Categorie: Informatiemaatschappij

About Informatiemaatschappij

Subscribe Feeds

Vrijspraak in hoger beroep denial-of-service aanval

Geplaatst op in Informatiemaatschappij, Security, nog geen reacties

In hoger beroep is onlangs een man vrijgesproken van de aanklacht dat hij denial-of-service of verstikkingsaanvallen zou hebben uitgevoerd, zo meldt Solv. In november 2005 kreeg de man een geldboete opgelegd wegens het opzettelijk vernielen of onbruikbaar maken van een geautomatiseerd werk.

Planet legt uit:

De verdachte computerprogrammeur was door de grote hoeveelheid spam die hij ontving zodanig geïrriteerd dat hij de websites van de twee afzenders bombardeerde met mails, bestellingen en faxberichten. Dit maakte de bedrijven onbereikbaar via web en fax.

Het orderverwerkingssysteem raakte overbelast en werkte niet meer. De internetserviceprovider heeft ook nog eens het bedrijf afgesloten vanwege de grote hoeveelheden verkeer.

Tegenwoordig zou een aanval als deze letterlijk onder artikel 138b Wetboek van Strafrecht vallen als verstikkingsaanval, maar omdat het gebeurd was voor 1 september vorig jaar, en het artikel pas toen werd ingevoerd, mag hij daaronder niet vervolgd worden.

Onder de oude wet werd hij veroordeeld wegens het verstoren van de werking van het netwerk van de provider in kwestie. Dit is strafbaar onder artikel 161sexies Wetboek van Strafrecht. Maar bij deze aanval werden alleen de computers van de provider gestoord, en niet het Internet of een ander openbaar telecommunicatienetwerk. En het artikel eiste nu eenmaal dat je een openbaar netwerk stoort en niet alleen maar een lokaal netwerk dat daar aan hangt.

Een andere insteek is dat door de verstikkingsaanval de IP-adressen, E-mailadressen en/of internetwebsite van het slachtoffer niet meer bereikbaar waren. Het is namelijk ook strafbaar om gegegvens te vernielen of ontoegankelijk te maken. Vroeger heette dat “het onbruikbaar maken en ontoegankelijk maken van gegevens”. Als je nu deze IP-adressen, E-mailadressen en /of website als gegevens ziet, dan zou je kunnen zeggen dat deze onbruikbaar en ontoegankelijk gemaakt worden door een verstikkingsaanval.

Maar, zo oordeelt het Hof in haar arrest, dat is alleen het geval als die gegevens zelf zijn gewist, gemanipuleerd of veranderd. En dat is hier natuurlijk niet zo. De IP- en e-mailadressen zijn niet aangeraakt, dus daar is niets aan vernield. Ze waren alleen ontoegankelijk van buitenaf.

Niet elk onbruikbaar of ontoegankelijk maken daarvan [valt] onder de werking van artikel 350a van het Wetboek van Strafrecht. Dit is slechts het geval indien die gegevens zelf zijn gewist, gemanipuleerd of veranderd.

Uit de inhoud van het dossier en het verhandelde ter terechtzitting is daarvan niet gebleken. Integendeel, van aantasting van de IP-adressen, E-mailadressen en/of website van aangever was geen sprake; zij zijn onbruikbaar en ontoegankelijk geworden door de veelheid van berichten die er door toedoen van verdachte naar werden verzonden.

De verdachte werd dan ook vrijgesproken.

Arnoud

Zoekt de OPTA werkgelegenheid?

Geplaatst op in Informatiemaatschappij, Ondernemingsvrijheid, Security, 1 reacties

De OPTA, de Onafhankelijke Post en Telecommunicatie Autoriteit, wil “passende technische en organisatorische maatregelen” invoeren voor internetaanbieders, zo schreef ik vrijdag.

Deze maatregelen gaan bijvoorbeeld over het filteren of blokkeren van netwerkverkeer dat niet hoort voor te komen, of het helpen bij installeren van firewalls of virusscanners.

Simon Hania, technisch directeur van XS4All op het Opinieweblog vindt dit nergens voor nodig.

Ten eerste zitten de meeste problemen niet bij Nederlandse providers, omdat die zich over het algemeen al goed beveiligen. De meeste problemen zitten bij slecht beheerde servers in het buitenland.

Maar de belangrijkste reden:

Maar waarom ik vooral tegen deze regelzucht ben, is omdat de maatregelen zodanig standaard zijn, dat ze allang door elke welopererende ISP in Nederland genomen zijn. En met de huidige consolidatiegolf in de markt zijn er alleen nog maar weloperende ISPs. We gaan dus nu een reguleringcircus optuigen voor iets dat er al is. Da’s nodeloos ambtenaren aan het werk zetten.

Arnoud

OPTA wil zorgplicht internetaanbieders aanscherpen

Geplaatst op in Informatiemaatschappij, Ondernemingsvrijheid, Security, 1 reacties

Providers moeten “passende technische en organisatorische maatregelen” treffen voor de bescherming van persoonsgegevens en privacy van gebruikers, en de beveiliging van hun netwerken. De OPTA, de Onafhankelijke Post en Telecommunicatie Autoriteit, ziet toe op naleving van deze zorgplicht.

Wat zijn nu “passende” maatregelen? Dat wilde de OPTA ook graag weten, en ze hebben dan ook een onderzoek laten uitvoeren door het bedrijf Stratix over de bestaande en toekomstige dreigingen voor consumenten op Internet. Meer over het onderzoek bij ISPam.nl.

Op basis van dit onderzoek heeft de OPTA een “voorlopig standpunt” ingenomen. En nu is het de vraag aan iedereen die interesse heeft wat ze hier van vinden.

Uit het onderzoek komen de volgende dreigingen naar voren:

Er werden -gelukkig- ook een hoop oplossingen voorgesteld, die de OPTA indeelt in drie categorieen: basismaatregelen (die zijn duidelijk passend), best practices (daar moet over gepraat worden) en te hoog gegrepen maatregelen (die zijn, ehm, te hoog gegrepen en dus niet passend).

Bij de basismaatregelen moet je denken aan het filteren of blokkeren van netwerkverkeer dat niet hoort voor te komen, zoals data verstuurd vanaf een lokaal netwerk dat afkomstig lijkt te zijn uit een heel ander netwerk. Dat kan normaal niet voorkomen, dus dat moet wel een hackpoging zijn.

Ook het aanbieden van virusscanners en het geven van voorlichting over dreigingen en tegenmaatregelen, zoals hoe je een firewall of virusscanner moet installeren, horen tot de basismaatregelen.

Spam filteren ligt iets lastiger, want niet alle klanten willen dat hun provider dat voor ze doet. Daarom krijgt dit de status van best practice en niet van basismaatregelen. Hetzelfde geldt voor het blokkeren van poorten waarlangs Trojaanse paarden een PC kunnen infecteren. Dat kan immers soms legitiem netwerkgebruik storen.

Maar waarom het benaderen van een klant wiens PC als zombie wordt ingezet geen basismaatregel is, begrijp ik niet.

Er waren nog veel meer suggesties gedaan, bijvoorbeeld ter beveiliging van DNS, maar daar was kennelijk nogal wat onenigheid over, want die worden weggezet onder het kopje “te hoog gegrepen”.

Wie na het lezen van het rapport suggesties heeft, kan ze vóór 16 mei mailen naar de OPTA (e-mail adres in het rapport).

Tip via Planet – Opta wil zorgplicht internetaanbieders aanscherpen.

Arnoud

Is een download een openbare vertoning?

Geplaatst op in Informatiemaatschappij, Intellectuele rechten, nog geen reacties

Het auteursrecht verleent de auteur van een werk een aantal rechten. Naast het recht om kopieën te maken (of te verbieden), heeft hij ook wat te zeggen openbare voordrachten, uitvoeringen en voorstellingen. Een scriptschrijver kan op die manier geld verdienen aan elke opvoering van zijn toneelstuk. Muzikanten krijgen zo geld wanneer hun muziek op de radio wordt gespeeld.

Een actuele vraag is nu of het via Internet versturen van muziek telt als een openbare vertoning. Je zou zeggen dat een download alleen het versturen van een kopie is. Maar de Amerikaanse Stemra heeft onlangs een rechtszaak aangespannen tegen AOL, RealNetworks en Yahoo waarin zij stellen dat Internet-downloads zowel vallen onder het maken van een kopie als het openbaar vertonen. En dan moet je twee keer royalties betalen. Eén keer voor de kopie en één keer voor de vertoning.

De Amerikaanse advocaat Steve Gordon heeft hierover een artikel geschreven in The Register: Are songwriters double-dipping?.

Zoals hij terecht opmerkt:

No one disputes that when a song is broadcast via radio and “plays” on that radio “device”, then that is a performance. But when you download a song, generally you do not hear the music until it downloads, and you make a decision to play it back. If this was considered to be a “performance” then the distribution of CDs at stores which people buy and later play back on their stereos or computers would also be a performance. But not even ASCAP is demanding public performance royalties for sales of CDs!
Mogelijk gaat het argument wel op voor live streams. Dat is vrijwel hetzelfde als naar de radio luisteren tenslotte. De achterliggende techniek is wel anders, maar daar gaat het niet om. Het enige relevante is of de muziek openbaar afgespeeld wordt, dat wil zeggen dat iedereen kan luisteren die afstemt op de zender. En dat lijkt me voor internetradio net zo hard van toepassing als voor ouderwetse radio.

Maar, zo argumenteert Gordon:

A major distinction between standard radio and TV broadcast on the one hand, and downloading on the other, is that publishers and songwriters already collect a DPD royalty of 9.1 cents from downloading services, whereas they do not collect any mechanical royalties for transmission of music to radio or music performed on TV. Thus ASCAP’s demand for an additional royalty for downloading seems like a classic “double dip.”
Geld verdienen aan afspelen op internetradio mag dus wel, maar twee keer geld vangen voor dezelfde handeling niet. We zullen zien wat de rechtbank er van vindt.

Arnoud

Twijfels aan betrouwbaarheid vergelijkingssites

Geplaatst op in Informatiemaatschappij, nog geen reacties

Zo meldt Planet zojuist:

Vergelijkingssites vormen een belangrijke bron van informatie voor de online-consument. Toch twijfelt eenderde van hen aan de betrouwbaarheid en onafhankelijkheid.

Dat lijkt met name te komen doordat mensen vooral negatieve recenties nalaten, waardoor de besprekingen nogal eenzijdig kunnen zijn. Zo’n negatieve reactie is overigens niet zonder risico’s voor zowel de plaatser als de site waar deze op staat. Beheerders zullen zulke reacties zo veel mogelijk moeten screenen op juistheid. De mogelijkheid van een weerwoord door het aangesproken bedrijf is ook belangrijk.

Arnoud

Tiener laat filmpjes verwijderen van Youtube namens copyright-houder

Geplaatst op in Informatiemaatschappij, Intellectuele rechten, 2 reacties

Het is dagelijkste kost voor auteursrecht-juristen: tiener zet filmpje op Youtube, rechthebbende klaagt, Youtube verwijdert. Maar hoe vaak komt het voor dat een tiener filmpjes laat verwijderen omdat ze inbreuk maken?

In Australie heeft een 15-jarige jongen honderden brieven gestuurd naar Youtube met de mededeling dat hij het Australische televisienetwerk ABC vertegenwoordigde en de films inbreuk maakten op hun auteursrecht. Youtube verwijderde daarop de films. Toen de juristen van ABC ontdekten dat deze jongen namens hen boze brieven stuurden, hebben ze daar snel een einde aan gemaakt.

Teen apologises over ABC YouTube sham, gevonden via Technology Evangelist. Ook op slashdot.

En het doet natuurlijk denken aan het Multatuli-project van een paar jaar geleden, waarbij op vergelijkbare wijze providers materiaal verwijderden na een anonieme klacht van de zogenaamde rechthebbende.

Arnoud

Nieuwe Notice & Takedown procedure van XS4All

Geplaatst op in Informatiemaatschappij, Ondernemingsvrijheid, Uitingsvrijheid, 6 reacties

XS4All staat bekend als een provider die staat voor de bescherming van haar klanten. Zonder gerechtelijk bevel werden bijvoorbeeld nooit persoonsgegevens verstrekt aan derden. Daar is nu verandering in gekomen, vanwege de ontwikkelingen in de jurisprudentie over aansprakelijkheid van providers. Vrijwel al die jurisprudentie was trouwens “Iemand vs. XS4All”.

Op 2 februari heeft XS4All een nieuwe klachtenprocedure ingevoerd. Bij deze procedure bestaat nu expliciet de mogelijkheid dat XS4All persoonsgegevens van klanten afgeeft aan de klager, ook als er nog geen rechtbank is geweest die ze daartoe verplicht.

Op het Opinieweblog legt Niels Huijbregts (teamleider van de abuse-afdeling van XS4All) uit waarom. Hij geeft daarbij een goed en leesbaar overzicht van de relevante jurisprudentie, dat hij samenvat met:

Het bovenstaande is een lang verhaal dat er uiteindelijk op neerkomt dat die houding niet te handhaven is: Providers zijn aansprakelijk als het gaat om materiaal dat onmiskenbaar onrechtmatig is, de provider moet daarover zelf oordelen. In de zaak-Deutsche Bahn vond de rechter al dat de provider onjuist had geoordeeld en veel te terughoudend was geweest en bij Pessers-Lycos werd besloten dat van onmiskenbare onrechtmatigheid helemaal geen sprake hoeft te zijn: de provider moet gewoon meewerken. Weigering betekent zelfs dat de provider zelf mogelijk onrechtmatig handelt.
Met name de Deutsche Bahn-zaak is kritisch ontvangen door juristen. Zie bijvoorbeeld de noot van Lodewijk Asscher over dit vonnis.

Het blijft natuurlijk een lastige zaak. De privacy van gebruikers is een groot goed. Tegelijkertijd kan daar ook best misbruik van worden gemaakt, omdat mensen zich dan kunnen verschuilen achter hun provider. En waarom zou het in zo’n situatie niet toegestaan kunnen worden om persoonsgegevens af te geven?

Terecht sluit Huijbregts af met:

Het feit dat je op internet relatief anoniem te werk kunt gaan, geeft je natuurlijk niet het recht de wet te breken. Wanneer iemand van mening is dat je dat toch doet, wordt je daarvan op de hoogte gesteld. Dat gebeurt voordat er een rechter aan te pas komt en dat is maar goed ook: zo heb je de mogelijkheid je te verweren of je fout te herstellen, voordat een rechter bepaalt dat je NAW-gegevens bekend moeten worden gemaakt. Mocht het ooit zover komen dat XS4ALL besluit NAW-gegevens bekend te maken, dan betekent dat dat de betreffende klant zelf al voldoende mogelijkheden heeft gehad om dat te voorkomen.

Arnoud

Nieuw op Iusmentis: Regels voor forumsites

Geplaatst op in Informatiemaatschappij, Iusmentis, nog geen reacties

Regels voor forumsites (in Maatschappij > Juridische zaken op iusmentis.com):

Wie zijn website openstelt voor anderen, doet er verstandig aan om meteen duidelijke regels in te voeren. Forums en andere discussiesites lopen, net als bloggers, het risico aangesproken te worden voor wat deelnemers doen. Een duidelijk reglement is een goed middel om deze aansprakelijkheid in te perken. Er zijn verschillende soorten reglementen, elk met hun eigen specifieke doel.

Een goed en uitgebreid voorbeeld is het reglement van het Nationaal Computer Forum.

Arnoud

Hoe bewijs je internet-oplichting?

Geplaatst op in Informatiemaatschappij, 39 reacties

In september 2006 werden op markplaats.nl o.a. X-box 360 Premium pakketten, Sony PSP’s en Ipods te koop aangeboden. Eerst betalen, dan zou het product opgestuurd worden. Helaas voor de kopers ging het in dit geval niet om een bona fide aanbod, maar om “één of meer listige kunstgr(e)ep(en) en/of een samenweefsel van verdichtsels”. Oplichting dus.

Meestal is het lastig om iemand op te sporen als hij via Internet dingen uithaalt. Bij oplichting ligt dat iets anders. Je moet uiteindelijk wel het geld krijgen van je slachtoffers, anders heeft het niet zo veel zin om iemand op te gaan lichten. Nu kun je natuurlijk zeggen -zoals de verdachte hier ook deed- dat je van niets wist maar tot je verbazing ineens allemaal bedragen overgemaakt kreeg. Dat kan op zich, alleen zou je dan mogen verwachten dat je dat terug gaat proberen te storten. Als je het dan uitgeeft “aan leuke dingen”, roep je de verdenking over je af dat je te kwader trouw bezig bent.

Bovendien is er nog het IP-adres. De politie kan aan de hand van IP-adres en datum/tijdstip bij de provider opvragen welke persoon hier gebruik van maakte:

Uit het mailcontact, voorafgaand aan de koop van een XBOX pakket door een van de slachtoffers, is gebleken dat de verkoper onder het hotmail adres [adres] gebruik maakte van een IP adres 89.98.17.252. Blijkens een algemeen proces-verbaal d.d. 11 december 2006, is dit IP adres van de provider Chello gekoppeld aan het woonadres van verdachte te weten [adres en woonplaats].

Ook kun je het een en ander afleiden uit de tijdstippen van de oplichtingen versus de tijdstippen dat de verdachte een eerdere gevangenisstraf wegens oplichting uitzat(!).

Verdachte is eerder veroordeeld ter zake van oplichting op dezelfde wijze als thans aan de orde. De onderhavige oplichtingen zijn begonnen slechts enkele dagen nadat verdachte in vrijheid was gesteld na tenuitvoerlegging van een eerder opgelegde gevangenisstraf. De oplichtingen zijn vervolgens gestopt op het moment dat verdachte in verzekering werd gesteld voor de nieuwe feiten.

Alles bij elkaar genoeg bewijs om te concluderen dat de verdachte inderdaad degene was die achter de oplichting zat. In het vonnis werd hij dan ook veroordeeld tot 15 maanden cel en het betalen van een schadevergoeding aan de slachtoffers.

Arnoud

Kroniek van technologie en recht, door Christiaan Alberdingk Thijm

Geplaatst op in Informatiemaatschappij, nog geen reacties

Elke paar jaar wordt de belangrijkste jurisprudentie en wetgeving op een bepaald gebied samengevat in een kroniek. Deze keer was het de beurt aan Christiaan Alberdingk Thijm om de technologiespecifieke wet- en regelgeving samen te vatten. Hij beschrijft elektronische handel, aansprakelijkheid van tussenpersonen, cybercrime, spam, kansspelen en financiële diensten op Internet. Het overzicht loopt van 2004 tot 2006.

Ten tijde van de opkomst van het internet predikte de wetgever het adagium “wat offline geldt, geldt ook online”. Dat was op zichzelf een geruststellende gedachte, want het betekende dat er niets aan ons juridische instrumentarium behoefde te veranderen. Inmiddels behoeft het uitgangspunt van de wetgever wel enige nuancering. De wet- en regelgeving die ik in deze kroniek bespreek, getuigt daarvan. … Op al deze gebieden heeft de wetgever ervoor gekozen online anders te reguleren dan offline.

Lees de kroniek online via SOLV (PDF).

Arnoud