Internetrecht door Arnoud Engelfriet

De Amerikaanse autoriteiten hebben een man en vrouw gearresteerd die worden verdacht van het witwassen van bitcoins die in 2016 bij platform Bitfinex werden gestolen. Dat meldde Tweakers vorige week. De FBI zou 3,15 miljard euro aan cryptocoins in beslag hebben genomen. Een enorm bedrag (afgezien van de speculatieve waarde van de munten), en wat velen verbaasden was vooral dat het kennelijk zo makkelijk was deze mensen op te sporen. Cryptomunten zijn toch de perfect crime: ontraceerbaar en anoniem? Nou ja, niet echt dus.

In 2016 werd de bitcoin-handelsplaats Bitfinex beroofd: er werd in totaal 119.756 bitcoin gestolen, destijds zo’n 58 miljoen euro waard. In geld van vandaag is dat 3,9 miljard euro (ongeveer 433 Sywerts). Althans, als je het in euro om weet te zetten, want daar zat hem de kneep: hoe moet je dat voor elkaar krijgen in de infrastructuur van cryptomunten?

Want ja, het verschuiven van crypto van wallet A naar wallet B dat kan zonder nadere identificatie. Maar op zeker moment wil je er echt geld / fiatgeld voor hebben, en dan moet je langs een exchange. Dat is dus allemaal te volgen, een mooie truc daarvoor was deze Twitterbot maar het zit inherent in de blockchain: alle transacties worden openbaar gemaakt, dus je kunt van de gestolen bitcoins precies zien waar ze heengaan. En zodra ze dan bij een wisselkantoor uitkomen, val je daar als FBI binnen en vraag je de know-your-customer identificatie op.

Er zijn natuurlijk trucs, zoals zogeheten tumblers die geld opsplitsen en met ander geld combineren zodat het veel lastiger te traceren is. Maar deze twee hadden pech een door de FBI opgerolde tumbler te hebben gebruikt. Ook hielp het niet dat de opsporingsdienst toegang tot een cloudaccount wist te krijgen, waar niet nader genoemde informatie werd gevonden waarmee diverse wallets en dergelijke geïdentificeerd konden worden.

Bij Tweakers lees ik nog dat exchanges deze bitcoins op een zwarte lijst zouden hebben, zodat deze beheerders weten wanneer crimineel geld langskomt. Net zoals een bank gestolen bankbiljetten kan herkennen aan de serienummers. Alleen hebben bitcoins geen serienummer, het zijn geen munten maar tellertjes die in een transactie vermeld staan. Het zijn de transacties (er ging 1 BTC van meneer Sassaman naar meneer Wright) die geregistreerd worden, en die je dus allemaal terug kunt zoeken.

De kern is in ieder geval: als je begint met gestolen bitcoins, dan is goed bij te houden waar die heen gaan. En ik zie zeker wel hoe een wisselkantoor dan zal weigeren deze om te zetten naar dollars of euro’s. En dan is het een beetje ingewikkeld om wat te doen met je gestolen geld.

Als de bitcoins zelf niet gestolen zijn, dan ligt het iets anders. Bij ransomware bijvoorbeeld gaan de bitcoins weliswaar naar criminelen, maar de bitcointransactie zelf is legitiem (er gaat 1 BTC van A naar B). En dan is het lastiger dit te traceren tot een persoon die er euro’s van maakt. Specifiek daar is bitcoin (of crypto in het algemeen) wél interessant voor criminelen.

Arnoud

De FBI gaat nu netwerken van privépartijen patchen, las ik (vrij vertaald) bij Schneier’s blog. Het gaat om honderden met malware geïnfecteerde Microsoft Exchange-servers, waar webshells (commandoregel-toegang op afstand) op waren geplaatst. Nadat de federale politie daartoe door een rechtbank was gemachtigd, gaf zij al deze servers een speciaal commando waarmee de kwaadaardige code werd gewist. Dat gaf dus ophef, want men passeerde zo het eigen IT-beleid van die organisaties. En hoezo mag de politie überhaupt bij mensen thuis dingen komen fixen?

Over een week gaat de politie bij ons Emotet wissen van een miljoen computers wereldwijd, dus dit is lekker actueel. Ik zei toen dat dat mocht, want wij hebben artikel 125o Wetboek van Strafvordering:

Indien bij een doorzoeking in een geautomatiseerd werk gegevens worden aangetroffen met betrekking tot welke of met behulp waarvan het strafbare feit is gepleegd, kan de officier van justitie dan wel indien deze de doorzoeking verricht, de rechter-commissaris bepalen dat die gegevens ontoegankelijk worden gemaakt voor zover dit noodzakelijk is ter beëindiging van het strafbare feit of ter voorkoming van nieuwe strafbare feiten.

In de VS moet de FBI het doen met Rule 41, waarmee men algemeen gezegd warrants oftewel bevelen mag halen om bewijs of contraband mee te nemen, illegale voorwerpen in beslag te nemen of mensen op te halen. In het jargon, een search & seizure – zoeken en inbeslagname. Onder deze Rule heeft men nu de warrant gekregen om op al die Exchange-servers binnen te dringen en daar de wis-instructie te geven. En dat is wat vreemd, want oké ze zouden fysiek langs mogen gaan en al die servers meenemen met zo’n bevel maar dat blijft wat anders dan een stukje informatie daarop aanpassen.

Niet gek dus dat vele mensen op de achterste benen staan. Het gaat ook verder dan eerdere zaken waarbij de FBI botnets verwijderde: daar kwamen de geïnfecteerde computers naar de inbeslaggenomen server toe voor nieuwe instructies, en men kon toen vrij eenvoudig “wis jezelf” teruggeven. Dat is toch wat anders dan actief inloggen bij die clients en daar een wis-instructie geven.

Arnoud

De Nederlandse politie krijgt toegang tot databanken met daarin vingerafdrukken van miljoenen Amerikanen, las ik bij Tweakers. Omgekeerd kan de FBI de Nederlandse strafdatabank met vingerafdrukken van 1,3 miljoen veroordeelden en verdachten benaderen. Zo moeten beide politiediensten makkelijker vingerafdrukken kunnen matchen aan bekende daders (of verdachten) uit eerdere onderzoeken. Een nogal opmerkelijke stap, die veel vragen opriep bij lezers, maar ik moet zelf zeggen dat ik het niet meteen de grootste inbreuk van 2018 vindt. Nee, een vingerafdrukdatabank, dát is eng.

Voor de duidelijkheid: de bedoeling is nadrukkelijk niet dat het gehele vingerafdrukbestand met naam en rugnummer als zipfile naar de VS gaat. De organisatorische opzet komt erop neer dat de FBI een vingerafdruk van een person of interest heeft, ze die opsturen naar onze politie die kijkt of er een match is. Het antwoord gaat als “nee” dan wel “ja” terug, in het geval “ja” voorzien van een willekeurig gekozen identificatienummer. Dat nummer neemt de FBI dan op in een ouderwets rechtshulpverzoek “graag ontvangen wij wat u weet over deze persoon”.

Door deze dubbele slag voorkom je dat er al te makkelijk gespit wordt zonder dat het opvalt. Er wordt niets verstrekt zonder rechtshulpverzoek, iets dat al tijden de procedure is. En zo’n verzoek wordt alleen toegewezen bij ernstige misdrijven. Het enige nieuwe is dus feitelijk dat je voorheen als FBI iets van een naam moest hebben om aan te geven wie je zocht, en dat je nu op basis van een vingerafdruk kunt aangeven wie je waarschijnlijk bedoelt. Dat is op zich wel een mooie privacyconstructie.

Zo ongeveer de enige vorm van misbruik die ik kan bedenken, is dat je met een vingerafdruk van een betrekkelijk onschuldige nu kunt gaan vissen in de FBI databank (of de FBI bij ons) of er in die databank iets bekend is. Je zou als FBI dan dus bijvoorbeeld irritante toeristen (die met vingerafdruk zich moeten registreren bij bezoek aan de VS) kunnen matchen, en als er een “ja, 481” terugkomt dan gooi je ze het land uit omdat ze op het inreisformulier hebben gezegd “nooit met Justitie in aanraking geweest”. Maar in die situatie heb je de namen ook al, dus of dat nu veel toevoegt?

Enger vind ik de opmerkingen in Trouw dat men bij de politie liever een nationale vingerafdrukdatabase zou hebben (gekoppeld aan het paspoort) waar alle Nederlanders in moeten zitten. Dat idee is al in 2011 afgeschoten, “Een ingrijpend besluit, waar we wekelijks ongemak van ondervinden” aldus de initiatiefnemers van dit databankdelen. De redenen voor afschaffen waren technische problemen, zoals twijfel over de veiligheid van de opslag maar ook onbetrouwbare matching.

Met name dat laatste zou voor mij genoeg reden zijn dit niet te willen: ik schrik te lezen dat bij vingerafdrukken 1 op 10.000 gevallen vals positieven geven. Bij een databank met zelfs maar 1,3 miljoen mensen heb je dus 130 matches voor elke vingerafdruk, bij een databank met 17 miljoen Nederlanders zijn dat er dan 1.700. Hoe kun je daar überhaupt nog in zoeken als politie? Waar filter je dan op, zonder bias te introduceren zoals “nu iedereen met een zwaar strafblad, en de 5 die overblijven maar even ophalen”? Hoe meer ik er over nadenk, hoe enger ik dat vind.

Arnoud

Een Amerikaanse rechter heeft bepaald dat Google ook e-mails die op servers buiten de VS zijn opgeslagen moet overdragen aan de FBI in een zaak over binnenlandse fraude. Dat meldde Nu.nl onlangs. Deze beslissing staat lijnrecht tegenover de hogerberoepszaak van Microsoft dat géén berichten opgeslagen in het buitenland hoefde af te geven aan de Amerikaanse… Lees verder

Microsoft hoeft e-mails die opgeslagen zijn bij zijn datacenters in Ierland niet over te dragen aan de Amerikaanse rechter. Dat las ik bij Tweakers. In het langverwachte hoger beroep bepaalde het gerechtshof dat de Amerikaanse Justitie geen grond heeft om een Amerikaans moederbedrijf te dwingen data op te halen bij haar niet-Amerikaanse dochters. Daarmee is… Lees verder

In een rechtszaak waarin FBI eist dat Apple helpt om een iPhone te ontgrendelen, heeft de Amerikaanse overheid een klinkende overwinning behaald. Apple moet speciale software ontwikkelen om het iPhone-kraken te ondersteunen. Dat meldde Webwereld vorige week. De software is aangepaste firmware met als doel een bruteforceaanval op het wachtwoord mogelijk te maken. De FBI… Lees verder