Politie krijgt tien nieuwe teams om cybercriminaliteit te bestrijden

| AE 9187 | Strafrecht | 47 reacties

De politie gaat tien nieuwe cyberteams oprichten om cybercriminaliteit beter te kunnen bestrijden. Dat las ik bij Nu.nl. De teams gaan uit minimaal tien rechercheurs bestaan, die al in dienst zijn bij de politie. Zij worden ondersteund door digitaal specialisten die beschikken over specifieke ICT-kennis. NRC vult aan dat de focus mede komt te liggen op jihadistische propaganda opsporen. Alleen: hoe dan?

NRC legt uit:

Sympathisanten van IS gebruiken sociale media om zieltjes te winnen. De ‘Internet Referal Unit’ van de Nationale Politie gaat actief op zoek naar hun propaganda en vraagt providers de berichten te verwijderen. Ook zal het team producenten van de propaganda helpen opsporen. Nog deze maand worden vijf gespecialiseerde politiemedewerkers geworven voor de nieuwe eenheid.

Dat ‘vragen’ intrigeert mij dan. Is dit een journalistieke vrijheid? De politie heeft immers gewoon de bevoegdheid te eisen dat strafbare berichten worden verwijderd (art. 54a Strafrecht). Wel is daarvoor een machtiging van de rechter-commissaris voor nodig, omdat het immers gaat om het inperken van iemands meningsuiting. Maar zo kan een Nederlandse provider gewoon worden gedwongen iets weg te halen dat hier strafbaar is.

Wellicht dat men het houdt bij ‘vragen’ omdat veel van deze providers of platforms in het buitenland zitten. Het is dan praktisch niet echt mogelijk dingen te gaan eisen. En dan blijft vragen over. Maar hoe effectief is dat?

Op Netkwesties wijst Peter Olsthoorn erop dat dit nog best een kluif kan worden.

… de website Netherlands-embassy.ru. Dis is een nepsite, deels gekopieerd van de echte site van ambassade in Moskou. Het Russische ministerie van Buitenlandse Zaken haalde wel een link naar de nepsite weg, maar niet de site zelf. Buitenlandse Zaken vraagt daar tevergeefs om.

En als dat al niet lukt, hoe zou het weghalen van een bericht dan wel moeten lukken?

Het alternatief is het sluiten van vele convenanten of verdragen met andere landen over wat wel of niet strafbaar is, inclusief protocol over wederzijdse bijstand. Dan zou dus de Amerikaanse FBI op verzoek van onze politie een Amerikaanse provider iets gaan verbieden omdat beide landen het strafbaar vinden. En dat wordt nog lastig; in de VS is eigenlijk geen enkele uiting strafbaar behalve het gerichte aanzetten tot geweld. Dus hoe kun je ooit zo’n convenant opstellen?

Arnoud

Jaar cel voor hacken en phishing, maar creditcardgegevens kun je niet stelen

| AE 9128 | Strafrecht | 20 reacties

Een man uit Amsterdam heeft vrijdag een celstraf van één jaar gekregen omdat hij verschillende websites heeft gehackt, e-mailadressen heeft gestolen en zich in phishing-e-mails heeft voorgedaan als een creditcardbedrijf. Dat meldde Nu.nl onlangs. Hij had ook creditcardgegevens te pakken gekregen, maar deze heeft hij niet gestolen want dat kan juridisch niet, zo blijkt uit het vonnis.

De man had tussen 2014 en 2016 via diverse phishingmails en -sites zich voorgedaan als creditcardfaciliteerder ICS om zo mensen over te halen hun logingegevens te verstrekken. Op die manier kreeg hij creditcarddata te pakken. Justitie wilde dit aanpakken door hem verduistering (onrechtmatig verwerven van een goed anders dan door diefstal) ten laste te leggen. Op zich niet ondenkbaar, want digitale goederen zoals Runescape-objecten of belminuten zijn te stelen, dus waarom creditcarddata niet?

Nou ja, omdat het verschil tussen die objecten en minuten enerzijds en creditcarddata anderzijds is dat die laatste niet “individualiseerbaar” is. Een belminuut is na een minuut op, en een virtueel zwaard kan worden afgepakt en is dan weg. Een creditcardnummer kan wel worden gekopieerd en gebruikt, maar daarmee is het nummer nog niet op.

Wél wordt hier het phishen van dergelijke gegevens gezien als oplichting. Iets dat vroeger niet kon – toen moest er zaken of geld worden afgetroggeld – maar sinds een paar jaar wel: het aftroggelen van informatie met listige kunstgrepen is ook oplichting. En oplichting is ook een ernstig misdrijf met stevige strafmaxima, dus dat is wel een billijke uitkomst. Ook het scannen en binnendringen van diverse websites (om daar de phishingsites te hosten) wordt strafbaar geacht, gewoon ouderwets computervredebreuk.

Leuk detail nog: bewijs was verkregen uit zijn laptop, die in de slaapkamer was aangetroffen bij een huiszoeking. Op de laptop had een politieagent de programma’s Sendblaster Pro, Gr3eNoX Exploit Scanner, Havij en een phishingwebsite gezien, waarna hij deze in beslag nam. Volgens de verdachte had dat niet gekund, omdat de laptop een screensaver had die de agent dan moet hebben weggeklikt. En dat zou dan onrechtmatig zijn, want bij een huiszoeking mag je niet zomaar in een computer kijken. Hoe dat precies zit met die screensaver wordt niet duidelijk, maar de rechtbank gelooft de agent dat deze de programma’s zag en herkende, waarmee de doorzoeking rechtmatig was.

En oh ja wie nog denkt dat rechtbanken technofoob zijn, moet dit vonnis sowieso even lezen.

Arnoud

De legaliteit van die “Find my phone” documentaire

| AE 9138 | Strafrecht | 6 reacties

Een lezer vroeg me:

In het filmpje laat een student nav zijn gestolen iPhone een andere smartphone stelen maar deze keer met spyware erop om een documentaire te maken over de kwestie wie de dief is, maar ook om de privacy aspecten aan de kaak te stellen.

Het filmpje (een slordige 20 minuten) is zeer het bekijken waard, al is het maar om te realiseren wat er zoal kan met zulke apparaten. De documentairemaker voorziet een Android-smartphone van een compleet onverwijderbare spyware-app waarmee hij op afstand de telefoon kan benaderen. Vervolgens laat hij deze met enige moeite stelen (wat nog niet meeviel trouwens) waarna hij vastlegt wat er allemaal gebeurt met de telefoon.

Uitlokking van diefstal? Meh. Volgens de Hoge Raad is dat pas een ding als je iemand brengt “tot andere handelingen dan die waarop zijn opzet reeds tevoren was gericht.” Enkel een waardevol object onbeheerd achterlaten daar waar vaak gestolen wordt, is geen uitlokking. Dus nee, dit is totaal geen issue.

Met de geïnstalleerde spyware kan het toestel precies worden gevolgd, kunnen foto’s en video’s worden gemaakt en kan de microfoon worden uitgeluisterd. Zo kon men bijvoorbeeld ontdekken dat de telefoon een andere simkaart kreeg, en kon vervolgens alles worden geregistreerd dat vervolgens werd gedaan.

In hoeverre mag dat nou, al dat meekijken. Er is geen wet die dit keihard verbiedt (of toestaat), zoals wel vaker in het ICT- of internetrecht moet je een belangenafweging maken. Informatie achterhalen over je eigen telefoon valt onder de informatievrijheid en dat is een grondrecht. Maar de privacy is óók een grondrecht, zelfs tot op zekere hoogte voor de dader van een misdrijf. De schandpaal is immers afgeschaft, heet dat dan onder beschaafde juristen.

Voor mij komt uiteindelijk die afweging in het voordeel van de documentairemaker uit, vooral omdat hij een en ander netjes in beeld brengt en er geen heksenjacht van maakt. Hij maakt een punt – je kunt alles achterhalen als je iemands telefoon beheerst – en is er niet op uit die dader als persoon te beschuldigen of te veroordelen. En het punt wordt mooi in beeld gebracht, met een minimale privacyschending.

En wat nu als de telefoon ondertussen tweedehands is doorverkocht? Dan zit je dus bij een mogelijk onschuldige derde te kijken. Dit is een beetje dezelfde discussie waarom je je eigen gestolen fiets niet terug mag pakken als je die ergens ziet staan. Het komt neer op de vraag hoe groot de kans is dat de huidige houder van dat ding te goeder trouw is, en hoe zwaar je dat belang wilt laten wegen tegen het eigendomsbelang van de bestolen partij. Hier zie ik ook dat niet: de maker laat overtuigend zien dat het echt de dief is die de telefoon verderop gebruikt.

Alles bij elkaar zie ik dus niets strafbaars aan het maken en publiceren van deze documentaire. (En wie aan de Wbp denkt: de belangenafweging uit art. 8 sub f valt uit in het voordeel van de documentairemaker, mede gezien de uitingsvrijheid die als legitiem belang heeft te gelden.)

Het zou anders worden als iemand het zou houden bij een data-dump an sich, of de data gebruikt om de dader te lokaliseren en dat publiceert met een “Pak hem” bordje erbij.

Arnoud

De autodealer zette mijn naaktfoto’s op een datingsite!

| AE 9121 | Strafrecht | 13 reacties

Een stel uit Texas klaagt het bedrijf Toyota aan omdat een van haar medewerkers naaktfoto’s van hun telefoon had geplukt en geupload naar een swingers-website, las ik bij The Register. Ze hadden de telefoon afgegeven omdat daar een financieringsovereenkomst op getoond werd, en die moest even achter getoond worden aan de directeur. Maar bij thuiskomst… Lees verder

Waarom is fakenieuws eigenlijk niet gewoon strafbaar?

| AE 9102 | Meningsuiting, Strafrecht | 31 reacties

Een lezer vroeg me: Sinds de verkiezing van Trump is er veel te doen over fakenieuws en hoe dat geholpen zou hebben bij de verkiezing. Maar waarom wordt er niet opgetreden tegen al dat nepnieuws? Het is toch valsheid in geschrifte, compleet verzonnen ‘nieuws’ uitbrengen alsof het serieus en waar is? Ik vrees dat dit… Lees verder

Is een snapchatvideo openbaar of privé?

| AE 9095 | Privacy, Strafrecht | 13 reacties

In juli 2014 zouden diefstallen zijn gepleegd en in het geheim filmopnamen zijn gemaakt tijdens twee nachtelijke feesten in het huis van aangevers die op Snapchat zouden zijn geplaatst. Dat meldde de rechtbank Noord-Holland vorige week vrijdag. Een van de verdachten werd veroordeeld voor het openbaar maken van een stiekem gemaakte video. Maar is Snapchat… Lees verder

Hacker achter Spamhaus-cyberaanval krijgt half jaar voorwaardelijk

| AE 9073 | Strafrecht | 1 reactie

Sven Olaf K., de hacker die in 2013 verantwoordelijk was voor de grootste cyberaanval tot dan toe, krijgt een voorwaardelijke celstraf van een half jaar. Dat meldde Nu.nl gisteren. In 2013 ging het internet bijna stuk vanwege een ddos aanval op Spamhaus, een bekende dienst die spammerszwartelijsten publiceert. De timing was opmerkelijk genoeg vlak nadat… Lees verder

Is scrapen van een website computervredebreuk?

| AE 9040 | Strafrecht, Zoekmachines | 17 reacties

Een lezer vroeg me: Is scrapen van een website computervredebreuk? Er wordt immers iets gedaan met het systeem waar geen toestemming voor is. Bij scrapen wordt kort gezegd alle informatie van een website opgehaald met een geautomatiseerd proces. Vaak is dat bedoeld voor metazoekmachines zoals prijsvergelijkers, die overal de prijs vandaan halen om de beste… Lees verder

Skype krijgt boete in België om weigeren medewerking in politieonderzoek

| AE 9027 | Strafrecht | 17 reacties

Microsoft-dochter Skype heeft in België een boete van 30.000 euro gekregen, omdat de dienst geen informatie over gesprekken vrij kon geven in een politieonderzoek. Dat meldde Nu.nl vorige week. De Belgische autoriteiten wilden toegang tot Skype-gesprekken, maar volgens het bedrijf waren die technisch niet te verstrekken. Bovendien zou de Belgische justitie geen rechtsmacht hebben omdat… Lees verder