Juridische vraag: wanneer mag je een server hacken?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".
Vraag: Regelmatig zie ik websites opduiken met "hack challenges", waarbij je een server mag hacken. Hartstikke leuk, maar wat nu als ze een fout maken en de verkeerde server aanwijzen, of geen toestemming hebben van de server-eigenaar om die hacks te laten uitvoeren?
Antwoord: Het hacken, oftewel inbreken in een site is een vorm van computervredebreuk: opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk. Ook als je het alleen voor de fun doet of alleen om te kijken of het kan. (Een uitzondering is een journalistiek ingegeven hack, als hacken de enige manier is om een bepaalde misstand aan de kaak te stellen én je geen schade aanricht.)
Heb je toestemming van de eigenaar, dan is er geen sprake van "wederrechtelijkheid" en dus ben je dan niet strafbaar. Het is natuurlijk aan jou om te bewijzen dat je die toestemming had. Een goede hacker die zich laat inschakelen voor dergelijke tests regelt dus een schriftelijke en ondertekende waiver waarin de opdrachtgever verklaart toestemming te geven en de hacker ontslaat van aansprakelijkheid.
Een goede waiver vermeldt daarbij óók dat de opdrachtgever die toestemming mag geven en gecheckt heeft bij zijn partners en leveranciers dat het oké is. Want je zult de eerste niet zijn die wel toestemming heeft van de website-eigenaar maar niet van de datacentrum-beheerder waarin de server staat. En als de sysadmin daar een inbraakpoging detecteert en aangifte doet, heb je echt een probleem.
Is er toestemming gegeven en mocht je redelijkerwijs vertrouwen op de omvang daarvan, dan kun je de schade die je daardoor lijdt, verhalen op de opdrachtgever. Dat is immers zijn fout, en je zou hier al snel kunnen spreken van grove nalatigheid waardoor hij per definitie aansprakelijk wordt voor de schade.
Enig eigen gezond verstand is natuurlijk ook wel handig: als een vage .ws site meldt van Microsoft te zijn en oproept tot het hacken van Outlook.com dan zou ik daar niet aan meedoen.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Een goede hacker zorgt ervoor dat zijn ware IP-adres niet zichtbaar wordt.
Een goede hacker zorgt ervoor dat zijn ware IP-adres niet zichtbaar wordt.
Daar gaat het helemaal niet om als je ingehuurd wordt voor een penetratietest. In ieder geval niet in elke situatie.
Sommige lezers van dit forum kunnen op basis van informatie die terug gegeven wordt door een server al een - meestal juist - vermoeden hebben dat een bepaalde server(s) of website kwetsbaar is. Dat melden we dan ook meteen aan de eigenaar.
Dat is overigens GEEN hacken.
Soms krijgen wij of een collega dan wel toesteming om een pentest te doen. En ja: alle professionals zorgen daar voor.
Vaak wordt je echter door bedrijven juist beschuldigd van misbruik terwijl er niets aan de hand is.
Vraag aan Arnoud: mag je ze dan aansprakelijk stellen voor jouw juridische kosten?
Thaddy
Thaddy
Als je wordt aangeklaagd in een civiele procedure en je wint, dan krijg je een paar honderd euro aan vergoeding van juridische kosten. Niet de volledige rekening van je advocaat. Dus in zoverre heb je er dan nadeel van. De reputatieschade voor het bedrijf zal echter aanzienlijk zijn.
Als men alleen dreigt, en jij betaalt iemand om na te gaan hoe veel waarde het heeft, en er komt géén rechtszaak van, dan heb je geen grond om die betaling te verhalen op iemand.
Als je wordt aangeklaagd in een civiele procedure en je wint, dan krijg je een paar honderd euro aan vergoeding van juridische kosten. Niet de volledige rekening van je advocaat. Dus in zoverre heb je er dan nadeel van. De reputatieschade voor het bedrijf zal echter aanzienlijk zijn.
Als men alleen dreigt, en jij betaalt iemand om na te gaan hoe veel waarde het heeft, en er komt géén rechtszaak van, dan heb je geen grond om die betaling te verhalen op iemand.
Grappig (lees:triest). En een reden om daar iets aan te gaan doen.....
Ik was me overigens al bewust van je antwoord.
Thaddy
Een goede hacker zorgt ervoor dat zijn ware IP-adres niet zichtbaar wordt.
Een ingehuurde hacker zorgt daar juist wel voor. Zijn acties moeten door de opdrachtgever namelijk wel verifieerbaar zijn. En je wilt natuurlijk ook zeker weten dat, als er een aanval met schade plaats vindt, je aan kunt tonen dat die aanval niet van jou afkomstig is.
Je kunt wel anonimizers inschakelen, maar dat moet er dan eentje zijn waarbij je kunt bewijzen welk IP adres van jou is geweest op welke tijdstippen. En dat niemand anders dat adres op dat moment heeft kunnen gebruiken. Zaken als Tor vallen daarmee bijvoorbeeld al af.
Peter
Leg jij eens uit met al je kunde hoe je herkenbaar blijft in logs, en vooral wanneer je dat ''achteraf'' doet, en ''niet perse met een IP''.
Waarom zou je dat in hemelsnaam willen doen indien je in opdracht van de eigenaar systemen probeert te hacken om de beveiliging te testen ? De eigenaar weet vooraf wat je gaat doen, en weet ook wat het IP adres van de pentester is omdat je dat vooraf aangeeft.
Ik ben wel voorstander van jaarlijkse pentesten van websites. Liefst dat de klant gewaarschuwd moet worden, wanneer een website niet wordt gecontroleerd (via wetgeving)!
Lol, een pentest kan een volstrekt wassen neus zijn indien je dit enkel doet om te klant zoet te houden. Immers bepaal je als klant wat de scope van de pentest is, en ook wat je met de uitkomsten van een pentest doet. Immers bestaat er geen wettelijke verplichting om gevonden risico's te verhelpen, je kunt deze bijvoorbeeld ook accepteren.
Verder is een pentest niet hetzelfde als bijvoorbeeld een audit waarbij gekeken wordt of je omgeving voldoet aan wettelijke regels of industry standards (al kan een pentest onderdeel uitmaken van een audit). Het enkele gegeven dat er jaarlijks een pentest wordt uitgevoerd is op zichzelf dus niet veelzeggend.
Ik ben wel voorstander van jaarlijkse pentesten van websites. Liefst dat de klant gewaarschuwd moet worden, wanneer een website niet wordt gecontroleerd (via wetgeving)!
Uitzondering - maar heel beperkt - zijn bedrijven die een complete schaduw draaien. Dat is zo kostbaar dat het dan om een erg groot bedrijf gaat.
Pentesten gaat juist om de live omgeving, niet om de "theorie". Leer dat af. Er is wel goede theorie trouwens, gebaseerd op filosofische/mathematische principes.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
