Juridische vraag: zijn hacktools in Nederland illegaal?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Ik ben student informatica en heb veel interesse in beveiliging en hacken. Ik wil graag wat meer leren over hoe dat gaat, dus ik heb wat tools gedownload en ik ben ook zelf scriptjes gaan maken. Maar nu zei mijn docent dat het strafbaar is om hacktools te hebben, ook als je ze niet daadwerkelijk gebruikt om ergens in te breken. Klopt dat?
Antwoord: Dat hangt er vanaf wat je met 'hacktools' bedoelt. In Nederland is het verboden om tools voorhanden te hebben (ook privé) die "hoofdzakelijk" geschikt of bestemd zijn om ergens in te breken. Een tool waarmee dat kan maar waarmee nog veel meer kan (zeg netcat of een editor) is niet verboden. Dit staat in in art. 139d lid 2 Strafrecht:
Hij die met het oogmerk dat daarmee [computervredebreuk wordt gepleegd] ... een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van [computervredebreuk] vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft [wordt gestraft etcetera]
De bijkomende eis is dat je ze voorhanden moet hebben "met het oogmerk dat daarmee computervredebreuk gepleegd wordt". Is jouw enige doel om te puzzelen hoe de vulnerabilities in elkaar zitten en hoe je jezelf zou kunnen verdedigen tegen zulke aanvallen, dan is daar niet aan voldaan. Wil je op je eigen netwerk testen of je kwetsbaar bent, dan is dat ook geen probleem. Ga je je universiteitsnetwerk ongevraagd aan zo'n test onderwerpen, dan loop je al heel snel tegen de strafwet aan.
In de praktijk denk ik niet dat iemand voor het enkele bezit van inbraaktools zal worden aangepakt. Maar het is een leuk artikel om op terug te vallen als je het bewijs van een computerinbraak niet rond krijgt.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Tenzij uit logs, config files en dergelijk blijkt dat je ze gedraaid hebt / van plan was te draaien tegen een machine buiten je eigen netwerk lijkt me.
Helemaal niet.. Backtrack kun je even goed gebruiken om je eigen netwerk te pen-teste..
Helemaal niet.. Backtrack kun je even goed gebruiken om je eigen netwerk te pen-teste..
Nee!
In theorie ben je wel strafbaar omdat Backtrack tools bevat die duidelijk hacken als enig doel hebben.
Uit Arnouds artikel kun je opmaken dat tools die mogelijk gebruikt kunnen worden om te hacken niet strafbaar zijn, maar tools die specifiek bedoeld zijn om te hacken wel strafbaar zijn.
Dus ik ben illegaal bezig als ik mijn bootable USB stick met Backtrack erop in mijn zak heb zitten?
Welnee, die heb je op die USB stick gezet omdat je Linux wil installeren op je laptop en wilde kijken of je draadloos netwerk het dan nog deed.
Bekijk het als bij een (keuken)mes of bijl.
Daar kan je heel goed mensen mee vermoorden of lekkere maaltijden mee bereiden. Dat is niet het doel van een werpmes of vlindermes of b.v. een ploertendoder, alhoewel alle ploerten van mij .... mogen.
Bij een martelwerktuig zal dat anders liggen of, zelfs met wapenvergunning, met je pief-paf-poef open en bloot over straat gaan...
Capice ?
Bekijk het als bij een (keuken)mes of bijl.
Daar kan je heel goed mensen mee vermoorden of lekkere maaltijden mee bereiden.
Nooit gehoord van ethical hacking en penetration testing ? Je kunt dus niet stellen dat Backtrack alleen gebruikt kan worden om -wederrechtelijk- te hacken. En pas dan is het een doelstelling die in strijd is met de wet. Het voorhanden hebben van BackTrack is wel degelijk te verdedigen, ook al is er inderdaad een theoretische strafbaarheid.
en niet om strafbaar feit pleegt. Ik vond het nuttig om bijvoorbeeld met een
hacktools mijn Windows XP product activation tedoorbreken in winlogon.exe
Dat gaf mij een goed gevoel, zie je wel het kan wel! Ik weet dat het
Computervredebreuk is, maar daar heb ik geen boodschap aan,
als ik bijvoorbeeld een hacktools zou gebruiken en geen schaden aan richt
wat doe ik dan daarmee kwaad! Ik begrijp wel het is straftbaar volgens de wet,
op illegale wijzen heb je software in hand gekregen waarop je geen recht hebt.
Je weet dat de politie vervelend kan doen, maar wat wij thuis doen maken we zelf wel uit,
een collega zij, dan kunnen ze heel nederland wel voor rechter sleep en beslag legen op
hun collectie illegaal software, muziek, video door piraterij.
Veel illegaal software ware gewoon beta versie die later door pirate zijn gecrackt,
ze zitten bom vol met bug's, zoals Windows 2003 Server en IBM Lotus Notes en dat is ook
hun doel. Soms treffen we een echt versie aan van IBM lotus Notes die schijnd gewoon zijn
gekopieerd, vind je het gek, mensen moet ook thuis werk doen! Maar dan heb je geen recht op
updates. Kan jij duizende euro's besteden aan software?
Met computers is niets leukers dan dingen tedoen die illegaal zijn!
Koste even moeite om door je "Nederlands" te komen, maar je ethiek of juist gebrek daaraan is typerend voor de houding die BREIN en andere wel moeten aannemen. Je "moet" niet thuis werken, en als je wel wil maar de middelen niet krijg is dat geen vrijbrief om ze toch maar te stelen.
Je kunt natuurlijk ook een alternatief gebruiken waarvoor je geen lincenties hoeft te betalen of waar een thuis kopie wel legaal mag worden gemaakt.
Frans.
Je iemand z'n autoruit er mee inslaan en zijn auto jatten
Ook kan je er een huis mee bouwen.
my 2 cents,
bl33p
ze zitten bom vol met bug's, zoals Windows 2003 Server en IBM Lotus Notes en dat is ook
hun doel. Soms treffen we een echt versie aan van IBM lotus Notes die schijnd gewoon zijn
gekopieerd, vind je het gek, mensen moet ook thuis werk doen! Maar dan heb je geen recht op
updates. Kan jij duizende euro's besteden aan software?
Met computers is niets leukers dan dingen tedoen die illegaal zijn!
Dat is geen vrijbrief om het dan maar te kraken. dan moet je bij je werkgever vragen om de middelen hiertoe te verschaffen. Dit kan dmv bijv vpn/webmail of door het voorzien van een laptop/software van het bedrijf.
Kan jij duizende euro's besteden aan software?
Ik kan ook geen ferrari rijden, moet ik hem dan maar stelen? zo werkt het niet.
Ook zou ik je willen vragen om je tekst even 1 keer door te lezen voor het posten. Het is echt met moeite te ontcijferen als je zelf harde enters er in ramt en het zo opsomt.
Je iemand z'n autoruit er mee inslaan en zijn auto jatten
Ook kan je er een huis mee bouwen.
my 2 cents,
bl33p
Het primaire doel van een hamer is niet om een ruit in te slaan en de auto te stelen.
Het primaire doel van een hacking tool (zoals de naam al suggereerd) is WEL het hacken van iets
Straks loop je - als echte! ict-expert - het risicio op een gedwongen hersenoperatie, om te voorkomen dat je teveel verstand krijgt. hebt houd van alles wat met ict te maken heeft :-)
Want daar gaat het om... Big Brother is als de dood dat je ECHT kunt AANTONEN wat er werkelijk op je pc / internet gebeurd. Daarom word de kwaliteit van het (ict-)onderwijs bewust naar de klote geholpen, zodat er alleen nog maar mensen opgeleid worden die "net genoeg verstand hebben" om het juiste knopje in te drukken bij het juiste scenario.
Echte die-hard ict-kennis word steeds meer geconcentreerd en "encapsulated" in ready-to-use wrappers, objects and classes, waarvan alleen de fabrikant zelf nog weet hoe het echt werkt.
Ik wil graag wat meer leren over hoe dat gaat, dus ik heb wat tools gedownload en ik ben ook zelf scriptjes gaan maken
Ik zou zeggen, ga vooral DOOR en leer ZELF wat JIJ wilt weten over ons mooie vakgebied en VERSPREID JE GEVONDEN KENNIS zolang je andere mensen en eigendommen geen schade aanbrengt...
Hacking? == The only right way to learn ICT!
http://en.wikipedia.org/wiki/Hackers:_Heroes_of_the_Computer_Revolution
Het is allemaal straftbaar, net zo straftbaar als je een hacktool gebruikt, of als je bijvoorbeeld met een bijl de ferrari van je buurman vernield uit jaloezie ,omdat je zelf er geen een kan bemachtigen! Ik weet dat het geen vrijbrief is om maar te gaan kraken,stelen, vernielen, inbreken, maar toch weet ik dat een echt hacker er veel plezier aan heeft, en je moet het ook zien als een soort sport. Het hack in beveiliging van windows, het cracken van Windows product activation geeft hun een voldoening om iets tebewijzen, iets tekunnen, een voldoening succes hebben , het mag dan best straftbaar wezen in de wet, maar daar heb ik geen boodschap aan. Ik vind als je het voor eigendoeleind gebruikt het geen kwaad kan, maar wanneer je de code online gaat zetten dan doe je Microsoft veel schaden toe. Meest mensen moet dan ook een hekel hebben aan Microsoft dat ze de code gaan code publiceren. Voor de mensen op dit form die het moeilijk vind mijn conversatie te ontcijferen, mijn schijf wijzen is net zo raadsel achtig als de CIA kryptos!
Ik meen dat op vxheaven laatst een malware database stond die je kon downloaden 50 of meer Gigabite groot.
Daarin zaten volgens mij allerlei hacktools zoals backdoors, virus, trojans en dergelijke.
Zou je die mogen downloaden en gebruiken om je virusscanner mee te testen?
Ten tweede vraag ik me af hoe justitie wil aantonen, dat je malware wil of gaat inzetten voor hacking (cracking)
dan wel te verstaan.
Arnoud stapt er in dit geval iets te makkelijk overheen met het "puzzelen: Voor wat betreft dat oogmerk moet aangetoond worden dat dat je bedoeling was. Maar in het strafrecht is het, afgezien van een bekentis (en zelfs dan) niet mogelijk om IN iemands hoofd te kijken.
Wat de officier en rechter dan gaan doen is kijken of dat oogmerk te construeren via "objectief" waarneembare zaken.
Als je standaard verkrijgbare software gebruikt die veelal door security bedrijven wordt gebruikt valt het wel mee.
Als je werkt voor een security bedrijf of iets in die richting studeert is wat apartige dingen op je systeem ook wel verklaarbaar (maar: wel garantenstellung).
Heb je zelfgebouwde scriptjes op je computer die duidelijk als doel hebben beveiligingen te "pentesten" en heb je er qua werk of studie niets mee van doen - begint het toch lastig te worden.
Komt er dan ook nog iets bij als een stukje bewijs dat iemand vanaf jouw ip gepoortscand of meer zou hebben (ze zijn namelijk niet zomaar bij je terecht gekomen) of hang je regelmatig in wat duisterder hoekjes van internet rond (blijkens je browserhistorie - ik noem maar iets) dan begint het toch op een bewijsbaar feit te lijken.
bottom line, zoals ook arnoud al aangeeft: wees voorzichtig, denk na voor je wat doet. Als je je rommel test doe het dan binnen je eigen netwerk - of op schriftelijk! verzoek van iemand. En let een beetje op de verspreiding van die scriptjes - niet iedereen is een toffe peer als jij en via hun bedoelingen kunnen die van jou ookk gekleurd raken
Een verbod op openbaar dronkenschap is ook alleen een excuus om mensen die heel erg vervelend doen maar die niet direct strafbare feiten plegen lekker toch mee te nemen naar bureau... Van dit soort wetgeving heb je nooit last behalve als je stoute dingen doet..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
