Hoe actief moet je opt-in vragen om brieven voor je buurtapp te sturen?

De politie stelt een onderzoek in naar nepbrieven die op diverse plekken in Overijssel huis-aan-huis worden bezorgd. Dat las ik bij RTV Oost onlangs. De brieven zouden zijn verstuurd om deelnemers aan een buurtpreventie-app te ronselen, en ondertekend zijn door medegebruikers die van niets weten. Tegenover Nu.nl meldt het netwerk, Nextdoor, dat je toch echt actief op een knop moet hebben gedrukt om zo’n brief te versturen. Nu.nl meldt overigens ook dat dat onderzoek er toch weer niet zou zijn. Maar het riep de vraag op, is het strafbaar om op deze manier brieven te sturen?

De politie komt erbij omdat er wordt gesproken van valsheid in geschrifte. Dat is inderdaad strafbaar:

Hij die een geschrift dat bestemd is om tot bewijs van enig feit te dienen, valselijk opmaakt of vervalst, met het oogmerk om het als echt en onvervalst te gebruiken of door anderen te doen gebruiken, wordt als schuldig aan valsheid in geschrift gestraft, met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.

Andermans naam en handtekening onder een brief zetten, is natuurlijk een vorm van valselijk opmaken met als oogmerk het als echt en onvervalst te gebruiken. Ik twijfel hooguit over de vraag of die brief “bestemd is om tot bewijs te dienen”. Van welk feit dan? Dat je buurman je uitnodigt een app te installeren? Is dat het soort feit dat dit strafrechtartikel op het oog heeft? In mijn beleving gaat dit artikel meer over documenten met juridische strekking, bewijs van contracten, overdrachtsdocumenten, dat werk. Dus ik twijfel.

Daarnaast is er natuurlijk geen sprake van vervalsing als de naam gezet is met toestemming van die persoon. Een secretaresse mag namens hun directeur brieven tekenen die deze gedicteerd heeft, bijvoorbeeld. Daar is niets strafbaars aan. De vraag is dan dus, is wat Nextdoor doet een vorm van toestemming vragen?

Het plaatje van Nextdoor (via nu.nl gevonden) is wat klein maar je ziet toch wel dat er genoemd wordt wat er op de kaart komt: naam, straat en reclame (pardon “Helpful information about Nextdoor”). Je moet op een grote groene knop drukken waar “Send postcard” op staat. Dat lijkt me toch redelijk duidelijk.

Ik stel daar wel tegenover dat ik ook nogal verbaasd was te lezen dat men echt een plakje dode boom verstuurt. In de context van registratieprocedures en uitnodigingen denk ik altijd aan e-mailtjes, in dit geval dus een elektronisch uitnodigingskaartje. Wellicht dat daar de verwarring vandaan komt?

Arnoud

Is het valsheid in geschrifte om andermans TTL aan te passen?

Sorry, beetje nerdtitel. Via Twitter de vraag:

DNS TTL violations is a controversial topic. It basically means a resolver overrides a TTL value provided by an authoritative server, and then serving its clients with this value. In this post, we analyse if this is happening in the wild. … is ttl violation geen valsheid in geschrifte?

Nu zie ik wel vaker de discussie of het aanpassen van elektronische informatie telt als valsheid in geschrifte, dus laten we er weer eens voor gaan zitten. In de basis is het wetsartikel vrij simpel:

Hij die een geschrift dat bestemd is om tot bewijs van enig feit te dienen, valselijk opmaakt of vervalst, met het oogmerk om het als echt en onvervalst te gebruiken of door anderen te doen gebruiken, wordt als schuldig aan valsheid in geschrift gestraft, met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.

Het moet dus gaan om een geschrift. Dit mag ook elektronisch zijn, dus een digitaal document of gegevensverzameling valt er ook onder. Het geschrift moet wel een bewijsfunctie hebben, het doel van het geschrift moet zijn dat je er iets mee kunt aantonen of weerleggen. Een bioscoopkaartje voldoet aan die discussie (het bewijst dat je naar die en die film mag), een liefdesbrief niet (en nee “het bewijst je liefde” is juridisch niet goed genoeg). In de elektronische wereld zou een nep-SSL-certificaat bijvoorbeeld deze functie hebben, maar nepnieuws niet.

Dat “valselijk opmaken of vervalsen” is een brede omschrijving voor de ‘valsheid’ die je pleegt: je past dingen aan in een echt bewijsdocument, of je maakt een geheel nieuw document dat eruit ziet als echt. Beiden zijn goed genoeg om van valsheid in geschrifte te plegen. Wel is daarbij vereist dat het doel van je aanpassing is dat je het resultaat voor echt wilt laten doorgaan. Een bioscoopkaartje met Photoshop bewerken tot een ludieke uitnodiging voor je verjaardag in Star Wars-thema is dus niet strafbaar.

Goed, dan die TTL schending. Heel kort gezegd: de informatie achter domeinnamen die via nameservers wordt verspreid, heeft een houdbaarheidsdatum, de time to live of TTL. Na die TTL wordt je als ontvanger geacht die informatie opnieuw bij de bron op te vragen, zodat je niet met verouderde informatie (zoals oude IP-adressen en dus de verkeerde site) zit te werken.

De aanleiding voor de vraag was de constatering dat het voorkomt dat organisaties de TTL van andermans domeinnaaminformatie ongevraagd aanpassen. Enerzijds inkorten – zodat de bron veel vaker dan gewenst opnieuw bevraagd wordt – en anderzijds verlengen – zodat de ontvanger met mogelijk verouderde informatie werkt. Voor beide opties zijn argumenten te over.

Is dit nu valsheid in geschrifte? De makkelijke stukken: een brokje DNS informatie is een elektronisch geschrift en het wordt aangepast om het als echt door te laten gaan, want de ontvanger van de aangepaste informatie kan het niet onderscheiden van het origineel. Maar ik denk dat het hier stukloopt op de bewijsfunctie: het informatiebericht dient niet als bewijs, het is niet “wij verklaren bij deze dat onze informatie 2 dagen geldig is” maar het is een stukje informatieverstrekking met een houdbaarheidsdatum “controleer deze informatie na 2 dagen opnieuw”. Ik denk dus niet dat je er langs die route komt.

Arnoud

Xs4all-gebruiker krijgt certificaat Xs4all.nl in handen, mag dat?

xs4all-vals-certificaatEen abonnee van Xs4all is erin geslaagd om een ssl-certificaat voor Xs4all.nl aan te maken, las ik bij Tweakers. Met behulp van het e-mailadres administrator@xs4all.nl, dat hij als alias voor zijn privéadres aanmaakte, wist de gebruiker bij certificaatautoriteit Comodo een ssl-certificaat voor Xs4all.nl te genereren. Comodo dacht kennelijk dat ze met een administrator van XS4All te maken had. Maar is dat nu legaal, met nepgegevens een certificaat aanmaken?

De wet kent geen specifieke regels over het aanvragen van een SSL-certificaat op andermans naam. De enige regel die volgens mij in de buurt komt, is die van valsheid in geschrifte (art. 225 Strafrecht). Oftewel:

Hij die een geschrift dat bestemd is om tot bewijs van enig feit te dienen, valselijk opmaakt of vervalst, met het oogmerk om het als echt en onvervalst te gebruiken of door anderen te doen gebruiken

Een certificaat kun je zien als een elektronisch geschrift (vergelijk art. 6:227a BW en 156a Rechtsvordering), dus aan dat element is wel voldaan. Het certificaat is bestemd om te bewijzen dat je een verbinding hebt met de website van in dit geval XS4All, en dat kun je “enig feit” noemen.

Het certificaat is weliswaar echt, en dus niet nagemaakt/vervalst, maar het opmaken is gebeurd door misleiding en dat is een vorm van “valselijk opmaken”. Dus ook aan dat element is voldaan.

Alleen bij het oogmerk struikel ik. Althans in dit geval: de gebruiker heeft het certificaat meteen ingetrokken en heeft het nergens werkelijk gebruikt. Dan kun je dus niet spreken van een oogmerk om het als echt en onvervalst te gebruiken of te laten gebruiken.

Zou het geen valsheid in geschrifte zijn, dan kun je een vervalst certificaat alleen aanpakken als het wordt gebruikt om daadwerkelijk illegale zaken te doen. Het is dan een middel voor bijvoorbeeld het aftappen van vertrouwelijke communicatie (een man-in-the-middle aanval) of computervredebreuk (valse authenticatie). Ook phishing door een valse webwinkel op te zetten met dat certificaat zou natuurlijk strafbaar zijn (oplichting). Maar daarvan is hier geen sprake.

Daarbij komt dat de opzet van deze actie zodanig is dat het voor mij een evidente journalistieke truc is: een misstand aan de kaak stellen door te laten zien dat het echt mis is.

Dus nee, bij deze specifieke stunt weet ik geen reden waarom het niet zou mogen. Maar het betekent natuurlijk niet dat iedereen nu ‘dus’ ook nepcertificaten mag maken, zeker niet als je daar daadwerkelijk diensten mee gaat leveren. Je moet wel een punt hebben om te maken.

Arnoud