Juridische vraag: Is het uitbrengen van exploits illegaal?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Is het volgens de wet toegestaan om een website te hosten waarbij ik uitleg hoe bepaalde hacks werken en wat je daartegen kunt doen? Bij die uitleg zou ik graag mensen in de gelegenheid willen stellen om een proof of concept te showen van een site waar de hack werkt. Natuurlijk informeren we die site dan zo snel mogelijk.
Antwoord: Uitleggen hoe een hack werkt en hoe je deze tegengaat is in principe legaal. Maar pas wel op: hoe gedetailleerder je uitleg, hoe eerder je in het grijze gebied van "hulpmiddelen voor computervredebreuk" terecht komt. Ik zou dus afraden concrete exploits te posten, maar het eerder houden bij beschrijvingen van wat er gebeurt en vervolgens die uitleg geven over hoe je de hack tegengaat.
De status van een exploit is onduidelijk. De wet verbiedt tools die "zijn ontworpen of hoofdzakelijk geschikt" voor het plegen van computerinbraak, en je kunt goed betogen dat een exploit daar onder valt. Daar staat tegenover dat een exploit vaak nodig is om te documenteren hoe een hack werkt. Immers waarom 1000 woorden Nederlands gebruiken als 50 regels C ook perfect laten zien wat er gebeurt?
In de rechtszaak rond publicatie van de OV-chipkaarthack werd het feit dat men een paper publiceerde in plaats van een concrete exploit zwaar meegewogen bij de beslissing dat de actie legaal was. Maar ook instructies en stappenplannen kunnen volgens de Hoge Raad onder het verbod vallen - ook als ze in een tijdschrift zijn afgedrukt als gewoon Nederlandse uitleg.
Het publiceren van een proof of concept dat 'live' laat zien dat een hack werkt zou ik echt afraden. De kans op misbruik is veel te groot. Ik zou het daar houden bij alleen een screenshot of misschien een kort filmpje (screencapture) dat laat zien dat de hack echt werkt.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
En wat is de waarde van het toevoegen van de bijv. een stukje disclaimer:
"Deze code is puur en alleen bedoeld voor educatieve doeleinde, de schrijver van deze code kan niet aansprakelijk worden gesteld voor misbruik en schade die ontstaat bij het gebruik van de code. Het gebruik van deze code is op eigen risico"
Disclaimer: By sending an email to ANY of my addresses you are agreeing that:
1. I am by definition, "the intended recipient"
2. All information in the email is mine to do with as I see fit and make such
financial profit, political mileage, or good joke as it lends itself to.
In particular, I may quote it on usenet.
3. I may take the contents as representing the views of your company.
4. This overrides any disclaimer or statement of confidentiality that may be
included on your message.
Indien je een proof of concept wilt laten zien, dan doe je dat toch door zelf demo servers op te zetten, zolang je niemand het belang van derden schaadt ? Leuk dat je een website informeert, maar denk je niet dat je medeschuldig bent wanneer iemand met behulp van jouw proof of concept die website kraakt, en er vervolgens bijvoorbeeld met klantinformatie van door gaat ?
Je vraag is hetzelfde als het publiceren van zwakheden in sloten, waarbij je adressen geeft van kantoorpanden waar deze sloten worden gebruikt. Indien vervolgens m.b.v. zo'n zwakheid wordt ingebroken, dan heb jij je schuldig gemaakt aan het aanzetten tot dit misdrijf. Of jij ook het bedrijf hebt ingelicht dat ze een slecht slot op hun deur hebben doet daar helemaal niets aan af.
Disclaimer: By sending an email to ANY of my addresses you are agreeing that:
1. I am by definition, "the intended recipient"
2. All information in the email is mine to do with as I see fit and make such
financial profit, political mileage, or good joke as it lends itself to.
In particular, I may quote it on usenet.
3. I may take the contents as representing the views of your company.
4. This overrides any disclaimer or statement of confidentiality that may be
included on your message.
Een disclaimer in de mail is niet te vergelijken met disclaimers elders. Het nut van mail disclaimers is te betwisten en juridisch al tijden een discussie punt.
Dat zou ik inderdaad wel eens uitgediscusseerd willen zien.
Je ontvangt een mail, pas na openen en de inhoud bekeken te hebben zie je meestal onderaan zo'n disclaimer staan.
Nou, als ik het daar niet mee eens ben is er een probleem, want ik heb de inhoud al gezien.
Bij analoge post krijg je in ieder geval nog een envelop met een naam erop, waarop je bijvoorbeeld kan zien voor het openen dat het niet voor jou bedoeld is.
Wanneer je kennis hebt genomen van de inhoud, voordat je de disclaimer hebt gezien, kun je wat mij betreft doen met de informatie wat je wilt, je accepteert de disclaimer dan gewoon niet en dus kan ook niemand jou verplichten niets te doen met de informatie van het bericht die je tot je hebt genomen.
Dat zou ik inderdaad wel eens uitgediscusseerd willen zien.
Je ontvangt een mail, pas na openen en de inhoud bekeken te hebben zie je meestal onderaan zo'n disclaimer staan.
Nou, als ik het daar niet mee eens ben is er een probleem, want ik heb de inhoud al gezien.
Bij analoge post krijg je in ieder geval nog een envelop met een naam erop, waarop je bijvoorbeeld kan zien voor het openen dat het niet voor jou bedoeld is.
Wanneer je kennis hebt genomen van de inhoud, voordat je de disclaimer hebt gezien, kun je wat mij betreft doen met de informatie wat je wilt, je accepteert de disclaimer dan gewoon niet en dus kan ook niemand jou verplichten niets te doen met de informatie van het bericht die je tot je hebt genomen.
1) In het onderwerp van de mail zet je dat er een disclaimer bij zit.
2) In het bericht plaats je de disclaimer bovenin.
3)Gebruik een andere kleur en type font
4)Tussen de disclaimer en inhoud van de email zelf zit een a4'tje aan lege ruimte.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
