Is crypto en bitcoin nou geschikt voor criminelen of niet?

De Amerikaanse autoriteiten hebben een man en vrouw gearresteerd die worden verdacht van het witwassen van bitcoins die in 2016 bij platform Bitfinex werden gestolen. Dat meldde Tweakers vorige week. De FBI zou 3,15 miljard euro aan cryptocoins in beslag hebben genomen. Een enorm bedrag (afgezien van de speculatieve waarde van de munten), en wat velen verbaasden was vooral dat het kennelijk zo makkelijk was deze mensen op te sporen. Cryptomunten zijn toch de perfect crime: ontraceerbaar en anoniem? Nou ja, niet echt dus.

In 2016 werd de bitcoin-handelsplaats Bitfinex beroofd: er werd in totaal 119.756 bitcoin gestolen, destijds zo’n 58 miljoen euro waard. In geld van vandaag is dat 3,9 miljard euro (ongeveer 433 Sywerts). Althans, als je het in euro om weet te zetten, want daar zat hem de kneep: hoe moet je dat voor elkaar krijgen in de infrastructuur van cryptomunten?

Want ja, het verschuiven van crypto van wallet A naar wallet B dat kan zonder nadere identificatie. Maar op zeker moment wil je er echt geld / fiatgeld voor hebben, en dan moet je langs een exchange. Dat is dus allemaal te volgen, een mooie truc daarvoor was deze Twitterbot maar het zit inherent in de blockchain: alle transacties worden openbaar gemaakt, dus je kunt van de gestolen bitcoins precies zien waar ze heengaan. En zodra ze dan bij een wisselkantoor uitkomen, val je daar als FBI binnen en vraag je de know-your-customer identificatie op.

Er zijn natuurlijk trucs, zoals zogeheten tumblers die geld opsplitsen en met ander geld combineren zodat het veel lastiger te traceren is. Maar deze twee hadden pech een door de FBI opgerolde tumbler te hebben gebruikt. Ook hielp het niet dat de opsporingsdienst toegang tot een cloudaccount wist te krijgen, waar niet nader genoemde informatie werd gevonden waarmee diverse wallets en dergelijke geïdentificeerd konden worden.

Bij Tweakers lees ik nog dat exchanges deze bitcoins op een zwarte lijst zouden hebben, zodat deze beheerders weten wanneer crimineel geld langskomt. Net zoals een bank gestolen bankbiljetten kan herkennen aan de serienummers. Alleen hebben bitcoins geen serienummer, het zijn geen munten maar tellertjes die in een transactie vermeld staan. Het zijn de transacties (er ging 1 BTC van meneer Sassaman naar meneer Wright) die geregistreerd worden, en die je dus allemaal terug kunt zoeken.

De kern is in ieder geval: als je begint met gestolen bitcoins, dan is goed bij te houden waar die heen gaan. En ik zie zeker wel hoe een wisselkantoor dan zal weigeren deze om te zetten naar dollars of euro’s. En dan is het een beetje ingewikkeld om wat te doen met je gestolen geld.

Als de bitcoins zelf niet gestolen zijn, dan ligt het iets anders. Bij ransomware bijvoorbeeld gaan de bitcoins weliswaar naar criminelen, maar de bitcointransactie zelf is legitiem (er gaat 1 BTC van A naar B). En dan is het lastiger dit te traceren tot een persoon die er euro’s van maakt. Specifiek daar is bitcoin (of crypto in het algemeen) wél interessant voor criminelen.

Arnoud

 

Wat mag je nog met tracking pixels tegenwoordig?

orgverzekeraars maken gebruik van omstreden tracking-software die is verstopt in e-mails aan klanten, zo meldde Radio 1 onlangs. Deze reportage was een vervolg op eerdere berichten dat onderwijsdienst DUO trackers gebruikte om te zien of studenten hun mail wel lazen, zonder dit te melden. Dat zou in strijd zijn met de AVG. DUO is ermee gestopt, de door Reporter Radio onderzochte zorgverzekeraars gaan hun privacyverklaring aanpassen maar lijken niet te stoppen. Wat dus de vraag oproept, mag dat nu wel of niet van de AVG?

Een tracking pixel is een al wat oudere truc om te achterhalen of iemand je mailbericht heeft gelezen, althans opengeklikt. Er zit dan een plaatje van 1 bij 1 pixel in de mail, en je mailprogramma haalt dat plaatje op net zoals andere afbeeldingen. Dat valt jou als lezer niet op want het is maar 1×1 pixel en bovendien wit of transparant. Maar bij het ophalen wordt je IP-adres geregistreerd, en de bestandsnaam is uniek voor jou als ontvanger zodat de afzender kan zien dat deze pixel vanuit jouw mailbericht is opgevraagd. Dat is dan het bewijs dat jij die mail hebt geopend.

In deze context is dat IP-adres een persoonsgegeven, of iets preciezer: die unieke bestandsnaam in combinatie met IP-adres en datum plus tijd van opvraging is het persoonsgegeven “persoon ed@example.com heeft de mail opengeklikt”. En dan is de AVG van toepassing.

Onder de AVG moet je allereerst een grondslag hebben. Dat zal gewoonlijk het eigen gerechtvaardigd belang moeten zijn, want toestemming vraagt geen hond en echt noodzakelijk voor een overeenkomst is het niet. Welke nieuwsbrief is zo belangrijk dat je moet moet moet weten dat deze aangekomen is? Maar een eigen belang – marketing en statistieken – dat zie ik wel. Daar staat dan natuurlijk het privacybelang van de ontvanger tegenover, maar wanneer je de vastlegging uitsluitend gebruikt voor algemene statistieken (deze truc geeft 5% meer opens, in België leest slechts 20% onze nieuwsbrief) dan denk ik dat het marketingbelang wint.

Wel moet je duidelijk informeren over de tracking. Dat zal op zijn minst in de privacyverklaring moeten gebeuren. Maar eigenlijk denk ik dat het duidelijker moet dan dat – een zin bij het “inschrijven voor de nieuwsbrief” formulier, en misschien zelfs wel een zin in de mail zelf. Hoewel dat laatst eigenlijk wat laat is, de tracking pixel is dan al ingeladen. Ook moet er een opt-out (bezwaar) mogelijkheid zijn. Dat mensen zelf blockers kunnen installeren, is wat mager. Je zult mensen dat dan uit moeten leggen. Maar ik denk dat je dan een heel eind komt.

Oh ja, dan is er ook nog de Telecommunicatiewet die in tegenstelling tot wat de Volkskrant zegt wél geldt voor tracking pixels. Er wordt immers een pixel op je computer gezet. Dat “de registratie gebeurt op de server van de afzender” is niet relevant, de Telecomwet gaat niet over waar persoonsgegevens worden verwerkt maar of er data op randapparatuur wordt opgeslagen. Maar het gaat desondanks goed, omdat dergelijke simpele analytics vallen onder de Nederlandse uitzondering op de cookiewet. Dit schendt niet of nauwelijks de privacy en is bedoeld om de effectiviteit van een geleverde dienst te meten. Dan is er geen toestemming nodig.

Dus onder de streep kom ik uit bij een kopje in de privacyverklaring “nieuwsbrief en volgsysteem” waaronder je uitlegt dat je tracking toepast, welke gegevens je vastlegt daarvoor en hoe mensen dit tegen kunnen houden. Toestemming vragen is niet nodig.

Voor DUO ligt dat anders. Dat is een overheidsinstantie, dat die mails verstuurt in de uitoefening van haar publieke taak. In dat geval is zij niet bevoegd de grondslag van het eigen gerechtvaardigd belang in te roepen – zij moet een wettelijke grondslag hebben om dit te mogen doen. En die is er niet.

Arnoud

Te koop bij uw ISP: uw browsergeschiedenis

Amerikaanse internetproviders mogen binnenkort de internetgeschiedenis van hun klanten verkopen aan derden, meldde Ars Technica vorige week. Een besluit van die strekking is door zowel Congres als Huis van Afgevaardigden aangenomen. Het besluit verklaart een eerdere regel van de toezichthouder FCC ongeldig, waarin werd bepaald dat alleen met aparte opt-in dergelijke gegevens mochten worden verzameld en verkocht.

Het achterliggende argument lijkt te zijn dat de advertentiemarkt te veel in het voordeel van social media en zoekdiensten is. Die kunnen van alles en nog wat verzamelen en verkopen, en toestemming regelen ze met onleesbare gebruiksvoorwaarden die iedereen toch wel accepteert. Terwijl die arme zielige ISPs alle investeringen in infrastructuur mogen doen en dan niet eens een advertentietje hier of daar mogen doen om een centje bij te verdienen. Mogelijk zit er ook een stukje politiek achter, nu de huidige president de visie lijkt te hebben dat toezicht eigenlijk überhaupt een slecht idee is.

Elders wijst Bruce Schneier erop dat de belangrijkste pijn er hier in zit dat je gewoon niet van provider kunt wisselen. In theorie zou je kunnen stoppen bij Facebook (hoewel ik dan denk: moehaha yeah right) maar van provider wisselen is vaak gewoon onhaalbaar omdat er geen alternatief ís. Je onttrekken aan deze monitoring zou wellicht kunnen met een VPN, maar dat zijn weer forse extra kosten en vaak verminderde prestaties.

In Nederland zou dit nauwelijks te doen zijn. Privacy op internet is verankerd in Europese regels; ons parlement is niet eens bevoegd om zulke regels te maken waarbij opt-in zou worden afgeschaft. Weer zo’n juridisch verschil met de VS: privacy is daar beperkt tot wat je met de gordijnen dicht thuis doet, en dat gegevens over jou privacygevoelig zijn, wil er eigenlijk gewoon niet in bij ze.

Arnoud

Mag de politie zeggen “U twittert wel heel veel”?

twitter-agent-politieTwitterende tegenstanders van azc’s moeten rekening houden met een bezoekje van de politie. Mag dat? Dat schreef NRC vorige week. „Wij hebben orders gekregen om u te vragen op uw toon te letten. Uw tweets kunnen opruiend overkomen”, kreeg een Sliedrechtenaar te horen nadat hij had getwitterd over een AZC-bijeenkomst. Iets strafbaars zei hij niet, dus dat roept dan de vraag op, waar bemoeit die agent zich mee? En hoezo gaan ze dan langs je huis om wat te zeggen van je tweet?

In principe heeft een agent het recht zich te bemoeien met wat je in de openbaarheid doet, als dat de openbare orde raakt. Dat staat zo in artikel 3 Politiewet:

De politie heeft tot taak in ondergeschiktheid aan het bevoegd gezag en in overeenstemming met de geldende rechtsregels te zorgen voor de daadwerkelijke handhaving van de rechtsorde en het verlenen van hulp aan hen die deze behoeven.

Als een agent je ziet terwijl je hard fietsend op een rood stoplicht afkomt, dan mag hij je manen af te remmen, ook al ben je nog niet door rood gefietst. Dit artikel geldt dus niet alleen bij daadwerkelijk gepleegde strafbare feiten. Ik zie het principiële verschil niet tussen mensen op straat waarschuwen niet door rood te rijden en mensen op straat waarschuwen geen strafbare dingen te gaan roepen.

Artikel 3 is overigens niet bedoeld voor activiteiten waarbij de politie inbreuk maakt (“een meer dan geringe”, althans) op grondrechten van burgers. Een huis doorzoeken of iemands mailbox lezen kan dus niet op grond van dit artikel, daar is een specifiek bevel voor nodig onder het Wetboek van Strafvordering.

Maar, zo weten we ondertussen, de politie mag kijken wat er in het openbare internet allemaal gebeurt. In de jihadzaak van december werd over rechercheren op internet gezegd:

Zoals de politie, al dan niet in burger, op straat mag surveilleren en rondkijken, zo mag een rechercheur vanachter zijn computer hetzelfde doen op internet. Een uitdrukkelijke wettelijke grondslag is daarvoor niet nodig’. Daarbij wordt door de Minister opgemerkt dat deze bevoegdheid om rond te kijken op een openbaar netwerk niet de bevoegdheid impliceert om stelselmatig voor de uitoefening van de politietaak gegevens van internet te downloaden en in een politieregister op te slaan.

Op internet rondkijken is dus hetzelfde als op straat surveilleren. En als je op straat iemand hoort schreeuwen “Laat ze oprotten die teringleiers, we gaan met z’n allen naar het gemeentehuis”, dan mag je als agent even een praatje aanknopen. Ook als men slechts volstrekt legale bedoelingen heeft en niet meer wil dan oproepen tot een legale betoging bij het gemeentehuis om onvrede te brengen. (“Teringleiers” roepen in een politieke discussie lijkt me niet direct strafbare groepsbelediging.) Je zit in een grijs gebied met zo’n oproep, en deel van de taak van de politie is die grijze gebieden netjes houden.

Hetzelfde argument werd aangehaald bij het raadplegen van Google Earth in een belastingfraudezaak. Men citeert de minister:

Zoals de politie, al dan niet in burger, op straat mag surveilleren en rondkijken, zo mag een rechercheur vanachter zijn computer hetzelfde doen op Internet. Een uitdrukkelijke wettelijke grondslag is daarvoor niet nodig, mits dat optreden gerekend kan worden tot de uitvoering van de politietaak (zie artikel 2 [nu artikel 3, AE] Politiewet 1993).

Een keertje kijken op Google Earth viel hieronder, omdat het incidenteel was en een openbare bron. Twitter en Facebook zou ik in principe hier ook onder rekenen, in ieder geval zolang het openbaar is en je geen kunstgrepen met nepaccounts en bevrienden uit hoeft te halen. Immers, zelfs je volgen op Twitter is nog niet automatisch een “meer dan geringe” inbreuk.

Tegelijk lijkt het me zeker nogal heftig om een agent aan je deur te krijgen, heftiger dan op straat te horen “kan het even wat minder meneer”. Op straat is het direct gerelateerd aan je actie, en als men een week later thuis langskomt dan mis je die link. Maar ik zie dat als inherent aan het medium Twitter: men kan moeilijk direct er wat van zeggen, dus logisch dat het even duurt. Ik denk niet dat mensen onder de indruk zijn als de politie terug gaat twitteren “@jijdaarmetdiehashtag even dimmen meneertje”.

Arnoud

Amerikaanse politie mag nepaccounts op Instagram gebruiken, onze politie ook?

politie-bordje-logo-aangifte-bureau.jpgDe Amerikaanse politie mag nepaccounts op Instagram aanmaken en hiermee vrienden worden met verdachten, las ik bij Nu.nl. Zo kon men foto’s verkrijgen die bewijs leverden van een wetsovertreding zonder dat een bevelschrift nodig was. Een Amerikaanse rechter achtte dat legaal. Hoe zou dat bij ons gaan?

In Nederland mogen politieagenten minder dan gewone burgers. Althans, ze moeten altijd uit de wet kunnen halen dat ze iets wél mogen, terwijl gewone burgers alleen hoeven te kijken of ze iets níet mogen. Het idee is dat je zo misbruik van bevoegdheden voorkomt. Hoofdregel is: een agent mag het alleen als het in de wet staat, tenzij het gaat om iets met slechts geringe inbreuk op de burgerrechten. Op straat rondkijken is nou niet echt een stevige inbreuk op de privacy, dus dat is zonder specifieke wettelijke grondslag toegestaan aan de politie. Eenmalig in Google Earth kijken ook niet.

Bij ons is geen gerechtelijk bevel nodig om politieagenten videobeelden of foto’s te vorderen. De wet (art. 126nd Strafvordering) eist slechts een bevel van de officier van justitie, niet van de rechter-commissaris. Tenzij je de strenge lijn van de Hoge Raad volgt die zegt dat camerabeelden ‘bijzondere’ persoonsgegevens zijn, dan is een bevel rechter-commissaris nodig.

Alleen, dat gaat eigenlijk over het vorderen van gegevens die niet zomaar te pakken zijn. Bij Instagram en andere sociale media gaat het om openbare bronnen, waar in principe iedereen mag kijken, dus ook de politie. Net zoals ze op straat mogen lopen en observeren wat daar te observeren valt. Ik denk dan ook niet dat er iets nodig is om een agent openbare Instagram-foto’s of een publieke Twitterfeed te laten bekijken. Oké, iemand op Twitter volgen is nog soort van spannend omdat je dan structureel iemands online gangen nagaat. Maar één keer kijken, nee.

Zit een en ander afgeschermd, dan wordt het lastiger. Er is dan bijvoorbeeld artikel 126m Strafvordering, dat regelt wanneer de politie “niet voor het publiek bestemde communicatie die plaatsvindt met gebruikmaking van de diensten van een aanbieder van een communicatiedienst” mag opnemen. En dat artikel vereist wél een machtiging van de rechter-commissaris. Hoewel ook dit artikel niet geschreven is voor sociale media maar voor bijvoorbeeld afluisteren van telefonie, is goed verdedigbaar dat het ook hier opgaat want een afgeschermde Twitterfeed is ook “niet voor het publiek bestemd”. Maar het gaat me wat ver om dat al te laten gelden wanneer de afscherming enkel is dat je lid moet zijn van de dienst, zonder nadere toegang te vragen aan de verdachte. Iedereen mag op Instagram, dus als een politieagent toevallig ingelogd is en dan de foto’s kan zien dan vind ik dat nog wel “voor het publiek bestemd”.

Maar in deze Amerikaanse zaak ging om het aanmaken van nepaccounts, om zo vrienden te worden met de verdachte en zijn foto’s te kunnen inzien. Dan ga je nóg weer een stapje verder, je doet je dan voor als een ander dan je bent. Dat kun je “stelselmatig informatie inwinnen” (art. art. 126j Rv, Oerlemans & Koops). Er moet dan sprake zijn van een misdrijf maar toestemming van de rechter-commissaris is niet nodig.

Tenzij je hier zegt, het was eenmalig en even kort kijken. Dan zou je het, net als dat Google-Earthverhaal, kunnen rechtvaardigen als “slechts geringe inbreuk op de burgerrechten”. Daar valt wat voor te zeggen, immers hij heeft je zelf toegelaten terwijl hij niet wist wie je was, dus heel erg privé vond hij het allemaal niet. Of heb je dan toch iemand misleid dan wel omgepraat?

Arnoud

Mag de politie je volgen op Twitter?

twitter-politieIntrigerend bericht bij Ouders Online: Mag de politie jongeren volgen op Twitter? Het lijkt een gekke vraag – Twitter is bedóeld om mensen te volgen, dus wat maakt het beroep van de volger nu uit? Maar voor de politie is dit toch niet zo’n heel gekke vraag, aangezien het “volgen of stelselmatig diens aanwezigheid of gedrag waarnemen” van een burger volgens de wet alleen mag bij verdenking van een misdrijf en op bevel van de officier van justitie. En die frase is letterlijk wat je bij Twitter doet.

Het idee achter dit wetsartikel (art. 126g Sv) is dat stelselmatig volgen of registeren van gedrag van burgers door de politie een ernstige inbreuk op de privacy is. Kernwoord is ‘stelselmatig’: dat een agent vijf minuten achter je aanrijdt of toevallig ziet dat je een winkel in gaat, is niet verboden. Maar zou hij datzelfde de gehele dag doen, of met een opschrijfboekje voor je deur zitten om vast te leggen wanneer je naar binnen en buiten gaat, dan wordt het een ander verhaal.

Je kunt je echter afvragen of volgen op Twitter valt onder het soort volgen of ‘gedrag waarnemen’ waar dit artikel op doelt. Het artikel is immers geschreven voor fysiek volgen en fysiek waarnemen, hoewel ook het aanwenden van een technisch hulpmiddel wordt genoemd “voor zover daarmee geen vertrouwelijke communicatie wordt opgenomen”. Dit zou een GPS-beacon kunnen zijn, maar volgens de letter is een browser met Twitter ook zo’n hulpmiddel. Het neemt immers geen vertrouwelijke communicatie op.

Het opnemen van telefoongesprekken of aanbrengen van afluisterapparatuur is elders geregeld, net als het vorderen van digitale communicatiegegevens of opgeslagen privégegevens bij de provider. Zo regelt artikel 126m het opnemen van “niet voor het publiek bestemde communicatie die plaatsvindt met gebruikmaking van de diensten van een aanbieder van een communicatiedienst”. Dat lijkt wetssystematisch beter passen bij het opvragen van Twitterberichten – hoewel daarbij natuurlijk sprake is van wél voor het publiek bestemde communicatie, mits de twitterstream niet op slot zit.

Maar eigenlijk is de vraag of het hóórt te mogen, interessanter dan of het wetstechnisch mag. Enerzijds lijkt er niets op tegen, want je vertelt vrijwillig de hele wereld wat je doet dus wat is het probleem dat een agent meeleest. Anderzijds heeft het wel degelijk z’n weerslag als je wéét dat een agent meeleest. Net zoals er niets op tegen is dat een agent aan het verkeer deelneemt maar je tóch anders auto rijdt als er een politiewagen achter je zit. Zeker als dat tien minuten lang het geval is. En bij deze blog tripelcheck ik ook mijn juridische bronnen want ik wéét dat er politie en Justitie meeleest (hoi Lodewijk).

Maar goed, dat is de echte wereld. Een agent in je nek is een stuk indringender dan in je logfile of Twittervolgerlijst. Plus, het is niet zo dat je Twitter op móet, terwijl je de straat wél op moet als je iets te eten wil krijgen. En je kunt bij online media genoeg maatregelen nemen om oom agent te ontlopen.

Een sterker tegenargument vind ik dat het zo wel érg makkelijk wordt om massaal iedereen te volgen en te zien wat men uitspookt. Volg heel Nederland, hang er een leuke logging en keyworddetectie aan en je hebt een prachtig systeem ter bestrijding van allerlei misdrijven. Dat kan toch ook weer niet de bedoeling zijn.

Of is het niet meer dan gewenning? Ik zou echt niet meer weten welke agenten nu meelezen hier, hoewel ik dat aan IP-adressen best kan zien (en er van opkeek toen ik het voor het eerst zag).

Arnoud