Xs4all-gebruiker krijgt certificaat Xs4all.nl in handen, mag dat?

| AE 7591 | Security | 33 reacties

xs4all-vals-certificaatEen abonnee van Xs4all is erin geslaagd om een ssl-certificaat voor Xs4all.nl aan te maken, las ik bij Tweakers. Met behulp van het e-mailadres administrator@xs4all.nl, dat hij als alias voor zijn privéadres aanmaakte, wist de gebruiker bij certificaatautoriteit Comodo een ssl-certificaat voor Xs4all.nl te genereren. Comodo dacht kennelijk dat ze met een administrator van XS4All te maken had. Maar is dat nu legaal, met nepgegevens een certificaat aanmaken?

De wet kent geen specifieke regels over het aanvragen van een SSL-certificaat op andermans naam. De enige regel die volgens mij in de buurt komt, is die van valsheid in geschrifte (art. 225 Strafrecht). Oftewel:

Hij die een geschrift dat bestemd is om tot bewijs van enig feit te dienen, valselijk opmaakt of vervalst, met het oogmerk om het als echt en onvervalst te gebruiken of door anderen te doen gebruiken

Een certificaat kun je zien als een elektronisch geschrift (vergelijk art. 6:227a BW en 156a Rechtsvordering), dus aan dat element is wel voldaan. Het certificaat is bestemd om te bewijzen dat je een verbinding hebt met de website van in dit geval XS4All, en dat kun je “enig feit” noemen.

Het certificaat is weliswaar echt, en dus niet nagemaakt/vervalst, maar het opmaken is gebeurd door misleiding en dat is een vorm van “valselijk opmaken”. Dus ook aan dat element is voldaan.

Alleen bij het oogmerk struikel ik. Althans in dit geval: de gebruiker heeft het certificaat meteen ingetrokken en heeft het nergens werkelijk gebruikt. Dan kun je dus niet spreken van een oogmerk om het als echt en onvervalst te gebruiken of te laten gebruiken.

Zou het geen valsheid in geschrifte zijn, dan kun je een vervalst certificaat alleen aanpakken als het wordt gebruikt om daadwerkelijk illegale zaken te doen. Het is dan een middel voor bijvoorbeeld het aftappen van vertrouwelijke communicatie (een man-in-the-middle aanval) of computervredebreuk (valse authenticatie). Ook phishing door een valse webwinkel op te zetten met dat certificaat zou natuurlijk strafbaar zijn (oplichting). Maar daarvan is hier geen sprake.

Daarbij komt dat de opzet van deze actie zodanig is dat het voor mij een evidente journalistieke truc is: een misstand aan de kaak stellen door te laten zien dat het echt mis is.

Dus nee, bij deze specifieke stunt weet ik geen reden waarom het niet zou mogen. Maar het betekent natuurlijk niet dat iedereen nu ‘dus’ ook nepcertificaten mag maken, zeker niet als je daar daadwerkelijk diensten mee gaat leveren. Je moet wel een punt hebben om te maken.

Arnoud

Gerechtshof verbiedt blokkade The Pirate Bay: niet effectief

| AE 6346 | Informatiemaatschappij | 29 reacties

piratebay-sunk-dank-bas-taart.pngDe providersblokkade van torrentsite The Pirate Bay moet worden opgeheven, bepaalde het Gerechtshof Den Haag gisteren. Doel van de blokkade was te voorkomen dat klanten van de providers auteursrechten zouden schenden, maar het Hof bepaalt nu dat deze maatregel niet proportioneel en niet effectief is om dat doel te halen. En als iets niet werkt, is het juridisch weinig zinnig.

Omdat Brein de Pirate Bay maar niet uit de lucht krijgt, leek het de auteursrechtwaakhond een goed idee die taak maar eens bij de providers te leggen. Die kunnen immers wél met een botte bijl handelen en zorgen dat je niet meer bij die site kan. En er is een juridische grond, hoewel je daarvoor wel even overdwars moet kijken: de Auteurswet biedt de mogelijkheid om een tussenpersoon een blokkadeplicht op te leggen, als via zijn diensten auteursrechtinbreuk wordt gepleegd. XS4All en Ziggo zijn tussenpersonen, en klanten die uploaden via Bittorrent plegen auteursrechtinbreuk. Dus zij moeten dit onmogelijk maken, en de beste manier om dat te doen is dan TPB ontoegankelijk te maken. (Alternatief is alle Bittorrentverkeer filteren en inbreuken blokkeren, dat gaat ‘m niet worden).

In eerste instantie gaf de rechtbank Den Haag Brein gelijk. Maar in hoger beroep wordt dit teruggedraaid: deze maatregel is niet evenredig en niet effectief.

Het argument dat TPB zélf auteursrechten schendt door magnetlinks en torrents aan te bieden, wordt afgewezen. Dat soort links aanbieden is wellicht onrechtmatig, maar een blokkade mag echt alleen worden opgelegd bij auteursrechtschending.

Het moet dus gaan om filteren om te zorgen dat er minder auteursrechtschendend geüpload wordt via Bittorrent. En dan kun je natuurlijk wel een grote site blokkeren, maar wérkt dat wel? Juridisch relevant, want in het L’Oréal/eBay-arrest bepaalde het Europese Hof dat tussenpersonen (zoals eBay, maar dus ook Ziggo of XS4All) alleen een blokkade opgelegd mogen krijgen na een belangenafweging. Daarbij speelt de effectiviteit een belangrijke rol, net als de kosten en moeite voor de maatregel. Een simpele maatregel met hoog effect moet je doen, een dure actie die toch niet gaat werken is natuurlijk onzinnig.

Volgens Brein bewees de afname van het aantal bezoeken aan TPB dat de maatregel effectief was. Kritiek daarop was er alom: je moet ook proxyverkeer meetellen. En het Hof erkent nu dat als omzeiling van de blokkade (zoals via proxies) eenvoudig is, je niet kunt zeggen dat de maatregel effectief is. Het ging immers (weet u nog, overdwars kijken) om het aantal inbreuken omlaag krijgen, niet om TPB dood te maken. Als het aantal uploads hetzelfde blijft, dan is de TPB-blokkade niet effectief om het aantal uploads te beperken.

Uit TNO-onderzoek bleek echter niets van een afname van het aantal uploads, integendeel: bij alle onderzochte isps’s bleek het aantal uploads toegenomen. Weliswaar waren er genoeg abonnees gestopt met Bittorrenten, maar het gaat niet om het aantal uploaders maar het aantal uploads. Zeker als je bedenkt dat het vooral de beginnende internetgebruikers waren die waarschijnlijk zijn afgeschrikt (“oh jee dit mag niet”) en de doorgewinterde internetter gewoon een proxylijst opentrekt (“boeieh”).

Breins aanvullend argument was nog dat zij bezig is stap voor stap het illegale internet aan banden te leggen. Eerst TPB neerhalen of blokkeren als testcase, en met die jurisprudentie als basis de overige grote jongens (Kickass.to en Torrentz.eu; deze mogen nu “Aanbevolen door Tim Kuik” als ondertitel voeren) aanpakken. Precies zoals ze het ook doen natuurlijk: denk maar aan FTD, dat van de rechter moest sluiten waarna de andere Usenetindexers meteen ook boze brieven kregen.

Het Gerechtshof gaat daar echter niet in mee. Waarom moeten Ziggo en XS4All een niet-effective maatregel nemen omdat dat toevallig Breins strategie is? Het is niet fair om één blokkade op te leggen en pas daarna eens te kijken wie je nog meer wilt laten blokkeren. Brein had dus geen TPB-blokkade maar een torrentsiteblokkade moeten vorderen, heel illegaal torrentland op de lijst dus. Maar ik snap wel waarom ze dat niet doen; de bewijslast is dan veel lastiger. TPB is door de rechter verboden verklaard, en met zo’n naam kan geen zinnig mens volhouden dat dat een legitieme informatievrijheidsite is. Dus dat is makkelijk scoren. Maar “elke site met torrents naar aanbod van onze aangeslotenen” laten blokkeren overleeft volgens mij nog niet eens de giecheltoets.

Brein mag een slordige € 325.920 aan proceskosten vergoeden aan de advocaten van Ziggo en XS4All. In theorie zouden deze providers nu zelfs een schadeclaim kunnen indienen, omdat de blokkade immers onterecht opgelegd is. Maar onderbouwen welke schade dit is? Verder dan de kosten voor het aanleggen van de blokkade kom ik niet.

Formeel heeft dit arrest geen gevolgen voor de andere blokkade bij onder meer UPC en KPN. Van het hoger beroep hiervan moet nog apart arrest komen. Maar het zou me hógelijk verbazen als het Hof hier anders zou beslissen.

Arnoud

Mag ik The Pirate Bay mirroren?

| AE 2876 | Intellectuele rechten, Ondernemingsvrijheid | 15 reacties

tpb-mirror.pngVeel voorkomende vraag van de week: mag ik een mirror van (of proxy voor) The Pirate Bay opzetten zodat klanten van Ziggo en XS4All de door Brein afgedwongen blokkade kunnen omzeilen? Of kan Brein dan mijn site ook aan die blokkadelijst laten toevoegen?

Om met dat laatste te beginnen: nee, dat kan niet. Het vonnis bepaalt dat de twee providers “The Pirate Bay” moeten blokkeren, en vanwege die Belgische grapjassen die gauw “depiraatbaai.be” registreerden om onder een vergelijkbaar Belgisch vonnis uit te komen, staat erbij dat Brein ook nieuwe IP-adressen en domeinnamen mag aanleveren als deze door “(de website van) The Pirate Bay” gebruikt worden.

Wat precies “The Pirate Bay” is, staat niet in het vonnis maar omdat het ‘dictum’ van een vonnis (de feitelijke gebods- of verbodsbepalingen op het einde) streng worden uitgelegd, kan een mirror niet onder die definitie worden gerekend. Misschien een privésite van één van de bekende beheerders wel, omdat hij dan zó dicht bij TPB zit dat hij ermee kan worden vereenzelvigd.

Wél kan Brein bij jou aankloppen als je een mirror host van de torrents die TPB aanbiedt. De rechtbank heeft immers uitgemaakt dat TPB onrechtmatig handelde door die collectie aan te bieden, en als jij dezelfde collectie aanbiedt dan handel jij ook onrechtmatig. Dus een Nederlandse mirror, of een buitenlandse mirror beheerd door een Nederlander, is snel weer gesloten en daar is die IP/DNS-lijst helemaal niet voor nodig.

Over een proxy waarmee je als klant van Ziggo of XS4All alsnog de site kunt bereiken is nog nooit geprocedeerd. Een generieke proxy is natuurlijk niet verboden, maar bij een specifieke proxy die alléén verbinding laat leggen met thepiratebay.org kun je je afvragen of dat nog wel legaal is. Het gaat wel érg ver want de aansprakelijkheid is wel héél afgeleid ondertussen (je faciliteert het verbinding leggen met een site die faciliteert dat mensen auteursrechten schenden). Uitsluiten dat Brein ook daarheen gaat blaffen, kan ik echter niet.

Arnoud

Ziggo en XS4All moeten The Pirate Bay blokkeren

| AE 2865 | Intellectuele rechten, Ondernemingsvrijheid | 124 reacties

Providers Ziggo en XS4all moeten van de rechtbank in Den Haag torrentsite The Pirate Bay gaan blokkeren. De rechtbank ziet kort gezegd geen minder ingrijpende maatregel om een einde te maken aan de auteursrechtinbreuken die Ziggo- en XS4All-klanten plegen via Bittorrent. Het is een doorwrocht vonnis, en ik kan niet anders dan zeggen dat de… Lees verder

Ziggo hoeft Pirate Bay niet te blokkeren

| AE 2163 | Intellectuele rechten | 75 reacties

Dit betreft een voor Nederland unieke zaak, vindt de kortgedingrechter zelf ook. Kan een internetprovider worden verplicht om een website ontoegankelijk te maken? Nee, vonnist de kortgedingrechter in Den Haag: een dergelijke, verstrekkende, vordering is “naar voorlopig oordeel eenvoudigweg niet toewijsbaar”. BREIN moet individuele abonnees aanklagen als blijkt dat die auteursrechten schenden via Bittorrent. Niet… Lees verder

Nederlandse ISP’s voor Indiase rechter wegens smaad?

| AE 495 | Ondernemingsvrijheid, Uitingsvrijheid | 1 reactie

De internetproviders XS4ALL en Antenna zijn in India voor de rechter gedaagd, meldt o.a. Planet. De uitlatingen in kwestie zijn gedaan door de actiegroepen Schone Kleren Kampagne (SKK) en de Landelijke India Werkgroep. Antenna is een internetprovider voor maatschappelijke organisaties, en maakt gebruik van het netwerk van XS4All. In Nederland maakt zo’n zaak geen kans;… Lees verder

XS4ALL organiseert wedstrijd videosampling

| AE 387 | Innovatie, Intellectuele rechten | Er zijn nog geen reacties

XS4ALL organiseert wedstrijd videosampling: Vandaag is op www.vivalacreacion.nl een wedstrijd in videosampling gelanceerd. Iedereen kan aan het project deelnemen door beeld en geluid te uploaden en te remixen. Jeroen Hofs – bekende videosampler Eboman – mixt mee en helpt deelnemers. Op 27 september wordt tijdens PICNIC’07 een prijs uitgereikt aan de mooiste creatie. Op diezelfde… Lees verder