Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

Voor een massive multiplayer online strategy game heb ik een nieuwe userinterface ontwikkeld die inlogt (met je normale naam en wachtwoord) op de officiele servers en bepaalde taken in het spel automatiseert. Ik heb deze gemaakt door het netwerkverkeer te observeren, en heb geen code uit de officiële client gebruikt. Nu zie ik dat in de EULA van deze game staat dat je geen bots mag gebruiken, maar is het ook verboden voor mij om bots te verspreiden?

Ik denk niet dat het strafbaar is in de zin dat de politie je arresteert en je de cel in gaat. Wel zou het kunnen zijn dat de dienstaanbieder zegt dat je hen schade berokkent en dat jij die moet vergoeden.

Op zich is het niet verboden software te maken die samenwerkt met andermans software, zolang je geen code overneemt (copypaste of door reverse engineering). Je mag een protocol reverse engineeren en daar dan je eigen client of server voor schrijven, maar niet de client reverse engineeren en klonen. (In de Amerikaanse Glider-zaak ging het erom dat de bot de clientsoftware aanpaste als die in RAM geladen was. Ik vind dat hoogst dubieus als juridisch argument, maar goed dat geldt voor wel meer Amerikaanse zaken.)

Als je software beveiligingsmaatregelen omzeilt, met name als mensen gratis iets kunnen doen dat normaal geld kost, dan ben je mogelijk wel strafbaar. Er zijn regels in de Auteurswet over het omzeilen van kopieerbeveiligingen en ook strafwetten over het omzeilen van een beveiliging voor een betaaldienst.

De aanbieder zou kunnen zeggen dat jouw UI in feite een bot is waarmee mensen valsspelen. Dan kunnen ze je bot bannen. Als dat moeilijk blijkt (omdat jij cloakingtechnieken gaat inbouwen) dan zouden ze kunnen zeggen dat ze nu op kosten gejaagd worden om jouw bot te blokkeren en dat ze die op jou verhalen. Dat kan onrechtmatig zijn immers.

In de praktijk denk ik dat het in Nederland wel meevalt; men blokkeert de bot en gaat over tot de orde van de dag.

Arnoud

Een denial-of-serviceaanval is strafbaar, maar als je naast je eigenlijke doelwit ook nog eens andere websites onderuit schoffelt, wordt dat gezien als een aanval op de telecommunicatie-infrastructuur. Dat blijkt uit een vonnis van de rechtbank Rotterdam dat gisteren verscheen. De verdachte kreeg vijftien maanden cel, waarvan vijf voorwaardelijk, voor het platleggen van twee Nederlandse sites, www.turkishplace.nl en www.turkplace.nl, in 2009. Die aanvallen waren zo groot dat ook andere klanten van de hostingproviders daar last van ondervonden. Hierdoor kon de rechter een zwaarder artikel uit de kast halen: het veroorzaken van “gemeen gevaar voor goederen of voor de verlening van diensten”, waar tot zes jaar cel op staat.

Uit het vonnis blijkt dat de aanvallen werden ondernomen “omdat hij het niet eens was met de wijze waarop hij door de eigenaren van deze websites werd bejegend.” Nu.nl meldt dat hij stoorde zich aan de inhoud van de Turkse sites, wat niet helemaal hetzelfde is maar het was in ieder geval een flinke forumruzie.

De aanvallen waren zo zwaar dat de (toch relatief grote) providers er grote last van hadden. En daarvoor hebben we artikel 161sexies Strafrecht over het verstoren van de werking van de telecommunicatieinfrastructuur.

De providers [provider 2] en [provider 1] faciliteren het internetverkeer van ruim 50.000 klanten. De infrastructuur van deze providers kan derhalve worden gezien als een vitale infrastructuur. Het is een feit van algemene bekendheid dat het uitvoeren van een (d)dos aanval op een dergelijke vitale infrastructuur vergaande financieel-economische schade tot gevolg kan hebben en een groot aantal klanten kan treffen dat van de diensten van voornoemde providers gebruik maakt. Het is niet voorstelbaar dat de verdachte, gezien zijn kennis en expertise op computergebied, niet heeft onderkend dat de door hem uitgevoerde (d)dos aanvallen gemeen gevaar voor de verlening van diensten teweeg konden brengen.

Tot eenzelfde conclusie kwam de rechtbank in de DoS-kabouterzaak uit 2005.

Naast de denial-of-serviceaanval had de verdachte via een SQL-injectie-exploit logingegevens achterhaald, waarna hij hij een lijst met 1.000 creditcardgegevens had weten te verkrijgen. Dit wordt gezien als overdragen van gegevens “die door wederrechtelijk afluisteren, aftappen of opnemen van een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking” (art. 139e Strafrecht) zijn verkregen. Het vonnis heeft het over binnenkomen in de “live help” middels een SQL-injectie, wat zomaar deze attack zou kunnen zijn.

Het is me niet duidelijk of die lijst van dezelfde server kwam als waar hij was binnengedrongen. Ik vermoed dat daarom niet is gekozen voor 138a lid 2 Strafrecht, dat een strafverzwaring biedt als je na computervredebreuk gegevens ontvreemdt van het systeem waar je op binnengedrongen bent. Hoewel hij voor het overnemen van gegevens uit de systemen van Fok! weer wel voor overtreding van dit lid 2 wordt veroordeeld.

Eén van die creditcards had de verdachte volgens eigen zeggen gebruikt om een PlayStation mee te kopen. Daar wordt hij echter niet voor veroordeeld, omdat een enkele bekentenis niet genoeg is voor een veroordeling. En dat is wat anders dan “de politie heeft het bewijs niet wettig in handen gekregen” in het Nu.nl artikel.

Wat mij betreft een prima vonnis, waar men toch vrij snel mee is gekomen gezien de technische complexiteit. Een pluimpje voor het Team High Tech Crime lijkt me op zijn plaats dus.

(Ik was trouwens even verrast toen ik op Nu.nl las welke sites het waren, gezien de tijd en de aard van de aanvallen dacht ik dat het de aanvallers op Geenstijl/Dumpert/Spitsnieuws/Tweakers/Fok waren. Ook daar was rond die tijd een zware DoS aanval gaande en werd een SQL database gehackt. Weet iemand wat daarvan terechtgekomen is eigenlijk?)

Arnoud

Ja, daar stond ik even van te kijken. Ik heb op diverse plekken rondgetoeterd dat het niet duidelijk is of skimmen strafbaar is. Dit vanuit de gedachte dat er pas sprake is van oplichting als er werkelijk iets wordt gekocht met een nagemaakte kaart. Maar een lezer wees me op diverse vonnissen, zoals bv. rechtbank Zwolle en eerder rechtbank Breda, waarin het wel degelijk strafbaar werd geacht om skimapparatuur voorhanden te hebben en te proberen deze op pinautomaten te installeren.

In de wet staat namelijk een apart artikel dat gewoon het namaken van een betaalpas verbiedt (art. 232 lid 1 Strafrecht):

Hij die opzettelijk een betaalpas, waardekaart, enige andere voor het publiek beschikbare kaart of een voor het publiek beschikbare drager van identiteitsgegevens, bestemd voor het verrichten of verkrijgen van betalingen of andere prestaties langs geautomatiseerde weg, valselijk opmaakt of vervalst, met het oogmerk zichzelf of een ander te bevoordelen, wordt gestraft met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.

Er hoeft dus geen sprake te zijn van daadwerkelijk ‘bevoordelen’ of daadwerkelijk zaken kopen of rekeningen plunderen. Zolang dat oogmerk er maar is, ben je al strafbaar. Wie legitiem onderzoek doet naar kwetsbaarheden in betaalkaarten hoeft zich dus geen zorgen te maken, want zo’n onderzoeker heeft niet het oogmerk zich te ‘bevoordelen’ (wetenschappelijke roem is geen ‘voordeel’ in de zin van de strafwet).

Nu waren er in de aangehaalde zaken nog geen betaalpassen nagemaakt. Het ging zuiver om het skimmen: het aanbrengen van apparatuur waarmee de gegevens konden worden gekopieerd die nodig zijn om betaalkaarten na te maken. Daar is geen expliciet artikel voor, maar we hebben wel de algemene regel van “poging tot” in het strafrecht. Zoals dat zo mooi heet: “wanneer het voornemen van de dader zich door een begin van uitvoering heeft geopenbaard” ben je al strafbaar als pleger van een poging tot een misdrijf.

Is het ophangen van een skiminstallatie een poging tot vervalsen van een betaalpas? Ja, zegt de rechtbank Breda:

Het plaatsen van een camera op een pinautomaat, waarmee de pincodes van de ingevoerde passen kunnen worden opgenomen, kan echter volgens de rechtbank niet anders worden uitgelegd dan te zijn gericht op de voltooiing van het misdrijf skimmen. … De pincode is bedoeld om te voorkomen dat onbevoegden betalingen doen langs geautomatiseerde weg ten laste van bevoegde gebruikers. Het kopiëren van de pincodes is een wezenlijk onderdeel van skimmen. Derhalve is het plaatsen van een camerabalk op zichzelf al een begin van uitvoering van het misdrijf skimmen.

Ook de rechtbank Zwolle redeneert op die manier. In die zaak werd nog geschermd dat de verdachte zelf niet de kennis had om de passen te maken, zodat het onmogelijk voor hem zou zijn om het misdrijf te plegen. Maar nee:

De omstandigheid dat verdachte mogelijk niet over de apparatuur en kennis beschikt om zelf de volgende stap in het valselijk opmaken van de bankpassen te kunnen zetten, wat daar verder ook van zij, doet aan het oordeel van de rechtbank niets af. Blijkens de verklaring van verdachte worden deze volgende stappen immers door anderen in de organisatie uitgevoerd. Aangezien verdachte het medeplegen van dit feit wordt verweten, is het niet vereist dat verdachte zelf ook tot het daadwerkelijk valselijk opmaken van bankpassen in staat zou zijn.

‘Medeplegen’ wil zoveel zeggen als samenwerken met een ander om zo in vereniging het misdrijf te plegen. Je bent allebei evenveel dader, zeg maar. Dit is strenger dan “medeplichtig”, waarbij je alleen maar gelegenheid, hulpmiddelen of assistentie hoeft te hebben geleverd.

Beiden rechtbanken leggen een gevangenisstraf op: in Breda 21 maanden, in Zwolle 6 maanden. Wat precies het verschil verklaart, kan ik zo niet vinden. Misschien omdat in Breda er meer apparaten geïnstalleerd waren.

Arnoud
Foto: Paul Wiegmans.

De afscherming van online archieven blijkt makkelijk te omzeilen, meldde Webwereld gisteren. Dit geldt voor bijvoorbeeld het Haags Gemeentearchief, maar ook voor de Financial Times en Elsevier. Zoekmachine-expert Henk van Ess ontdekte het lek en publiceerde de truc in een aantal filmpjes. De trucs blijken simpel:

Zo is met een bookmark-truc het online-ontoegankelijke deel van het Haagse Gemeentearchief toch gewoon in te zien. Voor het maximum van zes leesbare artikelen bij opinieweekblad Elsevier is het nog eenvoudiger. Het uitschakelen van JavaScript volstaat om meer artikelen te kunnen zien.

U voelt ‘m al aankomen: mag dat eigenlijk wel, zo’n beveiliging kraken en uitleggen hoe dat kan? Het gaat immers om beveiligingen wegens auteursrechten, en artikel 29a Auteurswet zegt dat het omzeilen van “doeltreffende technische voorzieningen” onrechtmatig is.

Bij de Elsevier-truc heb ik daar geen twijfel over: ja, dat mag. Het aan- of uitschakelen van Javascript is een doodnormale handeling. Ik kan dat moeilijk als omzeilen van een beveiliging zien. Ok, als je het doet specifiek om de Elsevier-’beveiliging’ te omzeilen wordt het misschien iets anders, maar dan zou ik graag dat woord “doeltreffend” eens willen benadrukken in artikel 29a.

Er is bij de invoering van dit wetsartikel niet heel uitgebreid ingegaan op wanneer een beveiliging nu “doeltreffend” is. De minister liet het bij de opmerking dat het “uiteindelijk aan de rechter” is om dit te toetsen. Het proefschrift van Kamiel Koelman over auteursrecht en technische voorzieningen (PDF, 1,5MB, pagina 88 e.v.) gaat er iets dieper op in maar begint al meteen met “Het is echter onduidelijk wat ermee wordt bedoeld”.

Het verdrag waar de bepaling uit komt, eist dat de beveiliging “de beoogde bescherming bereikt”. Een cirkelredenering natuurlijk: een beveiliging is doeltreffend als hij beveiligt. Maar uit de literatuur blijkt dat als het doorbreken “geen bijzondere inspanning vergt” of als de ‘beveiliging’ slechts een “signalerend of waarschuwend effect” produceert, er geen sprake kan zijn van doorbreken.

In 2007 oordeelde een Finse rechter als eerste (en tot dusverre als enige) over het kraken van zo’n beveiliging. Uit het door Ars Technica vertaalde vonnis:

[S]ince a Norwegian hacker succeeded in circumventing CSS protection used in DVDs in 1999, end-users have been able to get with easy tens of similar circumventing software from the Internet even free of charge,” wrote the court. “Some operating systems come with this kind of software pre-installed…. CSS protection can no longer be held ‘effective’ as defined in law

Oftewel, als de kraak wijd en zijd bekend is en zelfs gewoon standaard met Linux meekomt, dan kan niet langer sprake zijn van het doorbreken van een ‘doeltreffende’ voorziening. Ik zou zeggen: deze ‘kraak’ is evenzo gebaseerd op standaardfunctionaliteit van webbrowsers en kan dus met de beste wil van de wereld niet onrechtmatig zijn.

In het filmpje over toegang tot het Haagse Gemeentearchief wordt aan de bookmark een code toegevoegd die links naar afbeeldingen herschrijft. Henk legt niet uit hoe dat werkt maar ik vermoed dat het een dieplink is naar de afbeeldingen die dus zelf niet beveiligd zijn. Dit is een bekende dommigheid: men beveiligt wel de webpagina waar de afbeelding op moet verschijnen maar niet de afbeelding zelf.

De redenering lijkt me dezelfde. Je kunt zelfs zeggen dat er geen beveiliging wordt doorbroken omdat de afbeeldingen zelf onbeveiligd online staan. Wie de URL weet van zo’n afbeelding, kan deze intypen en het plaatje zien. Hoe is dat onrechtmatig?

Arnoud

De Revu wordt niet gestraft voor het infecteren van 14.000 computers en het hacken van de mailbox van de geanonimiseerde Staatssecretaris van Defensie, zo las ik gisteren bij Security.nl. De politierechter vond dat het nieuwsfeit dat de mailbox te kraken was, belangrijk genoeg is om de hoofdredacteur vrij te spreken van het strafbare feit. De auteur van het artikel werd ook vrijgesproken, omdat hij niet betrokken was bij het daadwerkelijke inbreken. Hij kreeg de informatie achteraf en maakte daar een artikel van.

Ik heb hier grote moeite mee. Journalisten staan niet boven de wet en hebben niet het recht om 14.000 pc’s te infecteren om daarmee aan te tonen dat een wachtwoord te raden is door die pc’s er lekker veel te laten proberen. Ik heb sterk het vermoeden dat de politierechter onvoldoende rekenschap heeft gegeven van wat er nu feitelijk is gedaan. Als het nieuwsfeit was geweest “Voordeur huis staatssecretaris blijkt met bulldozer te forceren”, dan was het vonnis volgens mij heel anders uitgevallen.

De overwegingen uit het vonnis wijzen er namelijk sterk op dat de rechter zich heeft laten overtuigen door het beveiligingsaspect van de zaak. Immers, zo staat in het vonnis:

Hierbij wordt voorop gesteld dat de vraag of de privé emailboxen van bewindslieden voldoende beveiligd zijn tegen inbraken van buitenaf, op zichzelf een zaak is die het algemeen belang raakt. … Verdachte heeft betoogd dat het plegen van de onderhavige strafbare feiten noodzakelijk was voor de onderbouwing van de stelling in het artikel dat het schortte aan die beveiliging.

Nu wil ik best geloven dat beveiliging van zulke mailboxen op zich een belangwekkend iets is voor journalisten, maar dat betekent nog niet dat elk hackje daarmee nieuwswaardig is. Zeker niet als het hackje gewoon een lompe brute force aanval is. Iedereen weet dat je met genoeg proberen elk wachtwoord weet te raden.

Bovendien -en dit is een juridische blog- lijkt het vonnis me in strijd met wat de Hoge Raad tot nu toe steeds zegt over dit soort “nieuwsmaak”-acties. Zoals ik vorig jaar december blogde, in 1995 luidde het oordeel nog dat een vervalste aanvraag voor een rijbewijs niet onder de vrije nieuwsgaring valt, ook niet als je wilde aantonen dat aanvragen voor een rijbewijs onder valse naam mogelijk zijn (27 juni 1995, NJ 1995/711, niet online). En in december 2006 oordeelde de Hoge Raad hetzelfde in een zaak over een ‘gat’ in het bancaire systeem van automatische incasso.

In die laatste zaak citeerde men instemmend het Gerechtshof, dat had bepaald:

Nu het aan de verdachte ten laste gelegde het doel van zijn onderzoek (publiekelijk bewijs te vergaren voor zijn stellingen) voorbij is geschoten en hem andere, minder verstrekkende methodes ten dienste stonden, oordeelt het hof de jegens verdachte ingezette strafvervolging ter voorkoming van (soortgelijke) strafbare feiten en ter bescherming van de rechten van anderen, meer in het bijzonder van die van bovenaangegeven (rechts)personen, zowel passend als geboden.

Bij de incassozaak had de journalist een groot aantal incasso-opdrachten verstuurd voor soms substantiële bedragen van rekeningen van volslagen onbekenden. Hij had ook kunnen volstaan, aldus het Hof, met 1 grote incasso van een betrokken partij (bv. de directeur van de betrokken bank). En die analogie kun je zonder moeite doortrekken naar hier: was het nu echt nodig om 14.000 pc’s te infecteren om aan te tonen dat je met genoeg pc’s een wachtwoord kunt kraken?

En feit blijft (zoals Brenno de Winter al schreef) dat Revu het echte nieuws gemist heeft.

Anders nieuwswaardig feit is dat Hyves kennelijk goed functioneert als distributieplatform voor het verspreiden van virussen die een botnet bouwen. Gebruikers vertrouwen de website, terwijl nu blijkt dat er zeer kwaadaardige content op kan staan. Ook dit werd niet als nieuwswaardig feit gesignaleerd.

Waar ik nu heel bang voor ben, is dat al die scriptkiddies die eerst riepen “ik bewijs mensen een dienst door de beveiliging te checken” nu gaan roepen “oh ik ben journalist want ik onderzoek maatschappelijke misstanden door onvoldoende beveiliging”.

Arnoud
Afbeelding afkomstig van Revu.

Honderden studenten hebben maandenlang bijna gratis pizza’s kunnen bestellen via de website Justeat.nl, meldde Nu.nl vrijdag. Er bleek een fout in de website te zitten waardoor je eenvoudig de prijs kon manipuleren net voordat de betaalprocedure bij een externe partij in gang werd gezet. Tweakers meldt:

De kwetsbaarheid bleek ontstellend simpel te misbruiken, blijkt uit een test van Tweakers.net: het aanpassen van de html-code bleek genoeg om goedkoop pizza of shoarma te bestellen. Het lek zat bij Just-Eat op de pagina, waar de bestellingsmethode gekozen kon worden. Daar werden in verborgen input-velden de parameters voor de betaling doorgegeven, waaronder het bedrag in centen.

De reacties die ik her en der lees, zijn allemaal in de trant van “dom bedrijf, hadden ze dat lek maar moeten fiksen”. Zeker nu bekend is dat het lek al een jaar open ligt. Maar ligt dat nu aan mij of is dit gewoon crimineel?

Als je zo’n fout ontdekt en het dan meldt, dan ben je keurig bezig. Wil je het een keertje testen om zeker te weten dat die fout er (nog) in zit, nou vooruit. Maar voor 30.000 euro aan pizza’s bestellen, dat heeft toch niets meer met white-hat hacken te maken? Dat is gewoon profiteren van een domme fout.

Ik begrijp dit echt niet. Stel de supermarkt laat een prijstang onbeheerd liggen in het schap. Dan zullen er heus mensen proberen om wat goedkope prijsjes op dure producten te plakken en die te gaan afrekenen? Maar het lijkt me evident dat dat gewoon oplichting is. Waarom zou het voor hidden input fields anders zijn dan voor prijsstickers?

(Overigens heb ik nul komma nul sympathie voor directeur Laurens Groenendijk van Just-Eat die meende laatdunkend te moeten spreken van “slimste jongetjes van de klas”, terwijl het een fout die ie zelf een jaar lang heeft laten liggen. Ik hoop dat z’n rechtsbijstandsverzekeraar niet uitkeert.)

Arnoud

Een bezorgde ouder mailde me:

Mijn zoon is vorig schooljaar afgestudeerd. Als onderdeel van de traditionele examenstunt heeft hij samen met een paar medescholieren de wachtwoorden achterhaald van enkele leraren, en vervolgens rondgemaild uit hun naam dat er die dag geen school zou zijn. Hoewel ze er enkele hints in hadden gestopt waaruit bleek dat het een grap was (zo tekende de docenten met hun bijnaam), bleven er toch aardig wat leerlingen thuis. Nu was de directie daar erg boos over en men heeft aangifte gedaan van computervredebreuk. Mijn zoon is hiervoor destijds ondervraagd door de politie, maar nu ligt het al een tijd stil. Kunt u vertellen waar wij aan toe zijn?

De actie was als grap bedoeld, maar zo te lezen zitten er toch inderdaad wel juridische aspecten aan. Het raden van andermans wachtwoord kan worden gezien als computerinbraak.

In feite is de grap vergelijkbaar met de sleutel van het schoolgebouw namaken of het slot openpeuteren om zo bv. tienduizend ballonnen in de hal te leggen. Ook dat is strikt gesproken strafbaar, het is inbraak. Maar om daar nu zo’n juridisch punt van te maken vind ik ook weer overdreven.

In ieder geval, als het duidelijk als grap bedoeld is, dan lijkt het me sterk dat men werkelijk gaat vervolgen. Maar nadeel is wel dat er hier schade is, er zijn mensen echt ingetrapt. Dat zou zeker juridische gevolgen kunnen hebben.

Het vervelende is wel, je kunt weinig doen zolang het “op de stapel” ligt. Die stapels zijn hoog en het kan rustig enkele maanden duren voor je wat hoort. Nabellen kan natuurlijk, alleen dan maak je mogelijk een slapende hond wakker.

Ik zit me nu af te vragen wat mijn eindexamenstunt was, maar eerlijk gezegd weet ik het niet meer. Lezen er oud-klasgenoten (EPL, 1993) mee?

Arnoud

Een Amerikaans Hof van Beroep heeft geoordeeld dat een werknemer die met kwade bedoelingen toegang zoekt tot een bedrijfscomputer, hierdoor nog niet automatisch schuldig is aan overtreding van de anti-hackwet. Dat meldde Tweakers afgelopen zondag. (En ja, Tweakers kwam met het woord “hackers” dus de discussie over cracker versus hacker mag u daar voeren.) Belangrijk ook voor de Nederlandse praktijk; ik ken een paar gevallen waar Nederlandse werkgevers dezelfde claim legden.

Wat was er precies gebeurd? Een werknemer van het bedrijf LVRC had op zijn laatste werkdag allerlei bestanden met bedrijfsinformatie naar zichzelf gemaild. Volgens Ars Technica wilde hij die gegevens hebben omdat hij LVRC wilde opkopen, en dan zijn gegevens zoals de jaarcijfers wel erg handig in de onderhandelingen.

Niet netjes, en waarschijnlijk wel strafbaar onder diverse wetten (diefstal van bedrijfsgeheimen bijvoorbeeld), maar het bedrijf vond dit een overtreding van de federale Computer Fraud and Abuse Act, zeg maar de Wet Computercriminaliteit, en eiste schadevergoeding in een civiele procedure omdat zij hierdoor benadeeld werd. Het argument daarbij was dat de werknemer niet geautoriseerd was om die gegevens naar zichzelf te mailen (ook al kon hij erbij) zodat hij “without authorization” handelde.

De CFAA stelt strafbaar om “without authorization” oftewel “zonder toestemming” binnen te dringen in een computersysteem, waar bij ons “wederrechtelijk” in de wet staat. Ons begrip is daarmee iets breder, maar voor deze discussie maakt dat niet uit. Want het argument van dit Amerikaanse Hof gaat bij ons ook prima op: een werkgever geeft zijn werknemers toestemming om de werk-PC te gebruiken en op het netwerk te gaan om daar bestanden in te zien. Daarmee heeft die werknemer een recht om daar te zijn. Mooie analogie op Tweakers: als je de sleutel hebt dan kun je niet bestraft worden voor inbreken.

Hier maakte de werknemer oneigenlijk gebruik van het recht, maar daarmee is dat recht nog niet vervallen. Hij mag bestanden inzien, en daarmee is de toestemming gegeven. Pas als je je toestemming te buiten gaat, oftewel ergens komt waar je niet mag zijn, is sprake van “without authorization”. Dus bijvoorbeeld als je het wachtwoord van je secretaresse gebruikt om bij haar bestanden te komen, of een netwerkshare opent die de naam van een andere afdeling draagt. Daar hoor je niet te zijn, en dat moet je weten gezien de omstandigheden.

In hun arrest schreven de rechters:

we hold that a person uses a computer “without authorization” under §§ 1030(a)(2) and (4) when the person has not received per- mission to use the computer for any purpose (such as when a hacker accesses someone’s computer without any permis- sion), or when the employer has rescinded permission to access the computer and the defendant uses the computer any- way.

Mijns inziens zou dit in Nederland ook op moeten gaan. Werknemers die gegevens naar zichzelf mailen of andere ongewenste zaken daarmee uithalen, kun je dus niet via de Wet Computercriminaliteit aanpakken. Het is ongetwijfeld grond voor ontslag op staande voet (slecht werknemerschap, overtreding ICT-reglement) en afhankelijk van wat hij doet met de gegevens kan het ook een schending van geheimhouding (art. 273 Strafrecht) zijn. Maar computervredebreuk? Nee.

Arnoud

Een lezer vroeg zich af:

Is het rechtsgeldig in Nederland om in een EULA reverse engineering van een softwarepakketgeheel te verbieden, ook voor toepassingen als het maken van interoperable software?

Reverse engineering, in goed Nederlands decompilatie, is volgens artikel 6 van de Software-richtlijn een handeling die geen inbreuk op het auteursrecht oplevert.

Desondanks zie je regelmatig in EULAs een tekst als “reverse engineering is forbidden”, maar dat heeft geen juridische waarde. Artikel 9 lid 1 van diezelfde Richtlijn bepaalt dat “elk contractueel beding dat strijdig is met artikel 6″ nietig is. Oftewel, de rechthebbende kan zich op zo’n beding niet beroepen, en doet hij het toch dan hoef je alleen maar naar deze artikelen uit de richtlijn te verwijzen.

Een goed geschreven EULA of softwarelicentie bevat dan ook een tekst als “reverse engineering is verboden voor zover dat juridisch toegestaan is”. Niet alle vormen van reverse engineering zijn namelijk toegestaan onder de Richtlijn. Alleen die vormen waarmee je compatibiliteit met zelfgeschreven software wilt bewerkstelligen, of waarmee je alleen de achterliggende ideeën, concepten en principes achterhaalt zijn legaal. Met name is het niet legaal om de informatie te gebruiken om een kloon van de software te maken.

Arnoud

Met andermans (geraden of afgetroggeld) wachtwoord inloggen op Habbo Hotel is computervredebreuk. En haal je dan die ander zijn meubels naar je eigen account, dan pleeg je heel ouderwets diefstal. Dat bepaalde de rechtbank Amsterdam gisteren in twee grotendeels eensluidende vonnissen (LJN BH9789 en LJN BH9791, via Boek9.nl).

Dit is de Habbo-zaak waarover ik in november 2007(!) berichtte. Twee (veertienjarige) verdachten hadden wachtwoorden van Habbo-gebruikers bemachtigd en vervolgens de meubi’s die bij die accounts hoorden naar hun eigen kamer overgezet. En dat kwalificeert de rechtbank als computervredebreuk (het achterhalen en gebruiken van de wachtwoorden) en diefstal (het overzetten van de virtuele goederen).

De wachtwoorden werden achterhaald middels een fake-site (phishing) waarbij het slachtoffer dacht bij Hotmail in te loggen. Vervolgens werden die Hotmail-inloggegevens gebruikt om de mailbox van de slachtoffers in te zien. Handig, want daar was in de tussentijd net het “u was uw wachtwoord vergeten”-mailtje binnengekomen. En zo kwamen ze dan bij Habbo terecht. Het vonnis noemt nog keyloggers, maar ik zie even niet waar dat is gebruikt. “Hij heeft daartoe zelfs een speciaal programma gedownload waarmee hij op professionele wijze aan de inloggegevens van een ander kon komen” maar een fake-site is toch geen programma?

Vervolgens had men “met het oogmerk van wederrechtelijke toe-eigening” de virtuele meubelen uit deze speelwereld weggenomen uit de macht van de eigenaar. En dat is, zoals ook in het Runescape-vonnis van afgelopen oktober werd bepaald, een standaard gevalletje diefstal.

Het verweer dat het er bij Habbo toch om gaat “om zoveel mogelijk meubels te verzamelen”, wordt verworpen. Veel meubels verzamelen ok, maar dat rechtvaardigt niet dat je andermans meubels afneemt door hun wachtwoorden te raden. Dit heeft “niets meer te maken met de spelregels van het Habbohotel” zoals de rechtbank het terecht formuleert.

Kortom, weinig verrassend wat mij betreft maar wel goed dat deze lijn wordt aangehouden. Want: “Het internet dient daarom gevrijwaard te blijven van het zogenaamde ‘hacken’.” zoals de rechtbank fijntjes opmerkt.

Arnoud