Marechaussee mocht onder dwang vingerafdruk afnemen om telefoon te ontgrendelen

De Koninklijke Marechaussee mocht onder dwang de vingerafdruk van een verdachte afnemen om zijn telefoon te ontgrendelen, las ik bij Security.nl. De rechtbank Noord-Holland bepaalde dat dit legitiem was bij een verdachte die vorig jaar augustus was aangehouden op Schiphol aangehouden wegens het invoeren van drugs. De verdachte had betoogd dat dit in strijd was met het beginsel dat je niet tegen jezelf hoeft te getuigen, maar de rechtbank vindt dat onterecht.

In Nederland is niet expliciet geregeld dat opsporingsambtenaren vingers mogen zetten op sensors waarmee apparatuur van verdachten wordt ontgrendeld. Er is wel een algemene regel dat vingerafdrukken mogen worden genomen, maar het moet dan eigenlijk gaan om identificatie van de verdachte (art. 27a Strafvordering). Dat is toch wel even iets anders dan een vingerafdruk inzetten om een telefoon te openen. Maar bij een ernstig misdrijf mag er meer (art. 55c):

De foto’s en vingerafdrukken [van de verdachte] kunnen ook worden verwerkt voor het voorkomen, opsporen, vervolgen en berechten van strafbare feiten en het vaststellen van de identiteit van een lijk.

Met enige goede wil is “openen van zijn telefoon” wel te rekenen onder “opsporen van strafbare feiten”, als de data op die telefoon daar deel van uitmaakt, schreef ik in 2013. De rechter lijkt het nu met me eens te zijn, getuige de simpele opmerking dat

Een dergelijk bevel is vergelijkbaar met het (onder dwang) afnemen van vingerafdrukken voor opsporingsonderzoek. Het gaat om biometrisch materiaal wat onafhankelijk van de wil van verdachte bestaat en wat zonder zijn medewerking zou kunnen worden verkregen (…)

Complicatie was nog dat tegen de verdachte was gezegd “geef je pincode of ik forceer je vinger op de telefoon en unlock ‘m zo”. Het vragen om pincodes is wezenlijk anders, dat is wél een getuigenis die je dan vraagt. Het doet raar aan, want je hebt als agent gewoon de bevoegdheid om een vingerafdruk fysiek af te nemen als de verdachte tegenstribbelt. Dus waarom dan vragen om pincodes?

Maar omdat hier het ontgrendelen met de vinger wél legaal mogelijk was, ziet de rechtbank deze vraag niet als een verplichting om te getuigen tegen jezelf. Zeg maar hetzelfde als “zeg waar de huissleutel ligt of ik knal de deur open met deze stormram”.

Arnoud

Overheidsdienst nam duizenden gesprekken van advocaten op door softwarefout

De Nederlandse Dienst Justitiële Inrichtingen heeft drieduizend gesprekken van advocaten opgenomen door een softwarefout. Dat las ik bij Tweakers. De bron is een brief van de staatssecretaris waarin hij meldt van een incident: gesprekken van advocaten wiens nummer meerdere malen in de lijst met niet-opnemen-nummers stonden, werden wél opgenomen. Dit kwam uit nadat een advocaat het ontdekte (maar hoe dan?) en erover klaagde. De fout is nu opgelost.

Gezien het “van advocaten die meerdere malen voorkomen” zie ik het nog wel als reëel dat het echt een programmeerfout was. Een simpele verklaring is dat de te matchen nummers normaal als tekststring binnenkomen en nu als lijst met de meerdere nummers. Vergelijken van een string met een array zal nooit een match opleveren, dus dan komt dit gesprek door de check heen en wordt het alsnog opgenomen.

De grotere vraag is waarom de DJI dit nooit merkte bij het terugluisteren van de taps. Mogelijk doen ze dat alleen steekproefsgewijs, en het aantal advocaten met twee geregistreerde nummers zal klein zijn dus in theorie is het altijd toevallig goed gegaan. Maar het is natuurlijk ook goed denkbaar dat er DJI-mensen waren die wél meeluisterden. Ik zou het dan wel héél riskant vinden om er wat mee te doen, want als je wordt betrapt heb je geen enkel excuus.

Idem als je het doorbrieft aan een agent die bezig is met een onderzoek. Die kan er niets mee in het dossier, want leg eens uit waar dat bewijs vandaan komt? Natuurlijk is softe informatie handig om te hebben maar dit kan je hele onderzoek besmetten omdat de overtreding dermate ernstig is. Dus ja, het is denkbaar maar zelfs agenten die de wet willen breken, zullen denk ik even twee keer nadenken bij deze bron van informatie.

Arnoud

“Google kan op afstand beveiliging smartphones uitzetten”

android-screen-lock-wachtwoord-passwordGoogle kan de schermbeveiliging van een Android-telefoon op afstand uitzetten als een rechter daarom vraagt, las ik bij de NOS. Een Amerikaanse district attorney onthulde dat onlangs. Dit schijnt nieuws te zijn, maar dan toch korte termijn: vanaf binnenkort hebben Androidtoestellen diskencryptie en dan heb je niets aan deze truc.

Het is op zich niet nieuw dat Google als leverancier van een product door Justitie gevraagd wordt dit product open te maken. Dergelijke procedures bestaan nu ook al, van de fabrikant van een brandkast vragen deze open te maken tot een portier vragen aan te wijzen waar kamer 613 zich bevindt.

Wel nieuw (voor mij) is dat Google dit ook op afstand kan. Juridisch lijkt me dat niet erg spannend; een brandkastfabrikant kan ook per telefoon melden wat de stappen zijn om die kluis open te maken, zou ik denken.

Spannender wordt het als we straks verplichte versleuteling hebben in Android (vanaf versie 6.0). Dan kan Google niet meer op afstand de code van het lockscreen wijzigen of toegang verschaffen tot de informatie. Tenzij ze een achterdeur inbouwen, iets dat weer ter discussie gesteld wordt naar aanleiding van Parijs – hoewel die aanslagen niets te maken hadden met sterke encryptie.

Helaas kan ik de tekst niet vinden van dit wetsvoorstel. Maar hoe dan ook, het fundamentele punt blijft: hoe ga je mensen dwingen hun wachtwoord af te geven als ze dat niet willen?

Als alternatief kun je natuurlijk zeggen, dan verplichten we dienstverleners om alleen nog encryptie met achterdeurtjes te bouwen. Dat idee zwerft ook al twintig jaar rond in de politiek, dus dat zal ook wel weer afgestoft worden bij dit soort voorstellen. Waarom mag Joost weten: iedereen snapt toch dat een dergelijk achterdeurtje gekraakt zál worden en dat het dus een heel slecht idee is?

Arnoud

Mag de politie een Blackshades-command en control server hacken?

blackshadesHet Team High Tech Crime van de Nederlandse politie is een server van Blackshades binnengedrongen en heeft op die manier informatie veiliggesteld, meldde Nutech onlangs. Dit in het kader van een strafrechtelijk traject tegen de beheerders, waarbij ook invallen in 34 Nederlandse huizen werden gedaan. Hoogst opmerkelijk, want er is nog steeds geen wettelijke grondslag voor het binnendringen van servers door de politie.

Blackshades is een remote access tool dat als malware wordt verspreid om zo op afstand geïnfecteerde computers te kunnen overnemen. Eén van de features is het gijzelen van bestanden totdat er wordt betaald, een steeds populair wordende truc.

Om dergelijke netwerken te kunnen beheren, zijn zogeheten command & control servers nodig. En het Team High Tech Crime wist toegang te krijgen tot deze servers, ongeveer zoals ze deden in 2010 met het Bredolab-netwerk.

Er was toen veel discussie of dat wel mag eigenlijk, hackende politie. Het idee is namelijk dat de politie niets mag, tenzij dit wettelijk geregeld is. (En nou ja, kleine dingen die de grondrechten van de burger niet raken zijn toegestaan in artikel 3 Politiewet). En nergens in de wet staat dat ze in mogen breken in een c&c server van een criminele botnetbeheerder.

Er ligt al een tijdje een wetsvoorstel Computercriminaliteit III waarin expliciet een dergelijke bevoegdheid opgenomen is:

1. In geval van verdenking van een [ernstig misdrijf] kan de officier van justitie, indien het onderzoek dit dringend vordert, bevelen dat een opsporingsambtenaar als bedoeld in artikel 141, onder b, of een buitengewoon opsporingsambtenaar als bedoeld in artikel 142, eerste lid, onder b, binnendringt in een geautomatiseerd werk of een daarmee in verbinding staande gegevensdrager, bij de verdachte in gebruik, en met een technisch hulpmiddel onderzoek doet …

De Memorie van Toelichting noemt dit een “nieuwe bevoegdheid voor opsporingsambtenaren”. En dat geeft gelijk een leuk juridisch argument: als het in een nieuwe wet toegestaan wordt, dan is het onder de huidige dús niet toegestaan.

In het Nutech-artikel wordt gemeld dat de rechter-commissaris hiervoor een machtiging heeft afgegeven. Leuk, maar onder welk artikel dan? Ik kan niet bedenken welk wetsartikel men hiervoor zou inzetten. Hooguit het in beslag nemen van de server en deze dan doorzoeken. Dat mag al, hoewel je dan wel fysiek de server mee moet kunnen nemen. En dat is volgens mij niet gebeurd.

We hebben het hier al over gehad maar zou het een goed idee zijn, zo’n hackbevoegdheid?

Arnoud

Wetsvoorstel computercriminaliteit: terughackbevoegdheid, webcammeekijkrecht, decryptiebevel en wereldwijde rechtsmacht bij cybercrime

team-high-tech-crimeMinister van Veiligheid en Justitie Ivo Opstelten wil de politie de mogelijkheid geven om fors in te grijpen tegen hackers, meldde NRC en vele andere media. In een nieuw wetsvoorstel tegen cybercrime stelt hij voor de politie een terughackbevoegdheid en een webcamgluurrecht te geven. Oh ja, en weigeren je wachtwoord te geven wordt strafbaar.

Het wetsvoorstel bevat een al lang liggend verlanglijstje van Justitie om meer bevoegdheden te krijgen. Zo wordt het apart strafbaar gesteld om gegevens te ‘helen’, oftewel gegevens over te nemen die niet openbaar zijn. Dit naar aanleiding van de Manon Thomas-zaak, waarin er strafrechtelijk weinig te doen was tegen de publicatie van via computervredebreuk verkregen privéfoto’s van de bekende Nederlandse. Dat kan nu wel – een jaar cel – maar “overnemen van niet-openbare gegevens” is gelijk wel een pondje zwaarder dan “publicatie van gevoelige privégegevens”.

De gegevens hoeven niet via computervredebreuk verkregen te zijn. Een laptop ouderwets jatten en dan de inhoud op pastebin zetten is ook strafbaar als dit wet wordt. Netjes is wel dat er een expliciete uitzondering is opgenomen voor serieuze journalistiek:

Niet strafbaar is degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang bekendmaking van de gegevens vereiste.

Het decryptiebevel. Tsja. Zoals de minister zelf al zegt:

De verdachte kan zich erop beroepen niet in staat te zijn aan het bevel te voldoen omdat hij niet in staat is de sleutel te reproduceren.
Dat levert dan overmacht op, waardoor hij niet strafbaar is. Maar de rechter mag wel zijn conclusies trekken over hoe geloofwaardig dit overkomt en wat dat betekent voor de rest van het bewijs. Opmerkelijk is nog dat het bevel alleen gegeven mag worden bij terrorisme en kinderporno, want dan durft niemand er tegen te zijn.

Verder wordt de gerechtelijke toets bij weghaalbevelen voor tussenpersonen (zoals hostingpartijen) toch niet geschrapt. Wel wordt de regeling herschreven maar voor zover ik kan zien, is dat vooral een verduidelijking. De belangrijkste aanvulling is dat er nu eindelijk een klachtmogelijkheid is tegen een dergelijk bevel.

Meest controversieel is toch wel de hackbevoegdheden die Justitie gaat krijgen onder dit wetsvoorstel. Men mag binnendringen in een computer, router of cloudserver waar de verdachte gebruik van maakt (ja, ook als hij niet de enige is) en deze “onderzoeken” om vast te stellen wie de eigenaar is of waar het apparaat staat. Maar ook alle gegevens overnemen “die noodzakelijk zijn om de waarheid aan het licht te brengen” – de wettelijke definitie van “bewijs vergaren”. Wel moet sprake zijn van een ernstig delict, en er moet toestemming zijn van de rechter-commissaris.

Hiermee mag dus ook de cloud gehackt worden – en neemt Nederland dus rechtsmacht aan voor alle cloudservers waar ze bij kunnen.

Aangenomen wordt dat bevoegdheden als de ontoegankelijkmaking of het veiligstellen van gegevens tot de eigen territoriale beschikkingsmacht behoort voor zover de Nederlandse strafwet toepasselijk is op het strafbare feit dat wordt opgespoord. De noodzaak tot onverwijld optreden maakt dit onvermijdelijk en ook volkenrechtelijk goed verdedigbaar. Dit betekent dat wanneer de plaats van opslag van de gegevens niet bekend is, zelfstandig kan worden opgetreden.

En wij maar piepen als de FBI gaat datagraaien in Europese computers onder hun Patriot Act.

Met een apart bevel mag men ook communicatie aftappen, vertrouwelijke communicatie opnemen en de verdachte stelselmatige observeren – inderdaad, de politie mag dan je webcam stiekem aanzetten en meekijken. Hiervoor komt een aanvulling op het Besluit technische hulpmiddelen strafvordering, waarin nu al staat wanneer de politie met richtmicrofoons of camera’s mag afluisteren of meekijken.

De hiervoor te gebruiken software lijkt nog te moeten worden ontwikkeld:

De softwareapplicatie dient te zijn gecertificeerd. De eisen voor de certificatie worden neergelegd in het Besluit technische hulpmiddelen strafvordering. Dit brengt met zich mee dat de mogelijkheid bestaat om technische hulpmiddelen van verschillende leveranciers te betrekken, op voorwaarde dat deze middelen aan de wettelijke eisen voldoen.

Harde eis: In het geval dat de software wordt herkend, is het van essentieel belang dat deze niet te herleiden is tot de politie. Eh.

Arnoud

Wat moeten wij met het nieuwe wetsvoorstel computercriminaliteit?

Plannen voor een nieuwe wet computercriminaliteit. Dat zou alweer de derde worden. Er is al veel over geschreven over het afsluitbevel, en ook vanwege mijn vakantie houd ik het kort (goed he, Steven?). Wie zin heeft in uitgebreid & diepgaand, leze Jan-Jaap Oerlemans’ analyse.

Allereerst dat afsluitbevel. Op zich is het nu al mogelijk (art. 54a Strafvordering) om een internetprovider of hoster te bevelen een website offline te halen of materiaal te blokkeren als deze kennelijk strafbaar is. Alleen is nu een machtiging van de rechter-commissaris nodig, dus van de rechterlijke macht. Volgens het wetsvoorstel zou een bevel van de officier van justitie genoeg zijn, waarmee de onafhankelijke toets komt te vervallen.

Bits of Freedom maakt terecht bezwaar tegen deze ‘censuur’. Voor mij is daarbij het belangrijkste argument dat het niet goed werkt, zoals Schellekens, Koops en Teepe in 2007 al concludeerden. Plus natuurlijk het argument dat nergens uit blijkt waar dit voor nodig is. Het enige dat ik kan bedenken is dat rechters-commissarissen niet altijd zomaar een machtiging afgeven, maar dat lijkt me een wat wankel argument.

Ook ergerlijk vind ik het idee om het opnemen van gesprekken te verbieden zonder instemming van de wederpartij. Dat is nergens voor nodig, en zal in de praktijk voor veel problemen zorgen. Bewijs vergaren bij niet-schriftelijke transacties wordt ontzettend moeilijk als je geen geluidsopnamen van de onderhandelingen of andere gesprekken kunt maken. Want natuurlijk gaat een malafide handelaar geen toestemming geven. Ik zou wellicht iets zien in een publicatieverbod (tenzij zware maatschappelijke noodzaak) maar het opnemen zelf moet te allen tijde kunnen als je deelnemer bent.

Ook wordt er een artikel voorgesteld dat het overnemen van “niet openbare gegevens zonder toestemming” verbiedt. Hiermee wil men sites aan kunnen pakken die gestolen gegevens herverspreiden. De aanleiding was de Manon-Thomaszaak, wier gestolen foto’s op diverse sites opduikten zonder dat daar strafrechtelijk wat aan gedaan kon worden. De dief kon wel worden vervolgd (computervredebreuk met gegevensdiefstal) maar het herpubliceren van zulke informatie is geen heling.

Alles bij elkaar zie ik weinig voordeel in dit wetsvoorstel. De WCC II was zeker een verbetering ten opzichte van de wet uit 1993, maar dit concept-WCC III mag wat mij betreft meteen naar de prullenbak.

Arnoud

OM: “downloaden niet langer gedogen” – was dat illegaal dan?

Het Openbaar Ministerie gaat in hoger beroep in de strafzaak over het aanbieden van links naar inbreukmakende werken. In die zaak werd beslist dat het aanbieden van zulke links medeplichtigheid aan inbreuk op auteursrecht kan opleveren. In De Telegraaf legt het OM uit waarom ze hoger beroep aantekenen:

“Het is bijna normaal geworden om illegale kopieën in bezit te hebben”, aldus officier van justitie Annemieke Drogt. “Nederlandse websites die toegang bieden tot kwalitatief hoogwaardig materiaal, breiden zich uit als een olievlek. Met deze eerste strafrechtelijke vervolging geven we een signaal af: dit accepteren wij in ons land niet langer.”

Nou kan het OM wel van alles vinden, maar voordat iets strafbaar is, moet het toch echt bij wet verboden worden. Opzettelijke inbreuk op het auteursrecht is een misdrijf (art. 31 jo. 33 Auteurswet), dat is waar. Ook het “bewaren uit winstbejag” van een voorwerp met daarop een inbreukmakend werk is strafbaar (art. 32 sub d Auteurswet). Dus aanpakken van sites die werk aanbieden, of links daarnaar, kan inderdaad op grond van de strafbepalingen uit de auteurswet.

Maar die eerste zin verhoudt zich moeizaam tot het Nederlands recht, zou mijn docent Encyclopedie Rechtsgeleerdheid zeggen. Hoezo illegale kopieën in bezit hebben? Veel gedownload werk is een thuiskopie: een kopie die voor strikt eigen gebruik gemaakt wordt en niet met anderen wordt gedeeld. De thuiskopie is legaal, punt uit. En een legale thuiskopie is geen inbreuk op het auteursrecht. Het hebben of maken van een thuiskopie is dus ook geen strafbaar feit.

Ja, dat roep ik al sinds april 2002. Maar ik ben heus niet de enige.

De rechter in de zaak TechnoDesign versus BREIN:

Anderzijds heeft de wetgever blijkens zowel de huidige Auteurswet en de Wet op de naburige rechten als de reeds genoemde Richtlijn en het daaruit voortvloeiende Wetsontwerp bepaald dat op zichzelf het kopiëren (in dit geval door middel van downloaden) van een inbreuk-makend/illegaal mp3-bestand voor eigen gebruik, geen strijd met de Auteurswet of de wet op de naburige rechten oplevert.
In het hoger beroep werd hier niet verder op ingegaan: “Of deze ontvanger recht heeft op een zogenoemde ’thuiskopie’ kan daarom in dit verband verder onbesproken blijven.”

Antwoord op kamervragen aan de Minister van begin augustus:

Vraag 3
Geldt [de thuiskopie-regeling] ook voor het aanbod van werken op het Internet die nog niet legaal voor het publiek te koop zijn of openbaar gemaakt zijn? Kunt u uw antwoord toelichten?
Antwoord
Artikel 16c Auteurswet stelt niet de eis dat een privékopie uitsluitend mag worden gemaakt van een legale bron. Het ontbreken van de eis dat het origineel ‘legaal’ moet zijn leidt tot een voor consumenten ruimhartig thuiskopieregime. Inherent daaraan is dat van een illegale bron legale privékopieën kunnen worden gemaakt, voor zover de overige wettelijke voorwaarden in acht worden genomen (Kamerstukken II, 2002-2003, 28 482, nr. 5, blz. 33 en Kamerstukken II, 2002- 2003, 28 482, nr. 8, blz. 13). Daaraan heeft allereerst het feit ten grondslag gelegen dat artikel 5, tweede lid, onderdeel b, van Richtlijn nr. 2001/29 van het Europees Parlement en de Raad van de Europese Unie betreffende de harmonisatie van bepaalde aspecten van het auteursrecht en de naburige rechten in de informatiemaatschappij (PbEG L 167; hierna: de richtlijn) evenmin de voorwaarde van de legale bron stelt. Verder kan in een Internetomgeving van een gebruiker over het algemeen niet worden gevraagd te beoordelen of er al dan niet sprake is van een legale dan wel illegale bron. Voorts werd betwijfeld of de introductie van dit onderscheid bij de thuiskopieregeling wel handhaafbaar zou zijn (Kamerstukken II 2002-2003, 28 482, nr. 5, blz. 33), omdat het thuiskopiëren zich bij uitstek in het privédomein van de consument afspeelt.

Uit het daarboven genoemde Kamerstuk 28 482, nr. 5, blz. 33:

Het ontbreken van de eis dat het origineel legaal moet zijn, kan er dus toe leiden dat van een illegale bron legale privé-kopieën worden gemaakt, voor zover de overige voorwaarden die artikel 16c stelt in acht worden genomen. De beperking inzake privé-kopiëren staat het niet toe dat zo’n kopie wordt afgegeven of wordt openbaar gemaakt. … Het heeft mijn voorkeur dat alleen van een legale bron een privé-kopie wordt gemaakt.

Uit het daarboven genoemde Kamerstuk 28 482, nr. 8, blz. 13:

[De thuiskopie-regeling] verbindt aan het privé-kopiëren de voorwaarde dat een vergoeding wordt betaald. Die vergoeding is verschuldigd ongeacht of er sprake is van een legale of illegale bron en wordt geheven bij de producent of importeur en doorberekend aan de consument. Indien bij de vaststelling van de vergoeding de privé-kopie van een illegale bron niet in aanmerking zou worden genomen, dan zou de gebruiker die illegale werken kopieert in feite goedkoper uit zijn. De wet zou dan een premie zetten op gebruik van illegaal werk. Dat dat niet de bedoeling kan zijn verklaart dat ook de richtlijn niet de beperking stelt dat het moet gaan om een legale bron. Het feit dat een heffing is betaald legitimeert overigens niet dat een kopie daarvan vervolgens in omloop of anderszins in het verkeer wordt gebracht. Dat blijft niet toegestaan. Evenmin is toegestaan een privé-kopie in opdracht van derden te maken of een privé-kopie af te geven.

(Deze twee links met dank aan GeenCommentaar.nl’s Parlando maar dan goed)

En al in 2000 schreef auteursrechtexpert en hoogleraar Bernd Hugenholtz:

Downloaden is reproduceren, daarover zijn de auteursrechtgeleerden het wel eens. Is hier sprake van kopiëren voor eigen gebruik? Vermoedelijk wél; als het kopiëren van gehuurde of geleende CD’s is toegestaan, moet het downloaden van Napster-bestanden ook kunnen.

Arnoud