image

Juridische vraag: Wanneer is SQL-Injection strafbaar?

woensdag 14 september 2011, 16:09 door Arnoud Engelfriet, 10 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Wanneer worden aanvallen als SQL-injectie of het gebruiken van andere ‘beginnersfoutjes’ in een website strafbaar? Mag je bijvoorbeeld proberen of een site daar gevoelig voor is, of ben je dan ook al strafbaar? Zelf lijkt het me pas terecht om strafbaar te zijn als je dingen vernielt of informatie verspreidt over de kwetsbaarheid.

Antwoord: Volgens de letter van de wet is ook profiteren van een kapitale blunder van een beveiligingsfout strafbaar. Zodra je ergens binnendringt waar je niet hoort te zijn, pleeg je computervredebreuk. Zelfs een onbeveiligd systeem 'kraken' is eigenlijk al strafbaar.

Wanneer het echter gaat om een duidelijk zichtbare fout aan een website, lijkt me er weinig mis mee om dit even te controleren, zolang je maar niet verder gaat dan nodig is om vast te stellen dat de fout er is. Zoals ik al eerder schreef, fouten verifieer je niet met een "; DROP DATABASE" commando.

Na zo'n controle behoor je het bedrijf op de hoogte te stellen zodat zij het lek kunnen repareren. Mochten ze dat niet doen, en vind je het lek nieuwswaardig, dan kun je erover publiceren. Ik adviseer altijd wel terughoudend te zijn met publicatie van concrete exploits of details waarmee anderen het lek kunnen misbruiken. Meestal zijn die niet nodig om te kunnen melden dat het lek bestaat. Een screenshot van het resultaat is in de praktijk genoeg, zeker in combinatie met eigen documentatie waaruit blijkt dat de fout er echt is.

Sommige bedrijven reageren fel op mensen die beveiligingsfouten melden: ze dreigen met rechtszaken of aangifte wegens computervredebreuk nadat iemand heeft ontdekt dat hun beveiliging niet op orde was. Het zal echter niet snel gebeuren dat iemand daadwerkelijk vervolgd wordt voor het ontdekken en rapporteren van een fout, zolang de fout niet is misbruikt en er geen schade is ontstaan.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (10)
14-09-2011, 16:28 door Anoniem
Zijn leveranciers van software/websites die gevoelig zijn voor SQL injection ook strafbaar?

Je kunt anno 2011 moeilijk stellen dat ze zich hier niet tegen kunnen beschermen, SQL injection is iets uit de vorige eeuw. Auto's mogen tegenwoordig ook niet meer worden geleverd zonder bv. autogordels of verlichting. Een digitale schandpaal is hier misschien wel op zijn plaats.
14-09-2011, 16:59 door WhizzMan
Anoniem: strafbaar zijn ze volgens mij niet. Ik zou namelijk niet weten welke wet ze daarmee zouden overtreden? Ze zijn misschien wel aansprakelijk te stellen voor vervolgschade, afhankelijk van hoe het contract met de klant in elkaar zit.
14-09-2011, 20:05 door Arnoud Engelfriet
Helaas is het nog steeds niet strafbaar om software met bugs uit te brengen. Het is zoals Whizzman aangeeft vooral een contractuele kwestie, en daarin mag je ook nog eens als leverancier je aansprakelijkheid heel ver beperken.

Er is misschien een mogelijkheid, wanneer de bug zorgt voor grote schade of overlast (niveau root nameservers platgooien of pinautomaten doen blokkeren). Het is strafbaar om door nalatigheid diensten van algemeen nut te verstoren, als daar stoornis of schade bij ontstaat (art.161septies Strafrecht http://lexius.nl/wetboek-van-strafrecht/artikel161septies). Dit is niet hetzelfde als "Windows 7 heeft een security bug", maar als ze bij SIDN een typefout in de zonefile maken waardoor heel .nl niet meer werkt dan krijgen ze met dit artikel te maken.
14-09-2011, 20:14 door Anoniem
Ik vind dat er regels moeten komen voor wat je wel en niet mag doen op het internet. Deze regels moeten dan alleen gelden als mensen er vrijwillig mee akkoord gaan. Als een provider deze regels dan niet afspreekt met de klant dan gelden ze dus niet. Op die manier krijg je een deel van het internet waar strenge regels gelden en een deel van het internet waar weinig of geen regels gelden. Het belangrijkste is dat het VRIJWILLIG is.

Voor de duidelijkheid, regels die door de overheid worden bedacht voor het internet zijn al achterhaald voordat ze opgeschreven worden. De overheid moet zich niet bemoeien met het internet.
14-09-2011, 22:21 door Anoniem
Tip uit toch wel wat hackers boeken: probeer het gewoon niet uit zonder dat je toestemming hebt.

Stel dat net door het gat dat jij gaat vinden eerder wel een hacker is bezig geweest. Jij rapporteert het netjes, bedrijf is niet zo slim en weet het verschil niet, en jij bent ineens behoorlijk wat van je tijd kwijt met bewijzen dat jij dat niet was. Was dat het 'even kijken hoor' waard?

Wil je je kennis vergroten? Gebruik dan gewoon sites waar het mag (OWASP test applicaties, die leuke 'zomergame' sites of misschien de software die je zelf hebt gebouwd :)). Of ga werken/stage lopen bij een van de bedrijven die dit soort testen doet met toestemming.

Wantrouw je een site waar je misschien je login gegevens invoert (je krijgt bijvoorbeeld bij de wachtwoord vergeten functie echt je wachtwoord gemaild i.p.v. een reset optie)? Gebruik die site dan gewoon niet.
15-09-2011, 08:33 door Anoniem
Helaas is het nog steeds niet strafbaar om software met bugs uit te brengen.
Maar is anno 2011 SQL injection nog wel een bug te noemen? Wanneer de programmacode userinput aan elkaar plakt om daar een stuk SQL van te maken zónder deze input te beveiligen, dan is hier bewust een gat in de beveiliging gemaakt. Dit is imho geen bug: SQL injection is sinds 1999 bekend en men weet al jaren hoe je dit eenvoudig kunt voorkomen. Dat er software leveranciers zijn die hier vervolgens niets mee doen, dat is toch echt hun eigen keuze. En daar zijn ze imho ook aansprakelijk voor te stellen.

Het wordt tijd om dit soort bedrijven keihard aan te pakken, ze schaden de complete software industrie.
15-09-2011, 09:34 door Anoniem
"fouten verifieer je niet met een "; DROP DATABASE" commando. "
Dit blijft mijn favoriete quote :)
15-09-2011, 14:29 door Anoniem
Dus creatief surfen met IE mag dus niet?
19-09-2011, 11:04 door Anoniem
Het blijft vreemd dat de politie wel campagnes maakt met "Tomtom kwijt? Da's stomstom" oftewel, als iemand iets uit jouw afgesloten auto jat dan ben jij een sukkel, die dief heeft groot gelijk (en dan maar mopperen op geintegreerde derde-generatie medelanders die zo'n aansporing serieus nemen, want dat schijnt dan weer niet de bedoeling te zijn. Gek, want de politie zegt het toch zelf?).

Maar als je digitaal bij iemand inbreekt om aan te tonen dat zijn beveiliging niet op orde is, en dus ook de beveiliging van de gegevens van klanten die daar bewaard worden, dan ben je wel ineens crimineel? Ook als je niks steelt of beschadigt?

Terwijl de politie zelf af en toe aan insluiping doet om bewoners erop te wijzen dat ze door in de zomer hun achterdeur open te laten, de politie onnodig veel werk bezorgen.

Het is kortom bijna strafbaar om je tomtom, fiets of huis niet bovengemiddeld te beveiligen, maar als je een website beheert waar anderen hun data op achter laten dan hoef je je daar niet druk over te maken want als iemand het gebrekkige beveiligingsniveau daarvan aantoont, is HIJ strafbaar. Ben blij dat vrouwe Justitia alles zo rechtvaardig hetzelfde weegt.
20-09-2011, 16:57 door Profeet
Ben blij dat vrouwe Justitia alles zo rechtvaardig hetzelfde weegt.
Ach wat verwacht je, die vrouw is stekeblind!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.