Mag een zoekmachine het World-Wide Web scannen op securitykwetsbaarheden?

| AE 12830 | Security, Uitingsvrijheid | 2 reacties

Een lezer vroeg me:

Ik las dat in augustus tijdens de Defcon-hackerconferentie de zoekmachine Punkspider opnieuw gelanceerd zal worden. Deze zal dan dagelijks miljoenen websites op kwetsbaarheden scannen. De resultaten zijn vervolgens via de zoekmachine te vinden, wat volgens de ontwikkelaars voor een veiliger web moet zorgen. Hoe is dat in vredesnaam legaal, laat staan ethisch verantwoord?
Het voelt inderdaad een tikje raar als je het zo leest: dan kun je dus als crimineel-in-spe even naar die zoekmachine om te kijken welke sites eenvoudig kwetsbaar zijn. Zal ik ook maar de “goedkope voordeurslotenspider” beginnen, keyPunk.darkweb?

Of het legaal is, komt echter neer op de vraag wat Punkspider precies doet met hun doorzoekactie. Het leest als een vorm van portscannen, men toetst op bekende kwetsbaarheden zoals SQL injectie of cross-site scripting.

Zo te lezen publiceert men niet in detail welke kwetsbaarheid gevonden is, alleen grofweg “deze site is kwetsbaar voor gegevensdiefstal vanwege SQL injectie, laat hier niets achter alsjeblieft”. (Ik zag al de categorie “dumpster fire” dus ik hoop dat de boodschap overal in zulke duidelijke taal gecommuniceerd wordt.)

Portscannen en onderzoeken naar kwetsbaarheden is strafbaar wanneer je het doet met de bedoeling (het “oogmerk”, juridisch gezegd) om daarna computervredebreuk te plegen, of om anderen aan te zetten dat te doen. De Punkspider-eigenaren zijn dat zeker niet zelf van plan, zij publiceren immers deze rapporten juist zodat brakke sites de beoel eindelijk eens repareren en er dus géén computervredebreuk gaat plaatsvinden.

Blijft dus over, zetten zij criminelen aan tot misbruik van de gevonden kwetsbaarheden? Dat lijkt me op het eerste gezicht niet het geval. Ik zie dus niet meteen het strafbare aan deze zoekmachine, tenzij blijkt dat men het wel héél eenvoudig maakt om met een gegeven exploit direct een inbraak uit te voeren. Daarvoor moeten we de definitieve publicatie afwachten, maar het lijkt me sterk.

Arnoud

Man aangehouden voor stiekem opnemen rechtszaak

| AE 12825 | Regulering, Uitingsvrijheid | 29 reacties

ds30 / Pixabay

Tijdens een zitting bij het Gerechtshof in Leeuwarden is dinsdagochtend een 71-jarige man uit Assen aangehouden, las ik in de Leeuwarder Courant (spiegel). Hij maakte daar heimelijk geluidsnames van een zitting, en wel ten behoeve van het slachtoffer dat thuis was. Het Hof noemt het een “unieke situatie”; de verdachte en zijn advocaat hebben allebei aangifte gedaan. Ik moet zeggen, dit voelt erg raar aan.

Een medewerker van de parketpolitie zag tijdens de hogerberoepzitting van een diefstalzaak dat een man op de publieke tribune bezig was met opnames maken op zijn iPhone. Dat is verboden onder de huisregels van de rechtbanken. De reden daarvoor is niet dat rechters heel ouderwets zijn, maar omdat kort gezegd het de waarheidsvinding niet ten goede komt.

De Raad voor de Rechtspraak publiceert regelmatig motivaties waarom zij pers of opnames niet toestaat. Een korte selectie:

  • “De rechtbank heeft aanwijzingen dat de opnames verdachtes vrijheid om open en eerlijk te verklaren zeer waarschijnlijk belemmert.”
  • “Vanwege veiligheidsrisico’s heeft de voorzitter in deze specifieke zaak het verzoek van het Openbaar Ministerie ingewilligd en daarom mogen de officieren van justitie niet in beeld worden gebracht. “
  • “Dat bezwaar honoreert de voorzitter gelet op de zorgen van de verdediging over stigmatisering of negatieve beeldvorming bij die media-aandacht.”
  • “Het verzoekschrift dat tijdens de zitting besproken wordt, gaat over het houden van een getuigenverhoor in een in veel opzichten gevoelige kwestie waarmee grote financiële en andere belangen gemoeid zijn. Het is van belang om die bespreking in alle rust te kunnen laten plaatsvinden. “
Voor mij is de kern dat het de voortgang van de rechtszaak verstoort. Als mensen weten dat ze opgenomen worden, leidt dat ze af. Misschien willen ze dan niets meer zeggen, misschien worden ze boos omdat ze zich verspreken en dat nu opgenomen is. En misschien zijn ze bang dat de opname verkeerd in de media komt zodat ze (hoewel ze onschuldig zijn) als grote crimineel afgeschilderd gaan worden.

Bij een geheime opname zou dat niet moeten spelen, je weet per definitie niet dat dat gebeurt. Maar die risico’s van misbruik en dergelijke spelen dan net zo goed, daarom is het stiekem afluisteren en opnemen van gesprekken strafbaar gesteld (art. 139a en 139b Strafrecht).

Mijn eerste gedachte was wel: hoezo is dit afluisteren, je kunt moeilijk volhouden dat je een privégesprek aan het voeren bent in een openbare rechtszitting. Maar de wet gaat verder dan alleen met een richtmicrofoon twee babbelaars op een bankje op band krijgen. Het wetsartikel is al wat ouder, bij invoering (1967) zei de minister:

[Overigens] moet in het wetsontwerp het woord „afluisteren” niet worden opgevat in de beperkte zin van: „ongemerkt of heimelijk luisteren”, zoals dit in het gewone spraakgebruik wel geschiedt. Onder „afluisteren” wordt in het wetsontwerp, evenals trouwens in wetsontwerp no. 8911, verstaan elk luisteren naar een gesprek door een buitenstaander, het „beluisteren” dus.
Ik zie wel hoe je “beluistert” door op de publieke tribune te zitten en dan een opname te maken.

Natuurlijk voelt het behoorlijk paradoxaal: een rechtszitting is openbaar, je mag van alles verslag doen achteraf dus hoezo ben je dan aan het “afluisteren” als je dat verslag niet maakt door meeschrijven maar door opnemen. Maar de kern is dus dat het opnemen de rechtszaak verstoort en daarom niet mag.

Arnoud

Mag je een elearning blijven geven als de docent ondertussen overleden is?

| AE 12533 | Informatiemaatschappij, Uitingsvrijheid | 12 reacties

Via Twitter:

HI EXCUSE ME, I just found out the the prof for this online course I’m taking died in 2019 and he’s technically still giving classes since he’s literally my prof for this course and I’m learning from lectures recorded before his passing ……….it’s a great class but WHAT
Het blijkt te gaan om een student aan Concordia University, die zijn professor mailde met een vraag naar aanleiding van een online videocollege. Als reactie kreeg hij een autoreply met diens overlijdensbericht. Dat voelt inderdaad wat gek, omdat de student al enige weken dingen bekeek, las en hoorde van deze professor. Dat is toch anders dan een boek opentrekken waarvan de hoofdauteur vijf jaar geleden van ons heengegaan is.

Het bronartikel in Slate kiest de insteek van de overwerkte UD die feitelijk het werk doet, maar de professor de eer en glorie moet laten gaan:

Tenured faculty might teach a few classes, but student work is often graded by underpaid graduate student teaching assistants or graders. At prestigious research universities, discussion sections are also led by graduate students. Many more classes are taught by part-time faculty, who are cobbling together a living, or other short-term contracted faculty, like visiting assistant professors or postdocs. Digital technologies like recorded video lectures allow for the appearance of continued traditional instruction while cutting costs.
Ik heb niet het idee dat het in Nederland ook zo werkt, en zeker in een online leergang zie je natuurlijk gewoon wie je lesgeeft. Toegegeven, je weet niet wie uiteindelijk je opdracht nakijkt of het discussieforum beheert maar over het algemeen gebeurt dat toch echt met open vizier volgens mij. En er lijkt me niets mis mee dat de professor de colleges geeft en een collega of assistent het dag-tot-dag contact met de studenten doet.

Behalve als de professor ondertussen overleden is, natuurlijk. Dan voelt het inderdaad wat raar: je bent dan videocollege aan het volgen en dat wekt toch ergens de indruk dat je deze persoon nu, hier, live in actie ziet. Ontdek je dan langs onverwachte weg (een mail dus naar de professor) dat zhij er niet meer is, dan voelt dat gek. Ergens sowieso gek van die universiteit, dat ze kennelijk de persoonspagina van de professor laten staan en ook diens emailadres blijven vermelden in het universiteitsbrede adresboek. Maar dat terzijde.

Maar mag het? Juridisch gezien liggen de rechten op de video bij de werkgever van deze professor, de universiteit dus. (Voor diens wetenschappelijk werk ligt dat in Nederland waarschijnlijk anders, maar dat terzijde.) Deze kan op grond van het auteursrecht beslissen wat ermee te doen, en in beginsel maakt het daarbij niet uit of de ‘acteur’ in het videowerk ondertussen overleden is. De regel is hetzelfde als bij films en televisieprogramma’s, ook daar is een overleden hoofdrolspeler geen bezwaar tegen heruitzending of uitgave op dvd.

Er is mogelijk een haakje voor de nabestaanden, want de zogeheten persoonlijkheidsrechten (artikel 25 Auteurswet) kunnen door een “aan de door de maker bij uiterste wilsbeschikking aangewezene” worden uitgeoefend. Dat vereist dus wel dat de professor expliciet iemand bij testament of codicil heeft aangewezen, enkel erfgenaam zijn is hiervoor niet genoeg. Dit omdat de auteursrechten niet bij de professor liggen, een beetje extra documentatie is dan wel echt handig.

Wel moet er dan natuurlijk sprake zijn van een situatie waarin die rechten worden geschonden. Enkel het herpubliceren van de video lijkt me zeker niet genoeg. Hetzelfde krijg je bij het portretrecht, dat ook na overlijden van de geportretteerde blijft bestaan (tot tien jaar na overlijden). Welk redelijk belang wordt er dan geschonden? Je beroepen op privacy en eer en goede naam van een overledene zie ik niet opgaan. Identiteitsfraude kan ik het ook niet echt noemen, tenzij je de bizarre situatie zou hebben dat een collega vanuit de mailbox van de prof gaat reageren of dat er een botje onder diens naam reacties gaat plaatsen op het forum, bijvoorbeeld.

Arnoud PS over elearning gesproken, je kunt je weer inschrijven voor mijn elearning AI in de praktijk: Compliance & Governance, we starten op 3 mei en 20 september weer.

Gordon wil anoniem reageren online onmogelijk maken, maar is dat haalbaar?

| AE 12525 | Uitingsvrijheid | 18 reacties

Zanger en entertainer Gordon is een petitie gestart waarmee hij wil zorgen dat anoniem reageren op internetfora en sociale media niet meer mogelijk is. De SBS-presentator vindt dat mensen een identiteitsbewijs moeten indienen voordat ze een account kunnen aanmaken. “Ik wil ervoor zorgen dat er jurisprudentie komt waar andere collega’s die gestalkt worden of van wie naaktfoto’s worden… Lees verder

Toezichtsraad: Facebook moet vier onterecht verwijderde berichten herstellen

| AE 12488 | Informatiemaatschappij, Uitingsvrijheid | 19 reacties

Een onafhankelijke toezichtsraad van Facebook heeft in zijn eerste vijf in behandeling genomen zaken geoordeeld dat Facebook vier keer een foute beslissing maakte door berichten van zijn sociale media te verwijderen. Dat meldde Nu.nl onlangs. Gebruikers kunnen bij de toezichtsraad aankloppen als zij vinden dat Facebook actie onderneemt die indruist tegen de vrijheid van meningsuiting en… Lees verder

Kan Twitter straffeloos Trump van haar dienst weren?

| AE 12438 | Ondernemingsvrijheid, Uitingsvrijheid | 44 reacties

Twitter heeft de ban op de account van de Amerikaanse president Trump, @realDonaldTrump, een permaban gegeven.  Dat meldde heel internet, waaronder Tweakers, afgelopen weekend. Aanleiding voor de aangescherpte handhaving op de account van de president is de bestorming van het Capitool door pro-Trump-demonstranten, op 6 januari. Voor velen riep dit vragen op, met name of… Lees verder

Is het ethisch hacken om het Twitterwachtwoord van Trump te raden?

| AE 12292 | Security, Uitingsvrijheid | 7 reacties

De Nederlandse ethische hacker Victor Gevers heeft vorige week naar eigen zeggen het Twitter-account van Donald Trump gehackt. Dat meldde Tweakers vorige week. Het wachtwoord (maga2020!) was eenvoudig te raden, zegt Gevers tegen Vrij Nederland. VN zegt ook dat er sterke aanwijzingen zijn dat Gevers achter een beruchte tweet van de president zat. Het gaf de… Lees verder

Mag je contactgegevens via WhatsApp doorgeven of is dat ook al een AVG probleem?

| AE 12287 | Privacy, Uitingsvrijheid | 20 reacties

Een lezer vroeg me: Er zijn beperkingen bij het doorgeven van het e-mailadres aan derden. Maar contactgegevens doorgeven via WhatsApp is een standaard feature. Het zijn weliswaar geen e-mailadressen, maar kan dat volgens de wet zo maar? Voor het doorgeven van e-mailadressen, 06-nummers en alle andere contactgegevens van personen (ook indien voor zakelijk contact) gelden gewoon dezelfde… Lees verder

Facebook mag pagina’s offline halen die in strijd zijn met haar eigen COVID-19 beleid.

| AE 12274 | Uitingsvrijheid | 18 reacties

Facebook mag pagina’s offline halen die in strijd zijn met haar eigen COVID-19 beleid, las ik bij Rechtspraak.nl. Dat is gek, want Youtube mocht laatst juist niet bepaalde video’s offline halen omdat ze in strijd waren met haar eigen regels. De betreffende Facebook-regels dateren uit januari. Sinds die tijd “werkt Facebook samen met wereldwijde organisaties zoals… Lees verder

Mag je WhatsApp-screenshots met anderen delen?

| AE 12238 | Privacy, Uitingsvrijheid | 26 reacties

Interessante vraag op Reddit: Een kennis stuurt vaak screenshots heen en weer van privé WhatsApp gesprekken naar andere vrienden van die kennis, waarbij niet om toestemming gevraagd wordt. Kan deze persoon hiervoor legale consequenties voor ondervinden worden jegens schending van privacy? Legaal gezien, pardon juridisch gezien maakt het niet heel veel uit met welk technisch middel… Lees verder