Tag: Hacken

About Hacken

Subscribe Feeds

IKEAhackers mag geen IKEAhackers meer heten als er advertenties bij staan

Geplaatst op in Intellectuele rechten, Ondernemingsvrijheid, 11 reacties

ikeahacker-magnietDe in 2006 opgerichte site IKEAhackers kreeg onlangs een blafbrief van de Zweedse zelfbouwmeubelgigant: bij nader inzien pleegt u merkinbreuk, want er staan sinds kort advertenties op uw site. Dat meldde Ars Technica vorige week. De brief verraste de site-eigenaar nogal, omdat men al acht jaar bestond en nooit het idee had gekregen dat IKEA problemen zou hebben met de site.

Je pleegt merkinbreuk als je iemands merk gebruikt voor dezelfde of vergelijkbare producten of diensten op een manier die verwarring opwekt over de afkomst daarvan. Doen of je de merkhouder bent of dat het officiële merkproducten zijn, is de meest gebruikelijke vorm van merkinbreuk. Daarvan is geen sprake bij IKEAhackers.

Maar dat “doen of je de merkhouder bent” vereist niet een actieve kwade handeling. Niet duidelijk zijn over wie je wél bent, is eigenlijk al problematisch. Ik heb hier al eerder geblogd over Welkom bij merknaam-sites en gevallen als Talensshop waarbij die duidelijkheid ontbreekt in de naam. De eis is dus eigenlijk dat je actief duidelijk maakt dat je niet de merkhouder bent. Bij IKEAhackers denk ik persoonlijk dat dat wel goed zit: die term kun je alleen maar lezen als “mensen die IKEA spul hacken”, en dat kan logischerwijs niet IKEA zelf zijn.

Misschien als je zegt, het lijkt erop dat ze officieel zijn. Goedgekeurd door de IKEA. Maar daar zou ik tegenover willen zetten dat de term ‘hacker’ toch niet echt klinkt als een officiële term. “IKEAdealer”, ja dat wel. “IKEAwebshop”, oh zeker. Maar hácker?

Vereist is ook dat je commercieel handelt. En met advertenties op je site voldoe je daar wel aan. Maar het gaat natuurlijk wel érg snel om te zeggen “ik zie ons merk én advertenties, aanpakken die hap”. Want het kan wel, andermans merk gebruiken in je domeinnaam en sitenaam.

En nee, IKEA is niet verplicht iedere vorm van merkgebruik aan te pakken omdat ze anders haar merk verliest. IKEA moet ervoor waken dat haar merk geen generieke term wordt (“leuke ikeastoel, komt ie van de Leen Bakker?”) en dáár kan ze dus maar beter stevig optreden.

Maar ik zie eerlijk gezegd werkelijk geen reden waarom IKEA hiertegen zou moeten optreden. Het enige dat het oplevert, is slechte publiciteit – en een hackersclub die onder een andere naam precies hetzelfde gaat doen maar nu misschien óók de meubels van de concurrent gaat hacken. En dan ontdekt dat die nóg beter is. Dus nee. Gewoon jammere actie.

Arnoud

Hoe bewijs ik dat mijn grootouders niet online gokken?

Geplaatst op in Security, 85 reacties

bank-inloggen.pngEen lezer vroeg me:

Bij mijn grootouders is ongeveer 5.000 euro van de bankrekening gehaald. Dit is gebeurd via internetbankieren, er zijn credits bij een online casino gekocht via iDeal. Nu zegt de bank dat de transacties zijn gemaakt vanaf hetzelfde IP-adres als altijd. Zij schuiven de schuld dus terug, en mijn grootouders moeten nu bewijzen dat zij niet gokverslaafd zijn. Is dat niet de omgekeerde wereld?

Het is theoretisch mogelijk maar zeer onwaarschijnlijk dat een derde het IP-adres van dit huis heeft misbruikt. Het kan natuurlijk dat het betreffende draadloze thuisnetwerk niet goed genoeg beveiligd is, maar dat zou alleen verklaren hoe iemand het internet op kon via dat netwerk (en dus met dat IP-adres).

Voor internetbankieren is meer nodig: je hebt bij zo ongeveer alle banken een of ander apparaatje nodig (zie plaatje, de e.dentifier van de ABN Amro) dat werkt met je pinpas. Zonder pinpas zal inloggen op de banksite eenvoudig niet gaan. Kapen van zo’n beveiligde internetverbinding kán natuurlijk maar ik zou dat wel erg knap vinden.

Als het om een aankoop via creditcard is gedaan, dan zou ik wellicht nog denken aan misbruik van gestolen gegevens bij een andere site (zoals een webwinkel). Of Paypal: iemand kan het wachtwoord geraden hebben. Maar het bevreemdt wel dat dan óók het IP-adres van het slachtoffer is misbruikt. Waarom zou een creditcarddief die moeite nemen?

De grote vraag, hoe vervelend ook, is dus of het écht niet mogelijk is dat iemand in het huis dit gedaan heeft. Een huisgenoot, een schoonmaakster, een familielid dat op visite was. Want gezien deze feiten zie ik niet echt een cyber-/hack-verklaring als meest voor de hand liggend.

Hebben jullie nog tips?

Arnoud

Mijn school neust rond op mijn server, mag dat?

Geplaatst op in Ondernemingsvrijheid, Security, 22 reacties

terminal-screen-computer-ssh-loginEen lezer vroeg me:

Laatst zat ik op een schoolcomputer te internetten en ondertussen op mijn eigen server wat te doen (via ssh ingelogd). Ineens kreeg ik computerproblemen omdat een vriendje me een “grappige site” toe had gestuurd. Ik kwam er niet meer uit en moest de systeembeheerders erbij halen. Die gingen echter ook rondneuzen op mijn PC, want ze dachten dat ik aan het hacken was (“wat voor raar zwart/wit schermpje is dat”). Ook lazen ze mijn Gmail mail die nog openstond. Ik heb ze erop gewezen dat dat computervredebreuk was, maar ze gingen gewoon door. Wat kan ik nu het beste doen?

Dit is natuurlijk nogal ongepast, maar of het strafbaar is durf ik zo niet te zeggen. Volgens de wet is er pas sprake van computervredebreuk als je willens en wetens ergens binnendringt waarvan je weet dat je er niet mag zijn. Het gaat er niet (meer) om of je een beveiliging doorbreekt, maar of je op verboden terrein bent.

Wanneer een systeembeheerder gevraagd wordt om een probleem te herstellen, dan heeft hij daarmee impliciet toestemming om overal te komen waar hij redelijkerwijs zou moeten zijn om het probleem te detecteren of op te lossen. Heb je bijvoorbeeld een probleem met je mailbox waar een veel te grote bijlage in zit, dan mag de systeembeheerder in je mailbox om die bijlage eruit te vissen. Hij kan en mag dan mails doorkijken om te zien waar de bijlage zit. Natuurlijk heeft hij dan wel een geheimhoudingsplicht over wat hij aantreft (zie ook hier).

Je zou zeggen dat een beetje systeembeheerder zo’n “grappige” site wel herkent en snapt dat je dan de browser via taakbeheer moet afschieten. Maar als niet duidelijk is wat er precies gebeurt, dan lijkt het me logisch dat je even alle venstertjes afloopt om te zien of er iets draait dat de problemen kan veroorzaken. Lezen van Gmail lijkt me niet echt nodig. Dat hij de pagina bekijkt die toevallig open staat, zal onvermijdelijk zijn maar doorbladeren in de mailbox is echt niet toegestaan. Tenminste, tenzij daar een hele goede reden voor is – en die kan ik bij deze vraag zo niet bedenken.

Een openstaand ssh schermpje lijkt me ook niet direct relevant, maar ik kan me voorstellen dat je even wilt weten of dat niet een systeem van de school is. En nee, de titelbalk van het venster zegt daar niets over want die is eenvoudig aan te passen. Dus ook hier ben ik geneigd tot op zekere hoogte het systeembeheer gelijk te geven. Maar op het moment dat hij daar servers gaat herstarten of rootkits gaat installeren, zou ik denk ik wel tot arrestatie op staande voet overgaan.

Arnoud

Het einde van de power user, of waarom je Windows wél en Facebook níet mag tweaken

Geplaatst op in Innovatie, Security, 18 reacties

removeBij Buzzfeed las ik een intrigerend artikel: het einde van de power user. Daarin het relaas van de populaire Facebookextensie Social Fixer, die op zeker moment de nek werd omgedraaid door het sociale netwerk wegens “overtreding van de gebruiksvoorwaarden”. U weet wel, die voorwaarden die op elk moment kunnen wijzigen zonder dat dat iemand hoeft te worden verteld. Waarbij je niet eens in bezwaar kunt (of hooguit tegen een chatscript kunt aanklagen). Het is merkwaardig: willen bedrijven geen powerusers meer? Dat zijn toch vaak de grootste fans.

Veel software heeft ook eigen aanpasbaarheid: je kunt plugins installeren, of met een scriptingtaal eigen programma’s of functies maken. Zo heb ik een knopje dat mijn algemene voorwaarden aan een mail hangt (handig voor offertes) en een knopje dat een afbeelding in LibreOffice Presenter automatisch centreert en op maximale grootte weergeeft. Erg handig.

En kan de software het niet, dan zijn er vaak wel dingen van anderen die het wél mogelijk maken. Ik gebruik bijvoorbeeld Autohotkey, waarmee ik aan zo ongeveer alles een toetsenbordcombinatie kan hangen plus alles dat ik wil scripten en toegankelijk maken. Van het snel oproepen van een Notepad waar meteen het klembord in geplakt wordt (om snel te editten) tot het opruimen van mijn bureaublad op zondagmiddag.

Wil ik echter op Facebook iets simpels doen als mijn timeline op chronologische volgorde, dan móet je toch een partij moeilijk doen binnen de gewone interface. Plus na een week zet Facebook het gewoon weer terug naar je topverhalen. Argh. Gelukkig zijn ook dáár opties voor, zoals dat Social Fixer of F.B.Purity (dat ikzelf gebruik). Alleen, dat mag dus niet. Kennelijk, want voornoemd chatscript komt niet verder dan “het spijt me” of “dit is ons bedrijfsbeleid”.

Een juridisch argument voor het onderscheid heb ik niet. “Omdat het kan”, lijkt ook de conclusie uit het Buzzfeed-artikel te zijn. Als je een stuk software uitbrengt, heb je er gewoon geen controle over. Mensen kunnen scripts en dingen draaien die de werking aanpassen. Dat tegenhouden is zo goed als onmogelijk, tenzij je met zware DRM gaat werken of héél diep in het OS gaat ingrijpen. En dat kost een hoop developer-tijd, die je ook nuttiger kunt besteden (hoewel het bij spellen wél nuttig kan zijn, denk aan anticheatsoftware). Bij een online dienst kun je wél meer, het draait immers altijd op jouw server dus je kunt zo iets toevoegen dat de extensie of het script hindert, of een detector installeren die vervolgens de gebruiker bant.

Hier zit een diepere gedachte achter die niet per se des Sinterklaas is. En ik krijg daardoor steeds meer de overtuiging dat het tijd wordt eens wat wetten te maken speciaal voor online dienstverlening. We hadden in 2011 de zwartelijstweek, items die wat mij betreft verboden algemene voorwaarden mogen worden. En daar zou voor mij ook onder mogen vallen het verbieden van extensies of uitbreidingen die objectief gezien het genot voor de eindgebruiker ten goede komen (een beetje zoals een verhuurder niet mag eisen dat objectieve verbeteringen aan het pand moeten worden gesloopt bij einde huur). Wat jullie?

Arnoud

Tijd voor wettelijke productveiligheidsaansprakelijkheid?

Geplaatst op in Ondernemingsvrijheid, Security, 24 reacties

Een brakke ICT-beveiliging is niet strafbaar, maar wordt dat niet eens tijd? Vandaag de dag is ICT-veiligheid net zo essentieel als hardwareveiligheid. Apparatuur mag niet ontploffen en mag niet hackbaar zijn, punt. En misschien is dat laatste nog wel erger: dat je laptop ontploft is heel naar voor jou, maar dat 100.000 patiëntdossiers op straat liggen is toch 100.000 keer erger. Maar gek genoeg is de leverancier van de apparatuur waardoor die dossiers lekten, niet aansprakelijk en die ontploftelaptopfabrikant wel.

Kun je zoiets regelen? In theorie wel. Dat van dat niet ontploffen is namelijk al wettelijk geregeld. Een produkt is gebrekkig, indien het niet de veiligheid biedt die men daarvan mag verwachten, zo staat in art. 6:186 BW. Uiteraard in alle redelijkheid en met de presentatie en te verwachten gebruik van het product in het achterhoofd, plus kijkend naar de stand der techniek van toen het product uitkwam. Is een product dan toch fysiek onveilig, dan is de producent aansprakelijk – en dat is naast de feitelijk producent ook de Europese importeur.

Even heel simpel copypasten van het wetsartikel en je krijgt “Een ICT-product is gebrekkig indien het niet de beveiliging van gegevens biedt die men daarvan mag verwachten, gezien het beoogde gebruik, de stand der techniek ten tijde van verkoop en het te verwachten kennisniveau van de doelgroep”. Natuurlijk hou je nog steeds het probleem van hoe je de schade meet van een gelekt persoonsgegeven, maar dat is een andere discussie.

Met zo’n regel zou je dus kunnen zeggen dat het lekken van bedrijfsdossiers door een lekke consumentenrouter geen gebrek is: het beoogde gebruik was een toevallig voorbijfietsende wifizoekende buiten te houden, dit soort industriële spionage valt daarbuiten. Net zoals je geen fietsslot gebruikt om nucleaire wapens te beveiligen (ahem). En met die “stand der techniek”-opmerking voorkom je aansprakelijkheid voor later ontdekte hacks die je niet had kunnen weten bij het bouwen – maar hacks die je hád moeten weten, maken je product wel gebrekkig.

Dat van dat kennisniveau had ik bedacht omdat je bij ICT-producten vaak toch wel enig meedenken mag verwachten. Maar hoe veel, dat hangt dan af van de doelgroep. Die consument wil draadloos internet in z’n huis, en niet hoeven nadenken over wat nu een veilige WPA2 key is en of je nou wel of niet TKIP moest gebruiken en hoe je het serienummer van je Apple-laptop achterhaalt voor op de MAC-whitelist. Die router moet dus gewoon zo veilig mogelijk zijn ingesteld en een lang willekeurig wachtwoord met een sticker op de achterkant hebben.

Nadeel: dit leidt wel tot beperkte functionaliteit, want als die consument dan met een handige forumpost in de hand zijn netwerk gaat tweaken, krijgt hij allemaal disclaimers om z’n oren. (Net zoals ik laatst met mijn nieuwe mp3speler: wil je harder dan standje 15 dan moet je eerst bevestigen dat je dat op eigen gehoorsrisico doet. Want ik zou ze eens productaansprakelijk kunnen houden voor gehoorschade omdat ik het geluid op maximaal zet.)

Zou dit kunnen werken? Een verschil waar ik mee zit is dat een product meestal precies dat is: één product. Je kunt die batterij testen en anti-ontplofmaatregelen nemen, en dat gaat dan gewoon goed in die laptop. De batterij wordt niet ineens deel van een complex systeem met drie verschillende protocollen over elkaar heen en interactie met vijftien apparaten van verschillende leveranciers die allemaal nét even anders werken. En dat heb je wel bij computerapparatuur.

Arnoud

Overheid wil verdachten cybercrime kunnen hacken

Geplaatst op in Security, 12 reacties

De overheid wil bij verdenking van ernstige cybercrime-misdrijven op afstand een computer kunnen binnendringen, las ik bij Tweakers. De huidige wetgeving is verouderd, aldus minister Opstelten. Ze gaan er vanuit dat je gewoon de serverruimte binnen kunt lopen en de computer kunt afkoppelen en doorzoeken, en dat geldt vandaag de dag met cloud en SaaS en hype niet meer. Er moet dus meer ruimte komen voor opsporingsambtenaren< om binnen te dringen in computers elders ter wereld, en om met aftapsoftware op afstand waar te nemen wat daar gebeurt.

Op grond van de huidige wet (art. 125i Sv) mag men computers doorzoeken. Maar dat is nadrukkelijk alleen bedoeld voor situaties dat je fysiek in het datacenter bent. Er is dus een lacune in de wet als de computer fysiek op een onbekende plaats is, terwijl je een redelijke verdenking hebt dat daar gegevens staan die op een ernstig misdrijf wijzen. Dan moet je, aldus de minister, toch op afstand daar kunnen binnendringen en doorzoeken of aftappen wat daar gebeurt.

De minister voorziet meteen een wapenwedloop:

Criminelen weten dat de politie probeert om toegang te krijgen tot hun netwerken en gegevens en treffen daartegen maatregelen. Doorgaans worden de desbetreffende gegevens snel over het internet (wereldwijd) verplaatst c.q. de paden daartoe aangepast. Ook worden door criminele groeperingen dikwijls maatregelen getroffen om vast te stellen of derden, waaronder de politie, proberen zich toegang te verschaffen tot hun bestanden. Indien zij dergelijke signalen opvangen of vermoeden verplaatsen zij hun bestanden zo snel mogelijk en schuwen niet om indringers met digitale middelen te bestrijden.

En met dat verplaatsen is het risico reëel dat er ineens servers in een ver buitenland worden ingezet. Dat is een juridisch probleem, want onze politie mag alleen in Nederland optreden. Bij buitenlandse servers moet er een rechtshulpverzoek worden gedaan, maar dat kost natuurlijk tijd. Plus, bij wie moet je zijn als je de fysieke locatie van de server niet kunt achterhalen? Daarom stelt de minister een constructie voor waarbij men bij een onbekende serverlocatie mág hacken en gegevens ophalen. Is de locatie bekend, dan alsnog rechtshulpverzoek.

Ook een nieuwe gewenste bevoegdheid is het op afstand ontoegankelijk maken van gegevens. Stel je bent als agent binnengedrongen in een computernetwerk ergens diep in een duister stukje van de cloud (een regenwolk? sorry, flauw) en je treft daar strafbare gegevens aan. Dan moet je die toch kunnen wissen, is de gedachte. De Robert M-affaire en de via hem op TOR aangetroffen kinderporno is de situatie die moet bewijzen dat het op afstand wissen bij elk ernstig misdrijf gerechtvaardigd is.

Verder wordt het helen van digitale gegevens strafbaar. Gestolen persoonsgegevens of gekraakte creditcardgegevens in je bezit hebben is nu niet aan te pakken; pas het gebruik daarvan kan als fraude, oplichting of iets dergelijks worden vervolgd. Het deed me denken aan het onzalige plan van Hirsch Ballin als reactie op de Manon Thomas-zaak, waarin bleek dat het verspreiden van gestolen foto’s niet strafbaar was. Ik hoop dat dát buiten scope blijft.

De bevoegdheden kunnen niet zomaar worden ingezet: de machtiging van de rechter-commissaris zal elke keer nodig zijn, en het moet gaan om ernstige misdrijven (kort gezegd: minstens vier jaar cel). Dat dekt dus precies de drie ruiters en de voetganger van de Internetapocalyps: terrorisme, kinderporno, drugshandel en inbreuk op auteursrechten.

Ook is natuurlijk proces-verbaal opmaken verplicht, en moet alles worden gelogd en bewaard zodat dit achteraf raadpleegbaar is. Hopelijk ook door geïnteresseerde derden – maar de krampachtige houding bij inzage in tapgegevens belooft niet veel goeds.

Tsja, pfoe. Ik snáp het wel, en ik zou ook niet weten wat je anders moet doen als je alleen een serveradres hebt en je wéét dat daar strafbare zaken gebeuren. Maar het klínkt gewoon eng, een inbraakbevoegdheid. En er kan natuurlijk aardig wat misgaan: wat als je de verkeerde server hackt (of wist?), of wat als je achterdeurtje exploiteerbaar blijkt door criminelen?

Arnoud

Mag ik betaalde draadloze internet accesspoints hacken?

Geplaatst op in Security, 19 reacties

wifi-hotel.pngEen lezer vroeg me:

Ik begreep dat het niet illegaal is om een router te hacken en daarmee internet op te gaan. Nu vroeg ik me af, geldt dat ook bij betaalde diensten zoals internet in een hotel?

In maart heeft het gerechtshof Den Haag geoordeeld dat meesurfen met de buren geen computervredebreuk is. Het argument was dat een router/modem niet voldoet aan de definitie van ‘geautomatiseerd werk’ van de strafwet, zodat inbreken op zo’n apparaat niet strafbaar is. Bij het strafrecht worden definities streng toegepast, om te voorkomen dat je gestraft wordt voor iets dat niet duidelijk in de wet staat.

Velen vinden dit te streng (ik ook) en er is cassatie bij de Hoge Raad ingesteld. Ik zou dus niet heel hard op deze uitspraak durven vertrouwen.

Bij betaalde toegang tot internet is computervredebreuk niet het enige artikel dat je zou kunnen overtreden. Het kraken van een betáálinterface is echter apart strafbaar gesteld. Artikel 326c Strafrecht verbiedt het gebruik maken van een dienst die via telecommunicatie aan het publiek wordt aangeboden, als je dat doet met het oogmerk daarvoor niet volledig te betalen en wel door een technische ingreep of met behulp van valse signalen.

Dit artikel gaat primair over betaaltelevisie en dergelijke diensten, maar het lijkt me ook prima op te gaan voor betaalde internettoegang in hotels, restaurants etcetera. Ik zou dus niet aanraden een betaalde hotspotdienst te kraken, ook niet met deze uitspraak.

En dan nog een persoonlijke frustratie: wáárom is internet altijd zo kneiterduur in hotels? En dan met name in de duurdere hotels: ik heb kamers van 80 euro mét gratis internet gehad en kamers van 250 euro waar internet 7,95 per uur was.

Arnoud<br/> Foto: Jacek Becela, Flickr, CC-BY-SA.

Meesurfen met internet van de buren geen computervredebreuk

Geplaatst op in Security, 38 reacties

Nou, mooi is dat. Meeliften bij het internet van de buren is geen computervredebreuk, oordeelde het Hof Den Haag vorige week (via). Ook als je daarbij de router kraakt. Een router is namelijk geen “geautomatiseerd werk” in de zin van de wet, en je kunt alleen computervredebreuk plegen als je binnendringt in een geautomatiseerd werk. Dit is het hoger beroep van de 4chan-zaak.

In deze strafzaak had een jongen via het netwerk van de buren op het NSFL-imageboard een dreigende tekst geplaatst (“I”ll go and kill some peeps from my old school”). In eerste instantie oordeelde de rechtbank dat deze bedreiging niet serieus te nemen was omdat het motto van 4chan was “only a fool would take anything posted here as fact”. Daar komt het Hof op terug: gezien de context van enkele andere school shootings mocht je die bedreiging wel degelijk serieus opvatten, ook als deze niet daadwerkelijk zo bedoeld was.

Het oordeel dat er geen computervredebreuk bij de buren werd gepleegd, blijft in stand. Het Hof neemt de redenering van de rechtbank over dat er pas sprake kan zijn van een computerinbraak als je daadwerkelijk iets doorbreekt (wat dus niet klopt gezien de huidige wet). Maar belangrijker, het Hof stelt dat je op een router niet kunt inbreken omdat een router geen “geautomatiseerd werk” is. Artikel 80sexies Strafrecht definieert dat namelijk als

een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.

Het Hof interpreteert die “en” nu netjes als een AND: een apparaat moet alle drie die dingen doen met (een gegeven set) gegevens. En een router doet dat niet, want die slaat niets op.

Het hof stelt vast dat een router een schakelapparaat op de knooppunten van een netwerk zoals het internet is. Een router houdt een wachtwoord of gebruikerscode opgeslagen en zorgt, in opdracht van de gebruiker van die router alleen voor de verzending van gegevens naar de juiste bestemming.

Net als ik heeft ook ict-jurist Jan-Jaap Oerlemans grote moeite met dit arrest.

Ik denk dat artikel 80sexies Sr verkeerd wordt geïnterpreteerd en dit onwenselijke effecten met zich meebrengt. Wat als mensen spam of kinderpornografie over je beveiligde wifi-netwerk verspreiden? De onderhavige zaak illustreert overduidelijk een ander onwenselijk effect. Als via een ander wifi-netwerk misdrijven worden gepleegd en op basis van het IP-adres wordt getracht een verdachte te identificeren komen opsporingsdiensten bij de verkeerde persoon uit!

Het lijkt mij ook dat dit niet de bedoeling is geweest van de wetgever. Maar het staat er wel, en ik vrees dat we niet heel ver komen met dat een router een geheugen heeft voor firmware of dat er een buffer is die 0,1 seconde alle data vasthoudt. Echter, ik vond een sprankje hoop in de memorie van toelichting uit 1993:

een “geautomatiseerd werk”. Hieronder wordt verstaan elke inrichting die met technische middelen geschikt is gemaakt voor de opslag, verwerking of overdracht van gegevens. … Hieronder vallen dus computers, netwerken van aan elkaar verbonden computers en geautomatiseerde inrichtingen voor telecommunicatie (mijn cursivering)

Echter, bij de Eerste Kamer werd het “op te slaan en te verwerken”. En in 2006 werd het het huidige “op te slaan, te verwerken en over te dragen”, waarbij werd opgemerkt

Daarmee vallen niet alleen computers in de meer gangbare betekenis onder het begrip geautomatiseerd werk, maar ook computernetwerken en geautomatiseerde inrichtingen voor telecommunicatie, zoals telefoon en telefax.

In het Cybercrime-verdrag vond ik nog een definitie van “computer system” die hoopvoller klinkt:

any device or a group of interconnected or related devices, one or more of which, pursuant to a program, performs automatic processing of data

Onze wet moet immers passen binnen het Cybercrime-verdrag, dus daar kan de Hoge Raad wellicht nog wat mee in eventuele cassatie. Dat zal wel lastig worden, want tegen de letterlijke tekst van een wetsartikel ingaan met je interpretatie is heel erg moeilijk.

Ook kun je zoals mijn collega Paul Pols betoogt, verdedigen dat niet ingebroken is op de router maar op het netwerk, en dat slaat wel gegevens op naast ze te verwerken en versturen. Maar ik vrees dat dat niet gaat werken.

Een wetswijziging lijkt me dan ook nodig. Daarvoor nu gaan pushen vind ik eng, want dat gebeurt dan in het wetsvoorstel dat ook het OM de bevoegdheid zou geven websites te sluiten zonder gerechtelijk bevel.

Arnoud

Nieuw op Ius mentis: Ethisch en journalistiek verantwoord hacken

Geplaatst op in Iusmentis, 38 reacties

Ook journalisten moeten zich aan de wet houden. Maar als publicatie een maatschappelijk belang dient, kan het zijn dat de strafwet daarvoor moet wijken. Dit gegeven speelt een belangrijke rol bij publiceren over veiligheidslekken en ICT-problemen. Over dit onderwerp schreef ik een nieuw artikel op Ius mentis, mede gebaseerd op mijn presentatie over legaal hacken uit december vorig jaar.

De strafwet geldt voor iedereen. Het kraken van beveiligingen, inbreken in gebouwen of het wegnemen van documenten is verboden, en daarbij maakt het beroep dat je uitoefent niet uit. Maar onder uitzonderlijke omstandigheden kan een journalist vrijuit gaan met een beroep op de persvrijheid.

Wanneer een publicatie een maatschappelijk belang dient en niet verder gaat dan noodzakelijk voor dat doel, dan kan het toegestaan zijn om in die publicatie bijvoorbeeld te onthullen dat een bepaald systeem onveilig of lek is. Ook zou je onder die omstandigheden geheime of ‘gestolen’ informatie kunnen publiceren. Maar of je met een beroep op de persvrijheid een systeem mag platleggen bij wijze van protest, is een open vraag.

Lees verder in Ethisch en journalistiek verantwoord hacken op Ius mentis. En dan hoor ik graag wat er nog mist 🙂

Arnoud

RTL beschuldigt maker RTL Gemist-applicatie van overtreding auteursrecht

Geplaatst op in Intellectuele rechten, Security, 33 reacties

rtl-gemist-app.pngRTL Nederland beschuldigt een student, die een iPhone-applicatie met RTL Gemist-programma’s heeft ontwikkeld, van auteursrechtschending. Dat meldde, gisteren, Nu.nl (met irritante komma’s). Met deze applicatie kunnen de iPad-programmastreams worden opgevraagd vanaf RTL Gemist. Wie vanaf een mobiele telefoon RTL-programma’s wil bekijken, moet (soms) betalen per kijk.

Het is me niet helemaal duidelijk wie er nu voor het eerst “auteursrechtschending” heeft gezegd. De woordvoerder van RTL wordt geciteerd dat men dit “oneigenlijk gebruik” vindt, en dat kan ik ergens wel volgen, maar of het dan ook een schending van de Auteurswet oplevert, is vraag 2.

De streams worden niet gekopieerd of opnieuw uitgezonden. Gebruikers van de app vragen de stream op vanaf hun iPhone, maar deze komt nog steeds direct vanaf de originele plek (de server van RTL). In feite is dit dus niets anders dan een variant op embedded linken – en daarvan is zeer de vraag of het inbreuk op auteursrechten is.

Bovendien is er nóg een wezenlijk verschil: een webpagina met embedded viewer kan door meerdere mensen tegelijk worden bekeken, terwijl de stream op die app maar door één persoon wordt bekeken. Om van auteursrechtinbreuk te spreken, moet sprake zijn van “aanbieden aan een nieuw publiek” en niet van vertonen binnen de privésfeer. Het schermpje van een iPhone lijkt me evident een privéomgeving.

Wel kun je – in analogie met de ZoekMP3, Mininova, Pirate Bay en FTD-zaken – betogen dat dit onrechtmatig is: RTL loopt geld mis, en dat is niet netjes, daarom mag het niet. Maar ik moet zeggen dat ik dat een beetje een zwaktebod vind. Immers zo is alles wel krom te praten: als het concurreert met een “officiële” dienst en de officiële dienst is betaald, dan handelt de concurrent maatschappelijk onzorgvuldig door dat gratis te doen. Nee, dat gaat me te makkelijk.

Arnoud