Internetrecht door Arnoud Engelfriet

Afgelopen zaterdag was ik bij hackercommunity Revspace waar ik een half uur mocht praten over computercriminaliteit, hacken en waar de juridische grenzen liggen. Wat is het verschil tussen de TNT-staking en de DDoS?-aanvallen op Paypal? Mag je je eigen bank hacken om te zien of ze wel veilig genoeg zijn voor je geld? En als je de ov-chipkaart gekraakt hebt, mag je dan als proof of concept ermee gaan reizen? De wet stelt grenzen aan ethisch hacken, maar is niet zwart-wit. Dezelfde handeling kan legaal of illegaal zijn afhankelijk van je intentie en de omstandigheden waaronder je deze begaat.

Kijk en luister een half uur lang:

Ik vind mezelf wel steeds meer klinken als Koos Spee :O

Arnoud

Een denial-of-serviceaanval is strafbaar, maar als je naast je eigenlijke doelwit ook nog eens andere websites onderuit schoffelt, wordt dat gezien als een aanval op de telecommunicatie-infrastructuur. Dat blijkt uit een vonnis van de rechtbank Rotterdam dat gisteren verscheen. De verdachte kreeg vijftien maanden cel, waarvan vijf voorwaardelijk, voor het platleggen van twee Nederlandse sites, www.turkishplace.nl en www.turkplace.nl, in 2009. Die aanvallen waren zo groot dat ook andere klanten van de hostingproviders daar last van ondervonden. Hierdoor kon de rechter een zwaarder artikel uit de kast halen: het veroorzaken van “gemeen gevaar voor goederen of voor de verlening van diensten”, waar tot zes jaar cel op staat.

Uit het vonnis blijkt dat de aanvallen werden ondernomen “omdat hij het niet eens was met de wijze waarop hij door de eigenaren van deze websites werd bejegend.” Nu.nl meldt dat hij stoorde zich aan de inhoud van de Turkse sites, wat niet helemaal hetzelfde is maar het was in ieder geval een flinke forumruzie.

De aanvallen waren zo zwaar dat de (toch relatief grote) providers er grote last van hadden. En daarvoor hebben we artikel 161sexies Strafrecht over het verstoren van de werking van de telecommunicatieinfrastructuur.

De providers [provider 2] en [provider 1] faciliteren het internetverkeer van ruim 50.000 klanten. De infrastructuur van deze providers kan derhalve worden gezien als een vitale infrastructuur. Het is een feit van algemene bekendheid dat het uitvoeren van een (d)dos aanval op een dergelijke vitale infrastructuur vergaande financieel-economische schade tot gevolg kan hebben en een groot aantal klanten kan treffen dat van de diensten van voornoemde providers gebruik maakt. Het is niet voorstelbaar dat de verdachte, gezien zijn kennis en expertise op computergebied, niet heeft onderkend dat de door hem uitgevoerde (d)dos aanvallen gemeen gevaar voor de verlening van diensten teweeg konden brengen.

Tot eenzelfde conclusie kwam de rechtbank in de DoS-kabouterzaak uit 2005.

Naast de denial-of-serviceaanval had de verdachte via een SQL-injectie-exploit logingegevens achterhaald, waarna hij hij een lijst met 1.000 creditcardgegevens had weten te verkrijgen. Dit wordt gezien als overdragen van gegevens “die door wederrechtelijk afluisteren, aftappen of opnemen van een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking” (art. 139e Strafrecht) zijn verkregen. Het vonnis heeft het over binnenkomen in de “live help” middels een SQL-injectie, wat zomaar deze attack zou kunnen zijn.

Het is me niet duidelijk of die lijst van dezelfde server kwam als waar hij was binnengedrongen. Ik vermoed dat daarom niet is gekozen voor 138a lid 2 Strafrecht, dat een strafverzwaring biedt als je na computervredebreuk gegevens ontvreemdt van het systeem waar je op binnengedrongen bent. Hoewel hij voor het overnemen van gegevens uit de systemen van Fok! weer wel voor overtreding van dit lid 2 wordt veroordeeld.

Eén van die creditcards had de verdachte volgens eigen zeggen gebruikt om een PlayStation mee te kopen. Daar wordt hij echter niet voor veroordeeld, omdat een enkele bekentenis niet genoeg is voor een veroordeling. En dat is wat anders dan “de politie heeft het bewijs niet wettig in handen gekregen” in het Nu.nl artikel.

Wat mij betreft een prima vonnis, waar men toch vrij snel mee is gekomen gezien de technische complexiteit. Een pluimpje voor het Team High Tech Crime lijkt me op zijn plaats dus.

(Ik was trouwens even verrast toen ik op Nu.nl las welke sites het waren, gezien de tijd en de aard van de aanvallen dacht ik dat het de aanvallers op Geenstijl/Dumpert/Spitsnieuws/Tweakers/Fok waren. Ook daar was rond die tijd een zware DoS aanval gaande en werd een SQL database gehackt. Weet iemand wat daarvan terechtgekomen is eigenlijk?)

Arnoud

Internet stukmaken kan op heel veel manieren. En nu hebben we er weer eentje: met een paar slim gekozen TCP/IP pakketten is het mogelijk om vrijwel elke op internet aangesloten computer plat te leggen, meldt Webwereld.

Bijzonder aan deze aanval is dat hij kennelijk al jaren bekend was bij ontdekkers Outpost24. Men komt echter nu pas naar buiten, omdat er nog steeds geen oplossing voor is en de aandacht misschien mensen stimuleert om deze te gaan zoeken. Op 17 oktober zullen de ontdekkers de aanval demonstreren, maar geen diepe technische details geven.

En dat was waar een lezer me over mailde: zouden ze die wel mogen geven eigenlijk? Met die details kan iedereen aan de slag om een exploit te maken en systemen platleggen. Niemand die dat kan stoppen, want er is dus geen oplossing bekend. Dat lijkt nogal onverantwoordelijk. Maar is het strafbaar?

Als ik de artikelen goed begrijp, dan gaat het hier om een vorm van denial of service, een aanval waarbij de toegang tot een geautomatiseerd werk wordt belemmerd door bepaalde gegevens op te sturen. Dat is strafbaar onder artikel 138b Wetboek van Strafrecht. De meeste mensen denken bij een DoS-aanval vooral aan grote hoeveelheden onzingegevens zoals bij mailbommen of pingfloods. Maar ook een enkel slim gekozen pakketje valt onder deze strafbepaling (winnuke’t u nog wel eens iemand?).

Ook strafbaar is het om technische hulpmiddelen aan te bieden die “hoofdzakelijk geschikt gemaakt of ontworpen” zijn om een DoS-aanval mee uit te voeren (art. 139d lid 2 sub a Strafrecht). Bij diefstal van diensten bepaalde de Hoge Raad in 2005 dat een tijdschrift met een stappenplan een verboden hulpmiddel was (om gratis Canal+ te mogen kijken). Maar dat ging alleen goed omdat artikel 326c van het Wetboek van Strafrecht spreekt van het aanbieden van een “voorwerp en/of gegevens”. En een tijdschrift bevat gegevens, zo oordeelde de Hoge Raad.

Artikel 139d lid 2 spreekt van een “technisch hulpmiddel”, wat mij toch een stuk beperkter lijkt dan “een voorwerp of gegevens”. Valt een proof of concept exploit, een stuk code dat laat zien dat een aanval echt mogelijk is, daar nu onder? Het is een hulpmiddel, maar is het geschikt gemaakt of ontworpen om ook werkelijk aanvallen mee uit te voeren? En dan dus niet demonstratie-aanvallen in het lab, maar echte aanvallen in het wild.

Ik vind het een erg lastige vraag. Het gaat me wat ver om code ter ondersteuning van beveiligingsonderzoek strafbaar te stellen. Aan de andere kant, als die code uitlekt hebben alle script kiddies ook weer maandenlang plezier met het platleggen van internet en dat is ook bepaald onwenselijk.

Wat vinden jullie? Mag die code worden gepubliceerd, of moeten ze daarmee wachten tot iedereen gepatcht is? En maakt het daarbij uit dat dit een fout met een heel brede impact is, in tegenstelling tot een eenvoudige buffer overflow in versie X van één bepaald stuk software?

Arnoud

De ludiek bedoelde actie van Geencommentaar kon Geenstijl toch iets meer boeien dan het shockblog in eerste instantie deed voorkomen. GC had een petitie online gezet, waar GS een bindend stemadvies voor had uitgebracht. GC kreeg zoveel onzininschrijvingen dat zij besloot een database te bouwen met meer dan 2000 IP-adressen van stijlloze reaguurders die de petitie hadden vervuild. Vervolgens publiceerde GC een tooltje waar je op basis van IP-adres kon controleren of je met een “roze randdebiel” cq. “huftert” te maken had.

GS kwam daarop met een “oldskool weblog incrowdcookie van eigen deeg”. Een slim stukje Javascript in de pagina’s van GS zocht automatisch het IP-adres op van elke bezoeker van GS in die database. Nu krijgt GS iets meer bezoekers dan GC, zodat de database dit niet aankon en volledig plat ging.

Is deze stijlloze actie nu computercriminaliteit? Het lijkt sterk op een distributed denial of service-aanval, of voor de juristen onder ons een gedistribueerde verstikkingsaanval. Bij zo’n aanval worden honderden of duizenden computers tegelijk ingezet om gezamenlijk het slachtoffer te overbelasten. Meestal doordat al die computers elk zo veel mogelijk onzingegevens opsturen, maar een groot aantal op zich legitieme verzoeken kan ook tot zo’n overbelasting leiden.

Art. 138b Strafrecht stelt strafbaar het opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk te belemmeren door daaraan gegevens aan te bieden of toe te zenden. Eens kijken hoe ver we komen.

De actie was duidelijk opzet, want die Javascript-code komt niet zomaar in een webpagina terecht. Wederrechtelijk? Ik zou zeggen van wel. Op zich mocht iedere GS-bezoeker zijn eigen IP-adres opzoeken in de database van GC. Maar dit was geen vrijwillig opvragen uit interesse van de bezoeker, maar een min of meer gedwongen opvraging door een programmeertruc van de site. Ik twijfel, omdat er ook nog zoiets bestaat als het Slashdot-effect (in Nederland het Nu.nl effect?): te veel bezoeken vanaf een populaire site kunnen een site ook plattrekken. Dat is niet wederrechtelijk van die populaire site. Maar ik denk dat dat toch waarschijnlijk niet opgaat hier.

De grote vraag is dus of Geenstijl zorgde voor het “aanbieden of toezenden” van de gegevens. Het zijn feitelijk de computers van de bezoekers die het doen. Maar die bezoekers zijn niet bij de actie betrokken. Het is het stukje Javascript van Geenstijl dat het toezenden van de opvraging in werking zet. Dat zou je kunnen zien als een handeling van Geenstijl. Andermans computer op afstand besturen is juridisch hetzelfde als achter het toetsenbord kruipen en de commando’s daar intypen. Ik zeg daar wel gelijk bij dat dit nog nergens in de literatuur of rechtspraak getest is. GC, probeer het eens uit!

Overigens was die actie van GC ook niet bepaald netjes. Het verzamelen van IP-adressen en aanbieden van een zoekmogelijkheid om te zien of iemand een “roze randdebiel” is (of zelfs maar, neutraal gezegd, een Geenstijl-lezer) is een verwerking van persoonsgegevens. Daarvoor moeten de bezoekers wel toestemming hebben gegeven. Ik heb geen privacystatement gezien bij die petitie, laat staan een uitdrukkelijk verzoek om toestemming.

Weet iemand trouwens waarom GC er nu uitligt?

Arnoud

Een groep anonieme hackers heeft de oorlog verklaard aan de omstreden Scientology-beweging, meldde Tweakers gisteren. Het initiatief voor deze serie aanvallen komt van een groep die zich “Project Chanology” noemt.

Directe aanleiding voor deze actie is de actie van Scientology tegen een gelekt video-interview van Tom Cruise. Diverse sites kregen een takedown notice om de film te verwijderen. Enkele daarvan waren gerelateerd aan 4chan, een internetfenomeen dat verantwoordelijk is voor allerlei internet-ongein (zoals de de lolcat) maar ook serieuze vormen van internetvandalisme.

Security.NL meldt dat er meer dan 488 DDoS-aanvallen zijn uitgevoerd op Scientology-websites, goed voor een dataverkeer van gemiddeld 21 megabytes per seconde oftewel de inhoud van zo’n 3 DVD’s per minuut. Best veel, maar niet uitzonderlijk voor verstikkingsaanvallen.

Op internet heeft Scientology een slechte reputatie, door de keiharde manier waarop zij tegenstanders en kritiek aanpakt, zoals schrijfster Karin Spaink en internetprovider XS4All halverwege de jaren negentig ondervonden. Het is mede dankzij hun standvastig optreden dat ik nu IT-jurist ben trouwens.

Hoe begrijpelijk de weerstand tegen Scientology ook is, het is nog geen excuus voor dit soort vigilante justice. Al was het maar vanwege de kans op onschuldige slachtoffers, zoals een Nederlandse school die een paar minuten per ongeluk op de korrel werd genomen omdat de aanvallers het verkeerde IP-adres hadden gebruikt (oh noes!). Bovendien: Scientology van het net proberen te krijgen is precies hetzelfde als wat de beweging altijd kwalijk wordt genomen.

Kritiek leveren mag best, zelfs als je daarbij gebruik maakt van gelekt materiaal zoals die Tom Cruise video. Dat bepaalde het Gerechtshof in die eerder genoemde zaak tegen XS4All en Spaink:

Naar ’s hofs oordeel kan in deze bijzondere omstandigheden niet worden gezegd dat een beperking van de informatievrijheid op grond van de handhaving van het auteursrecht nodig is in de zin van artikel 10 EVRM en evenmin dat het belang van [F] en de Providers en het algemeen belang bij de informatievrijheid van artikel 10 lid 1 EVRM in verhouding tot dat van Scientology c.s. bij handhaving van hun auteursrecht in dit geval minder zwaar weegt. Derhalve behoort het eerstgenoemde belang niet te wijken voor het belang van Scientology c.s. en slaagt het beroep op artikel 10 lid 1 EVRM.

Maar dit is natuurlijk van een heel andere orde dan Scientology proberen van internet te pesten met dit soort computercriminaliteit. Ook Scientology heeft het recht om haar mening te uiten. Uit jurisprudentie over datzelfde artikel 10 lid 1 EVRM blijkt dat je heel ver mag gaan daarin. Pas wanneer je de democratie zelf aanvalt, overschrijdt je een grens. Maar zelfs dan is het de taak van de overheid, en niet zelfbenoemde vigilantes met te veel vrije tijd om daar wat aan te doen.

Arnoud