Australisch parlement stemt in met omstreden ‘anti-encryptiewet’

| AE 11020 | Regulering | 15 reacties

De Australische senaat heeft donderdag ingestemd met de omstreden wet die techbedrijven zoals Apple en Facebook verplicht om mee te werken bij het ongedaan maken van encryptie bij het onderscheppen van communicatie. Dat meldde Tweakers vorige week. De wet is omstreden omdat in het Angelsaksische rechtsgebied het doorbreken van encryptie door opsporingsdiensten als controversieel geldt, en deze wet de primeur heeft aldaar die er ook nog eens met trucjes doorgeduwd werd. Toch is het bepaald niet de “encryptie is nu verboden!!1!” wet die het in sommige media genoemd wordt. De regels over encryptie zijn volgens mij minder streng dan in Nederland.

De omstreden Assistance and Access-wet heeft inderdaad als gesteld doel bevoegdheden van politie en andere opsporingsdiensten te vergroten om het probleem van alomtegenwoordige encryptie op te kunnen lossen. Criminelen gebruiken encryptie om hun daden te verhullen, is dan het argument, dus moeten de diensten bij die versleutelde berichten kunnen in het belang van het onderzoek.

Een kernaspect van de wet is dan ook dat opsporingsdiensten zogeheten “technical assistance notices” en “technical capability notices” mogen sturen. Dat zijn bevelen om bepaalde technische ondersteuning te geven (assistance) maar ook om mogelijkheden in te bouwen (capability) om daarmee in de toekomst meer ondersteuning te realiseren. Dus “geef me de mailbox van Jan” is een assistance notice, maar “bouw iets in dat ik live mails van en naar Jan kan zien” is een capability notice. Met name die laatste is natuurlijk behoorlijk vérgaand, ook omdat je het gratis moet opvolgen.

Wat encryptie betreft is wel weer opgenomen dat zo’n notice niet mag leiden tot structurele verzwakking van encryptie of authenticatie. Een notice mag dus denk ik wel eisen dat een specifiek bericht wordt opengemaakt, maar niet dat standaard een achterdeur wordt ingebouwd.

Een specifiek bericht decrypten is dus een van de nieuwe bevoegdheden. In Nederland is dat helemaal niet zo nieuw, ons wetboek van strafvordering vermeldt onder meer in artikel 125k:

[Een bevel tot toegang tot gegevens kan worden gegeven in het belang van het onderzoek] indien in een geautomatiseerd werk versleutelde gegevens worden aangetroffen. Het bevel richt zich tot degeen van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van de wijze van versleuteling van deze gegevens.

Dit vereist wel dat een verdenking bestaat van een ernstig misdrijf (minstens vier jaar cel, en enkele specifieke strafbare feiten zoals mensenhandel). Het bevel mag overigens niet aan de verdachte worden gegeven (dit staat ter discussie)

Als het gaat om een onderzoek door een toezichthouder, dan gaat de wet nog verder. Artikel 5:20 Awb:

Een ieder is verplicht aan een toezichthouder binnen de door hem gestelde redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden.

Hieronder valt dus ook het ongedaan maken van encryptie. De letter van de wet sluit echter zelfs niet uit dat je dingen gaat bouwen om meer structureel bij bepaalde gegevens te kunnen, maar het zou wel een gedurfde* inzet van bevoegdheden zijn om dit te vorderen.

In de praktijk hebben vrijwel alle grotere bedrijven achterdeuren in hun encryptie-infrastructuur. Dat moet ook wel, want als een sleutelhouder ontslag neemt of overlijdt dan wil je als bedrijf door kunnen. Het openen van versleutelde berichten is dus altijd technisch mogelijk. En als dat zo is, dan mag bijvoorbeeld markttoezichthouder ACM vorderen dat dit gebeurt omdat zij een bestuursrechtelijke overtreding vermoeden.

Arnoud<br/> *Gedurfd besluit: een politiek besluit waarmee je de verkiezingen verliest. Yes, minister

Leerling van school gestuurd na pesten van leraren op Instagram

| AE 11002 | Regulering | 38 reacties

Het Frits Philips lyceum heeft een leerling van school gestuurd naar aanleiding van een ‘meme-account’ op Instagram, las ik bij Omroep Brabant. “Memes zijn foto’s of heel korte video’s die vaak gaan over herkenbare situaties of grappen bevatten”, zo voegt men voor de duidelijkheid toe. De term ‘grap’ is hier – zoals wel vaker bij middelbaar onderwijs – nogal relatief: een foto van de receptionist met als hoofd een misvormde schedel, of “what if you wanted to go to heaven … but [conciërge] said where were you the 1st, 2nd, 3e periode”. Ehm, ja. Maar van school sturen?

Natuurlijk is er geen enkele wettelijke regel die iets specifiek over memes of Instagram of social media zegt. Maar dat hoeft ook niet. Wetten zijn juist gemaakt om heel generiek te zijn, zodat ze in zo veel mogelijk gevallen toegepast kunnen worden.

In dit geval gaat het om de Wet op het voortgezet onderwijs (Wvo), die een school brede bevoegdheden te geven om de goede orde op school te handhaven (artikel 24g):

In het leerlingenstatuut worden in elk geval voorschriften opgenomen, strekkende tot handhaving van de goede gang van zaken binnen de instelling en, de wijze waarop uitvoering wordt gegeven aan de bescherming van gegevens uit de persoonlijke levenssfeer.

Die van het Frits Philips vermeldt bijvoorbeeld in brede bewoordingen:

De leerlingen en de medewerkers hebben het recht op vrijheid van meningsuiting, mits deze mening niet kwetsend of beledigend is of in strijd met de doelstelling van de school.

Het lijkt me niet zo moeilijk om te onderbouwen dat dergelijke ‘grappen’ als kwetsend of beledigend ervaren kunnen worden. Daarmee is de overtreding van het statuut snel gegeven. Of je dat doet op Instagram of op het schoolplein, maakt daarbij weinig uit – zodra het op school gedoe geeft, valt het onder het statuut.

Het van school sturen voelt wat streng voor zo’n grap, hoewel ik ook dingen over hakenkruizen lees. Maar hierbij woog mee dat de leerling in kwestie bleef ontkennen achter het account te zitten en hem werd verteld van school gestuurd te worden zodra er bewijs was. Dat werd vervolgens gevonden. Die zie ik wel, keihard liegen verpest natuurlijk behoorlijk de relatie en kan tot zwaardere sancties leiden.

Desondanks bekruipt me het gevoel dat dit niet was gebeurd als de memes op papier op het schoolbord waren gehangen, maar mijn schooltijd ligt vér achter me dus misschien ben ik daarin ouderwets.

Arnoud

Mag je internetprovider poort 25 blokkeren van de netneutraliteitswet?

| AE 10988 | Regulering | 45 reacties

Port 25 is geblokkeerd en ik wil niet mailen over de ziggo mailservers, zo begon een discussie op het Ziggo communityforum. De topicstarter wil graag via zijn Ziggo-account het internet op om daar mails aan te bieden aan een externe internetprovider, maar dat lukt niet tenzij hij de mails aan een Ziggo-mailserver aanbiedt, die het dan filtert en doorgeeft. (Voor de techneuten: outbound port 25 is geblokkeerd.) Volgens de helpdesk is dit vanwege spamproblemen die je anders krijgt. Dus dan wordt de vraag, hoe ver mag een internetprovider daarin gaan?

In 2011 trad de wet netneutraliteit in werking, waarin strenge regels stonden die in principe internetproviders verboden om uitgaand internetverkeer zomaar te blokkeren. Echter, in 2015 trad de Europese netneutraliteitsverordening in werking, met een iets andere tekst:

Aanbieders van internettoegangsdiensten treffen geen verkeersbeheersmaatregelen die verder gaan dan de in de tweede alinea bedoelde maatregelen, en gaan met name niet over tot het blokkeren, vertragen, wijzigen, beperken of degraderen van, interfereren met of discrimineren tussen specifieke inhoud, toepassingen of diensten, of specifieke categorieën daarvan, behalve indien — en slechts zolang — dit nodig is om: …
b) de integriteit en de veiligheid van het netwerk, van de diensten die via dit netwerk worden aangeboden en van de eindapparatuur van de eindgebruikers te beschermen;

In die tweede alinea staan aangegeven dat als providers maatregelen opleggen, hiervoor geldt dat deze

transparant, niet-discriminerend en evenredig [moeten] zijn, en mogen zij niet berusten op commerciële overwegingen, maar op objectief verschillende technische kwaliteitsvereisten van specifieke categorieën verkeer berusten.

Samen lezend mag een provider dus maatregelen nemen vanuit het oogpunt van integriteits- en veiligheidsborging van het netwerk wanneer deze:

  1. Specifiek gericht zijn op integriteit en veiligheid
  2. Transparant zijn – het moet dus duidelijk zijn wat er gebeurt en waarom
  3. Niet-discriminerend zijn – alle klanten moeten gelijk behandeld worden in gelijke situaties, dus niet de een een waarschuwing en de ander meteen afgesloten
  4. Evenredig zijn – niet verder gaan dan nodig voor het doel, dus liever de mail tegengehouden dan de gehele internettoegang verbroken
  5. Gebaseerd zijn op objectieve kwaliteitseisen – een duidelijke manier om te zeggen of een mail spam is of niet.

Het blokkeren van uitgaande mails vanaf consumentencomputers naar mailservers van derden is al vele jaren gemeengoed in de strijd tegen spam. Het komt nogal eens voor dat computers van mensen worden gekaapt om vanaf hun computer spam te versturen via mailservers van derden. Die gaan daar dan over klagen bij antispamdiensten, en die blokkeren dan de IP-adressen van de betreffende internetproviders. Dus heel kort door de bocht, als Ziggo dit soort maatregelen niet neemt dan kan geen enkele klant straks nog mail naar andere internetproviders of maildienstverleners krijgen vanwege alle spamzwartelijsten waar Ziggo dan op komt.

Een duidelijke behoefte vanuit het beschermen van netwerk en dienstverlening zie ik dus wel. De transparantie had wat beter gekund, dit issue speelt al langer en het blijft moeilijk duidelijke informatie hierover te vinden bij Ziggo. De objectiviteit en niet-discriminerendheid lijkt me ook wel in orde, dit is een automatische blokkade die niet op de persoon speelt.

Voor mij hangt het dan op de kwestie van evenredigheid. Is het echt nodig om zo ver te gaan dat je preventief de smpt-poort blokkeert? Is er geen alternatief, bijvoorbeeld pas blokkeren bij grote aantallen of ongebruikelijke soorten mails? Technisch vast wel, maar dat vereist extra inspanningen om te bouwen en de vraag is of dat het waard is.

Daar komt dan bij dat Ziggo wél toestaat dat je via andere poorten mail verstuurt via diensten van derden, met name via beveiligde poort 465 (wat nu 587 moet zijn). Dus er lijkt een reëel alternatief te zijn. En dan denk ik dat het alles bij elkaar wel mag. Er is een duidelijke objectieve reden, er is een reëel alternatief voor de gebruiker en voor Ziggo zou het veel werk zijn om het probleem anders op te lossen. Dat past binnen de strekking van deze uitzondering op netneutraliteit.

Arnoud

Komt een man met een knots geheime documenten bij Facebook halen

| AE 10985 | Regulering | 17 reacties

Dat Engelse recht heeft toch wel zo z’n charme. Het Britse parlement heeft van uitzonderlijke bevoegdheden gebruik gemaakt om interne papieren van Facebook te bemachtigen die info bevatten over de zaak-Cambridge Analytica, las ik bij Tweakers. Eén daarvan was dat de Serjeant at arms van het Parlement fysiek langs ging bij deze meneer, en dat… Lees verder

Politie en FBI geven elkaar toegang tot databank met vingerafdrukken

| AE 10967 | Privacy, Regulering | 38 reacties

De Nederlandse politie krijgt toegang tot databanken met daarin vingerafdrukken van miljoenen Amerikanen, las ik bij Tweakers. Omgekeerd kan de FBI de Nederlandse strafdatabank met vingerafdrukken van 1,3 miljoen veroordeelden en verdachten benaderen. Zo moeten beide politiediensten makkelijker vingerafdrukken kunnen matchen aan bekende daders (of verdachten) uit eerdere onderzoeken. Een nogal opmerkelijke stap, die veel… Lees verder

Overheidsdienst nam duizenden gesprekken van advocaten op door softwarefout

| AE 10951 | Regulering | 16 reacties

De Nederlandse Dienst Justitiële Inrichtingen heeft drieduizend gesprekken van advocaten opgenomen door een softwarefout. Dat las ik bij Tweakers. De bron is een brief van de staatssecretaris waarin hij meldt van een incident: gesprekken van advocaten wiens nummer meerdere malen in de lijst met niet-opnemen-nummers stonden, werden wél opgenomen. Dit kwam uit nadat een advocaat… Lees verder

EU test nepwetenschappelijke leugendetector bij grenscontroles

| AE 10949 | Regulering | 16 reacties

Wat bizar: in Griekenland, Hongarije en Letland begint een test van de Europese Unie met een leugendetector bij de grenscontrole, las ik bij Tweakers. Het iBorderCtrl-systeem analyseert ‘microgezichtsuitdrukkingen’ van reizigers om te controleren of ze de waarheid vertellen. Niet alleen is deze test gebaseerd op onderzoek waarbij slechts 32 vrijwilligers betrokken waren als proefpersonen, er… Lees verder

OM moet 585 bitcoins teruggeven aan verdachte van aftappen stroom

| AE 10927 | Regulering | 18 reacties

Het Openbaar Ministerie (OM) heeft in 2014 in een strafzaak 712 bitcoins in beslag genomen, omdat de eigenaar ze met gestolen stroom zou hebben verzameld. Dat meldde Nu.nl vorige week. Dit omdat de rechter in hoger beroep bepaalde dat niet bewezen kon worden dat de bitcoins door misdrijf verkregen zijn. De verdachte had bitcoins gemined… Lees verder

Openbaar Ministerie adviseert ethisch hackers uitgebreid te loggen

| AE 10920 | Regulering | 12 reacties

Het Openbaar Ministerie adviseert mensen die op zoek gaan naar lekken in systemen een logbestand bij te houden, las ik bij Tweakers vorige week. Zo kunnen deze mensen aantonen dat ze zich aan eisen voor responsible disclosure houden en eventueel strafvervolging ontlopen. Een stap in de goede richting; het doet raar aan om mensen te… Lees verder

Hoe strafbaar is het om met nepnieuws de verkiezingen te beïnvloeden?

| AE 10915 | Regulering | 28 reacties

Uit onderzoek van het KRO-NCRV-programma Brandpunt blijkt dat Facebook Nederlandse advertenties goedkeurt die onjuiste informatie over de Provinciale Statenverkiezingen verspreiden. Dat meldde Tweakers vorige week. De advertenties bevatten onjuiste informatie, variërend van een schreeuwerige kop dat CDA-voorman Buma uit eigen gewin de huizenprijzen zou hebben opgedreven tot een zakelijk klinkende mededeling dat de stembussen ‘vandaag’… Lees verder