De uitspraak van het Gerechtshof tegen de Nederlandse hacker die enkele jaren geleden werd veroordeeld voor het verspreiden van het W32.Toxbot-virus om zo een botnet te bouwen, is door de Hoge Raad vernietigd. Dat meldde ISPam.nl gisteren. Het Gerechtshof had de verkeerde toets aangelegd om te bepalen of sprake was van “gemeen gevaar” voor het verlenen van diensten. Maar het binnendringen in een ongepatchte Windows XP Servicepack 0-computer is wel degelijk computervredebreuk, want “[de Hoge Raad] heeft geoordeeld dat elke consumentenversie van het computerbesturingssysteem Windows XP is voorzien van enige beveiliging in de zin van art. 138a, eerste lid aanhef en onder a, (oud) Sr.”
In 2005 rolde de Nationale Recherche een botnet op van meer dan 100.000 gehackte computers dat opgebouwd was uit Toxbotbesmette computer. Het netwerk werd gebruikt als springplank voor computervredebreuk maar ook voor het kapen van Ebay- en Paypalaccounts. Dankzij onder meer een oplettende SARA-systeembeheerder kon een onderzoek gestart worden, waar onder meer uit bleek dat meneer flink de pé in had omdat hij het virus “codbot” wilde noemen en “stomme av’s” hadden gekozen voor “toxbot”. Maar, iets relevanter: dat hij updates van Toxbot verstuurde naar een medeverdachte en dat beiden commando’s gaven aan het botnetwerk dat zij beheerden om nieuwe versies van het virus te verspreiden.
Onder de toenmalige Wet Computercriminaliteit kon slechts sprake zijn van computervredebreuk als een beveiliging werd doorbroken. En dat stond hier ter discussie, omdat Windows van vóór SP2 naar deskundige meningen zo lek als een mandje (zonder onderkant) geacht wordt. Maar dat maakt niet uit. Zodra het slachtoffer van computervredebreuk kan aantonen dat er sprake is van enige reële beveiliging dan is dat voldoende. Omdat Microsoft de optie van administratortoegang van buitenaf bij de introductie van XP bewust geblokkeerd had, en Toxbot toch met adminprivileges kon draaien, was daarmee sprake van doorbreken van een beveiliging.
In haar arrest had het Gerechtshof daarbij geconstateerd
Zoals uit de wetsgeschiedenis blijkt kan daarbij worden gedacht aan het plaatsen van een tekst op het beeldscherm dat toegang voor onbevoegden verboden is. Maar omdat deze woorden een per ongeluk tot stand gekomen toegang niet uitsluiten, bevat voornoemd artikel 138a onder meer ook het aanvullende vereiste dat sprake moet zijn van enige beveiliging, ofwel een kenbare drempel zodat onbevoegden zich niet simpelweg de toegang kunnen verschaffen.
De Hoge Raad stemt daarmee in en voegt daaraan toe:
dat onder het doorbreken van enige beveiliging, zoals bedoeld in art. 138a, eerste lid onder a, (oud) Sr, mede dient te worden verstaan het tegen de wil van de rechthebbende binnendringen in een computer langs een weg die de aanwezige beveiliging niet of onvoldoende afsluit. Daarbij is, anders dan de steller van het middel betoogt, niet van belang of die opening inherent is aan het systeem of is veroorzaakt door andere ‘aanvallers’.
Onder het huidige recht geldt een nóg lagere standaard: je hoeft niet eens een beveiliging te doorbreken, genoeg is “het tegen de wil van de rechthebbende binnendringen in een computer”. (Hoewel in april 2010 binnendringen op een draadloos netwerk niet strafbaar werd geacht.)
Het Gerechtshof had bij de gekaapte Ebay- en Paypalaccounts geoordeeld dat geen sprake was van het veroorzaken van “gemeen gevaar” voor dienstverlening. Dat artikel (ook ingezet bij DDoS-aanvallen) was niet van toepassing volgens het Hof omdat alleen de computers van de eindgebruikers waren verstoord, en niet de servers die de dienst leveren. Zolang die servers gewoon draaien, is er geen “gemeen gevaar”, zeg maar.
Dat onderscheid is echter irrelevant volgens de Hoge Raad. Het gaat er niet om of servers dan wel clients verstoord worden, maar of er sprake is van “gevaar voor een ongestoorde dienstverlening aan een onbestemd doch aanmerkelijk aantal afnemers.” Het gaat erom of van de opzettelijk veroorzaakte stoornis gemeen gevaar te duchten was voor een ongestoorde dienstverlening. En dat kan ik wel billijken: als je een groot deel van de clients weet te compromitteren dan breng je toch de dienstverlening in gevaar, zelfs als de servers ongestoord doordraaien. De dienst wordt op die manier onbetrouwbaar omdat mensen hun vertrouwen erin verliezen – en dat is eigenlijk erger dan dat de servers er om de haverklap uitliggen.
Arnoud
A) Mijn bank adviseert met enige regelmaat mijn computer te voorzien van een veiligheidspakket. B) Dit arrest duidt erop dat ook een kale XP al een veiligheidsvoorziening heeft. Dat kan nog leuke discussies opleveren.
Inderdaad, maar ik denk dat je bank die best zou kunnen winnen. De HR zegt hier “door de brakke beveiliging van Windows XP SP0 heenfietsen is strafbaar” en je bank zegt “wij vergoeden je schade niet als je niet actueel bent met je patches”.
Dat lijkt me net zo’n verschil als tussen enerzijds het wetboek dat zegt “uit andermans huis spullen meenemen is diefstal” en anderzijds de verzekeraar die zegt “zonder sporen van braak en/of adequate Politiekeurmerk-beveiliging geen uitkering”.
Hoe zit het met “gemeen gevaar” is dit het potentiele gevaar wat er is of is dit gerelateerd aan de exploitatie van, wat gevaarlijk wordt geacht.
100.000 computers die tegelijk ingezet worden zijn potentieel gevaarlijk, maar als ze alleen maar op de individuele computers de highscore van minesweeper stelen dan is er niets, gemeens, aan de hand
De minister had daarover gezegd: “Gemeen gevaar voor de verlening van diensten ziet dus op een zodanigestoornis van een geautomatiseerd werk dat vooraf geen inzicht kan worden gevormd over de omvang van de schade die daardoor wordt aangericht.” Daar wordt bijgezegd dat als je specifiek ??n computer target je g??n gemeen gevaar aanricht.
Bij een worm die rondloopt en een botnet opzet is de schade niet op voorhand in te schatten. Als dat botnet vervolgens zorgt voor storingen in een dienst van algemeen nut, dan overtreed je dit wetsartikel.
> Bij een worm die rondloopt […]
Huh? Hebben die pootjes?
En wat gebeurt er nu dan? Terug naar een lagere rechter en die moet de bijbehorende zwaardere straf opleggen. Is dat hoe het werkt?
Wat ik vooral jammer vind is de hoeveelheid capaciteit die het uiteindelijk kost om een enkele hacker veroordeeld te krijgen. Deze zaak gaat terug naar 2005 en is na 6 jaar nog steeds niet afgerond! In die tijd zijn er ondertussen twee nieuwe Windows-versies verschenen, is de overstap van 32-bits naar 64-bits gemeengoed geworden, zijn veel nieuwe computers nu multi-core systemen en meten we RAM tegenwoordig in gigabytes en schijven in terabytes. In computerland is dit dus een erg oude zaak geworden, maar het houdt nog steeds de rechtspraak bezig… Wat ik gewoon wil zeggen is dit: er zijn enorm veel hackers en als het al zo lang duurt om er eentje te veroordelen, hoe kunnen we dan verwachten dat al die hackers aangepakt zullen worden?
@Wim (7): Tsja, dat zie ik eigenlijk een steeds groter probleem worden. De wereld verandert steeds sneller en het lijkt wel alsof de wetgevende macht steeds minder goed in staat is om dat bij te houden. De echte economische schade die we als land oplopen is volgens mij de traagheid waarmee de wetgevende macht in staat is de echte wereld bij te houden. Ik ben een leek dus wellicht zijn er hier wetgevingsjuristen die dit pure onzin vinden en ik kan ook geen bewijs leveren voor deze stellingname maar het is wel een gevoel wat mede door jouw punt wordt gevormd.
Niet overdrijven. Het botnet werd in oktober 2005 opgerold en in januari 2007 zijn ze veroordeeld. Dat is 15 maanden later. De hogere beroepen mogen van mij best wat langer duren met het oog op de zorgvuldigheid. 😉
Al eerder denk ik? Het gemeen gevaar is voldoende, of het gevaar zich uiteindelijk nu verwerkelijkt of niet.
@Bram: met wetgevingstrajecten heeft dit niet veel te maken lijkt me? Dat het in een strafzaak 6 jaar duurt voordat de HR uitspraak doet lijkt me vrij normaal. Ik geloof niet dat deze zaak op enige manier zou aantonen dat de wetgeving in 2005 niet toereikend was.