Achtergrond
image

Juridische vraag: is het strafbaar om exploitcode te publiceren?

woensdag 18 februari 2015, 13:44 door Arnoud Engelfriet, 10 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Vanuit een research-oogpunt zou ik graag Metasploit-modules willen publiceren voor beveiligingslekken in veelgebruikte software die al door de betreffende leveranciers zijn gepatcht. Kan dit zomaar of ben je dan strafbaar bezig?

Antwoord: Het is strafbaar om een kwetsbaarheid te exploiteren en zo binnen te dringen in een computersysteem. Dat is de computervredebreuk uit artikel 138ab Strafrecht.

Aanvullend is het strafbaar om exploits te maken, verkopen, verkrijgen, invoeren, verspreiden of anderszins beschikbaar te stellen of voorhanden te hebben (art. 139d Strafrecht). Maar niet elk stukje code dat een kwetsbaarheid gebruikt om toegang te verschaffen is een exploit in de zin van de wet.

Er gelden drie eisen:

  1. het moet gaan om een technisch hulpmiddel, het moet dus iets 'doen'. Een uitleg in gewoon Nederlands valt hier waarschijnlijk niet onder, hoewel in de context van betaaltelevisie kraken een stappenplan in een tijdschrift wél als 'voorwerp' strafbaar was.
  2. met het hulpmiddel moet je computervredebreuk kunnen plegen. Een exploit die alleen maar méldt dat er een kwetsbaarheid is, zonder daadwerkelijk binnendringen te faciliteren, is dus niet strafbaar.
  3. het hulpmiddel moet "hoofdzakelijk geschikt gemaakt of ontworpen" zijn daarvoor. Een tool die toevallig en ondergeschikt ook gebruikt kan worden voor computervredebreuk, is dus niet strafbaar.

    4. De discussie zal vooral gaan over punt 3. Wanneer is iets "hoofdzakelijk geschikt of ontworpen" voor een misdrijf?

    Die grens ligt denk ik bij de uitstraling. Sommige tools zijn duidelijk bedoeld als serieuze tools voor security onderzoekers, andere tools zijn duidelijk 'hacktools' met de bekende groene letters op zwarte achtergrond en verlokkingen dat je iedereen hiermee kunt h4xoren. De wet is bedoeld voor het laatste.

    De grens hiertussen is natuurlijk vaag, maar dat is een juridische feature. Het zal dus afhangen van hoe de tool wordt gepresenteerd en wat de uitgever ervan zegt in zijn aankondiging en reclame voor de tool. "Nu snel iemands MSN/Hotmail kraken" of "Onderzoek of uw bedrijfsdata nog wel veilig is" maakt voor mij veel verschil.

    De site van Metasploit ziet er voor mij best serieus uit, en is duidelijk geschreven voor professionals die hun eigen netwerk willen beschermen. Daarom denk ik niet dat een Metasploit-module snel als "hulpmiddel hoofdzakelijk geschikt gemaakt of ontworpen voor computervredebreuk" wordt gezien.

    Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (10)
18-02-2015, 14:56 door Anoniem
Maakt het hierbij nog uit dat een module voor Metasploit geen op zichzelf staande tool is, maar enkel gebruikt kan worden binnen een bestaande tool?
18-02-2015, 17:56 door johanw
Door Anoniem: Maakt het hierbij nog uit dat een module voor Metasploit geen op zichzelf staande tool is, maar enkel gebruikt kan worden binnen een bestaande tool?
Dat lijkt me niet, anders is de verdediging natuurlijk "nee, deze tool staat niet op zichzelf - hij is niet bruikbaar zonder C compiler, .net libraries, libc, etc. etc.".
18-02-2015, 21:50 door Eric-Jan H te D
Daarnaast is het bijna onmogelijk om een exploit uit te leggen zonder de omliggende kwetsbare code die door een producent is gefabriceerd te openbaren. Deze code is waarschijnlijk voorwerp van patenten/auteursrecht. En dat geeft zo zijn eigen problemen.
19-02-2015, 15:11 door Arnoud Engelfriet
@Anoniem 14:56 Dat maakt niet direct uit (zoals johanw al zegt), maar het kan bijdragen aan de uitstraling waarpunt 3 over gaat. Immers een module in een legitieme tool zal ook wel legitiem zijn, en een module in een hax0r-tool zal ook wel bedoeld zijn om in te breken. Zeg maar zoals een bivakmuts in een koffer met wintersportartikelen legaal is en een bivakmuts in een auto naast een breekijzer ineens dubieus wordt.

@Eric-Jan te A: Dat denk ik niet, ik zou daar wel een beroep op citaatrecht zien. Je moet immers kunnen aangeven wat een kwetsbaarheid is, dat belang kan opwegen tegen het belang van auteursrecht.
19-02-2015, 16:56 door Anoniem
Is de wetgeving in België op dit gebied hetzelfde ? Zoja, sinds welk jaar. Ik heb 10 tal jaar wel meerdere exploits publiek gemaakt. Wil niet achtervolgd worden door oude koeien.
20-02-2015, 11:38 door Spion
Door Anoniem: Is de wetgeving in België op dit gebied hetzelfde ? Zoja, sinds welk jaar. Ik heb 10 tal jaar wel meerdere exploits publiek gemaakt. Wil niet achtervolgd worden door oude koeien.
Dan moet je zeker hier niet gaan noemen dat je de afgelopen 10 jaar exploits de wereld in hebt geholpen :)
22-02-2015, 19:04 door Anoniem
Door Spion:
Door Anoniem: Is de wetgeving in België op dit gebied hetzelfde ? Zoja, sinds welk jaar. Ik heb 10 tal jaar wel meerdere exploits publiek gemaakt. Wil niet achtervolgd worden door oude koeien.
Dan moet je zeker hier niet gaan noemen dat je de afgelopen 10 jaar exploits de wereld in hebt geholpen :)

In de meeste dinge staat gewoon mijn email dus zo moeilijk hebbek ze het ni gemaakt...
23-02-2015, 10:12 door Anoniem
Kun je de modules niet gewoon doneren aan de maker van Metasploit, Rapid7?
Dan wordt het door Rapid7 gepubliceerd en niet door jou persoonlijk.
Wellicht dat dit jou vrijwaart?
23-02-2015, 11:46 door Michiel T
Het is strafbaar om een kwetsbaarheid te exploiteren en zo binnen te dringen in een computersysteem

Dat lijkt me een beetje kort door de bocht. Dat zou betekenen dat ik strafbaar ben wanneer ik een kwetsbaarheid misbruik in een door mijzelf beheerd computersysteem of die van een client die daar expliciet toestemming voor heeft gegeven.

Bij de definitie van Huisvredebreuk wordt dit onderscheid veel duidelijker gemaakt: "...de woning of het besloten lokaal of erf, bij een ander in gebruik, wederrechtelijk binnendringt...".

Het zou de bescherming van Nederlandse security onderzoekers ten goede komen wanneer dit onderscheid ook bij computervredebreuk concreet gemaakt word.

Overigens gebruik ik "misbruik" als vertaling voor het engelse "exploit". Het nederlandse woord "exploiteren" heeft een andere betekenis:
een zaak of bezit (van een ander) zó beheren dat je er geld mee verdient
Voorbeelden: `de kantine van de tennisclub exploiteren`, `een kolenmijn exploiteren`
24-02-2015, 20:48 door x0L0x - Bijgewerkt: 24-02-2015, 20:59
Een beetje offtopic:
anvullend is het strafbaar om exploits te maken, verkopen, verkrijgen, invoeren, verspreiden of anderszins beschikbaar te stellen of voorhanden te hebben (art. 139d Strafrecht).

Mag ik daarop uitmaken dat het hebben van een Linux distro als Kali of NetHunter per definitie al strafbaar is in Nederland?
Naar mijn inzicht maakt deze aanspraak op alle 3 de genoemde punten.

Of gaat hier juridisch gezien de vergelijking op met een keukenmes?
Deze kan ik kopen om mijn stukje biefstuk mee te snijden, of de buurman.
Pas als er een dreiging van uit gaat is het strafbaar.

Edit: Ik begrijp dat Kali gepresenteerd wordt als een penetratie test set of tools.
Nu heb ik nog niet met NetHunter gewerkt, maar daar zie ik weinig 'testen' bij als hij wordt gepresenteerd als een fysieke MitM tool.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure