Mag een forum IP-adressen van een klager matchen tegen zijn gebruikers?

| AE 7117 | Security | 11 reacties

blog-ip-adres.pngVia een lezer (dank) vond ik een interessante discussie bij Tweakers: een bedrijf werd besproken op het forum van de techsite, waarna het bedrijf bij het beheer ging klagen dat er hackpogingen werden ondernomen vanuit Tweakers. Waarop het beheer van Tweakers meldde dat personen die zoiets zouden doen, een ban zouden krijgen. Herrie in de tent natuurlijk, onder meer over de vraag of T.net wel mocht kijken naar IP-adressen die door dat bedrijf waren aangeleverd. En waar stond dat dan in de wet?

De pest met internetrecht is dat er bar weinig concrete aanknopingspunten zijn om een onderbouwde uitspraak te kunnen doen. Zo zijn er eigenlijk geen fatsoenlijke rechtsbronnen die over persoonsgegevens in ICT-security gaan, laat staan zo specifiek als wat hier aan de hand is. Je kunt als jurist weinig meer doen dan speculeren, pardon je deskundige mening geven. Dus nou ja, dat doen we dan maar.

Het bedrijf leverde IP-adressen aan van vermeende kwaadwillenden, en Tweakers bekeek of die IP-adressen op dat moment ook in gebruik waren bij ingelogde gebruikers. Dat is een verwerking van persoonsgegevens, omdat het hier immers gaat om IP-adressen van personen (of proxy’s maar dat terzijde).

De Wbp noemt 6 gronden voor verwerking van persoonsgegevens, waarvan normaal de toestemming en de eigen dringende noodzaak de twee meest relevante gronden zijn. (Een derde is de noodzaak in verband met nakoming overeenkomst, bv. een adres geven aan de post omdat je een bestelling wilt versturen.)

Van een eigen dringende noodzaak is sprake als je een eigen belang hebt dat zwaarder weegt dan de privacy, en waarbij de maatregel die je neemt echt absoluut nodig is om dat belang te dienen. Het kan niet een onsje minder en er is geen alternatief. In principe moet je hierbij een opt-out bieden als dat enigszins te doen is.

Op je site IP-adressen loggen om hackpogingen te signaleren, is wat mij betreft een evident voorbeeld. Het kicken of bannen van je gebruikers wegens overtreding van de gebruiksvoorwaarden lijkt me er ook onder vallen, en wellicht is dat wel te rechtvaardigen als gebruik ten behoeve van nakoming overeenkomst. Het bewijzen van wanprestatie vind ik daar wel onder passen.

(Overigens – maar dit is offtopic denk ik – vind ik niet dat “ik heb geen zin meer in je, ga van mijn server” rechtsgeldig is. T.net heeft een overeenkomst met zijn gebruikers en die mag niet zomaar per direct en zonder grond worden opgezegd.)

Specifiek hier zit het punt dat partij A een persoonsgegeven* verstrekt aan B, waarna B daarmee aan de slag gaat. A heeft een noodzaak (loggen/decteren intruders) en B ook (schorsen van wanpresterende gebruikers) maar mag je die noodzaken combineren?

Ik ben geneigd te zeggen van wel. Als T.net een noodzaak heeft om in te grijpen bij hackpogingen waarbij T.net een wezenlijke schakel was, dan mag ze daarbij ook extern aangedragen bewijs hanteren. Het zou wat gek zijn dat T.net zelf bewijs moet vergaren als een derde klaagt “er hackt iemand vanaf jullie site”. Meer algemeen wil het er bij mij niet in dat een op zich legitieme wet een blokkade zou opleveren voor op zich legitiem gedrag. Wat zou het alternatief zijn, dat T.net zijn gebruikers vraagt “jongens mag ik van jullie nagaan wie er crimineel bezig is ja/nee”?

Arnoud

Mag de politie een Blackshades-command en control server hacken?

| AE 6660 | Regulering, Security | 21 reacties

blackshadesHet Team High Tech Crime van de Nederlandse politie is een server van Blackshades binnengedrongen en heeft op die manier informatie veiliggesteld, meldde Nutech onlangs. Dit in het kader van een strafrechtelijk traject tegen de beheerders, waarbij ook invallen in 34 Nederlandse huizen werden gedaan. Hoogst opmerkelijk, want er is nog steeds geen wettelijke grondslag voor het binnendringen van servers door de politie.

Blackshades is een remote access tool dat als malware wordt verspreid om zo op afstand geïnfecteerde computers te kunnen overnemen. Eén van de features is het gijzelen van bestanden totdat er wordt betaald, een steeds populair wordende truc.

Om dergelijke netwerken te kunnen beheren, zijn zogeheten command & control servers nodig. En het Team High Tech Crime wist toegang te krijgen tot deze servers, ongeveer zoals ze deden in 2010 met het Bredolab-netwerk.

Er was toen veel discussie of dat wel mag eigenlijk, hackende politie. Het idee is namelijk dat de politie niets mag, tenzij dit wettelijk geregeld is. (En nou ja, kleine dingen die de grondrechten van de burger niet raken zijn toegestaan in artikel 3 Politiewet). En nergens in de wet staat dat ze in mogen breken in een c&c server van een criminele botnetbeheerder.

Er ligt al een tijdje een wetsvoorstel Computercriminaliteit III waarin expliciet een dergelijke bevoegdheid opgenomen is:

1. In geval van verdenking van een [ernstig misdrijf] kan de officier van justitie, indien het onderzoek dit dringend vordert, bevelen dat een opsporingsambtenaar als bedoeld in artikel 141, onder b, of een buitengewoon opsporingsambtenaar als bedoeld in artikel 142, eerste lid, onder b, binnendringt in een geautomatiseerd werk of een daarmee in verbinding staande gegevensdrager, bij de verdachte in gebruik, en met een technisch hulpmiddel onderzoek doet …

De Memorie van Toelichting noemt dit een “nieuwe bevoegdheid voor opsporingsambtenaren”. En dat geeft gelijk een leuk juridisch argument: als het in een nieuwe wet toegestaan wordt, dan is het onder de huidige dús niet toegestaan.

In het Nutech-artikel wordt gemeld dat de rechter-commissaris hiervoor een machtiging heeft afgegeven. Leuk, maar onder welk artikel dan? Ik kan niet bedenken welk wetsartikel men hiervoor zou inzetten. Hooguit het in beslag nemen van de server en deze dan doorzoeken. Dat mag al, hoewel je dan wel fysiek de server mee moet kunnen nemen. En dat is volgens mij niet gebeurd.

We hebben het hier al over gehad maar zou het een goed idee zijn, zo’n hackbevoegdheid?

Arnoud

Wetsvoorstel computercriminaliteit: terughackbevoegdheid, webcammeekijkrecht, decryptiebevel en wereldwijde rechtsmacht bij cybercrime

| AE 5474 | Security | 55 reacties

team-high-tech-crimeMinister van Veiligheid en Justitie Ivo Opstelten wil de politie de mogelijkheid geven om fors in te grijpen tegen hackers, meldde NRC en vele andere media. In een nieuw wetsvoorstel tegen cybercrime stelt hij voor de politie een terughackbevoegdheid en een webcamgluurrecht te geven. Oh ja, en weigeren je wachtwoord te geven wordt strafbaar.

Het wetsvoorstel bevat een al lang liggend verlanglijstje van Justitie om meer bevoegdheden te krijgen. Zo wordt het apart strafbaar gesteld om gegevens te ‘helen’, oftewel gegevens over te nemen die niet openbaar zijn. Dit naar aanleiding van de Manon Thomas-zaak, waarin er strafrechtelijk weinig te doen was tegen de publicatie van via computervredebreuk verkregen privéfoto’s van de bekende Nederlandse. Dat kan nu wel – een jaar cel – maar “overnemen van niet-openbare gegevens” is gelijk wel een pondje zwaarder dan “publicatie van gevoelige privégegevens”.

De gegevens hoeven niet via computervredebreuk verkregen te zijn. Een laptop ouderwets jatten en dan de inhoud op pastebin zetten is ook strafbaar als dit wet wordt. Netjes is wel dat er een expliciete uitzondering is opgenomen voor serieuze journalistiek:

Niet strafbaar is degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang bekendmaking van de gegevens vereiste.

Het decryptiebevel. Tsja. Zoals de minister zelf al zegt:

De verdachte kan zich erop beroepen niet in staat te zijn aan het bevel te voldoen omdat hij niet in staat is de sleutel te reproduceren.
Dat levert dan overmacht op, waardoor hij niet strafbaar is. Maar de rechter mag wel zijn conclusies trekken over hoe geloofwaardig dit overkomt en wat dat betekent voor de rest van het bewijs. Opmerkelijk is nog dat het bevel alleen gegeven mag worden bij terrorisme en kinderporno, want dan durft niemand er tegen te zijn.

Verder wordt de gerechtelijke toets bij weghaalbevelen voor tussenpersonen (zoals hostingpartijen) toch niet geschrapt. Wel wordt de regeling herschreven maar voor zover ik kan zien, is dat vooral een verduidelijking. De belangrijkste aanvulling is dat er nu eindelijk een klachtmogelijkheid is tegen een dergelijk bevel.

Meest controversieel is toch wel de hackbevoegdheden die Justitie gaat krijgen onder dit wetsvoorstel. Men mag binnendringen in een computer, router of cloudserver waar de verdachte gebruik van maakt (ja, ook als hij niet de enige is) en deze “onderzoeken” om vast te stellen wie de eigenaar is of waar het apparaat staat. Maar ook alle gegevens overnemen “die noodzakelijk zijn om de waarheid aan het licht te brengen” – de wettelijke definitie van “bewijs vergaren”. Wel moet sprake zijn van een ernstig delict, en er moet toestemming zijn van de rechter-commissaris.

Hiermee mag dus ook de cloud gehackt worden – en neemt Nederland dus rechtsmacht aan voor alle cloudservers waar ze bij kunnen.

Aangenomen wordt dat bevoegdheden als de ontoegankelijkmaking of het veiligstellen van gegevens tot de eigen territoriale beschikkingsmacht behoort voor zover de Nederlandse strafwet toepasselijk is op het strafbare feit dat wordt opgespoord. De noodzaak tot onverwijld optreden maakt dit onvermijdelijk en ook volkenrechtelijk goed verdedigbaar. Dit betekent dat wanneer de plaats van opslag van de gegevens niet bekend is, zelfstandig kan worden opgetreden.

En wij maar piepen als de FBI gaat datagraaien in Europese computers onder hun Patriot Act.

Met een apart bevel mag men ook communicatie aftappen, vertrouwelijke communicatie opnemen en de verdachte stelselmatige observeren – inderdaad, de politie mag dan je webcam stiekem aanzetten en meekijken. Hiervoor komt een aanvulling op het Besluit technische hulpmiddelen strafvordering, waarin nu al staat wanneer de politie met richtmicrofoons of camera’s mag afluisteren of meekijken.

De hiervoor te gebruiken software lijkt nog te moeten worden ontwikkeld:

De softwareapplicatie dient te zijn gecertificeerd. De eisen voor de certificatie worden neergelegd in het Besluit technische hulpmiddelen strafvordering. Dit brengt met zich mee dat de mogelijkheid bestaat om technische hulpmiddelen van verschillende leveranciers te betrekken, op voorwaarde dat deze middelen aan de wettelijke eisen voldoen.

Harde eis: In het geval dat de software wordt herkend, is het van essentieel belang dat deze niet te herleiden is tot de politie. Eh.

Arnoud