Internetrecht door Arnoud Engelfriet

In samenwerking met antivirusbedrijf Kaspersky gaat het Team High Tech Crime van de Nederlandse politie mensen informeren over het feit dat hun PC’s besmet zijn geraakt met malware en onderdeel uitmaken van een botnet, zo meldde ISPam donderdag. Dit is voor zover bekend de eerste keer dat een politiedienst via een botnet de slachtoffers inlicht.

Kaspersky heeft voor de politie een speciaal programma ontwikkeld waarmee berichten gestuurd kunnen worden naar de eigenaren van geïnfecteerde computers. Het bericht vertelt wat zij moeten doen om de besmetting van hun computer ongedaan te maken. Ook wordt verwezen naar een speciaal voor dat doel ontwikkelde site van de KLPD en het Landelijk Parket.

Intrigerend vond ik wel dat de politie hiermee feitelijk binnendringt op de geinfecteerde PC’s. Pleegt de politie computervredebreuk, zo vroegen een paar lezers me dit weekend. Dat denk ik niet. Het is pas computervredebreuk als iemand wederrechtelijk binnendringt. In dit geval lijkt me daar geen sprake van te zijn. De politie is bezig met bestrijding en ontmanteling van een botnet, en daarbij is het gerechtvaardigt dat men slachtoffers waarschuwt die onbewust lid waren van dit botnet.

Wel vraag ik me af hoe lang het zal duren voor de eerste phishers mails gaan rondsturen die zogenaamd van De Politie afkomstig zijn met daarin vergelijkbare instructies, die alleen toevallig een nieuw botnet installeren op je PC.

Arnoud

Een lezer biecht op:

In een donker duister verleden heb ik mij de toegang verschaft tot een gedeelte van een forum dat met een wachtwoord was beveiligd. De makers hadden aangegeven dat er echt niks interessants stond. En alsof dit nog niet voldoende was om de nieuwsgierigheid bij mij op te wekken was het ook nog eens met een wachtwoord beveiligd. Ik heb daarop tervergeefs een aantal pogingen ondernomen om het wachtwoord te raden. Totdat ik op een gegeven moment bij mezelf dacht “Wat zou het wachtwoord toch zijn? Dat gaan ze natuurlijk niet aan mij vertellen, want dat is geheim”. Als gauw ondervond ik dat ik gelijk had: het wachtwoord was geheim, letterlijk wel te verstaan. Natuurlijk heb ik de beheerders direct op de hoogte gesteld, maar nu vraag ik me af: heb ik door mijn nieuwsgierigheid te bevredigen de wet overtreden?

Het achterhalen van een wachtwoord om daarmee binnen te dringen in een computersysteem dat niet van jou is, is een riskante onderneming. Opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk is strafbaar als computervredebreuk.

De vraag is hier wel of er ook echt binnengedrongen is. Alleen maar een gevonden sleutel in het slot omdraaien is nog geen inbreken, en alleen maar een wachtwoord intypen dat werkt, lijkt me ook nog geen computerinbraak. En onze mysterieuze lezer is uit eigen wil gestopt met de poging. Dat heet “vrijwillige terugtred” in het strafrecht. Een poging die je uit jezelf afbreekt, is niet strafbaar (art. 46db Strafrecht).

Aan de andere kant, zodra je het wachtwoord goed intypt, krijg je meteen ook een resultaat te zien. Je wordt ingelogd, je krijgt de beheerspagina voor je neus of wat er dan ook maar moet gebeuren bij de gebruiker wiens wachtwoord je achterhaald hebt. Dus je kunt betogen dat de inbraak voltooid was op het moment dat het wachtwoord geaccepteerd was en de “U bent ingelogd” pagina op het scherm kwam te staan.

Wat denken jullie? Moet dit kunnen zolang je maar niets doet als je het wachtwoord geraden hebt, of hoort deze meneer een SWAT-team door het raam te krijgen?

Arnoud

Het persbureau Novum Nieuws is veroordeeld voor computervredebreuk. Novum, opgericht als concurrent voor ANP, bleek regelmatig ingebroken te hebben op de servers van het ANP om zo toegang tot ANP-nieuws te krijgen. Daarbij maakte het bedrijf gebruik van inlogcodes van McPro, RTV Utrecht en Sky Radio. Het gebruik van andermans inlogcode (gebruikersnaam en wachtwoord) is een vorm van computervredebreuk. Bij mijn weten is dit de eerste keer dat een rechtspersoon (bedrijf) veroordeeld wordt voor dit misdrijf.

Er was nog wat discussie over welke vorm van computervredebreuk het nu was, maar de rechtbank maakte daar korte metten mee. Het OM had ten laste gelegd dat een “technische ingreep” (een computerkraak of exploit) was gebruikt, maar het bedrijf verweerde zich door te zeggen dat men gewoon een bestaand wachtwoord had gebruikt. Dat vond de rechter juist, maar ook gebruik van andermans wachtwoord is een strafbaar feit. En terecht.

De rechtbank legde het bedrijf een geldboete op van € 4.000 (waarvan € 2.000 voorwaardelijk). Dit is lager dan de eis van 11.250 euro. Het OM had onvoldoende onderbouwd hoe zij tot haar eis kwam. Bovendien nam de rechtbank het ANP kwalijk dat zij kennelijk te weinig had gedaan om zich te beschermen tegen dit soort ongeautoriseerd gebruik door derden. Er zijn tenslotte genoeg eenvoudige technische maatregelen om dit te voorkomen, zoals het beperken van het aantal IP-adressen dat gebruik mag maken van de dienst.

In haar motivatie is de rechtbank hard:

Novum heeft zeer kwalijk gehandeld door zich ten behoeve van haar nieuwsgaring via aan derden verleende inlogcodes de toegang te verschaffen tot de Artos nieuwsserver van het ANP en daarvan ook veelvuldig gebruik te maken. Wetende dat aan haar als opkomend concurrent van het ANP geen toegang tot die server zou worden verleend, heeft Novum die toegang gezocht en gevonden via een bevriende relatie, de eigenaar/directeur van de zaak McPro. Na afloop van het contract tussen McPro en het ANP is Novum gebruik gaan maken van de inlogcodes die aan RTV Utrecht en Sky Radio waren verleend (periode [E]). Aldus van de informatie van het ANP profiterend heeft Novum haar eigen positie in haar concurrentie met het ANP willen versterken.

De oprichter/voormalig commercieel directeur en de voormalig hoofdredacteur werden veroordeeld tot een boete van € 2000, waarvan € 1000 voorwaardelijk met een proeftijd van 2 jaar. Ook deze eis is lager dan de geëiste voorwaardelijke taakstraf van 80 uur met een proeftijd van 2 jaar. Hoewel zij niet persoonlijk de ‘hack’ pleegden, gebeurde dit wel onder hun feitelijke leiding en daarom werden ook zij vervolgd.

Een eerder kort geding van ANP tegen Novum werd in juli 2005 door het Gerechtshof Amsterdam afgewezen omdat het bewijs niet duidelijk genoeg was. ANP moest, aldus het Hof, maar een bodemprocedure beginnen. ANP heeft er echter voor gekozen aangifte te doen van computervredebreuk.

Arnoud

De politie heeft voor het eerst in Nederland iemand opgepakt wegens virtuele diefstal, meldt Planet. Het gaat om de meubi’s (meubels) uit de virtuele wereld voor tieners Habbo Hotel. Spelers lopen als virtueel personage rond, en kunnen hun eigen kamers in dat Habbo Hotel inrichten met speciale credits. Die credits zijn de inkomstenbron van Habbo: die moet je kopen met echt geld.

De verdachten zouden door middel van hacken bij de accounts van de Habbo-gebruikers zijn gekomen en vervolgens meubels naar hun eigen kamers hebben verplaatst. Omdat de Habbo-credits zijn gekocht met echt geld wordt de verdachte behalve hacken ook diefstal ten laste gelegd.

Het lijkt me duidelijk dat het hacken van iemands account, in dit geval het aftroggelen van wachtwoorden, computervredebreuk is. Dat is een strafbaar feit, een misdrijf zelfs. Het intrigerende vond ik de tenlastelegging van diefstal.

Diefstal is het wegnemen van iets “met het oogmerk om het zich wederrechtelijk toe te eigenen” (art. 310 Wetboek van Strafrecht). Er moet dan alleen wel een “iets” zijn om weg te nemen. In een eerdere blogpost over Diefstal van game credits ging ik in op de vraag hoe tastbaar spelobjecten zoals die meubi’s van Habbo zijn. Dat bleek wat twijfelachtig. Maar dat ging over de definitie van “zaak” in het Burgerlijk Wetboek. En hier gaat het om strafrecht. Bij strafrecht zijn de regels anders. Elektriciteit is niet bepaald een tastbare zaak. Toch werd al in 1921 door de Hoge Raad beslist dat diefstal van elektriciteit mogelijk was (het Elektriciteitsarrest, HR 23 mei 1921).

Bovendien: het gaat niet om diefstal van de meubi’s maar om diefstal van het geld waarmee die meubi’s zijn gekocht. Dat is een originele invalshoek. Giraal geld stelen is strafbaar.

De zeer creatieve constructie is dan dat Habbo een bank is, die je saldo op een originele manier laat zien: als meubi’s. Waarom zou giraal geld tenslotte per se een saai getal in je internetbankapplicatie moeten zijn? Je kunt het ook laten zien als een tafel van 5 euro, een stoel van 3 en een plantenbak van 2,50. En (opvoedkundig verantwoord, het is voor kinderen tenslotte) je mag dan zelf uitrekenen dat je saldo 10,50 is.

Arnoud

Een erg lastige vorm van computercriminaliteit is social engineering: niet een computer hacken maar de persoon er voor. Je voordoen als je slachtoffer, dat helaas zijn wachtwoord is vergeten (”en mijn gebruikersnaam is er-o-o-tee”) en zielig doen tot de helpdesk het wachtwoord verandert. Meer voorbeelden bij Microsoft en Securityfocus.

Daar heb je natuurlijk wel de nodige informatie over je slachtoffer bij nodig. Vroeger moest je dan diens vuilnisbak plunderen in de hoop een brief of bankafschrift te vinden. Tegenwoordig is dat een stuk makkelijker: bekijk iemands Hyves-profiel, blader door zijn Linkedin-contactenlijst of lees zijn weblog.

In Emerce een waarschuwend artikel over de risico’s van zulke Web 2.0-sites. Men citeert XS4All:

Met Web 2.0-toepassingen wordt van mensen verwacht dat ze informatie géven. Dat is wezenlijk anders dan de aard van het web een paar jaar geleden. Toen was internet er vooral om informatie tót je te nemen. Hoe meer je geeft, hoe meer risico je loopt. We vinden het verstandig om internetgebruikers erop te wijzen dat dat hun eigen risico is.

XS4All biedt ook een veiligheidstraining waar deze aspecten aan de orde komen.

Je voordoen als iemand anders kan computervredebreuk zijn. Het probleem is natuurlijk dat dat bijzonder lastig te bewijzen is als iemand jou je wachtwoord weet te ontfutselen. Dat laat geen sporen na die een echte ‘hack’ wel nalaat.

UPDATE: (6 september) ook Corcom heeft er een stukje over.

Arnoud

De Amerikaanse tiener George Hotz is er in geslaagd Apple’s iPhone te ontdoen van simlock van Apple’s zakenpartner AT&T, las ik op SYNC.nl. En op de BBC. En bij Tweakers. En Engadget. Ja, ik lees veel.

Wat ik ook las bij Tweakers:

Het is nog onduidelijk in hoeverre het omzeilen van de technische beveiliging van de iPhone juridisch aangepakt kan worden. De Amerikaanse DMCA-wetgeving staat het verwijderen van simlocks in elk geval wel toe, maar heel wat landen hebben inmiddels juridische maatregelen tegen het omzeilen van beveiligingssystemen genomen.

Maar ook in Nederland is het verwijderen van een simlock legaal. Dat is toch echt duidelijk.

Je kunt het kraken van een beveiliging op verschillende manieren juridisch proberen aan te pakken. Ten eerste hebben we artikel 29a Auteurswet, de tegenhanger van de DMCA-regeling waar Tweakers aan refereert. Dat artikel zegt dat je een beveiliging op een stuk software (of ander auteursrechtelijk beschermd werk) niet mag kraken of omzeilen. Maar:

Een simlock en een serviceproviderlock kunnen niet worden aangemerkt als auteursrechtelijk beschermd werk.

Dan is kraken dus legaal. Natuurlijk is het kraken van andermans computersysteem computervredebreuk, maar als je je eigen systeem kraakt, of met toestemming bezig bent, is er niets aan de hand. En een telefoon unlocken gebeurt toch echt met toestemming van de koper van het toestel.

Arnoud

In Engeland is een man gearresteerd vanwege het feit dat hij zonder toestemming gebruik maakte van een draadloze internetverbinding, meldt Techzine.

De 39-jarige man werd dinsdag gearresteerd door twee politieagenten in West-Londen. Deze werden achterdochtig nadat zij de man buitenshuis zijn laptop zagen gebruiken, in de wijk Prebend Gardens. Tijdens ondervraging van de agenten gaf hij toe de onbeveiligde draadloze internetverbinding van iemand anders te gebruiken. Hij is op borg vrijgelaten terwijl de politie de zaak verder onderzoekt.

Niet de eerste keer trouwens.

Zowel in Nederland als in Engeland is het strafbaar om gebruik te maken van andermans draadloos netwerk wanneer het opzettelijk en wederrechtelijk gebeurt. Ook als daarbij geen beveiliging wordt omzeild of misleid. Wel moet het voor de ‘meesurfer’ kenbaar zijn dat hij op verboden terrein zit, bijvoorbeeld doordat een netwerknaam met daarin ‘verboden toegang’ wordt gebruikt.

Het is natuurlijk voor de politie erg lastig om te zien of iemand illegaal meesurft. Zonder aangifte door de eigenaar van het netwerk zou ik niet verwachten dat de politie optreedt. Maar je weet nooit wat het OM bedenkt natuurlijk als ze klaar zijn met downloaden aanpakken.

UPDATE: ik ben “juristen” volgens NU.nl.

Arnoud

Meeliften op andermans netwerk is strafbaar als computervredebreuk. Sinds 1 september 2006 ook als daarbij geen beveiliging wordt doorbroken. Computercriminelen zijn zo dus makkelijker aan te pakken.

Maar wat moeten we met de omgekeerde situatie: iemand zet zijn netwerk open, en allerlei onfrisse derden plegen misdrijven via dat netwerk? Moet je strafbaar zijn als je geen wachtwoord instelt? Dan houden nuttige diensten als FON snel op natuurlijk.

In de Amerikaanse staat Utah wordt gepleit voor het volledig verantwoordelijk houden van netwerkbeheerders voor wat er via hun draadloos netwerk gebeurt, zo meldt Security.NL:

“Als je voor een draadloos netwerk kiest, en iedereen maar toestaat om het te gebruiken, dan ben je daar verantwoordelijk voor, en moet je maatregelen nemen om te voorkomen dat minderjarigen van je dienst gebruik maken”, aldus Preston.

Het idee is dat netwerkbeheerders niet zomaar ongecontroleerd iedereen toegang mogen verschaffen, maar of een wachtwoord, of een filter moeten installeren op wat er gedaan kan worden met het netwerk. Ik heb het altijd raar gevonden dat de eis van een beveiliging werd afgeschaft in de Wet Computercriminaliteit, maar ja dat moest van Europa heet het dan. Mij lijkt een wachtwoord dan wel het minste.

Arnoud