Rechter veroordeelt webcamafperser ondanks claims over dubieuze keylogger

| AE 9320 | Strafrecht | 16 reacties

Een man is strafrechtelijk veroordeeld op basis van bewijs verkregen met een politie-keylogger. Dat meldde Tweakers vorige week. De politie heeft eind 2013 de woning van de man in het geheim betreden, waarbij op de aangetroffen laptop en desktop een keylogger werd geïnstalleerd. Zo kreeg men inzicht in zijn internetgedrag en pogingen dat te verhullen. Maar mocht dat wel?

Het vonnis laat zien dat de man in beeld kwam naar aanleiding van een onderzoek bij Facebook. Het bedrijf had accounts ontdekt die door dezelfde persoon werden gebruikt om mannen te chanteren middels valselijk verkregen seksueel materiaal. Het IP-adres kon door de politie worden getraceerd naar een bungalowpark in Nederland, waar -zo ontstond het vermoeden- de dader zou wonen.

Na nader onderzoek werd een verdachte aangehouden. In de paar dagen dat hij in voorarrest zat, betrad een politieteam die bungalow om daar een keylogger op de computer te installeren. Deze tool registreerde toetsaanslagen en maakte schermafbeeldingen wanneer op die desktop of laptop gebruik werd gemaakt van communicatieprogramma’s zoals Skype of een internetbrowser. Hierdoor kreeg het onderzoeksteam inzicht in het internetgedrag op deze computers en kon de afscherming door het gebruik van een VPN-verbinding worden omzeild. Dat leverde genoeg bewijs op om nogmaals tot arrestatie over te gaan, en ditmaal ook tot vervolging.

Een verweer van de verdediging was dat die keylogger onrechtmatig was toegepast en dat de resultaten van het hulpmiddel niet betrouwbaar zijn en daarom niet mogen worden gebruikt voor het bewijs. Er zouden onregelmatigheden zijn zoals chatteksten die wel op de gemaakte schermafbeeldingen zijn te zien, maar niet terugkomen in de geregistreerde toetsaanslagen.

In Nederland is het gebruik van dergelijke technische hulpmiddelen gereguleerd in het Besluit technische hulpmiddelen strafvordering. Dit Besluit heeft tot doel de betrouwbaarheid en herleidbaarheid te waarborgen van de gegevens die daarmee zijn verkregen. Het hulpmiddel moet voldoen aan technische eisen; van de keuring moet door een keuringsdienst een rapport worden opgemaakt en de keuring moet plaatsvinden overeenkomstig een goedgekeurd keuringsprotocol. Dat was hier het geval. En de Hoge Raad had eerder bepaald dat als zo’n keuringsrapport er is, de rechter in principe moet aannemen dat het hulpmiddel betrouwbaar is.

Dat er onregelmatigheden blijken te zijn, kan een tegenargument zijn. Echter, die waren hier niet – althans niet zo zwaar dat het tot uitsluiting van het bewijs zou moeten leiden. De meeste toetsaanslagen klopten wél met de screenshots (en andersom), dus die paar missers zien we dan als afrondingsfouten, zeg maar.

Ook merkwaardig was dat de keylogger verdwenen was na de tweede aanhouding. Onduidelijk blijft wat er is gebeurd – heeft een virusscanner het ding verwijderd als malware, is er de remote destruct optie ingeroepen? – maar dat maakt niet uit. Want zelfs als die verwijdering op de raarst mogelijke manier is gebeurd, dan nog staat vast dat het verkregen bewijsmateriaal betrouwbaar is. De keylogger was immers gekeurd en volgens de regels geïnstalleerd.

Als laatste was er nog het argument dat de keylogger meer opnam dan was toegestaan in het bevel van de Officier van Justitie dat de toestemming gaf voor het installeren van de keylogger. Zo waren er op de screenshots tabbladen te zien van andere applicaties dan waar de keylogger bij zou moeten komen. Maar dat maaktook niet uit: dat op schermafdrukken meer is te zien dan alleen de ingestelde programma’s, maakt naar het oordeel van de rechtbank nog niet dat sprake is van een verzuim.

Bij mijn weten de eerste keer dat zó expliciet een keylogger/spyware rechtmatig wordt verklaard bij de rechtbank. En het laat zien dat je als verdediging van goeden huize moet komen om daar dan nog gaten in te schieten.

Arnoud

Kan de blockchain je makerschap en auteursrecht bewijzen?

| AE 9097 | Auteursrecht, Innovatie | 13 reacties

security-beveiliging-ketting-slot-chainEen lezer vroeg me:

Bewijzen dat je auteur bent van een werk, blijft een lastige. Nu zie ik mogelijkheden om dat in de blockchain vast te leggen. Hoe juridisch houdbaar zou dat zijn?

De wet stelt geen eisen aan het bewijs dat je auteursrecht hebt. Bewijs mag met alle middelen worden geleverd (art. 152 Rechtsvordering). Dat is met name van belang als het auteursrecht nog steeds bij de originele maker ligt, aangezien er voor het krijgen van auteursrecht geen registratie of iets dergelijks nodig is. Er is dan een werk en iemand die zegt dat hij het gemaakt heeft, maar geen officieel stuk waaruit dat onomstotelijk blijkt.

Als het auteursrecht wordt verkocht, moet dat op papier met handtekening (art. 2 Auteurswet). Dat kan dan tellen als bewijs, maar niet helemaal: hoe weet je dan dat de verkoper écht de maker is van het werk?

Bestaande systemen waar je “je werk vastlegt” komen er eigenlijk altijd op neer dat de dátum wordt vastgelegd waarop het werk bestond samen met iemands naam. Het idee is dan dat als die naam en die datum vastliggen, het bewijs rond is: wie anders dan de auteur kon als eerste het werk registreren?

Maar waterdicht is dat niet. Vrijwel elk van die systemen staat toe dat je andermans werk deponeert. Ze voeren immers geen inhoudelijke check uit, en dat kan ook niet zonder een hele bewijsprocedure. Dus de toegevoegde waarde van zulke systemen is voor mij nul. (En als ze dan óók nog gaan roepen dat je “je idee kunt vastleggen” dan noem ik het oplichting. Maar dat terzijde.)

De blockchain is een technologie om dingen vast te leggen op zo’n manier dat er niet mee gesjoemeld kan worden achteraf. Ook niet door de centrale autoriteit om te kopen of de database te hacken. Dat is allemaal zó ver gedecentraliseerd dat je geen single point of failure meer hebt. Het is dus op zich prima om een blockchain-gedragen systeem op te zetten om werken mee te dateren inclusief naam (beweerdelijk) auteur. Ik kan me niet voorstellen dat daar ooit discussie over komt. Maar de discussie “hee je hebt mijn werk gedeponeerd” wordt er niet mee opgelost.

Arnoud

Hoe bewijs je dat een ontsleuteld bestand echt is?

| AE 8981 | Strafrecht | 34 reacties

pgp-bericht-encryptie-versleutelingEen lezer vroeg me:

Als er bij een strafzaak versleutelde bestanden worden aangetroffen, kunnen deze in ontsleutelde vorm dan als bewijs dienen? Immers je kunt niet 100% vaststellen dat de gebruikte sleutel echt is, en in theorie is het dan mogelijk dat de deskundige die de ontsleuteling uitvoert, iets anders eruit haalt dan er in ging.

Er zijn geen specifieke regels over hoe om te gaan met versleutelde digitale bestanden in het strafrecht. We moeten dus terugvallen op de algemene regels: er moet wettig en overtuigend bewijs zijn van de schuld van de verdachte.

Wettig wil zeggen dat het op de juiste, wettelijk vastgelegde wijze is verkregen en dus bekeken mag worden als bewijs. Overtuigend betekent dat er geen redelijke twijfel meer is aan wat het bewijs inhoudelijk laat zien.

Heel formeel zijn er maar vijf categorieën van bewijs in het strafrecht (art. 339) en digitale bestanden staan daar niet bij. Wel de verklaring van de verdachte of van getuigen, de eigen waarneming van de rechter, schriftelijke stukken en verklaringen van deskundigen. Digitale bewijsstukken worden eigenlijk altijd via die laatste categorie ingevoerd: een deskundige legt dan uit wat er uit de digitale informatie te halen is (en hoe dat is gebeurd), en die verklaring is dan formeel het bewijsstuk.

Een deskundige zal dus in zo’n geval uitleggen wat encryptie is en hoe je van plaintext naar ciphertext en weer terug gaat, en hoe dat dan werkt met een sleutel. Hij zal vervolgens laten zien wat er gebeurt als je de (bijvoorbeeld gevonden of door de verdachte gegeven) sleutel loslaat op de aangetroffen ciphertext. De uitkomst (de ontsleutelde tekst) is dan deel van zijn verklaring en daarmee wettig bewijs.

Of het overtuigend is, is lastiger. De eerste vraag is of iemand daar een punt van maakt. Als de verdachte bijvoorbeeld bekent en de sleutel vrijwillig afgeeft, dan is de deskundige snel klaar en is er geen reden om te twijfelen aan het feit dat die plaintext de echte is.

Is de sleutel ergens aangetroffen, dan zal een belangrijke factor worden hoe en door wie. Is er een geel briefje naast de monitor gevonden, of heeft een politieagent drie weken lang handmatig bruteforceaanvallen ondernomen met voor de hand liggende wachtwoorden? Twijfel hierbij kan bijdragen aan de overtuiging van het bewijs (we geloven niet dat dit echt de juiste plaintext is) of zelfs aan de wettige status (de verdachte is onder druk gezet om zijn wachtwoord te geven bijvoorbeeld, wat in strijd is met de wet).

In theorie is het inderdaad denkbaar dat de gevonden ciphertext ooit met sleutel A versleuteld is, maar dat je met sleutel B die ciphertext in een andere plaintext terugdraait. Daarmee zou dus nepbewijs worden vervaardigd: de tekst vertelt iets dat niet echt in het versleutelde bestand stond.

Het zal dan neerkomen op wie het meest wordt geloofd: de deskundige die uitlegt dat dit de echte decryptie is van de aangetroffen ciphertext, of de deskundige die daar twijfel kan zaaien. Je krijgt dan een afweging van alle omstandigheden: hoe werd de sleutel in kwestie gevonden, waaruit blijkt dat die aan de verdachte te koppelen is, wie heeft er baat bij het vervalsen van de decryptie, welke mogelijkheden waren daarvoor, is er in de beweerdelijk valse plaintext iets te vinden dat duidt op een vervalsing en ga zo maar door.

Mijn onderbuikgevoel is dat dit geen sterk verhaal zou zijn zonder zeer specifieke aanwijzingen. In theorie kan het, maar de wet eist geen 100% zekerheid van schuld – er mag geen redelijke twijfel zijn. 99% zekerheid kan best voldoen aan dat criterium.

Arnoud

Hoe bewijs ik dat iemand een handtekening heeft gezet?

| AE 8854 | Contracten | 22 reacties

Een lezer vroeg me: Onlangs ben ik aangereden door een bedrijfswagen en ik heb daar (zo bleek achteraf) een whiplash aan overgehouden. De twee inzittenden hebben destijds dat schadeformulier getekend, maar ontkennen nu dat ze die handtekening hebben gezet. Omdat ik achter hen reed (maar zij écht fout zaten) is dit cruciaal. Hoe houd ik… Lees verder

OM mag opnamen van geweldsincidenten tonen om daders te vinden

| AE 8151 | Privacy, Strafrecht | 11 reacties

Het Openbaar Ministerie mag in de openbare ruimte opgenomen camerabeelden van ernstige publieke geweldincidenten in het openbaar tonen om zo dader(s) van dit geweld te kunnen opsporen, las ik (alweer een tijdje geleden) op Rechtspraak.nl. Sorry, ik loop wat achter. De Hoge Raad introduceert meteen maar een checklist met 7 factoren waarmee getoetst kan worden… Lees verder

Hoe bewijs je dat je algemene voorwaarden al jaren op je site staan?

| AE 7620 | Contracten | 23 reacties

Iedere webwinkel en online dienstverlener heeft algemene voorwaarden, maar bewijs het maar eens. Beter gezegd: bewijs maar eens dat je voorwaarden in 2010 op je site stonden, iets dat van belang is als je nu ruzie hebt met een klant uit 2010 en hij je aansprakelijk stelt voor schade. En dat dat bewijzen niet meevalt,… Lees verder

Ben ik een dief als de algemene voorwaarden van Albert Heijn dat zeggen?

| AE 7613 | Aansprakelijkheid, Strafrecht | 30 reacties

Een lezer vroeg me: Onlangs zijn de voorwaarden van zelfscannen van de Albert Heij gewijzigd. Er staat nu in dat je diefstal pleegt als achteraf blijkt dat niet alles gescand is. Maar mag AH wel zo kort door de bocht aannemen dat hun systeem onfeilbaar is? Het zou immers zomaar kunnen dat een gebruiker tegen… Lees verder

Onrechtmatig verkregen camerabeelden toch bruikbaar als bewijs

| AE 7285 | Arbeidsrecht, Beveiliging | 14 reacties

Is een stiekem gemaakte verborgencameraopname bruikbaar als bewijs? Wie veel Amerikaanse rechtbankseries kijkt, weet het antwoord: nee. Maar het Nederlands (burgerlijk) recht werkt anders, zo blijkt maar weer eens uit een recent vonnis (via) waarin dergelijke verborgencamerabeelden gewoon als bewijs gebruikt mochten worden. De werknemer was op staande voet ontslagen wegens (zo te lezen) het… Lees verder

Hoe bewijs je dat je een app gemaakt hebt?

| AE 7279 | Auteursrecht, Open source, Software | 34 reacties

Met zeer, zeer grote regelmaat krijg ik vragen van mensen die hun idee willen beschermen, hun app willen vastleggen of op andere wijze bescherming willen voor een stuk software. Nu zegt de Auteurswet dat je automatisch bescherming krijgt als je een werk maakt (dus ook een app) en dat registratie, depot of wat dan ook… Lees verder