De man die de kersttoespraak van koningin Beatrix op internet vond, heeft zich strafbaar gemaakt. Zoiets zei ik Eerste Kerstdag tegen de NOS. En dat maakte nogal wat los. URL’s zijn toch openbare adressen, wat op een server staat is niet geheim, er wordt niets gekraakt, dit is toch pure domheid van de RVD, en ga zo maar door. Ja ja dat klopt allemaal en de RVD is ook een stel prutsers maar het blijft een feit dat binnendringen óók zonder iets te kraken strafbaar is.
Sinds 2006 hebben we een brede definitie van computervredebreuk: ieder opzettelijk en wederrechtelijk “binnendringen” in een computersysteem is strafbaar, ook als er niets wordt gekraakt, omzeild, geïnjecteerd of vervalst. Zodra je ergens bent waarvan je wéét dat je er niet mag zijn, ben je formeel al in overtreding. En ik zie werkelijk niet waarom dat wél zou gelden bij een SQL injectie en niet bij een trivialer vorm van URL-manipulatie – zoals bij de kersttoespraakurl waarbij het een kwestie was van jaartal en UID aanpassen. Beiden zijn aanpassen van URLs.
Natuurlijk, het is technisch bepaald triviaal en volstrekt onvergelijkbaar met het soort hack waarmee Diginotar gekraakt werd, dus om het nou “hacken” te noemen is wel erg veel eer. Maar het formele punt blijft. Je verandert een webadres om informatie te krijgen die niet openbaar bedoeld was. Waarom maakt het uit of je dat met de toevoeging ” OR 1=1; SELECT * FROM userdata” doet of door 31337 te veranderen in 31338?
Een veelgehoord argument was dat informatie op een website openbaar is tenzij deze afgeschermd is. Dan zou er per definitie dus geen sprake van binnendringen kunnen zijn. Sympathiek, en ik zou het graag zo zien, maar dat staat niet in de wet. Net zo min als er in de wet staat dat je mijn achtertuin mag betreden als er geen hek omheen staat. Dat is en blijft mijn eigendom en ik beslis wie daar mag lopen of kamperen.
Het blijft natuurlijk van de zotte dat de RVD een “onderzoek” gaat instellen, en ik kan me níet voorstellen dat het OM meer dan vijf minuten besteedt aan een eventuele aangifte.
Arnoud
Hou maar op om internet met het echte leven te vergelijken. Werkt niet meer.
Helemaal eens, op http://fokkezb.nl/post/38806771806/kersttoespraak zijn er naast de obligate sleutels en sloten ook al schuurtjes, luiken, steegjes, boeken en etalages aan te pas gekomen om een webserver na te bouwen. Webservers zijn het echte leven en metaforen gaan altijd mank.
Helemaal eens, het moet zonder vergelijkingen.
We weten uit de rechtspraak dat SQL injectie een vorm van binnendringen is, omdat je daarmee toegang krijgt tot informatie die niet bedoeld was om opgevraagd te worden. Ik zie SQL injectie als een moeilijke vorm van URL aanpassen. Dus volgens mij is dan elke vorm van URL aanpassen een vorm van binnendringen.
Rechtbank Rotterdam 14 april 2010, LJN BM1172:
Gerechtshof ‘s-Gravenhage 3 februari 2012, LJN BV3397:
En in de parlementaire behandeling van dit wetsartikel (TK 1991-1992, 21551, nr 11, p. 23):
Een getal ophogen in een URL is een “uiterst eenvoudige technische ingreep” lijkt me. Uit deze passage maak ik toch echt op dat het de bedoeling van de wetgever was om ook zo’n triviale techniek onder de strafbaarstelling te scharen.
De derde quote is naar mijn idee niet van toepassing, want er is geen sprake van een bedrieglijkheid. Laat staan dat er sprake van een SQL injectie is, dus die eerste twee doen er ook niet toe.
Heb je nog andere gronden?
Die eerste twee doen er wel toe want ik zie het principiële verschil niet tussen een ID aanpassen en SQL injectiecode toevoegen. Beiden zijn aanpassen van een URL met als oogmerk de server iets te laten uitleveren dat de server niet had mogen uitleveren. Beiden gebruiken bugs in de server; de een een gebrekkige/afwezige check op openbaarheid van de resource en de andere een gebrekkige validatie op SQL in een parameter.
Met “er is geen sprake van SQL injectie” heb je dus het argument niet weerlegd. Wat maakt injectie wézenlijk anders dan een string aanpassen? Een injectie ís een string.
Een tehnische ingreep is het in grijpen in de werking van een systeem met behulp van technische kennis. Voor het uitvoeren van een SQL injectie heb je technische kennis nodig. Voor het veranderen van een numerieke waarde heb je deze kennis niet nodig. Bij dit laatste kunnen we ons ook de vraag stellen of we hiermee wel ingrijpen in de werking van een systeem? Deze vraag beantwoord ik negatief.
dit is je reinste onzin. wanneer pagina’s (URL) publiek zijn, zijn deze dan ook publiek. Dat is nu eenmaal eigen aan het woord. Gaat men Google een proces voor huisvrvedebreuk aandoen omdat zo’n pagina gescreend wordt en weergegeven in zoekresultaten? Wwarom kan men niet gewoon toegeven dat dit een spijtige fout van de webmaster is?
Het is een behoorlijke blunder, maar dat maakt het niet per se legaal voor de andere partij. Als DNB de kluisdeuren openzet en een menigte de goudstaven meeneemt, dan is dat een gigantische blunder van DNB maar nog steeds diefstal.
Deze vergelijking gaat niet op. Het opvragen van willekeurige URL bij een webserver is niet hetzelfde als het wegnemen van andermans eigendommen.
Je kan het beter vergelijken met dat de DNB de kluisdeur open laat staat en ik daar gebruik van maak om naar binnen te kijken en de inhoud van de kluis te zien.
Arnout, als je tuin niet zichtbaar afgebakend is als tuin is het een medeburger niet aan te rekenen als hij daar per ongeluk komt, toch?
Per ongeluk niet, maar als je weet dat het mijn tuin is dan bega je erfvredebreuk door er te komen. Denk aan het bordje “art. 461 WvSr”, dat precies voor die reden is bedacht. Dat is ook rechtsgeldig zonder hek of slotgracht.
Ik ben het niet met de vergelijking met de tuin eens: Een tuin ga je binnen. Dat binnengaan is hier het heikele punt en het is zeer aanvechtbaar of de betreffende persoon hier een computersysteem is binnengegaan.
De juiste analogie is naar mijn mening een aanplakbiljet in de openbare ruimte, dat is afgeschermd zodat mensen het nog niet zien. Iemand ziet het toch, kijkt even achter de afscherming en maakt het bericht wereldkundig.
Welnu, een interessante vraag is of het lezen van dat afgeschermde bericht strafbaar is en of naar analogie daarvan het lezen van de kersttoespraak strafbaar moet zijn.
waarom zo n fuzz om nix?
maakt de wet verder geen onderscheid tussen dingen die bedoelt zijn voor publicatie en het daadwerkelijk ontsluiten van informatie die nooit gepubliceerd moest worden. Ik kan me zo voorstellen dat http://rvd/toespraken/2012.mp4 benaderen als ../2011.mp4 ook bestaat iets heel anders is dan moedwillig met technische kennis dingen in het url typen die daar niet thuishoorde, zoals een stuk sql om authenticatie te omzeilen. En om toch de echte wereld vergelijking te doen: Is het inbraak/insluiping als ik het gemeente huis in loop, de publieke ruimtes waar de balies zijn, als de beveiliging is vergeten de deur af te sluiten
Dat kan ik wel beredeneren.
Wat mij betreft ben je een computer binnengedrongen op het moment dat je je hem commando’s kunt geven. Bij de SQL-injectie is dat het geval: Je kunt de database ieder commando geven die je wilt, de eigenaar van de server heeft geen controle over wat je doet.
Een HTTP-verzoek is niets anders dan het opvragen van een document. Het is te vergelijken met de belastingdienst die aangifteformulier T heeft en je eens telefonisch probeert formulier U op te vragen, hetwelk al dan niet zal lukken. Bij het veranderen van 31337 in 31338 kan het HTTP-verzoek eventueel als commando aan de server gezien worden, je kunt alleen maar dat soort commando’s geven zoals de programmeur en daarmee eigenaar ze voorzien heeft. Je blijft binnen de controle die de eigenaar van de server uitoefend.
Op het moment dat een server via HTTP een uitgebreide set commando’s gegeven kan worden zou je kunnen beredeneren dat je wel controle kan uitoefenen op de server op afstand en dat het dan wel binnendringen van een computer is.
Bij het louter opvragen van een URL is daar nog lang geen sprake van.
Maar een HTTP verzoek van de vorm ?id=123 is toch in feite een SQL query? Je wéét dat dit vertaalt naar “SELECT title,content FROM articles WHERE articleid=123”.
Dan klein stapje verder: “?id=123 OR 1=1; SELECT content FROM articles –“. Nu krijg ik niet alleen artikel 123 maar ook alle andere. Dat is dan geen injectie zeg jij?
Je voorbeeld is zeer slecht bij de SQL injectie kan ik de database overnemen als het gat daar voor zich leent, daarbij probeer je willens en wetens de database over te nemen. Bij het aanpassen van de URL kan het ook nog een type fout betreffen. De id=xxx is gewoon een URL als ik bij id=123 bij dit bericht uit kom dan is het voor andere mensen misschien logisch dat id=122 het bericht van gisteren is.
De wet zo maken/oprekken dat een URL aanpassen verboden is dat is bedrijven beschermen of personen die niet weten hoe het internet werkt. Daarbij heb je nog een regering die zover van de hedendaagse techniek staan dat ze denken dat ze alles weten, kijk maar naar ICT en de staat de vele fouten die daar uit voortkomen is vragen om problemen.
De intentie is voor mij cruciaal. Er is een verschil tussen een typfout in een URL maken en opzettelijk een URL aanpassen, ook al leidt de typfout tot dezelfde aangepaste URL. Net zoals er een verschil is tussen per ongeluk de verkeerde deur binnen gaan en opzettelijk diezelfde deur binnengaan.
En tuurlijk, met SQL injectie kun je vaak élk commando uitvoeren dat je wilt. Met een buffel overflow kun je arbitraire commando’s op de shell uitvoeren. Maar fundamenteel blijft het URL manipulatie, want de injectie of de overflow exploit code plak je in de URL (oké soms de POST data maar dat even terzijde). Wáár houdt “gewoon de URL aanpassen” op en begint “de URL manipuleren met toegevoegde commando’s”?
Ik ben het er helemaal mee eens dat deze wet heel fout is, maar volgens mij is het een feature en geen bug dat dit er onder valt.
Dan zou ik ten allertijden fout bezig zijn aangezien ik meestal wel het geen wat ik wil hebben uit mijn hoofd weet. Zo zijn er websites die /2012/12/01 gebruiken om alles te laten zien wat er op die dag is gepost. Hierbij zijn type fouten snel gemaakt door op een dubble toets te drukken wat bij mij nog wel eens gebeurd.
Trouwens bij de DNB als die de kluisdeur open laat staan dan kunnen hun ook gestraft worden aangezien ze iets uitlokken, maar op internet gelden ineens andere regels aangezien het voor bedrijven met een sisser afloopt.
Ander voorbeeldje dan: Ik lees wel eens de commentaren op nujij.nl en soms zijn dat er nog al veel. nujij.nl begint met het laten zien van de meest recente en dus pas ik in de url de start van commentaar naar nummer 1 om zo de 1e te zien. Nu ben ik dus volgens de wet (en jouw beredenering) strafbaar? Lijkt me nogal ver gaan. Wat ik wel fout vind aan het toespraak verhaal is dat de persoon in kwestie het wereldkundig heeft gemaakt. Het aanpassen aan van de URL zelf niet.
Sjoerd en andere typefout-voorbeelden aanslepende mensen, zoals Arnoud al zegt,
Ja, maar is die intentie ook cruciaal voor een ander? Er zijn genoeg hebberige graaiers in de wereld die maar wát graag ge/misbruik maken van dat illegale-url-gedoe. En we kunnen ons niet allemaal een advocaat veroorloven.
Intentie is in heel wat juridische gebieden cruciaal. Beetje cru voorbeeld: je intentie bepaalt of iemands dood door jouw toedoen als ‘moord’ dan wel ‘dood door schuld’ oplevert. Intentie is daar het verschil tussen levenslang en een taakstraf.
Als de intentie zo belangrijk is, dan had die journalist dus moeten zeggen: Ik keek of de kersttoespraak al toegankelijk was gemaakt op de website en dat bleek zo te zijn. Spreekt hij nog de waarheid ook 😉
Het was helemaal geen journalist.
Iedereen is journalist. Beter gezegd: wat er op je loonstrookje staat, is niet relevant voor de vraag of je een beroep mag doen op de uitingsvrijheid.
@Arnoud (hmm ik kan niet op jouw reactie reageren). Of iemand werkelijk van beroep journalist is, is natuurlijk wel relevant voor zijn of haar werkelijke intenties. Dat geef je zelf ook al min of meer aan in je commentaar op de Nieuwe Revu uitspraak:
http://blog.iusmentis.com/2009/11/24/journalistieke-hack-van-revu-legaal/ Argh zelfs deze link naar jouw eigen blog triggerde Askimet alWauw, mijn blog is zo populair dat het WordPress-limieten en bugs blootlegt.
Inderdaad, het kan een maatstaf voor intenties zijn en inderdaad het argument is te misbruiken maar feit is en blijft dat een gewone burger die een misstand ontdekt, deze aan de kaak mag stellen en dan nét zo veel bescherming verdient van de wet als een NVJ-kaartdragende regenjas met typemachine.
Waarom? Het kan net zo goed het volgnummer zijn van een document op schijf.
Wat ik zeg, is dat je op dat moment een manier hebt gevonden om het gebaande pad door de programmeur (het PHP-script) te omzielen en de computer willekeurige commando’s te geven. Behalve die “select” kun je bijvoorbeeld ook “drop database” doen.
Het eerste is het opvragen van een genummerd document. Het tweede het bedienen van een computer.
Wat is in deze context het relevante verschil tussen een SQL database en een lineaire lijst op een harde schijf? Beiden bieden een ID->content mapping.
En oké, het gaat dus om het pad dat de programmeur baande. Met een DROP DATABASE ga je duidelijk van het padje af. Maar doe ik dat niet ook met ID=31337 waar de programmeur zelf alleen ID=123 en ID=124 publiceerde? Dat 31337 verzin ik zelf immers. Ik weet dat het best kan werken maar in feite is het toch net zo zelfverzonnen als DROP DATABASE?
Blijft het feit dat iets wat direct via een URL te benaderen is openbaar is. Heel veel artikelen op het internet die doorlopend genummerd zijn, bijvoorbeeld op datum. Ik zou dit niet een achteringang willen noemen, maar je rijdt gewoon door de hoofdpoort! En daar is die voor bedoeld.
Soms linken die niet door naar het volgende artikel, maar moet je terug via een hoofdpagina. Nu zeg je dus dat als ik dat niet doe en direct de URL verander ik in de situatie kan komen dat het illegaal is? Als ik toevallig het nummertje 1 teveel verhoog en op het artikel van morgen kom wat niet op de hoofdpagina is gelinkt, dan pleeg ik computervrede breuk?
Ik vind dat persoonlijk nogal een groot verschil met SQL injecties. Een URL invoeren is opvragen van informatie, als je die niet openbaar wil hebben moet je die niet opvraagbaar maken. Als je een systeem gebruikt, moet je er vajnui9tgaan dat mensen dat herkennen.
SQL injectie is gebruik maken van fouten in de beveiliging, heeft niets met opvragen van een pagina te maken, maar met manipuleren en gebruik maken van fouten/eigenschappen van de server om informatie op te vragen die niet opvraagbaar zou moeten zijn.
Meegeven van ID=1337 ip ID=n00b is geen SQL injectie, ook al kan het best zo zijn dat die ID meegegeven wordt aan een Query. In dat geval als je 1337 niet wil publiceren, moet je database een foutmelding geven als je 1337 opvraagt.
En waar eindigt het illegale dan? Als je met een gewone URL computervrede breuk pleegt, riskeer je dat dan iedere keer als je op een link klikt? Ieder link naar zo’n site zal immers de standaard vorm URL hebben.
Hoe weet jij wat de de programmeur gepubliceerd heeft? Misschien linkt hij ergens anders wel naar 31337 ipv 123 en 124. En als er een systeem achter zit, wellicht zo simpel als doornummeren, dan verzin ik het niet. Dan gebruik ik een eigenenschap van die website. Ik weet dan dat ik bij het volgende artikel kom door het nummer te verhogen. Zet jij dan iets geheims op het volgende nummer dan ben je gewoon een idioot en moeten ze eigenlijk alle computers uit je beheer halen. Maar om dan maar meteen computervredebreuk te roepen? Dat is volstrekte willekeur en dat kan niet de bedoeling van de wet zijn.
Waar staat tevens geschreven dat je alen op een URL mag komen als die gelinkt is? Begin 1993 typten de meeste mensen die ik kende hun URLs direct in, zoek machines waren er nog niet echt. Vaak ging dat proberen van www . (naamorganisatie) . edu/gov/com om te kijken of men uberhaupt een website had. Vandaag de dag zeg je dat dat computervredebreuk zou zijn als de organisatie nergens die URL had vrijgegeven?
Sorry, maar jouw redenatie komt bij mij de giecheltest niet door. Dit is simpelweg schuld proberen af te schuiven van de RVD.
Als dit dus inderdaad strafbaar is, dan zitten we met een heel foute wet die onschuldige mensen criminaliseert. Dat zou een erg kwalijke zaak zijn, waar de politiek niets aan zal doen. Diverse bewindslieden hebben al regelmatig aangetoont dat het ze niets interesseerd zoland ze maar naar infomartie kunnen graaien ‘in de strijd tegen kp en terrorisme’ (yuck wat ben ik ziek van dat argument) en als ze maar een stok hebben om te slaan naar alles wat ze niet zint. (ja ik wordt inmiddels ziek van de nederlandse politiek)
Dit is inderdaad een hele belangrijke vraag voor de redeneerdoctrine die ik volg, maar hij is goed te beantwoorden.
Je kunt een website zien als het systeem dat de programmeur aanbiedt, en je gaat buiten de gebaande paden als je andere dingen opvraagt dan de links waar je op kunt klikken. Ik ben geen voorstander van deze benadering, omdat het hele internet gebaseerd is op en aan elkaar hangt van de URL. Het is bij het internet explciet de bedoeling dan mensen URL’s invoeren, onthouden, en als gevolg daarvan op variëren.
Als ik iets op Wikipedia iets opzoek dan doe ik dat meestal via de URL, bijvoorbeeld:
http://nl.wikipedia.org/wiki/Arnoud_Engelfried
Hierbij doe ik dan de ontdekking dat er geen artikel over jou bestaat. Het lijkt mij ongewenst dat bij mijn poging een artikel over jou te vinden mij eerst moet gaan afvragen of ik wellicht een strafbaar feit pleeg.
Centraal staat daarom niet de website als geheel, maar de toonvideo.php?id=. Dat is de interface die de programmeur aan de buitenwereld aanbiedt. Die interface is gewoon zichtbaar in de URL-balk en daarmee toont de programmeur wat mensen kunnen onthouden, invoeren en variëren. Het aanroepen daarvan is in mijn visie normaal gebruik van de aangeboden documentopvraagdienst.
Het helpt als je leert spellen: http://nl.wikipedia.org/wiki/Arnoud_Engelfriet
Los daarvan hangt je hele redenatie op de aanname dat “bestand.html” altijd een statische pagina is en “bestand?parameter=waarde” altijd een dynamische pagina. Dat is niet het geval en het is voor jou als rondneuzende bezoeker vaak niet eens te zien hoe de site werkt.
Vervolgens zie ik een fout in jouw url en verander de laatste ‘d’ door een ’t’ en druk op enter. Die pagina bestaat wel op Wikipedia. Heb ik nu iets verkeerd gedaan? Lijkt mij niet.
In bovenstaand geval ziet iemand een url die eindigt op: KH-181212-3998hd.mp4 Vervolgens probeert hij een variatie daarop uit: KH-251212-4003hd.mp4
Ik kan daar op zich niets verkeerds in ontdekken. Heel veel mensen hebben ooit wel eens een url aangepast, bijvoorbeeld omdat de link niet klopte door een (typ)foutje. Ook als je op zoek bent naar het meeste recente wat er op de site te vinden is, dan zie ik niet zo wat daar precies het probleem is. Ze hadden het kunnen afschermen, dus als het vrij gemakkelijk toegankelijk is dan komt dit over op mij alsof dat bewust is gedaan of in ieder geval dat men het niet erg vindt als het dan toch gevonden wordt. Het is misschien eerder gevonden dan verwacht, maar dat betekent naar mijn idee niet dat men de intentie had het volledig af te schermen.
Deze casus is eigenlijk al puur theoretisch (wie gaat hier nou een zaak van maken?), maar ik kan in alle redelijkheid geen (door 138a WvS beschermd) belang zien dat hier wordt geschaad. Zoals ook al in deze uitspraak staat: http://zoeken.rechtspraak.nl/detailpage.aspx?ljn=BP7080 “De wetgever heeft, zoals uit de wetsgeschiedenis blijkt, met artikel 138a, eerste lid, van het Wetboek van Strafrecht (‘computervredebreuk’) diegene willen beschermen “die blijkens feitelijke beveiliging heeft duidelijk gemaakt dat hij zijn gegevens heeft willen afschermen tegen nieuwsgierige blikken” (Kamerstukken II 1989/90, 21 551, nr. 3, p. 15). ” Ik mis hier die feitelijke beveiliging waardoor duidelijk was dat deze gegevens nog niet toegankelijk behoorden te zijn. Wanneer mocht je die url dan wel bezoeken? Als dit echt al strafbaar zou zijn, dan zouden enorm veel andere gevallen ook computervredebreuk zijn. Hoe vaak gebeurt het immers wel niet dat iets ‘uitlekt’ doordat iemand creatief was met de url?
Dat citaat is uit een Kamerstuk uit 1989, onder de eerste Wet computercriminaliteit. Toen was het doorbreken van een beveiliging een vereiste; dat is in 2006 afgeschaft. Deze opmerking is dus niet langer van toepassing ben ik bang.
Het lijkt mij dat dit dan onder “een technische ingreep” zoals genoemd in de wet valt? Dan zou het strafbaar zijn, hoe bizar ook, maar dan vraag ik me dus af wanneer je niet strafbaar bent: met zoeken of klikken op een website geef je de webserver eveneens een dergelijk commando? (Je zou zeggen: met het bezoeken al.)
We gaan er daarbij natuurlijk vanuit dat het het bedoelde gebruik is, maar feitelijk weet je dat niet per se zeker. Nu snap ik wel dat je voor deze toespraak bewust op zoek gaat door een datum aan te passen (en ik snap je punt over injectie), maar ik vind het wel erg moeilijk de precieze grens dan aan te geven. Als het gaat om geïndexeerde pagina’s, dan zijn er talloze aan te wijzen die onbedoeld toch openlijk toegankelijk zijn en gewoon doorzoekbaar en vindbaar met Google. (Een ‘open DIR’, bijvoorbeeld.) Daar kun je specifiek naar op zoek, maar evengoed ook ’toevallig’ uitkomen als je net naar heel specifieke informatie op zoek was.
Maar Arnoud: Als jij geen hek om je tuin zet en jij vorig jaar ook een leuke gimmick in je tuin had staan, kan je er van uit gaan dat mensen in jouw tuin gaan kijken of er dit jaar ook weer een leuke gimmick staat? Dat je die gimmick geheim wilde houden tot een bepaald moment is je goed recht. Maar ga niet zeuren als er iemand voor die tijd in je tuin kijkt en er staat gewoon al iets, wat ie dan vervolgens op twitter gooit. Er stond ook geen bordje naast je gimmick met “niet verklappen tot na 1e kerstdag” of zoiets, of een zeiltje er overheen getrokken. Puur het weten dat het in jouw tuin staat was al genoeg om de gimmick te ontdekken. Er is niemand die je tuin ingelopen is, of op andere manieren huisvredebreuk heeft gepleegd, want jouw tuin is gewoon te zien vanaf de openbare weg. Ja, vorig jaar stond je gimmick achter de tuinkabouter naast de windmolen en nu staat de gimmick aan de andere kant van de windmolen. Dat is niet hetzelfde als “afgeschermd” maar gewoon net op een andere plek neergezet. Dat kan ook haast niet anders, tenzij je de gimmick van vorig jaar wilt vervangen met die van dit jaar. Je wilt er elk jaar eentje bijplaatsen, dus je zet hem keurig op een voor de hand liggende plek, op volgorde naast die van vorig jaar.
Er zijn industry standards en best practices die gaan over het be- en afschermen van gegevens. Geen van deze schrijven voor dat je URLs niet moet linken en claimen dat ze zo vielig weggezet zijn. Afschermen en beschermen kan je doen door middel van wachtwoorden op de content, versleuteling van de content en dergelijke. Al deze technieken worden door de overheid gebruikt, ook op de website(s) waar deze content op stond. Je kan er dus redelijkerwijs van uit gaan dat alles wat niet door deze maatregelen beschermd wordt, openbare informatie is, tenzij er expliciet bij staat dat dat niet zo is.
Deze fout is meerdere malen eerder door de overheid gemaakt. Ondanks dat, is er klaarblijkelijk geen protocol om dit soort dingen te voorkomen, of niet afdoende controle op het naleven daarvan. Als een beroeps-journalist dit had gedaan, was er niemand geweest die het strafbaar had gevonden, want dan viel het gewoon onder nieuwsgaring. Dan was de aandacht niet op die journalist gevestigd, maar alleen maar op het stukje overheid die dit zo klungelig online heeft gezet.
Misschien dat deze handeling volgens de letter van de wet strafbaar zou zijn. Ik weet dat nog niet zo zeker, maar zelfs als dat zo is, kan je de persoon die de handeling uitvoerde en daarna de “openbaarmaking” deed niet aanrekenen dat door zijn toedoen een ingeblikte speech ietsje eerder te bewonderen viel dan de bedoeling is. Er is op zoveel manieren zo laks omgegaan met de hele beveiliging van de bestandjes en de schade die hierdoor is ontstaan is zo ontzettend triviaal dat vervolgen of zwartmaken van de “ontdekker” me totaal niet gepast lijkt. Het lijkt me eerder een aanleiding om de hele overheid eens door te lichten. Welke dingen die er wel toe doen zijn ook op zo’n knullige manier online te vinden? Daar hoor je helemaal niets en niemand over, terwijl me dat oneindig veel belangrijker lijkt.
Eigenlijk zou Beatrix volgend jaar gewoon haar speech weer live moeten geven. Dat geeft toch een beter gevoel van commitment van ons staatshoofd dan een vooraf ingeblikt stukje stemmige beelden en dan zou al dit gedoe met afschermen ook niet nodig zijn.
Als het strafbaar is, wat de stelling is van Arnoud, moet het OM dan niet gewoon vervolgen? En is het dan niet aan de rechter om te kijken hoe de context van deze ‘hack’ op een juiste manier moet worden toegepast op een eventuele strafmaat?
Stel het OM werkt niet mee… En RVD start een art. 12 procedure… Wat dan? Dan moet er dus uitkomen dat het strafbaar is… en dan moet het OM dus alsnog vervolgen?
Zit ik hier nu te binair in of klopt het wat ik zeg?
Ja, we hebben sinds 2006 brede definitie van computervredebreuk, maar dat wil nog niet zeggen dat hier spraken is van binnen dringen. De wet geeft een niet-limitatieve opsomming van wanneer er in ieder geval spraken is van binnendringen. In het geval van SQL injecties wordt er duidelijk een technische ingreep uitgevoerd. Dit is een handeling die een doorsnee gebruiker c.q. leek niet zou kunnen uitvoeren. Daarom zie ik het aanpassen van een URL niet als een technische ingreep.
Hier komt bij dat er met behulp van SQL injecties gebruik wordt gemaakt van bugs in de software, terwijl dit niet het geval is bij het aanpassen van de URL. In het laatste geval wordt verzoekt de bezoeker een pagina en wordt dit verzoek gehonoreerd. Als dit binnendringen is dan is de RVD verzoeken om alvast de kersttoespraak op te sturen dat ook.
De vergelijking met je achtertuin zie ik niet. De intentie van de eigenaar heeft met het installeren van een webserver de intentie om de bezoekers toegang te geven tot zijn computer. Een website zou vergeleken moeten worden met de openbare ruimte. Het plaatsen van de kersttoespraak op de webserver is een vorm van distribueren. Hiermee komt het namelijk ter beschikking van het publiek.
Wat ik mij dan afvraag is waar ligt de grens tussen een typfout in de URL (waardoor je op zo’n pagina komt) en manipuleren? Bovendien is het pas een “probleem” geworden toen de media er bovenop dook. Als de media er niet bovenop was gedoken had verder niemand het geweten.
De tekst uit de aangehaalde parlementaire behandeling heeft het over bedriegelijkheden. Terwijl het aanpassen van een cijfer in de URL m.i. eerder ligt in de lijn van vraagstelling. Hoe bedriegelijk is het om een systeem een vraag te stellen waarop een (bij dat systeem) voorzien (eenduidig) antwoord komt, al dan niet op een te vroeg tijdstip …
Dus de wet zou bepalen dat het strafbaar is voor een derde om iets dat publiek op een webserver beschikbaar gesteld is daadwerkelijk op te halen.?
Lijkt me leuk, mensen vertellen dat ze een misdrijf danwel overtreding kunnen plegen door in het adresveld van hun browser een tikfout te maken.
Terwijl de essentie toch altijd was om iets niet op een publieke webserver te plaatsen als het niet publiek beschikbaar mocht zijn.
Ik vind het idee dat het gebruik van een URL in principe een verzoek is tot datgene waar de URL naar verwijst, zoals in de reacties hiervoor wordt genoemd, wel een goed uitgangspunt. Het is de verantwoordelijkheid van de eigenaar/beheerder van een site om te bepalen wie er na een verzoek (bijvoorbeeld middels een URL) toegang heeft tot de gegevens op de site. Het argument dat er sprake is van een technische ingreep houdt in dit geval geen stand. De betreffende URL was (en is) een geldige URL die leidt naar de opname van de kersttoespraak. Er is geen valse identiteit gebruikt en er is ook geen gebruik gemaakt van een bug zoals bij een SQL-injectie wel het geval is. Dat men de bedoeling had om de URL (tijdelijk) geheim te houden valt nergens uit af te leiden.
Poging vijf, mijn posts verdwijnen in het niets. Nu eens met wat minder hyperlinks. Ja, dat helpt, en als ik dan ‘bewerken’ doe en zin voor zin weer toevoeg dan kom ik ergens. Arnoud, kan jij eens kijken wat er hier aan de hand is, gelukkig had ik nu mijn reactie nog in het clipboard maar ik raak wel vaker iets kwijt op deze site en het vergalt mijn enthousiasme wel een beetje.
Observatie: de discussies rondom openbaarmaking, auteursrecht en nu ook computervredebreuk spitsen zich steeds vaker toe rondom de vraag of het feitelijke openbaarmaken gebeurt door het plaatsen van hyperlinks of door het ter beschikking stellen van het feitelijke bestand. Dit argument komt hierboven langs maar ook in bv Edskes vs Realnetworks en de Buma/Stemra embed-discussie.
Ik kan er een stuk in meegaan. Maar SQL injectie gaat buiten de lijnen van wat de ontwikkelaar van de website heeft beoogd, en het veranderen van 31337 in 31338 (leuk voorbeeld BTW) niet.
Echter, als ik niet meer aan URL’s mag knoeien, mag ik dan wel nog een slash ergens achter zetten? Of www ervoor? Of zelf een URL invoeren? En als ik op http://blog.iusmentis.com zit weer kijken of er ook een gewone site bestaat door ‘blog’in ‘www’ te veranderen? En als ik naar http://blog.iusmentis.com/wp-admin ga? En wat als een lezer gewoon op de link uit de vorige zin in deze reactie klikt? Waar trekken we de lijn in wat knoeien is en wat niet?
-edit Arnoud: ik heb géén idee waarom jij voor spammer aangezien wordt. Je pogingen 1 t/m 3 kan ik niet vinden, poging 4 zat in de spam en deze kwam er inderdaad door. Ik mail je even.-
Het moge duidelijk zijn dat dit gewoon een catch-all wetje is, puur om dubieuze en onbekende manieren van informatievergaring strafbaar te stellen. In principe stellen ze hiermee alle vormen van browsen strafbaar. Van de andere kant… probeer maar eens hard te maken en te bewijzen dat die url met dat ‘foute’ ID niet op een moment wél (even) online heeft gestaan.
De vergelijking met SQL injectie gaat niet op. Bij SQL injectie laat je een achterliggend systeem dingen doen die niet de bedoeling zijn. In het HTTP protocol is niet voor niets de ‘404 Not Found’ code opgenomen om een reactie te kunnen geven op URL’s waar geen content achter hangt. Het opvragen van een willekeurige pagina bij een webserver strafbaar stellen is hetzelfde als iemand voor inbraak aanklagen omdat hij opzoek ging naar een huisnummer in een straat waarbij dat huisnummer niet bestaat.
Bij het opvragen van een willekeurige pagina door een zelf verzonnen URL of een aangepaste URL is er ook helemaal geen sprake van ‘binnendringen van een systeem’. Je doet namelijk niets wat niet in het HTTP protocol is opgenomen. Je spreekt daarbij 100% HTTP. Je maakt dus geen misbruik van een systeem. Je doet niets meer dan gebruik maken van een openbaar systeem volgens een internationaal afgesproken standaard.
Juridisch gezien is voor dit soort gevallen “huisvredebreuk” bedacht, voor inbraak zonder braak, zogezegd.
Een URL volgen is niet hetzelfde als via een achterdeur naar binnengaan. Het heeft meer iets weg van aanbellen bij de voordeur en kijken of je wordt binnengelaten.
Ja precies. Je mag best bij iedereen aanbellen en vragen “Mag Patrick buiten komen spelen?” ook al ken je Patrick niet eens. Als dan vervolgens de ouders van Patrick hem naar buiten duwen (“Hiero, spelen jullie!”) dan is dat geen huisvredebreuk, je bent niet eens binnen geweest. Je mag ook vragen of je de tv mag hebben, of de kersttoespraak van volgend jaar.
Hetzelfde geldt voor een systeem dat documenten serveert naar hand van een ID. Daar kun je een document aan vragen naar hand van een link (docs.php?id=123) of je kunt vragen of document 124 buiten mag komen spelen. Als dan vervolgens de ouders van document 124 “ja hoor, hiero (200 OK)” zegt, dan is er niks aan de hand. Je hebt het systeem gebruikt zoals bedoeld en netjes gevraagd of het mag (een HTTP verzoek is een verzoek). Je verkrijgt ook geen toegang tot het systeem in de zin dat je ‘binnen’ bent. Je mag documenten opvragen, niet meer en niet minder. Computervredebreuk kan dus niet van toepassing zijn.
Bij SQL injectie gebruik je weliswaar het systeem qua onderliggende software als bedoeld: webserver en database maken dit prima voor je mogelijk. Maar de uiteindelijke inrichting, de website, geeft niet expliciet de mogelijkheid om willekeurig iets uit de DB op te halen, tenzij je truukt. Nu begrijp ik wel dat hacken geen vereiste is voor computervredebreuk. Maar iets met het “breken” van die computervrede, moet het toch wel te maken hebben.
De URL-manipulatie laat de webserver iets doen dat niet de bedoeling is (van de webmaster). Dus het maakt uit of het de frontend of de backend is die je dingen laat doen?
Er was jaren terug een bug in ik meen Microsoft IIS waarbij je DOS-commando’s kon opgeven in een URL, en die werden dan uitgevoerd (iets met “../../../../cmd.exe format c: /yes” in de URL, ah ja, dit). Is dat dan het achterliggend systeem? Manipuleer ik nu of roep ik gewoon een URL op gewoon volgens de http standaard? Immers .. is gewoon iets dat in een pad mag staan, en tsja dat de server me dan buiten de webdocs/ padstructuur laat uitkomen en ook nog eens zo dom is om een interpreter te starten die met admin privileges een disk formatteeert, tsja..
Er is een belangrijk verschil tussen het ophogen van een datum of volgnummer in een URL en het uitvoeren van command-injection (je ‘cmd.exe’ verhaal) via een URL.
Bij het ophogen van een datum of volgnummer maak je geen misbruik van een technische fout in het systeem en je omzeilt geen beveiliging. Je gebruikt het systeem zoals het technisch gezien bedoeld is.
Bij command-injection misbruik je een technische fout in de applicatie om opdrachten uit te voeren waartoe je niet gemachtigd bent. Je omzeilt daarmee ook een eventueel aanwezige beveiliging. Je gebruikt het systeem niet zoals het technisch gezien bedoeld is.
In het geval van de kersttoespraak was er sprake van een functionele fout in de website, geen technische fout. Er kan alleen sprake zijn van ‘inbreken in een systeem’ als er misbruik gemaakt wordt van een technische fout in een systeem of waarbij je een beveiliging omzeilt.
Alleen staat in de wet dat je ‘binnendringt’ in een systeem zodra je willens en wetens je op onbevoegd terrein bent. Niet pas nadat je een beveiliging hebt omzeild of een technische ingreep of valse sleutel hebt toegepast.
Het systeem van een website is ook niet bedoeld (door de RVD) om met ID nummers te gaan zitten spelen. Dat je browser dat toelaat, wil nog niet zeggen dat de RVD dat bedoeld heeft.
Wiens bedoeling moet je hier voor ogen hebben? De website-exploitant? De browserbouwer?
Alleen kan je aan een URL niet zien of het gaat om bevoegd of onbevoegd terrein. Dat kan alleen maar blijken uit het antwoord van de webserver (200 OK, 401 Unauthorized, 403 Forbidden). Dus van ‘willens en wetens’ kan tijdens het eerste keer intikken van een URL geen sprake zijn.
De RVD kan wel meer wel of niet bedoelen, maar dat is niet hoe websites werken. Het zou bijzonder zwak zijn als de RVD zich beroept op dat zij het niet zo bedoelden, terwijl de rest van de wereld het anders ziet. “Ja, sorry meneer de rechter. Ik heb vertrouwelijke informatie voor het raam neergelegd, maar het was niet mijn bedoeling dat voorgangers het gingen lezen. Dus het is niet mijn fout, maar die van de voorbijgangers.” Er zijn meer dan genoeg mogelijkheden om informatie ‘klaar te zetten’ op een webserver voor toekomstige publicatie. Dat konden we 15 jaar geleden al. Als je daar geen gebruik van maakt, dan is het dus openbare informatie.
Het antwoord is niet doorslaggevend, want ook bij een hack via de URL krijg je een 200 OK terug. Denk aan een SQL injectie wederom, of een exploitcode in de URL die een buffer overflow exploiteert. Als ik “user=robert%20tables;)%20DROP%20%database” in een query URL toevoeg dan zal de server echt 200 OK terugzeggen, maar de database is wel weg.
Het is ook geen automatisme dat zelf intikken = onbevoegd terrein, dat ben ik met je eens.
Je moet kijken naar intentie van de typer, de gewoonte op die site en wat je redelijkerwijs algemeen mag verwachten. Net zoals je bij een café niet zomaar kunt zeggen “je ging een deur door dús lokaalvredebreuk” maar iets moet vinden als een bordje Privé of het feit dat de deur achter een stapel kratten weggewerkt was (of dat er een keuken hoorbaar was achter de deur).
Ik blijf het zeggen, de vergelijking met SQL injection is niet terecht. Bij een SQL injection maak je misbruik van een technische fout, bij het ophogen van een volgnummer in een URL niet. Het verschil tussen het gebruiken van een technische fout om informatie in te zien en het gebruiken van een functionele fout om informatie in te zien is waar het hier om gaat. Daarin zit de essentie. Bij SQL-injectie gaat het om het gebruiken van een technische fout, het ophogen van een volgnummer is het gebruiken van een functionele fout.
Wat betreft je buffer overflow. Als een programmeur slechts rekening houdt met plaatsnamen als Oss, Delft en Breda, terwijl ik toch echt in Gasselterboerveenschemond woon, dan is het niet mijn schuld als de applicatie daardoor crasht en ben ik dus niet schuldig aan computervredebreuk. Echter, als ik deze fout misbruik om in te breken, dan weer wel.
Als de intentie zo belangrijk is, dan snap ik helemaal niet waarom je van mening bent dat het hier computervredebreuk betreft. Anne Jan was namelijk helemaal niet op zoek naar vertrouwelijke informatie, laat staan de kersttoespraak. Het ging hem om SEO-achtige zaken met betrekking tot de website.
En wat betreft je privebordje, die is echt nergens aanwezig op de website. Iets vergelijkbaars was ook niet te zien na het voortijdig opvragen van de kersttoespraak.
Maar het belangrijkste vind ik nog wel dat met het strafbaar stellen van dit soort handelingen je echt een heeeel gevaarlijk signaal afgeeft. De overheid (en andere organisaties) zijn al zo extreem naief en klungelig als het gaat om informatiebeveiliging. Het wordt echt tijd om met de beschuldigende vinger te wijzen naar waar de fout ligt en niet de veroorzaker daarbij een half excuus mee te geven.
Fout is fout, denk ik dan. Of het nu het niet valideren van input is of het vinkje “concept/privé” vergeten bij een video uploaden, het is en blijft een fout van de webmaster.
Wat jij zegt komt neer op, er staat “ID=” dus daarachter mag ik elk getal invoeren dat ik wil en dat kan nooit binnendringen zijn. Wie me een ID laat opgeven, moet niet gek opkijken als ik een ID opgeef. Maar een ID van de vorm “35; drop database” is geen echt ID en dus wezenlijk wat anders. Maar waar trek je dan de grens? Als ik ID=12342345541472492459425249542947544239345437439 invul en dat blijkt een buffer overflow te triggeren, heb ik dan nu eigenlijk geen echt ID ingevuld (en dus gehackt) of mag ik deze overflow nu exploiteren?
Maar wat is inbreken? Ik vraag alleen maar data op. Dat de server dan dingen wist in de database (of me dingen laat zien die niet via de eigenlijke website online staan), tsja.
Goed punt, hoewel ik twijfel naar dat “ik keek alleen naar de SEO”. Ik vind het iets te toevallig, de datum van de kersttoespraak 2011 aanpassen naar dit jaar en dan verbaasd zijn dat je de kersttoespraak van dit jaar krijgt. Maar inderdaad, als het écht toeval was of een onbedoeld bijeffect van iets heel anders dan is het geen computervredebreuk. Net zoals gisteren toen ik ineens in de keuken stond van een restaurant terwijl ik de wc zocht.
Ben ik niet met je eens. Het niet valideren is niet een fout van de webmaster, maar van de programmeur. Het is een technische fout. Een gebruiker moet iets ‘speciaals’ doen om dit te misbruiken. Het vinkje concept/prive vergeten is een functionele fout. Dezelfde URL invoeren maar dan met dat vinkje aan geeft een melding: “mag u (nog) niet kijken” of iets van dien aard. De gebruiker doet niks verkeerd bij het opvragen van die pagina, met of zonder vinkje.
Correct.
Ook correct. En daarom is dit wel hacken. Je probeert hiermee een fout te misbruiken.
Het invullen van een heeel groot getal is geen hacken. Echter, een heel groot getal invullen dat een buffer overflow triggert gevolgd door exploit code weer wel. Zou ik zeggen dan 🙂
In .NET worden dergelijke parameters via routing gedefinieerd en is de .NET runtime verantwoordelijk voor het correct vertalen van de ID’s naar functie-parameters van een bepaald type. Mede dankzij de routing-technieken die .NET maar ook andere ontwikkel-omgevingen bieden is het ook logisch dat bezoekers die bekend zijn met de routing parameters dus zelf een URL aanpassen om naar een specifiek product te gaan.
Het manipuleren van URL’s is een gebruikelijke en achtenswaardige manier van navigeren door internetdiensten die paradoxaal genoeg veel ouder is dan de URL zelf (1994).
Euh, dus jij manipuleerde al URLs voordat die bestonden???
Een URL als ftp://dinges.com/pad/naar/mijn.doc is een shortcut om met een FTP-client in te loggen, ‘cd pad/naar’ te doen en dan met ‘get mijn.doc’ het document op te vragen. Voordat URLs bestonden was inloggen op een server, rondneuzen met ‘cd’ en ‘ls’ en dan documenten naar keuze ophalen de manier om aan elders opgeslagen bestanden te komen. Iedereen wist dat als je iets op een FTP-server neerzet en je wilt niet dat de hele wereld het kan downloaden je dan de bestandspermissies moet beperken zodat anonieme gebruikers geen leesrechten hebben; dat iets moeilijk vindbaar maken en dan achteraf zeuren dat mensen het toch hebben gevonden geen geldige manier van werken is. Die wetenschap is dus ouder dan de URL.
Even een ander voorbeeld. Stel, het koninklijk huis heeft http://www.koninklijkhuis.nl/kersttoespraak als URL voor de kersttoespraak. In het hoofdmenu is een link naar die pagina opgenomen. Halverwege het jaar halen ze die link weer weg uit het hoofdmenu. De pagina blijft echter bestaan. Een paar dagen voor kerst passen ze die pagina aan door er de nieuwe kersttoespraak op te zetten. In hun planning staat dat ze op 1ste kerstdag de link naar die pagina weer in het hoofdmenu opnemen om de kersttoespraak aan het publiek vrij te geven.
Nu wil ik graag de dag voor kerst de kersttoespraak van vorig jaar nog eens zien. Ik heb de URL van toen onthouden en tik deze in met de verwachting de kersttoespraak van vorig jaar te zien te krijgen. Echter, ik krijg nu de kersttoespraak van dit jaar al te zien. Volgens jou redenering ben ik nu schuldig aan computervredebreuk terwijl alles wat ik deed is een URL intikken zonder daarbij enige vorm van beveiliging te omzeilen of misbruik te maken van een technische fout. Ik heb de website van het koninklijk huis op een normale manier gebruikt, gebruikt zoals alle websites gebruikt kunnen worden.
Het intikken van een URL, zonder daarbij bewust misbruik te maken van een technische fout of een beveiliging te omzeilen zou volgens mijn mening nooit computervredebreuk als gevolg moeten hebben. Als door het intikken van een normale URL vertrouwelijke informatie ingezien kan worden, dan ligt de fout voor de volle 100% bij de website-eigenaar. Het betreft dan namelijk een functionele fout, geen technische fout.
@Wim ten Brink: je kan prima een buffer overflow genereren door alleen een URL aan te passen. Vergeet niet dat in .NET of PHP zelf ook een buffer overflow bug kan zitten.
En iemand die een webapplicatie in C(++) bouwt is niet per se een onbenul. Denk maar aan embedded software.
Een buffer overflow genereren via de URL is in principe wel mogelijk bij gebruik van eigengemaakte web server software. Maar zowel Apache als IIS hebben al behoorlijk wat bescherming aktief tegen dergelijke aanvallen. Java, .NET en de meeste script-based talen zullen ook de nodige controles uitvoeren tegen de meest voorkomende buffer overflow aanvallen. Maar inderdaad, er kan altijd nog ergens een bug in de code zitten van de server.
De buffer overflow is vooral een probleem bij applicaties die in C of C++ zijn ontwikkeld omdat deze talen niet altijd controles uitvoeren op de maximale grootte van geheugenblokken. Je kunt dan 200 bytes stoppen op een plaats waar maar 100 bytes passen. En jammer genoeg worden er dan 100 bytes van iets anders overschreven met mogelijk rampzalige gevolgen. Bij C en C++ is hier juist voor gekozen om de performance nog iets meer te verbeteren, want die controles kosten extra processortijd. En een goede programmeur weet ook wanneer een dergelijke controle overbodig is omdat hij al zekerheid heeft dat de data exact zal passen in de buffer. Je hebt voor C en C++ dan ook veel ervaring nodig om goed met dergelijke code om te kunnen gaan. Maar zoals bij iedere ontwikkel-omgeving heeft ook C en C++ veel last van onbenullen met te weinig programmeer-ervaring die dit soort kwetsbaarheden in de code laten zitten.
Dat lijkt me hier heel lastig aan te tonen. Immers, de kersttoespraak werd teruggegeven. Dat klinkt als bevoegd terrein. Als het onbevoegd terrein was, had de RVD het wel beveiligd.
Doet me denken aan toen ik (piep)jong was. Mijn ouders hadden beloofd dat de paashaas eieren zou verstoppen in de tuin, en dat mijn broertjes en ik die mochten gaan zoeken. Wij vroeg opstaan, en zoeken, en zoeken, maar niks gevonden. Een van ons kwam op het idee eens in het schuurtje te kijken, strikt genomen niet “de tuin”, en daar bleken alle eieren te liggen, netjes in een traytje bij elkaar. De paashaas had zich verslapen.
Om de een of andere reden waren onze ouders kwaad, en sterker nog, ze leken kwaad op ons.
Even vanuit een andere hoek bekeken: Stel ik geef iemand mijn laptop om wat te tikken. De persoon is nieuwsgierig en opent een document dat op de harde schijf staat. Ik word boos. Kan ik aangifte doen van computervredebreuk?
Ik denk het niet: De betreffende persoon gebruikte de computer met mijn toestemming. Als ik niet wilde dat hij bestanden zou openen, had ik hem geen toestemming moeten geven mijn apparaat te gebruiken. Zelfs als ik erbij gezegd had dat hij geen documenten mocht openen, dan was het waarschijnlijk enkel contractbreuk geweest en geen computervredebreuk.
Zo is het hier ook: Het Koninklijk Huis geeft het publiek toestemming hun webserver te gebruiken voor het bekijken van video’s. Dat iemand toevallig een video ontdekt waarvan men wilde dat hij niet bekeken werd, is vervelend, maar doet niets af aan het feit dat de persoon hier in kwestie toestemming had die webserver te gebruiken om video’s te bekijken.
Voor computervredebreuk is het echt noodzakelijk dat je een computersysteem binnendringt. Dat binnendringen is strafbaar en niet het uitvoeren van een commando dat de eigenaar niet leuk vindt.
Het gevaarlijkste stukje wetstekst is “door een technsiche ingreep”. Die ingreep mag inderdaad eenvoudig/triviaal zijn. Maar we moeten niet vergeten dat een technische ingreep bedoeld wordt die leidt tot het binnendringen van een computersysteem. Als geen sprake is van binnendringen dan doet al de rest niet ter sprake.
Oké, stel het is geen computervredebreuk dat hij die map openmaakt. Maar stel jij zet een wachtwoord op die map, en hij start je laptop opnieuw op met een rescue CD en passeert zo het wachtwoord. Vind je het dan nóg geen computervredebreuk?
Het opvragen van data uit een computersysteem is een vorm van binnendringen. Zie de jurisprudentie over SQL injectie die ik eerder noemde. Bij een injectie heb je ook geen prompt of iets dergelijks dat we traditioneel “binnen” noemen, maar je hebt wel controle over wat het systeem doet.
Dit is een gebied met wel meer dan 50 tinten grijs. Inderdaad. Vroeger tikte je de URL gewoon in. Zo kon het zijn dat als je ipv ORG een COM achter Nasa intikte, je op een pornisite kwam. En wat als je de weervoorspelling wil bekijken van morgen… Dit doe je elke dag. Je weet de url uit je hoofd. Maar dit keer maak je een tikfout. (En dat hoeft helemaal geen ingewikkelde url te zijn; het gaat hier om de manupilatie van een url.) je komt op een testpagina van het knmi. Wat nu? Volgens bovenstaande blog ben je dan strafbaar. Je hebt het gevonden. Net zoals je een portemonnee vind op straat. Kijk je erin om de eigenaar te achterhalen? Kijkt een baliemedewerker erin om de naam van de eigenaar om te laten roepen?
Ik probeerde hier een vergelijking te vinden met het teletekst systeem. Je geeft een paginanummer (url) en het scherm toont je – indien aanwezig – de bewuste pagina.
Stel nu, de redactie van teletekst heeft ’s morgens een belangrijk persbericht gekregen maar mag dit pas om 12 uur publiceren. Om de tekst om 12 uur beschikbaar te hebben wordt deze vast uitgewerkt en klaar gezet op pagina 129. Ik noem maar wat. Er is verder geen verwijzing zichtbaar op pagina 101 of welke pagina ook. Iedereen weet dat teletekst een beperkt aantal pagina’s heeft. Van 100 tot 899. Een druk op de afstandsbediening laat een hoger paginanummer zien. In mijn voorbeeld kan het dus makkelijk gebeuren dat iemand op pagina 129 komt het het bericht ziet. Dat was niet de bedoeling, er is nergens naar verwezen, en toch staat het daar. Ik kan me niet voorstellen dat een rechter daar een strafbaar feit in zal zien.
Jongens, probeer toch eens te stoppen met die metaforen, ze gaan krom! Bij TT worden alle pagina’s actief gebroadcast en is er geen request/response naar een server.
Mijn twee centjes… Het aanpassen van een URL kun je ook doen om er alvast een bookmark voor aan te maken, omdat je verwacht dat er over een paar dagen ook daadwerkelijk enige content te vinden is. (In dit geval een kerstrede.) Zo zou ik http://blog.iusmentis.com/2013/01/01/ alvast kunnen invoeren om je eerste post van het volgende jaar te kunnen lezen. (Jammer genoeg werkt dat hier niet want ik moet ook de titel weten, maar laten we dat voor deze discussie even vergeten.) Hoe dan ook, door een patroon in je URL weet ik waar ik de volgende posts kan verwachten en als er eentje is die mij belangrijk lijkt dan kan ik daar vast een bookmark voor aanmaken.
Maar wat als ik zodoende ontdek dat jij die post van volgend jaar nu al klaar hebt staan op die URL? Dan zou ik die post nu al kunnen lezen omdat jij hem eigenlijk al hebt vrijgegeven. Jij maakt openbaar via een patroon, wat betekent dat anderen kunnen inspelen op dat patroon. Je hebt het patroon openbaar gemaakt, en daarmee dus ook al je toekomstige posts. En een patroon volgen is iets heel anders dan b.v. “OR 1=1” toevoegen aan de URL.
Toch vind ik dat er een gedegen onderzoek moet plaatsvinden. Maar niet naar de hacker, want die volgde alleen een openbaar patroon. Er moet onderzocht worden welke “Idioot” de kerstrede al op die server toegankelijk heeft gemaakt zodat deze nog voor het nieuwe jaar begint al op zoek kan naar een nieuwe werkgever. De ICT-afdeling van de Staat is al behoorlijk waardeloos op sommige punten en dit is gewoon een extreme vorm van nalatigheid.