Een computer die niet beveiligd is? geld dit ook voor security bugs? Dan geld het practisch voor elke pc die je kan vinden. (De uitzonderingen bij de lezers van deze site die natuurlijk hun zaakjes goed op orde hebben ; )

De politie (overheid) dient zich precies aan de wet te houden zoals dat voor elke individuele Nederlander het geval is. Zo mogen zij bijvoorbeeld ook geen meineed plegen, etcetera.

De politie mag dus onbeveiligde computers betreden, omdat de wet dat immers niet verbiedt.

Zie Wetboek van Strafrecht, Titel 5, Artikel 138a, waarbij wanneer uitsluitend `enige beveiliging' wordt doorbroken, sprake kan zijn van computervredebreuk. In princiepe staat het dus elke Nederlander, dus logischerwijs ook de politie, vrij een onbeveiligde computer te betreden:

Art. 138a.

1. Met gevangenisstraf van ten hoogste zes maanden of geldboete van de derde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk wederrechtelijk binnendringt in een geautomatiseerd werk voor de opslag of verwerking van gegevens, of in een deel daarvan, indien hij:

a. daarbij enige beveiliging doorbreekt of

b. de toegang verwerft door een technische ingreep, met behulp van valse signalen of een valse sleutel dan wel door het aannemen van een valse hoedanigheid.

2. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen in een geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, overneemt en voor zichzelf of een ander vastlegt.

3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk gepleegd door tussenkomst van de telecommunicatie-infrastructuur of van een telecommunicatie-inrichting die wordt aangewend voor dienstverlening aan het publiek, indien de dader vervolgens

a. met het oogmerk zich wederrechtelijk te bevoordelen gebruik maakt van verwerkingscapaciteit van een geautomatiseerd werk;

b. door tussenkomst van het geautomatiseerd werk waarin hij is binnengedrongen de toegang verwerft tot het geautomatiseerd werk van een derde.

Bron: http://www.win.tue.nl/~aeb/jura/Strafrecht/Wetboek_van_Strafrecht/boek_2/titel_5.html

Waar meteen dus ook uit volgt dat "hacken" in in de hoedanigheid van creatief surfen ook niet strafbaar kan zijn. Een onbeveiligde directory op een server is dus vogelvrij!

Inderdaad: er wordt dan immers geen enkele beveiliging doorbroken.

Tenzij wordt vastgesteld dat tijdens het "creatief surfen" toegang is verkregen met behulp van valse signalen of een valse sleutel dan wel door het aannemen van een valse hoedanigheid. Dan is er wèl sprake van het doorbreken van enige beveiliging, want: waarvoor zouden dan anders de valse signalen en/of valse sleutel en/of valse hoedanigheid voor nodig zijn geweest?

Let overigens op het essentiële woord (nuance detail) 'met' in lid b: ,,de toegang verwerft door een technische ingreep, met behulp van valse signalen of een valse sleutel dan wel door het aannemen van een valse hoedanigheid.''

Dat wil zeggen dat men eventueel een technische ingreep mag toepassen om toegang te verkrijgen, mits mede gelet op lid a, niet enige beveiliging wordt doorbroken en géén valse signalen/sleutel/hoedanigheid worden gebruikt.

Kan iemand hier niet een soort resume van maken met wat wel en wat niet mag?

Wetboek van Strafrecht, Titel 5, Artikel 138a is helder duidelijk hoor: het staat precies toe wat het toe moet staan en verbiedt al het overige.

Stelling:
Indien 138a, punt 1 lid a anders was geweest, bijvoorbeeld ``a. daarbij enige of geen beveiliging doorbreekt of...'' zou dat betekenen dat het bezoeken van deze site danwel enige andere site strafbaar zou zijn! Dat kan dus niet, zal helder duidelijk wezen, vandaar de Wet expliciet in de betekenis van strafbaarheid spreekt over het doorbreken van enige beveiliging waarbij men al of niet de toegang verwerft door een technische ingreep, met behulp van valse signalen of een valse sleutel dan wel door het aannemen van een valse hoedanigheid.

De wet is het resume zelve.

Voornoemd artikel geldt zowiezo initieel voor elke Nederlander maar kan ik mij voorstellen (dat heb ik nog niet nagezocht) dat opsporingsinstanties additioneel een aantal mogelijkheden erbij zouden kunnen hebben.

Niets om je zorgen over te maken.

Als men daarmee gevaarlijke griezels legitiem van de straat af kan halen zijn ze gezegend.

Mooie uitleg, maar dit betekend dus dat als een server een configuratie fout heeft zoals Micrsoft SQL server destijds (en vast nog steeds bij bedrijven die gewoon de cd installeren en geen updates) en standaard de database openzet met het default password dat de politie er zo maar in mag en de database als bewijs mag gebruiken! Immers in de standaard installatie staat de beveiliging uit! (Ookal is dit een ontwerpfout van Microsoft)

Kortom hoe zit het met ontwerpfouten in software die dingen wagenwijd openzetten en waarvoor geen enkele beveileging doorbroken hoeft te worden of identiteit worden vervalst?

Op Artikel 138a kan je in dat geval niet beroepen, immers geef je zelf al aan: waarvoor geen enkele beveiliging doorbroken hoeft te worden of identiteit worden vervalst?

Alle Nederlanders (dus ook politie) hebben dan in weze legitiem toegang tot die computer voor/middels/via de betreffende software met de ontwerpfouten.

De wet maakt immers geen onderscheid in type software of configuraties, dat niet relevant is.
Relevant is of legitiem toegang is verkregen. Wanneer een derde niet enige beveiliging doorbreekt of de toegang verwerft door een technische ingreep, niet met behulp van valse signalen of een valse sleutel dan wel door het aannemen van een valse hoedanigheid dan heeft hij/zij legitiem toegang.

Ik denk dat laatste, in de zin dat wanneer enige beveiliging dat uitfilterd artikel 138a van toepassing is.

Portscans zijn overigens nimmer verboden geweest, dat kan ook niet omdat internet niet zonder kan functioneren. De enigen die daar panisch op reageren (terwijl zij beter moeten weten), zijn ISP's - welke de reactie van de gemiddelde onwetende gebruiker imiteren bij het lezen van de logs van 'my first firewall'.

Theoretisch zou je inderdaad je eigen systemen niet mogen cracken, maar omdat je dan in deze tegerlijkertijd 'dader' alsmede 'benadeelde' bent heft dat elkander op, lijkt me. De Wet gaat doorgaans uit van strafbaarheid van benadeling van een andere entiteit.

Eigenlijk is het nog veel eenvoudiger. Als we even terug kijken naar de geciteerde wetsartikelen dan zien we de term "wederrechtelijk" staan. Dit betekent zoveel als zonder toestemming / ongeautoriseerd. Op het eigen systeem heb je altijd toestemming.

Ik vraag me overigens af of het rondsnuffelen op een onbeveiligde computer inderdaad legaal is, of zou moeten zijn. Het binnentreden van een huis (zonder expliciete toestemming), omdat de deur toevallig niet op slot zit, heet volgens mij 'insluipen' en is dus niet toegestaan.
Als men vervolgens gaat rondsnuffelen in kasten en laden dan is dat inbreuk op de privacy en huisvredebreuk.
De politie moet hiervoor een huiszoekingsbevel hebben (op een aantal uitzonderingen na).
Lijkt mij dat hetzelfde voor een computersysteem geldt, of zou moeten gelden.
Tijd om de wet weer eens aan te scherpen.

Als je inlogt met een default account en password neem je waarschijnlijk een valse identiteit aan, je bent tenslotte niet de admin van het systeem, terwijl je wel met een dergelijke account inlogt.

Dat kan niet: het zou je dan niet zijn toegestaan bijvoorbeeld deze website te bezoeken, laat staan deze te mogen 'besurfen'. Anders dan met een huis, geef je met een computer toestemming voor dat deel in te mogen zien door deze voor de buitenwereld open en zonder enige beveiliging vrij toegankelijk te maken.

Dan zou je in jurisprudentie moeten zoeken of ergens expliciet staat of Justitie ook een dergelijke mening is toegedaan.

Een default account is algemeen van aard, in vrij vertaald Nederlands: ``standaard account'', is aan niemand toegewezen en geeft derhalve geen (specifieke) identiteit aan.
Het doel van zulks standaard account is toepassingsafhankelijk, waar de Wet geen uitspraak over doet.

Wij zijn van mening dat met een default account geen enkele vorm van beveiliging wordt doorbroken en daaruit voortvloeiend dus geen sprake kan zijn van valse signalen, valse sleutel noch van een valse hoedanigheid.

Eindelijk eens een discussie met inhoud :-)

Erg interessant allemaal.

Er is hier een uitzondering op. Het raden van een wachtwoord (meerdere pogingen om een default account te raden) kan wel degelijk weer leiden tot het doorbreken van een beveiliging. De standaard account moet dus wel in 1 keer goed geraden worden.

Dat is inderdaad logisch. Met meer pogingen tot raden van het account/wachtwoord wordt het dubieus. (men is dan aan het cracken)

Het idee van beveiliging door middel van een wachtwoord gaat er van uit dat degene die toegang tot een systeem hebben het wachtwoord op eerlijke wijze hebben verkregen. Iedereen die het wachtwoord niet weet doorbreek de beveiliging door te trachten het te weten te komen

Precies, bedankt voor de aanvulling, want wanneer men tracht te weten te komen met welk wachtwoord toegang kan worden verkregen (de beveiliging kan worden doorbroken) moeten verscheidene pogingen daartoe worden ondernomen (men doet dan een poging tot cracken). Dergelijke meervoudige pogingen het wachtwoord te raden tonen vrijwel onomstotelijk aan dat de betreffende cracker het wachtwoord niet op eerbiedige wijze heeft verkregen, en dus strafbaar is.

Te meer pogingen worden ondernomen, des te meer aangenomen kan worden dat het om een strafbare crack-poging gaat. Immers, kan iemand die op eerbiedige wijze te toegangsgegevens heeft verkregen een tikfout hebben gemaakt waardoor een additionele poging is benodigd. >=1<=3 pogingen zouden om die reden legitiem van aard kunnen zijn.

Het is raadzaam om in deze zoveel mogelijk te loggen/auditen dat, bij eventuele onrechtmatige pogingen door een derde, als bewijs kan worden voorgedragen.

Tja, met automatisering zit je met enkele problemen indien je insluiping strafbaar wilt maken. Privaatrechtelijk (op persoonlijke titel) heb je in dat geval geen materiele schade indien iemand alleen rondgekeken heeft. Publiekrechtelijk (strafrechtelijk) zou iemand wellicht te vervolgen zijn op een van de volgende punten:
- er is schade aangericht (verwijdering / wijziging / manipulatie e.d.) of
- de gegevens zijn gekopieerd of
- de gegevens zijn anderzijds verveelvoudigd of
- de gegevens zijn openbaar gemaakt (WvSr 273 lid 1 sub1)
Een andere aanknopingspunt kan zijn:
- afpersing / afdreiging (WvSr 317/318)

Wellicht zou je kunnen proberen om na insluiping (indien aantoonbaar) poging tot een strafbaar feit te kunnen gebruiken, maar hier is eenvoudig over te discuseren aangezien dit onomstotelijk te bewijzen moet zijn.

Conclusie is dat het erg lastig is om strafbaar te maken dat iemand aan insluiping op een computer systeem gedaan heeft, indien deze geen sporen achter laat. Je kunt jezelf ook afvragen in hoeverre dit wenselijk is. Het bezoeken van een computer kan zo laagdrempelig zijn dat de dader niet eens door heeft dat hij fout bezig is (je mag immers niet opzettelijk handelen en een vorm van beveiliging doorbreken). Daarnaast dienen opsporingsmethoden / kosten in overeenstemming te zijn met de schade (of minstens te rechtvaardigen).

In de praktijk doen bedrijven waarbij ingebroken is vaak geen aangifte. Daar zijn diverse redenen voor:
- ze weten vaak niet waar ze aangifte zouden moeten doen (een gemiddeld politie bureau wist tot voor kort niet eens hoe je cybercrime schrijft)
- de rompslomp van een aangifte is alleen maar een extra schadepost terwijl de pakkans over het algemeen zeer klein is (probeer bijvoorbeeld maar eens een dader uit het buitenland voor het gerecht te krijgen als je geen USA bent)
- het bewijsmateriaal is vaak al gebrekkig of afwezig (een logfile openen maakt het al nagenoeg waardeloos aangezien het daarna ge-edit kan zijn door de lezer (je zou forensische tools in moeten zetten en bij voorkeur begonnen moeten zijn met heet branden van de logs naar CD-R waarbij je kunt garanderen dat de timestamps betrouwbaar zijn)
- de geleden schade is meestal relatief klein (meestal een defacement van website of een tijdje een webserver misbruikt als fileserver. Hooguit tijdelijk een onbeschikbare dienst). Over het algemeen zijn aanvullende beveiligingsmaatregelen genomen voor servers waar een groter risico voor geldt.
- schade bestaat vaak enkel uit reparatie schade (het opnieuw opzetten en configureren van de server)
- in veel gevallen wordt niet eens ontdekt dat er een hacker was, maar merkt men dat de service onderbroken is en zet men de server opnieuw op.

Uiteindelijk haalt enkel een klacht bij een ISP wat uit. Deze zien het vaak als een morele verantwoordelijkheid om hun klanten in toom te houden. Een verziekt internet hebben ze immers weinig aan. In het ergste geval kunnen ze het abonnement van de insluiper opzeggen. Deze neemt dan onder een andere naam of bij een andere provider een nieuw abonnement en gaat dan verder met zijn werk (zit hem nu eenmaal in het bloed).

Eindconclusie: beveilig je systeem fatsoenlijk, je laat je voordeur ook niet de hele dag open staan als je in Amsterdam of Rotterdam woont. Een dergelijke ´honeypot´ zou eigenlijk strafbaar moeten zijn aangezien een slecht beveiligd systeem de potentie heeft om ingezet te worden in een aanval op andere systemen (DDoS) die WEL wat aan beveiliging gedaan hebben.