Tag: Logfile

About Logfile

Subscribe Feeds

Mag de politie je Tesla leegslurpen bij een strafrechtelijk onderzoek?

Geplaatst op in Regulering, Security, 23 reacties
webandi / Pixabay

De data die in Tesla’s is opgeslagen bevat een schat aan informatie voor strafrechtelijke onderzoeken, las ik bij Security.nl, op gezag van het Nederlands Forensisch Instituut (NFI). Dat was erin geslaagd  gecodeerde rijgegevens die Tesla opslaat in haar auto’s uit te lezen, te vertalen en te publiceren. Volgens de onderzoeker is het belangrijk om te weten welke data de auto allemaal opslaat, zodat justitie weet welke gegevens het kan vorderen en hoe exact die gegevens kloppen met de werkelijkheid. Maar mag dat?

Het artikel meldt meteen al hoe het nu gaat: de politie komt met een bevel van de officier van justitie bij Tesla en die lezen het op afstand uit. Dat moet ook wel, want Tesla’s zijn niet zo eenvoudig toegankelijk dat je ze met standaardspullen open kunt maken en de data naar een USB-stick kunt halen.

De experts van het NFI is het dus wel gelukt, en bij het lezen van het paper viel op dat het dus wél een kwestie is van auto openmaken en SD-kaart uitnemen:

Acquiring this micro-SD card requires access to the ‘car computer’ located in the passenger footwell, behind the glovebox. On Autopilot generation 2 and 2.5 systems, there is a metal cover on  the bottom left corner (when viewing it from the footwell) that can be unscrewed to reach the PCB and subsequently the SD card as shown in Figure 2.
Vervolgens blijk je de kaarten gewoon te kunnen lezen als typische Linux-logbestanden, dus platte tekst en je kunt met een beetje raden al achterhalen wat er staat. De onderzoekers hebben dit geverifieerd door de logs te vergelijken met wat ze met een bevel bij Tesla hadden gekregen. Identiek, alleen beperkt Tesla de resultaten tot exact het gevraagde interval en de genoemde gegevens uit het bevel.

Logisch, maar wel lastig voor Justitie want je moet wel weten wat je kunt vragen. Dat is dan ook de meerwaarde van dit onderzoek: weten wat een Tesla allemaal logt, zodat je gerichter kunt vragen.

Maar mij bekruipt dan de gedachte, móet je Tesla nog wel wat vragen als je die SD-kaart gewoon uit de auto kunt halen?

Dit is een open vraag volgens mij. In 2017 bepaalde de Hoge Raad dat de politie smartphones van verdachten niet zomaar mag doorzoeken, omdat deze een zeer persoonlijk voorwerp van mensen vertegenwoordigen:

Indien dat onderzoek zo verstrekkend is dat een min of meer compleet beeld is verkregen van bepaalde aspecten van het persoonlijk leven van de gebruiker van de gegevensdrager of het geautomatiseerde werk, kan dat onderzoek jegens hem onrechtmatig zijn.
Er is geen expliciete wettelijke regeling, het mag als er bewijs te verwachten valt maar hoe breder de scope van het onderzoek, hoe meer waarborgen men moet nemen bij het onderzoeken. En het maakt daarbij niet uit of je de telefoon moest ontgrendelen of kunstgrepen moest uithalen om bij de data te kunnen.

Ik zou zeggen dat een auto gelijk te stellen is aan een telefoon qua persoonlijk en wat je over iemand te weten kunt komen. Dan kom je dus in hetzelfde kader terecht als wat de Hoge Raad voor smartphones schetste, en zal al te gretig uitlezen van allerhande logs dus onrechtmatig verkregen bewijs opleveren. Maar omgekeerd: als je heel gericht gaat zoeken op basis van een concrete verdenking, dan is dat niet perse een probleem.

Een interessante is dan nog in hoeverre “je kunt het ook aan Tesla vragen met een bevel” relevant is. Dit voelt gek, maar door het via Tesla te spelen maak je het zorgvuldiger. Dat bedrijf maakt dan als professionele partij immers een afweging, er zit zo een extra check op.

Arnoud

“U krijgt geen logs van hackpogingen want dat is strijdig met de privacy”

Geplaatst op in Privacy, Security, 15 reacties

ip-adres-logfile-logbestandEen lezer vroeg me:

Mijn account bij AirBNB was gekaapt, en alleen met heel veel moeite heb ik de toegang terug kunnen krijgen. Nu wil ik achter de kaper aan, en daarvoor heb ik IP-adressen en tijdstippen van inlogpogingen nodig. AirBNB wil me die echter niet geven, omdat dit onder de privacywet niet zou mogen. Ik moet een gerechtelijk bevel halen, zeggen ze. Maar het gaat toch om mijn account?

Het voelt een beetje als een gemakzuchtig standaardantwoord, zo’n reutelzin over dat men de privacy serieus neemt en alleen met een gerechtelijk bevel IP-adressen afgeeft.

In het algemeen snap ik het, je gaat niet Jan en alleman IP-adressen geven omdat ze erom vragen. Maar specifiek bij deze situatie doet het wat gek aan: het betreft hier de accounteigenaar die wil weten wie zijn account heeft gebruikt. Dus wiens privacy wordt er dan beschermd?

Een inbreker kan bij het begaan van zijn activiteiten geen privacy verwachten, dus ligt het niet voor de hand om op die grond afgifte van IP-adressen te weigeren. Maar niet iedere login van een ander is automatisch van een inbreker. Een partner, assistent of werknemer kan ook ingelogd hebben, en dan wordt het ineens iets genuanceerder of de vrager de IP-adressen en logintijden mag hebben. Je zou dat (in theorie) kunnen gebruiken voor oneigenlijke doelen zoals die persoon lastigvallen. Maar toegegeven, dat voelt nogal theoretisch. (Hoewel? Wil je iemand opsporen, leg dan een telefoon met in zijn/haar auto en vraag een week later aan de provider waar die telefoon allemaal langs geweest is. Scheelt weer een dure GPS-doorbelverbinding.)

Wat vinden jullie? Mag de beheerder van een account altijd de IP-adressen et cetera van alle inlogs? Of zijn er situaties dat hij dat niet behoort/hoeft te weten?

Arnoud

Berispt vanwege een MSN-chat, mag dat?

Geplaatst op in Ondernemingsvrijheid, Privacy, 6 reacties

Een lezer vroeg me:

Recent kreeg ik een berisping op het werk. Dit was naar aanleiding van een MSN-chat die ik met een collega had gehad. Deze stond toevallig leesbaar op haar computerscherm op het werk, maar de chat zelf was tijdens de lunchpauze vanaf priveadressen gevoerd. Mag mijn werkgever me dan toch aanspreken op zulke privegesprekken? Ze mogen toch ook niet onze gesprekken in de kantine afluisteren?

Nee, afluisteren mag niet, maar de werkgever mag natuurlijk wel meeluisteren als hij toevallig ook in de kantine zit. En om diezelfde reden mag hij ook lezen wat er op openstaande beeldschermen vertoond wordt. Ik zie dan ook werkelijk niet hoe je dit als privacyschending zou kunnen opvatten.

Een werkgever mag zulke gesprekken niet met technische middelen aftappen (bv. via de server alle chats opnemen of een remote desktop tool installeren om stiekem mee te kijken) maar als jij je schermpje open laat staan, dan zijn de negatieve gevolgen voor eigen risico.

Een grensgeval lijkt me als je het MSN-schermpje geminimaliseerd had of achter een ander scherm had staan. Dan moet de langslopende manager actief gaan rondzoeken voor hij het ziet, en dat lijkt me niet echt de bedoeling. Maar is het met één oogopslag te zien, dan kan men dat gewoon gebruiken.

Arnoud

Mag je je kinderen in de gaten houden op de PC?

Geplaatst op in Privacy, 25 reacties

Wellicht naar aanleiding van het Amerikaanse webcamgate waarin een school de webcams op uitgedeelde laptops bleek te gebruiken om leerlingen thuis te bekijken, vroeg een lezer me:

Mag je als ouder ongemerkt een programmaatje installeren op de pc van je eigen zoon of dochter met het doel hem of haar beter in de gaten te kunnen houden?

Ik denk dat het juridisch wel mag. Binnen de familiekring zal de privacyverwachting niet erg groot zijn. Bovendien hebben ouders een zorgplicht voor hun kinderen, en daar hoort ook bij dat je oppast dat ze geen verkeerde dingen doen.

Ik vind wel dat je als ouder heel heel erg terughoudend moet zijn met zo’n controle. Ook kinderen hebben recht op privacy en als ouder zomaar alles gaan bijhouden en bekijken vind ik een ernstige schending van dat recht. Hoofdregel bij privacy is dat er een aantoonbare noodzaak moet zijn op grond waarvan je kennis neemt van die gegevens.

Ik zou dus in ieder geval je kind uitleggen wat je bijhoudt en waarom, en zorgen dat je niet uit nieuwsgierigheid zomaar chats gaat lezen, foto’s bekijkt of privemails aan vriendjes of vriendinnetjes gaat doornemen.

Arnoud

Chatlogs als bewijs bij ruzie over geldschuld

Geplaatst op in Informatiemaatschappij, 1 reacties

Een chatlogfile is prima als bewijs te gebruiken, ook al is deze triviaal te vervalsen.

Onlangs wees ik op een artikel van Jurofoon over de rechtsgeldigheid van e-mail. Daarin werd verwezen naar prints van MSN-gesprekken als bewijs.

Een lezer wees mij op het LJN van die chatzaak: LJN AZ2287. In deze zaak ging het om de vraag hoe veel de gedaagde nog schuldig was aan de eiseres. De gedaagde zei 600, de eiseres had meer verwacht. Dat was het moment om de chatlogs er even bij te pakken (wie wat logt, die heeft wat):

[21:08:07] [gedaagde]: eej..weet je nog van die berekening van het geld? was toen 600..heb ik nu 2 of 3 x 50 gegeven..ik dacht zelf 2x..
[21:08:42] [gedaagde]: ik ga [x en y] om geld vragen en wil ik vanalles in 1x afbetalen..dan heb ik nog maar 1 pot
[21:08:56] [eiseres]: ja was volgens mij nog maar 2x idd
[21:09:02] [gedaagde]: ja dacht ik ook al
[21:09:03] [eiseres]: ow mja da’s wel handig 😀
[21:09:53] [gedaagde]: ja joh..want [z] heb ik ook gegeven (…) maar ik wil nu gewoon van alles af! maar dan hoor je dat nog van me en krijg je het in 1x.

Wat zien wij daar op 21:08:07? Inderdaad, gedaagde die 600 euro meent schuldig te zijn. En, belangrijker, op 21:08:56 eiseres die impliciet toegeeft dat dat klopt. Hier had zij dus moeten piepen dat het meer dan 600 euro was.

Natuurlijk zijn logfiles triviaal te vervalsen, maar daar ging het hier niet om. Bewijs is zo veel waard als de rechter het waard vindt. En in deze zaak waren beide partijen het eens over de inhoud van de chat op die datum. En dan is een logfile prima bewijs.

Arnoud