Internetrecht door Arnoud Engelfriet
About Security
Twee Amerikaanse beveiligingsexperts hebben een nieuwe website gelanceerd die via stripverhalen de eindgebruiker op een toegankelijke manier de gevaren van het web uitlegt, meldt Security.nl.
Ze zijn meer informatief dan grappig, maar voor sommige mensen vast beter dan een platte tekst.
.
Arnoud
Het is een oude truc: bel een paar pizzabakkers en laat ze allemaal een paar dure pizza’s bezorgen bij de buurman. Tegenwoordig werkt die truc meestal niet meer, maar op internet kan het vaak nog wel. Als een site de mogelijkheid heeft om per acceptgiro te betalen, dan kun je in naam van een ander producten bestellen en laten bezorgen, zodat hij met de rompslomp zit. En als hij niet uitkijkt, met een incassobureau ook.
Die buurman riep destijds gewoon heel hard dat hij niks besteld had, waarna de bezorgers mopperend weggingen. Met de pizza’s uiteraard. Alleen, als het gaat om een ongevraagde toezending via internet, dan hebben we een bijzondere wettelijke regeling: die mag je houden en je hoeft niets te betalen.
Een maas in de wet? Je kunt tenslotte op die manier iets bestellen, en vervolgens de incasso afpoeieren door te zeggen dat je niets besteld hebt.
Even terug naar de basis. De winkel zal zeggen dat er toch echt een overeenkomst is gesloten en dat hij heeft geleverd. Dus betalen graag. De ontvanger zal zeggen dat hij niets besteld heeft en dus ook niet hoeft te betalen. De bewijslast ligt dan in eerste instantie bij de winkel: die stelt dat er een overeenkomst is, en dat moet hij dan maar bewijzen. Hij heeft dan een ingevuld webformulier, maar omdat hij met een acceptgiro werkte, is dat erg mager als bewijs dat de ontvanger ook werkelijk dat formulier heeft ingevuld.
Lukt de winkel dat toch, dan moet de ontvanger bewijzen dat hij niet degene was die het formulier heeft ingevuld. Dat kan ook lastig zijn natuurlijk. Is hij onder een ander account al klant bij die winkel, dan kan dat een aardig begin zijn voor zo’n bewijs.
Kan de winkel niet bewijzen dat er een overeenkomst is, dan is er dus geen overeenkomst.
In beide gevallen zal de winkel vervolgens stellen dat hij iets geleverd heeft zonder geldige reden, en dan kan hij dat terugeisen. Onverschuldigd betaald, noemen juristen dat. Artikel 6:203 BW. En daar heeft de ontvanger dus dat artikel 7:7 van het Burgerlijk Wetboek als tegenargument. Het was een niet door hem bestelde zaak (want er was geen overeenkomst), met het verzoek tot betaling van een prijs.
Wat nu?
In het recht geldt een algemene regel: speciale wet gaat boven algemene wet. Hier hebben we een algemene wet die zegt “terug als onverschuldigd betaald”, en een specifieke wet over het mogen houden van toegezonden zaken met een verzoek tot betalen. Die specifieke wet zou dan moeten winnen.
Bovendien is de bedoeling van die specifieke wet om de consument te beschermen tegen zomaar toegezonden artikelen. Het is moeilijk om het verschil te zien tussen een agressieve verkoopactie en een aflevering op grond van een door een grapjas aangegane bestelling. Dus ook daarom zou die specifieke wet de consument moeten beschermen in dit geval, zodat hij het artikel niet terug hoeft te geven.
Een slimme webwinkel laat de klant dus eerst betalen. Dan speelt deze hele discussie niet. De winkel heeft zijn geld, en de ontvanger van het product is óf blij met het bestelde, óf hij kiepert het in de vuilnisbak. Maar dat is niet meer de zorg van de winkel.
Arnoud
Security.NL biedt antwoord op vragen over beveiliging. Een goed initiatief!
Regelmatig ontvangen wij van onze lezers vragen over informatiebeveiliging, privacy of gewoon simpelweg hoe je je computer veilig en schoon kunt houden. Vragen op elk niveau, waar iedereen weleens mee te maken krijgt. Security.NL is daarom een nieuw onderdeel op de website gestart waarbij we die vragen, hoe laagdrempelig of technisch ze ook zijn, door een expert laten beantwoorden.
De eerste vraag is gelijk een leuke: ik ben besmet met een virus, wat nu?
Het antwoord biedt een goed overzicht over hoe om te gaan met virussen, Trojans en virusscanners.
Arnoud
Weet u nog, de cyberoorlog in Estland? In mei van dit jaar werden verschillende websites uit Estland, met name overheidssites, bestookt met verstikkingsaanvallen (DDoS-aanvallen). Dat ging zo ver dat Estland overwoog de NAVO er bij te halen voor een militaire actie tegen Rusland, de beweerdelijke dader. Er waren Russische computers bij de aanval betrokken, maar daaruit kun je nog niet concluderen dat het land er dus zelf achter zit. Ook Rusland heeft last van zombie-PC’s.
Nu, een paar maanden later, heeft Kevin Poulsen een uitgebreid artikel geschreven over wat er nu werkelijk gebeurde, en vooral hoe er op werd gereageerd.
Via Bruce Schneier.
Arnoud
Is dit slim of zie ik iets over het hoofd?
Al die sites die eisen dat je een naam en wachtwoord kiest, zijn eigenlijk heel onveilig. Vrijwel iedereen gebruikt tegenwoordig zijn e-mailadres als gebruikersnaam, en vaak heb je niet eens meer een aparte gebruikersnaam. De veiligheid komt dan volledig te liggen op het wachtwoord. Zo hoort het ook, alleen als mensen zelf wachtwoorden mogen kiezen, kiezen ze vaak hele onveilige.
Nu kwam ik van het weekend dit voorstel tegen: schaf gebruikersnamen af, en verzin voor iedereen die zich registreert, een lange, makkelijk te onthouden maar moeilijk te raden zin (een passphrase):
- A user should enter only his password. Login is not needed for this scheme. Certainly, a password should be unique for each user.
<li>The password is not chosen by user, but generated by the program. There is nothing new here: passwords are often generated by software using secure random number generators.</li>The password is a random sentence. Raskin proposes to put together two random adjectives and one noun from a large dictionary (e.g., about 10 000 words):
old free papaya
exclusive malformed seal
savoury manlike oracle<li>User can choose to use another type of password. As Raskin says, you can give user a choice from five methods of generating easy-to-remember passwords. I would also add that you can use Koremutake algorithm (passwords like “habakysomagri†or “gafevipromystuâ€), a random sentence generator (â€old free papaya†or “exclusive malformed sealâ€) and several other generators.</li>
Wel een beetje opletten natuurlijk wat je genereert, want “gemutileerde zeehond” is dan misschien makkelijk te onthouden maar niet voor iedereen een even fijn wachtwoord.
Arnoud
Op Techzine las ik over de risico’s van online betalen zoals gemeten in de ICT Barometer van Ernst & Young:
Bijna de helft van de ondervraagde bedrijven zegt regelmatig te kampen te hebben met criminaliteit op het internet. Dit geldt in het bijzonder voor de middel- en kleinbedrijven. Betalen met een creditcard is in de ogen van twee op de vijf ondervraagden het meest riskant. Een op de vijf ondervraagden vindt betalen met het betalingssysteem iDeal gevaarlijk.
Nu kleven er zeker risico’s aan creditcard-betalingen, maar die zijn grotendeels hetzelfde als bij offline betalen met je creditcard: je geeft een nummer aan een bedrijf, dat dan belooft niet meer af te boeken dan je moet betalen.
En nee, er liggen echt geen hackers op de loer bij uw ADSL-verbinding in de hoop dat ze die zestien cijfers plus vervaldatum en CVV langs zien komen. Waarom zouden ze? Gewoon de database bij de winkel hacken is veel efficiënter. In tegenstelling tot uw verbinding met die winkel is die database zelden versleuteld en vaak nog via internet toegankelijk ook.
En nog een opmerking uit het -niet linkbare(!)- persbericht, van Jacob Verschuur, directeur ICT Leadership bij Ernst & Young:
Op de meeste plekken ter wereld kun je zelf aangeven wanneer je de bestelde online goederen geleverd wilt hebben, terwijl dat hier nog steeds tussen de traditionele kantooruren is. We lopen in Nederland ver achter op dit gebied en dat kan gezien de snelheid waarmee online winkelen zich ontwikkelt echt niet meer.
Hear hear. En het zou al heel wat zijn als zo’n leverancier kan zeggen wanneer hij er is. En dan bedoel ik niet “tussen tien en vier uur” maar een tijdstip met een marge van laten we zeggen een half uur.
Arnoud
Een erg lastige vorm van computercriminaliteit is social engineering: niet een computer hacken maar de persoon er voor. Je voordoen als je slachtoffer, dat helaas zijn wachtwoord is vergeten (“en mijn gebruikersnaam is er-o-o-tee”) en zielig doen tot de helpdesk het wachtwoord verandert. Meer voorbeelden bij Microsoft en Securityfocus.
Daar heb je natuurlijk wel de nodige informatie over je slachtoffer bij nodig. Vroeger moest je dan diens vuilnisbak plunderen in de hoop een brief of bankafschrift te vinden. Tegenwoordig is dat een stuk makkelijker: bekijk iemands Hyves-profiel, blader door zijn Linkedin-contactenlijst of lees zijn weblog.
In Emerce een waarschuwend artikel over de risico’s van zulke Web 2.0-sites. Men citeert XS4All:
Met Web 2.0-toepassingen wordt van mensen verwacht dat ze informatie géven. Dat is wezenlijk anders dan de aard van het web een paar jaar geleden. Toen was internet er vooral om informatie tót je te nemen. Hoe meer je geeft, hoe meer risico je loopt. We vinden het verstandig om internetgebruikers erop te wijzen dat dat hun eigen risico is.
XS4All biedt ook een veiligheidstraining waar deze aspecten aan de orde komen.
Je voordoen als iemand anders kan computervredebreuk zijn. Het probleem is natuurlijk dat dat bijzonder lastig te bewijzen is als iemand jou je wachtwoord weet te ontfutselen. Dat laat geen sporen na die een echte ‘hack’ wel nalaat.
UPDATE: (6 september) ook Corcom heeft er een stukje over.
Arnoud
Veroordeeld tot Windows. Security.NL meldt over een man die vijf maanden gevangenisstraf plus huisarrest kreeg wegens het verspreiden van Star Wars III. Bij zijn huisarrest hoort ook de plicht om monitoring software op zijn PC te laten draaien, zodat ook zijn gangen op internet kunnen worden nagegaan. Ok, dat kan, maar nu komt het: die monitoring-software werkt alleen onder Windows, dus wordt deze Linux-gebruiker nu verplicht om van besturingssysteem te wisselen.
McCausland verklaart:
“Het gaat er niet om dat ik gemonitord wordt, maar het feit dat ik mijn leven moet herstructureren, en dat ik verplicht wordt om software aan te schaffen terwijl ik nu geen werk heb, en ook moeilijk zal krijgen vanwege het strafblad dat ze me hebben gegeven.”Ik ben er nog even niet uit of dit verdedigbaar is als redelijk onderdeel van de maatregel. Op Tweakers merkte nog iemand op “Kan me voorstellen dat als je een enkelbandje omkrijgt dat dat ook niet altijd bij je favoriete broek kleurt.”
Hoe belangrijk is het om op internet te kunnen dan wel op andere manieren van je computer gebruik te kunnen maken?
Wat gebeurt er eigenlijk als je te dik bent voor een enkelband?
Arnoud
Leveranciers van beveiligingssoftware zijn huiverig voor het dragen van aansprakelijkheid voor de werking van hun producten, meldt de
Automatisering Gids. Een lastig dilemma. Aan de ene kant is het vrij normaal dat leveranciers van een product of dienst aansprakelijk gesteld kunnen worden bij niet of onvoldoende kwaliteit. Aan de andere kant is beveiliging onvergelijkbaar met een doos appels of een ritje met een taxi. Hoe ver kun je gaan?
Een woordvoerder van Sophos denkt dat het vrijwel onmogelijk is vast te stellen wie er eigenlijk verantwoordelijk is voor een beveiligingsprobleem. Ook de McAfee-woordvoerder denkt in die richting. “Een beveiligingsleverancier zorgt voor de gereedschappen, maar het is aan het bedrijf ze goed te gebruiken.”
Aansprakelijkheid bij computerbeveiliging is iets waar guru Bruce Schneier al lang voor pleit trouwens.
Arnoud
De Amerikaanse tiener George Hotz is er in geslaagd Apple’s iPhone te ontdoen van simlock van Apple’s zakenpartner AT&T, las ik op SYNC.nl. En op de BBC. En bij Tweakers. En Engadget. Ja, ik lees veel.
Wat ik ook las bij Tweakers:
Het is nog onduidelijk in hoeverre het omzeilen van de technische beveiliging van de iPhone juridisch aangepakt kan worden. De Amerikaanse DMCA-wetgeving staat het verwijderen van simlocks in elk geval wel toe, maar heel wat landen hebben inmiddels juridische maatregelen tegen het omzeilen van beveiligingssystemen genomen.
Maar ook in Nederland is het verwijderen van een simlock legaal. Dat is toch echt duidelijk.
Je kunt het kraken van een beveiliging op verschillende manieren juridisch proberen aan te pakken. Ten eerste hebben we artikel 29a Auteurswet, de tegenhanger van de DMCA-regeling waar Tweakers aan refereert. Dat artikel zegt dat je een beveiliging op een stuk software (of ander auteursrechtelijk beschermd werk) niet mag kraken of omzeilen. Maar:
Een simlock en een serviceproviderlock kunnen niet worden aangemerkt als auteursrechtelijk beschermd werk.
Dan is kraken dus legaal. Natuurlijk is het kraken van andermans computersysteem computervredebreuk, maar als je je eigen systeem kraakt, of met toestemming bezig bent, is er niets aan de hand. En een telefoon unlocken gebeurt toch echt met toestemming van de koper van het toestel.
Arnoud