Juridische vraag: Ben ik strafbaar als mijn modem is gehackt?
Heb jij een vraag over beveiliging, recht en privacy, stel hem dan aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek "De wet op internet". De Juridische vraag is een nieuwe rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Stel dat in een netwerk gebruik wordt gemaakt van een goed geconfigureerde dedicated firewall, echter zonder of met beperkte logging. Nu wordt in het modem ingebroken; de dedicated firewall blijkt stand te houden. Het is dan echter mogelijk om via het modem bijvoorbeeld illegale media, spam of virussen te verspreiden. Justitie ontdekt een dergelijke verspreiding via dit modem. Hoe werkt de bewijslast dan? En hoe reëel is de kans dat je als eigenaar van het netwerk wordt veroordeeld in plaats van de werkelijke cracker?
Antwoord: Op dit scenario zijn natuurlijk vele varianten denkbaar. Zo kan ook de firewall worden gehackt. Of na de inbraak wordt een rootkit of iets dergelijks achtergelaten die pas later actief wordt, waarna de cracker alsnog binnen kan dringen. Maar de meer algemene vraag is: hoe bewijst het Openbaar Ministerie (OM) dat een bepaald iemand de schuldige is van illegale activiteiten wanneer daarbij complexe ICT trucs worden uitgehaald?
In het strafrecht gelden een aantal vaste regels over bewijzen. De hoofdregel is dat het OM wettig en overtuigend bewijs moet leveren dat de verdachte het strafbare feit gepleegd moet hebben (art. 338 Strafvordering). "Wettig": het bewijs mag niet met bv. een illegale tap of door dwang zijn verkregen. En "overtuigend": de rechtbank mag geen gerede twijfel hebben over wat het bewijs nu eigenlijk bewijst.
Bewijs is alleen te leveren met één of meer van de in de wet genoemde bewijsmiddelen (art. 339 Strafvordering): verklaringen van de verdachte, van getuigen of deskundigen, of schriftelijke stukken zoals een proces-verbaal of een rapport van een deskundige. Oh ja, en wat de rechter zelf zoal is opgevallen tijdens het proces. Hij mag daartoe zelf vragen stellen aan de verdachte, aan getuigen of aan deskundigen. En feiten die algemeen bekend zijn, hoeven niet bewezen te worden. Bij verklaringen van de verdachte zelf of van een getuige is altijd meer bewijs nodig: op alleen zo'n verklaring kun je niet veroordeeld worden (art. 341 en 342 Sv).
Bij ICT-zaken zal het vrijwel altijd aankomen op verklaringen of rapporten van deskundigen. Die deskundige kan bijvoorbeeld een PC onderzoeken en op basis daarvan zijn conclusies trekken op basis waarvan de rechter zich kan laten overtuigen. Maar het gaat bij bewijs niet alleen om de technische sporen. Minstens zo belangrijk is de vraag wat deze in context betekenen. Rechters kijken dan ook altijd naar zaken zoals: wat voor soort acties zijn er vanaf de PC of het netwerk in kwestie gepleegd, had de verdachte daar iets bij te winnen en past het bij wat we nog meer van de verdachte weten?
Zo riep een verdachte in een oplichtingszaak dat een hacker (ja sorry, zo noemen ze dat in de rechtspraak) vanaf zijn PC de betreffende spullen op Marktplaats.nl had aangeboden. Terecht gelooft de rechter daar geen bal van: waarom zou die hacker dat doen, laat staan onder vermelding van het bankrekeningnummer van de verdachte? En waarom stortte de verdachte het geld niet terug als hij niet zou weten waar dat vandaan kwam?
In een andere, m.i. bijzonder kwalijke zaak werden op een PC versleutelde kinderporno-bestanden aangetroffen. Het leek de rechtbank duidelijk dat hier geen derde bezig was geweest. Waarom zou die a) kinderporno uploaden naar die PC b) dat encrypten met een wachtwoord dat bestond uit sigarettenmerk en geboortejaar van de verdachte en dan c) het icoon van het encryptieprogramma (Privacy Master) op de desktop zetten waar de verdachte het meteen zou zien? Los van het feit dat geen sporen van computerinbraak waren aangetroffen. Het verweer dat het dan misschien de dertienjarige zoon(!) van de verdachte zou zijn geweest, werd eveneens niet aanvaard.
Ook zijn er zaken geweest over bedreiging en stalking via de mail, waarbij de verdachte suggereerde dat het een derde was geweest. Dat lijkt ook weinig logisch als je dan de inhoud van de mails bekijkt en daar dingen in aantreft die alleen de verdachte over het slachtoffer had kunnen weten. Of als je, zoals in deze zaak naaktfoto's van je ex op Emule zet nadat je ze hebt hernoemd naar de naam van je ex en haar woonplaats.
De theoretische mogelijkheid dat een hacker (wederom sorry) actief was op je netwerk, is dus niet genoeg als het overige bewijs naar jou wijst. Je zult met tegenbewijs moeten komen, zoals sporen van een rootkit of remote desktop software waarmee die hacker vanaf jouw PC de handelingen had kunnen verrichten
(zoals ook in deze en deze zaken werd bepaald.)
Kortom, het gaat niet alleen om de vraag vanaf welk netwerk er gegevens zijn verstuurd. De inhoud van die gegevens en het doel van de verzending zijn minstens zo belangrijk. Ben je een brave thuisgebruiker en wordt er op 1 avond een hele berg spam verstuurd vanaf jouw IP-adres, dan lijkt het me sterk dat jij daarvoor veroordeeld wordt. Er zijn dan ongetwijfeld sporen te vinden van een of andere Trojan. Of de spam is ook vanaf andere IP-adressen verstuurd. Maar is er niets te vinden en zit je netwerk ook netjes op slot, dan heb je wel iets uit te leggen lijkt me.
Bruce Schneier houdt mede om deze reden zijn draadloos netwerk zo onbeveiligd mogelijk. Want tsja, wie zou hem geloven als hij zei dat zijn beveiliging gekraakt was en een derde misbruik had gemaakt van zijn systemen? Maar zo zwart-wit is het dus niet per se. Waarom zou Schneier ineens reclame voor V14gra gaan maken of kinderporno gaan versturen vanaf zijn eigen PC? Die vraag is uiteindelijk waar het om draait in het strafrecht. Het gaat er niet om of een computer het gedaan heeft, maar of de verdachte dat was.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Heb jij ook een vraag voor Arnoud en wil jij kans op zijn boek maken? Stuur dan je vraag naar juridischevraag@security.nl
Met nadruk op 'leek', immers is het op geen enkele manier aantoonbaar gemaakt.
"Waarom zou die a) kinderporno uploaden naar die PC b) dat encrypten met een wachtwoord dat bestond uit sigarettenmerk en geboortejaar van de verdachte en dan c) het icoon van het encryptieprogramma (Privacy Master) op de desktop zetten waar de verdachte het meteen zou zien? Los van het feit dat geen sporen van computerinbraak waren aangetroffen. Het verweer dat het dan misschien de dertienjarige zoon(!) van de verdachte zou zijn geweest, werd eveneens niet aanvaard. "
Een hoop aannames. Maar is het ook wettig en overtuigend bewijs ? Indien ik een computer deel met mijn huisgenoot, en ik gebruik als wachtwoord de geboortedatum van mijn huisgenoot, neemt de rechter dan ook voor het gemak aan dat mijn huisgenoot de schuldige is ? En neemt de rechter ook in zijn overweging mee dat er sprake kan zijn van opzettelijke dwaalsporen ?
Ik vraag mij af hoe een rechter ermee om gaat wanneer er vanaf iemand's IP adres illegale handelingen worden verricht, via wireless toegang bijvoorbeeld, en wanneer de dader hierbij het MAC address spooft van de PC van de eigenaar van de desktop. Je kunt je afvragen hoe deskundig diegenen zijn die over schuld of onschuld gaan (danwel hun getuige-deskundigen), en in welke mate zij in staat zijn om opzettelijke misleiding van een capabele 'hacker' te detecteren.
Al zal de conclusie van de rechter in zaken als bovenstaande vaak juist zijn, toch denk ik dat er lang niet altijd sprake is van sluitende bewijsvoering.
lijkt me de leverancier van het modem de schuldige.
als die de schuld van zich afschuift , is het de fabrikant van het modem..
Een eenvoudige leek met standaard wireless modem zal sneller slachtoffer worden van een wardrivende onverlaat die dan allerlei onfrisse zaken uit kan halen via diens netwerk. Maar juist dan pleiten de feiten vaak tegen die leek: waarom zou hij viagraspam gaan versturen of kinderporno verspreiden via bv. Tor? Zo iemand weet niet wat Tor is, en het feit dat de PC een Tor exit node was die KP uitspuugde, wijst er dan op dat het iemand anders moet zijn geweest.
Analogie: je hebt een speeltuin, je hebt betonnen tegels onder de schommels en een kleuter valt van de schommel en loopt hersenschade op. Jij laat vervolgens de schommels gewoon in gebruik, vervangt de betonnen tegels niet voor rubberen tegels, plaatst geen waarschuwingsborden en zorgt ook niet voor personeel dat in de gaten houdt dat er geen gevaarlijke situaties bij de schommels ontstaan. Als er dan weer een kleuter van de schommel met z'n hoofd op de tegels valt, ben jij als eigenaar/beheerder aantoonbaar nalatig en ben je aansprakelijk te stellen. Je kan aanvoeren dat je geen geld of personeel hebt om het probleem aan te pakken, maar dan had je de schommels buiten gebruik kunnen stellen of tenminste bordjes kunnen plaatsen waarop je waarschuwt voor de gevaarlijke situatie. Op die manier maak je jezelf verwijtbaar nalatig zonder dat je tot doel hebt om kleuters hersenschade op te laten lopen.
Ik denk dat je hier moet gaan kijken naar de balans tussen wat je weet en kunt doen om het te voorkomen, wat je feitelijk er aan gedaan hebt en naar de ernst van de gevolgen. Als duidelijk is dat door jouw acties of gebrek daaraan ernstige dingen gebeurd zijn, zal er eerder vervolging worden ingesteld dan als er duidelijk sprake is van onmacht of overmacht.
Zo moeilijk is dat niet. Je zal echt verdomd goed onderzoek moeten plegen om tot conclusies te komen in twijfelgevallen dat iemand met kwade opzet bezig is.
Anders is er rechtspraak naar willekeur.
Ik werk mijn hele leven al in de IT en neem van mij maar aan dat ze niet achter alles kunnen komen daar moet je echt wel wat voor in je mars hebben.
En laat deskundigheid nu net het punt zijn met die salarissen daar.
Kijk voor de hand liggende zaken zijn snel te bewijzen maar daar waar een schemergebied is durf ik te wedden dat hier en daar vast onschuldigen zijn beschuldigd vanwege "overtuigende" bewijslast.
Laten we stellen ik ben een hacker en ik breek bij mijn buurman in het draadloze netwerk in om vervvolgens via mijn eigen netwerk laten we zeggen, de kpn te hacken. Je wordt gepakt (in dit geval gebruik je dus geen proxies of andere hops) (Je hebt logging aan te staan in je router, hier lijkt het dan dat de attack van een andere pc afkomstig is). Vervolgens laat je via het netwerk van je buurman je eigen pc infecteren met wat sneaky trojan's.
Mijn vraag is nu hoe sterk sta je in de schoen als je claimt dat je pc door iemand gehacked is?
Groetjes Exit-Daan
In de aangehaalde rechtszaken was er nooit enige aanwijzing dat iemands PC gehackt was en dat de hacker het misdrijf gepleegd had. Dus als dat bij jou ook zo is, en de aanval past bij de overige omstandigheden en bij jou, dan heb je een probleem.
Zodra de snurfteldreut breekt en daardoor mijn rem niet meer werkt, waardoor ik iemand schep op het trottoir en dood, ben ik dan strafbaar als ik net mijn APK heb gehad ?
"Het was een hacker" (men zal doelen op cracker) die de KP op mijn PC heeft gezet is een "Karl Noten verweer" waar natuurlijk niemand in zal geloven. Het geeft ook meteen aan wat de 'roepert' van plan is, nl de schuld op 'iets' technisch afschuiven waarvan die hoopt dat iedereen er net zo min verstand van heeft als hijzelf, en verder blijft zo'n persoon zoals dat in goed Nederlands heet 'in denial' (voorbeeld: Marco Bakker's 'technisch mankement aan mijn auto' en dus niet zijn vodka inname of het Tonino gelul: 'bijvangst').
Het is wat mij betreft dan ook heel duidelijk. Had de bezitter kunnen of moeten weten dat zijn modem gekraakt was of kon worden ? Dat zal heel lastig aan te tonen zijn en alleen kunnen indien het ook echt aan verwijtbaar gedrag ligt. Schuldig in dat geval.
Alle andere gevallen vallen niet onder de verantwoordelijkheid van de modembezitter, maar natuurlijk ook altijd bij de misbruiker, de craker / kraker in dit geval !
In de aangehaalde rechtszaken was er nooit enige aanwijzing dat iemands PC gehackt was en dat de hacker het misdrijf gepleegd had. Dus als dat bij jou ook zo is, en de aanval past bij de overige omstandigheden en bij jou, dan heb je een probleem.
Hoe kan in hemelsnaam de buurt bewijzen dat de buurman niet kan hacken, dat kunnen zij immers niet weten want zij hebben de ballen verstand van computers laat staan het hacken ervan. En het "raar figuur zijn die veel van computers weet" of het opscheppen over het hackerzijn is nog niet direct een bewijs dat het daadwerkelijk plaats heeft gevonden het "het zou kunnen" is geen direct bewijs om iemand schuldig te verklaren.
In de aangehaalde rechtszaken was er nooit enige aanwijzing dat iemands PC gehackt was en dat de hacker het misdrijf gepleegd had
Maar stel dat je het er op laat lijken dat het wel zo is, je zal de pc van de buurman natuurlijk zonder sporen achter laten zodat het niet blijkt dat jij dat hebt gedaan... kan de buurman dan de schuld krijgen zodat diegene die het wel heeft gehackt vrijuit kan gaan?
Je lijkt dus per definitie te veronderstellen dat je de handelingen op de PC, die door meerdere mensen wordt gebruikt, aan een bepaald persoon kunt koppelen, zonder dat hiervoor degelijke onderbouwing is. Immers weet je niet wie de websites bezocht heeft, of de handelingen waarover je het hebt heeft gepleegd (al kan dit uit verder forensisch bewijs duidelijker worden).
Op basis waarvan bepaalt de rechter of onderstaande redenatie al dan niet correct is, want hij lijkt het zonder degelijke argumenten van tafel te vegen, waarbij jij het zonder meer lijkt te accepteren :
'Het verweer dat het dan misschien de dertienjarige zoon(!) van de verdachte zou zijn geweest, werd eveneens niet aanvaard.'
Er wordt hier geen enkele onderbouwing gegeven wordt omtrent de vraag of de vader, de zoon, of een ander gezinslid schuldig is. Immers zijn er ook jongeren die dit soort troep opzoeken, en zelfs volwassen vrouwen.
De kans is wellicht zeer groot dat de man schuldig was, toch zie ik geen enkel sluitend bewijs, maar een aanname welke gebaseerd is op waarschijnlijkheid en op het gebruikte wachtwoord. Waarom is vader hoofdverdachte, is dit omdat het internet abbonement op zijn naam staat, of is hiervoor enig aanvullend bewijsmateriaal ?
Bij grootschalige kinderporno onderzoeken, waarbij men honderden mensen tegelijk oppakt in diverse landen vraag ik mij dan ook af wie er over het algemeen wordt gearresteerd; is dit degene die schuldig is, of is dit degene op wiens naam de internetverbinding staat (waarbij dit vaak dezelfde persoon zal zijn, maar niet altijd).
Wanneer er sprake is van een gedeeld huishouden, i.e. een gezin, dan lijkt mij dit juridisch gezien toch een interessante discussie ? In hoeverre wordt bij dergelijke soort grootschalige akties aanvullend forensisch onderzoek gedaan om te bepalen wie in een huishouden nou daadwerkelijk schuldig is ?
"De theoretische mogelijkheid dat een hacker (wederom sorry) actief was op je netwerk, is dus niet genoeg als het overige bewijs naar jou wijst. Je zult met tegenbewijs moeten komen, zoals sporen van een rootkit of remote desktop software waarmee die hacker vanaf jouw PC de handelingen had kunnen verrichten."
Indien een hacker slim genoeg is om zijn sporen uit te wissen ben je dus erg snel 'de lul', niet omdat er bewijs ligt dat er geen sprake is van een hack, maar eerder omdat de rechter meent dat zonder deze sporen er geen sprake is van een hack. Wat uiteindelijk dubieus is, en waarbij niet langer geldt dat je onschuldig bent tot schuld bewezen is, maar schuldig bent tot jij je onschuld aantoont.
Het is een beetje hetzelfde wanneer er met een loper of door middel van 'lock bumping' een inbraak wordt gepleegd; wanneer men geen schade aantreft gaat men er al snel vanuit dat er geen sprake is geweest van inbraak.
Dat kan ook helemaal niet, en het is dan ook een bizar argument in een zogenaamd juridisch advies.... Mijn buren weten niet eens of ik een computer heb, wat voor baan ik heb, en al helemaal niet wat voor kennis ik al dan niet heb op het gebied van hacking en IT beveiliging. Daarnaast kan je je afvragen wat je buren zo 'deskundig' zou maken dat een rechter enige boodschap zou hebben aan hun mening.
Dat kan ook helemaal niet, en het is dan ook een bizar argument in een zogenaamd juridisch advies.... Mijn buren weten niet eens of ik een computer heb, wat voor baan ik heb, en al helemaal niet wat voor kennis ik al dan niet heb op het gebied van hacking en IT beveiliging. Daarnaast kan je je afvragen wat je buren zo 'deskundig' zou maken dat een rechter enige boodschap zou hebben aan hun mening.
Ik ben Arnoud zeer dankbaar voor zijn deskundige advies. Geweldig dat je dit gratis doet en op deze manier je kennis met ons deelt!
Als of er bij onze overheid (KLPD, NFI, AIVD) kennis en kunde is om op dit te onderzoeken.
Zoals een wijze jurist me ooit eens heeft uitgelegd, wetgeving staat in een dood boek.
Er is geen enkele strafrechtelijke veroordeling geweest waarbij enkel en primair technisch "bewijs" van doorslag is geweest.
Noch zal die er ooit komen omdat technisch bewijs nu eenmaal niet overtuigend kan zijn.
Zoals de schrijver van de artikel al aan geeft let men vooral op de feiten die gelinkt kunnen worden aan de verdachte, zoals motief/belang.
Des al niet te min kan je gewoon bewijs planten indien je iemand dwars wilt zitten.
De Nederlandse recherche heeft onder haar "scoringsdrift" alleen maar visie door tunnels en voeren hun eigenlijke taak (waarheidsvinding) niet uit.
Officieren van Justitie (degene die bepaald of zaak rechtbank gaat halen) zijn ijdele mensen die alleen met hun eigen carriere bezig zijn en zaken die ze niet zullen winnen of daar onzeker over zijn niet voor laten komen maar liever seponeren. Immers als je alleen maar zaken verliest maar wel met de waarheid bezig was, kom je wel in de hemel maar eindig je niet met een riant pensioen.
Wat je dus in de praktijk ziet is dat Politie en OM gewoon een zaak ontdoen van elementen (zoals "technisch bewijs") die betwist kan worden omdat er geen objectieve tegenhanger van is. Bijvoorbeeld wardriver was op adres A en dit kan naast MAClijst (zover niet gespoofed) van Router van slachtoffer + GSM mast gegevens + videobewakingscamera ergens in die straat aangetoond worden.
Dat MAC adres in een lijst staat is geen bewijs, het is slechts ondersteunend en gezien en de kans is klein dat iemand toevallig dezelfde mac adres spoofed.
Overigens voor alle duidelijkheid er zijn amper zaken voor de rechter geweest voor alleen computervredebreuk en het aantal zaken die alleen op dat feit tot een veroordeling hebben geleid is op twee handen te tellen. Het is inderdaad een dode boek met dode wetgeving.
Wanneer via het modem is ingebroken en daarvandaan illegale media is verspreid vanaf het ip adres van de verdachte, dan zijn er dus geen sporen te vinden op de PC's binnen het netwerk. Dat de verdachte met tegenbewijs zou moeten komen vind ik omkeren van de bewijslast. Het "wettig en overtuigend bewijs" zal moeten bestaan uit sporen *in* het netwerk waaruit blijft dat de die illegale media daarvandaan verstuurd zou zijn.
De aanname dat een router of modem kwetsbaar is kan echter wel door een deskundige worden onderzocht. De vraag is dan eerder of een verdachte het recht heeft om van de expertise van een deskundige gebruik te maken om zijn onschuld aannemelijk te maken.
Dat de kans om veroordeeld te worden in de praktijk afhankelijk blijkt van het al of niet onbesproken gedrag van een verdachte, dat smaakt wrang.
Maar Arnoud toch bedankt voor je inbreng
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
