Hoe bewijs ik dat de gespreksopname is gemanipuleerd?

| AE 6704 | Security | 26 reacties

Een lezer vroeg me:

Ik werd onlangs gebeld door een bedrijvengids, die me vroegen of mijn gegevens in hun gids kloppen. Maar mijn “ja!” is nu gemonteerd in een gespreksopname achter de vraag “Wilt u een betaald abonnement voor $veel”. Ze dreigen nu met een dagvaarding! Hoe kan ik bewijzen dat ik dit niet gezegd heb?

Er zijn geen formele eisen waarmee je een geluidsopname van tafel krijgt. Dat het een .wav of .mp3 is, of dat er geen digitale handtekening of TNO certificaat bij zit, maakt niet uit. Waar het de rechter om gaat is of de opname echt is. Dat kun je alleen bewijzen of weerleggen met inhoudelijke argumenten over deze opname.

Je kunt een geluidstechnicus zoeken die een rapport kan maken dat hij kliks en knipgeluiden hoort, en zo de authenticiteit aanvechten. Of een getuige die je hoorde spreken. Sowieso ontken je natuurlijk stellig en lever je een verslag aan hoe het gesprek wél ging.

Als consument kun je in dit soort situaties vanaf de 13e gewoon op de wet wijzen: telefonische acquisitie vereist vanaf dan een schriftelijke nazending die moet worden ondertekend en geretourneerd. Zonder retournering geen overeenkomst. Deze bescherming geldt echter niet voor bedrijven, tenzij je reflexwerking claimt maar dat is zeker geen automatisme.

Voor de toekomst: altijd je gesprekken opnemen dus. Al is het maar om de rechter te laten horen dat er iemand heeft zitten rommelen. Het is toegestaan gesprekken op te nemen waar je deelnemer aan bent, ook als je dat niet meldt aan de wederpartij.

Vanwege onder meer dit soort grappen gebruik ik in dergelijke telefoontjes nooit contextvrije zinnen (“ja”) maar alleen soundbites (“De gegevens die u voorleest, zijn correct.”). Menig wederpartij vindt dit merkwaardig, overigens.

Gewoon ophangen kan natuurlijk ook. En het is storend dat het als onbeleefd geldt om op te hangen bij een partij die je ongevraagd lastigvalt.

Arnoud

Wanneer URL-manipulatie strafbaar is als computervredebreuk

| AE 4891 | Security | 197 reacties

nos-url-manipulatieDe man die de kersttoespraak van koningin Beatrix op internet vond, heeft zich strafbaar gemaakt. Zoiets zei ik Eerste Kerstdag tegen de NOS. En dat maakte nogal wat los. URL’s zijn toch openbare adressen, wat op een server staat is niet geheim, er wordt niets gekraakt, dit is toch pure domheid van de RVD, en ga zo maar door. Ja ja dat klopt allemaal en de RVD is ook een stel prutsers maar het blijft een feit dat binnendringen óók zonder iets te kraken strafbaar is.

Sinds 2006 hebben we een brede definitie van computervredebreuk: ieder opzettelijk en wederrechtelijk “binnendringen” in een computersysteem is strafbaar, ook als er niets wordt gekraakt, omzeild, geïnjecteerd of vervalst. Zodra je ergens bent waarvan je wéét dat je er niet mag zijn, ben je formeel al in overtreding. En ik zie werkelijk niet waarom dat wél zou gelden bij een SQL injectie en niet bij een trivialer vorm van URL-manipulatie – zoals bij de kersttoespraakurl waarbij het een kwestie was van jaartal en UID aanpassen. Beiden zijn aanpassen van URLs.

Natuurlijk, het is technisch bepaald triviaal en volstrekt onvergelijkbaar met het soort hack waarmee Diginotar gekraakt werd, dus om het nou “hacken” te noemen is wel erg veel eer. Maar het formele punt blijft. Je verandert een webadres om informatie te krijgen die niet openbaar bedoeld was. Waarom maakt het uit of je dat met de toevoeging ” OR 1=1; SELECT * FROM userdata” doet of door 31337 te veranderen in 31338?

Een veelgehoord argument was dat informatie op een website openbaar is tenzij deze afgeschermd is. Dan zou er per definitie dus geen sprake van binnendringen kunnen zijn. Sympathiek, en ik zou het graag zo zien, maar dat staat niet in de wet. Net zo min als er in de wet staat dat je mijn achtertuin mag betreden als er geen hek omheen staat. Dat is en blijft mijn eigendom en ik beslis wie daar mag lopen of kamperen.

Het blijft natuurlijk van de zotte dat de RVD een “onderzoek” gaat instellen, en ik kan me níet voorstellen dat het OM meer dan vijf minuten besteedt aan een eventuele aangifte.

Arnoud