers-artikel nog even te citeren. En dat is dus niet hetzelfde als eigenaar zijn van waar het echt om gaat; de afbeelding van de voetballer (u mag zelf zeggen of u zich oud voelt bij a) Messi b) Gullit c) Van der Kuijlen) dan wel het schilderij van Rembrandt.

Wat je dan in feite koopt of krijgt, is een token  dat gekoppeld is aan een bepaald digitaal bestand. Dat bestand is gewoon een serie nullen of enen en daar kan van alles mee gebeuren. Maar er is maar één token met die koppeling, en als jij dat token onder jouw beheer bent dan kun je jezelf dus ‘eigenaar’ van dat bestand noemen. De geregistreerde houder van het token kan worden gewijzigd, en zo draag je eigendom dan over. Door dit aan smart blockchains, pardon smart contracts te koppelen kan dat zelfs volledig automatisch gebeuren – na betaling, na een zekere periode, als het bestand ergens verplaatst wordt of ga zo maar door.

Juridisch betekent dit allemaal heel weinig. De échte eigendom op bijvoorbeeld dat schilderij van Rembrandt blijft liggen waar het ligt, en ook de auteursrechten op het werk veranderen niet van eigenaar. Dat vereist namelijk een ondertekend contract (een akte) en een nft is dat niet. Men heeft dus een digitale parallelle handelswereld gecreëerd, waarbinnen ruimte is om geheel eigen regels voor de zelfbedachte “nft eigendom” te hanteren. En dat mag, maar juridisch is daar weinig van te vinden.

Arnoud

Mag de politie je systeem patchen na een malware infectie?

| AE 12625 | Security | 8 reacties

De FBI gaat nu netwerken van privépartijen patchen, las ik (vrij vertaald) bij Schneier’s blog. Het gaat om honderden met malware geïnfecteerde Microsoft Exchange-servers, waar webshells (commandoregel-toegang op afstand) op waren geplaatst. Nadat de federale politie daartoe door een rechtbank was gemachtigd, gaf zij al deze servers een speciaal commando waarmee de kwaadaardige code werd gewist. Dat gaf dus ophef, want men passeerde zo het eigen IT-beleid van die organisaties. En hoezo mag de politie überhaupt bij mensen thuis dingen komen fixen?

Over een week gaat de politie bij ons Emotet wissen van een miljoen computers wereldwijd, dus dit is lekker actueel. Ik zei toen dat dat mocht, want wij hebben artikel 125o Wetboek van Strafvordering:

Indien bij een doorzoeking in een geautomatiseerd werk gegevens worden aangetroffen met betrekking tot welke of met behulp waarvan het strafbare feit is gepleegd, kan de officier van justitie dan wel indien deze de doorzoeking verricht, de rechter-commissaris bepalen dat die gegevens ontoegankelijk worden gemaakt voor zover dit noodzakelijk is ter beëindiging van het strafbare feit of ter voorkoming van nieuwe strafbare feiten.

De doorzoeking vond hier plaats in de centrale server, en via die server vind je dan ook de clientsoftware bij de slachtoffers thuis. Dat zijn “gegevens met behulp waarvan het strafbare feit is gepleegd”, zodat de politie die mag wissen (ontoegankelijk maken).

In de VS moet de FBI het doen met Rule 41, waarmee men algemeen gezegd warrants oftewel bevelen mag halen om bewijs of contraband mee te nemen, illegale voorwerpen in beslag te nemen of mensen op te halen. In het jargon, een search & seizure – zoeken en inbeslagname. Onder deze Rule heeft men nu de warrant gekregen om op al die Exchange-servers binnen te dringen en daar de wis-instructie te geven. En dat is wat vreemd, want oké ze zouden fysiek langs mogen gaan en al die servers meenemen met zo’n bevel maar dat blijft wat anders dan een stukje informatie daarop aanpassen.

Niet gek dus dat vele mensen op de achterste benen staan. Het gaat ook verder dan eerdere zaken waarbij de FBI botnets verwijderde: daar kwamen de geïnfecteerde computers naar de inbeslaggenomen server toe voor nieuwe instructies, en men kon toen vrij eenvoudig “wis jezelf” teruggeven. Dat is toch wat anders dan actief inloggen bij die clients en daar een wis-instructie geven.

Arnoud

Wanneer ben je een crimineel met een gelektewachtwoordensite?

| AE 12620 | Internetrecht | 5 reacties

De zoekmachine We Leak Info is volgens het Openbaar Ministerie (OM) opgezet om criminelen eenvoudig toegang te geven tot e-mailadressen en wachtwoorden, maar de betrokken Nederlandse verdachte beweert dat de website goede bedoelingen had. Dat las ik bij Nu.nl vorige week. Met deze website kon je – inclusief premiumabonnement – zoeken in de vele gelekte datadumps die er tegenwoordig zijn. Het verweer luidde natuurlijk dat er ook vele andere sites zijn, met name Have I Been Pwned van de bekende researcher Troy Hunt, waar je dat in kunt doen. Hoe zie je nou het verschil?

Even beginnen bij de wet. Artikel 139d Wetboek van Strafrecht zegt dat het een strafbaar feit is als je

  • een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan, vervaardigt verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden hebt
De beperking is dat je dat doet “met het oogmerk dat daarmee [computervredebreuk of gegevensdiefstal] wordt gepleegd”. En daar zit hem dus de crux: mensen adviseren “ja je wachtwoord is gelekt” is natuurlijk heel wat anders dan “het wachtwoord van Wim is BruineHoed123” verkopen aan criminelen.

Eh, wacht, verkopen? Ja, aldus het OM: meneer adverteerde op bekende criminelenforums dus kennelijk wil je dan misdadigers die gegevens verkopen, precies wat we hier strafbaar stellen. Maar nee:

Hen proberen te bereiken zou ook de reden zijn geweest dat We Leak Info op hackforums adverteerde, al leverde dat volgens de Nederlander ook “verkeerde klanten” op.
Mij lijkt dat als je in zo’n situatie weet dat een klant “verkeerd” is, dat je dan niet moet gaan handelen want dan val je – via voorwaardelijke opzet – onder dat oogmerk.

Verder vergeten heel veel mensen die deze vergelijking maken, dat Hunt buitengewoon veel moeite steekt in het niet daadwerkelijk lekken van wachtwoorden. Standaard kun je alleen zoeken op emailadres of telefoonnummer en dan zegt hij welke dienst het datalek had waar dat adres of nummer in zat. Het wachtwoord krijg je niet te zien. Daarmee is er hoe dan ook geen sprake van een strafbaar feit. Ik kan me omgekeerd eigenlijk ook niet voorstellen wat wél een legitieme use case is van het publiceren van login én wachtwoord.

Arnoud

Mogen winkels preorders van grafische kaarten annuleren omdat de fabrikant de productie stopt?

| AE 12618 | Ondernemingsvrijheid | 18 reacties

Webwinkels als Azerty en Alternate melden klanten die de RTX 3080 Gaming X Trio 10G van MSI besteld hadden, dat ze deze niet meer gaan leveren. Dat las ik bij Tweakers. Alternate geeft aan: “Helaas heeft MSI besloten om de RTX 3080 Gaming X Trio 10G niet meer te produceren. Door dit besluit, dat buiten… Lees verder

Foto’s van je kinderen op internet plaatsen versus de AVG

| AE 12616 | Privacy | 15 reacties

Gedaagde heeft beeldmateriaal (foto’s en filmpjes) op social media geplaatst van het minderjarige zoontje van eiseres, zo opende een recent vonnis van de rechtbank Overijssel. Dat mocht niet van de ex-partner. Want voor het plaatsen van foto’s van minderjarigen die de leeftijd van zestien jaren nog niet hebben bereikt, is toestemming van de wettelijk vertegenwoordiger… Lees verder

Chinese politie en Tencent halen sites die gamecheats verkochten offline

| AE 12614 | Informatiemaatschappij | 7 reacties

Door gezamenlijke inzet van de Chinese politie en game-ontwikkelaar Tencent is een collectief opgepakt dat gamecheats verkocht. Volgens de politie verdiende het collectief zo’n 64 miljoen euro met de verkoop van cheat-abonnementen aan gamers in honderd landen en regio’s. En kennelijk is dat dan illegaal, hoewel voor niet iedereen duidelijk was waarom dan precies. Wie… Lees verder

Onderzoek: managers kijken bij half miljoen werknemers thuis over de schouder mee, de hele dag

| AE 12611 | Ondernemingsvrijheid | 11 reacties

Bij 13% van de thuiswerkers komt de manager de hele dag langs om door het raam mee te kijken of zij wel aan het werk zijn. Dit blijkt uit CNV-onderzoek onder 1200 thuiswerkers. ‘Dit betekent dat ruim een half miljoen werkenden dus voortdurend in de gaten worden gehouden door hun werkgever. In de praktijk ligt dit… Lees verder

Facebook gaat de half miljard getroffen gebruikers niet informeren over datalek, nee die snapte ik ook niet

| AE 12609 | Privacy | 12 reacties

Facebook gaat de bijna 533 miljoen gebruikers van wie de data onlangs op een hackersforum is geplaatst, niet actief informeren over het datalek. Dat meldde Tweakers vorige week. Het platform zegt niet zeker te weten welke gebruikers ingelicht zouden moeten worden en dat de informatie toch openbaar online staat. Dat voelt een tikje absurd; de… Lees verder

Twitch gaat mensen ook voor wangedrag buiten de site bannen

| AE 12607 | Ondernemingsvrijheid | 93 reacties

Videostreamingdienst Twitch gaat voortaan niet alleen wangedrag op zijn site aanpakken, maar ook hatelijk gedrag dat buiten Twitch plaatsvindt. Dat meldde Nutech.nl onlangs. Enerzijds kan het dan gaan om intimideren buiten de dienst om naar aanleiding van een gebeurtenis op het platform. Anderzijds denkt men ook aan wangedrag buiten de dienst dat geen verband houdt… Lees verder

Koper van SCO’s OpenServer klaagt IBM en Red Hat aan

| AE 12605 | Intellectuele rechten | 5 reacties

Oh nee. Softwarebedrijf Xinuos klaagt IBM en Red Hat aan voor het illegaal kopieren van zijn broncode voor besturingssystemen voor servers, las ik bij Tweakers. Xinuous is de rechtsopvolger van het beruchte SCO, dat IBM een jarenlang slepende rechtszaak aandeed met de meest onzinnige claims over “gestolen IP” dat IBM in Linux zou hebben gestopt…. Lees verder