Internetrecht door Arnoud Engelfriet

Hackers hebben malware verspreid via een advertentienetwerk, meldde Tweakers gisteren. Bekende sites van Wegener, Sanoma en Reed Business zouden zijn getroffen, maar niet Nu.nl, meldt Nu.nl. Het virus doet voorkomen alsof een computer crasht en biedt vervolgens een oplossing voor het probleem, waar de gebruiker dan wel voor moet betalen. Drie keer raden welke vraag ik nu ga behandelen.

De wet stelt het opzettelijk verspreiden of ter beschikking stellen van kwaadaardige software zoals virussen en wormen strafbaar, met de generieke definitie ‘programma’s die bestemd zijn om schade aan te richten in een geautomatiseerd werk’. Daarmee zijn zo ongeveer alle soorten virussen en wormen gedekt.

Het per ongeluk (laten) verspreiden van virussen of het beschadigen van systemen of informatie is in principe niet strafbaar. Als er door een lek in de software binnengedrongen is, dan is geen sprake van opzet. Er is echter een ondergrens: als systemen door grove nalatigheid beschadigd of onbruikbaar worden gemaakt, dan is het betrokken bedrijf wel degelijk strafbaar. Wel worden de maximumstraffen dan verlaagd.

Het virus (de Trojan?) blijkt verspreid via een advertentienetwerk. Hoe de advertentieserver van het netwerk kon worden besmet, kon men gisteren nog niet zeggen. Dat maakt het moeilijk bepalen of sprake is van grove nalatigheid.

Er is nog nooit iemand aangeklaagd met als beschuldiging grof nalatig te hebben gehandeld bij het verspreiden van virussen of het laten aanrichten van schade. Wellicht dat dit in de toekomst gaat gebeuren: nu het eigenlijk algemeen bekend is dat men eigenlijk een virusscanner en firewall op de pc moet hebben, kan het grof nalatig worden om dit niet te doen. Hetzelfde kan gelden voor bedrijven die hun software niet bijwerken door de updates van Microsoft, Apache en andere bedrijven niet te installeren.

Een boze schadeclaimbrief naar Wegener en andere partijen die meewerkten is echter snel geschreven, en wie weet schrikt er daar dan iemand zó van dat men zomaar gaat betalen.

Arnoud

Een affiliate van het beruchte DollarRevenue heeft van de rechtbank een boete van 14.000 euro gekregen, meldde Webwereld vorige week. De OPTA kwam tijdens het onderzoek naar spyware van DollarRevenue de namen tegen van twee Nederlanders die als affiliate stonden geregistreerd bij het bedrijf. Zij verspreidden tegen betaling de DollarRevenue-software, en de OPTA merkte ze daarom aan als zelfstandig verspreiders van spyware.

Eén van de beboete personen ging in beroep, maar ook de rechtbank acht hem schuldig. Alleen de hoogte van de boete wordt ietwat gematigd (van 16.000 naar 14.000 euro) omdat onvoldoende rekening was gehouden met het feit dat hij ten tijde van de overtreding psychisch in de war was.

Het maakte niet uit dat deze personen ’slechts’ affiliates waren en dus andermans software promootten. Hun handelingen zorgden er namelijk voor dat de software werd geïnstalleerd op computers van eindgebruikers, en dat mag niet als daar niet expliciet toestemming voor is gekregen. Het boetebesluit van de OPTA legt uit hoe de affiliates werkten:

[E]en argeloze gebruiker kreeg een link toegestuurd naar de kwaadaardige software via één van de contactpersonen uit zijn MSN-contactenlijst. De gebruiker dacht dat dit een persoonlijke boodschap betrof met een link naar een foto. Zodra hij de link opende, werd advertentie- en verspreidingssoftware op zijn computer geïnstalleerd. De volgende keer dat de gebruiker het chatprogramma MSN opstartte, werd automatisch aan al zijn contactpersonen in de contactenlijst dezelfde link toegestuurd.

Dat is dus niets meer of minder dan een ordinaire worm die zichzelf verspreidt. En of je nu je eigen of andermans worm loslaat, het is en blijft een overtreding van de wet.

Zestien- of veertienduizend: het blijven forse boetes. Bij deze zaken krijg je wel altijd de vraag of ze echt effectief zijn. Deze spyware is op 180.000 computers geïnstalleerd en volgens Tech’n Security kreeg je

30 cents per install in the USA, 20 cents per install in Canada, 10 cents in the UK, 1 cent in China and .02 cents in other countries

Volgens Pay per Install geldt die “.02 cents” voor Azië, dus ik aarzel nu wat het Nederlandse bedrag is. Bij 10 cent per installatie (analoog aan de UK) is de revenue dus 18.000 dollar, maar bij 2 cent is het slechts 3600 dollar en dan heeft de boete toch wel aardige impact.

Arnoud

De uitspraak van het Gerechtshof tegen de Nederlandse hacker die enkele jaren geleden werd veroordeeld voor het verspreiden van het W32.Toxbot-virus om zo een botnet te bouwen, is door de Hoge Raad vernietigd. Dat meldde ISPam.nl gisteren. Het Gerechtshof had de verkeerde toets aangelegd om te bepalen of sprake was van “gemeen gevaar” voor het verlenen van diensten. Maar het binnendringen in een ongepatchte Windows XP Servicepack 0-computer is wel degelijk computervredebreuk, want “[de Hoge Raad] heeft geoordeeld dat elke consumentenversie van het computerbesturingssysteem Windows XP is voorzien van enige beveiliging in de zin van art. 138a, eerste lid aanhef en onder a, (oud) Sr.”

In 2005 rolde de Nationale Recherche een botnet op van meer dan 100.000 gehackte computers dat opgebouwd was uit Toxbotbesmette computer. Het netwerk werd gebruikt als springplank voor computervredebreuk maar ook voor het kapen van Ebay- en Paypalaccounts. Dankzij onder meer een oplettende SARA-systeembeheerder kon een onderzoek gestart worden, waar onder meer uit bleek dat meneer flink de pé in had omdat hij het virus “codbot” wilde noemen en “stomme av’s” hadden gekozen voor “toxbot”. Maar, iets relevanter: dat hij updates van Toxbot verstuurde naar een medeverdachte en dat beiden commando’s gaven aan het botnetwerk dat zij beheerden om nieuwe versies van het virus te verspreiden.

Onder de toenmalige Wet Computercriminaliteit kon slechts sprake zijn van computervredebreuk als een beveiliging werd doorbroken. En dat stond hier ter discussie, omdat Windows van vóór SP2 naar deskundige meningen zo lek als een mandje (zonder onderkant) geacht wordt. Maar dat maakt niet uit. Zodra het slachtoffer van computervredebreuk kan aantonen dat er sprake is van enige reële beveiliging dan is dat voldoende. Omdat Microsoft de optie van administratortoegang van buitenaf bij de introductie van XP bewust geblokkeerd had, en Toxbot toch met adminprivileges kon draaien, was daarmee sprake van doorbreken van een beveiliging.

In haar arrest had het Gerechtshof daarbij geconstateerd

Zoals uit de wetsgeschiedenis blijkt kan daarbij worden gedacht aan het plaatsen van een tekst op het beeldscherm dat toegang voor onbevoegden verboden is. Maar omdat deze woorden een per ongeluk tot stand gekomen toegang niet uitsluiten, bevat voornoemd artikel 138a onder meer ook het aanvullende vereiste dat sprake moet zijn van enige beveiliging, ofwel een kenbare drempel zodat onbevoegden zich niet simpelweg de toegang kunnen verschaffen.

De Hoge Raad stemt daarmee in en voegt daaraan toe:

dat onder het doorbreken van enige beveiliging, zoals bedoeld in art. 138a, eerste lid onder a, (oud) Sr, mede dient te worden verstaan het tegen de wil van de rechthebbende binnendringen in een computer langs een weg die de aanwezige beveiliging niet of onvoldoende afsluit. Daarbij is, anders dan de steller van het middel betoogt, niet van belang of die opening inherent is aan het systeem of is veroorzaakt door andere ‘aanvallers’.

Onder het huidige recht geldt een nóg lagere standaard: je hoeft niet eens een beveiliging te doorbreken, genoeg is “het tegen de wil van de rechthebbende binnendringen in een computer”. (Hoewel in april 2010 binnendringen op een draadloos netwerk niet strafbaar werd geacht.)

Het Gerechtshof had bij de gekaapte Ebay- en Paypalaccounts geoordeeld dat geen sprake was van het veroorzaken van “gemeen gevaar” voor dienstverlening. Dat artikel (ook ingezet bij DDoS-aanvallen) was niet van toepassing volgens het Hof omdat alleen de computers van de eindgebruikers waren verstoord, en niet de servers die de dienst leveren. Zolang die servers gewoon draaien, is er geen “gemeen gevaar”, zeg maar.

Dat onderscheid is echter irrelevant volgens de Hoge Raad. Het gaat er niet om of servers dan wel clients verstoord worden, maar of er sprake is van “gevaar voor een ongestoorde dienstverlening aan een onbestemd doch aanmerkelijk aantal afnemers.” Het gaat erom of van de opzettelijk veroorzaakte stoornis gemeen gevaar te duchten was voor een ongestoorde dienstverlening. En dat kan ik wel billijken: als je een groot deel van de clients weet te compromitteren dan breng je toch de dienstverlening in gevaar, zelfs als de servers ongestoord doordraaien. De dienst wordt op die manier onbetrouwbaar omdat mensen hun vertrouwen erin verliezen - en dat is eigenlijk erger dan dat de servers er om de haverklap uitliggen.

Arnoud

Een speciaal team van de nationale recherche heeft maandag een crimineel computernetwerk platgelegd, meldde nu.nl. Na klachten over het Bredolab-botnet vorig jaar werd een onderzoek ingesteld, waarbij maar liefst 143 command-and-controlservers aangetroffen werden. Deze werden maandag offline gehaald door provider Leaseweb. Het brein achter het botnet zou ook zijn gearresteerd.

Bij Tweakers laat men weten dat men de komende tijd gebruikers wil gaan waarschuwen dat hun pc geïnfecteerd is. En daar is men al mee bezig: klik maar op het plaatje om te zien wat je dan in beeld krijgt (dank aan Com-connect). Je krijgt dus als slachtoffer van dit botnet een redirect naar de server van de nationale recherche, en bent daardoor min of meer verplicht om je PC te gaan opschonen.

Ik vraag me af of dit kan. Het lijkt me niet echt de bedoeling dat de politie bij mensen gaat inbreken immers. Tegelijkertijd lijkt het wel netjes dat de politie je waarschuwt als er iets mis is met je beveiliging en je daardoor slachtoffer van een misdadiger bent geworden. Vroegah kreeg je ook wel eens briefjes door de deur “Tijdens uw afwezigheid stond het keukenraam open” of “Er liggen waardevolle zaken in deze auto, doe dat nou niet”. Zou er daarmee een parallel te trekken zijn?

We kennen in het recht de figuur ‘zaakwaarneming‘. Je mag andermans problemen gaan oplossen als daar een goede reden voor is en die persoon dat niet zelf kan doen. Als je buren op vakantie zijn en de kat zit hongerig alleen thuis, dan mag je de deur forceren en het dier naar een dierenarts of asiel brengen. (En de rekening is dan voor je buren.) Dat is dan geen inbraak maar een gerechtvaardigd binnentreden op grond van zaakwaarneming. Het lijkt me dat als dat mag, je ook virtueel naar binnen mag om te zeggen “hoi u heeft een botnet, doe er wat aan”.

Wie trouwens kan uitleggen waarom dit botnet a) 143 servers had en b) al haar servers bij 1 resellertje had staan, mag het zeggen.

Arnoud

De OPTA heeft een bedrijf en een persoon onterecht een boete opgelegd voor betrokkenheid bij de DollarRevenue-spywarezaak, meldde Tweakers gisteren. Een wat merkwaardige insteek: je zou denken dat het grote nieuws is dat de EULA bij de adware/spyware als onvoldoende duidelijk werd aangemerkt en je niet langs deze weg legaal software mag installeren. Dat de OPTA dan ten onrechte één BV en één van de directeuren privé had beboet, lijkt me dan meer iets voor de vierde alinea.

De boete werd opgelegd in 2007 vanwege het ongevraagd installeren van software, wat namelijk in strijd is met de Telecommunicatiewet, of beter gezegd het Besluit Universele Dienstverlening en Eindgebruikersbelangen (Bude). Het bedrijf DollarRevenue bood via allerlei affiliates een downloader aan, dat nadat het was geïnstalleerd op de computer van een eindgebruiker, zonder tussenkomst van die eindgebruiker automatisch contact opnam met de DollarRevenue server om daar nog meer software te downloaden. Daardoor kreeg de eindgebruiker een stroom van reclameboodschappen in floepvensters en een extra zoekbalk in de taakbalk van Windows XP, plus nog de nodige narigheid.

Nou mag dat op zich allemaal wel, mits je maar de gebruiker vooraf vertelt wat hij gaat downloaden. Dat was hier niet gebeurd: de software werd via botnets verspreid maar ook als ActiveX control aangeboden. En vanwege dat laatste maakten de DollarRevenue-jongens bezwaar tegen de boete. Bij ActiveX wordt namelijk een EULA getoond, en daar stond het allemaal heus in. Zeker sinds SP2, waarbij Microsoft de informatievoorziening rond installeren van ActiveX controls had uitgebreid.

Daar trapte de verrassed cluevolle rechtbank niet in:

Bij XP SP2 wordt immers uitsluitend algemene informatie verstrekt over de toepassing van ActiveX en wordt er geen informatie gegeven over de doeleinden en plaatsing van de downloader, de loader.exe en de advertentiebundel. Het duidelijk verschaffen van informatie komt neer op de invulling van ‘Name’ en ‘Publisher’ in het standaard ActiveX venster. Met betrekking tot de naam is het vermelden van ‘Click here to agree to this download’, zoals bij DollarRevenue, ontoereikend. Deze ruimte dient immers gebruikt te worden om de naam van de software kenbaar te maken. In bijvoorbeeld het ActiveX venster van Adobe Flash Player staat duidelijk om welke software het gaat, namelijk de Flash Player. Dit is met de naam ‘click here to agree to this download niet het geval.

(Een rechter die Flash installeert? Het moet niet gekker worden.)

De DollarRevenue jongens hadden nog wat achter de hand: in de EULA stond deze toch niets aan duidelijkheid overlatende zin:

Carefully read the following license agreement and the partner software application eulas found at the above online sites, because by downloading or installing, registering for, or using the software and/or partner application software, you are consenting to be bound by and are becoming a party to these agreements applicable to your software.

Maar het noemen van een EULA plus verwijzing naar die van anderen is toch bezwaarlijk uit te leggen als voldoende duidelijke uitleg over wat deze software nu gaat doen. Verwijzen naar EULAs van advertentiebedrijven helpt daarbij niet.

Bij andere verspreidingsvormen, zoals via dat botnet of via de silent install optie (bedoeld om de eindgebruiker “een overdaad aan informatieschermen te besparen”, hoe krijg je het verzonnen) en via exploits, werd zelfs helemaal niets in beeld gebracht. Dus hoe dan ook werd artikel 4.1 Bude overtreden.

Na een kort intermezzo over de bevoegdheid (veel gebruikers van deze software woonden buiten Nederland, maar dat bleek niet relevant) maakt de rechtbank vervolgens korte metten met het argument dat het allemaal de schuld van de affiliates was. DollarRevenue verspreidde de software ook zelf, en had bovendien niets gedaan om te controleren dat de affiliates zich netjes zouden gedragen.

Arnoud

Een groep Duitse onderzoekers van de universiteit van Bonn heeft een oplossing voor het beruchte Storm Worm botnetwerk, meldden Heise en ZDNet.nl. Juridische problemen maken het echter onmogelijk om deze oplossing in te zetten: de techniek komt neer op computervredebreuk, en hoewel het een goed doel dient, blijft dat een misdrijf.

Storm Worm is één van de grootste en vervelendste botnetwerken ter wereld. Geïnfecteerde computers communiceren met een aantal centrale servers, vanaf waar de beheerders hun commando’s kunnen versturen. De onderzoekers ontdekten dat die communicatie eenvoudig omgeleid kan worden. Daarmee waren ze in staat om in een eigen netwerk de bots de opdracht te geven een speciaal desinfectieprogramma te downloaden en zo zichzelf te verwijderen.

In principe kun je die truc natuurlijk wereldwijd toepassen en zo het virus eenvoudig de nek omdraaien. Maar mag dat eigenlijk wel? De onderzoekers blijken bang van niet. Deze oplossing komt namelijk neer op het draaien van software op andermans PC, oftewel “opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk”. Zonder toestemming of wettelijke rechtvaardigingsgrond dring je wederrechtelijk binnen.

Ik vraag me wel af of je bij een situatie als deze echter geen uitzondering zou kunnen vinden. Het binnendringen dient hier het algemeen belang, en de onderzoekers beschikken over unieke kennis en vaardigheden waardoor uitgerekend zij deze handelingen kunnen uitvoeren. Zou dat niet moeten tellen als rechtvaardigingsgrond?

Natuurlijk is er een risico dat de software die zij gebruiken, bij sommige PC’s tot ernstige storingen zal leiden. Aan de andere kant, die PC was dan toch al besmet met Storm Worm en dan is opnieuw installeren hoe dan ook de enige optie.

Wat vinden jullie? Moeten deze heren hun gang kunnen gaan, of zou alleen de politie dergelijke schoonmaakacties moeten kunnen uitvoeren?

Arnoud

Ook op virussen en bots zit auteursrecht. Het is alleen wat lastig om je recht te halen als het werk ontworpen en gebruikt is voor illegale activiteiten zoals spammen en computervredebreuk. Een slimme Rus had daar wat op verzonnen: plak een EULA op je botsoftware met een leuke boeteclausule:

In cases of violations of the agreement and being detected, the client loses any technical support. Moreover, the binary code of your bot will be immediately sent to antivirus companies.

Een soort van arbitrageovereenkomst dus, maar dan anders.

Via Slashdot.

Arnoud

De OPTA heeft drie Nederlandse bedrijven en hun twee directeuren een boete van in totaal een miljoen euro opgelegd, meldde Planet dinsdag. De boete (van 1 miljoen) was voor het verspreiden van de DollarRevenue reclamesoftware. Deze software installeerde ongevraagd andere software, toonde reclame in floepvensters (popups) en was niet of nauwelijks te verwijderen. Goed dus dat daar hard ingegrepen is, maar sinds wanneer doet de telecomwaakhond dat?

Nou, sinds augustus dit jaar ongeveer. Ongevraagd installeren van software is verboden op grond van het (Koninklijk) Besluit Universele Dienstverlening, en de OPTA gaat over de uitvoering van dat besluit.

Zoals ik destijds schreef:

Artikel 4.1 van dat Besluit regelt dat opslaan van gegevens op iemands computer alleen mag als men eerst de gebruiker duidelijk en nauwkeurig informeert over het hoe en waarom, en ook nog eens op een “voldoende kenbare wijze” gelegenheid biedt om dat opslaan te weigeren

Mooie zaak dus dat de OPTA zo voortvarend bezig is gegaan met deze regeling. Want malware kan niet hard genoeg bestreden worden.

Arnoud

Het stelen van financiële informatie is een professionele activiteit geworden. Waar we twintig jaar geleden hooguit bang moesten zijn voor een uit de prullenbak gevist creditcard-bonnetje, zijn nu complete netwerken met geinfecteerde PC’s te huur. Dat gebeurt met Trojaans paard-software zoals Gozi, volgens CorCom Security Analysing een van de meest complexe en lastig te detecteren Trojans aller tijden. CIO magazine beschrijft in een uitgebreid artikel hoe Gozi ingezet wordt om op grote schaal datadiefstal te plegen.

Subscribers could log in with their assigned user name and password any time during the 30-day project. They’d be met with a screen that told them which of their bots was currently active, and a side bar of management options. For example, they could pull down the latest drops — data deposits that the Gozi-infected machines they subscribed to sent to the servers, like the 3.3 GB one Jackson had found.

A project was like an investment portfolio. Individual Gozi-infected machines were like stocks and subscribers bought a group of them, betting they could gain enough personal information from their portfolio of infected machines to make a profit, mostly by turning around and selling credentials on the black market. (In some cases, subscribers would use a few of the credentials themselves).

Mocht u Russisch spreken, dan komt u in aanmerking voor een gratis proefrit.

Lees verder in Who’s Stealing Your Passwords? Global Hackers Create a New Online Crime Economy bij CIO Magazine.

Via Schneier on Security.

Arnoud

Security.NL biedt antwoord op vragen over beveiliging. Een goed initiatief!

Regelmatig ontvangen wij van onze lezers vragen over informatiebeveiliging, privacy of gewoon simpelweg hoe je je computer veilig en schoon kunt houden. Vragen op elk niveau, waar iedereen weleens mee te maken krijgt. Security.NL is daarom een nieuw onderdeel op de website gestart waarbij we die vragen, hoe laagdrempelig of technisch ze ook zijn, door een expert laten beantwoorden.

De eerste vraag is gelijk een leuke: ik ben besmet met een virus, wat nu?

Het antwoord biedt een goed overzicht over hoe om te gaan met virussen, Trojans en virusscanners.

Arnoud