Henk Krol krijgt pluim en boete voor journalistieke hack EPD

Henk Krol is schuldig bevonden aan computervredebreuk en krijgt een boete van 750 euro, meldde Webwereld vrijdag. De rechtbank vindt wel dat hij zorgvuldig te werk ging bij het in kaart brengen van het lek. Vorig jaar had de politicus van een tipgever gehoord dat patiëntgegevens eenvoudig in te zien waren: er bleken accounts te zijn waarvan usernaam en wachtwoord hetzelfde (en vijf tekens lang) waren. Die misstand aan de kaak stellen was gepast, maar hij had niet zo veel dossiers mogen opvragen als hij had gedaan. En meteen naar de media rennen was ook niet helemaal zoals het hoorde.

De beveiliging van een gevoelig medisch systeem zoals een EPD is natuurlijk al snel nieuwswaardig. En bij beginnersfouten zoals gelijkluidende gebruikersnamen en wachtwoorden (of wachtwoorden van vijf tekens) is het dan ook al snel goed om aan de bel te trekken. Maar, een beetje ethisch hacker seint éérst de dienstverlener in en geeft deze een kans het probleem te herstellen. En dat is waar Krol een beetje te snel ging: na één afpoeiertelefoontje al naar de pers stappen is niet hoe het hoort. En dat de telefoniste hem niet wilde doorverbinden met een verantwoordelijke maar zei dat hij maar een brief moest sturen, maakte daarbij niet uit. Hij had op zijn minst kunnen wáárschuwen dat hij journalist was en dat het hem ernst was.

Ook het feit dat er geen technisch probleem met de beveiliging was, maar enkel één gebruiker met een dom wachtwoord, maakte dat de actie nogal overtrokken was, aldus de rechtbank. Er was geen aanwijzing dat die zwakke wachtwoorden een epidemie (haha, hij zei epidemie en het is bij een EPD) waren. En bij één dom wachtwoord al de pers bellen, gaat wat snel. Daar heb ik dan weer moeite mee: dat één zo’n zwak wachtwoord kan, bewijst dat er geen adequate checks op wachtwoorden zitten. En dan durf ik wel te zeggen dat er meer henk/henk userpasswordcombinaties zijn.

En zoals verwacht maakt de rechtbank er ook een stevig punt van dat Krol in aanwezigheid van de cameraploeg van Omroep Brabant diverse dossiers had opgevraagd, in plaats van alleen de strikt noodzakelijke. “Mede gezien het feit dat het hier om uiterst gevoelige, medische gegevens gaat van patiënten”, heet het dan. Maar, eh, is niet juist het nieuws dát er zo veel dossiers op te vragen zijn met zo’n zwak wachtwoord? Kun je dat nieuwsfeit wel onderbouwen met één opvraging van één dossier? Maar oké, hij had een paar vrienden kunnen vragen of hij hun dossier mocht lichten als bewijs, in plaats van random users.

Daarbij woog ook nog mee dat Krol bepaalde gegevens meermalen opvroeg. Dat bewijst volgens de rechtbank dat hij niet zorgvuldig te werk ging. Hm. Ik zou denken, als ik in zo’n systeem zit dan ga ik ook eerst op knoppen drukken om te zien of het écht is, en pas als ik van de schrik bekomen ben, zou ik m’n printscreenknop te voorschijn halen. En ja, dan sta je dus dingen twee keer op te vragen.

De rechtbank twijfelt bij dit alles niet aan de goede bedoelingen van verdachte, aldus de rechtbank. Daarom wordt de geëiste boete naar €750 euro gezet.

De meer dan een ton aan schadeclaim van het zwakkewachtwoordentoelatende DvU wordt teruggebracht tot € 1.000afgewezen. De rechtbank kan niet vaststellen of sprake is van voldoende causaal verband tussen de hack en de geclaimde schade, want die is maar matigjes onderbouwd. Ook is niet duidelijk in hoeverre de schade als “eigen schuld” aan te merken is, en dat is toch echt een grond om een schadevergoeding te verlagen.

Ik ben nu wel aan het twijfelen: was het nu echt zo overtrokken wat Krol deed? Moet je bij een zwak wachtwoord op een EPD-account inderdaad maar een brief sturen en na de mededeling “dank u, het wachtwoord is gewijzigd” het erbij laten? Ligt het nou aan mij of ís het gewoon nieuws dat dit kon gebeuren?

Arnoud

Henk Krol, EPD-hacker, eh wacht, wat?

Medisch onderzoekscentrum ‘Diagnostiek voor U’ gaat schadevergoeding eisen van Kamerlid Henk Krol die in april een EPD-lek heeft onthuld, meldde Webwereld. Hij downloadde eerder dit jaar medische dossiers via het EPD nadat hij erachter kwam dat patiëntgegevens eenvoudig in te zien waren: er bleken accounts te zijn waarvan usernaam en wachtwoord hetzelfde (en vijf tekens lang) waren. Een gevalletje “let’s shoot the messenger”, lijkt het.

Natuurlijk, je mag niet inloggen op een account waar je geen officiële toegang toe hebt. Of het wachtwoord sterk of zwak is, maakt voor de wet niet uit. Computervredebreuk is computervredebreuk. Maar wanneer het nieuwsbelang zeer groot is, kán het zijn dat de rechter de strafwet buiten toepassing laat of je laat wegkomen met een schuldigverklaring zonder straf. Een bekend al wat ouder voorbeeld is de Revu-hack, waarbij het tijdschrift de privé-e-mailbox (brr wat een woord) van toen-staatssecretaris Jack de Vries wist te bruteforcen. Dat mocht van de rechter, hoewel het daarna snuffelen in de mailtjes alsnog werd bestraft.

Die zaak doortrekken zou betekenen dat Krol wél had mogen kijken of het klopt, die debiel slechte wachtwoorden, maar dat hij niet vervolgens allerlei dossiers had mogen opvragen. Want dat iedere ingelogde user bij ieder dossier kan, is een feature en geen bug. De nieuwswaarde daarvan is dus nul.

DvU pakt wel heel stevig uit met hun schadeclaim: alle gemaakte uren plus facturen van een extern bedrijf voor alle noodreparaties en herstelwerk. Of je dát allemaal aan Krol kunt wijten, waag ik toch te betwijfelen.

En hoe je dan boven een ton uitkomt al helemaal. Ik kan me dat bedrag alleen voorstellen als ze naast het noodwerk ook de tijd voor structurele verbeteringen hebben meegeteld. En dát mag niet, zo bleek uit de DDoS-kabouterschadeclaimzaak waarin overheidsautomatiseerder ICTU een dikke vier ton vorderde voor oplossen problemen en structureel herstel van schade. Nee, zei de rechter:

Slechts de kosten, gemaakt ten behoeve van de oplossing van de crisissituatie, ontstaan als gevolg van de aanvallen, kunnen aan gedaagden worden toegerekend. Kosten als gevolg van structurele (beveiligings)maatregelen dienen voor rekening van ICTU te blijven.

Ik kan me niet voorstellen dat de situatie hier anders is.

Overigens, zoals mijn collega Matthijs al schreef, Krol zal niet wegkomen met dat hij parlementariër is: alleen voor uitlatingen tijdens de vergadering van het parlement heeft hij immuniteit. Het zou wel wat zijn om dan eens live een hack uit te voeren, maar dat terzijde.

Arnoud

Belgische spoorwegmaatschappij verbiedt deeplinken naar zijn site

belgieDe Nationale Maatschappij der Belgische Spoorwegen verbiedt sites om naar zijn internetpagina’s te linken, meldde Tweakers gisteren. Linken naar de startpagina mag alleen na toestemming:

Om een link te leggen, dient u de hierna volgende procedure te volgen:
  • u vraagt per e-mail (communicatie@b-holding.be) aan de NMBS of u een link mag leggen, met vermelding van de naam van de site, van de verantwoordelijke ervan en van het doel waarvoor de link wordt gevraagd; en
  • u verklaart uitdrukkelijk in voormelde e-mail dat u de voorwaarden van de NMBS om een link te leggen alle zonder enig voorbehoud aanvaardt en zal respecteren; en
  • de NMBS onderzoekt uw aanvraag en geeft u, voorafgaandelijk aan het leggen van de link, per e-mail haar akkoord of desgevallend haar weigering.

Kan dit ook in Nederland, vroegen diverse mensen mij.

Nee, dit kan niet. Het is een volstrekt uitgemaakte zaak dat een gewone hyperlink naar een gewoon vrij online staande webpagina niet verboden kan worden. Pas als je linkt naar iets dat niet online hoort te staan of naar een pagina die niet direct toegankelijk hoort te zijn (maar dat door bv. een programmeerfout is) kán dat anders komen te liggen. Dat blijkt bv. uit de zaak Deutsche Bahn vs Indymedia) en XS4All/Deutsche Bahn).

Een site kan natuurlijk wel op basis van de referer mensen blokkeren die via jouw link op hun site komen. Het is hun site dus zij bepalen wie erop mag (Ab.Fab/XS4all).

Arnoud

Bericht verwijderd, excuses

Gistermiddag stond op deze plaats een blogbericht dat als 1-aprilgrap bedoeld was. Ik had me echter niet gerealiseerd dat dit bericht gemakkelijk verkeerd te lezen zou zijn geweest. Hierdoor heb ik een aantal personen zwaar geschoffeerd, hetgeen ik ten zeerste betreur want dat was niet mijn bedoeling. Mijn welgemeende excuses aan de betrokkenen.

Ik heb het bericht alsmede alle reacties per direct verwijderd en deze post ervoor in de plaats gezet. Ook de RSS-feed is aangepast. Mensen die het bericht nog in hun cache hebben staan, verzoek ik vriendelijk doch dringend deze per direct te verwijderen en niet verder te verspreiden. Ook wil ik u verzoeken hieronder niet uit te wijden over de inhoud van dit bericht.

Het is jammer dat het niet altijd even duidelijk is wanneer een bericht wel of niet serieus is bedoeld. Achteraf gezien had ik meer aandacht moeten besteden aan hoe de tekst over zou komen en meer hints had moeten geven waaruit mensen meteen hadden kunnen afleiden dat deze post slechts als (droge) humor bedoeld was.

Volgend jaar zal ik ervoor zorgen dat de grap binnen de grenzen van het goed fatsoen blijft. Nogmaals, het spijt me!

Arnoud

Tim Kuik heeft zelf een gaatje in zijn hoofd

piratescreenshot.jpgIk word niet snel kwaad maar nu ben ik het wel. “Je betaalt er niet voor, dus is het niet legaal”, zegt DLA Piper advocaat Carja Mastenbroek in de Volkskrant. Dit naar aanleiding van oprispingenuitlatingen van Tim Kuik dat “aankoopvervangend downloaden” niet onder de thuiskopieregeling zou vallen. “Wie denkt hij rechtmatig handelt als hij een gisteren uitgekomen dvd gratis downloadt, heeft een gaatje in zijn hoofd” staat er dan nog. Mevrouw Mastenbroek, meneer Kuik: u heeft zelf een gaatje in het hoofd als u dergelijke onzin werkelijk meent.

De wet zegt duidelijk dat je geen inbreuk pleegt als je downloadt voor eigen gebruik “zonder direct of indirect commercieel oogmerk”. Kuik interpreteert dat “commercieel” voor het gemak maar als “alles dat geld oplevert of bespaart” en komt daarmee tot de conclusie dat downloaden als vervanging van kopen commercieel is.

Dit soort uitlatingen zijn een uitermate kwalijke en verwerpelijke praktijk van BREIN. Men lanceert met de regelmaat van de klok juridisch zeer twijfelachtige stellingen zonder enige onderbouwing of toelichting in de wetenschap dat de voltallige ICT-pers die klakkeloos overneemt en zo hele volksstammen afschrikt. Want daar is het om te doen: FUD zaaien onder onwetende internetters en zo de belangen van de achterban van BREIN beschermen.

Slaat het juridisch ergens op? Nee. Dit is de particuliere mening van BREIN dat met lede ogen moet aanzien dat er massaal gedownload wordt en niet wil toegeven dat het beter zou zijn om downloaden (of zelfs uploaden) toe te laten en daar een nieuw businessmodel bovenop te zetten. Wel eens van iTunes gehoord jongens?

Zijn er juridische argumenten over deze stelling? Ja, maar die spreken BREIN allemaal keihard tegen, dus die hoor je niet. Ook mevrouw Mastenbroek, die blijkens haar CV in de praktijk vooral de nadruk op “klassiek intellectuele eigendomsrecht” legt, noemt geen enkel argument. “Je betaalt er niet voor” of “er is geen toestemming gegeven” kan ik geen serieus argument noemen. Klassieke drogredenen zijn het wel.

Wat vond de minister er eigenlijk van, de laatste keer dat men de wet op dit punt bediscussieerde in het parlement?

De Internetgebruiker die gebruik maakt van de mogelijkheden die Napster, KazaA en vergelijkbare peer-to-peer-diensten bieden om werken van letterkunde, wetenschap of kunst te kopiëren voor privé-gebruik opereert over het algemeen genomen binnen de marges van het auteursrecht. Dat geldt ook wanneer een privé-kopie wordt gemaakt van een origineel dat illegaal, dat wil zeggen zonder toestemming van auteursrechthebbende, is openbaar gemaakt.

De rechter in de zaak TechnoDesign versus BREIN:

Anderzijds heeft de wetgever blijkens zowel de huidige Auteurswet en de Wet op de naburige rechten als de reeds genoemde Richtlijn en het daaruit voortvloeiende Wetsontwerp bepaald dat op zichzelf het kopiëren (in dit geval door middel van downloaden) van een inbreuk-makend/illegaal mp3-bestand voor eigen gebruik, geen strijd met de Auteurswet of de wet op de naburige rechten oplevert.

De minister in 2002 (met dank aan Alex):

Bedoeld is dat een privé-kopie slechts onder bepaalde voorwaarden is toegestaan, namelijk wanneer het gaat om een kopie voor eigen oefening, studie of gebruik, zonder direct of indirect commercieel oogmerk. Dat sluit uit dat dergelijke kopieën in opdracht door een professionele opdrachtnemer worden gemaakt.

Het onderscheid tussen commercieel en nietcommercieel is dus bedoeld als onderscheid tussen “professioneel” en “in de privesfeer”.

Meneer Kuik: noem mij 1 juridische bron die uw stelling ondersteunt, of houd op met deze onzin uitkramen.

Arnoud

Petitie Vroeg Op Stap vanwege digitale handtekeningen ongeldig

De petitie van actiegroep Vroeg Op Stap blijkt ongeldig, meldt onder andere Nu.nl. De groep wil vervroegde horecasluitingstijden wettelijk laten vastleggen, en had daarvoor een website opgezet waar sympathisanten hun handtekeningen konden achterlaten. Met 40.000 handtekeningen kun je dan een wetsvoorstel op burgerinitiatief indienen.

Vroeg Op Stap had er meer dan 120.000. De commissie burgerinitiatieven weigerde het voorstel echter toch naar de Tweede Kamer te sturen, omdat de handtekeningen niet op papier stonden maar elektronisch waren. Ze waren daarom niet rechtsgeldig. Dat blijkt ook in de bij Postbus 51-folder te staan.

Wat flauw.

Artikel 9 van het reglement van deze commissie eist dat een burgerinitiatief van haar 40.000 of meer sympathisanten de “naam, adres, geboortedatum en handtekening” verzamelt. Er staat “handtekening”, en dat moet je in principe inderdaad lezen als “handgeschreven handtekening”. Digitale handtekeningen zijn toch rechtsgeldig, denkt u nu. Klopt, maar die regeling is gemaakt voor handtekeningen in het vermogensrecht en het handelsverkeer tussen burgers. Contracten, akten en dat soort zaken.

Interessant daarbij is dat een digitale handtekening, of wat de wet dan noemt een elektronische handtekening, meer is dan alleen die moeilijke wiskunde met certificaten en zo. Een ingetypte naam kan namelijk een geldige digitale handtekening zijn. Daarvoor moet je naar het doel kijken waarvoor de handtekening nodig is. Bij een contract zou je zware eisen kunnen stellen, bij een blogpost heel wat minder. Die naamsvermelding onderaan mijn blogposts is dus een geldige digitale handtekening. Het doel daarvan is aan te geven dat ik auteur ben van die blogpost. En voor dat doel is in de context van bloggen het intypen van de tekst “Arnoud” voldoende.

Artikel 3:15c BW bepaalt dat de regeling over digitale handtekeningen ook buiten het vermogensrecht toepasbaar is, “voor zover de aard van de rechtshandeling of van de rechtsbetrekking zich daartegen niet verzet.” Dit is bijvoorbeeld uitgewerkt in art. 2:13 Algemene Wet Bestuursrecht, dat zegt dat berichten tussen burgers en de overheid elektronisch mogen worden verstuurd tenzij er een specifiek wettelijk verbod of vormvoorschrift dat anders bepaalt. Artikel 2:16 Awb zegt dat een digitale handtekening geaccepteerd moet worden als deze “voldoende betrouwbaar” is voor het doel van het bericht waar de handtekening op staat.

Het doel van de handtekeningen op de petitie is uiteraard dat de commissie (steekproefsgewijs) kan verifiëren dat de handtekeningen echt zijn. Dat zegt commissievoorzitter Johan Remkes ook bij 3voor12: “Papieren handtekeningen zijn beter te controleren. Als we dat willen uitbreiden naar digitale handtekeningen, moet de Tweede Kamer eerst ons reglement veranderen.”

Die logica volg ik niet. Een elektronische lijst met ingetypte namen en adressen lijkt me een stuk beter te controleren dan handgeschreven namen en geboortedatums. De petitie van Vroeg Op Stap laat mensen naast hun naam en e-mail ook hun adres, postcode en woonplaats invullen. En daarmee zijn de gegevens prima te verifiëren. Sterker nog, het lijkt me juist beter om het op deze manier te doen dan de manier van de Postbus 51-folder. Het is niet eens verplicht om je adres in te vullen bij een papieren petitie!

Deze petitie afwijzen enkel en alleen omdat de handtekeningen geen onleesbare krabbels op papier zijn, vind ik dan ook bijzonder weinig vooruitstrevend. We willen toch een E-overheid?

Arnoud

Pornografische pleitnota

Homoporno in de pleitnota. Ja, dat kan, en antispelletjeskruisvaarder Jack Thompson deed het ook nog:

The attached exhibit, which includes several graphic images of oral and genital sex between adult males, was filed electronically in the docket in this case, without prior permission from the court…

To the extent that the other attorney’s alleged conduct is in any way relevant… there was no need for Mr. Thompson to file these graphic images in the public record. A simple reference to the website and its alleged links would have sufficed…

Through his actions, Mr. Thompson made available for unlimited public viewing, on the court’s docketing system, these graphic images.

De rechter wil graag van Thompson horen wat hij meende daarmee te bereiken en waarom hij niet geschorst zou moeten worden als advocaat.

Via Slashdot.

Arnoud