image

Juridische vraag: Hack programma's,GeenStijl, Open WiFi en poortscannen

woensdag 15 april 2009, 09:29 door Arnoud Engelfriet, 11 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet
en maak kans op zijn boek "De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Aangezien Arnoud het vertikte om tweede Paasdag op een woonboulevard door te brengen en als excuus de grote hoeveelheid juridische vragen van de Security.nl lezers gaf, deze week niet één, maar zeven vragen en antwoorden. Tevens kroop Neerlands bekendste ICT-jurist eens op de stoel van rechter en verklaarde hij de vraag "Ben ik strafbaar als mijn modem is gehackt?" tot winnaar van zijn boek De wet op internet. Zoals gezegd, elk kwartaal is er een nieuwe winnaar.

Vraag over hack programma's: Ik ben benieuwd of het hebben van hack programma's op je computer illegaal is. Veel mensen zeggen dat het wel mag zolang je ze maar niet gebruikt is dit waar?

Antwoord: Nee, ook het bezitten zonder te gebruiken is strafbaar. Art. 139d lid 2(a) Wetboek van Strafrecht stelt naast het maken, verspreiden en nog een paar dingen ook het "voorhanden hebben" van computerinbraaksoftware, DoS-tools en dergelijke strafbaar. Ook als je er niets mee doet. Wel moet de tool hoofdzakelijk ontworpen of geschikt zijn voor criminele activiteiten. Een wachtwoord-kraakprogramma is dat niet, want daarmee kun je ook je eigen wachtwoorden op sterkte controleren.

Vraag over poortscanning: Is het illegaal om poorten te scannen van computers waar jij niet de eigenaar van bent?

Antwoord: Het is strafbaar om binnen te dringen in een computersysteem, ongeacht of dat beveiligd is. De vraag is dus of je bij een poortscan al binnen bent in het systeem dat je scant. Die lezing gaat me erg ver. Bij een poortscan zet je alleen een verbinding op, en die sluit je daarna meteen weer. Daarbij maak je op zich een normaal gebruik van de service.

Juridisch is een poortscan waarschijnlijk wel te zien als een poging tot computervredebreuk, mits vaststaat dat de scannende persoon de intentie had om na de scan in te gaan breken in kwetsbare systemen. Zie ook deze pagina.

Vraag over DirBuster: Met de Tool DirBuster kun je kijken of een site informatie online hebt die eigenlijk niet vrij beschikbaar had mogen zijn. De tool doet een brute-force op basis van lijsten met veelgebruikte directorynamen en bestandsnamen. Mag ik die tool gebruiken, gewoon uit nieuwsgierigheid?

Antwoord: Dit lijkt een beetje op een portscan maar dan binnen het HTTP-protocol. Het gaat wel een stapje verder: je vraagt niet alleen welke service er draait maar je vraagt ook informatie op, die wellicht nog niet openbaar had moeten zijn. Voor computervredebreuk moet je binnendringen op een plek waarvan je weet dat die "verboden terrein" voor je is. Een niet-publieke maar wel werkende URL lijkt me nog niet automatisch verboden terrein.

Ik vermoed dat hier de intentie nog veel zwaarder gaat wegen. Waarom deed je dit? Wat verwachtte je te vinden? Als dat vertrouwelijke informatie is, dan zou het toch wel eens als computervredebreuk gezien kunnen worden. Bij deze tool zou ik trouwens nog bang zijn dat je het ontvangende systeem overbelast. Dat zou dan een DoS-aanval worden en dat is apart strafbaar gesteld (art. 138b Strafrecht).

Vraag over login procedure: In vervolg op deze vraag, is het strafbaar om een login procedure te omzeilen van je eigen gebruikersaccount, bijvoorbeeld met behulp van SQL injectie op een website van iemand anders?

Antwoord: Als je probeert met een truc je eigen account binnen te dringen, lijkt me dat niet strafbaar. Het gaat er bij computervredebreuk om dat je toegang verkrijgt tot iets dat eigenlijk verboden terrein voor je is. Ik denk dus niet dat dit strafbaar is. Als die truc per (opzettelijk of per toevalig) ook leidt tot bv. privilege escalation, dan handel je wel strafbaar.

Vraag over Open WiFi: Na lezing van het antwoord op deze vraag, vroeg ik me af of het toegestaan is om zelf opzettelijk je eigen draadloze access point beschikbaar te maken voor iedereen? Bijvoorbeeld zoals FON het doet, of gewoon de SSID veranderen in "Gratis WIFI komt u binnen" en verder geen beveiliging of wat dan ook.

Antwoord: Als iemand zijn access point zelf beschikbaar stelt voor iedereen, dan is er geen sprake van strafbaar binnendringen in dat access point of netwerk. De provider heeft het waarschijnlijk contractueel verboden om je internet-abonnement te delen met anderen, maar contractbreuk is niet strafbaar. In theorie zou je de OPTA langs kunnen krijgen omdat je een openbaar telecommunicatienetwerk aanbiedt zonder ingeschreven te zijn, maar dat lijkt me
sterk bij 1 draadloos modem vanuit je huiskamer.

Vraag over security audits: Stel een klant schakelt mij als beveiligingsexpert in om zijn netwerk of computersystemen dicht te timmeren. Achteraf blijkt dat er toch nog ergens een gat in de beveiliging zit, en de klant lijdt daardoor schade. Kan hij die dan op mij verhalen, en waar hangt dat eventueel vanaf?

Antwoord: Eigenlijk gaat deze vraag meer over "wanneer levert een dienstverlener wanprestatie". Een dienstverlener (opdrachtnemer) heeft een inspanningsplicht (art. 7:401 BW): hij moet als een "goed opdrachtnemer" zijn werk doen. Doet hij dat niet, dan kan de opdrachtgever hem aansprakelijk stellen voor de schade die daaruit voortvloeit. Dat betekent niet dat een beveiliger een perfect, onkraakbaar systeem moet opleveren. Hij moet alleen kunnen aantonen voldoende zijn best gedaan te hebben.

Veel dienstverleners hebben algemene voorwaarden waarin zij elke aansprakelijkheid uitsluiten. Dat is lang niet altijd rechtsgeldig. Zo mag je naar consumenten toe je aansprakelijkheid eigenlijk helemaal niet uitsluiten (art. 6:237 sub f BW) tenzij je daar een hele goede reden voor hebt. Bij zakelijke klanten kan er meer, maar de ondergrens blijft toch je zorgplicht. En bij schade door opzet of grove nalatigheid kun je nooit een beroep doen op je uitsluitingsclausule.

Ook moet je goed uitkijken met het klakkeloos doen wat de klant wil. Onderdeel van de zorgplicht is dat je zulke zaken onderzoekt. Je wordt als deskundige ingehuurd, dus jij moet protesteren als de klant iets wil dat onverstandig is. Sterker nog, je hebt het recht de overeenkomst te ontbinden (7:402 BW) als de klant voet bij stuk blijft houden. Doe je dat niet, dan is het mogelijk dat de klant jou aanspreekt voor schade dankzij zijn eigen koppigheid!

Vraag over linken naar malware: Afgelopen zaterdag haalde GeenStijl weer eens een oud "geintje" uit: oproepen om met zijn allen iemands gastenboek te gaan vervuilen. Maar deze site-eigenaar vocht terug: hij redirectte de pagina's waarnaar GS linkte naar een pagina met allerlei virussen en andere ongein. Mag dat zomaar?

Antwoord: Op zich is er juridisch weinig mis mee om als 'terugpakactie' een link door te leiden naar bv. Goatse of een andere shocksite. Wie kaatst moet de bal verwachten. Anders wordt dat wanneer je linkt naar malware. Het verspreiden van software "die zijn bestemd om schade aan te richten in een geautomatiseerd werk" is strafbaar (art. 350a Sr). Het opzettelijk linken naar een pagina met zulke malware kan worden gezien als medeplichtigheid daaraan.

In deze zaak werd het linken naar een "opruiend" geschrift (strafbaar, art. 132a Strafrecht) als medeplichtigheid aan de verspreiding daarvan gezien. Wel speelde daarbij zwaar mee dat de verdachte precies wist waar ze naar linkte en ook achter die inhoud stond. De rechter verklaarde expliciet dat niet elke hyperlink naar strafbare inhoud ook strafbaar is. Maar wie opzettelijk bezoekers doorleidt naar strafbare inhoud, neemt een groot risico op vervolging.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (11)
15-04-2009, 12:38 door Anoniem
Valt onder http://wetboek.net/Sr/132.html ook politiek (H)activisme en/of klokkenluiden ?
15-04-2009, 13:11 door ScheleKeessie
Niets nieuws onder de zon maar toch bedankt voor deze opfriscursus.
15-04-2009, 14:22 door Anoniem
Naar aanleiding over de vraag over DirBuster; als ik robots.txt bestanden uitlees, zoek ik naar directories waarvan de eigenaar de intentie heeft ze verborgen te houden voor het grote publiek (i.e. de zoekmachine). Mag dat?

En als dat mag, mag ik dan ook een verbinding naar een bestand naar een dergelijke, verborgen pagina maken? De kennelijke intentie is niet laten indexeren, waarbij ik mag vermoeden dat de bedoeling is dat mensen daar dan ook niet komen. Maar als beveiligingsmaatregel is het tamelijk triviaal, en het zou ook een andere bedoeling kunnen hebben. Het veronderstellen van de 'kennelijke bedoeling' iets te beveiligen lijkt mij een moeizaam argument, zo lang gedachtenlezen geen gangbare vaardigheid is.
15-04-2009, 15:43 door Anoniem
Heel goed antwoord is strafbaar illegaal software gebruiken? Nee,
dan mag als het maar voor thuis doeleind gebruikt. Ik heb legaal
Windows XP gekocht wil die instaren op 2 pc's, A op eerst pc's ging
prima op tweede pc's kon plotseling niet activeren. Dus heb ik maar
Crack gedownload en met wat tofferwerk kreeg aan de praat.
Hoe weet je nou of je modem gehackt is, hoe zo dan strafbaar als de
client het niet weet.
15-04-2009, 15:48 door Anoniem
Heel goed antwoord is het strafbaar gebruiken van illegaal software?
Nee, dan mag volgens de wet als het maar voor thuis doeleind gebruikt zegt Bill Gates!
Ik heb een legaal Windows XP gekocht wil die instaren op 2 pc's, op mijn eerst pc's ging
als prima , op mijn tweede pc's kon ik plotseling niet activeren.
Dus heb ik maar een Crack gedownload en met wat toverwerk kreeg ik dze toch aan de praat.
Hoe weet je nou of je modem gehackt is, hoe zo dan strafbaar als de mijn client het niet weet!
16-04-2009, 17:03 door SirDice
Door Anoniem: Heel goed antwoord is het strafbaar gebruiken van illegaal software?
Nee, dan mag volgens de wet als het maar voor thuis doeleind gebruikt zegt Bill Gates!
Nee dat mag niet. Je mag illegale software niet eens downloaden ook al is het alleen voor thuisgebruik.

Vraag over Open WiFi: Na lezing van het antwoord op deze vraag, vroeg ik me af of het toegestaan is om zelf opzettelijk je eigen draadloze access point beschikbaar te maken voor iedereen? Bijvoorbeeld zoals FON het doet, of gewoon de SSID veranderen in "Gratis WIFI komt u binnen" en verder geen beveiliging of wat dan ook.

Antwoord: Als iemand zijn access point zelf beschikbaar stelt voor iedereen, dan is er geen sprake van strafbaar binnendringen in dat access point of netwerk. De provider heeft het waarschijnlijk contractueel verboden om je internet-abonnement te delen met anderen, maar contractbreuk is niet strafbaar. In theorie zou je de OPTA langs kunnen krijgen omdat je een openbaar telecommunicatienetwerk aanbiedt zonder ingeschreven te zijn, maar dat lijkt me
sterk bij 1 draadloos modem vanuit je huiskamer.
Om hier even op voort te borduren... Mag je die open verbinging (die je zelf opgezet hebt) ook afluisteren? Volgens mij niet..
16-04-2009, 18:25 door Arnoud Engelfriet
Door SirDice: Om hier even op voort te borduren... Mag je die open verbinging (die je zelf opgezet hebt) ook afluisteren? Volgens mij niet..
Inderdaad niet. Art. 273d Strafrecht verbiedt het kennisnemen van verkeer dat over je netwerk gaat. Het artikel heeft het eerst over "openbare telecommunicatienetwerken" maar in lid 2 wordt het ook op private netwerken van toepassing verklaard.
16-04-2009, 22:03 door Anoniem
Vraag over hack programma's: Ik ben benieuwd of het hebben van hack programma's op je computer illegaal is. Veel mensen zeggen dat het wel mag zolang je ze maar niet gebruikt is dit waar?

Antwoord: Nee, ook het bezitten zonder te gebruiken is strafbaar.

Hoe zit het dan met Linux?? Daar zitten behoorlijk veel tools in verwerkt.
17-04-2009, 02:35 door Anoniem
Maar in Nederland is het toch toegestaan om verkeer uit de ether gewoon op te vangen, mits je daar vervolgens niets strafbaars mee doet? Valt bekijken en dan verwijderen dan ook onder strafbaar?
17-04-2009, 09:46 door Anoniem
Door Arnoud Engelfriet:
Door SirDice: Om hier even op voort te borduren... Mag je die open verbinging (die je zelf opgezet hebt) ook afluisteren? Volgens mij niet..
Inderdaad niet. Art. 273d Strafrecht verbiedt het kennisnemen van verkeer dat over je netwerk gaat. Het artikel heeft het eerst over "openbare telecommunicatienetwerken" maar in lid 2 wordt het ook op private netwerken van toepassing verklaard.

Ik weet dat er regelmatig verbindingen worden afgeluisterd door netwerkbeheerders. In de meeste gevallen in het kader van hun werk om storingen te voorkomen of verhelpen. En ook wordt dat soms gedaan in het kader van academisch onderzoek. Zijn daar geen uitzonderingsartikelen voor?

Peter
22-04-2009, 10:03 door Arnoud Engelfriet
Het gaat om tools die ontworpen zijn om illegale activiteiten mee te plegen. Een exploit valt er dus eerder onder dan een hex editor, hoewel je ook met de laatste in kunt breken in allerlei systemen. Een portscan-tool is een grijs gebied.

Het opvangen van vrije ethersignalen is een grondrecht, zolang je geen bijzondere technische maatregelen neemt om die signalen te ontvangen. Het wetsartikel gaat over netwerken, dus bv. alle verkeer op je router dumpen naar een logbestand of routinematig greppen op interessante woorden. Het verbod geldt wel alleen voor "wederrechtelijk" aftappen, oftewel zonder toestemming of andere grond. Technische storingen opsporen is een goede grond, dus dan mag het - maar je moet wel kunnen aantonen dat je alleen datgene las dat redelijkerwijs met de storing te maken had. En natuurlijk mag je dan niet in de krant zetten wat je aantrof in een mailbox die je moest onderzoeken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.