Goh, Nederland heeft knappe inzichten over soevereiniteit in cyberspace

| AE 11551 | Regulering | 8 reacties

De brief van minister Blok aan de Tweede Kamer over soevereiniteit in cyberspace is een tour de force op juridisch gebied. Dat hoor je ook niet vaak van Kamerstukken, dus daar gaan we eens goed voor zitten. De brief werd van de zomer verstuurd en onlangs publiek gemaakt. Het doet me goed te zien dat het concept cyberspace als zodanig kennelijk juridisch erkend wordt, maar je maakt dingen wel een stuk ingewikkelder op die manier. De uitkomsten zijn overigens zeker wel verrassend en vernieuwend.

Het grootste probleem met cybervraagstukken is dat het de nationale soevereiniteit doorbreekt. Als een botnet met Europese slachtoffercomputers wordt gecommandeerd door een Braziliaan via een vpn een command&controlserver in Korea om een Nederlandse bank plat te leggen, welke actie neem je dan als Nederlandse politie? In hoeverre zou bijvoorbeeld de soevereiniteit van Korea worden aangetast als je die server terughackt en uitzet? Of die van Brazilië omdat ze die dader daar wilden aanpakken? (Dit is belangrijk omdat uit internationaal recht volgt dat je andermans soevereiniteit niet schendt; je komt dan richting de oorlogsdaden.)

Wanneer doorkruist een cyberactie nu de soevereiniteit? Het antwoord zou volgens Nederland liggen in het effect in het land waar dit gebeurt. Hoe ernstiger dat effect, hoe meer je aan iemands soevereiniteit knabbelt. Effecten die gelijk zijn aan ingrijpen met fysiek geweld zijn het extreemste voorbeeld: dat is eigenlijk gewoon keihard verboden. Het lamleggen van die Nederlandse bank is dus een schending van internationaal recht als dat door een staat zou gebeuren, bijvoorbeeld.

Minstens zo interessant is het zorgvuldigheidsbeginsel: dat je rekening houdt met andere landen wanneer je als soevereine staat handelt. Je opereert weliswaar soeverein maar niet volledig in isolatie, immers. Dat beginsel werkt een-op-een ook in de cyberwereld:

In de cybercontext betekent het zorgvuldigheidsbeginsel dat staten moeten optreden tegen: (1) cyberactiviteiten die worden uitgevoerd door personen op hun grondgebied of waarbij gebruik wordt gemaakt van zaken of netwerken op hun grondgebied of waar zij anderszins controle over hebben; (2) die inbreuk maken op een recht van een andere staat; en (3) waarvan zij op de hoogte zijn of zouden moeten zijn.

Brazilië of Korea zou dus moeten ingrijpen als die Nederlandse bank wordt platgelegd. En niet “dat zou leuk zijn” maar “dat moeten ze van het internationaal recht”. Wel moet het dan gaan om een ernstige inbreuk op de rechten van in dit geval Nederland. Eén enkele phishmail uit Nigera schept dus nog niet meteen zo’n verplichting.

Wat nu als zo’n land daar niet meteen gehoor aan geeft? Want dan komen we bij waar het echt om draait, zou de Nederlandse politie dan die C&C server plat mogen leggen op afstand, of die Braziliaan mogen spearphishen om de login te pakken te krijgen? Die zorgvuldigheidseis is een soort van opstapje daarheen. Als een land – zeg Brazilië – te kort zou schieten daarin, en Nederland ondervindt vervolgens ernstige schade, dan mag Nederland doorpakken en zelf maatregelen nemen. Terughacken dus.

Niet dat terughacken nu automatisch de meest logische actie is. Je moet altijd eerst kijken of er legale alternatieven zijn, zoals Brazilië blokkeren op de AMS-IX, diplomaten uitzetten of een andere handeling die ook wel pijn doet maar duidelijk binnen je eigen rechten valt. Pas als dat niet lukt, dan kun je opschalen naar internationale actie – die dan wel tijdelijk en voor compensatie vatbaar moet zijn.

(Als goed jurist moet ik nu openen door te zeggen dat Nederland een lange traditie heeft met dit soort inzichten: Hugo de Groot formuleerde in 1609 zeer gezaghebbende principes over het recht op de internationale zeeën. Kort gezegd, iedereen heeft daar dezelfde (namelijk geen) exclusieve rechten, omdat geen land dit in eigendom kan hebben. Bij deze.)

Arnoud
PS: vergeet je ticket voor the Future is Legal op 15 november niet, ze gaan hard!

Mag een forum IP-adressen van een klager matchen tegen zijn gebruikers?

| AE 7117 | Security | 11 reacties

blog-ip-adres.pngVia een lezer (dank) vond ik een interessante discussie bij Tweakers: een bedrijf werd besproken op het forum van de techsite, waarna het bedrijf bij het beheer ging klagen dat er hackpogingen werden ondernomen vanuit Tweakers. Waarop het beheer van Tweakers meldde dat personen die zoiets zouden doen, een ban zouden krijgen. Herrie in de tent natuurlijk, onder meer over de vraag of T.net wel mocht kijken naar IP-adressen die door dat bedrijf waren aangeleverd. En waar stond dat dan in de wet?

De pest met internetrecht is dat er bar weinig concrete aanknopingspunten zijn om een onderbouwde uitspraak te kunnen doen. Zo zijn er eigenlijk geen fatsoenlijke rechtsbronnen die over persoonsgegevens in ICT-security gaan, laat staan zo specifiek als wat hier aan de hand is. Je kunt als jurist weinig meer doen dan speculeren, pardon je deskundige mening geven. Dus nou ja, dat doen we dan maar.

Het bedrijf leverde IP-adressen aan van vermeende kwaadwillenden, en Tweakers bekeek of die IP-adressen op dat moment ook in gebruik waren bij ingelogde gebruikers. Dat is een verwerking van persoonsgegevens, omdat het hier immers gaat om IP-adressen van personen (of proxy’s maar dat terzijde).

De Wbp noemt 6 gronden voor verwerking van persoonsgegevens, waarvan normaal de toestemming en de eigen dringende noodzaak de twee meest relevante gronden zijn. (Een derde is de noodzaak in verband met nakoming overeenkomst, bv. een adres geven aan de post omdat je een bestelling wilt versturen.)

Van een eigen dringende noodzaak is sprake als je een eigen belang hebt dat zwaarder weegt dan de privacy, en waarbij de maatregel die je neemt echt absoluut nodig is om dat belang te dienen. Het kan niet een onsje minder en er is geen alternatief. In principe moet je hierbij een opt-out bieden als dat enigszins te doen is.

Op je site IP-adressen loggen om hackpogingen te signaleren, is wat mij betreft een evident voorbeeld. Het kicken of bannen van je gebruikers wegens overtreding van de gebruiksvoorwaarden lijkt me er ook onder vallen, en wellicht is dat wel te rechtvaardigen als gebruik ten behoeve van nakoming overeenkomst. Het bewijzen van wanprestatie vind ik daar wel onder passen.

(Overigens – maar dit is offtopic denk ik – vind ik niet dat “ik heb geen zin meer in je, ga van mijn server” rechtsgeldig is. T.net heeft een overeenkomst met zijn gebruikers en die mag niet zomaar per direct en zonder grond worden opgezegd.)

Specifiek hier zit het punt dat partij A een persoonsgegeven* verstrekt aan B, waarna B daarmee aan de slag gaat. A heeft een noodzaak (loggen/decteren intruders) en B ook (schorsen van wanpresterende gebruikers) maar mag je die noodzaken combineren?

Ik ben geneigd te zeggen van wel. Als T.net een noodzaak heeft om in te grijpen bij hackpogingen waarbij T.net een wezenlijke schakel was, dan mag ze daarbij ook extern aangedragen bewijs hanteren. Het zou wat gek zijn dat T.net zelf bewijs moet vergaren als een derde klaagt “er hackt iemand vanaf jullie site”. Meer algemeen wil het er bij mij niet in dat een op zich legitieme wet een blokkade zou opleveren voor op zich legitiem gedrag. Wat zou het alternatief zijn, dat T.net zijn gebruikers vraagt “jongens mag ik van jullie nagaan wie er crimineel bezig is ja/nee”?

Arnoud

Mag de politie een Blackshades-command en control server hacken?

| AE 6660 | Regulering, Security | 21 reacties

blackshadesHet Team High Tech Crime van de Nederlandse politie is een server van Blackshades binnengedrongen en heeft op die manier informatie veiliggesteld, meldde Nutech onlangs. Dit in het kader van een strafrechtelijk traject tegen de beheerders, waarbij ook invallen in 34 Nederlandse huizen werden gedaan. Hoogst opmerkelijk, want er is nog steeds geen wettelijke grondslag voor het binnendringen van servers door de politie.

Blackshades is een remote access tool dat als malware wordt verspreid om zo op afstand geïnfecteerde computers te kunnen overnemen. Eén van de features is het gijzelen van bestanden totdat er wordt betaald, een steeds populair wordende truc.

Om dergelijke netwerken te kunnen beheren, zijn zogeheten command & control servers nodig. En het Team High Tech Crime wist toegang te krijgen tot deze servers, ongeveer zoals ze deden in 2010 met het Bredolab-netwerk.

Er was toen veel discussie of dat wel mag eigenlijk, hackende politie. Het idee is namelijk dat de politie niets mag, tenzij dit wettelijk geregeld is. (En nou ja, kleine dingen die de grondrechten van de burger niet raken zijn toegestaan in artikel 3 Politiewet). En nergens in de wet staat dat ze in mogen breken in een c&c server van een criminele botnetbeheerder.

Er ligt al een tijdje een wetsvoorstel Computercriminaliteit III waarin expliciet een dergelijke bevoegdheid opgenomen is:

1. In geval van verdenking van een [ernstig misdrijf] kan de officier van justitie, indien het onderzoek dit dringend vordert, bevelen dat een opsporingsambtenaar als bedoeld in artikel 141, onder b, of een buitengewoon opsporingsambtenaar als bedoeld in artikel 142, eerste lid, onder b, binnendringt in een geautomatiseerd werk of een daarmee in verbinding staande gegevensdrager, bij de verdachte in gebruik, en met een technisch hulpmiddel onderzoek doet …

De Memorie van Toelichting noemt dit een “nieuwe bevoegdheid voor opsporingsambtenaren”. En dat geeft gelijk een leuk juridisch argument: als het in een nieuwe wet toegestaan wordt, dan is het onder de huidige dús niet toegestaan.

In het Nutech-artikel wordt gemeld dat de rechter-commissaris hiervoor een machtiging heeft afgegeven. Leuk, maar onder welk artikel dan? Ik kan niet bedenken welk wetsartikel men hiervoor zou inzetten. Hooguit het in beslag nemen van de server en deze dan doorzoeken. Dat mag al, hoewel je dan wel fysiek de server mee moet kunnen nemen. En dat is volgens mij niet gebeurd.

We hebben het hier al over gehad maar zou het een goed idee zijn, zo’n hackbevoegdheid?

Arnoud

Wetsvoorstel computercriminaliteit: terughackbevoegdheid, webcammeekijkrecht, decryptiebevel en wereldwijde rechtsmacht bij cybercrime

| AE 5474 | Security | 55 reacties

Minister van Veiligheid en Justitie Ivo Opstelten wil de politie de mogelijkheid geven om fors in te grijpen tegen hackers, meldde NRC en vele andere media. In een nieuw wetsvoorstel tegen cybercrime stelt hij voor de politie een terughackbevoegdheid en een webcamgluurrecht te geven. Oh ja, en weigeren je wachtwoord te geven wordt strafbaar. Het… Lees verder