Politie stuurt waarschuwingsbrief naar vermeende afnemers ddos-dienst

| AE 12968 | Regulering | 10 reacties

geralt / Pixabay

De politie heeft afgelopen maandag een waarschuwingsbrief gestuurd naar 29 mensen die in verband worden gebracht met het afnemen van ddos-diensten. Dat meldde Security.nl onlangs. “We hebben je geregistreerd in ons systeem en je krijgt nu een laatste waarschuwing. Als zich in de toekomst nieuwe soortgelijke feiten voordoen, gaan we over tot vervolging. Houd in dat geval rekening met een veroordeling, strafblad en het kwijtraken van je computer en/of laptop”, zo staat in de brief vermeld.

De briefontvangers zouden via de website MineSearch ddos-diensten hebben afgenomen, waarmee het mogelijk was om tegen betaling ddos-aanvallen te laten uitvoeren. Vorig jaar juli doorzocht politie de woningen van twee verdachten die vermoedelijk bij de website betrokken zijn. Daarbij kwamen deze klantgegevens (ik moet nu zeggen: allegedly-klant) kennelijk naar boven, en dan is het logisch dat je die mensen eens héél serieus aanspreekt.

Maar mag het, is dan gelijk de vraag die ik her en der zie. Het deed me denken aan die zaak uit januari waarbij de politie sms-berichten had gestuurd naar contacten die in de telefoons van vermeende drugsdealers werden aangetroffen. Logisch zou je zeggen, dat zullen vermoedelijk wel klanten zijn en het kopen van drugs is strafbaar, dus dat geeft een redelijk vermoeden van schuld.

De hoofdregel uit strafvordering (opsporing en bestrijding van strafbare feiten) is dat de politie alleen mag doen wat in het wetboek geregeld is. Ja, behalve wat geen of geringe inbreuk maakt op de grondrechten. Een praatje maken op straat is dus bijvoorbeeld gewoon prima, dat kun je moeilijk een inbreuk op je grondrechten noemen. Iemand meenemen naar het bureau voor een verplicht praatje is dat wel, en dat is dan ook wettelijk geregeld. Idem voor het doorzoeken van een in beslag genomen administratie of C&C server van een botnet.

Voor mij speelt hier ook mee dat er meer aanwijzingen zijn dan “je staat in de telefoon van een dealer”: je gegevens van een betaalde transactie voor een criminele dienst staan in de administratie van de (vermoedelijke) crimineel die deze verzorgde. Je bent onschuldig tot het tegendeel bewezen is, maar hier de vermoorde onschuld bepleiten is toch wel erg ingewikkeld in deze omstandigheden.

We hebben je geregistreerd in ons systeem en je krijgt nu een laatste waarschuwing. Als zich in de toekomst nieuwe soortgelijke feiten voordoen, gaan we over tot vervolging. Houd in dat geval rekening met een veroordeling, strafblad en het kwijtraken van je computer en/of laptop.
Er lijkt mij gezien die feiten eigenlijk al genoeg aanleiding te zijn om direct tot onderzoek en aanhouding over te gaan, dus dan is deze brief volgens mij juist een tegemoetkoming en niet een juridisch probleem.

Arnoud

Politie Los Angeles gevraagd om socialmedia-accounts burgers te noteren

| AE 12906 | Regulering | 23 reacties

Agenten van het politiekorps van de Amerikaanse stad Los Angeles hebben instructies gekregen om van elke burger die ze spreken de socialmedia-accounts en e-mailadressen te noteren, ook als er geen verdenking van een misdrijf is. Dat meldde Security.nl vorige week. Diverse lezers vroegen me of de Nederlandse politie dat ook zou mogen, en zo ja wanneer dan.

Wanneer agenten uit LA een burger spreken en de gegevens op een “field interview” kaarten noteren zouden ze ook om socialmedia-accounts en e-mailadres moeten vragen, zo blijkt uit instructies van het politiekorps. De via de kaarten verkregen informatie gaat in een systeem van het bedrijf Palantir, dat informatie uit allerlei bronnen samenvoegt voor analyses. Dat is natuurlijk saillant, Palantir is een dubieus bedrijf en ligt ook in Nederland onder vuur.

Maar laten we even een stapje terug doen. Stel de data gaat alleen politiesystemen in, en wordt niet gedeeld met vage particuliere clubs van derden. Zou het dan wel mogen? Het doel van field interviews in LA is gestructureerd noteren wat een getuige verklaarde, inclusief data zodat je die getuige kunt terugvinden voor bijvoorbeeld vervolgvragen. De social media gegevens kun je gebruiken voor dergelijk contact, en je kunt ook dingen correleren: tegen mij zegt hij A, op Twitter roept hij net B, dat is raar. Of: hij zegt de verdachte niet te kennen maar is op Instagram vriendjes met haar, daar ga ik eens nader achteraan.

In Nederland ken ik zulke formulieren niet. In de meeste gevallen is het ook niet relevant wat je op social media doet, tenzij hetgeen waar je over getuigt natuurlijk direct daarmee te maken heeft. En dan is het weer niet gek dat de agent vraagt onder welk account je online bent, zodat men zelf kan zien wat er gezegd of gedaan is of verder kan rechercheren.

Een stap verder gaat het inzien van een account. Dat kun je in Nederland niet eisen van een getuige, dat deze privéberichten of toegang tot het account verschaft. Daarvoor zal een bevel van de rechter-commissaris nodig zijn. Maar ik kan me dan ook weer niet veel situaties voorstellen waarin je die informatie vraagt bij een getuige, in plaats van vordert bij de informatiedienstverlener als deel van een lopend onderzoek.

Arnoud

Politie wil bij ernstige verdenkingen foto’s van kentekencamera’s gebruiken

| AE 12885 | Regulering | 8 reacties

De Nederlandse politie wil foto’s van kentekencamera’s, waar bestuurders zichtbaar op zijn, gebruiken als er ernstige verdenkingen zijn, las ik bij Tweakers. Men hoopt op méér ruimte van de wetgever, want juist door de strenge wet wordt meer privacy geschonden dan nodig is. Denk aan een gewapende overval, moord of doodslag, of een dodelijke aanrijding waarbij een verdachte is doorgereden. Nu wordt daar dan GSM-gegevens voor opgevraagd, waardoor van vele burgers locatiegegevens binnengeharkt worden.

Agenten krijgen een melding wanneer de auto van een verdachte langs een ANPR-camera rijdt. Volgens de huidige wet mag de politie met de ANPR-camera’s alle kentekens van passerende voertuigen vastleggen. Op die foto’s staan ook mensen, maar die moeten worden geblurd. Daar heeft de politie dan moeite mee:

De ANPR-foto’s gebruiken om daarop verdachten te herkennen mag niet. Daarom worden nu vaak telecomgegevens van zendmasten langs de snelweg opgevraagd om daarmee verdachten in de geregistreerde auto’s te identificeren. Dat zijn nog eens gegevens van duizenden onschuldige burgers. „Dat hoef ik niet meer te doen als de foto gewoon laat zien wie er achter het stuur zit.”
Men haakt hierbij in op de geplande evaluatie van de wet, die de input moet geven of deze wordt verlengd of ingetrokken, wat in 2022 zou moeten gebeuren. Sectorhoofd Sjoerd Top van de ANPR-camera’s: “Door de wet uit 2019, kunnen we bijvoorbeeld tien minuten voor en tien minuten na de overval alle kentekens opvragen die langs een camera in de buurt gekomen zijn.” Het probleem is dat nu beelden van ongeblurde mensen worden gebruikt bij onderzoeken (althans tot 1 juni), terwijl er voor het verzamelen ervan helemaal geen wettelijke basis was.

De politie pleit voor een uitbreiding van hun bevoegdheden: ongeblurde foto’s inzien bij ernstige misdrijven, waarbij wel de rechter-commissaris vooraf per geval beoordeelt of dit toegestaan is. Die opzet is de gebruikelijke voor zware opsporingsmiddelen, maar heeft natuurlijk als nadeel dat het zeer arbeidsintensief is. Ik zou dan ook zeer bezorgd zijn dat dit op korte termijn er weer af gaat als blijkt dat het een succes is.

Arnoud

Politie overtreedt opnieuw regels voor inzet hackingtools

| AE 12762 | Regulering | 6 reacties

De politie heeft zich opnieuw niet aan de regels gehouden bij het inzetten van hackingtools. Dat las ik bij Tweakers, dat zich baseert op een rapport van de Inspectie Justitie en Veiligheid. In dit rapport concludeert de inspectie dat de politie zich niet hield aan de gestelde voorwaarden houdt voor het inzetten van hacking tools. De politie… Lees verder

Zweedse politie beboet voor gebruik gezichtsherkenning Clearview

| AE 12507 | Regulering | 8 reacties

De Zweedse politie heeft van de Zweedse privacytoezichthouder een boete van 250.000 euro opgelegd gekregen wegens het onrechtmatig gebruik van het gezichtsherkenningssysteem van het bedrijf Clearview AI. Dat meldde Security.nl onlangs. “De politie heeft onvoldoende organisatorische maatregelen ingevoerd om ervoor te zorgen dat het verwerken van persoonlijke data in dit geval volgens de wet plaatsvond”, aldus de… Lees verder

Autoriteiten verwijderen Emotet-malware op 25 april van besmette pc’s

| AE 12486 | Regulering | 3 reacties

Autoriteiten zullen de Emotet-malware waarvan de hoofdservers zijn overgenomen op 25 april van besmette computers verwijderen, las ik bij Security.nl, dat weer afging op een beveiligingsonderzoeker op Twitter. Vorige week lieten politie en het Openbaar Ministerie weten dat het gelukt was om het Emotet-netwerk over te nemen en de malware te deactiveren. Het ontmantelen is… Lees verder

Zucht. EU-raad wil toegang tot versleutelde data met techbedrijven onderzoeken

| AE 12377 | Regulering | 26 reacties

Zijn er technische oplossingen voor de autoriteiten om toegang tot versleutelde data te krijgen, schreef Security.nl onlangs. De Raadsresolutie Encryptie van de Europese Raad vormt volgens minister Grapperhaus van Justitie en Veiligheid het startpunt om samen met techbedrijven en andere partijen een onderzoek te doen naar de technische mogelijkheden om toegang tot versleutelde data te… Lees verder

Mag de politie de telefoon van een getuige leegtrekken?

| AE 11564 | Regulering | 13 reacties

Via Twitter een ietwat verontrustend item van de BBC over speciale apparatuur waarmee de politie telefoons in één keer geheel uit kan lezen. Die technologie wordt ingezet bij arrestaties, maar kennelijk ook bij telefoons van getuigen. En dan heb ik het over alles, van foto’s tot chatberichten, cache-informatie en prullenbakbestanden. De journaliste vraagt zich af… Lees verder

Duitse politie haalt datacentrum voor darknetmarktplaatsen offline

| AE 11519 | Regulering | 8 reacties

De Duitse politie heeft donderdagavond een datacentrum voor darknetmarktplaatsen offline gehaald en zeven verdachten gearresteerd. Dat meldde Tweakers onlangs. De servers werden onder meer gebruikt voor darknetmarktplaats Wall Street Market en een aanval op Deutsche Telekom-routers. De beheerder van het dc omschrijft haar diensten als bulletproof hosting en heeft beleid dat men zich niet actief… Lees verder

Politiekorpsen VS mogen Ring-video’s eeuwig bewaren en onbeperkt delen, en bij ons?

| AE 11469 | Privacy, Regulering | 7 reacties

Politiekorpsen in de VS die van buurtbewoners video’s ontvangen van slimme deurbel Ring mogen dat beeldmateriaal eeuwig bewaren en onbeperkt delen met bijvoorbeeld andere korpsen of overheidsinstanties. Dat las ik bij Tweakers. Het vervolgt eerdere berichten dat Ring in de afgelopen jaren samenwerkingsovereenkomsten heeft gesloten met vierhonderd korpsen in de VS, die zo toegang krijgen… Lees verder