Stijlloze tegenactie of computercriminaliteit?

20 september 2008, 13:29 - Geplaatst onder: Hacken - 30 reacties

bluf-openbaren-geencommentaar.pngDe ludiek bedoelde actie van Geencommentaar kon Geenstijl toch iets meer boeien dan het shockblog in eerste instantie deed voorkomen. GC had een petitie online gezet, waar GS een bindend stemadvies voor had uitgebracht. GC kreeg zoveel onzininschrijvingen dat zij besloot een database te bouwen met meer dan 2000 IP-adressen van stijlloze reaguurders die de petitie hadden vervuild. Vervolgens publiceerde GC een tooltje waar je op basis van IP-adres kon controleren of je met een “roze randdebiel” cq. “huftert” te maken had.

GS kwam daarop met een “oldskool weblog incrowdcookie van eigen deeg”. Een slim stukje Javascript in de pagina’s van GS zocht automatisch het IP-adres op van elke bezoeker van GS in die database. Nu krijgt GS iets meer bezoekers dan GC, zodat de database dit niet aankon en volledig plat ging.

Is deze stijlloze actie nu computercriminaliteit? Het lijkt sterk op een distributed denial of service-aanval, of voor de juristen onder ons een gedistribueerde verstikkingsaanval. Bij zo’n aanval worden honderden of duizenden computers tegelijk ingezet om gezamenlijk het slachtoffer te overbelasten. Meestal doordat al die computers elk zo veel mogelijk onzingegevens opsturen, maar een groot aantal op zich legitieme verzoeken kan ook tot zo’n overbelasting leiden.

Art. 138b Strafrecht stelt strafbaar het opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk te belemmeren door daaraan gegevens aan te bieden of toe te zenden. Eens kijken hoe ver we komen.

De actie was duidelijk opzet, want die Javascript-code komt niet zomaar in een webpagina terecht. Wederrechtelijk? Ik zou zeggen van wel. Op zich mocht iedere GS-bezoeker zijn eigen IP-adres opzoeken in de database van GC. Maar dit was geen vrijwillig opvragen uit interesse van de bezoeker, maar een min of meer gedwongen opvraging door een programmeertruc van de site. Ik twijfel, omdat er ook nog zoiets bestaat als het Slashdot-effect (in Nederland het Nu.nl effect?): te veel bezoeken vanaf een populaire site kunnen een site ook plattrekken. Dat is niet wederrechtelijk van die populaire site. Maar ik denk dat dat toch waarschijnlijk niet opgaat hier.

De grote vraag is dus of Geenstijl zorgde voor het “aanbieden of toezenden” van de gegevens. Het zijn feitelijk de computers van de bezoekers die het doen. Maar die bezoekers zijn niet bij de actie betrokken. Het is het stukje Javascript van Geenstijl dat het toezenden van de opvraging in werking zet. Dat zou je kunnen zien als een handeling van Geenstijl. Andermans computer op afstand besturen is juridisch hetzelfde als achter het toetsenbord kruipen en de commando’s daar intypen. Ik zeg daar wel gelijk bij dat dit nog nergens in de literatuur of rechtspraak getest is. GC, probeer het eens uit! :)

Overigens was die actie van GC ook niet bepaald netjes. Het verzamelen van IP-adressen en aanbieden van een zoekmogelijkheid om te zien of iemand een “roze randdebiel” is (of zelfs maar, neutraal gezegd, een Geenstijl-lezer) is een verwerking van persoonsgegevens. Daarvoor moeten de bezoekers wel toestemming hebben gegeven. Ik heb geen privacystatement gezien bij die petitie, laat staan een uitdrukkelijk verzoek om toestemming.

Weet iemand trouwens waarom GC er nu uitligt?

Arnoud

of lees de 30 reacties

Bandbreedte kun je niet stelen

13 september 2008, 9:32 - Geplaatst onder: Beveiliging, Hacken - 17 reacties

dak plafond studentenflat computer aftappenHet aftappen van internetverbindingen is geen diefstal, bepaalde de rechtbank Amsterdam donderdag. In deze strafzaak had de verdachte een computer geinstalleerd in het vals plafond van een studentenflat om zo van de snelle internetverbinding daar te profiteren. Naast inbreuk op het auteursrecht (vanwege uitgewisselde muziek) werd ook diefstal van “capaciteit van bandbreedte” ten laste gelegd.

De rechtbank bepaalt in het vonnis echter dat dat niet kan. Door ongeoorloofd gebruik te maken van bandbreedte verliest de rechthebbende immers hierover niet noodzakelijkerwijs de feitelijke macht, aldus de rechtbank. Hij heeft nog steeds controle over de netwerkverbinding en kan deze nog steeds gebruiken. Misschien dat de snelheid omlaag gaat door de meeliftende plafondpc, maar snelheid is geen tastbaar iets dat je kunt stelen.

Het stelen van niet-tastbare zaken is al lang een moeilijk punt in het recht. Tjalling Hielkema van Solv wijst terecht op het Elektriciteits-arrest uit 1921, waarin werd bepaald dat elektriciteit wel degelijk gestolen kon worden. Stroom is voor menselijk beheersing vatbaar, en door het aftappen van de stroom van de buurman kon deze niet meer over die stroom beschikken. Dat vond de Hoge Raad hetzelfde als het stelen van een fysiek object zoals een fiets.

Computergegevens waren volgens diezelfde Hoge Raad geen goed, zo bleek in 1996. Het kopiëren of wegnemen van gegevens is vervolgens apart strafbaar gesteld in de Wet Computercriminaliteit.

Het verbaast me dan ook dat hier gekozen is voor een tenlastelegging van diefstal en niet van computervredebreuk. Het aansluiten van je eigen PC op andermans netwerk lijkt mij een vorm van binnendringen, en het gebruik van de netwerkcapaciteit is daarbij een strafverzwarende omstandigheid (art. 138a leden 1 en 3 Wetboek van Strafrecht). Mag ik dit een flater van het OM noemen?

Via Boek9.nl en met dank aan Mr. D.M. Rupert, Teurlings & Ellens advocaten .

Arnoud

of lees de 17 reacties

KLPD waarschuwt slachtoffers botnet

11 augustus 2008, 8:18 - Geplaatst onder: Hacken - 5 reacties

In samenwerking met antivirusbedrijf Kaspersky gaat het Team High Tech Crime van de Nederlandse politie mensen informeren over het feit dat hun PC’s besmet zijn geraakt met malware en onderdeel uitmaken van een botnet, zo meldde ISPam donderdag. Dit is voor zover bekend de eerste keer dat een politiedienst via een botnet de slachtoffers inlicht.

Kaspersky heeft voor de politie een speciaal programma ontwikkeld waarmee berichten gestuurd kunnen worden naar de eigenaren van geïnfecteerde computers. Het bericht vertelt wat zij moeten doen om de besmetting van hun computer ongedaan te maken. Ook wordt verwezen naar een speciaal voor dat doel ontwikkelde site van de KLPD en het Landelijk Parket.

Intrigerend vond ik wel dat de politie hiermee feitelijk binnendringt op de geinfecteerde PC’s. Pleegt de politie computervredebreuk, zo vroegen een paar lezers me dit weekend. Dat denk ik niet. Het is pas computervredebreuk als iemand wederrechtelijk binnendringt. In dit geval lijkt me daar geen sprake van te zijn. De politie is bezig met bestrijding en ontmanteling van een botnet, en daarbij is het gerechtvaardigt dat men slachtoffers waarschuwt die onbewust lid waren van dit botnet.

Wel vraag ik me af hoe lang het zal duren voor de eerste phishers mails gaan rondsturen die zogenaamd van De Politie afkomstig zijn met daarin vergelijkbare instructies, die alleen toevallig een nieuw botnet installeren op je PC.

Arnoud

of lees de 5 reacties

Aanbieden modchips legaal?

5 augustus 2008, 8:25 - Geplaatst onder: Hacken - 10 reacties

Nintendo modchipZeven Nederlandse webwinkels zijn een procedure gestart tegen gameconsolebedrijf Nintendo met als eis dat zij flashcards en modchips voor de Nintendo-spelcomputers (met name de Wii en de DS) mogen blijven verkopen, meldde Emerce vorige week. Nintendo had geprotesteerd tegen deze verkoop, omdat zulke modchips illegaal zouden zijn.

Met modchips zijn kopieën van spellen te maken of af te spelen, inclusief grijze import uit bijvoorbeeld Japan of illegaal verspreide kopieën. Onze Auteurswet verbiedt het zonder toestemming van de rechthebbende verwijderen of omzeilen van kopieerbeveiligingen op games. Ook het aanbieden van middelen die uitsluitend bestemd zijn om dat te doen, zijn verboden. De vraag is dus of een modchip ‘uitsluitend’ bestemd is om dat te doen. En nee, het excuus “ze zijn ook leuk als oorbel of om je tafelpoot in balans te krijgen” gaat niet op.

Cyril van der Net van SOLV (dat de webwinkels vertegenwoordigt) meldt bij Emerce dat deze modchips wel degelijk meer toepassingen hebben:

Volgens Van der Net is het aanbieden van flashcards en modchips gewoon toegestaan. Dat consumenten daarmee ook eventueel illegaal vervaardigde kopieën van originele computerspellen van Nintendo kunnen spelen, zoals Nintendo beweert, doet daaraan niet af. De wet verbiedt alleen die middelen die uitsluitend bedoeld zijn om auteursrechtinbreuken te faciliteren. Daarvan is hier geen sprake, zegt Van der Net.

Ik vraag me dan wel af wat hij op het oog heeft. Het maken van een reservekopie van een legaal gekocht spel misschien? Dat was in 2004 geen excuus om Playstation-modchips te mogen verkopen in Nederland. Ook de mogelijkheid dat mensen op vakantie in Japan een game kochten en een modchip nodig hadden om die in Nederland te kunnen spelen, was niet genoeg.

Op grond van het voorgaande wordt geconcludeerd dat de modchip die door [gedaagde] in het verkeer wordt gebracht naast de omzeiling van de door Sony aangebrachte bescherming op de PS-consoles, slechts een commercieel beperkt doel of nut heeft en daarmee uitsluitend bestemd is voor het ontwijken van een technische voorziening als bedoeld in art. 32 Aw, en dus op grond van art. 32 Aw strafbaar is.

In Groot-Brittannië, waar men dezelfde wetgeving heeft omdat dit uit Europese richtlijnen komt, werd echter eerder dit jaar geoordeeld dat het ombouwen van je eigen gameconsole een legitiem doel is, zodat modchips niet per definitie onder dit verbod zouden vallen. Al in 2005 vond het Australische Hooggerechtshof dat modchips daar legaal zijn. “There is no copyright reason why the purchaser should not be entitled to copy the CD-ROM and modify the console in such a way as to enjoy his or her lawfully acquired property without inhibition,” aldus het Hof.

Ik verwacht niet dat Van der Net hier in de comments zijn strategie zal prijsgeven, dus laten we dan maar onderling speculeren. Wat zou hij op het oog hebben? En hoe gaat hij dat vonnis uit 2004 onderuit halen?

Arnoud

of lees de 10 reacties

Ruzie bij Fok! over lezen van privéberichten door beheer

23 april 2008, 8:38 - Geplaatst onder: Privacy, Hacken - 5 reacties

Geenstijl lacht zich rot: op concurrerend forum Fok! is een grote ruzie aan de gang over het lezen van privéberichten door het beheer. Fok! biedt namelijk gebruikers de mogelijkheid om elkaar persoonlijke berichtjes te kunnen sturen (in forumjargon ook wel pb’s of pm’s geheten). In de policy belooft het beheer deze niet te lezen, maar dit zou toch gebeurd zijn. Als gevolg van de ruzie is nu het hele systeem van persoonlijke berichten platgegooid door het beheer.

Zoals gebruikelijk bij dit soort ruzies is het volstrekt onduidelijk wat er nu precies gebeurd is. Volgens twee Fok!kers merkten zij dat webadressen die zij alleen in privéberichten hadden uitgewisseld, waren opgevraagd door iemand anders. Dat was voor hen aanleiding om een honeypot op te zetten: men kondigde aan een kopie van de hele Fok!-site op te gaan zetten en alle bezoekers daarheen te halen. Als beheer van Fok! werkelijk meelas, dan zouden ze daar gegarandeerd actie op ondernemen natuurlijk.

De beheerder zelf meldt juist dat hij pas na tips van derden over deze kopiesite besloten had de privéberichten te gaan lezen van de vermoedelijke daders.

Het is juridisch echter zeer twijfelachtig om om wat voor reden dan ook berichten te lezen die bedoeld zijn voor privécommunicatie, zoals ik vorig jaar al schreef. Voor beheerders van forums kan het zelfs een strafbaar feit zijn om kennis te nemen van gegevens die gebruikers uitwisselen (art. 273d Wetboek van Strafrecht) wanneer hij daar geen toestemming voor heeft.

De beheerder beroept zich op de privacy-policy van dit systeem. Die vermeldt dat berichten gecodeerd zijn zodat beheerders ze niet zomaar kunnen lezen. Echter, “Misbruik van het systeem wordt niet getolereerd” en “In dit geval hebben de administrators de mogelijkheid om berichten te decoderen en alsnog in te zien”. Dat is een bindende voorwaarde, die de eventuele strafbaarheid van het inzien opzij zet.

De vraag is echter wel wat dan het “misbruik” is. Of het opzetten van een concurrentsite misbruik is, betwijfel ik. Zeker nu die site helemaal niet blijkt te bestaan, kun je moeilijk volhouden dat er sprake is van misbruik.

Arnoud

of lees de 5 reacties

Mishandeling via internet - hackers vallen epilepsieforum aan

31 maart 2008, 8:45 - Geplaatst onder: Hacken - 2 reacties

Kwaadwillende hackers hebben op een internetforum voor epileptici berichten achtergelaten waarin middels Javascript en animated gifs allerlei felgekleurde, knipperende plaatjes waren verwerkt, meldt Tweakers. Zulke afbeeldingen kunnen een epileptische aanval oproepen bij mensen die daar gevoelig voor zijn.

Een rotstreek, zeker. En strafbaar ook: dit is gewoon mishandeling, soms zelfs mishandeling met de dood tot gevolg.

Je zou zelfs kunnen betogen dat hier sprake is van mishandeling met terroristisch oogmerk: het doel is ongetwijfeld om bezoekers van die fora angst aan te jagen zodat ze niet meer vrijelijk berichten gaan lezen. En het angst aanjagen van een deel van de bevolking heet in de wet een ‘terroristisch oogmerk’ (art. 83a Strafrecht). Hoewel dat oogmerk wel lastig te bewijzen zal zijn bij een stel verveelde pubers.

Volgens Wired zou dit de groep ‘Anonymous‘ zijn. Inderdaad, dezelfde club die een tijd geleden ook Scientology onder vuur nam.

Arnoud

of lees de 2 reacties

Wederrechtelijk draadloos internetten

27 maart 2008, 8:24 - Geplaatst onder: Beveiliging, Hacken - 21 reacties

Twee lezers hadden ruzie over de regels rond draadloos internetten:

Ik had altijd begrepen dat de insteek over draadloze netwerken is, “mag je alleen gebruiken als het open staat en de SSID duidelijk aangeeft dat je binnen mag”. Maar mijn discussiepartner zegt nu juist dat de regel is, “Als er geen ‘foei ten strengste verboden’ in de SSID staat dan mag het”. Wat is het nu?

Je gebruikt andermans netwerk illegaal als dat opzettelijk en wederrechtelijk gebeurt (art. 138a lid 1 Strafrecht). Ook als daarbij geen beveiliging wordt omzeild of misleid.

De nuance daarbij is dat je wel moet weten (of had moeten weten) dat je niet op dat netwerk mocht zijn. Bij een netwerk met “boe ga weg” als netwerknaam lijkt me dat vrij duidelijk. Een netwerk met “Open WIFI, kom binnen” mag je gewoon gebruiken. De vraag is dan wat je mag bij een netwerk met “linksys” of “default” als SSID. Kun je daar iets uit afleiden over het al of niet binnen mogen komen?

Een ander punt is dat ‘opzettelijk’. Hoe actief moet dat zijn? Veel laptops en PDA’s zijn ingesteld om zich automatisch op alle netwerken in de buurt aan te melden. Meld je je dan opzettelijk aan op zo’n netwerk? Ik zou denken van niet, maar een uitgemaakte zaak is het niet.

Dat maakt het heel lastig voor de politie om een zaak rond te krijgen. Zij moeten bewijzen dat jij had moeten weten dat je niet op dat netwerk had mogen zitten. En natuurlijk moeten ze eerst zien dat jij op andermans wifi zit. Dat zal niet meevallen. Er zijn een paar arrestaties geweest, maar die hebben nooit tot een veroordeling geleid.

Staat jullie netwerk open of dicht?

Arnoud

of lees de 21 reacties

Tweaker kraakt pinbeveiliging USB-stick, mag ik mijn geld terug?

11 maart 2008, 8:37 - Geplaatst onder: Beveiliging, Hacken, Contracten - 15 reacties

De beveiliging van Corsairs Padlock USB-stick blijkt op eenvoudige wijze te kraken: het solderen van een weerstand tegen een van de chips binnenin de stick blijkt genoeg om de pincodebeveiliging te omzeilen. Dat meldde -wie anders- Tweakers gisteren. Nu is dit soort hardware-hacken volstrekt legaal. Deze keer dan ook een iets andere vraag: als je als koper van zo’n stick bent afgegaan op de belofte van beveiliging, heb je dan nu een juridische claim richting de fabrikant?

Wie iets koopt, heeft zekere verwachtingen van het product. Daar moet het product dan ook aan voldoen (art. 7:17 BW). Een belangrijke vraag daarbij is wat voor mededelingen de verkoper heeft gedaan: je mag er als consument in principe vanuit gaan dat die kloppen en dat het product dus kan wat de verkoper belooft.

De Corsair Padlock wordt aangeprezen door de fabrikant als:

Flash Padlock is the best way to secure your data while on the go. This prevents any unauthorized access or “Brute Force” attack to the data on Flash Padlock. Users can program in a PIN, much like they do for an ATM machine, to lock/unlock their data.

Dat klinkt veelbelovend: het systeem biedt de beste manier om je data te beveiligen en voorkomt elke ongeautoriseerde toegang tot de data. Maar noch de whitepaper noch de app note gaan hier dieper op in. Veel onderzoek kan ik dus niet doen. Ik kan als koper dan ook weinig anders dan het bedrijf op haar blauwe ogen geloven dat dit wel de beste manier zal zijn.

Als het product vervolgens die belofte niet nakomt, dan schendt de verkoper de overeenkomst en op grond daarvan mag ik deze ontbinden zodat ik mijn geld terugkrijg. Normaal moet ik de verkoper eerst de kans geven het product te vervangen of te repareren, maar dat heeft hier weinig zin natuurlijk.

Daar staat tegenover dat deze stick slechts 15 euro kost. Hoeveel beveiliging mag je daarvoor verwachten? Bij een fietsslot van 15 euro moet ik ook niet gek staan kijken als mijn fiets op zeker moment toch weg is. Ik mag niet verwachten dat mijn fiets met zo’n fietsslot tegen elke fietsendief bestand is, ik moet weten dat dat soort lui met accu-aangedreven slijptollen rondloopt en daarmee alles openkrijgt.

Maar gaat dat verhaal voor pinbeveiligingen op USB-sticks ook op? Lastige vraag. Wat weet de gemiddelde koper van USB-sticks over de mogelijkheden en onmogelijkheden van beveiliging?

Wat vinden jullie? Behoor ik mijn geld terug te krijgen nu deze stick zo slecht beveiligd blijkt, of had ik moeten weten dat je voor 15 euro weinig veiligheid koopt?

Arnoud

of lees de 15 reacties

De legaliteit van reverse engineeren - hardware en drivers

7 februari 2008, 9:00 - Geplaatst onder: Auteursrecht, Hacken - 5 reacties

multimeter2.jpgHet is toegestaan om te achterhalen hoe dingen werken. Heb je een mooie grafische kaart gekocht, en wil je weten welke signalen deze afgeeft, dan mag je gerust met je multimeter aan de slag. Wil je zien hoe je televisie er van binnen uitziet, veel plezier met de schroevendraaier. De garantie vervalt natuurlijk wel, maar dat terzijde.

Wil je met die informatie een eigen product bouwen, dan mag dat ook. Ideeën en technische principes zijn vrij. Daar is één uitzondering op: je kunt tegen octrooien aanlopen natuurlijk. Voor een octrooi maakt het niet uit of je het product zelf gemaakt hebt of hebt afgekeken: als het doet wat in het octrooi staat, pleeg je inbreuk.

Afgezien van octrooien is het reverse engineeren van de werking van hardware dus legaal. Dat is erg handig voor bijvoorbeeld open source zoals Linux, waarvoor minder aanstuursoftware (drivers) voor hardware beschikbaar is dan bij Windows. Een open source-ontwikkelaar mag dus kijken welke commando’s er van de driver op de PC naar een hardwarekaart (of terug) gestuurd worden en welk effect dat heeft. Hij kan daarmee zijn eigen driver maken die op het juiste moment de juiste commando’s stuurt. Dit mag: artikel 45l Auteurswet bepaalt dat een licentienemer van de software mag achterhalen hoe de software werkt “teneinde de daaraan ten grondslag liggende ideeën en beginselen te achterhalen.” Daaronder valt ook het achterhalen van de communicatie tussen de driversoftware en de hardware.

Een nadeel van deze aanpak is dat je dan niet zeker weet dat je alle situaties gehad hebt. Misschien is er wel een commando dat alleen gestuurd wordt als de kaart erg warm wordt, of wanneer iemand een resolutie van 1194×768 pixels gebruikt en een 3D-bal wil laten stuiteren als screensaver.

Een betere oplossing is dan ook de bestaande driver pakken en deze disassembleren: de binaire code uit elkaar halen om zo in één keer te zien wat de driver allemaal voor commando’s kan versturen en ontvangen. Daarmee is dan een nieuwe driver te maken die hetzelfde doet, maar dan voor Linux.

Deze oplossing ligt juridisch iets lastiger. Software is beschermd door auteursrecht. Bij reverse engineeren moet je de software uitvoeren om te kunnen zien wat hij doet. Dat is normaal inbreuk op het auteursrecht. Maar voor deze vorm van reverse engineering is er artikel 45m.

Dit artikel zegt dat je mag reverse engineeren om interoperabiliteit van je eigen software met andere software tot stand te brengen. Bijvoorbeeld dus je eigen driver maken om de (embedded) software in de grafische kaart te kunnen besturen. Het recht is in zoverre beperkt dat je alleen datgene mag reverse engineeren wat je nodig hebt om je eigen driver te kunnen maken.

Dit artikel is natuurlijk ook relevant voor andere soorten software, zoals de vele open source alternatieven voor gesloten software zoals Microsoft Office. Daar kom ik binnenkort op terug, want de situatie is daar iets minder rooskleurig dan bij drivers.

Hoe dan ook, je mag dus een driver reverse engineeren en met de gevonden informatie je eigen driver maken. Wat niet mag, is stukken van de oorspronkelijke driver overnemen in je eigen driver. Dan pleeg je inbreuk op het auteursrecht. Je mag alleen achterhalen wat de driver doet, en vervolgens moet je je eigen software schrijven die dezelfde activiteiten verricht. Zonder te kijken op welke slimme manier de oorspronkelijke software dit doet.

Dat zal bij drivers gelukkig niet altijd een groot probleem zijn. De implementatie van een driver is namelijk voor een groot deel bepaald door de hardware. Er moet nu eenmaal code 0×31337 gestuurd worden om een bepaald beeld op het scherm te tonen, en als de printer de code 0xDEADBEEF stuurt, dan is het papier op en moet het printen tijdelijk ophouden. Daardoor zit er weinig creatieve ruimte voor programmeurs bij het schrijven van drivers. Hoewel dus een nieuwe driver voor een deel zal lijken op het origineel, komt dat door die technisch bepaalde factoren. En iets dat hetzelfde is vanwege een technische eis, is geen inbreuk op het auteursrecht.

Bij dit soort activiteiten wordt wel de bewijslast omgekeerd: als beide drivers hetzelfde doen, moet de maker van de nieuwe driver bewijzen dat hij geen code heeft overgenomen van de oorspronkelijke driver. Vandaar de clean-room praktijk: laat de ene persoon achterhalen en documenteren wat de driver doet, en laat een andere persoon op basis van die documentatie een nieuwe driver schrijven. De andere persoon kan dan geen code hebben overgenomen, want daar had hij geen toegang toe. En de eerste persoon heeft geen code geschreven, en heeft dus ook geen inbreuk gepleegd.

Deze bepalingen zijn dwingend recht. Dat betekent dat dit recht niet in een softwarelicentie (EULA) verboden kan worden. Staat het toch in een EULA, dan zal de rechter die clausule negeren.

Arnoud

of lees de 5 reacties

Computerinbraak door persbureau Novum Nieuws

28 januari 2008, 14:31 - Geplaatst onder: Beveiliging, Hacken - 2 reacties

Het persbureau Novum Nieuws is veroordeeld voor computervredebreuk. Novum, opgericht als concurrent voor ANP, bleek regelmatig ingebroken te hebben op de servers van het ANP om zo toegang tot ANP-nieuws te krijgen. Daarbij maakte het bedrijf gebruik van inlogcodes van McPro, RTV Utrecht en Sky Radio. Het gebruik van andermans inlogcode (gebruikersnaam en wachtwoord) is een vorm van computervredebreuk. Bij mijn weten is dit de eerste keer dat een rechtspersoon (bedrijf) veroordeeld wordt voor dit misdrijf.

Er was nog wat discussie over welke vorm van computervredebreuk het nu was, maar de rechtbank maakte daar korte metten mee. Het OM had ten laste gelegd dat een “technische ingreep” (een computerkraak of exploit) was gebruikt, maar het bedrijf verweerde zich door te zeggen dat men gewoon een bestaand wachtwoord had gebruikt. Dat vond de rechter juist, maar ook gebruik van andermans wachtwoord is een strafbaar feit. En terecht.

De rechtbank legde het bedrijf een geldboete op van € 4.000 (waarvan € 2.000 voorwaardelijk). Dit is lager dan de eis van 11.250 euro. Het OM had onvoldoende onderbouwd hoe zij tot haar eis kwam. Bovendien nam de rechtbank het ANP kwalijk dat zij kennelijk te weinig had gedaan om zich te beschermen tegen dit soort ongeautoriseerd gebruik door derden. Er zijn tenslotte genoeg eenvoudige technische maatregelen om dit te voorkomen, zoals het beperken van het aantal IP-adressen dat gebruik mag maken van de dienst.

In haar motivatie is de rechtbank hard:

Novum heeft zeer kwalijk gehandeld door zich ten behoeve van haar nieuwsgaring via aan derden verleende inlogcodes de toegang te verschaffen tot de Artos nieuwsserver van het ANP en daarvan ook veelvuldig gebruik te maken. Wetende dat aan haar als opkomend concurrent van het ANP geen toegang tot die server zou worden verleend, heeft Novum die toegang gezocht en gevonden via een bevriende relatie, de eigenaar/directeur van de zaak McPro. Na afloop van het contract tussen McPro en het ANP is Novum gebruik gaan maken van de inlogcodes die aan RTV Utrecht en Sky Radio waren verleend (periode [E]). Aldus van de informatie van het ANP profiterend heeft Novum haar eigen positie in haar concurrentie met het ANP willen versterken.

De oprichter/voormalig commercieel directeur en de voormalig hoofdredacteur werden veroordeeld tot een boete van € 2000, waarvan € 1000 voorwaardelijk met een proeftijd van 2 jaar. Ook deze eis is lager dan de geëiste voorwaardelijke taakstraf van 80 uur met een proeftijd van 2 jaar. Hoewel zij niet persoonlijk de ‘hack’ pleegden, gebeurde dit wel onder hun feitelijke leiding en daarom werden ook zij vervolgd.

Een eerder kort geding van ANP tegen Novum werd in juli 2005 door het Gerechtshof Amsterdam afgewezen omdat het bewijs niet duidelijk genoeg was. ANP moest, aldus het Hof, maar een bodemprocedure beginnen. ANP heeft er echter voor gekozen aangifte te doen van computervredebreuk.

Arnoud

of lees de 2 reacties
Volgende Pagina »

Copyright Arnoud Engelfriet - Some rights reserved - Powered by WordPress