Wacht even, die Telegram takedown was een telefoon takeover

| AE 12976 | Regulering | 5 reacties

ernestoeslava / Pixabay

Vorige week blogde ik dat het Openbaar Ministerie twee kanalen van complotdenkers op chatapp Telegram had laten blokkeren. Dat leek een inzet van het logische bevel te zijn (art. 54a Strafrecht) waarmee een officier van Justitie een tussenpersoon bepaalde content offline kan laten halen – na machtiging rechter-commissaris. Maar dat bevreemdde wel, want Telegram zit niet in Nederland en staat niet bekend om zijn inschikkelijkheid naar buitenlandse autoriteiten. En nu is uitgekomen dat het gewoon een handig gebruik van de telefoon van een verdachte was.

Zoals in het oorspronkelijke bericht stond:

Afgelopen week werd er aangekondigd dat op een nieuw kanaal video’s zouden worden geplaatst met bedreigende, opruiende en lasterlijke inhoud. Daarop heeft het OM besloten om maatregelen te nemen.
Het persbericht ging daar iets nader op in:
De rechter-commissaris heeft vrijdag toestemming gegeven om de kanalen af te sluiten, zowel Bataafse Republiek en Bataafse Nieuws. Daarop heeft de politie de kanalen afgesloten, leden kunnen geen nieuwe berichten meer plaatsen.
Die ene zin had ik denk ik even gemist, als je Telegram een bevel geeft dan zeg je niet dat “de politie” de kanalen afsluit maar dat “Telegram op bevel heeft afgesloten”. Bedenk ik me nu. Want nu is het bevel zelf gepubliceerd, en daaruit blijkt dat het net iets anders ligt dan “er is een bevel aan Telegram gegeven”:
De rechter-commissaris: verleent aan de officier van justitie een machtiging tot het bevel aan een medewerker van de politie om via de telefoon van de verdachte de gegevens in de Telegram-groepen [naam groep 1], [naam groep 2] en [naam groep 3] ontoegankelijk te maken; [en] daarvan verslag te doen in een proces-verbaal en een afschrift hiervan te verstrekken aan de rechter-commissaris.
Er was dus een telefoon van een verdachte in het bezit van de politie, en vanaf die telefoon was kennelijk nog een beheerdersaccount actief voor deze Telegram-kanalen. Technisch gezien is het dan niet zo moeilijk om de kanalen te sluiten. En dit is ook een stuk effectiever dan het bedrijf in een ver buitenland (Londen en Dubai) gaan sommeren om dingen te sluiten.

Het laat wel weer zien dat in Nederland de politie best veel kan; zowel technisch als juridisch. Want voor de juristen, dit valt onder artikel 125p Wetboek van Strafvordering, het op bevel ontoegankelijk maken van gegevens, en daaronder vallen dus ook chatkanalen.

Arnoud

 

 

Politie mocht iPhone verdachte onder dwang via duim ontgrendelen

| AE 11158 | Regulering, Security | 10 reacties

De politie heeft in een onderzoek naar een phishingbende de iPhone van een verdachte onder dwang via zijn duim mogen ontgrendelen, las ik bij Security.nl. In drie vonnissen besliste de rechtbank Noord-Holland dat deze opsporingstechniek legitiem is, ook nu er geen specifieke wettelijke regeling is. Dat bevestigt de eerdere lijn uit februari waarin ook de Marechaussee dit mocht doen.

In deze zaak ging het om verdenkingen van phishing (juridisch: diefstal in vereniging en oplichting), waarbij de verdachten in voorlopige hechtenis waren genomen. Daarbij werd een iPhone aangetroffen, die de politie wilde ontgrendelen waarvoor de vinger van de verdachte nodig was. Die weigerde dat, waarop de officier besloot dat de verdachte weerspannig was en hem liet boeien, waarna de vinger door een agent op de telefoon werd gezet. Daarna was de telefoon toegankelijk voor onderzoek.

Het juridische probleem hierachter is dat er geen specifieke regels zijn over het doorzoeken van telefoons die als bewijs in beslag zijn genomen. Dat moet eigenlijk wel, omdat dergelijke apparaten tegenwoordig veel persoonlijke informatie bevatten. Om diepgaand te treden in de privacy van een verdachte, is een wettelijke regeling nodig. Denk aan huiszoeking of snuffelen in iemands mailbox.

De Hoge Raad bepaalde in 2017 dat de politie terughoudend moet zijn met telefoondoorzoekingen. Even kijken naar “een gering aantal bepaalde gegevens” bij een concrete aanleiding kan nog net, de gehele telefoon van 0 tot 255 doornemen zou te ver gaan tenzij daar héél zwaarwegende redenen voor zijn. In de praktijk komt dit erop neer dat hoe ernstiger de verdenking, hoe verder men mag kijken.

Leuk en aardig maar als die telefoon niet open gaat, dan houdt al het onderzoek snel op. De laatste jaren is er dan ook veel discussie geweest over hoe de politie een telefoon mag open forceren als ze niet zelf de pincode of andere unlockinformatie kan achterhalen. De vinger op de sensor forceren werd al snel een centraal punt in die discussie. Is dat nu gewoon een vingerafdruk nemen (zoals al sinds jaar en dag gebeurt) of is dit iemand dwingen tegen zichzelf te getuigen?

De lijn die bij dit nemo tenetur-beginsel in mensenrecht-jurisprudentie getrokken wordt, is of de gedwongen actie iets is dat al dan niet onafhankelijk van de wil van de verdachte plaats kan vinden. Hem fotograferen of een vingerafdruk afnemen voor het dossier, is iets dat kan of hij dat nu wil of niet. Zeggen waar het lijk ligt, vereist zijn wil. Je mag in die lijn dan ook wel een verdachte dwingen in de lens te kijken of zijn vinger op een stempelkussen te duwen en daarna op een papiertje, maar niet op een kaart te markeren waar het lijk te vinden is.

Anders dan de situatie waarin verdachte wordt gedwongen de toegangscode van zijn telefoon te geven, hetgeen een verklaring van verdachte vereist, maakt het plaatsen van de duim van verdachte op zijn iPhone naar het oordeel van de rechtbank geen inbreuk op het nemo tenetur-beginsel. Het betreft hier namelijk het dulden van een onderzoeksmaatregel die geen actieve medewerking van verdachte vereist. Daar komt bij dat de vingerafdruk met een zeer geringe mate van dwang is verkregen. Dat met het plaatsen van de duim van verdachte op de iPhone toegang wordt verkregen tot mogelijk wilsafhankelijke en voor hem belastende gegevens, maakt dit naar het oordeel van de rechtbank niet anders.

De rechtbank weegt daarbij mee dat er maar weinig andere mogelijkheden waren, onder meer omdat een telefoon zich na een bepaald aantal pogingen permanent vergrendelt. En de verwachting was zeer groot dat er wat te vinden zou zijn. Dat alles bij elkaar maakt dat het ontgrendelen legitiem wordt geacht.

De uiteindelijk gevonden informatie blijkt vervolgens ook relevant voor de strafzaak. Ik ben dan nog wel benieuwd hoe dit uit zou pakken als blijkt dat de politie verkeerd zat, maar de lijn dat een vinger afdwingen mag, lijkt daarmee wel definitief gezet.

Arnoud

Australisch parlement stemt in met omstreden ‘anti-encryptiewet’

| AE 11020 | Regulering | 18 reacties

De Australische senaat heeft donderdag ingestemd met de omstreden wet die techbedrijven zoals Apple en Facebook verplicht om mee te werken bij het ongedaan maken van encryptie bij het onderscheppen van communicatie. Dat meldde Tweakers vorige week. De wet is omstreden omdat in het Angelsaksische rechtsgebied het doorbreken van encryptie door opsporingsdiensten als controversieel geldt, en deze wet de primeur heeft aldaar die er ook nog eens met trucjes doorgeduwd werd. Toch is het bepaald niet de “encryptie is nu verboden!!1!” wet die het in sommige media genoemd wordt. De regels over encryptie zijn volgens mij minder streng dan in Nederland.

De omstreden Assistance and Access-wet heeft inderdaad als gesteld doel bevoegdheden van politie en andere opsporingsdiensten te vergroten om het probleem van alomtegenwoordige encryptie op te kunnen lossen. Criminelen gebruiken encryptie om hun daden te verhullen, is dan het argument, dus moeten de diensten bij die versleutelde berichten kunnen in het belang van het onderzoek.

Een kernaspect van de wet is dan ook dat opsporingsdiensten zogeheten “technical assistance notices” en “technical capability notices” mogen sturen. Dat zijn bevelen om bepaalde technische ondersteuning te geven (assistance) maar ook om mogelijkheden in te bouwen (capability) om daarmee in de toekomst meer ondersteuning te realiseren. Dus “geef me de mailbox van Jan” is een assistance notice, maar “bouw iets in dat ik live mails van en naar Jan kan zien” is een capability notice. Met name die laatste is natuurlijk behoorlijk vérgaand, ook omdat je het gratis moet opvolgen.

Wat encryptie betreft is wel weer opgenomen dat zo’n notice niet mag leiden tot structurele verzwakking van encryptie of authenticatie. Een notice mag dus denk ik wel eisen dat een specifiek bericht wordt opengemaakt, maar niet dat standaard een achterdeur wordt ingebouwd.

Een specifiek bericht decrypten is dus een van de nieuwe bevoegdheden. In Nederland is dat helemaal niet zo nieuw, ons wetboek van strafvordering vermeldt onder meer in artikel 125k:

[Een bevel tot toegang tot gegevens kan worden gegeven in het belang van het onderzoek] indien in een geautomatiseerd werk versleutelde gegevens worden aangetroffen. Het bevel richt zich tot degeen van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van de wijze van versleuteling van deze gegevens.

Dit vereist wel dat een verdenking bestaat van een ernstig misdrijf (minstens vier jaar cel, en enkele specifieke strafbare feiten zoals mensenhandel). Het bevel mag overigens niet aan de verdachte worden gegeven (dit staat ter discussie)

Als het gaat om een onderzoek door een toezichthouder, dan gaat de wet nog verder. Artikel 5:20 Awb:

Een ieder is verplicht aan een toezichthouder binnen de door hem gestelde redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden.

Hieronder valt dus ook het ongedaan maken van encryptie. De letter van de wet sluit echter zelfs niet uit dat je dingen gaat bouwen om meer structureel bij bepaalde gegevens te kunnen, maar het zou wel een gedurfde* inzet van bevoegdheden zijn om dit te vorderen.

In de praktijk hebben vrijwel alle grotere bedrijven achterdeuren in hun encryptie-infrastructuur. Dat moet ook wel, want als een sleutelhouder ontslag neemt of overlijdt dan wil je als bedrijf door kunnen. Het openen van versleutelde berichten is dus altijd technisch mogelijk. En als dat zo is, dan mag bijvoorbeeld markttoezichthouder ACM vorderen dat dit gebeurt omdat zij een bestuursrechtelijke overtreding vermoeden.

Arnoud<br/> *Gedurfd besluit: een politiek besluit waarmee je de verkiezingen verliest. Yes, minister

Apple haalt tientallen gokapps uit Nederlandse App Store

| AE 9001 | Innovatie | 18 reacties

Tientallen apps voor casino’s en sportweddenschappen zijn door Apple uit de App Store verwijderd, meldde de NOS vorige week. Dit naar aanleiding van verzoeken van de Nederlandse Kansspelautoriteit; kansspelen organiseren is immers verboden en een app die dat faciliteert dus ook. Maar toch vind ik dit gek: hoezo vráág je zoiets als toezichthouder, en dan… Lees verder

Geen uitspraak over IP-bevriesbevel, dat schiet niet op natuurlijk

| AE 5121 | Security | 20 reacties

Grmbl. Weet u nog, die zaak uit 2011 waarin IP-beheersclub RIPE een rechtszaak begon tegen het OM vanwege een IP-adresbevriesbevel? Het vonnis is er, maar wat een teleurstelling: géén inhoudelijke uitspraak of het mag maar een afwijzing op de formele grond dat RIPE “onvoldoende belang” heeft bij de ingestelde eis. In 2011 werd RIPE bevolen… Lees verder

Politie vraagt verwijdering opruiende tekst, mag dat wel?

| AE 2490 | Uitingsvrijheid | 25 reacties

De Nationale Recherche eist dat Publicintelligence.net stopt met het publiceren van het magazine Inspire, meldde Webwereld gisteren. De site zou opruiende informatie publiceren, die volgens de KLPD tegen de wet is. Als de publicatie niet vrijwillig gestaakt wordt, zal de server offline gehaald worden, dreigt de brief. Alleen: dat mag de politie helemaal niet. In… Lees verder

Machtiging rechter-commissaris bij strafbare uitingen echt nodig

| AE 1905 | Regulering, Uitingsvrijheid | 13 reacties

Een webhoster hoeft smadelijke berichten niet te verwijderen als het OM dat eist, tenzij er een machtiging van de rechter-commissaris bij zit. Dat blijkt uit een recent vonnis van de rechtbank in Assen. Die rechtbank oordeelde in 2008 net zo, maar het OM was in hoger beroep gegaan en de zaak werd terugverwezen voor een… Lees verder