Achtergrond
image

Juridische vraag: Is verkoop beveiligingslekken illegaal?

woensdag 23 februari 2011, 00:14 door Arnoud Engelfriet, 7 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: De laatste tijd lijken er weer meer 0day lekken in software te worden misbruikt. Nu is het natuurlijk verboden om misbruik te maken van lekken in software, dat is duidelijk. Maar is het ook illegaal om lekken in software van anderen door te verkopen? En hangt dat dan af van je intenties, of is het altijd verboden ook als je bijvoorbeeld beveiligingsonderzoeker bent en je collega's wilt informeren?

Antwoord: Lekken in software gebruiken om binnen te dringen in de computers waar het op draait, is al heel snel computervredebreuk. Ook als je "alleen maar" een privilege-escalatie doet of een bestand leest waar je eigenlijk niet bij mag komen. Op computervredebreuk staat een straf van maximaal 1 jaar cel of geldboete van 16.750 euro (art. 138ab lid 1 Strafrecht). Wie na het opzettelijk en wederrechtelijk binnendringen ook nog eens gegevens kopieert, kan een straf van maximaal vier jaar cel (of boete tot 16.750 euro) verwachten (art. 138ab lid 2 Strafrecht). Idem voor gebruik van een computer als "springplank" naar een ander systeem (art. 138ab lid 3 Strafrecht).

Voor computervredebreuk worden meestal speciale "hack"-programma's gebruikt. Het maken, vervaardigen, verkopen, verwerven, invoeren, verspreiden of anderszins ter beschikking stellen of voorhanden hebben van dergelijke software is op zich ook een strafbaar feit (art. 139d lid 2 onder a Strafrecht). De wet hanteert daarbij als criterium dat de software "hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen" van computervredebreuk. Netcat of een hex editor zou je kunnen gebruiken om in te breken maar daar zijn ze niet speciaal voor gemaakt, dus die vallen er niet onder. Een trojan die een rootkit installeert valt er wel onder, want een rootkit heeft hoofdzakelijk maar één doel en dat is inbreken.

De wet eist wel dat jij de software ter beschikking stelt of voorhanden hebt met het oogmerk dat daarmee computervredebreuk wordt gepleegd. Ben je bezig met security-onderzoek en deel je hacks of cracks met collega's, dan heb je niet het oogmerk dat daarmee ingebroken wordt. Je valt dan buiten het wettelijk verbod. Ook twijfel ik of informatie over een lek - dus zonder concrete exploit erbij - onder dit wetsartikel valt. De mededeling dat Windows op plek X een buffer overflow heeft, lijkt me nog geen technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is om die overflow te exploiteren. Aan de andere kant, voor dergelijke fouten zijn standaard exploits beschikbaar zodat je in triviale tijd die plek X kunt misbruiken, dus heel zeker ben ik niet. Persoonlijk zou ik er vanuit gaan van wel, en dus informatie over lekken hetzelfde behandelen als (demo-)exploits. Uit alles moet duidelijk zijn dat je niet wilt dat mensen gaan inbreken met behulp van die informatie of exploits.

Op zich maakt het daarbij niet uit of je je laat betalen voor het delen van informatie. Soms staat in de wet specifiek "uit winstbejag voorhanden hebben", maar hier niet. Ik denk alleen wel dat áls je geld vraagt voor cracks of informatie over zero-day lekken, daaruit eerder een crimineel oogmerk kan worden afgeleid. Als je geld wil verdienen met lekken of cracks dan doe je dat meestal door die aan criminelen te verkopen. Natuurlijk zullen er ook mensen zijn die legitiem handelen in cracks maar je hebt in ieder geval de schijn flink tegen.

(Oh ja, iedereen die nog "138a" in zijn boeken of aantekeningen heeft staan: dat artikel is hernummerd tot 138ab want op plek 138a zit nu het kraakverbod. Van woningen dus.)

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (7)
23-02-2011, 07:22 door Syzygy
Grijs gebied inderdaad.

Je verkoopt eigenlijk alleen maar kennis (het bewustzijn van het bestaan van een lek), niet eens een tool.
De koper moet dan maar zien hoe en of hij er daadwerkelijk via dat lek iets mee kan doen.
Ik denk dat justitie nog een aardige kluif zal hebben om dat tegen je te gebruiken.
23-02-2011, 09:02 door Anoniem
Kan het ook nog uitmaken "hoe" je de informatie verkoopt?

Het lijkt me dat wanneer je in opdracht onderzoek verricht, je uiteraard betaald wordt voor je werkzaamheden en bevindingen.

Ook kan ik me goed voorstellen dat een vergoeding redelijk is wanneer je op een bug stuit en deze vervolgens in overeenstemming met de maker van de software onderzoekt.

Contact opnemen met een software producent en aangeven dat je info hebt met betrekking tot een exploiteerbare bug en deze informatie enkel af wil geven tegen betaling is daarentegen op z'n minst dubieus. Laat je impliciet dan wel expliciet merken dat deze informatie uit zal lekken wanneer deze niet "gekocht" wordt, dan heeft het toch wel veel weg van chantage.

Ook wanneer de te betalen vergoeding niet in overeenstemming is met de geleverde inspanning lijkt het wel wat op afpersing. Het bijhouden van een goede urenregistratie en logboek kan je als onderzoeker helpen ter verdediging van de redelijkheid van een vergoeding (mits deze uiteraard redelijk is, wat volgens mij lang niet altijd het geval is in de praktijk).

Tot slot blijft het een beetje dubieus dat je zonder opdracht of een aanleiding anders dan winstbejag software van een ander gaat analyseren. Als je vervolgens exorbitante vergoedingen gaat vragen voor je bevindingen dan ben je in ieder geval moreel gezien corrupt bezig en verdien je mijn inziens niet ander dan nat te gaan.
23-02-2011, 11:46 door Anoniem
"Ook twijfel ik of informatie over een lek - dus zonder concrete exploit erbij - onder dit wetsartikel valt."

Ik denk dat de vraag aan wie je deze informatie verkoopt ook een belangrijke rol zal spelen. Indien je dit verkoopt aan een bonafide club die met informatiebeveiliging bezig is, dan zal het heel anders beoordeeld worden, dan wanneer je dit verkoopt aan personen die zich schuldig maken aan georganiseerde misdaad. Welke intentie heeft de klant, en kan er verondersteld worden dat jij van deze intenties op de hoogte bent.
23-02-2011, 11:47 door Anoniem
Er is een overduidelijke legale markt voor beveiligingslekken, kijk bijv maar op www.zerodayinitiative.com Hierbij koopt een beveiligingsbedrijf de lekken op en geeft ze door aan de maker van de software. Het doel van het bedrijf is hierbij om bescherming te kunnen bieden voor het lek nog voor dat de maker een update vrijgeeft. Het lijkt mij heel vreemd als deze markt illegaal is, aangezien hij door bekende bedrijven en mensen gerund wordt.
23-02-2011, 20:11 door Anoniem
Door Anoniem: Er is een overduidelijke legale markt voor beveiligingslekken, kijk bijv maar op www.zerodayinitiative.com Hierbij koopt een beveiligingsbedrijf de lekken op en geeft ze door aan de maker van de software. Het doel van het bedrijf is hierbij om bescherming te kunnen bieden voor het lek nog voor dat de maker een update vrijgeeft. Het lijkt mij heel vreemd als deze markt illegaal is, aangezien hij door bekende bedrijven en mensen gerund wordt.


Mwah; bekende bedrijven is geen garantie voor legale activiteiten. Enron? Of dichter bij huis, Bright IT, Landis? Bouwfonds? Dat opsporing te moeilijk is dan wel te weinig succeskansen biedt, en dus achterwege blijft, maakt iets niet legaal.

Maar goed, een exploit verkopen kan niet illegaal zijn, net als de hack tools zelf, de intenties zijn illegaal, waar de wetgever zich als zedenmeester opstelt. Arnout - hoe bewijs je intenties?
24-02-2011, 14:17 door Dev_Null
Maar goed, een exploit verkopen kan niet illegaal zijn, net als de hack tools zelf, de intenties zijn illegaal, waar de wetgever zich als zedenmeester opstelt. Arnout - hoe bewijs je intenties?

Via een Functional-MRI geplaatst op je hoofd tijdens je verhoor (aka brainscanner) of op afstand via FAST Technology

FMRI:
http://www.fmri.org/fmri.htm
http://health.howstuffworks.com/medicine/tests-treatment/fmri.htm

FAST Brainscanner:
http://www.guardian.co.uk/science/2007/feb/09/neuroscience.ethicsofscience

FAST Technology - Homeland Security - USA
"US Homeland Security FAST Becoming Thought Police"
http://www.markstechnologynews.com/2008/09/us-homeland-security-fast-becoming.html

"Homeland Security Detects Terrorist Threats by Reading Your Mind"
http://www.foxnews.com/story/0,2933,426485,00.html

"New FAST Airport Security Screening Technology: Innovative or Invasive?"
http://www.petergreenberg.com/2009/10/07/new-fast-airport-security-screening-technology-innovative-or-invasive/

Dit is nog maar het topje van de technologische ijsberg wat het "domme" publiek mag weten.....
25-02-2011, 11:58 door Anoniem
Ik vind dat beveiligingslekken wel bekent moet gemaakt worden. Als er een lekt zit in de software, en Microsoft deze niet zou willen dichten,en jij de enigst bent die over het lek weet. Dan zou je beveiliging bedrijf kunnen tippen over zo lek, voor niets gaat de zon op,dus als iemand er geld voor wil geven, dan is dat mooi mee genomen! Als het lek niet zou gedicht worden , dan gaat vast sony of een ander bedrijf stiekem gebruik maken van zo'n lek, en dan stelen ze data van jou pc, door gebruik maak met zo flash bug.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure