OM wil makkelijker gegevens van resellers Nederlandse hosters hebben

| AE 13378 | Regulering | 23 reacties

geralt / Pixabay

Het Openbaar Ministerie wil dat het makkelijker wordt om klantgegevens en andere informatie op te vragen van bedrijven die serverruimte in Nederland doorverhuren. Dat las ik bij Security.nl. Men citeert hightechcrime-officier Esther Baars in OM-bedrijfsblad Opportuun die signaleert dat cybercriminelen vaak servers van Nederlandse datacentra gebruiken met tussenkomst van een reseller. Optreden daartegen vereist een rechtshulpverzoek, terwijl de data gewoon hier in Nederland staat. “Dat is werkelijk idioot”.

Baars legt uit waar de kern van het probleem zit:

Vaak gebruiken [cybercriminelen] servers van datacentra in Nederland. Zo’n datacenter verhuurt een server aan een tussenpersoon, een ‘reseller’. Dat mag gewoon. En die reseller verhuurt dan die serverruimte in Nederland weer door aan zijn eigen klanten. Dat maakt het voor ons ingewikkeld om verdachte klanten op te sporen.
Dus zeg maar, het Nederlandse bedrijf verhuurt een opslagbox aan een ondernemer, die daar vervolgens mooie opslagkasten in zet en buitenlandse klanten elk in diens eigen kast wat laat opslaan. Het probleem is dan: waar in de gewone wereld de politie gewoon die kast mag openmaken, moet de cyberpolitie per kast nagaan wat de identiteit van de reseller of de eindklant is om vervolgens in dat land een rechtshulpverzoek te doen – in “Rusland, de Seychellen, de Verenigde Arabische Emiraten, of een ander land waarmee wij geen, of een trage rechtshulprelatie hebben.”

Het punt is natuurlijk, bij zo’n gewone kast in een opslagbox kun je een slotenmaker meenemen en het ding openmaken, of je neemt hem (de kast, niet de slotenmaker) mee naar het bureau om daar rustig na te gaan wat er in zit. Bij een digitale kast, de vps van de klant van een reseller, is dat een stuk complexer:

[Dan] is het niet onmogelijk om een kopie te maken, maar kan dat kopiëren schade veroorzaken voor onbekende klanten die die server ook gebruiken maar niks met de criminaliteit te maken hebben. … [O]nze wet is zo ingericht dat we dan eigenlijk rechtshulpverzoeken moeten doen om die gegevens te krijgen. Dat is werkelijk idioot, want het is gewoon data die in Nederland staat en de plaats delict is dus gewoon Nederland.
Ik denk dat het issue is dat om zo’n kopie te maken je de server even uit moet zetten (‘bevriezen’), maar een typische resellermachine – de opslagbox met de kasten – kan vele tientallen klantensystemen tegelijk hebben. Dan gaan die dus allemaal even uit, en als eentje daarvan dan toevallig de betalingsdiensten van Alibaba in Nederland doet dan wordt het een ongezellige middag.

Ja, ik kan me ook niet direct voorstellen dat dezelfde reseller én een berg pittige cybercriminelen én Alipay Nederland als klant heeft, maar dit is het voorbeeld dat men noemt dus dat zal ergens op gebaseerd zijn. Maar goed ook als het gaat om gewoon een doorsnee gamingdienst of betaald forum, je dupeert een onschuldige ondernemer enkel omdat die bij dezelfde reseller wat afneemt als een crimineel.

De reseller kan gericht servers afsluiten of kopieën helpen maken, maar die is daar zelden toe bereid zonder bevel van de lokale overheid, vandaar die route van het rechtshulpverzoek. En dat gaat inderdaad vaak traag, als men in zo’n land al bereid is om überhaupt iets te doen tegen een reseller wiens klanten in dat land geen directe rottigheid uithalen.

Wat dan wel?

De reseller [weet precies] waar wij moeten zijn. Het zou zo logisch zijn als we de Nederlandse partij kunnen verplichten die exacte locatie te achterhalen en aan ons door te geven.
Komen de kasten weer: de verhuurder van de opslagbox moet een reservesleutel van de box en liefst ook van elke kast hebben. Zo kan gericht de juiste kast meegenomen worden. Het is technisch niet héél moeilijk om dit zo in te richten, de reseller (de huurder) kan vrij eenvoudig aan de hoster (de verhuurder) welke vps van welke klant is en dan desbevolen een kopie daarvan af te geven aan het OM.

Een lastige is, hoe dwing je resellers om dit te doen. Je komt dan al snel bij administratieve procedures uit, zoals dat de hoster moet kunnen meekijken in het VPS controlepaneel maar dan zonder de overige, commercieel zeer interessante, gegevens over de klanten. Of dat de hoster een beperkte set informatie krijgt maar wel moet kunnen nagaan dat dat overeenkomt met de werkelijke configuratie. Het kan allemaal maar praktisch is anders.

Arnoud

OM: vorig jaar bijna 15.000 gevallen van cybercrime geregistreerd

| AE 13319 | Informatiemaatschappij, Security | 7 reacties

Vorig jaar heeft de politie bijna 15.000 gevallen van cybercrime geregistreerd, een stijging van 33 procent ten opzichte van 2020. Dat meldde Security.nl vorige week. Dit aantal staat in schril contrast met het aantal veroordelingen: drie-en-dertig. Wel meer dan 25 in 2020, maar toch. De jaarcijfers van het OM over 2021 zijn wel heel inzichtelijk.

“Cybercrime is moeilijk op te sporen en vraagt om veel kennis en specialisten die zich voortdurend blijven ontwikkelen om hackers bij te blijven.” Dat is zeker waar, en verklaart voor een groot deel het gebrek aan veroordelingen. Dat, en het feit dat veel daders zich in het buitenland bevinden of dat opsporing eindigt bij een IP-adres in een ver buitenland.

Veel vormen van online criminaliteit betreffen eigenlijk gewoon fraude en oplichting, en dan toevallig via internet. Dit is vaak een discussie bij de term cybercrime: wanneer is iets nou écht cyber, echt internet? Oplichting via Marktplaats vind ik daar niet bij horen. Ransomware wel, ook volgens het OM:

Maar ook vormen van echte cybercrime, zoals hacken, DDoS- of ransomwareaanvallen namen volgens de politieregistratie in 2021 verder toe. Nadat het aantal bij de politie bekende gevallen van cybercrime in 2020 met maar liefst 132 procent was toegenomen, steeg het aantal in 2021 verder met 33 procent tot 14.900 gevallen.
Het OM stipt daarbij trouwens nog een verklaring aan voor het lage aantal verdachten: op internet kan een verdachte veel meer misdrijven tegelijk begaan, dus daar komen dan ook veel meer meldingen van.

Arnoud

Mag het OM Telegram-groepen van complotdenkers laten blokkeren?

| AE 12959 | Regulering, Uitingsvrijheid | 12 reacties

GDJ / Pixabay

Het Openbaar Ministerie heeft twee kanalen van complotdenkers op chatapp Telegram laten blokkeren, las ik bij de NOS. Daar werden onder andere complottheorieën gedeeld over satanisch-rituele kindermoorden, door de blokkade kunnen er geen nieuwe berichten worden geplaatst. Het is voor zover bekend voor het eerst dat justitie met succes Telegram-groepen heeft laten blokkeren. En dat riep vragen op bij lezers, want hoezo is er dan geen gerechtelijk bevel nodig eerst?

Om daarmee maar gelijk te beginnen: nee, in Nederland is geen gerechtelijk bevel nodig voor het blokkeren van zo’n online kanaal. Het Wetboek van Strafrecht (art. 54a) bepaalt namelijk dat
Een tussenpersoon die een communicatiedienst verleent bestaande in de doorgifte of opslag van gegevens die van een ander afkomstig zijn, wordt bij een strafbaar feit dat met gebruikmaking van die dienst wordt begaan als zodanig niet vervolgd indien hij voldoet aan een bevel als bedoeld in artikel 125p van het Wetboek van Strafvordering.
En dat artikel 125p bepaalt dan weer dat de officier van justitie (bij verdenking van ernstige misdrijven) mag bevelen dat een tussenpersoon informatie tegenhoudt of offline haalt. Wel is dan een machtiging van de rechter-commissaris nodig, en de wet bepaalt dat deze de aanbieder van het kanaal moet horen als dat relevant is.

Dit is een behoorlijke verbetering ten opzichte van het ‘oude’ artikel 54a, dat eigenlijk niet meer bepaalde dan dat de officier zo’n bevel kon geven op machtiging van de rechter-commissaris (zie de discussie over het meervoud daarvan).

De directe aanleiding in dit geval betreft zo te lezen het ernstig soort misdrijven waarbij deze bevoegdheid inderdaad mogelijk is:

Afgelopen week werd er aangekondigd dat op een nieuw kanaal video’s zouden worden geplaatst met bedreigende, opruiende en lasterlijke inhoud. Daarop heeft het OM besloten om maatregelen te nemen. De rechter oordeelde eerder al dat die video’s verboden inhoud bevatten en niet meer online mogen komen. Ook stond er op de nu geblokkeerde kanalen oudere content die strafbaar en bedreigend is.
Voor mij is vooral opmerkelijk dat Telegram kennelijk snel meewerkte. In andere landen kent niet iedereen de constructie van een district attorney die bevelen mag geven tot blokkade van informatie.

Arnoud

Is het verkopen van Netflixaccounts nu ook al auteursrechtinbreuk?

| AE 9592 | Intellectuele rechten | 11 reacties

Stichting Brein heeft een schikking van 10.000 euro getroffen met een 26-jarige man uit Zwolle, die op zijn website logins verkocht voor verschillende streamingdiensten. Dat meldde Tweakers maandag. De man haalde de data uit uitgelekte databases en verkocht de logins voor een fractie van de prijs van een abonnement. Nu is het natuurlijk computervredebreuk om… Lees verder

Inbeslagname van criminele bitcoins

| AE 6807 | Innovatie, Regulering | 20 reacties

In de jacht op crimineel verkregen vermogen heeft het Openbaar Ministerie (OM) er een nieuw wapen bij, meldde het AD onlangs. Men kan bitcoins in beslag nemen als deze door criminele activiteiten verkregen zijn. Er was altijd twijfel of dat wel mocht, maar het OM heeft ondertussen drie gerechtelijke uitspraken verkregen waarin dit werd toegestaan…. Lees verder

OM mocht uploader 5000 e-books niet vervolgen wegens strijd met eigen beleid

| AE 6342 | Intellectuele rechten, Regulering | 18 reacties

Een 23-jarige man die vijfduizend e-books verspreidde via de torrentsite The Pirate Bay, mag niet worden vervolgd voor auteursrechtenschending. bij Nu.nl. Hoewel het uploaden van ebooks strafbaar is, is het Openbaar Ministerie in deze zaak niet ontvankelijk omdat ze in strijd heeft gehandeld met haar eigen beleid. Opzettelijke inbreuk op auteursrecht is een misdrijf, zo… Lees verder

Wat is dit voor gekke brief van de recherche?

| AE 3019 | Regulering, Security | 38 reacties

Een lezer wees me op een apart forumdraadje, waarin de poster schreef over een rare brief van de Bovenregionale Recherche Noord- en Oost Nederland: Bij de Bovenregionale Recherche Noord- en Oost Nederland is informatie binnen gekomen. Uit deze informatie blijkt dat met een op uw naam gesteld IP-adres handelingen zijn verricht op internetomgevingen waarbinnen het… Lees verder

OM: “downloaden niet langer gedogen” – was dat illegaal dan?

Het Openbaar Ministerie gaat in hoger beroep in de strafzaak over het aanbieden van links naar inbreukmakende werken. In die zaak werd beslist dat het aanbieden van zulke links medeplichtigheid aan inbreuk op auteursrecht kan opleveren. In De Telegraaf legt het OM uit waarom ze hoger beroep aantekenen: “Het is bijna normaal geworden om illegale… Lees verder