Wanneer is rondkijken op iemands pc (mét toestemming) alsnog strafbaar?

| AE 6204 | Security | 19 reacties

teamviewerEen lezer vroeg me:

Een kennis vroeg me laatst om op afstand op zijn PC in te loggen om hem zo te helpen met een probleempje. Tijdens het oplossen daarvan klikte ik ook een paar mapjes aan die misschien niet direct relevant waren, waarop hij me direct beschuldigde van computervredebreuk. Klopt dat? Hij heeft me toch toestemming gegeven om zijn pc binnen te gaan?

Toestemming is geen binair begrip maar moet je in een context zien. Die toestemming wordt verleend voor een bepaald doel, een bepaalde context, en daar moet je dan binnen blijven. In dit geval was het doel dus “het probleempje oplossen”, en het gebruik van die computer moet dus binnen dat doel gerechtvaardigd zijn.

Het is goed mogelijk dat je bij het zoeken naar de oplossing dingen tegenkomt die niet relevant zijn. Je wilt een configuratiebestand aanpassen en je ziet in de Verkenner een mapje met expliciete titel. Of je draait een backup en je ziet bestandsnamen langskomen die iets onthullen dat niet van belang is. Dat kan, en dat is natuurlijk niet strafbaar om te zien. Daar kon je niets aan doen.

Ga je echter zelf op zoek naar zulke dingen, dan treed je buiten de grenzen van de verleende toestemming. En bij deze vraagsteller blijft zó zorgvuldig in het midden waarom hij die mapjes aanklikte (een muis die uitschoot, of nieuwsgierigheid?) dat ik daar toch héél ernstig opgetrokken wenkbrauwen van krijg.

Dan is goed verdedigbaar dat je strafbaar bent: je bent dan ‘wederrechtelijk’ (want zonder recht) ergens gegaan waar je niet mocht zijn. Hooguit kun je je afvragen of er sprake was van ‘binnendringen’, wat het eigenlijk vereiste is bij computervredebreuk. Je bént al binnen in die pc immers, dus wat ‘dring’ je dan nog? In ieder geval voelt het nogal zwaar om gelijk met het strafrecht aan te komen.

Is het eigenlijk mogelijk om met zulke remote access tools beperkte toegang te geven? Dus wél bij de configuratie van Firefox maar niet bij Mijn Documenten of andere plekken waar ik iemand niet wil hebben?

Arnoud

Deel dit artikel

  1. Bepaalde beperkingen kunnen ingesteld worden, maar niet op bestandssysteem-niveau. Deze tools zijn over het algemeen gewoon VNC-achtige tools die de beeldscherm-output en jouw input heen en weer streamen. Die tool kan dus ook niet weten naar welke map jij zit te kijken – die weet alleen maar dat het pixels op een scherm zijn, en dat je op coördinaat X,Y geklikt hebt.

    Sommige tools hebben ook ingebouwde een file transfer tool; hier is het vaak dan wél weer mogelijk om bepaalde mappen toegankelijk of ontoegankelijk te maken.

  2. Is het eigenlijk mogelijk om met zulke remote access tools beperkte toegang te geven? Dus wél bij de configuratie van Firefox maar niet bij Mijn Documenten of andere plekken waar ik iemand niet wil hebben?

    Wellicht, maar tegenvraag: zou de persoon die de computerhulp nodig heeft dat zelf kunnen configureren?

    • Dat is inderdaad het probleem.

      Mogelijke oplossing: een programma waarbij de helper alleen op het scherm kan meekijken en praten. Volgens mij kan dat bijv. met Skype(*). Dan behoudt de eigenaar van de computer een veto over wat er gebeurt, en bovendien leert hij/zij automatisch hoe hij/zij het de volgende keer zelf kan doen. Ook kan hij/zij eventuele wachtwoorden intypen zonder dat de helper deze wachtwoorden hoeft te kennen.

      (*) Skype zelf is op zich een bedenkelijke tool, want het is geen free software en gebruikt, sinds het door microsoft is overgenomen, geen end-to-end-encryptie meer.

    • Ja, er zijn wel mogelijkheden, hoewel deze vaak verschillen per besturings-systeem. De meest simpele is door het gebruik van een user-account om mee in te loggen, die beperkte rechten heeft. Maar die mist dan meestal admin-rechten en die heb je juist weer nodig om bepaalde acties uit te kunnen voeren, hoewel veel software normaal behoort te werken met dit soort user-accounts. Alleen, mensen die deze truuk toepassen hebben in het algemeen geen hulp van anderen nodig. Ze zijn van nature dan al koppig genoeg om te denken dat ze alles zelf kunnen oplossen. 🙂

      Overigens, ikzelf heb ook wel eens voor anderen hun PC-problemen opgelost waarbij ik dan steevast mijn I’m Here Because You Broke Something t-shirt draag. (Die is al aardig versleten!) Maar dat doe ik dan wel waar ze bij zijn zodat ik meteen vragen kan stellen als ik “vreemde zaken” tegenkom. Bij voorkeur kom ik dan langs en als het moet, via een remote desktop en een telefoontje naar de andere persoon die op dat moment meekijkt. Dan zou je dit soort problemen moeten voorkomen, want hij kan dan meteen zeggen dat hij niet wil dat je in die map kijkt…

      Ben ik nou de enige die nieuwsgierig is over de inhoud van die mapjes? 🙂 Want dat is ook niet vermeld in de vraag. 😉

  3. Ga je echter zelf op zoek naar zulke dingen, dan treed je buiten de grenzen van de verleende toestemming.

    Zoiets moet je in de context zien, Arnoud. Als ik door een digibeet gevraagd word naar een computerprobleem te kijken, is er een goede kans dat de problemen veroorzaakt worden door Trojans die met de slechte downloadgewoonten van de gebruiker zijn meegelift. In dat geval kan ik alleen mijn werk doen door in alle mappen te kijken, ook die, die, zoals de vraagsteller het zo keurig, concreet en ondubbelzinnig formuleert, “misschien niet direct relevant” zijn.

    De grotere vraag is wellicht dan ook, wat als je als superuser iets oplost en daarna gaat iets mis? Wie is daarvoor verantwoordelijk? Ik neem aan dat de meeste van je vaste reaguurders wel eens een pc of server hebben opgeschoond die ondanks de vermanende woorden aan het einde van zo’n sessie aan het adres van de eigenaar van de computer, korte tijd later toch weer vol malware zaten.

    En het komt voor dat in zo’n geval degene die de pc heeft schoongemaakt, de schuld krijgt van de nieuwe problemen: “je hebt vast iets stukgemaakt”.

    Ik ben er in elk geval toe over gegaan een symbolische beloning voor dit soort werk te eisen in de vorm van een Nerd Merit Badge. Vreemd genoeg vraagt sinds ik dat doe vrijwel niemand me meer zijn of haar pc-problemen te verhelpen. (Zo’n badge kost minder dan een tientje, dus om de prijs gaat het niet.)

  4. Ik doe dit soort dingen niet meer. Hooguit alleen in familiekring. Ooit jaren geleden ‘gedwongen’ om de buurman te helpen met een met virussen besmette PC. Als het lukt krijg je een mager bedankje omdat er eigenlijk bijzonder weinig waardering is/was bij de digibeten voor dergelijke hulpverlening. Ze vinden het eigenlijk maar vervelend dat ze zo’n nare computerblaag moeten toelaten in hun huis omdat ze er zelf geen klap van begrijpen. En als het misgaat ook al is er geen enkel causaal verband dan heb jij het gedaan. In dit geval stierf de hard disk gewoon tijdens het draaien van de populaire virusscanners. Staat buurman later te klagen bij mijn pa die me juist had overgehaald om de buurman te helpen. Fijn!

    In aanvulling hierop: Waarom is het zo dat als je ‘verstand hebt van computers’ er altijd wordt verwacht dat je anderen onbezoldigd helpt? De monteur aan de overkant repareert toch ook niet gratis je auto?

    Misschien moet Arnoud eens een ‘contractje’ opstellen om de tientallen tieners te helpen om een kader te scheppen voor dit soort hulp. Dit gebeurt namelijk dagelijks honderden keren.

      • Je wil de buurman niet per se doorverwijzen naar een commercieel bedrijf. Genoeg scholieren die graag voor wat euro’s per uur de buurman helpen met het herinstalleren van Windows, het instellen van Wifi of soortgelijks. Het zou fijn als er een soort wederzijdse understanding is over best effort en een vergoeding. Dat hoeft niet super juridisch maar het is fijn als er een soort kader is waarlangs je dit soort hulp aanbiedt. Fijn voor de buurman die dan wellicht wat meer begrip heeft voor de scholier die een avondlang puin aan het ruimen is met kennis die hij zelf ontbeert. Fijn voor de scholier die nu een heldere afspraak heeft. Mijn zusje kreeg voor oppassen gewoon een aantal gulden per uur. Ik kreeg vaak niks. Gezeik ja als het mis ging. Ik ben daar niet rouwig om hoor. Ik heb er veel van geleerd en ik vond het ook leuk. Maar toch, het is niet goed geregeld vaak.

    • Dat is ook de reden dat ik begonnen ben een tegenprestatie (hoe klein dan ook) te eisen. Op dat moment laat je zien dat wat je doet, waarde heeft.

      Dit volgt uit mijn ervaringen als freelancer; klanten die korting willen of eisen, zijn over het algemeen minder tevreden over het geleverde dan klanten die de normale prijs betalen. Tegenwoordig vermeld ik ook eventuele kortingen op de factuur. ’t Is iets psychologisch, al moet je me niet vragen wat het onderliggende principe is.

    • Anoniem om redenen die wel duidelijk zullen worden. Computervrede breuk is namelijk niet het enige je zorgen om kan hebben.

      Jaren terug werd ik door familie gevraagd om het schoolwerk van hun dochter te redden alles extra was een ‘bonus’. De computer was ‘defect’ en starte niet meer op. Dat bleek al snel een besmetting met diverse virussen te zijn, dus via linux bestanden kopieren was niet al te lastig. Bij het redden van de bestanden van de jonge dame in kwestie (was toen 16 of 17) kwam ik was ‘selfies’ tegen en wat fotos van een mij onbekend vriendje. En dan heb je opeens een PC thuisstaan met kinderporno erop. Wat doe je dan? Voor zover mij bekend is bezit strafbaar, ongeacht hoe je eraan komt.

      Ik heb de bestanden uiteraard overgeslagen en de harddisk geformatteerd en achteraf even met de jonge dame gesproken (en niet haar ouders). Ik denk dat mijn waarschuwing dat haar vriendje wellicht niet altijd haar vriendje bleef en dat de foto’s dan overal op kunnen duiken en het feit dat ze een kop als een biet had dat ik die fotos heb gezien wel zijn overgekomen.

      En ja ik laat mensen de computer bij mij neerzetten, ik wil best een vriendendienst doen, maar dan wel wanneer het mij uitkomt.

      • Dat is wel een interessant verhaal, zeker als jouw reddings-operatie bestond uit het eerst kopiëren van de hele schijfinhoud naar een eigen harddisk, en daarna pas uitpluizen van wat je allemaal hebt gekopieerd. Stel dat je na stap één was “betrapt”, hoe had een rechter met de huidige wetgeving een rechtvaardig oordeel kunnen geven? “schuldig, maar geen straf, en ook geen strafblad”?

        Ik vraag me wel af: waarom was het nodig was voor jou om die foto’s te bekijken? Ik begrijp dat je niet zomaar alles wilt terugzetten op de PC, vanwege het risico om daarmee ook virussen terug te zetten, maar die selectie kan je toch met een virusscanner doen? Eventuele verdere selectie kan je samen met de dochter doen, op basis van de namen van directories en bestanden. Ze kan dan zelf aangeven wat er wel en niet moet gebeuren, zodat ze in de gelegenheid is om het proces zo te sturen dat jij niet te veel te zien krijgt.

        Ik denk dat het ook wel handig is voor haar om te beseffen dat virussen ook toegang hebben tot foto’s op je computer, en die foto’s ook over het internet kunnen versturen.

        • Eerste wat ik doe als ik gevraagd wordt bestanden te redden is ‘dd’. Dus ja ik maak een kopie.

          En die foto’s bekijken was ‘nodig’. Ik probeerde immers zoveel mogelijk uit mijn documenten te behouden, maar daar stonden ook diverse executables in. De directory had helaas niet de naam ‘naaktfotos van mij en mijn vriendje’, dus voor je het opent weet je niet wat je er mee moet. Ik loop handmatig ‘mijn documenten’ af en kopieer alle data-files naar een USB drive, executables sla ik over. (En macros strip ik door ze met OO op te slaan in een format dat geen macro’s bevat.)

          Je kent het verschijnsel wellicht: veel files met een .mp3.exe aan het eind van de naam en een custom icon voor een muziek file. Gelukkig trapt de Gnome file browser daar niet in en laat die keurig netjes thumbnails zien voor de echte plaatjes. En ja dan zie je dus wat er aan fotos op een pc staat.

          En dit was nog redelijk tam, ik heb ook een keer data van een disk die echt defect was af moeten halen. Zijn verschillende tools voor die in een image zoeken naar herkenbare bestanden, welke dan automatisch recovered worden. De namen van die bestanden waren al voldoende om ze niet te wilen zien :X

          • Een kopie maken van de belangrijkste data lijkt mij wel erg belangrijk, ja. Jammer dat mensen ook hun naaktfoto’s zo belangrijk vinden waardoor deze tussen hun documenten komen. (En onder Windows 8 moet je als leek oppassen dat ze niet in de cloud terecht komen als onderdeel van je Skydrive data…) Bij het herstellen van de computer van mijn zus was ik niet verbaast over de vele malware die op haar systeem stond. Ik heb vervolgens haar een Google-account gegeven en via Google Drive haar documenten en foto’s naar de Cloud gestuurd. Dat werkt ook goed. Zoveel data was het ook niet en ik wilde er geen USB stick mee besmetten. Vervolgens de gehele PC geformatteerd en Windows 7 geinstalleerd in plaats van de Windows XP die erop stond. Ging prima. (En ik heb gelukkig meerdere Windows 7 licenties beschikbaar, dus allemaal legaal.) Meteen daarna McAfee virusscanner erbovenop, automatische updates aanzetten en voor haar kinderen user-accounts aangemaakt met beperkte rechten. Mijn zus mocht wel admin blijven omdat het vooral haar kinderen waren die illegaal allemaal spelletjes installeerden en troep van het Internet gingen downloaden. McAfee ook nog ingesteld met een extra wachtwoord en ouderlijk toezicht aan zodat de boel er lekker op gefilterd werd. En mijn zus haar wachtwoord op een papiertje gegeven en verteld dat ze dit moest onthouden en daarna moest weggooien. Vervolgens Google Drive geinstalleerd, al haar data weer vanuit de Cloud teruggehaald en klaar! En nee, ik heb niet gekeken wat voor data ze gebruikte. Alleen even gekeken hoeveel het bij elkaar was en nadat bleek dat het makkelijk binnen Google Drive paste dus richting Google verstuurd. Wel vervelend dat Google dus wel in haar data had kunnen snuffelen maar ik had dit van tevoren even aangegeven en ze vond het geen bezwaar. Zo spannend was het dus allemaal niet, maar wel belangrijk genoeg om in een backup te bewaren. Voor mijn zus is dat dus Google Drive…

            • Ik zou backuppen in de cloud alleen encrypted doen. Dat hoeft niet zo moeilijk te zijn: je kunt bijv. alles in een groot encrypted 7-zip bestand stoppen; eventueel pak je grote bestanden of directories los in, als de grootte problemen geeft.

              Ik zou het zelfs helemaal geen gek idee vinden om daarbij een goed lang wachtwoord te gebruiken, en dit WEL op een papiertje (of meerdere papiertjes) te bewaren. Zeker als je bijna nooit een backup herstelt zal je het wachtwoord al snel vergeten. En de kans dat iemand WEL je papiertje leest maar NIET via fysieke toegang op je computer kan inbreken is niet zo groot.

              • Encryptie zou een optie zijn geweest maar de PC stond zo vol malware dat ik daarmee mogelijk de malware mee zou kopieren. De reden dat mijn hulp was ingeroepen was wegens dat politie-virus, dat onder een der accounts aktief was. Gelukkig waren niet alle accounts door dat virus aangetast, maar het maakte het een en ander vrij lastig. Alles netjes schoonmaken was sowieso veel werk. Kopieren naar een USB stick zou betekenen dat ik na afloop die stick beter kon weggooien omdat hij besmet zou kunnen zijn door iets wat nog onbekend is. Nadat ik de virusscanner op die PC weer had aangezet en een update had laten uitvoeren bleken er 96 verschillende stukjes malware op te staan, over het gehele systeem. Dus dan maar navragen hoe belangrijk de data was en hoe geheim deze moest worden gehouden. Betreffende de data van haar kinderen was het simpel: die is gewoon weggegooid. Jammer voor hen, maar dat waren voornamelijk saved games van illegale spelletjes. Wel 1 foto-album van haar dochter ook richting Cloud geschopt, met toestemming van de dochter. Zat kennelijk niets stouts tussen. 😉 Daarna hebben de kinderen allemaal een beperkte account gekregen plus het ouderlijk toezicht werd aangezet zodat ze ook niet meer op verkeerde sites bezig konden kaan of konden proberen de virusscanner uit te schakelen. En ook niets meer installeren zonder toestemming. En dat werkt uiteindelijk prima. Beide kinderen hebben zelf gespaard voor eigen laptops en hebben nu allebei hun eigen systeem om te verknoeien. (De jongste is 15.)Hierdoor zijn de meeste problemen met de computer van mijn zus gewoon opgelost. En de kinderen? Die hebben een redelijk harde les geleerd: verknal je computer en als je het niet kunt oplossen, dan kom ik langs om de boel opnieuw te installeren, maar al je data ben je dan kwijt. Ze moeten dus zelf aan backups doen en weten op welke manieren ze dit kunnen doen. Het gebruik van Google Drive zorgt er bovendien voor dat ze de boel netjes houden. Ze weten dat Google in die data zou kunnen kijken. Gevoelige informatie? Daar moeten ze dus goed over nadenken… Maar b.v. een stel liefdesbrieven of foto’s op het strand zijn eigenlijk niet zo boeiend en het is niet zo dat Google die informatie meteen met de rest van de wereld deelt. (Hooguit met de NSA en AIVD.) 😉

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS