Internetrecht door Arnoud Engelfriet

Europese speurders hebben de berichtendienst EncroChat gekraakt en zo ongeveer 1.800 vermoedelijke misdadigers kunnen arresteren. Dat meldde HLN een tijdje geleden. In het rechercheonderzoek 26Lemont kon de politie maanden live meekijken met bij criminelen razend populaire, versleutelde communicatie. Dit dankzij Nederlands/Franse samenwerking waarbij men een backdoor via de server van Encrochat ongezien op telefoons van alle 50.000 Encro-klanten wist te installeren. Een recent vonnis laat zien hoe de Nederlandse rechter daar tegen aankijkt.

De Encrochat-hack gaat niet zo ver als de Amerikaanse FBI truc waarbij men als politiedienst zogenaamd veilige telefoons verkocht (Anom) om vervolgens op het gemak mee te lezen. Er was daadwerkelijk een inbraak door politie op de servers van het bedrijf achter de Encrochat dienst gepleegd. Encrochat begon ooit als veilige dienst voor celebrities die bang waren voor hackende journalisten (met name in Engeland een reëel risico) maar werd ook veel door criminelen gebruikt.

De precieze details van de hack zijn nog steeds onduidelijk, maar het komt erop neer dat de Franse Justitie in samenwerking met de Nederlandse politie binnen wist te dringen in de infrastructuur van Encrochat en van daaruit malware op de telefoons wist te pushen. Althans, malware voor de criminelen – voor de politie was het natuurlijk een legitieme afluister- en kopieertool. Aldus wist men vele, heel vele criminele transacties en overleggen te pakken te krijgen, wat tot een golf aan arrestaties en strafzaken leidde.

Maar is dat nu legaal, zo’n actie? De operatie was goedgekeurd door de opsporingsdiensten en rechter-commissaris, maar dat is natuurlijk voor een beetje advocaat geen argument. Allereerst zit je met het punt dat de actie was gebracht als een onderzoek tegen het bedrijf van Encrochat, en hoezo mag je dan chats van gebruikers lezen? Dat staat buiten dat onderzoek, zou je zeggen. En ten tweede, hoezo mag de Franse justitie toestemming geven om chats van Duitse figuren te lezen die in Duitsland snode plannen maken?

In Nederland kwam dit voor het eerst begin juli in een vonnis terug. Acht verdachten stonden terecht in een grote strafzaak, en hadden onder meer bezwaar gemaakt tegen gebruik van Encrochat-data als bewijs tegen hen. Het eerste punt van bezwaar was dat in die Frans/Nederlandse samenwerking er geen bevel was van de Nederlandse rechter-commissaris. Maar dat hoeft niet, aldus de rechter: de feitelijke inbreuk op de privacy was door de Franse autoriteiten begaan, niet (ook) door de Nederlanders.

Je moet dan toetsen onder het Franse recht, en dat bleek goed gegaan te zijn:

In het dossier zitten (vertalingen van) een zestal Franse processen-verbaal waaruit afgeleid kan worden dat een Franse rechter toestemming heeft gegeven voor het onderscheppen van Encrochatgegevens en dat er periodieke rechterlijke controle heeft plaatsgevonden.

Maar hoe zit dat dan met dat ‘bijvangst’-argument? Hoezo mocht men chats van gebruikers lezen als het onderzoek tegen het bedrijf gericht was en niet tegen verdachte gebruikers?

De politie heeft zich opnieuw niet aan de regels gehouden bij het inzetten van hackingtools. Dat las ik bij Tweakers, dat zich baseert op een rapport van de Inspectie Justitie en Veiligheid. In dit rapport concludeert de inspectie dat de politie zich niet hield aan de gestelde voorwaarden houdt voor het inzetten van hacking tools. De politie is in 2020 vier keer een apparaat binnengedrongen waar geen goedkeuring voor werd verleend. Wat de vraag opriep, wat zou er gebeuren met die agenten die dat deden? Zijn die zelf strafbaar?

Nou ja, vrij weinig eigenlijk. Zoals in de comments ook al gezegd wordt, het gaat hier om ambtenaren die een overheidstaak uitvoeren. De Hoge Raad bepaalde in de zogeheten Pikmeer-arresten dat publiekrechtelijke rechtspersonen niet vervolgd kunnen worden als het de uitvoering betreft van een specifieke overheidstaak. Dat betekent ook dat individuele ambtenaren die zo’n taak uitvoeren, daarvan gevrijwaard blijven.

Een “specifieke overheidstaak” is kort gezegd een taak die niet geprivatiseerd kan worden, iets dat de overheid niet ook een burger kan laten doen. Bij die laatste categorie taken kan de ambtenaar die het doet dus wél vervolgd worden als de uitvoering strafbare feiten oplevert. En we hebben het hier natuurlijk over het opsporen van strafbare feiten of het zogeheten “terughacken”, oftewel inbreken bij derden in de hoop daders, bewijs of controle over softwarediensten te pakken te krijgen. Dat is echt een unieke politietaak. Ja, ik weet dat je ook hackers kunt inhuren maar die verrichten dan geen opsporingstaken.

Natuurlijk heeft zo’n situatie wel gevolgen voor de strafzaak waarbij zo gehandeld blijkt. Dergelijk bewijs zal al snel uitgesloten worden, juist omdat de politie zich aan bepaalde regels moet houden bij opsporing. En omdat vaak de zaak sterk wordt opgehangen aan zulk bewijs, is de zaak daarmee vrij snel ‘stuk’.

Wat ik zelf ernstiger vindt, uit het rapport:

Evenals in 2019 gebruikte zij commerciële software, nu zelfs in het merendeel van de zaken. De leverancier hiervan heeft toegang tot deze software en de hiermee verkregen gegevens.

Arnoud

De FBI gaat nu netwerken van privépartijen patchen, las ik (vrij vertaald) bij Schneier’s blog. Het gaat om honderden met malware geïnfecteerde Microsoft Exchange-servers, waar webshells (commandoregel-toegang op afstand) op waren geplaatst. Nadat de federale politie daartoe door een rechtbank was gemachtigd, gaf zij al deze servers een speciaal commando waarmee de kwaadaardige code werd gewist. Dat gaf dus ophef, want men passeerde zo het eigen IT-beleid van die organisaties. En hoezo mag de politie überhaupt bij mensen thuis dingen komen fixen?

Over een week gaat de politie bij ons Emotet wissen van een miljoen computers wereldwijd, dus dit is lekker actueel. Ik zei toen dat dat mocht, want wij hebben artikel 125o Wetboek van Strafvordering:

Indien bij een doorzoeking in een geautomatiseerd werk gegevens worden aangetroffen met betrekking tot welke of met behulp waarvan het strafbare feit is gepleegd, kan de officier van justitie dan wel indien deze de doorzoeking verricht, de rechter-commissaris bepalen dat die gegevens ontoegankelijk worden gemaakt voor zover dit noodzakelijk is ter beëindiging van het strafbare feit of ter voorkoming van nieuwe strafbare feiten.

In de VS moet de FBI het doen met Rule 41, waarmee men algemeen gezegd warrants oftewel bevelen mag halen om bewijs of contraband mee te nemen, illegale voorwerpen in beslag te nemen of mensen op te halen. In het jargon, een search & seizure – zoeken en inbeslagname. Onder deze Rule heeft men nu de warrant gekregen om op al die Exchange-servers binnen te dringen en daar de wis-instructie te geven. En dat is wat vreemd, want oké ze zouden fysiek langs mogen gaan en al die servers meenemen met zo’n bevel maar dat blijft wat anders dan een stukje informatie daarop aanpassen.

Niet gek dus dat vele mensen op de achterste benen staan. Het gaat ook verder dan eerdere zaken waarbij de FBI botnets verwijderde: daar kwamen de geïnfecteerde computers naar de inbeslaggenomen server toe voor nieuwe instructies, en men kon toen vrij eenvoudig “wis jezelf” teruggeven. Dat is toch wat anders dan actief inloggen bij die clients en daar een wis-instructie geven.

Arnoud

De ombudsman heeft onderzocht hoe de overheid moet omgaan met klachten over etnisch profileren, las ik bij deze onafhankelijke instantie. De meest opmerkelijke uitkomst, volgens RTL, is het idee van de bewijslast omdraaien bij etnisch profileren. De burger mag verwachten, aldus het rapport, dat de overheid kan uitleggen op basis waarvan hij geselecteerd is en in… Lees verder

Het lijkt erop dat degene die op 5 augustus 2017 om 2.31 uur bij de geldautomaat is gefilmd, ook in de politiedatabase staat: Thomas. Zo introduceert Nu.nl een strafzaak waarin gezichtsherkenning door het politiesysteem CATCH centraal stond in het bewijs. Nadat ook twee onderzoekers de gezichten met elkaar vergelijken, concludeert het Centrum voor Biometrie namelijk dat… Lees verder

Iets waar niet iedere Bitcoin bezitter rekening mee houdt, wat te doen als de politie je telefoon heeft? Dat las ik bij het onvolprezen Betablog. Hij wees op een recent strafvonnis waarbij de verdachte tegen precies dit probleem aanliep: “zegt de veroordeelde tegen zijn moeder dat hij over geld in Bitcoins beschikt, maar dat hij daar… Lees verder

Een lezer vroeg me: Naar aanleiding van een discussie die ik had met andere IT’ers over de macht van MS en Google in de wereld van e-mail en hun interne reputatie systeem vroeg ik me af of een mail juridisch gezien is ‘aangekomen’ als mailprovider Microsoft of Google besluit deze als spam aan te merken… Lees verder

Deskundige vereist voor beoordeling gebrekkige broncode, meldde ITenRecht onlangs. In een automatiseringsgeschil tussen softwareontwikkelaar Capgemini en haar klant Equihold (die de software wilde inzetten bij onder meer FC Barcelona) ontstond discussie over de kwaliteit van de tot dan toe gemaakte broncode. Een mooi voorbeeld van hoe de rechtspraak omgaat met inhoudelijk diepgaande issues. Ik las laatst… Lees verder

?Een Amsterdams hotel heeft een assistent-manager op staande voet ontslagen, omdat zij loog dat ze ziek was. Dat meldde het AD vorige week. Het kwam uit omdat de werkgever zonder haar medeweten kon meelezen met haar whatsapp-berichten. Daaruit bleek glashard dat ze haar ziekte simuleerde – en sterker nog, dat ze ging solliciteren bij een… Lees verder

Wanneer mag de rechter internetbronnen gebruiken als bewijs, en maakt het daarbij uit of ze zoeken naar feiten van algemene bekendheid? Die vraag speelt al enige tijd, en in twee recente rechtszaken kwam de vraag weer langs. Daarom even de gelegenheid om een en ander weer op te frissen. Want als de raadsheren van de… Lees verder