Rechter staat gekraakte PGP-berichten van telefoon toe als bewijs

| AE 9392 | Strafrecht | 9 reacties

Het Openbaar Ministerie (OM) mag de inhoud van versleutelde berichten uit speciale telefoons gebruiken als bewijs in strafzaken, las ik bij Nu.nl. De Blackberry van een verdachte in een grote drugszaak had PGP gebruikt om zijn berichten te versleutelen, en het OM wist die te kraken.

Het verweer in deze zaak sluit aan bij de recente discussie over het mogen doorzoeken van telefoons. De rechtbank hier volgt de Hoge Raad, die uiteindelijk soort van vond dat het wettelijk voldoende is geregeld met de algemene bevoegdheid om dingen te mogen doorzoeken, in combinatie met gepaste terughoudendheid die men bij de politie en het OM mag verwachten. Namelijk:

Het uitlezen van de telefoon heeft in dit geval plaatsgevonden in het kader van een onderzoek naar een buitengewoon ernstig feit, namelijk de grootschalige handel in en de productie van synthetische drugs en daarnaast wordt een telefoon zoals hier aan de orde enkel gebruikt om versleutelde berichten te verzenden en bevat het in die zin nagenoeg verder geen privacygevoelige informatie vergeleken met bijvoorbeeld reguliere smartphones. Verdachte heeft zich bovendien op zijn zwijgrecht beroepen, wat de mogelijkheden beperkte om op andere wijze zicht te krijgen op de betrokkenen bij het feit en op ieders rol.

In maart maakte de politie bekend 3,6 miljoen met PGP versleutelde berichten te kunnen lezen. Encryptiesleutels daarvoor waren namelijk op de servers van aanbieder Ennetcom beschikbaar, in plaats van alleen op de telefoons zelf. De berichten in deze zaak zaten daar dus tussen.

Uit de ontsleutelde berichten blijkt dat er druk werd gecommuniceerd over het opzetten en beheren van een synthethischedrugslab. Deze berichten waren volgens de rechtbank verzonden en ontvangen door de verdachte, gezien de strekking van de berichten en verklaringen van andere verdachten. Dat levert dan het bewijs op van zijn betrokkenheid bij de productie van de drugs.

Ik blijf er moeite mee houden dat “het moet in de wet geregeld zijn” vertaald wordt naar “we mogen je rugzak doorzoeken dus ook je telefoon”. Maar ik vermoed dat na uitspraken als deze er weinig noodzaak meer zal komen bij de wetgever om nog een apart wetsartikel te gaan invoeren.

Arnoud

Rechter veroordeelt webcamafperser ondanks claims over dubieuze keylogger

| AE 9320 | Strafrecht | 16 reacties

Een man is strafrechtelijk veroordeeld op basis van bewijs verkregen met een politie-keylogger. Dat meldde Tweakers vorige week. De politie heeft eind 2013 de woning van de man in het geheim betreden, waarbij op de aangetroffen laptop en desktop een keylogger werd geïnstalleerd. Zo kreeg men inzicht in zijn internetgedrag en pogingen dat te verhullen. Maar mocht dat wel?

Het vonnis laat zien dat de man in beeld kwam naar aanleiding van een onderzoek bij Facebook. Het bedrijf had accounts ontdekt die door dezelfde persoon werden gebruikt om mannen te chanteren middels valselijk verkregen seksueel materiaal. Het IP-adres kon door de politie worden getraceerd naar een bungalowpark in Nederland, waar -zo ontstond het vermoeden- de dader zou wonen.

Na nader onderzoek werd een verdachte aangehouden. In de paar dagen dat hij in voorarrest zat, betrad een politieteam die bungalow om daar een keylogger op de computer te installeren. Deze tool registreerde toetsaanslagen en maakte schermafbeeldingen wanneer op die desktop of laptop gebruik werd gemaakt van communicatieprogramma’s zoals Skype of een internetbrowser. Hierdoor kreeg het onderzoeksteam inzicht in het internetgedrag op deze computers en kon de afscherming door het gebruik van een VPN-verbinding worden omzeild. Dat leverde genoeg bewijs op om nogmaals tot arrestatie over te gaan, en ditmaal ook tot vervolging.

Een verweer van de verdediging was dat die keylogger onrechtmatig was toegepast en dat de resultaten van het hulpmiddel niet betrouwbaar zijn en daarom niet mogen worden gebruikt voor het bewijs. Er zouden onregelmatigheden zijn zoals chatteksten die wel op de gemaakte schermafbeeldingen zijn te zien, maar niet terugkomen in de geregistreerde toetsaanslagen.

In Nederland is het gebruik van dergelijke technische hulpmiddelen gereguleerd in het Besluit technische hulpmiddelen strafvordering. Dit Besluit heeft tot doel de betrouwbaarheid en herleidbaarheid te waarborgen van de gegevens die daarmee zijn verkregen. Het hulpmiddel moet voldoen aan technische eisen; van de keuring moet door een keuringsdienst een rapport worden opgemaakt en de keuring moet plaatsvinden overeenkomstig een goedgekeurd keuringsprotocol. Dat was hier het geval. En de Hoge Raad had eerder bepaald dat als zo’n keuringsrapport er is, de rechter in principe moet aannemen dat het hulpmiddel betrouwbaar is.

Dat er onregelmatigheden blijken te zijn, kan een tegenargument zijn. Echter, die waren hier niet – althans niet zo zwaar dat het tot uitsluiting van het bewijs zou moeten leiden. De meeste toetsaanslagen klopten wél met de screenshots (en andersom), dus die paar missers zien we dan als afrondingsfouten, zeg maar.

Ook merkwaardig was dat de keylogger verdwenen was na de tweede aanhouding. Onduidelijk blijft wat er is gebeurd – heeft een virusscanner het ding verwijderd als malware, is er de remote destruct optie ingeroepen? – maar dat maakt niet uit. Want zelfs als die verwijdering op de raarst mogelijke manier is gebeurd, dan nog staat vast dat het verkregen bewijsmateriaal betrouwbaar is. De keylogger was immers gekeurd en volgens de regels geïnstalleerd.

Als laatste was er nog het argument dat de keylogger meer opnam dan was toegestaan in het bevel van de Officier van Justitie dat de toestemming gaf voor het installeren van de keylogger. Zo waren er op de screenshots tabbladen te zien van andere applicaties dan waar de keylogger bij zou moeten komen. Maar dat maaktook niet uit: dat op schermafdrukken meer is te zien dan alleen de ingestelde programma’s, maakt naar het oordeel van de rechtbank nog niet dat sprake is van een verzuim.

Bij mijn weten de eerste keer dat zó expliciet een keylogger/spyware rechtmatig wordt verklaard bij de rechtbank. En het laat zien dat je als verdediging van goeden huize moet komen om daar dan nog gaten in te schieten.

Arnoud

Kan de blockchain je makerschap en auteursrecht bewijzen?

| AE 9097 | Auteursrecht, Innovatie | 13 reacties

security-beveiliging-ketting-slot-chainEen lezer vroeg me:

Bewijzen dat je auteur bent van een werk, blijft een lastige. Nu zie ik mogelijkheden om dat in de blockchain vast te leggen. Hoe juridisch houdbaar zou dat zijn?

De wet stelt geen eisen aan het bewijs dat je auteursrecht hebt. Bewijs mag met alle middelen worden geleverd (art. 152 Rechtsvordering). Dat is met name van belang als het auteursrecht nog steeds bij de originele maker ligt, aangezien er voor het krijgen van auteursrecht geen registratie of iets dergelijks nodig is. Er is dan een werk en iemand die zegt dat hij het gemaakt heeft, maar geen officieel stuk waaruit dat onomstotelijk blijkt.

Als het auteursrecht wordt verkocht, moet dat op papier met handtekening (art. 2 Auteurswet). Dat kan dan tellen als bewijs, maar niet helemaal: hoe weet je dan dat de verkoper écht de maker is van het werk?

Bestaande systemen waar je “je werk vastlegt” komen er eigenlijk altijd op neer dat de dátum wordt vastgelegd waarop het werk bestond samen met iemands naam. Het idee is dan dat als die naam en die datum vastliggen, het bewijs rond is: wie anders dan de auteur kon als eerste het werk registreren?

Maar waterdicht is dat niet. Vrijwel elk van die systemen staat toe dat je andermans werk deponeert. Ze voeren immers geen inhoudelijke check uit, en dat kan ook niet zonder een hele bewijsprocedure. Dus de toegevoegde waarde van zulke systemen is voor mij nul. (En als ze dan óók nog gaan roepen dat je “je idee kunt vastleggen” dan noem ik het oplichting. Maar dat terzijde.)

De blockchain is een technologie om dingen vast te leggen op zo’n manier dat er niet mee gesjoemeld kan worden achteraf. Ook niet door de centrale autoriteit om te kopen of de database te hacken. Dat is allemaal zó ver gedecentraliseerd dat je geen single point of failure meer hebt. Het is dus op zich prima om een blockchain-gedragen systeem op te zetten om werken mee te dateren inclusief naam (beweerdelijk) auteur. Ik kan me niet voorstellen dat daar ooit discussie over komt. Maar de discussie “hee je hebt mijn werk gedeponeerd” wordt er niet mee opgelost.

Arnoud

Hoe bewijs je dat een ontsleuteld bestand echt is?

| AE 8981 | Strafrecht | 34 reacties

Een lezer vroeg me: Als er bij een strafzaak versleutelde bestanden worden aangetroffen, kunnen deze in ontsleutelde vorm dan als bewijs dienen? Immers je kunt niet 100% vaststellen dat de gebruikte sleutel echt is, en in theorie is het dan mogelijk dat de deskundige die de ontsleuteling uitvoert, iets anders eruit haalt dan er in… Lees verder

Hoe bewijs ik dat iemand een handtekening heeft gezet?

| AE 8854 | Contracten | 22 reacties

Een lezer vroeg me: Onlangs ben ik aangereden door een bedrijfswagen en ik heb daar (zo bleek achteraf) een whiplash aan overgehouden. De twee inzittenden hebben destijds dat schadeformulier getekend, maar ontkennen nu dat ze die handtekening hebben gezet. Omdat ik achter hen reed (maar zij écht fout zaten) is dit cruciaal. Hoe houd ik… Lees verder

OM mag opnamen van geweldsincidenten tonen om daders te vinden

| AE 8151 | Privacy, Strafrecht | 11 reacties

Het Openbaar Ministerie mag in de openbare ruimte opgenomen camerabeelden van ernstige publieke geweldincidenten in het openbaar tonen om zo dader(s) van dit geweld te kunnen opsporen, las ik (alweer een tijdje geleden) op Rechtspraak.nl. Sorry, ik loop wat achter. De Hoge Raad introduceert meteen maar een checklist met 7 factoren waarmee getoetst kan worden… Lees verder

Hoe bewijs je dat je algemene voorwaarden al jaren op je site staan?

| AE 7620 | Contracten | 23 reacties

Iedere webwinkel en online dienstverlener heeft algemene voorwaarden, maar bewijs het maar eens. Beter gezegd: bewijs maar eens dat je voorwaarden in 2010 op je site stonden, iets dat van belang is als je nu ruzie hebt met een klant uit 2010 en hij je aansprakelijk stelt voor schade. En dat dat bewijzen niet meevalt,… Lees verder

Ben ik een dief als de algemene voorwaarden van Albert Heijn dat zeggen?

| AE 7613 | Aansprakelijkheid, Strafrecht | 30 reacties

Een lezer vroeg me: Onlangs zijn de voorwaarden van zelfscannen van de Albert Heij gewijzigd. Er staat nu in dat je diefstal pleegt als achteraf blijkt dat niet alles gescand is. Maar mag AH wel zo kort door de bocht aannemen dat hun systeem onfeilbaar is? Het zou immers zomaar kunnen dat een gebruiker tegen… Lees verder

Onrechtmatig verkregen camerabeelden toch bruikbaar als bewijs

| AE 7285 | Arbeidsrecht, Beveiliging | 14 reacties

Is een stiekem gemaakte verborgencameraopname bruikbaar als bewijs? Wie veel Amerikaanse rechtbankseries kijkt, weet het antwoord: nee. Maar het Nederlands (burgerlijk) recht werkt anders, zo blijkt maar weer eens uit een recent vonnis (via) waarin dergelijke verborgencamerabeelden gewoon als bewijs gebruikt mochten worden. De werknemer was op staande voet ontslagen wegens (zo te lezen) het… Lees verder