Storm Worm ontmantelen: nuttig of misdrijf?

storm-worm-bot.pngEen groep Duitse onderzoekers van de universiteit van Bonn heeft een oplossing voor het beruchte Storm Worm botnetwerk, meldden Heise en ZDNet.nl. Juridische problemen maken het echter onmogelijk om deze oplossing in te zetten: de techniek komt neer op computervredebreuk, en hoewel het een goed doel dient, blijft dat een misdrijf.

Storm Worm is één van de grootste en vervelendste botnetwerken ter wereld. Geïnfecteerde computers communiceren met een aantal centrale servers, vanaf waar de beheerders hun commando’s kunnen versturen. De onderzoekers ontdekten dat die communicatie eenvoudig omgeleid kan worden. Daarmee waren ze in staat om in een eigen netwerk de bots de opdracht te geven een speciaal desinfectieprogramma te downloaden en zo zichzelf te verwijderen.

In principe kun je die truc natuurlijk wereldwijd toepassen en zo het virus eenvoudig de nek omdraaien. Maar mag dat eigenlijk wel? De onderzoekers blijken bang van niet. Deze oplossing komt namelijk neer op het draaien van software op andermans PC, oftewel “opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk”. Zonder toestemming of wettelijke rechtvaardigingsgrond dring je wederrechtelijk binnen.

Ik vraag me wel af of je bij een situatie als deze echter geen uitzondering zou kunnen vinden. Het binnendringen dient hier het algemeen belang, en de onderzoekers beschikken over unieke kennis en vaardigheden waardoor uitgerekend zij deze handelingen kunnen uitvoeren. Zou dat niet moeten tellen als rechtvaardigingsgrond?

Natuurlijk is er een risico dat de software die zij gebruiken, bij sommige PC’s tot ernstige storingen zal leiden. Aan de andere kant, die PC was dan toch al besmet met Storm Worm en dan is opnieuw installeren hoe dan ook de enige optie.

Wat vinden jullie? Moeten deze heren hun gang kunnen gaan, of zou alleen de politie dergelijke schoonmaakacties moeten kunnen uitvoeren?

Arnoud

17 reacties

  1. Tja, mag Microsoft zichzelf toegang verschaffen tot alle Windows-computers ter wereld om te zorgen dat de laatste updates geinstalleerd worden? Het lijkt mij dat de situatie niet heel anders is dan huisvredebreuk; zelfs al treed je binnen met goede bedoelingen, als het geen noodsituatie betreft bega je een strafbaar feit.

  2. Ik ben even de juiste juridische term kwijt maar als de buren op vakantie zijn en je ziet dat door een windvlaag het keukenraam is stukgegaan dan mag je toch ook de glaszetter bellen en aktie ondernemen? De kosten zijn zelfs voor rekening van de buren. Geldt een dergelijke escape hier niet ook?

  3. En op welke manier wordt het belang van de computergebruiker met behartigd met het verwijderen van een trojan? Ik ken geen voorbeelden van iemand die aansprakelijk is gesteld voor eventuele schade aangericht door een trojan; het lijkt me dat je het belang van derden behartigt, en niet die van de computergebruiker. In het geval van het kapotte keukenraam is het duidelijk, maar mag je jezelf ook toegang verschaffen tot zijn huis wanneer daarmee voornamelijk het algemeen belang is gediend?

  4. Het lijkt me dat – wanneer dit onder NL recht zou zijn – zaakwaarneming ook niet geschikt is, met oog op bw6 199.1: “1. De zaakwaarnemer is verplicht bij de waarneming de nodige zorg te betrachten en, voor zover dit redelijkerwijze van hem kan worden verlangd, de begonnen waarneming voort te zetten.”

    Dit zou betekenen dat de onderzoekers actief de gereinigde pc’s zouden moeten monitoren oid, en het lijkt me nou niet dat dat is wat ze willen…

    1. De zaakwaarnemer is verplicht bij de waarneming de nodige zorg te betrachten en, voor zover dit redelijkerwijze van hem kan worden verlangd, de begonnen waarneming voort te zetten.???

    Alsof je het gerepareerde keukenraam continue moet bewaken…

  5. Nee, zaakwaarneming is alleen van toepassing als er een acuut gevaar van schade voor degenen wiens zaken waargenomen worden bestaat. Dat is in het geval van de Storm worm niet het geval. Het lijkt mij logischer om een soort notice-and-take-down principe voor ISPs in te voeren. Worden deze verwittigd van een vermoedelijke besmetting van een computer van een ip-adres dat door hen beheerd worden dienen ze desbetreffende computer offline te halen onder mededeling aan desbetreffende klant.

  6. Ik vind het EULA-argument niet erg sterk. Als de EULA gezien moet worden als AV dan is deze te laat geven. En als de EULA gezien moet worden als overeenkomst, dan wordt de koper een overeenkomst opgedrongen. Zaakwaarneming vind ik beter passen, maar ik vind dat toch ook een beetje tricky. Gaat dat wel op als je het op deze schaal doet?

    Een eigen belang bij het verwijderen van dergelijke software zie ik wel. Provider zouden kunnen negatief reageren op de aanwezigheid van de dergelijke software. Maar je begeeft wel op glad ijs. Het lijkt me dat je wel zeker moet weten dat die ander die software niet op zijn PC wilde hebben.

  7. In het geval van Microsoft updates lijkt het me het ge?nstalleerde OS zelf dat programma’s installeert/de?nstalleert. Dat lijkt me geen computervredebreuk. En zelfs als het initiatief van de Microsoft server komt, kun je nog stellen dat er geen sprake is van “binnendringen”. Ook “wederrechtelijk” biedt openingen.

    Wat betreft Storm Worm, zaakwaarneming is inderdaad een interessante insteek. Ik vroeg me even af of zaakwaarneming wel een zelfstandige rechtvaardigingsgrond kan vormen, of dat het bestaan van een rechtvaardigingsgrond juist een voorwaarde is voor het onstaan van de bevoegdheid tot zaakwaarneming. Zaakwaarneming blijkt inderdaad een zelfstandige rechtvaardigingsgrond te zijn:

    Anderzijds vormt zaakwaarneming op redelijke grond een rechtvaardigingsgrond, die de onrechtmatigheid aan het handelen van de zaakwaarnemer ontneemt. Zie Parl. gesch., p. 617, en Mon. Nieuw BW B-53 (Schrage), nr. 15; (…)
    Een beroep op zaakwaarneming lijkt me hier wel mogelijk. De procedure die Walter voorstelt is m.i. behoorlijk bezwaarlijk voor alle betrokkenen, en ik denk dat je mag aannemen dat iemand met een trojan op zijn pc daar graag van verlost wil worden. Verder speelt natuurlijk ook het algemeen belang.

  8. Hm, dat artikel is er ook nog ja! Dat artikel is geschreven voor antivirusfirma’s die in het kader van tests een virus mogen loslaten om te kijken hoe het zich verspreidt. Ik geloof niet dat bij het invoeren van dat artikel de situatie besproken is dat je een antivirusvirus loslaat. Maar strikt gesproken zou het eronder vallen ja. Alleen: dan kan er nog steeds sprake zijn van computervredebreuk (je dringt andermans PC binnen) of vernieling (als de desinfectie fout gaat). Dus je bent er dan nog niet.

  9. Zou de oplossing niet kunnen liggen in de AV van ISP’s, die private klanten dienen te tekenen om een aansluiting te verkrijgen.

    In de huidige AV’s is het al gebruikelijk dat bij welke vorm van misbruik dan ook de aansluiting gekapt kan worden. Sommige ISP’s sluiten besmette klanten dan ook af en laten de klant de troep opruimen alvorens weer aan te sluiten.

    Lijkt me best een goed verkooppraatje c.q. advertentietekst : “Bij een ongelukje ruimt Access4you uw troep volledig op en bespaart u de tijd, de moeite en de ergernis”.

  10. is het niet mogelijk een programmatje te vrijgeven zodat mensen het zelf kunnen testen of ze zoon worm hebben en hem uit kunnen zetten dan overschreid niemand de regels en is iedereen blij 🙂

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.