image

Juridische vraag: is het neerzetten van een honeypot strafbaar?

woensdag 14 oktober 2015, 13:55 door Arnoud Engelfriet, 6 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Een recente trend in IT is offensieve defensie. Niet terughacken, maar actief je verdediging versterken. Denk aan het plaatsen van honey-tokens, het gebruik van honeypots en het bewust lekken van valse inloggevens om deze te volgen. Wat zegt de wet hierover?

Antwoord: In principe is het toegestaan om jezelf te verdedigen tegen inbrekers zoals je dat wilt. Er zijn twee belangrijke aspecten om rekening mee te houden.

Allereerst ga je met dergelijke tools het grijs gebied in dat uitlokking heet. Uitlokken van misdrijven is strafbaar: artikel 47 lid 1 Wetboek van Strafrecht verbiedt het opzettelijk uitlokken van strafbare feiten "door giften, beloften, misbruik van gezag, geweld, bedreiging, of misleiding of door het verschaffen van gelegenheid, middelen of inlichtingen".

Kort gezegd komt het erop neer dat je mensen moet aanzetten om iets te doen dat ze niet al zelf van plan waren. In 2008 oordeelde de Hoge Raad dat het toegestaan is om een lokfiets te plaatsen op een plek waar fietsendieven actief zijn. De lokfiets stond niet op slot, maar dat was onvoldoende om van uitlokken te spreken. Had een agent de dief aangesproken en gezegd "op de hoek staat een rode fiets zonder slot, die kun je zo meenemen" dan zou het wel uitlokking zijn geweest.

Bij een honeypot of honey-token kun je niet automatisch spreken van "mensen op andere gedachten brengen", tenzij je op crackerfora gaat promoten dat die informatie of computer makkelijk te stelen is. Het posten van valse logingegevens is wél uitlokking; je wilt dan immers dat mensen die gaan gebruiken/misbruiken om bij jou in te breken.

Ten tweede loop je tegen de wet bescherming persoonsgegevens aan wanneer je tracking gaat inzetten. Je verkrijgt dan gegevens over mensen, en dat mag niet zomaar. Ook al zijn het inbrekers, je moet nog steeds kunnen rechtvaardigen welke gegevens je verzamelt en met welk (legitiem) doel. In principe is loggen van inbraakpogingen en -activiteiten legaal, maar wel moet je duidelijk kunnen maken wat je met die logs wilt gaan doen.

De inzet van honey-tokens kan vanuit dit perspectief problematisch worden als je daarmee vervolgens monitort wat men ermee doet. Vraag jezelf dus goed af wat je echt wil bereiken met dergelijke tools, leg dat vast in beleid of een privacydocument en zorg dat je geen dingen meet of doet die daarbuiten komen.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (6)
14-10-2015, 16:46 door Anoniem
Honeypots zijn in principe niet offensief. Honeypots registreren aanvallen, die voor het grootste deel geautomatiseerd dus niet doelgericht zijn. Honeytokens vind ik een onzinwoord, men bedoelt er bait mee, bijvoorbeeld spam trap adressen.

Daar is weinig mis mee.

Ik kan me wel gevallen herinneren waar er wel een grens is. Vroeger (met name tussen 2000 en 2004) was er veel open share malware. Dergelijke malware probeert zich via open shares te verspreiden, meestal vanaf Windows 9x computers. Omdat de share van de aanvaller open staat kun je dus contact maken en de malware bestanden downloaden. Er was destijds honeypot software die dat ook deed. Over de legitimiteit kun je discussieren. Je kunt zeggen dat de share openstaat voor iedereen, maar dit mogelijk niet de bedoeling was, aan de andere kant wordt je wel aangevallen en het kopieren van de malware dient een goed doel (malwaredetectie) en er wordt geen schade toegebracht.
15-10-2015, 11:01 door [Account Verwijderd]
[Verwijderd]
15-10-2015, 15:27 door Anoniem
Is dit in de catogorie: geheim.docx sharen via p2p?
En dan in die docx een (hidden) link opnemen naar aivd.nl?

Ik vind het lastig. Een auto niet op slot zetten en laten staan, mensen gaan daarin kijken naar identiteitszaken om e.e.a. te melden. Is dat kijken al strafbaar? Je moet toch echt in de auto om e.e.a. te vinden. (Tuurlijk kan dit op kenteken).
15-10-2015, 17:31 door MrRight
Wat is een honeypot?
Een apart systeem dat e.e.a. neerzet alsof het echt is?
of een draaiend systeem wat info bevat wat interessant is?
Ik heb interessante info: dus ik ben een honeypot?
16-10-2015, 09:24 door spatieman
ik vind het recht systeem zo krom als maar wat, een (digitale) inbreker heeft meer rechten als de (digitale) burger.
16-10-2015, 10:33 door Anoniem
Door Anoniem: Is dit in de catogorie: geheim.docx sharen via p2p?
En dan in die docx een (hidden) link opnemen naar aivd.nl?

Ik vind het lastig. Een auto niet op slot zetten en laten staan, mensen gaan daarin kijken naar identiteitszaken om e.e.a. te melden. Is dat kijken al strafbaar? Je moet toch echt in de auto om e.e.a. te vinden. (Tuurlijk kan dit op kenteken).

Het is niet jouw bevoegdheid om in een auto te gaan snuffelen. Als je iets wilt doen kun je het bij 0900-8844 melden
met vermelding van locatie en omschrijving van de auto.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.