Moet ik aangifte doen van computervredebreuk tijdens de les?

| AE 10567 | Hacken, Strafrecht | 24 reacties

Een lezer vroeg me:

Mijn docent voor het vak IT Security gaf net aan hoe makkelijk het is onbeveiligde PHPMyAdmin omgevingen te vinden met een Google-zoekopdracht en daar dan op in te loggen. We kregen zelfs een live demonstratie. Voor zover ik weet, is dit computervredebreuk en dat is een ernstig misdrijf. Ben ik nu verplicht aangifte te doen?

Het was inderdaad bepaalt niet handig van die docent om in een lesomgeving een demonstratie te geven van hoe makkelijk het is om slecht beveiligde systemen van derden te vinden. Natuurlijk is het relevant voor een vak als IT security om te melden dat dingen vaak misgaan, maar daarvoor hoef je niet te laten zien hoe je dit exact nagaat bij derden.

Echt problematisch is zo’n live demonstratie. (Ik neem maar aan dat dit geen eigen server was die als demonstratie-object werd gebruikt.) Want ja, het is strafbaar als computervredebreuk om binnen te dringen in een computersysteem van een derde. Of daarbij een beveiliging wordt doorbroken of een security zwakheid wordt geëxploiteerd doet er in principe niet toe. Zodra je weet of moet weten dat je daar niet mag zijn in dat systeem, is sprake van een strafbaar feit.

Iedereen is bevoegd om aangifte te doen van een strafbaar feit wanneer hij daar kennis van heeft (art. 161 Wetboek van Strafvordering). Als student bij dat vak kun je dus als je dat wilt naar de politie en melden dat dit is gebeurd. Persoonlijk zou ik eerder naar de decaan of opleidingsdirecteur stappen, ik denk dat dat meer kans maakt om tot een gedragsaanpassing te komen.

Verplicht is het niet. De wet (artikel 160 Strafvordering) noemt een aantal misdrijven waarbij aangifte verplicht is, maar het gaat dan eigenlijk altijd over zeer ernstige misdrijven waarbij mensenlevens in gevaar komen, zoals moord en doodslag, verkrachting en ontvoering. Computervredebreuk en aanverwante misdrijven (zoals ddos aanvallen) horen daar niet bij.

Arnoud

Rechter staat ontsleutelde berichten van pgp-smartphones toe als bewijs

| AE 10547 | Strafrecht | 14 reacties

De rechtbank in Amsterdam heeft een crimineel veroordeeld mede op basis van informatie die werd verkregen door het ontsleutelen van een grote hoeveelheid berichten die via pgp-telefoons werden verstuurd. Dat meldde Tweakers vorige week. Uit het ontsleutelde berichtenverkeer blijkt hoe de verdachte een sturende rol had bij een liquidatiepoging en hoe de schutters aan hem verantwoording moesten afleggen toen die poging mislukte. Het is voor zover ik weet de eerste keer dat ontsleuteld PGP-verkeer als bewijs is gebruikt in een strafzaak.

De uitspraak is een uitvloeisel uit de Ennetcom-zaak uit 2016. Ennetcom is een Nederlands bedrijf dat met PGP (Pretty Good Privacy) beveiligde BlackBerry-telefoons aanbood. Hiermee kunnen gebruikers in principe onkraakbare e-mails en dergelijke berichten sturen. Deze systemen gebruiken servers in Canada. Na een inval bij het bedrijf kreeg men de Canadese rechter zo ver beslag op die servers en bijbehorende data te leggen, om zo deze inhoud te kunnen gebruiken voor forensisch onderzoek in strafzaken waarbij verdachten deze telefoons gebruikten.

Dat was bijzonder prettig voor Justitie, want die servers bevatten cruciale informatie over sleutelmanagement waarmee het ineens heel eenvoudig werd om het theoretisch haast onkraakbare PGP te verwijderen van berichten. Kort gezegd, die informatie helpt het aantal mogelijke sleutels te reduceren tot enkele honderdduizenden per bericht, iets dat een beetje computer in de lunchpauze kan nalopen. De inhoud van die berichten is dan ineens beschikbaar in een strafzaak.

De Canadese rechter wees dat toe, maar beperkte de toegang tot specifieke berichten voor specifieke strafzaken om te voorkomen dat de Nederlandse autoriteiten een ‘fishing expedition’ zouden gaan uitvoeren in deze grote hoeveelheid data. Per verzoek zou een Nederlandse rechter een bevel moeten afgeven. Dat was nog even ingewikkeld, want het Nederlands recht kent het concept van een court order eigenlijk helemaal niet. Bij ons toetst de rechter-commissaris bevelen van de officier van justitie, dat is een andere manier van werken. Uiteindelijk kwam men uit bij de mogelijkheid van een bevel onder het Wetboek van Strafvordering tot toegang tot opgeslagen data bij een provider (artikel 126ng), dat door de rechter-commissaris moet worden goedgekeurd. Dit bleek genoeg voor de Canadese rechter.

In deze zaak werden ook een aantal PGP berichten gevonden in het opsporingstraject, die met de Canadese informatie konden worden ontsleuteld. Dat bleek een cruciale stap: de berichten lieten zien welke belangrijke rol de verdachte had in de onderzochte liquidatiepoging.

Het bezwaar van de verdediging betrof de manier waarop deze berichten te pakken waren gekregen. Dat artikel 126ng zou de verkeerde grondslag zijn geweest, er is op de verkeerde manier gewerkt en er zou te weinig toezicht zijn geweest vanuit de rechter-commissaris. En nog veel meer, zo veel dat de rechtbank korzelig opmerkt “dat het niet eenvoudig is geweest tot een begrijpelijke samenvatting van de verschillende onderdelen van het door [de advocaat] gevoerde verweer te komen.” Ik ga dat zelf dan ook niet doen, vooral omdat de rechtbank héél snel klaar is met de analyse:

De gekozen constructie biedt voldoende waarborgen om voor zoveel mogelijk tegemoet te komen aan de privacy-belangen van de overige Ennetcom-gebruikers. Naar het oordeel van de rechtbank is dan ook sprake van een rechtmatige constructie om te beoordelen of binnen het onderzoek Tandem toegang verleend kan worden tot de Ennetcom?data.

Dat is voor de juridische theorie een tikje jammer, want nu weet je niet waar de grenzen liggen. Maar ik kan zo snel geen inhoudelijk tegenargument bedenken. Die data is legaal in Canada door de politie aldaar in beslag genomen, en wordt onder toeziend oog van twéé gerechtelijke instanties vrijgegeven conform specifieke regels waardoor er niet kan worden gegrasduind. Ook hier wordt er met een specifiek protocol op verder gewerkt.

Een terecht punt van de verdediging was wel dat er tussen de verkregen berichten communicatie van en naar de advocaat aanwezig was. Dat mag natuurlijk niet, dergelijke communicatie is beschermd en mag niet onder ogen van de politie komen.

Probleem was wel dat in deze brondata die communicatie niet evident als zodanig te herkennen is. Er waren geen zakelijke mailadressen van de advocaat gebruikt of andere identifiers waarmee je dit vooraf weg kon filteren. Er was wel een communicatiepartij die als “adv” bekend stond, maar moet je daaruit concluderen dat je te maken hebt met een Nederlandse advocaat wiens communicatie vertrouwelijk moet blijven? De rechtbank vindt dat te ver gaan.

Ook als aangenomen wordt dat deze ‘adv’ een advocaat is, betekent dat niet dat deze berichten niet in het dossier mochten worden gevoegd. Onder omstandigheden, bijvoorbeeld als moedwillig slordig met de inhoud van de berichten wordt omgesprongen door deze zonder restricties uit handen te geven, bestaat daartegen geen bezwaar. Met betrekking tot de berichten van ‘adv’ die in het dossier zitten, geldt dat die tussen twee onbekende PGP-gebruikers zijn doorgezonden, zonder dat daarbij een beperking is aangebracht. Ten aanzien van deze berichten is geen sprake van een vormverzuim.

Na het beslag op de Canadese server en data heeft de politie een bericht uitgestuurd waarin staat dat verschoningsgerechtigden (zoals advocaten) zich konden melden, waarna hun berichten als geheim zouden worden gemarkeerd. Klinkt netjes, nietwaar? Maar geen advocaat die reageerde – terecht, want dan onthul je immers dat je via dat netwerk communicatie met je cliënt had en dat suggereert dat die cliënt misschien maar eens onderzocht moest worden.

Dit alles levert echter geen onherstelbaar vormverzuim op. Ik zou zelf ook niet weten wat je méér had moeten doen als OM om uit te sluiten dat er advocaatcommunicatie in zo’n bestand zit. De berichten werden nu echter eruit gehaald door een niet bij de zaak betrokken officier.

Wél een vormverzuim deed zich voor bij een aantal notities (ik denk conceptberichten) die begonnen met “Geachte Mr Inez Weski” maar nooit waren verzonden naar deze advocaat. Hoewel je strikt gesproken dan niet spreekt van communicatie met een advocaat, valt ook zo’n concept onder de geheimhouding voor advocaten. Dit bericht was evident voor een advocaat bedoeld en had dus verwijderd moeten zijn. Dat vormverzuim is ernstig: die berichten hadden nooit in het dossier moeten zitten, en moeten dus verwijderd worden. Bewijs dat daaruit afgeleid is, wordt daarmee uitgesloten.

Arnoud

Games met verhandelbare lootboxes zijn onwettig

| AE 10545 | Strafrecht, Webwinkels | 32 reacties

De Nederlandse Kansspelautoriteit heeft tien populaire games met lootboxes onderzocht en stelt dat vier daarvan de gokwet overtreden, las ik. De namen van de games worden niet genoemd, maar volgens de NOS zou het gaan om de zeer populaire spellen Fifa18, Dota2, PubG en Rocket League. De bedrijven krijgen acht weken de tijd hun games aan te passen op straffe van een boete. Dat zou een ingrijpende verandering zijn voor de spelaanbieders, omdat lootboxes veel geld opbrengen.

Lootboxes zijn los te kopen elementen in een spel (vaak vormgegeven als een schatkist of iets dergelijks, vandaar de naam) waarbij je op voorhand niet weet wat de aankoop je op gaat leveren. Vaak is de game op dat punt zo vormgegeven dat het kopen zeer aantrekkelijk lijkt. Lootboxes liggen daarmee al een tijdje onder vuur, en vanwege de factor kans bij wat je krijgt, verbaasde het me dan ook niet dat de Kansspelautoriteit op onderzoek uit ging.

Van een kansspel is sprake wanneer

de aanwijzing der winnaars geschiedt door enige kansbepaling waarop de deelnemers in het algemeen geen overwegende invloed kunnen uitoefenen

Die definitie past prima bij lootboxes, maar ook bij bijvoorbeeld een zakje voetbalplaatjes. Daarom had ik enige twijfel hoe dit nu precies uit moest pakken. De KSA voegt echter in haar onderzoek een extra criterium toe dat verduidelijkt waarom de lootbox-inhoud wél en een voetbalplaatjeszakje géén kansspel is: je moet een prijs winnen bij een kansspel, en dat betekent iets van waarde. En waarde krijgt het omdat het verhandelbaar is, omdat er een markt is.

Voetbalplaatjes worden natuurlijk wel geruild, maar om nou echt te spreken van marktplaatsen en betaalde transacties nee. Terwijl er voor lootbox-inhoud wel degelijk dergelijke marktplaatsen zijn. Vaak weliswaar buiten de eigenlijke game om, maar toch. Dat geeft die inhoud een economische waarde en daarmee is het verstrekken van die inhoud via de lootbox-constructie een kansspel.

Sommige spelaanbieders verbieden de handel in in-game objecten. Dat is echter niet genoeg. Het gaat er onder de wet niet om of je van de spelaanbieder mág handelen in die objecten, maar of er daadwerkelijk en legitiem gehandeld wórdt in die objecten. (Anders zou je als gokaanbieder gewoon in je algemene voorwaarden zetten dat gewonnen prijzen niet tweedehands doorverkocht mogen worden, om zo de Wet op de kansspelen te omzeilen.) En het is legitiem omdat dergelijke objecten juridisch gezien in eigendom overgedragen zijn, analoog aan de digitale aanschaf die je bij een online koop van spellen en dergelijke goederen doet. Dan is het betekenisloos de handel daarin in je voorwaarden te verbieden.

Met deze uitspraak loopt Nederland voorop in de aanpak van de controversiële lootboxes, maar het zou me verbazen als in andere landen er wezenlijk andere uitspraken volgen.

Arnoud

Licentiecodes meenemen van je werk is geen diefstal

| AE 10503 | Arbeidsrecht, Software, Strafrecht | 18 reacties

Een licentiecode meenemen van je werk als je ontslag neemt, is geen diefstal of heling. Dat vonniste de rechtbank Den Haag onlangs. De verdachte in deze strafzaak had ontslag genomen en wilde kennelijk met die licentiecode goede sier maken bij de nieuwe werkgever, iets dat de oude werkgever zó ernstig vond dat men aangifte deed,… Lees verder

‘Amerikaanse politie ontgrendelt iPhones met vingers overledenen’

| AE 10476 | Strafrecht | 13 reacties

Politiediensten in de VS zouden regelmatig iPhones met de Touch ID-beveiliging ontgrendelen, door de vinger van overledenen op de vingerafdrukscanner te houden. Dat meldde Tweakers vorige week. De reden erachter zou zijn dat men zo een stuk goedkoper die telefoon kan ontgrendelen, een forensisch specialist is duur en Apple werkt zelf niet mee zonder gerechtelijk… Lees verder

Mag ik onder de Sleepwet onthullen hoe ik door de AIVD gehackt werd?

| AE 10463 | Strafrecht | 21 reacties

Een lezer vroeg me: Ietwat hypothetisch, maar stel de AIVD, politie of een ander overheidsorgaan hackt mij (hallo aluhoedje!) en ik ontdek dat, verzamel de technische details (manier hoe ze zijn binnen gekomen) en deel dit op een blog. Dan valt te argumenteren dat ik de werkwijze van de overheid onthul en daarmee zelfs staatsgeheime… Lees verder

Smartphone in autohouder bedienen tijdens het rijden mag wel

| AE 10442 | Strafrecht | 22 reacties

Het gerechtshof in Leeuwarden heeft besloten dat het bedienen van een smartphone die in een houder is geplaatst niet gelijkstaat aan het vasthouden van een telefoon. Vorig jaar augustus bepaalde de rechtbank nog dat dit een overtreding is van de Wegenverkeerswet, die het tijdens het rijden vasthouden van een telefoon verbiedt. De rechtbank oordeelde dat… Lees verder

Mag een site je laten zien of je gehackt bent?

| AE 10428 | Strafrecht | 7 reacties

Een lezer vroeg me: Vorige week zette beveiligingsonderzoeker Troy Hunt meer dan 500 miljoen gelekte wachtwoorden online. Met zijn zoekmachine kun je in bijna 4,9 miljard gestolen records kijken of je credentials ooit bij een website zijn gestolen. Maar is dit wel legaal? Hij heeft nu immers een gigantische hoeveelheid gestolen gegevens in zijn bezit…. Lees verder

AIVD en MIVD maken rechtmatig gebruik van persoonsgegevens in bulkdownloads

| AE 10401 | Strafrecht | 25 reacties

De inlichtingendiensten AIVD en MIVD gaan “rechtmatig” om met datasets met persoonsgegevens die online worden aangeboden. Dat las ik vorige week bij Nu.nl. Deze conclusie volgt uit het rapport 55 over het verwerven van op internet aangeboden bulkdatasets van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten. Dat “online aangeboden” moet je met aanhalingstekens… Lees verder