image

Eerste Kamer twijfelt aan definitie hacken

woensdag 4 januari 2006, 20:16 door Redactie, 13 reacties

De commissie justitie van de Eerste Kamer heeft kritiek op de definitie van hacken in het wetsvoorstel computercriminaliteit II. De commissie zet de kanttekeningen in een brief aan Donner van 20 december 2005.

In het wetsvoorstel vervalt de beveiligingseis voor hacken. In het huidige wetboek van strafrecht geldt bij hacken de voorwaarde dat de hacker een beveiliging doorbreekt. In het wetsvoorstel computercriminaliteit II gaat het echter uitsluitend nog om het binnendringen in een computersysteem zonder toestemming van de eigenaar.

De CDA-fractie in de Eerste Kamer heeft bedenkingen bij het laten vervallen van de beveiligingseis. "De ratio daarvan is immers, dat gebruikers van de middelen van communicatie- en informatietechniek zelf de verantwoordelijkheid dragen voor het zorgvuldig omgaan met de hen ten dienste staande middelen. In het civiele recht is dat een vanzelfsprekendheid. Niemand kan zijn inboedel verzekeren als hij er niet voor zorgt, dat zijn woning deugdelijk is afgesloten."

Ook de fracties van VVD en PvdA vragen zich af of de nieuwe definitie wel verstandig is. "Het moeten doorbreken/omzeilen van enige beveiliging werpt een duidelijke drempel op; de potentiële dader weet hierdoor dat hij zich op verboden terrein gaat begeven. Gaat het laten vallen van deze beveiligingseis niet te zeer ten koste van de kenbaarheid waardoor te snel het risico ontstaat dat personen tijdens het surfen (door bijvoorbeeld een 'deep link' te volgen) op verboden plaatsen terecht komen en zich deswege vervolgd slechts (moeizaam) kunnen verweren met het argument dat de opzet ontbrak? Is het niet beter dit soort situaties te voorkomen door de huidige redactie te handhaven?"

De CDA-fractie vraagt zich bovendien af of nieuwe bepalingen in het wetsvoorstel en met name de strafverzwaringen wel bijdragen aan de bestrijding van criminaliteit. "Het inbreken in computers, het platleggen van netwerken en het verspreiden van virussen en ernstige vormen spam kunnen heel verstorend zijn voor individuele burgers alsmede ook voor de samenleving als geheel. De voorgestelde strafverzwaring van deze daden is begrijpelijk gezien de soms ernstige aard van deze daden. Dit neemt echter niet weg dat strafbaarstelling en strafverzwaring alleen nooit criminaliteit volledig tegen gaan. Het vergroten van de pakkans werkt veel afschrikwekkender." Het CDA vraagt zich af of de capaciteit van politie en justitie wel gelijke tred houdt met de nieuwe wetgeving.

Een ruime meerderheid in de Tweede Kamer stemde voor het wetsvoorstel computercriminaliteit II in september 2005. Ook toen werden vraagtekens geplaatst bij het vervallen van de beveiligingseis maar deze werden door Donner gesust. (Bits of Freedom)

Reacties (13)
04-01-2006, 21:31 door Anoniem
Dit is dus effectief een anti Peter R. de Vries wet.

Zijn er ook gevolgen voor peer-to-peer netwerken als KaZaa?
04-01-2006, 22:33 door Anoniem
Het is vreemd dat het CDA aanpassingen in het strafrecht toetst aan wat
gebruikelijk is in het privaatrecht. Het is weliswaar zo dat
verzekeringsmaatschappijen het een te groot risico vinden om schade
door diefstal te vergoeden als de verzekerde geen adequate maatregelen
heeft getroffen, het laat onverlet dat diefstal uit een onbeveiligde woning
nog steeds diefstal en als zodanig strafbaar is. In die zin is de eis van
beveiliging in het strafrecht zeker _geen_ vanzelfsprekendheid.

De reactie van VVD en PvdA lijkt weliswaar meer hout te snijden, maar ook
vandaag is het mogelijk (door slecht geprogrammeerde sites!) om door
het volgen van een deep link terecht te komen op een pagina die slechts
achter een "beveiliging" toegankelijk zou moeten zijn.

Als de dames en heren senatoren dan iets zinnigs willen opmerken
(amenderen kan men toch niet), dan zou men zich beter kunnen buigen
over de -ook in het huidige wetsvoorstel- nog steeds gammele definitie
van "kwaadaardige programmatuur", waardoor nog steeds niet alle
makers van virussen, wormen, trojaanse paarden juridisch kunnen
worden aangepakt. Voor de liefhebbers: Artikel 350a lid 3 WvSr.
04-01-2006, 22:44 door Skizmo
Door Anoniem
Zijn er ook gevolgen voor peer-to-peer netwerken als KaZaa?
als ik het goed lees wel, en daarmee is de uitvoering van
deze definitie ook onmogelijk.. .want als ik op een ftp van
een vriend van mij inlog ben ik eigenlijk ook al een hacker.
. .en dat klopt niet..

Niemand kan zijn inboedel verzekeren als hij er niet
voor zorgt, dat zijn woning deugdelijk is afgesloten

ik denk ook dat deze stelling alles zegt. .
05-01-2006, 09:04 door d.lemckert
Hmm,

Dus als ik onder de nieuwe wet mij toegang verschaf tot andermans
machine zonder zijn toestemming ben ik strafbaar..

stelling:
Ik vind een machine op het bedrijfsnet. Deze ken ik niet (komt niet in mijn
database voor)
Ik neem een kijkje, of ik kan achterhalen wat voor doos het is en waar ie
uithangt. Ik vind een openstaande share, waarop ik a.h.v. documentnamen
(let op: ik hoef ze niet eens te openen, just for the sake of argument) kan
achterhalen dat het de privémachine van een medewerker is, die ik
vervolgens bel om hem (de doos) van het net te laten halen.

Vraag:
Word ik nu aangeklaagd omdat de betreffende persoon mij geen
toestemming had gegeven? En dat terwijl hij een openstaande share
heeft? En dat terwijl het ding in het bedrijfsnet hangt? En dat terwijl dat ding
op de eerste plaats daar al niet eens hoort?

Wat is dit voor krankzinnig voorstel?????
05-01-2006, 09:09 door Anoniem
Door Anoniem
Zijn er ook gevolgen voor peer-to-peer netwerken als KaZaa?

Dat lijkt me niet. Als je KaZaa installeert geef je anderen
toestemming om op je computer te komen. Dan heet het geen
inbreken, maar op visite gaan. (Dat geldt dus ook voor die
ftp-site van een vriend).
05-01-2006, 09:28 door Anoniem
Nou, verbied alle WiFi apparatuur maar, want dat connect uit zichzelf naar
naar alle AP's waar die op mag...
Stelletje ranzige debiele digibeten daar bij de overheid (so what else is
new?)
05-01-2006, 09:56 door awesselius
Door Anoniem
Nou, verbied alle WiFi apparatuur maar, want dat connect uit
zichzelf naar
naar alle AP's waar die op mag...

Je zegt access-points. Daarmee zeg je 'netwerk-apparatuur'
en dus iets interessants..... Waarom?

Steeds meer appliances waaronder netwerk apparatuur bevatten
een microprocessor van een krachtig kaliber. Sommige zelfs
draaien een compleet OS en fungeren voor meer als alleen
'routertje'.

Onder de noemer 'computersysteem' vallen dus vele apparaten
die dus niet eens meer als PC beschouwd hoeven te worden,
maar zelfs je mobieltje is een computersysteem. Sterker nog,
je magnetron is in veel gevallen ook een computersysteem.
Als jij ongevraagt je pizza opwarmt in mijn magnetron, ben
je dus strafbaar. Of had ik dan een hangslot op mijn
magnetron moeten plaatsen. Geef de inbreker de kost
(misschien doe je dat al en heeft hij ook nog je vriezer
geplunderd), die een maaltijd warmt in je eigen magnetron
als je ligt te zonnen op de Bahama's.

Even serieus. Punt is, door alle automatica weet je niet
meer wat een computersysteem is en wat niet. Wanneer is het
ongevraagd? Is het met opzet ongevraagd binnendringen van
een systeem? Wanneer verschuift de lijn van ongevraagd naar
'toegelaten en achteraf ongewenst'?

Als ik via iemand zijn proxy surf, of via iemands WiFi
netwerk connecties maak (zoals Anoniem ook al zei), dan
gebruik ik ongevraagd doch toegelaten en misschien ongewenst
iemands computersysteem in de vorm van een router.

M.a.w. deze wet is te complex nog om daar een dikke grens te
stellen. Hier komen nog veel uitzonderingen op als je het
mij vraagt. Ben benieuwd naar de eerste jurisprudentie hierover.

- Unomi -
05-01-2006, 10:18 door Mijnheer3
Ik hoop dat ze op z'n minst zo slim zijn om het woord
'hacken' zelf niet te noemen, wat dat is op zichzelf al zo
ambigu als wat.

Hacken staat namelijk zeker niet altijd synoniem voor
criminieel gedrag.
Maar weer eens een verwijzing naar wikipedia voor een zeer
goede defintie:
http://en.wikipedia.org/wiki/Hacker_%28disambiguation%29
05-01-2006, 11:00 door egeltje
Door Unomi
M.a.w. deze wet is te complex nog om daar een dikke grens te
stellen. Hier komen nog veel uitzonderingen op als je het
mij vraagt. Ben benieuwd naar de eerste jurisprudentie hierover.
Ik zou het ook niet zo keihard in de wet willen zetten. Ik heb liever wat
onduidelijkheid met goede jurisprudentie dan een brakke wet die het
helemaal dichttimmert.

Als jij bv op een wifi netwerk connect waar je niet op had mogen zitten, dan
is het aan justitie om te bewijzen dat jij daar wederrechtelijk (yep) en
opzettelijk was. Het is vreselijk moeilijk om dat laatste te bewijzen, dat ik
daar dus helemaal niet bang voor ben.
Ook het aanklikken van een onschuldig ogende onbeschermde deeplink
zal in de praktijk weinig problemen opleveren. Een link als "Klik hier om het
inlogscherm te omzeilen" is vrij duidelijk opzettelijk wederrechtelijk. Een
link als "Klik hier om verder te lezen" is dat vrij duidelijk niet.

En de definitie van een computer is in artikel 80sexies Sr
opgenomen: "Onder geautomatiseerd werk wordt verstaan een inrichting
die bestemd is om langs elektronische weg gegevens op te slaan en te
verwerken.". Een switch kun je hier onder vatten. Een pizza in een
magnetron opwarmen wordt tricky. (net zoals het openen van een
computerkast geen computervredebreuk is, maar gewoon
huisvredebreuk). :-)
O ja, wat gegevens zijn staat er ook (art 80quinquies Sr): "Onder gegevens
wordt verstaan iedere weergave van feiten, begrippen of instructies, al dan
niet op een overeengekomen wijze, geschikt voor overdracht, interpretatie
of verwerking door personen of geautomatiseerde werken."
05-01-2006, 11:51 door Anoniem
wat is beveiliging?

stel je maakt een site met mappen waarvan alleen
geauthoriseerde mensen de naam weten. zodoende kunnen dus
alleen die mensen in die mappen vinden.
dit kan je een 'simpele' vorm van beveiliging noemen.
maar als iemand zo dom is geweest directory indexes aan te
zetten en zodoende search engines de locaties van die mappen
laat indexeren en een niets vermoedende internetter via een
zoek machine in die mappen terecht laat komen, is er dan
sprake van het omzeilen van een beveiliging?
06-01-2006, 02:07 door Anoniem
Ze beginnen langzaam maar zeker toch ook door te krijgen dat repressie
niet het antwoord is.

Nu hoeft men ook eens te bedenken dat je nu al een boete kan krijgen
indien je waardevolle spullen zichtbaar in je auto laat liggen (uitlokking) en
dat te vertalen naar wet computer criminaliteit twee en men zal zien dat het
allemaal veel veiliger zal worden, immers men zal moeten kunnen
aantonen dat men afdoende was beveiligd.
08-01-2006, 03:57 door Anoniem
Door Anoniem
Het is vreemd dat het CDA aanpassingen in het strafrecht toetst
aan wat
gebruikelijk is in het privaatrecht. Het is weliswaar zo dat
verzekeringsmaatschappijen het een te groot risico vinden om
schade
door diefstal te vergoeden als de verzekerde geen adequate
maatregelen
heeft getroffen, het laat onverlet dat diefstal uit een onbeveiligde
woning
nog steeds diefstal en als zodanig strafbaar is. In die zin is de eis
van
beveiliging in het strafrecht zeker _geen_ vanzelfsprekendheid.

De reactie van VVD en PvdA lijkt weliswaar meer hout te snijden,
maar ook
vandaag is het mogelijk (door slecht geprogrammeerde sites!)
om door
het volgen van een deep link terecht te komen op een pagina die
slechts
achter een "beveiliging" toegankelijk zou moeten zijn.

Als de dames en heren senatoren dan iets zinnigs willen
opmerken
(amenderen kan men toch niet), dan zou men zich beter kunnen
buigen
over de -ook in het huidige wetsvoorstel- nog steeds gammele
definitie
van "kwaadaardige programmatuur", waardoor nog steeds niet
alle
makers van virussen, wormen, trojaanse paarden juridisch
kunnen
worden aangepakt. Voor de liefhebbers: Artikel 350a lid 3 WvSr.[/
quote]
zucht

bij een diefstal UIT een woning, heb je niet te maken met een
situatie waarin de tv op straat wordt gezet... als je de tv op
straat zet en iemand neemt hem mee, is dat geen diefstal. Bij
computers... als je je harde schijven shared... en iemand vind die
leuke foto's van jou en je vriendin in je slaapkamer zou het wel
diefstal worden... dat is krom... en zeker niet rechtvaardig...
onethisch op zijn meest... maar niet onrechtvaardig, dan moet je
je foto's maar niet op straat leggen... zoals bij die tv ;)
10-01-2006, 00:31 door Anoniem
Door Anoniem
Ze beginnen langzaam maar zeker toch ook door te krijgen dat
repressie niet het antwoord is.

Nu hoeft men ook eens te bedenken dat je nu al een boete kan
krijgen
indien je waardevolle spullen zichtbaar in je auto laat
liggen (uitlokking) en
dat te vertalen naar wet computer criminaliteit twee en men
zal zien dat het
allemaal veel veiliger zal worden, immers men zal moeten kunnen
aantonen dat men afdoende was beveiligd.

Maar agent......., het lag ergens in een hoekje op de
achterbank van mijn Bentley........." (stond geparkeerd in
de PC-Hooft met een gehackte Park-Adammer waarmee "gratis"
geparkeerd kan worden)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.