Mag ik onder de Sleepwet onthullen hoe ik door de AIVD gehackt werd?

Een lezer vroeg me:

Ietwat hypothetisch, maar stel de AIVD, politie of een ander overheidsorgaan hackt mij (hallo aluhoedje!) en ik ontdek dat, verzamel de technische details (manier hoe ze zijn binnen gekomen) en deel dit op een blog. Dan valt te argumenteren dat ik de werkwijze van de overheid onthul en daarmee zelfs staatsgeheime informatie publiceer. Ben ik dan strafbaar?

Nee, je bent niet strafbaar als je publiceert hoe je door een overheidsorgaan bent gehackt, zelfs niet als die daarbij een staatsgeheime methode gebruiken.

Voor zover jij als burger weet, is een computerhack gewoon het misdrijf computervredebreuk gepleegd door een jou onbekende partij. Dat de overheid zo’n partij kan zijn, is theoretisch mogelijk maar natuurlijk praktisch gezien niet door jou te verifiëren. Achteraf kan het misschien boven water komen, maar dat betekent alleen dat de pleger van dat misdrijf vrijuit gaat omdat het hem wettelijk toegestaan is dat feit te plegen.

Bij de politie werkt het ongeveer net zo. Daar is dan een bevel van de rechter-commissaris gegeven, wat het legaal maakt om dit te doen. En in zo’n geval kan de politie er ook voor zorgen dat jij niet in kan grijpen, denk aan de situatie dat men je computer wil uitlezen: dan komt er een technisch rechercheur die de computer doorzoekt en een agent met spierballen om te zorgen dat jij niet in de weg gaat staan.

De Wiv waar vandaag het raadgevend referendum over is, maakt dat verder niet anders. Deze wet geeft bevoegdheden waaronder de mogelijkheid in te breken in een computersysteem, maar ook hier geldt: vanuit jouw perspectief is het gewoon een hack, en als jij wilt publiceren over een hack die jou overkwam dan is dat jouw goed recht. Pas als je wéét dat je een staatsgeheim zou onthullen, kan dat anders komen te liggen. Maar grofweg moet de AIVD dan langs zijn geweest en je dat hebben gezegd. Ik zie dat niet gebeuren.

Arnoud

21 reacties

  1. “Voor zover jij als burger weet, is een computerhack gewoon het misdrijf computervredebreuk gepleegd door een jou onbekende partij.” Dit impliceert dat je als eenvoudige burger ook aangifte zou kunnen doen. Dat lijkt een een bijzondere situatie opleveren 😉

      1. Of gewoon omdat ze achter iemand aanzaten. Zie programma’s als Wegmisbruikers, waar ze soms ook gevaarlijk achter iemand aan moeten of met hoge snelheid. Ook dat mag in een gewone auto (want ze gebruiken onopvallende auto’s) 🙂

  2. Waar komt het gerucht staatsgeheim ineens vandaan? Kan een hack-methode van de AIVD dan een staatsgeheim zijn? Als jij door gewone observatie ergens achter kan komen, dan is dat geen (staats)geheim (meer). Dus tenzij jíj de AIVD hackt en een mapje “hoe hack je burgers.docx” downloadt, kan het je nooit kwalijk genomen worden. Simpelweg omdat je het niet had kunnen weten dat het staatsgeheim was.

    Zeg Arnoud, hebben wij in Nederland eigenlijk zoiets als gag-orders?

    1. Volgens mij ingegeven door het feit dat de informatie als zodanig best eens bij de AIVD in een mapje Staatsgeheim kan zitten. Dan zou jij dus iets onthullen dat staatsgeheim is. Maar ik zie inderdaad een wezenlijk verschil tussen iets verkrijgen in een situatie die de geheime status duidelijk bevestigt (bv. je bent bij BZK en je ziet een rode map met “staatsgeheim” erop en daar blader je in) of iets zelf verkrijgen uit open bronnen dat toevallig overeenstemt met de inhoud van een staatsgeheim document. Stel jij ziet vanaf de openbare weg op vliegbasis Volkel een heftruck een atoombom uit een opslag in een vrachtauto laden, dan mag je dat twitteren.

      1. Ik ben de steller van deze vraag. De gedachtegang “staatsgeheim” is dat er mogelijkerwijs te argumenteren is dat bij het uit de doeken doen van alle technische details van zo’n hack dat iets kan zeggen over de werkwijze van AIVD. Puur speculatief dus. Niets meer, niets minder.

        @Arnoud, nog bedankt voor het antwoord op deze vraag, toch wat minder moeilijk dan ik dacht!

  3. Is het toegestaan om een honeypot op te zetten met daarin een trojan of virus, als losse computer of als map op je normale computer? En ben jij dan verantwoordelijk als de AIVD een cryptolocker op hun netwerk krijgt, omdat zij die van jouw computer af hebben gehaald. Ervan uitgaande dat het cryptolocker bestand niet als dusdannig was te identificeren, jij de AIVD niet heb uitgelokt om jou te hacken, maar dat de cryptolocker wel op een dusdanige plek op jouw computer stond dat het een hacker het van jouw computer af zou halen.

    Ik vergelijk dit met laxeermiddel in een mooie fles drank stoppen die in je huis staat, in de hoop dat een inbreker deze fles meeneemt en ervan drinkt.

    1. Een honeypot is strafbaar als je daarmee mensen op andere gedachten brengt dan ze hadden toen ze binnen kwamen. Een fles ergens in de kast lijkt me geen uitlokking tot diefstal, in lijn met het Lokfietsen-arrest dat bepaalde dat een dure fiets naast het station zetten geen uitlokking is ook al weet je dat die aantrekkelijk is voor dieven (die veel rond het station hangen).

      Een honeypot met malware (“terughacken”) zou ik eerder als poging tot besmetten met een virus (artikel 350a lid 4 Sr: “opzettelijk en wederrechtelijk gegevens ter beschikking stelt of verspreidt die zijn bestemd om schade aan te richten in een geautomatiseerd werk”) aanmerken. Dat is gewoon strafbaar.

      Hetzelfde geldt voor een kruisboog aan de voordeur monteren als je op vakantie gaat zodat de dief een pijl door de borst krijgt. Geen uitlokking tot diefstal maar wel (poging tot) zware mishandeling of zelfs moord. Je hebt immers een plan gemaakt om iemand dood te schieten met die kruisboog.

      1. Was het argument bij die kruisboog (was het oorspronkelijk niet een een jachtgeweer bij fuiken?)niet voornamelijk dat het zonder aanzien des persoon is. Iemand kan volkomen legitiem jouw huis binnen moeten (brandweer bijvoorbeeld).

        Hackers hebben helemaal niets op mijn computer te zoeken, ook de AIVD en MIVD hebben dat niet.

        Overigens zie ik nog wel een probleem om aan te tonen dat jij hun bewust hebt geprobeerd te besmetten. Hoe gaan ze bewijzen dat jij bewust een besmette computer met iets mindere beveiliging hebt neergezet in plaats van dat de computer iets minder beveiligd was en daardoor besmet is geraakt? De beveiliging van die computer zal iets minder moeten zijn, je wil immers dat ze via die machine binnen komen.

        1. Als ik het leuk vind om zelf virussen te schrijven en die in mijn eigen virtual box los te laten, dan lijkt het me maf als ik vervolgd word omdat iemand die mijn virtual machine hackte besmet is geraakt. Als ik een elektrotechnisch project op mijn werkbank heb liggen en een inbreker elektrocuteert zich daaraan, is het dan mijn schuld dat de “werkplek” van de inbreker onveilig was. In mijn ogen is dit (en een honeypot) iets anders dan een boobytrap zoals de kruisboog.

          1. Ergens kan ik me inderdaad voorstellen dat het zo werkt, maar ik zie twee invalshoeken waarop een dergelijke actie alsnog illegaal kan zijn.

            1. Er zijn zaken waar je niet zomaar mee bezig mag zijn, omdat die verboden zijn of er beperkende voorwaarden zijn waaronder je eraan mag werken. Zo mag je denk ik niet zomaar hobbymatig een drugslab starten en als wapens jouw hobby zijn moet je aan strikte regels voldoen. Ik weet niet hoe dit met virussen zit, maar mogelijk is het zo dat hier ook beperkingen aan zitten. Moet wel toegeven dat ik het niet zo waarschijnlijk acht dat hier beperkingen aan gelden.

            2. In hoeverre je potentieel gevaarlijke maar prima legale spullen in huis mag plaatsen hangt denk ik af van de intentie en hoe aannemelijk je die intentie kunt maken. Je mag inderdaad prima een elektrotechnisch hobby project op zolder hebben. Waarschijnlijk heb je er dan extra onderdelen en een soldeerbout bij liggen waardoor het zeer aannemelijk is dat je hier voor je hobby mee werkt. Als je datzelfde hobby project echter zodanig aan een deurklink of kluis vastmaakt en het doel duidelijk is dat men dan een flinke schok krijgt bij het aanraken, dan ben je eigenlijk gewoon een booby trap aan het bouwen.
            Dus, hoe aannemelijk is het dat jij dat virus alleen maar hobbymatig schrijft om er zelf wijzer van te worden? Heb je ontwikkeltooling op die pc staan? Misschien een versiebeheer systeem waar je verschillende versies van het virus bewaard en waaruit blijkt dat jij er mee bezig was? Of heb je enkel een losse virtual machine met het virus erin en een Google historie “hoe zet ik een virus-val voor hackers”?

          2. ls ik het leuk vind om zelf virussen te schrijven en die in mijn eigen virtual box los te laten, dan lijkt het me maf als ik vervolgd word omdat iemand die mijn virtual machine hackte besmet is geraakt. Als ik een elektrotechnisch project op mijn werkbank heb liggen en een inbreker elektrocuteert zich daaraan, is het dan mijn schuld dat de “werkplek” van de inbreker onveilig was. In mijn ogen is dit (en een honeypot) iets anders dan een boobytrap zoals de kruisboog.

            De context waarin iemand iets doet zal een hoop bepalen. Ben jij een security onderzoeker die onderzoek doet naar virussen of ben je een privacyactivist die het gemunt heeft op de AIVD.

            Een servertje inrichten is 1 ding maar je hele leven anders inrichten om je doelstellingen te verbergen is iets heel anders.

          3. Ik ben geen jurist, maar het lijkt me vanzelfsprekend dat een rechter hier verschil ik maakt. In het ene geval is het per ongeluk (hoewel in het geval van elektrocutie heel erg dom, en wellicht zelfs verwijtbaar nalatig), in het andere geval is er sprake van opzet.

            Voor een rechter zal niet alleen het resultaat (infectie met een virus, elektrocutie, …) van belang zijn, maar vooral het doel dat je van te voren had: was je opzet een virus voor lering en vermaak te schrijven of was je bewust van plan om anderen te besmetten.

          4. Sowieso denk ik niet dat de AIVD onveilige werkplekken heeft. Ze zullen toch wel een sterk beveiligde Linux of BSD gebruiken, neem ik aan, zodat de kans op schade al verkleind wordt. Ja, ook een cryptolocker zou bijv. nog kunnen werken op die systemen, maar een trojaans paard of virus toch niet, zeker niet zonder su/sudo-toegang (en dat zullen ze niet standaard aan hebben staan bij de AIVD).

        2. Ik dacht dat het zuiver ging om het aspect eigenrichting, jij besluit dat de straf op diefstal van je fuik een zware verwonding en/of de dood is en je voert dat uit zonder tussenkomst van een rechter. Ongeacht of iemand daar wat te zoeken heeft, en zelfs als je 100% zekerheid hebt dat de persoon er niet mag zijn, dan nog is dat gewoon niet de bedoeling. Jij bent geen rechter en al helemaal geen beul.

          Het is één ding om te zeggen dat een inbreker bepaalde gevolgen moet dragen. Als ik mijn huis verbouw en de vloer is daardoor instabiel, dan heeft een inbreker gewoon pech als hij binnenkomt en ernstig ten val komt. Daar valt mij weinig te verwijten, zeker met een bordje “Gevaar niet betreden” aan de deur. Maar als ik actief de achterdeur een miniem slotje geef en daarachter een valkuil construeer die ik zelf aan en uit kan zetten, dan vind ik het een heel ander verhaal.

          1. Mag je dan nog wel een muur om je eigendom heenzetten? Immers, het enige doel van een dergelijke muur is het tegenhouden van dieven. Maar als zo’n dief over de muur probeert te klimmen, valt en zijn been breekt, dan is dat het gevolg van dat werk en schijnbaar dus verboden.

              1. De muur bouw je er puur voor inbrekers, dus is het nogal zwak om te stellen dat hij er niet voor is om inbrekers hun benen te laten breken. Zonder die muur had niemand zijn benen gebroken.

                Uiteindelijk doet degene die een kruisboog op zijn voordeur richt dat ook niet met het doel inbrekers dood te schieten.

                Lisa Simpson: “I am going to start kicking air, like this. And if any part of you should fill that air, it is your own fault.”

                Of, om het bovenstaande voorbeeld een tikkie uit te breiden: glasscherven bovenop de muur.

                1. Die muur bouw ik om mensen buiten te houden, niet om mensen hun benen te breken. Er zit niets in die muur dat er toe bijdraagt dat mensen benen gaan breken. Daarnaast dienen muren ook om rondlopende dieren buiten te houden, privacy in de tuin te waarborgen en de erfafscheiding met de buren te borgen. Glasscherven bovenop de muur vind ik al twijfelachtig, maar ik zou zelf pas de grens trekken met een gecamoufleerde valkuil direct achter de muur.

              2. Het luik achter de voordeur openzetten is ook geen uitlokking. Uitlokking is als je heel opzichtig dure spullen in het zicht zet om inbrekers in je val te lokken.

                Overigens is Nederland toch een raar land! Wij kregen een agent in de klas om uitleg te geven over politiewerk en recht. Dit was kort na een kranten bericht een bewoner was aangeklaagd omdat een inbreker had gezegd dat hij hem geschopt had terwijl hij al op de grond lag. Hierdoor stond de bewoner ineens in de beklaagden bank!

                Op de vraag die ik stelde wat je kon doen om te voorkomen, gaf de agent aan dat er weinig was dat je kon doen en dat het heel vervelend was. Uiteindelijk als je dat echt niet gedaan heb zal er geen forensisch bewijs zijn en is het zijn woord tegen jouw woord. Op zich al heel vreemd, voor mij is het risico van zijn ‘vak’ en zou het sowieso afgedaan moeten worden met ‘pech gehad’, maar we zijn hier blijkbaar heel goed in de crimineel beschermen.

                Het werd echter nog gekker na de les; dezelfde agent gaf in een 1 op 1 gesprek aan dat je bij een handgemeen hem beter van de trap kon gooien of met zijn hoofd op een tafelrand en hopen/zorgen dat hij zijn nek breekt. Dan kan hij je niet tegenspreken dat hij viel bij het handgemeen dat hij begonnen was en had je veel minder problemen. Maar dat kon hij niet hardop in de les zeggen, duh…

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.