Autoriteiten verwijderen Emotet-malware op 25 april van besmette pc’s

| AE 12486 | Regulering | 3 reacties

Autoriteiten zullen de Emotet-malware waarvan de hoofdservers zijn overgenomen op 25 april van besmette computers verwijderen, las ik bij Security.nl, dat weer afging op een beveiligingsonderzoeker op Twitter. Vorige week lieten politie en het Openbaar Ministerie weten dat het gelukt was om het Emotet-netwerk over te nemen en de malware te deactiveren. Het ontmantelen is dan een logische actie, maar natuurlijk komt dan ook meteen de vraag: mag je het botnet zelf deïnstalleren bij mensen op hun computer?

“De Emotet-besmetting is niet langer actief op de computers van ruim 1 miljoen slachtoffers wereldwijd”, zo meldt de politie. Op twee van de hoofdservers van het Emotet-botnet, die zich in Nederland bevinden, wordt een software-update geplaatst voor alle besmette machines. Deze computers zullen de update automatisch binnenhalen, waarna de Emotet-besmetting in quarantaine wordt geplaatst, zo lieten het OM en de politie verder weten.

Dat verwijderen gaat an sich vrij eenvoudig: de software heeft een deïnstallatie-routine ingebouwd. Een en ander gaat op 25 april gebeuren, zodat tot die tijd het netwerk kan worden gemonitord op verkeer om de aanwezigheid van Emotet aan te tonen.

De vraag is dus vooral, welke bevoegdheid kan de politie hierbij inzetten? Deze vraag hebben we vaker gehad (2014: Blackshades, 2010 Bredolab) maar nu zijn er meer mogelijkheden. Sinds de Wet computercriminaliteit III hebben we namelijk onder meer dit wetsartikel 125o erbij in Strafvordering:

Indien bij een doorzoeking in een geautomatiseerd werk gegevens worden aangetroffen met betrekking tot welke of met behulp waarvan het strafbare feit is gepleegd, kan de officier van justitie dan wel indien deze de doorzoeking verricht, de rechter-commissaris bepalen dat die gegevens ontoegankelijk worden gemaakt voor zover dit noodzakelijk is ter beëindiging van het strafbare feit of ter voorkoming van nieuwe strafbare feiten.

De doorzoeking vond hier plaats in de centrale server, en daarbij werd dus de command&control software aangetroffen. Die mag dan ontoegankelijk worden gemaakt. Maar de strekking kun je breder lezen: ook de clientsoftware bij de slachtoffers thuis zijn “gegevens met behulp waarvan het strafbare feit is gepleegd” natuurlijk. En die mogen dan ook ontoegankelijk worden gemaakt.

De toe te passen methode van ontoegankelijkmaking, bijvoorbeeld wissen of versleutelen, zal volgens de memorie van toelichting moeten afhangen van de effectiviteit daarvan alsmede van de beginselen van proportionaliteit en subsidiariteit. Daarbij weegt zwaar dat het gaat om computers van derden. Maar daar staat in dit geval voor mij tegenover dat het kennelijk een eenvoudige instructie is, die een ingebouwde deactivatie uitvoert. Dat is heel wat anders dan met een zelfgebakken ingreep iets proberen weg te halen dat mogelijk een logische bom aan boord heeft als het dat merkt.

Arnoud

Tot waar kan een programmeur auteursrecht claimen op generatoroutput?

| AE 9482 | Intellectuele rechten | 9 reacties

Een lezer vroeg me:

Als je een generator maakt, bijvoorbeeld om tekst of visuele kunst te produceren, valt de output daarvan dan onder het auteursrecht van de programmeur? Ik had altijd begrepen dat wanneer een compiler voor software bijvoorbeeld eigen routines toevoegt, ze in theorie een mede-auteursrecht kunnen claimen. Hoe ver gaat dat in theorie?

Nu computers steeds meer zelf kunnen leren en genereren, wordt het mogelijk om computers zelf creatieve teksten te laten maken of kunst te laten genereren. Een visueel voorbeeld is the Next Rembrandt, en natuurlijk zijn er nog veel meer.

Auteursrecht krijg je wanneer je een eigen intellectuele schepping produceert. Als je dat criterium loslaat op een tool die zulke kunst genereert, dan is het duidelijk dat de tool onder je auteursrecht valt. Maar in hoeverre dat ook voor de output geldt?

In principe alleen wanneer jouw creativiteit herkenbaar is in die output. Bij compiler-output is het nog redelijk goed te zien dat er bepaalde input naar de output gaat, zoals standaardbibliotheken of stukjes code die ieder programma nodig heeft dat wordt gecompileerd. Dat is in principe een rechttoe-rechtaan kopie van code waar de programmeur van de compiler auteursrecht op heeft.

Bij optimalisaties door die compiler ligt het al lastiger. Dat is meer een stukje herkenning van iets inefficiënts waarna een truc wordt toegepast. Maar de output zou ik niet direct een gewijzigde versie van code uit de compiler willen noemen.

Bij kunst uit een computer neig ik er naar om te zeggen, nee dat is in het geheel geen gewijzigde versie meer van de input. Weliswaar bevat het programma in de kern (het algoritme) de mogelijkheden om tot die uitvoer te komen, maar die uitvoer is te abstract, te ongerelateerd aan de broncode van de software om nog van een wijziging daarvan te spreken.

Arnoud

Mag de politie computerreparateurs betalen om te dataspitten?

| AE 9308 | Regulering | 34 reacties

De Amerikaanse FBI zou sinds 2007 medewerkers van de Geek Squad, een computerreparatiedienst van elektronicaketen Best Buy, betaald hebben om als informanten te dienen. Dat meldde Tweakers onlangs. De reparateurs spitten door binnengebrachte computers heen op zoek naar bijvoorbeeld kinderporno. De truc daarachter zou zijn dat de reparateurs dat kunnen zonder gerechtelijk bevel of zelfs maar verdenking, en dat die dan daarna een aangifte doen dat wél grond is voor een verdenking en juridische actie. Hoe zou dat in Nederland uitpakken?

Ook bij ons geldt natuurlijk dat de politie niet zomaar in computers mag snuffelen. Een officier van justitie zou bevel geven tot doorzoeking, en meestal is daarvoor toestemming van de rechter-commissaris nodig. Dat vereist al een stevige verdenking van een misdrijf, op de bonnefooi eens gaan zoeken is niet toegestaan.

Privépersonen zijn niet aan die regels gebonden. Als een reparateur dus bij herstelwerk iets strafbaars aantreft, dan is hij bevoegd daar aangifte van te doen. Hij heeft geen toestemming nodig van een overheidsinstantie om te zoeken naar strafbare informatie of om aangifte te mogen doen.

Het maakt zelfs niet uit of de reparateur toestemming van de eigenaar had om op die plek te gaan zoeken. Snuffelen zonder grondslag kan een probleem zijn – contractbreuk, misschien zelfs computervredebreuk – maar dat maakt het aldus verkregen bewijsmateriaal niet onbruikbaar voor Justitie. In theorie zou de reparateur dan vervolgd worden voor die computervredebreuk, parallel aan de rechtszaak tegen de eigenaar voor hetgeen dat er gevonden is middels die computervredebreuk.

Het punt is hier alleen wel: dit is niet zomaar wat tegenkomen, of zelfs maar snuffelen uit nieuwsgierigheid en wat tegenkomen. Dit is werken in opdracht van de politie. En dán val je ook als burger onder die regels voor de politie. Bewijs dat uit zo’n betaalde snuffelopdracht komt, is dus onbruikbaar bij ons.

De elektronicaketen ontkent overigens dat ze zo’n regeling getroffen hebben. Ik kan me ook moeilijk voorstellen dat de FBI dat wél zou aanbieden, al is het maar omdat de kans dat je wat strafbaars vindt, toch vrij klein is. Nog los van de discussie over rechtmatig verkregen bewijs.

Arnoud

Mag een winkel verwijzen naar de fabrikant voor de garantie?

| AE 2357 | Ondernemingsvrijheid | 28 reacties

Tentamenvraag: vindt dit verweer steun in het recht? [De winkel] heeft zich tegen de vorderingen verweerd met de stelling, dat niet hij, maar de fabrikant verantwoordelijk is voor het uitvoeren van de garantie en dus voor de reparatie van de computer. Antwoord: nee, natuurlijk niet. De verkoper die een computer aan een consument verkoopt, moet… Lees verder