Als de inspecteurs binnenvallen, gaan bij Uber alle schermen op zwart

Als Uber in 2014 in Europa wil starten met taxidienst Uberpop, ontstaat er een strijd met de autoriteiten om deze dienst die gebruikmaakt van chauffeurs zonder vergunning te legaliseren. Dat meldde het FD onlangs. “Please hit the kill switch ASAP … Access must be shut down in AMS‘. Zo citeert men dan Uber CEO Travis Kalanick, die geschrokken reageert op een inval van de Inspectie Leefomgeving en Transport, die toezicht houdt op de taxidiensten. De schermen gaan dan ook op zwart, zodat niemand nog bij de informatie kan. Dat zou stevige juridische gevolgen moeten hebben.

Uit gelekte interne stukken blijkt dat Uber tot het uiterste gaat om Uberpop – haar illegale snordersdienst gepromoot als Web 2.0 sociale deeldienst – erdoor te drukken. Inclusief de inzet van Neelie Kroes, over wiens pro-Uber tweet ik me al in 2014 verbaasde omdat ze toen nog Eurocommissaris was. Maar dat terzijde. Zoals FD zegt, het was “direct duidelijk dat de taxidienst verboden is, en alleen een wetswijziging [kan] Uberpop uit de illegaliteit houden.” En de toezichthouder mag ze daar aan houden, en kan desnoods een inval doen om de bewijzen te verzamelen.

Uber ziet dat uiteraard anders, maar krijgt tot mijn (positieve) verrassing van Zuidaskantoor De Brauw te horen dat je daar echt aan moet meewerken.

Wat de advocaten niet lijken te weten, is dat Uber nog een plan achter de hand heeft om de handhaving te frustreren: het blokkeren van alle computers tijdens een inval. En dat is precies wat Uber eind maart en begin april 2015 tijdens twee invallen door de ILT doet. ‘Het lijkt er sterk op dat hier de wet is overtreden’, zegt Brendan Newitt, advocaat bij De Roos & Pen. ‘De toegang tot informatie is vergrendeld. Daarmee werkte Uber niet mee aan de vordering van de inspecteur. Dat is een economisch delict en ook een strafbaar feit vanuit het strafrecht. De administratie moet beschikbaar en inzichtelijk zijn.’
Dit is typisch zo’n nieuw probleem dat dankzij ict ontstaat. Vroeger stond je administratie op papier ergens in een kamer. Maar heel weinig bedrijven hadden dan een mega-versnipperaar of houtkachel paraat om alles te verbranden, en wie dat overwoog wist in ieder geval heel zeker dat hij iets deed dat niet de bedoeling was. Met ict middelen lijkt het allemaal minder erg, waardoor je vaker over dit soort trucs leest.

Het deed me denken aan de actie van Centric-directeur Gerard Sanderink, die zijn telefoon op afstand liet wissen bij een inval. Dat kostte hem een miljoen aan dwangsommen. Verschil is hier: dit is een inval door een toezichthouder in het kader van handhaving van een wet, geen actie in het kader van een civiel geschil. De medewerkingsplicht is een stuk groter en de straffen ook een stuk ernstiger. Kort gezegd, als je een inval van een toezichthouder krijgt dan werk je mee en verschaf je alle informatie (art. 5:20 Algemene wet bestuursrecht). Dat betekent dus ook dat je wachtwoorden verstrekt, toegang geeft tot databases en wat er maar nodig is. Dit is bestuursrecht, “tegen jezelf getuigen” is daarbij geen argument. De straf kan tot drie maanden cel oplopen, en dwangsommen kunnen worden opgelegd tot alle informatie wordt verstrekt.

Ook is het strafrecht hier in beeld, nu het gaat om het niet toegankelijk maken van de administratie. Vorig jaar werd nog een ondernemer veroordeeld tot een taakstraf voor het niet voeren van een administratie, een collega kreeg een boete van 4000 euro. Dat waren kleine ondernemers, de theoretische maxima zijn vier jaar cel of € 22.500 boete. Heel erg in theorie zou Nederland nu een verzoek tot uitlevering van Kalanick kunnen doen, zowel in de VS als hier is het immers strafbaar om je administratie te verhullen. Maar dan moet de politieke wil wel heel erg groot zijn.

Arnoud

Mag de politie je systeem patchen na een malware infectie?

De FBI gaat nu netwerken van privépartijen patchen, las ik (vrij vertaald) bij Schneier’s blog. Het gaat om honderden met malware geïnfecteerde Microsoft Exchange-servers, waar webshells (commandoregel-toegang op afstand) op waren geplaatst. Nadat de federale politie daartoe door een rechtbank was gemachtigd, gaf zij al deze servers een speciaal commando waarmee de kwaadaardige code werd gewist. Dat gaf dus ophef, want men passeerde zo het eigen IT-beleid van die organisaties. En hoezo mag de politie überhaupt bij mensen thuis dingen komen fixen?

Over een week gaat de politie bij ons Emotet wissen van een miljoen computers wereldwijd, dus dit is lekker actueel. Ik zei toen dat dat mocht, want wij hebben artikel 125o Wetboek van Strafvordering:

Indien bij een doorzoeking in een geautomatiseerd werk gegevens worden aangetroffen met betrekking tot welke of met behulp waarvan het strafbare feit is gepleegd, kan de officier van justitie dan wel indien deze de doorzoeking verricht, de rechter-commissaris bepalen dat die gegevens ontoegankelijk worden gemaakt voor zover dit noodzakelijk is ter beëindiging van het strafbare feit of ter voorkoming van nieuwe strafbare feiten.

De doorzoeking vond hier plaats in de centrale server, en via die server vind je dan ook de clientsoftware bij de slachtoffers thuis. Dat zijn “gegevens met behulp waarvan het strafbare feit is gepleegd”, zodat de politie die mag wissen (ontoegankelijk maken).

In de VS moet de FBI het doen met Rule 41, waarmee men algemeen gezegd warrants oftewel bevelen mag halen om bewijs of contraband mee te nemen, illegale voorwerpen in beslag te nemen of mensen op te halen. In het jargon, een search & seizure – zoeken en inbeslagname. Onder deze Rule heeft men nu de warrant gekregen om op al die Exchange-servers binnen te dringen en daar de wis-instructie te geven. En dat is wat vreemd, want oké ze zouden fysiek langs mogen gaan en al die servers meenemen met zo’n bevel maar dat blijft wat anders dan een stukje informatie daarop aanpassen.

Niet gek dus dat vele mensen op de achterste benen staan. Het gaat ook verder dan eerdere zaken waarbij de FBI botnets verwijderde: daar kwamen de geïnfecteerde computers naar de inbeslaggenomen server toe voor nieuwe instructies, en men kon toen vrij eenvoudig “wis jezelf” teruggeven. Dat is toch wat anders dan actief inloggen bij die clients en daar een wis-instructie geven.

Arnoud

Zijn wij aansprakelijk als onze systeembeheerder alle klantdata wist?

Een lezer vroeg me:

Wij zijn een klein hostingbedrijf en vroegen ons het volgende af. Stel een van onze systeembeheerders met root toegang besluit op een kwade dag om álle klantdata te wissen, en meteen ook maar de backups. Theoretisch kunnen zij dat, en waarschijnlijk ongemerkt ook. In hoeverre zijn wij dan als bedrijf aansprakelijk naar onze klanten? En is dit te verhalen op die personen in privé?

Een bedrijf is aansprakelijk voor schade die ze hun klanten berokkenen door een slechte uitvoering van hun opdracht. Dat is de definitie van wanprestatie.

Bij een hostingbedrijf lijkt me het kwijt zijn van data een triviaal voorbeeld van wanprestatie, en dus moet die schade worden vergoed. De schadevergoeding zou dan gelijk zijn aan de tijd die het kost om de data te herstellen en de sites weer in de lucht te krijgen, en mogelijk zelfs de gederfde omzet van die klantsites.

Natuurlijk zal een hostingbedrijf in zijn algemene voorwaarden zijn aansprakelijkheid beperken. Dat is in principe redelijk – je mag in zakelijke relaties met je klanten afspreken dat jij maar tot een zeker bedrag aansprakelijk bent voor schade. Dat zou hier dus onder normale omstandigheden het bedrijf kunnen redden.

Of dat hier veel zal helpen, betwijfel ik. Wanneer de schade het gevolg is van opzet of bewuste roekeloosheid, is het eigenlijk niet mogelijk je op je beperking van aansprakelijkheid te beroepen. Dit is in strijd met wat juridisch heet de openbare orde en goede zeden (art. 3:40 BW) en is ook nog eens redelijkerwijs onaanvaardbaar (art. 6:248 lid 2 BW).

Dit is dus écht een heel serieus probleem als het je overkomt. En natuurlijk, je kunt die schade dan verhalen op de systeembeheerder. Hoewel werknemers normaal niet aansprakelijk zijn voor schade die ze bij het werk toebrengen, is ook daar die opzet en bewuste roekeloosheid een uitzondering. Die mag dus worden verhaald. Maar veel zal het niet opleveren, wie heeft er in privé geld genoeg om al dat dataverlies te dekken?

Dit vind ik dus een situatie waarin je niet juridisch moet gaan redderen achteraf maar organisatorisch en technisch preventief maatregelen moet nemen. Zorg dat data niet gewist kán worden door één persoon, maak backups waar alleen een ander bij kan en heb logging en alarmbellen die afgaan als mensen rare dingen doen.

Even nieuwsgierig: meelezende hosters, hoe hebben jullie dit scenario geborgd?

Arnoud

Mag iTunes je muziekbestanden wissen?

itunes-appleApple stal mijn muziek, blogde creatief ontwerper James Pinkum vorige week. Pinkum was 122 gigabyte aan muziek kwijtgeraakt van zijn harddisk, en wist dat te traceren tot een actie van Apple’s iTunes-software. Deze had de harddisk gescand en alle bestanden die iTunes ook had, vervangen door een linkje naar de online muziekbibliotheek. Met een liberale definitie van ‘hebben’, want unieke versies van muziek bij Pinkum werden vervangen door de gewone massa-release, bijvoorbeeld. “The software is functioning as intended,” zegt Apple dan. Wat krijgen we nou?

Zoals Pinkum het samenvat:

(…) through the Apple Music subscription, which I had, Apple now deletes files from its users’ computers. When I signed up for Apple Music, iTunes evaluated my massive collection of Mp3s and WAV files, scanned Apple’s database for what it considered matches, then removed the original files from my internal hard drive. REMOVED them. Deleted. If Apple Music saw a file it didn’t recognize—which came up often, since I’m a freelance composer and have many music files that I created myself—it would then download it to Apple’s database, delete it from my hard drive, and serve it back to me when I wanted to listen, just like it would with my other music files it had deleted.

Ongetwijfeld dacht Apple dat dat handig is. Als muziek al in de cloud staat, waarom zou je daar nog domme lokale harde schijven mee lastig vallen? Vervang het lekker door een linkje en je kunt er overal bij. Oké, jammer van die unieke prereleaseversie die we nu vervangen hebben door de massa-editie, maar dat is een implementatiedetail. Of, het programmeurexcuus: dan moet je die prerelease niet de metadata geven van de gewone versie. Functioning as intended, pebkac.

Pinkum dook ook maar meteen in de voorwaarden. Letterlijk iets over dit wissen kon hij niet vinden (en ik ook niet), maar het staat er wel half:

iCloud Music Library is turned on automatically when you set up your Apple Music Subscription…When your Apple Music Subscription term ends, you will lose access to any songs stored in your iCloud Music Library.

Gaan we even kijken wat dat iCloud Music Library dan precies is:

Dankzij iTunes Match kun je al je muziek in iCloud bewaren, zelfs muziek die je van cd’s hebt geïmporteerd. Je hebt dan op al je apparaten toegang tot je muziek en kunt je hele bibliotheek beluisteren, waar je ook bent. Abonneren op iTunes Match doe je op je Mac, pc of iOS-apparaat.

Verder een hele mooie pagina met vlotte teksten, hippe plaatjes en een blij gevoel, alleen ik mis één detail: dat bestanden worden gewist nadat ze zijn “toegevoegd” aan de iCloud.

Maar is dat wel zo, wórden die bestanden per direct gewist na de import? Diverse bronnen zeggen van niet. Zo laat deze Twitteraar zien dat het best eens ‘gewoon’ een pebkac kan zijn: dialogbox niet goed gelezen, het verschil tussen “Delete download” en “Delete song” is immers reuze evident dus wat ben je voor n00b dan. iMore legt uit:

If you choose “Remove Download,” it will send the local file from your hard drive to your Trash, but leave the reference in your library — so that you can stream that track directly from iCloud Music Library. It won’t delete the file until you empty your Trash.

Dus inderdaad, het is een feature en iets waar je zelf voor koos. Dat je niet goed onderzoekt wat er gebeurt als je op een knopje drukt, tsja, dat ligt dan toch echt aan jou.

Juridisch gezien wordt het nu moeilijk. Iets zomaar wissen mag niet, dat moge duidelijk zijn. Je moet toestemming vragen en natuurlijk moet je dan uitleggen wat er gaat gebeuren. Daarbij moet je het te verwachten kennisniveau van de gebruiker in gedachten houden, maar veel verder dan dat komt het juridisch kader niet. De vraag wordt dan dus: is het duidelijk wat Apple hier geprogrammeerd heeft, moet je met die uitlegtekst en die dialog snappen dat je dan alleen een link naar de iCloud-versie van je muziek overhoudt?

Arnoud

Mag een werkgever verloren of gestolen BYOD-apparaten op afstand wissen?

Een lezer vroeg me:

Steeds meer bedrijven hebben regels over Bring your own device (BYOD). Een opvallende regel daarbij is het op afstand mogen schoonvegen van verloren of gestolen mobiele apparaten. Begrijpelijk voor het bedrijf, maar mag een bedrijf dit eigenlijk wel doen bij privéapparaten?

Een werkgever mag in principe eenzijdig regels stellen over hoe het werk moet worden uitgevoerd, en wat hij van de werknemer verwacht op de werkvloer en in de omgang met collega’s (art. 7:660 BW). Zo mag de werkgever eisen dat je een stropdas draagt of dat alleen de PR-mensen mogen praten met de pers.

ICT-reglementen zijn meestal op deze instructiebevoegdheid gebaseerd, en dat is dus legaal (ook zonder dat je ervoor getekend hebt) mits men maar binnen de grenzen van de wet blijft. Daarbij is de redelijkheid een belangrijke grond. Meer algemeen zijn er nog de privacy en de godsdienstvrijheid, denk aan een verbod op hoofddoekjes of een eis dat je aan het lichaam wordt gefouilleerd na elke werkdag.

De vraag is dus: is het rédelijk dat de werkgever zegt “we wissen je BYOD apparaat als deze gestolen wordt”? Natuurlijk, hij heeft een belang om bedrijfsdata te beschermen maar niet elke maatregel die dat belang dient, is toegestaan. Zeker niet als er óók belangen van de werknemer in het geding zijn.

Er moet dan ook een afweging komen tussen de belangen van de werkgever en die van de werknemer. Bij een gestolen apparaat lijkt de case evident: de telefoon is weg dus hoe maakt een remote wipe het dan erger? Maar wat nu als het toestel alleen maar kwijt is, en later teruggevonden wordt? Of als IT besluit vanwege een potentiële databreach álle BYOD apparaten te wipen (onder het motto: je weet maar nooit waar het heen gelekt is)?

Aansprakelijkheid van de werkgever is niet uit te sluiten bij fouten in zulke situaties, dus je moet daar écht goed over nadenken. Ik zou zeggen dat het eigenlijk alleen kan met toestemming van de werknemer of bij héle zware bedrijfsgeheimen die bij onthulling zulke grote schade opleveren dat de werknemer het verlies van zijn vakantiefoto’s en privéadministratie maar voor lief moet nemen. Maar misschien kan het wel alleen als de werkgever vervolgens het herstellen van die privégegevens vergoedt.

En het blijft me verbazen dat werkgevers als het om ICT gaan zúlke botte maatregelen invoeren onder het motto van “security”. In het kader van “breng je eigen aktetas” is er toch ook nooit de regel gesteld dat het bedrijf er een afstandbedienbaar explosief in mag aanbrengen voor het geval deze gestolen wordt?

Arnoud

Een admin die zomaar illegaal materiaal wist, mag dat?

delete.pngEen lezer vroeg me:

Ik werk als systeembeheerder bij een middelgroot bedrijf. Na klachten over volgelopen netwerkschijven ben ik eens gaan onderzoeken waar dat door kwam, en ik trof grote verzamelingen illegaal gedownloade films, muziek en software aan. (Plus de nodige porno die ik bepaald niet hoefde te zien.) Dat mag natuurlijk niet, dus dat heb ik direct gewist. Maar nu krijg ik boze gebruikers in de mail die mij verwijten de wet te schenden. Dat is toch de wereld op zijn kop?!

Eh, nou, niet helemaal. Dit gaat vast niet goed vallen bij systeembeheerders, maar: een netwerkaccount met eigen opslag is een privéruimte net als de locker bij de ingang of de bureaulades op kantoor. Daar mag je als BOFH dus niet zomaar in gaan snuffelen en al zéker niet zomaar dingen uit weggooien, ook niet als jij denkt dat ze illegaal zijn.

En nee, het is niet illegaal om op je werk muziek of films, of zelfs porno te hebben staan die je hebt gedownload uit illegale bron. Dat staat daar voor je eigen, ahem, gebruik, en daar heeft de werkgever dus in principe niets mee te maken. Pas als collega’s er last van krijgen zou je daarop aangesproken kunnen worden. Maar wie met koptelefoon op een muziekje wil luisteren, mag dat met een mp3-verzameling uit illegale bron.

Verder mag monitoren in principe alleen op anonieme basis, en moet dit gericht zijn op werkgeversbelangen als overlast, schade of storingen. Als ik 20MB aan MP3-tjes in mijn account heb, heeft niemand daar last van. Daar moet het beheer afblijven. Wordt het 20GB, dan lopen er schijven vol en dat kan wellicht een onderzoekje rechtvaardigen. Of als je heel veel inlogs op mijn account ziet vanaf IP’s over de hele wereld. Dat is een aanwijzing dat ik aan filesharing doe (of dat mijn account gecompromitteerd is) en dan mag je ingrijpen.

Zo’n onderzoek zou in eerste instantie anoniem moeten gebeuren. Waarom is die schijf vol, en bij wie kunnen we de vraag neerleggen “ruim eens wat bestanden op”? Persoonsgericht monitoren (wat spookt die Engelfriet uit op ons systeem) mag alleen bij concrete aanwijzingen dat die persoon iets fout doet, en het hoe en wat wordt dan gedocumenteerd in het IT-reglement. Bijvoorbeeld: als uit het maandelijks dataverkeer-rapport blijkt dat er zeer overmatig wordt gedownload, dan mogen we gaan kijken wie daarvoor verantwoordelijk is en die persoon daarop aanspreken. Wel zou ik dan een waarschuwing verwachten naar alle medewerkers toe.

Het verbaast me soms hoe makkelijk sommige systeembeheerders omgaan met data van medewerkers. Maar in dit geval verbaast het me nóg meer dat mensen gaan klagen dat hun porno is gewist.

Arnoud

Leaseweb wist Megaupload-content, mag dat?

you-wouldnt-upload-a-car-ftd-brein.pngKim Dotcom is mediagenieker dan Leaseweb. De Megauploadeigenaar riep op Twitter dat het Nederlandse hostingbedrijf alle data van zijn cyberlockerdienst had gewist afgelopen februari, meldde Tweakers gisteren. Dat is dan nieuws natuurlijk, en dat Leaseweb verwijst naar de al maanden openstaande facturen is slechts reden voor een update – en in de comments gaat iedereen ook nog eens zitten twijfelen aan Leaseweb. Mis ik iets? Het is toch doodsimpel. Betaal je facturen niet en word afgesloten.

Alex de Joode, cso bij Leaseweb, bevestigt aan Tweakers dat de Megaupload-data op 630 gehuurde servers is gewist. Daar is ook geen discussie over geloof ik, de vraag is of Leaseweb dat mócht doen. In de nieuwswaardige tweet zegt Dotcom “All user data & crucial evidence for our defense destroyed “without warning”.” Waarom hij zelf dat “without warning” tussen aanhalingstekens zet, kan ik niet echt achterhalen.

Er ontstaat vervolgens een welles/nietes-verhaal: Leaseweb zegt “we hebben de advocaten wel degelijk geïnformeerd” en Dotcom reageert met “Who believes this crap?” en dús zat Leaseweb fout. Ja, ik zit me hier te ergeren. Vooral omdat iedereen dat gewoon maar overneemt en bedenkt, hoor en wederhoor, schmederhoor, we doen #boycottLeaseweb. Wut.

De pijn voor Dotcom zit hem natuurlijk in dat “crucial evidence for our defense destroyed”. Dat snap ik best, maar juridisch gezien kun je niet van een leverancier verwachten dat ‘ie zonder financiële compensatie dat bewijs voor jou gaat bewaren. Heb je fysiek bewijs in een garagebox liggen, en betaal je de facturen niet dan gaat de garagebox dicht en de inhoud op Storage Wars. Heb je een getuige met een goed verhaal, en betaal je z’n vliegticket niet dan komt ‘ie niet getuigen. Heel moeilijk lijkt me dat niet.

En nee, dan pleegt Leaseweb geen misdrijf want “destruction of evidence” is alleen strafbaar als gepleegd door of op initiatief van een partij bij de rechtszaak. Gooi ik hier een comment weg die cruciaal bewijs was in een smaadzaak, dan schend ik geen enkele wet.

Maar al die gebruikers dan, wiens data nu weg is? Tsja, die hebben pech. Data ís niets, juridisch gezien. Niet in de VS en niet bij ons. Je hebt enkel en uitsluitend de rechten die je op grond van de algemene voorwaarden van de hoster worden toegekend, en geen juridische meter meer. (Oké oké de redelijkheid en billijkheid geven je een paar centimeter.) Dus gaan roepen dat de ‘rechten’ van gebruikers zijn geschonden (“The data belonged to THEM.”) is echt onzinnig. Ik zou graag zien dat je die rechten wél had maar dan moet je bij de politiek wezen.

Het enige soort van argument gaat over of Leaseweb adequaat heeft gewaarschuwd. Dat is wel relevant. Leaseweb ontbindt de overeenkomst, zoals dat juridisch heet, en dat mag bij wanbetalen alleen “wanneer de schuldenaar in verzuim is” (art. 6:265 BW). Ook de algemene voorwaarden van Leaseweb, artikel 24.4, stellen die eis voor het bedrijf. En goed, dan zijn we dus terug bij de wellesnietes: maar waarom is de nietes van Dotcom nieuwswaardiger dan de welles van Leaseweb?

Update (27 juni): Leaseweb publiceert een tweede verklaring, in reactie op onder meer deze e-mail. Bij Torrentfreak citeert men daaruit dat

“Megaupload continues to request that LeaseWeb preserve any and all information, documentation and data related to Megaupload – as destruction by LeaseWeb would appear to be in violation of amongst other things the applicable civil litigation data preservation rules and would interfere with evidence in a criminal matter[…],” Megaupload’s counsel Ira Rothken explains in the letter.

Oké, leuk dat de US dat soort bewijsregels hebben maar wat heeft Leaseweb BV in Nederland daarmee te maken? Plus, die mail van de advocaat was uit maart 2012 en de “hoi we gaan je data wissen”-mededeling van Leaseweb uit 2013. En op die laatste mededeling was dus geen reactie gekomen.

Arnoud

Toevoegen van debug=1 om kwade code te triggeren: computervredebreuk?

juristenbank-hack.pngdebug=1. Een onschuldig uitziend statement, zo zou je denken. Maar in mei 2009 had het een heel wat minder onschuldig effect als het werd toegevoegd aan de URL van de vacaturesite Juristenbank.nl: er werden dan telkens maximaal 10 kandidaten, dan wel werkgevers, in willekeurige volgorde volledig onomkeerbaar verwijderd. Dat bleek een logisch bommetje van een gefrustreerde werknemer te zijn. De vraag voor het Gerechtshof Arnhem: was hierbij sprake van computervredebreuk, oftewel binnendringen op de webserver?

De verdachte was ICT-medewerker bij een bedrijf dat geavanceerde webapplicaties maakte ten behoeve van arbeidsmarktcommunicatie. Daarbij had hij een tool ontwikkeld, zo te lezen een library met handige standaardfuncties. De geweldige neutrale formulering “Een verslechterde werkrelatie lag aan het einde van het dienstverband ten grondslag” uit het arrest doet al nattigheid vermoeden, en inderdaad: na het vertrek van deze meneer bleken diverse records van werkzoekende juristen verdwenen te zijn.

Dit bleek terug te traceren tot websiteaanroepen waarvan de URL was voorzien van “debug=1” (en soms “debug=2”), die code triggerde die het feitelijk weggooiwerk verrichte. Die code bleek geïmplementeerd met precies de tool van de werknemer met de ‘verslechterde werkrelatie’, plus de aanroepen waren vanaf zijn IP-adres gedaan. Reden dus om meneer op het politiebureau uit te nodigen, en daar vertelde hij dat hij inderdaad (“het kan zijn dat”) deze code had toegevoegd. Wat zijn verklaring daarvoor was, blijkt niet uit het arrest. Maar hij ontkende ten stelligste de destructieve code te hebben aangeroepen na zijn dienstverband. Iemand had zijn IP-adres gespooft om hem in de problemen te brengen.

Het Hof acht dat verweer “op geen enkele wijze aannemelijk”. Alleen de verdachte kende die code, en hij was de IT-guru bij het bedrijf. De code in kwestie was in productie genomen op zijn laatste werkdag, én de arbeidsovereenkomst was vanwege een verslechterde arbeidsrelatie beëindigd. Het is dan nauwelijks voorstelbaar dat een derde hiervan heeft kunnen profiteren, en dan ook nog binnen een dag nadat de code was ingecheckt in productie én vanaf het IP-adres uit de woning van de verdachte. (Het kan, maar dan komen we in serieus aluhoedjesland.) Ook speelde mee dat een specialist bij het Team Digitale Expertise had verklaard dat het na sporenanalyse

zeer veel minder waarschijnlijk dat een computer waaraan het IP adres [nummer IP adres]niet is toegewezen de sporen in de logbestanden heeft veroorzaakt dan dat de computer waaraan het IP adres [nummer IP adres] wél was toegewezen dit heeft veroorzaakt.

Deze vorm van misbruik van de website levert volgens het Hof computervredebreuk op. Er is binnengedrongen in de server dus. Oftewel, het aanroepen van een URL die niet geautoriseerd is, is binnendringen in de webserver? Een tikkeltje eng als conclusie. Ik ben geen fan van dingen strafbaar verklaren enkel en alleen omdat ze ongeautoriseerd zijn. Er moet meer zijn dan alleen “u mocht dit niet intypen” (en eigenlijk vind ik dat een adequate beveiliging een harde eis moet zijn, maar goed) voordat je de intyper strafrechtelijk gaat vervolgen.

Natuurlijk, er is data vernield, maar daar hebben we een apart wetsartikel voor: het opzettelijk en wederrechtelijk veranderen, wissen, onbruikbaar of ontoegankelijk maken van gegevens die door middel van een geautomatiseerd werk of door middel van telecommunicatie zijn opgeslagen, worden verwerkt of overgedragen, (art. 350a Strafrecht). Om dat feit te plegen, hoef je niet binnen te dringen in een computersysteem. Dit wordt subsidiair ook bewezen geacht, daar niet van.

Misschien was de achterliggende gedachte dat niet slechts de URL het binnendringen opleverde, maar de URL plus de kwade code in de webserver. Daarmee werd toegang verkregen tot de database, een plek waar een ex-werknemer (of willekeurige derde) absoluut niet hoorde te zijn. De debug-instructie was dan slechts de trigger om het binnendringen te starten. Net zoiets als een kopietje van de sleutel van de achterdeur van het bedrijfspand maken en dan daarmee naar binnen gaan.

Iemand tips om dit soort ongein tegen te houden? Wat doe je tegen een IT-er die op zijn laatste dag een logisch bommetje achterlaat?

Arnoud

Politie mag geen camerabeelden wissen

De politie had een filmpje van een politie-optreden op de mobiele telefoon van een verdachte niet mogen wissen, las ik bij Mediareport. De rechter oordeelt dat daarmee “de enige reële mogelijkheid voor verdachte om zijn onschuld voor de rechter aan te tonen” gewist is, zodat daarmee zijn grondrecht op een eerlijk proces (en vrije informatiegaring) geschonden worden.

Bij de winkel van verdachte voor de deur werd een verkeerscontrole houden, wat hij erg vervelend vond omdat zijn klanten zich daaraan ergerden. Hij had in het verleden daar de agenten op aangesproken en voelde zich daarbij slecht behandeld, maar dat was natuurlijk zijn woord tegen dat van de agenten. Daarom besloot hij deze keer een en ander te filmen. Dan zit er iets van een gat in de beschreven feiten, want de volgende stap is dat hij wordt gearresteerd en het filmpje wordt gewist. En het is nu net dat gat in de feiten dat nodig is om te bepalen wat er is gebeurd en of er iemand strafbare handelingen heeft begaan.

De politierechter is hard tegen de wissende agenten: die beelden waren cruciaal bewijs en hadden dus nooit gewist mogen worden. In situaties waarin de verklaring van een agent tegenover die van een burger staat, krijgt de agent per definitie gelijk (art. 344 Sv). Alleen met die beelden had de verdachte dus nog een kans op vrijspraak gehad.

Daar komt bij dat de politie geen wettelijke grondslag heeft voor het wissen van gegevens (of eisen dat de verdachte dat zelf doet). De politie mag alléén dingen vragen of vorderen die een wettelijke grondslag hebben. Mijn collega Itte Overing schreef daar al eerder over, net als jurist Jan-Jaap Oerlemans. Kort gezegd: de politie MAG niet vrijwillig vragen om dingen, ze MOET een bevoegdheid hebben om iets te eisen. Is er geen bevoegdheid, dan is het eenvoudigweg verboden om langs de weg van “vragen staat vrij toch” alsnog te proberen iets voor elkaar te krijgen.

Natuurlijk kan de agent menen dat zijn portretrecht wordt geschonden door dit filmen. Maar: A. is het enkele filmen nog geen portretrechtschending en B. kan hij op die grond niet als opsporingsambtenaar optreden.

Het enige dat de politie in een zaak als deze zou mogen doen, is de telefoon in beslag nemen omdat deze kan worden gezien als een “voorwerp dat de waarheidsvinding kan dienen” (art. 94 Sv). Maar in beslag nemen is natuurlijk precies het tegenovergestelde van beelden wissen.

Update: ook in deze zaak is de rechter streng over camerabeeldenwissende agenten:

De rechtbank constateert dat het Openbaar Ministerie verdachte heeft vervolgd voor tweemaal poging doodslag en hem onder deze verdenking een jaar na dato heeft opgeroepen ter openbare terechtzitting te verschijnen. Eerst een aantal dagen voor de zitting heeft de officier van justitie haar voornemen te kennen gegeven dat zij deze ernstige verwijten zou laten vallen.

Nu het openbaar ministerie niet ambtshalve heeft gezorgd dat getuigen in deze zaak werden gehoord en voorts verdachte onnodig lang heeft belast met de verdenking van zeer ernstige strafbare feiten, levert dit naar het oordeel van de rechtbank een dusdanige veronachtzaming van de belangen van de verdachte op dat dit zou dienen te leiden tot strafvermindering in de zin van artikel 359a van het Wetboek van Strafvordering.

Arnoud

Data recovery op een tweedehands computer

ambulance-recovery.jpgEen lezer mailde me:

Onlangs kocht ik een tweedehands PC in een computerzaak. Omdat ik had gehoord dat daar vaak nog persoonlijke gegevens op staan, dacht ik, ik laat eens wat recovery software los. En ja hoor, stapels privemails, persoonlijke bestanden en zelfs een complete belastingaangifte! Ik heb het gelijk gewist (met speciale software die alle sectoren drie keer overschrijft) maar vroeg me nu wel af of ik strafbaar gehandeld heb.

Op tweedehands laptops of harde schijven blijkt steeds vaker data achter te blijven. Security.nl heeft in maart twee studenten onderzoek laten doen. Zij vonden allerlei persoonlijke informatie, zoals incasso machtigingen, medische gegevens, belastingdocumenten, bedrijfsinformatie, C.V.’s, een dagboek, sollicitatiebrieven, inkooporders, faxen, e-mails, porno en veel privé-foto’s en filmpjes. In een ander geval werd zelfs de handleiding voor een SCUD-raket aangetroffen op een tweedehands harde schijf.

De tweedehands computer is van jou, dus die mag je binnenstebuiten keren, onderzoeken en leegpluizen op elke manier die je goeddunkt. Het is dus niet strafbaar om te kijken of er nog data van de vorige eigenaar is achtergebleven.

Wat wel strafbaar kan zijn, is het publiceren of gebruiken van die data. Je schendt dan vaak iemands privacy, omdat je moet weten dat die data privé is en niet voor publicatie bestemd. (En dan heb ik het nog niet eens over opzettelijk misbruik zoals de vorige eigenaar chanteren of bedreigen.)

Natuurlijk kan het -zoals bij dat Security.nl-onderzoek- journalistiek relevant zijn om te melden dat je zulke data gevonden hebt. Maar het lijkt me niet dat je daarbij ook de materialen zelf moet laten zien. Wat voegt dat toe boven de mededeling dat je die data gezien hebt?

Arnoud