Zijn de Encrochat-berichten bruikbaar als bewijs?

| AE 12799 | Regulering, Security | 5 reacties

Europese speurders hebben de berichtendienst EncroChat gekraakt en zo ongeveer 1.800 vermoedelijke misdadigers kunnen arresteren. Dat meldde HLN een tijdje geleden. In het rechercheonderzoek 26Lemont kon de politie maanden live meekijken met bij criminelen razend populaire, versleutelde communicatie. Dit dankzij Nederlands/Franse samenwerking waarbij men een backdoor via de server van Encrochat ongezien op telefoons van alle 50.000 Encro-klanten wist te installeren. Een recent vonnis laat zien hoe de Nederlandse rechter daar tegen aankijkt.

De Encrochat-hack gaat niet zo ver als de Amerikaanse FBI truc waarbij men als politiedienst zogenaamd veilige telefoons verkocht (Anom) om vervolgens op het gemak mee te lezen. Er was daadwerkelijk een inbraak door politie op de servers van het bedrijf achter de Encrochat dienst gepleegd. Encrochat begon ooit als veilige dienst voor celebrities die bang waren voor hackende journalisten (met name in Engeland een reëel risico) maar werd ook veel door criminelen gebruikt.

De precieze details van de hack zijn nog steeds onduidelijk, maar het komt erop neer dat de Franse Justitie in samenwerking met de Nederlandse politie binnen wist te dringen in de infrastructuur van Encrochat en van daaruit malware op de telefoons wist te pushen. Althans, malware voor de criminelen – voor de politie was het natuurlijk een legitieme afluister- en kopieertool. Aldus wist men vele, heel vele criminele transacties en overleggen te pakken te krijgen, wat tot een golf aan arrestaties en strafzaken leidde.

Maar is dat nu legaal, zo’n actie? De operatie was goedgekeurd door de opsporingsdiensten en rechter-commissaris, maar dat is natuurlijk voor een beetje advocaat geen argument. Allereerst zit je met het punt dat de actie was gebracht als een onderzoek tegen het bedrijf van Encrochat, en hoezo mag je dan chats van gebruikers lezen? Dat staat buiten dat onderzoek, zou je zeggen. En ten tweede, hoezo mag de Franse justitie toestemming geven om chats van Duitse figuren te lezen die in Duitsland snode plannen maken?

In Nederland kwam dit voor het eerst begin juli in een vonnis terug. Acht verdachten stonden terecht in een grote strafzaak, en hadden onder meer bezwaar gemaakt tegen gebruik van Encrochat-data als bewijs tegen hen. Het eerste punt van bezwaar was dat in die Frans/Nederlandse samenwerking er geen bevel was van de Nederlandse rechter-commissaris. Maar dat hoeft niet, aldus de rechter: de feitelijke inbreuk op de privacy was door de Franse autoriteiten begaan, niet (ook) door de Nederlanders.

Je moet dan toetsen onder het Franse recht, en dat bleek goed gegaan te zijn:

In het dossier zitten (vertalingen van) een zestal Franse processen-verbaal waaruit afgeleid kan worden dat een Franse rechter toestemming heeft gegeven voor het onderscheppen van Encrochatgegevens en dat er periodieke rechterlijke controle heeft plaatsgevonden.
De Duitse rechter zag dat dus anders: die eist dat als het gaat om Duitse burgers, de Duitse rechter om toestemming wordt gevraagd.

Maar hoe zit dat dan met dat ‘bijvangst’-argument? Hoezo mocht men chats van gebruikers lezen als het onderzoek tegen het bedrijf gericht was en niet tegen verdachte gebruikers?

Voorafgaand aan de interceptie, zo stelt het openbaar ministerie, is ingezien dat een inbreuk op de persoonlijke levenssfeer van gebruikers van Encrochat voorzienbaar was, maar dat dit noodzakelijk was om bewijs tegen het bedrijf Encrochat te verzamelen. De verdediging stelt daar tegenover dat de Encrochat hack in werkelijkheid bedoeld was om bewijs te verkrijgen tegen individuele gebruikers van de Encrochat telefoons en ziet dit vermoeden bevestigd in de zogenaamde Britse stukken. De rechtbank acht deze stelling van de verdediging vooralsnog onvoldoende onderbouwd nu die Britse stukken op zichzelf niet onverenigbaar zijn met het standpunt van het openbaar ministerie dat het onderzoek zich richtte op het bedrijf Encrochat.
Het argument daar achter is dus dat als je legitiem bezig bent met een bedrijf te onderzoeken, en je vindt dan ook bewijs tegen gebruikers, dat dat als ‘bijvangst’ gewoon gebruikt mag worden. Het zou raar zijn als je dat moest laten liggen, terwijl je geen regel overtrad bij het vinden. Bijvangst is legaal verkregen bewijs. Dat wordt anders als dat onderzoek niet echt naar dat bedrijf was, maar een smoesje om eigenlijk de gebruikers te kunnen volgen.

Uit de Engelse stukken blijkt niet dat de Franse/Nederlandse samenwerking daarop gericht was. Oké, denk ik dan, maar een backdoor op al die telefoons pushen voelt niet als een heel logische actie bij een onderzoek naar het bedrijf.

Een volgend probleem was dat de verdediging al die berichten moeilijk kan onderzoeken. Dit is altijd een probleem in het strafrecht: het OM kan in theorie met onbeperkte middelen technisch onderzoek doen en deskundigen laten opdraven, en de advocaat van de verdachte moet maar hopen dat hij iemand vindt die het voor een leuk bedragje wil doen.

De rechter hier is bereidwillig:

Nu de verdediging in dit dossier voor de informatie over het onderzoek voor een belangrijk deel is aangewezen op de door het openbaar ministerie door onder nummer bekend zijnde officieren van justitie opgestelde processen-verbaal, is de rechtbank van oordeel dat in het licht van een eerlijk proces aan de verdediging de mogelijkheid moet worden geboden tot het uitoefenen van meer directe controle. Om die reden zal de rechtbank beslissen dat het verzoek tot het horen van de officier van justitie van het landelijk parket bekend als LAP 0797 zal worden toegewezen.
Kennelijk zijn de meeste stukken geheim, wat natuurlijk logisch is gezien de enorme scope van de vangst, maar wel wringt met het idee van openbaarheid in de strafrechtspleging. “We hebben bewijs maar u mag er niet te lang naar kijken want dan gaan andere onderzoeken stuk” is niet echt de bedoeling.

Ondertussen werkt het NFI aan meer gedegen rapporten over de werking van Encrochat en de hack, en ook deze documenten zullen met de verdachten worden gedeeld. Het is dus sowieso nog even afwachten, en de kans lijkt me groot dat we (net als in Duitsland) hoger beroep gaan krijgen. Ik ben heel benieuwd.

Arnoud

Politie overtreedt opnieuw regels voor inzet hackingtools

| AE 12762 | Regulering | 6 reacties

De politie heeft zich opnieuw niet aan de regels gehouden bij het inzetten van hackingtools. Dat las ik bij Tweakers, dat zich baseert op een rapport van de Inspectie Justitie en Veiligheid. In dit rapport concludeert de inspectie dat de politie zich niet hield aan de gestelde voorwaarden houdt voor het inzetten van hacking tools. De politie is in 2020 vier keer een apparaat binnengedrongen waar geen goedkeuring voor werd verleend. Wat de vraag opriep, wat zou er gebeuren met die agenten die dat deden? Zijn die zelf strafbaar?

Nou ja, vrij weinig eigenlijk. Zoals in de comments ook al gezegd wordt, het gaat hier om ambtenaren die een overheidstaak uitvoeren. De Hoge Raad bepaalde in de zogeheten Pikmeer-arresten dat publiekrechtelijke rechtspersonen niet vervolgd kunnen worden als het de uitvoering betreft van een specifieke overheidstaak. Dat betekent ook dat individuele ambtenaren die zo’n taak uitvoeren, daarvan gevrijwaard blijven.

Een “specifieke overheidstaak” is kort gezegd een taak die niet geprivatiseerd kan worden, iets dat de overheid niet ook een burger kan laten doen. Bij die laatste categorie taken kan de ambtenaar die het doet dus wél vervolgd worden als de uitvoering strafbare feiten oplevert. En we hebben het hier natuurlijk over het opsporen van strafbare feiten of het zogeheten “terughacken”, oftewel inbreken bij derden in de hoop daders, bewijs of controle over softwarediensten te pakken te krijgen. Dat is echt een unieke politietaak. Ja, ik weet dat je ook hackers kunt inhuren maar die verrichten dan geen opsporingstaken.

Natuurlijk heeft zo’n situatie wel gevolgen voor de strafzaak waarbij zo gehandeld blijkt. Dergelijk bewijs zal al snel uitgesloten worden, juist omdat de politie zich aan bepaalde regels moet houden bij opsporing. En omdat vaak de zaak sterk wordt opgehangen aan zulk bewijs, is de zaak daarmee vrij snel ‘stuk’.

Wat ik zelf ernstiger vindt, uit het rapport:

Evenals in 2019 gebruikte zij commerciële software, nu zelfs in het merendeel van de zaken. De leverancier hiervan heeft toegang tot deze software en de hiermee verkregen gegevens.
Ik snap best dat je als politie je tools inkoopt, je maakt ook niet zelf dienstwagens of pistolen. Maar dat de leverancier bij de gegevens kan, de telemetrie of logs neem ik aan, dat is voor mij te bizar voor woorden?

Arnoud

Mag de politie je systeem patchen na een malware infectie?

| AE 12625 | Security | 9 reacties

De FBI gaat nu netwerken van privépartijen patchen, las ik (vrij vertaald) bij Schneier’s blog. Het gaat om honderden met malware geïnfecteerde Microsoft Exchange-servers, waar webshells (commandoregel-toegang op afstand) op waren geplaatst. Nadat de federale politie daartoe door een rechtbank was gemachtigd, gaf zij al deze servers een speciaal commando waarmee de kwaadaardige code werd gewist. Dat gaf dus ophef, want men passeerde zo het eigen IT-beleid van die organisaties. En hoezo mag de politie überhaupt bij mensen thuis dingen komen fixen?

Over een week gaat de politie bij ons Emotet wissen van een miljoen computers wereldwijd, dus dit is lekker actueel. Ik zei toen dat dat mocht, want wij hebben artikel 125o Wetboek van Strafvordering:

Indien bij een doorzoeking in een geautomatiseerd werk gegevens worden aangetroffen met betrekking tot welke of met behulp waarvan het strafbare feit is gepleegd, kan de officier van justitie dan wel indien deze de doorzoeking verricht, de rechter-commissaris bepalen dat die gegevens ontoegankelijk worden gemaakt voor zover dit noodzakelijk is ter beëindiging van het strafbare feit of ter voorkoming van nieuwe strafbare feiten.

De doorzoeking vond hier plaats in de centrale server, en via die server vind je dan ook de clientsoftware bij de slachtoffers thuis. Dat zijn “gegevens met behulp waarvan het strafbare feit is gepleegd”, zodat de politie die mag wissen (ontoegankelijk maken).

In de VS moet de FBI het doen met Rule 41, waarmee men algemeen gezegd warrants oftewel bevelen mag halen om bewijs of contraband mee te nemen, illegale voorwerpen in beslag te nemen of mensen op te halen. In het jargon, een search & seizure – zoeken en inbeslagname. Onder deze Rule heeft men nu de warrant gekregen om op al die Exchange-servers binnen te dringen en daar de wis-instructie te geven. En dat is wat vreemd, want oké ze zouden fysiek langs mogen gaan en al die servers meenemen met zo’n bevel maar dat blijft wat anders dan een stukje informatie daarop aanpassen.

Niet gek dus dat vele mensen op de achterste benen staan. Het gaat ook verder dan eerdere zaken waarbij de FBI botnets verwijderde: daar kwamen de geïnfecteerde computers naar de inbeslaggenomen server toe voor nieuwe instructies, en men kon toen vrij eenvoudig “wis jezelf” teruggeven. Dat is toch wat anders dan actief inloggen bij die clients en daar een wis-instructie geven.

Arnoud

Ombudsman over probleem etnisch profileren: draai bewijslast om

| AE 12589 | Informatiemaatschappij, Regulering | 81 reacties

De ombudsman heeft onderzocht hoe de overheid moet omgaan met klachten over etnisch profileren, las ik bij deze onafhankelijke instantie. De meest opmerkelijke uitkomst, volgens RTL, is het idee van de bewijslast omdraaien bij etnisch profileren. De burger mag verwachten, aldus het rapport, dat de overheid kan uitleggen op basis waarvan hij geselecteerd is en in… Lees verder

Hoe zwaar weegt gezichtsherkenning in het strafrecht?

| AE 12571 | Regulering | 17 reacties

Het lijkt erop dat degene die op 5 augustus 2017 om 2.31 uur bij de geldautomaat is gefilmd, ook in de politiedatabase staat: Thomas. Zo introduceert Nu.nl een strafzaak waarin gezichtsherkenning door het politiesysteem CATCH centraal stond in het bewijs. Nadat ook twee onderzoekers de gezichten met elkaar vergelijken, concludeert het Centrum voor Biometrie namelijk dat… Lees verder

Niet bij je Bitcoins kunnen omdat de politie je telefoon heeft

| AE 12458 | Regulering | 8 reacties

Iets waar niet iedere Bitcoin bezitter rekening mee houdt, wat te doen als de politie je telefoon heeft? Dat las ik bij het onvolprezen Betablog. Hij wees op een recent strafvonnis waarbij de verdachte tegen precies dit probleem aanliep: “zegt de veroordeelde tegen zijn moeder dat hij over geld in Bitcoins beschikt, maar dat hij daar… Lees verder

Wanneer is een mail aangekomen als deze in een spamfilter blijft hangen?

| AE 12422 | Ondernemingsvrijheid, Regulering | 107 reacties

Een lezer vroeg me: Naar aanleiding van een discussie die ik had met andere IT’ers over de macht van MS en Google in de wereld van e-mail en hun interne reputatie systeem vroeg ik me af of een mail juridisch gezien is ‘aangekomen’ als mailprovider Microsoft of Google besluit deze als spam aan te merken… Lees verder

Ga er maar aanstaan als deskundige: moet die broncode opnieuw geschreven?

| AE 12312 | Ondernemingsvrijheid | 40 reacties

Deskundige vereist voor beoordeling gebrekkige broncode, meldde ITenRecht onlangs. In een automatiseringsgeschil tussen softwareontwikkelaar Capgemini en haar klant Equihold (die de software wilde inzetten bij onder meer FC Barcelona) ontstond discussie over de kwaliteit van de tot dan toe gemaakte broncode. Een mooi voorbeeld van hoe de rechtspraak omgaat met inhoudelijk diepgaande issues. Ik las laatst… Lees verder

Dus je kunt worden ontslagen door appjes die je baas stiekem meeleest op de desktop Whatsapp

| AE 12059 | Ondernemingsvrijheid | 39 reacties

?Een Amsterdams hotel heeft een assistent-manager op staande voet ontslagen, omdat zij loog dat ze ziek was. Dat meldde het AD vorige week. Het kwam uit omdat de werkgever zonder haar medeweten kon meelezen met haar whatsapp-berichten. Daaruit bleek glashard dat ze haar ziekte simuleerde – en sterker nog, dat ze ging solliciteren bij een… Lees verder

Sinds wanneer zijn Youtube-video’s bewijs van feiten van algemene bekendheid?

| AE 12016 | Regulering | 10 reacties

Wanneer mag de rechter internetbronnen gebruiken als bewijs, en maakt het daarbij uit of ze zoeken naar feiten van algemene bekendheid? Die vraag speelt al enige tijd, en in twee recente rechtszaken kwam de vraag weer langs. Daarom even de gelegenheid om een en ander weer op te frissen. Want als de raadsheren van de… Lees verder