Wanneer is het hebben van een Remote Acces Tool en een Keylogger strafbaar?

In december werd een man veroordeeld voor het voorhanden hebben en verspreiden van Blackshades software. De rechtbank merkte dit aan als medeplichtigheid tot computervredebreuk, omdat deze software gebruikt kan worden om een inbraak in andermans computer te vergemakkelijken. Wat diverse lezers ertoe bracht om me te vragen, hoezo is het strafbaar om die software te hebben? Er zijn zo veel tools voor remote access, hoe moet je nu weten wanneer dat wel of niet strafbaar is?

Het enkele feit dat software geschikt is voor remote access maakt deze natuurlijk niet meteen een hulpmiddel voor computervredebreuk. De wet spreekt van “ontworpen of geschikt gemaakt” voor het misdrijf (art. 139d lid 2 Strafrecht), en niet alle binnengaan of binnendringen in andermans computer is een misdrijf. Een ICT-bedrijf kan immers prima legaal bij de klant zijn computer binnengaan om onderhoud te plegen onder een contract, of op verzoek inloggen om een probleem te herstellen.

Dergelijke software kan ook door criminelen worden gebruikt om stiekem bij mensen binnen te dringen, en dan bijvoorbeeld data te gijzelen of te verkrijgen, of om de computer als springplank voor een aanval elders te gebruiken. Dat zijn misdrijven.

Hoe zie je dan het verschil? Zoals ik wel vaker zeg, dat zie je aan de intentie van hoe de software wordt vermarket en hoe deze in de markt bekend staat. De software Blackshades staat bekend als hackingtool:

Blackshades is the name of a malicious trojan horse used by hackers to control infected computers remotely. The malware targets the computers using Microsoft Windows -based operating systems. According to US officials, over 500,000 computer systems have been infected worldwide with the software. … Blackshades infects computer systems by downloading onto a victim’s computer when the victim accesses a malicious webpage (sometimes downloading onto the victim’s computer without the victim’s knowledge, known as a drive-by download) or through external storage devices, such as USB flash drives.

De rechtbank is dan ook van oordeel dat de Blackshades software hoofdzakelijk is ontworpen om het plegen van computervredebreuk mogelijk te maken. Daarmee is bezit van deze software dus strafbaar. Dat de software ook gebruikt kan worden voor legale activiteiten is dan niet relevant; het gaat erom of hij hoofdzakelijk bedoeld is voor illegale zaken. En gezien hoe deze software algemeen bekend staat, en het soort features dat aan boord is, is dat hier dus het geval.

De verdachte wilde zich aansluiten bij de reeds bestaande Blackshades organisatie, en kreeg dat op zeker moment ook voor elkaar. Bovendien had hij wetenschap van alle functionaliteiten en illegale mogelijkheden van deze software. Dat maakt hem ook strafbaar voor het voorhanden hebben van die software, én voor medeplichtigheid aan misdrijven zoals binnendringen en denial of service aanvallen.

Arnoud

22 reacties

  1. Klink mij in de oren als gemakzucht; ‘we kunnen om wat voor reden dan ook niet bewijzen dat mensen iets illegaals met deze software hebben gedaan, dus laten we de software maar illegaal maken die ze gebruiken’.

    Zowel het ‘ontworpen’ als ‘geschikt gemaakt’ gedeelte is problematisch. Software ontworpen gemaakt voor penetration testing is niet te onderscheiden van software die gemaakt is om computervrede breuk te plegen. Dan moet je achteraf een intentie aan de makers toe gaan kennen? Ik heb zelf Nmap, Wireshark en Metasploit gebruikt om de beveiliging van mijn eigen servers te testen. Alle drie kunnen ook gebruikt worden om derden te hacken. Nu zijn dit established names en zie ik niet zo gauw dat bezit van deze software an sich strafbaar bevonden wordt. Maar het is wel een probleem voor een nieuwe speler om die markt te betreden.

    En ‘hoe deze in de markt staat’ is ook een probleem lijkt mij. Even los van het feit dat de release terug getrokken werd indertijd. Waste was ontworpen als en decentraal filesharing programma binnen nullsoft. Maar na de ‘release’ is het een korte tijd in de markt vooral gebruikt om illegale bestanden in besloten vrienden kring te delen, weg van de ogen van Brein en de overheid. En zo staat je software ineens bekend als een tool voor illegale filesharing.

    1. Klink mij in de oren als gemakzucht; ‘we kunnen om wat voor reden dan ook niet bewijzen dat mensen iets illegaals met deze software hebben gedaan, dus laten we de software maar illegaal maken die ze gebruiken’.

      Mee eens, maar er zit nog wel een flink stuk nuance in dit verhaal. Art. 139d lid 2 Sr. bepaalt namelijk niet alleen dat de software voor computervredebreuk ontworpen moet zijn, maar ook dat de verdachte deze moet bezitten met het oogmerk dat daar computervredebreuk mee wordt gepleegd. Dat laatste criterium acht de rechtbank voldaan omdat de software ook echt werd aangeprezen en verkocht als hacking tool op een hacking forum, en de verdachte in een chat ook ondersteuning gaf aan mensen die deze intenties leken te hebben en bewustzijn leek te vertonen van het ‘illegale karakter’ van zijn activiteiten.

      Overigens moet ik wel zeggen dat de rechtbank op eerste gezicht inderdaad enigszins lichtzinnig met het criterium van oogmerk lijkt om te gaan, aangezien de onderbouwing best lijkt op: ‘Het is ervoor ontworpen en aangeprezen, dus is de illegale intentie gegeven’. Maar toch zal het er waarschijnlijk vooral aan liggen dat de verdachte geen geloofwaardige alternatieve verklaring heeft voor wat hij aan het doen was.

    2. “‘we kunnen om wat voor reden dan ook niet bewijzen dat mensen iets illegaals met deze software hebben gedaan, dus laten we de software maar illegaal maken die ze gebruiken’.”

      Inderdaad, mee eens. Klinkt een beetje als “de auto die u in bezit heeft kan 230 km/u halen en als u met die snelheid binnen de bebouwde kom rijdt, dan kunt u mensen aanrijden wat een overtreding is van strafrechtartikel xyz, dus de auto wordt niet toegelaten op de Nederlandse weg.”

      1. Wat mij betreft is het toch iets meer dat je een koevoet en een bivakmuts achterin je auto hebt. Of bijvoorbeeld kunstmest en andere huis-, tuin- en keukenartikelen koopt die je kunt gebruiken om een bom te maken. Op zich is het legaal om dat soort dingen te kopen, maar het is ernstig verdacht in context.

  2. Wat ik mij afvraag is; waar haalt een rechter de kennis vandaan dat software hoofdzakelijk voor illegale zaken gebruikt word. Doet hij daar zelf aan mee, heeft hij het van horen zeggen., Van een ‘onderzoeksbureau’ .

    Waar hij het vandaan heeft is wat mij betreft altijd disicutable omdat hij geen enkel zicht heeft op wat er met bepaalde software gebeurd. Hooguit natte vinger werk. Als het wel zo zou zijn dan heeft hij kennis van HEEL de ‘shady side of the web’ en meteen heeft hij zijn burgerplicht dan niet gedaan om dat te voorkomen.

    Natte vingerwerk

    1. Misschien gewoon uit het onderliggende dossiers? Waarin bijvoorbeeld screenshots o.i.d. zitten van hoe het programma op internet aangeprezen wordt? Rechter zal uitspraak doen op basis van het onderliggende dossier, niet op grond van natte vingerwerk. Enkel bij feiten van algemene bekendheid kan een rechter volstaan met opmerken dat feit van algemene bekendheid is, anders moet bewijs toch echt uit het onderliggende dossier voortkomen.

      1. Dus als ik het goed begrijp vind jij onderliggende dossiers, die matig tot niet inzichtelijk zijn en waarschijnlijk ook gebaseerd op natte vingerwerk een goede basis voor een uitspraak? Tot dat duidelijk is welke software je niet mag gebruiken kan het het alleen maar natte vingerwerk zijn. Niemand heeft inzicht wie welke software gebruikt, want dan zou iedereen gehackt zijn en alle data beschikbaar. (M$ komt voor hun software in de buurt met .sqm data die je elk uur stuurt, maar dat is dan alleen MS).

        Ik ga nog een stap verder: Internet is nog steeds anarchie, tot iemand onomstotelijk bewijst dat dat niet zo is. Voorlopig zie je dagelijks in het nieuws het tegendeel. Zelfs China krijgt het niet voor elkaar, terwijl het daar bijna een intranet is, met volledige controle.

          1. Mee eens, maar ik heb moeite met ‘kunt niet veroordeeld worden’ want dat kan dus wel. En is ook geschiedkundig gebleken in NL. En helemaal met de nl voc mentaliteit die al 400 jaar niet veranderd is. Recht hebben is niet hetzelfde als je recht ook daadwerkelijk krijgen.

        1. Sorry, maar ik zou voorstellen om je eens te verdiepen in hoe het strafrecht werkt in Nederland. Dossiers niet inzichtelijk? Elke strafzaak wordt gedaan op basis van een strafdossier, welk in het bezit is van alle procespartijen. Op grond van dit dossier doet de rechter uitspraak, niet op basis van natte vingerwerk. Als je de uitspraak ook leest, zie je ook in de overwegingen staan waar de rechter zich op baseert (zie o.a. onder 4.2.2.). In dit geval is duidelijk dat met met de software geen legitiem doel nastreefde en komt de rechtbank m.i. terecht tot een veroordeling. Het was voor verdachte wel degelijk duidelijk waar de software voor diende. En dat internet een anarchie is, wil nog niet zeggen dat je daar ook alles mag doen. Je hebt je ook gewoon aan de wet te houden, ongeacht of het op internet is of niet. Of je nou iemand oplicht via internet of gewoon ouderwets aan de deur, het is en blijft oplichting.

          1. Mag natuurlijk mijn woorden verdraaien, maar ik zeg nergens dat dossiers niet inzichtelijk zijn , maar matig tot niet. Want met de regelmaat van de klok is er weer eens een procedurefout o.i.d., wat dus vaak te maken heeft dat ‘men’ geen kennis heeft van dossiers. En https://nl.wikipedia.org/wiki/Anarchisme En ook dat heeft niets te maken met je alles mag. Is iets anders als ditatoriaal fascisme waar NL heel langzaam naartoe aan het glijden is. Steeds meer geweld, wat ook door de samenleving getolereerd word en dictatoriaal, als in dat je niets te vertellen hebt en maar moet schikken naar het parlement (parlementaire dictatuur). Want er is niet één partij die zijn beloften en partij programma nakomt, 1 seconde na de verkiezingen, val maar dood kiezers wij doen toch wel waar we zin in hebben. Allemaal arrogantjes, de laaste diener was Fortuyn, en iedereen had in de gaten waar het heen zou gaan maar met demoniseren hebben ze hem ….. Was iets met de dierenpartij.

            400 jaar VOC ben je niet zomaar kwijt

    2. Dat is nu net waar ik mij minder zorgen om maak. Als die rechter een te eenzijdig beeld heeft gekregen dan heeft de verdediging steken laten vallen.

      Een groter probleem is dat voor volkomen legale doeleinden gemaakte software gehijacked kan worden door hackers waarna het legale gebruik nog maar een fractie van het illegale gebruik is. Ik heb Waste, wireshark en metasploit al genoemd, maar TOR gaat ook hard die kant op, password crackers idem. Allemaal van onschatbare waarde voor hackers.

      Neem mijzelf weer als voorbeeld ik heb veel tijd gestoken in het leren hoe je die tools effectief gebruikt, door te oefenen op de eigen server. Ik ben geen researcher of security professional, maar simpelweg iemand die zijn eigen (mail- en web) server heeft. Ik heb dus zakelijk/professioneel geen enkel belang bij het hebben van die software. Stel dat je dan onterecht in beeld komt bij een onderzoek omdat je op een forum, waarop ook hackers komen, vragen hebt gesteld hoer iets werkt. Dan heb je toch een moeilijk verhaal.

      En het kan toch niet zo zijn dat je deze software alleen maar als betaald onderzoeker of security specialist mag gebruiken.

      1. “Dat is nu net waar ik mij minder zorgen om maak. Als die rechter een te eenzijdig beeld heeft gekregen dan heeft de verdediging steken laten vallen.”‘

        En jij kan dus nooit weten of de ( jou) verdediging zijn werk goed gedaan heeft. Komt bij dat je niet weet of de rechter éénzijdig heeft geoordeeld. Alleen het resultaat zal je ondervinden, hoe ze het ook dan gedaan hebben. Want je hebt de kennis niet, al word je geacht de wet te kennen. (kan niet). Ik zou me dus wel zorgen maken. Ik zit in hetzelfde schuitje, websites mail enz. maar veel tools die een bedrijf ie tmag gebruiken kan jij wel gebruiken. Neem bijvoorbeeld piwik, gratis webanalitics en tegenwoordig Matomo, (PFFT die naam) Zakelijk mag je niet veel aanvinken maar privé mag je veel meer. Want je moet je zakelijk aan de AVG houden. en prive …

        Zie ook https://blog.iusmentis.com/2018/05/30/particuliere-handhaving-gaat-het-helemaal-worden-onder-de-avg/

        En als bloger bij een commercieel bedrijf: https://blog.iusmentis.com/2018/05/16/zo-voldoe-je-als-blogger-aan-de-privacyverordening-avg-gdpr/

        Maar als particulier op een consumentenlijn met eigen servers … Volgens mij zijn ze dat vergeten. Want de AVG geldt niet voor zuiver persoonlijke/huishoudelijke activiteiten.

        1. Ik weet genoeg van deze materie om te weten of de informatie die gepresenteerd wordt feitelijk juist is en zo niet ben ik er zelf bij als mijn advocaat dat niet weerlegt. En dan moet hij met een goed verhaal komen waarom hij feitelijke onjuistheden niet weerlegt.

  3. Ik doe op moment wetenschappelijk onderzoek naar trojans en malware (evolutie en classificatie). Ik heb ongeveer 120 gigabyte aan malware op een externe HD (niet op Nederlandse bodem). Hoe kan je dit disclaimen? Een timestamped txt bestand uploaden naar Github account met daarin “Ik doe op het moment wetenschappelijk onderzoek naar malware”?

    Is er vrijstelling voor security onderzoekers of is dit een legaal schemergebied? Om redelijkerwijs te beschermen tegen, en op de hoogte te zijn van, malware, moet je het tijdelijk in bezit hebben.

    1. Als je aangesloten bent bij een organisatie die dat soort zaken altijd al doet lijkt het mij een probleem voor de werkgever. Als je het dan maar daar laat. En anders stuur je hem een mail daarover en die bewaar je zorgvuldig, en niet op de zaak zolang je daar werkt.

      Doe je het privé, dan word het al gauw schemer zoals je zelf schrijft, en dat legaal in één en dezelfde zin kan dan niet. Schemer dus. Misschien een anti virus schrijver / coder / programmeur die hier goed antwoord op kan geven. Probeer eens het Russische kasperski zijn vaak erg open.

      Zelf ben ik van het type gewoon doen, want als je het vraagt mag het nooit. Je kan achteraf altijd nog sorry zeggen.

    2. Als je dat onderzoek doet via een universiteit of onderzoeksinstituut, dan zou ik me geen zorgen maken. Er is dan geen reden te vermoeden dat jij met kwade zaken bezig bent (jouw intentie weegt mee voor strafbaarheid). Sowieso ben je gedekt als je als werknemer dat onderzoek uitvoert.

      Doe je dit als eenmanszaak vanuit de kelder bij je ouders en heb je nog nergens gepubliceerd, dan heb je de schijn tegen je. Ik zou dan adviseren een journalist en/of wetenschapper te zoeken die met je samen wil werken, en geen veldonderzoek op hackerfora te doen.

    3. Probeer je wel eens of een van de trojans werkt door het aan te bieden aan iemand waarmee je ruzie hebt? Zo ja, je bent een eikel en verdient het om door de strafrechtmolen te gaan!

      Doe je je onderzoek bij een reguliere universiteit of hogeschool, onder begeleiding van een docent, dan loop je weinig risico.

      Ben je bekend als beveiligingsonderzoeker omdat je bij een bedrijf (met een goede naam) werkt dat beveiligingsonderzoek doet, dan loop je weinig risico.

      Ben je bekend als auteur van publicaties op beveiligingsgebied en/of als spreker op beveiligingsconferenties dan loop je ook minder risico.

      Verzamel je malware “voor de lol” dan loop je een risico.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.