Een verjaardagscadeautje voor rechtenprofessor Lawrence Lessig, zo tweette hij: het Amerikaanse Hooggerechtshof heeft de scope van de Computer Fraude and Abuse Act fors ingeperkt. Een agent die zijn bevoegdheid misbruikt om een politiedatabase te raadplegen (hij verkocht zeg maar RDW-gegevens aan criminelen) is vast op allerlei manieren strafbaar, maar hij pleegt geen computervredebreuk. In heel veel IT-rechtszaken was een brede lezing van de CFAA altijd een mooie hamer om verdachten tot schikken te dwingen, dus dit is inderdaad nogal een opsteker.
De agent in deze zaak had op zich rechtmatig toegang tot de database met politiegegevens, maar gebruikte deze om tegen betaling aan derden NAW-gegevens die horen bij een kenteken te verschaffen. Dat is natuurlijk misbruik van je bevoegdheid als politieagent, het schendt je geheimhoudingsplicht en zo nog wel een aantal dienstplichten. Maar zijn werkgever gooide het op computervredebreuk, computer fraud. Daar staan namelijk vele jaren cel op.
Het criterium voor computerfraude in de VS is erg breed: je pleegt het misdrijf als je “intentionally accesses a computer without authorization or exceeds authorized access.” In de praktijk wordt dat laatste vaak breed uitgelegd: iedere vorm van niet-bedoeld of niet-beoogd gebruik heet dan “exceeding authorized access”, of het nou gaat om een ingewikkelde technische bug gebruiken om meer te kunnen dan je mag, of om het niet opvolgen van een instructie op een geel briefje bij de receptie. Want als daarop staat “alleen gebruiken voor politiedoeleinden” dan ga je dat te buiten door de informatie op verzoek te verkopen, en dat is dan computervredebreuk.
Dat zat velen niet lekker, want zo kun je alles wel computervredebreuk noemen (en dat gebeurt dan ook). Vandaar dat deze uitspraak een positieve opsteker moet zijn:
The term “exceeds authorized access” is defined to mean “to access a computer with authorization and to use such access to obtain or alter information in the computer that the accesser is not entitled so to obtain or alter.” … An individual “exceeds authorized access” when he accesses a computer with authorization but then obtains information located in particular areas of the computer—such as files, folders, or databases—that are off-limits to him.In normale taal staat hier dat je pas van “exceeding” spreekt als je iets voor elkaar krijgt dat je niet zou moeten kunnen. Je doorbreekt een beveiliging of je misbruikt een technische voorziening, zouden wij in Nederlandse termen (art. 138ab Strafrecht) zeggen. Enkel tegen het beleid ingaan is geen “exceeding”, want je wás geautoriseerd om daar te zijn, je account had er toegang of privileges voor. Dat het beleid was om daar alleen soms te zijn of alleen voor bepaalde doelen, is niet relevant voor de bepaling of je onder deze strafwet toegang hebt.
In Nederland geldt deze regel al langer. Zo is het versturen van een vervalste betalingsinstructie naar een bank géén computervredebreuk: als jij bevoegd bent om betalingsinstructies te sturen, dan is ook deze bevoegd gestuurd. Dat de instructie zelf vals is (het geld gaat naar de verkeerde rekening) maakt het insturen zelf niet onbevoegd. Andermans wachtwoord gebruiken is wél computervredebreuk, want dat wachtwoord geeft niet jou maar die ander de bevoegdheid.
Een grijs gebied ligt in gebieden zoals URL-manipulatie: de informatie is op zich beschikbaar zonder formele autorisatie, maar er is ook weer geen openbare bekendmaking van die informatie geweest. Zoals wanneer je “20191225-3998” verandert in “20211225-4006” en dan de kersttoespraak uit 2021 krijgt. Die 4006 moest je raden maar dat is vrij triviaal, en men had net zo makkelijk een wachtwoord erop kunnen zetten. Volgens deze Amerikaanse uitspraak is dit géén computervredebreuk, want je mocht bij alle informatie op deze publiek webserver en er is geen formeel onderscheid tussen een URL aanklikken en willekeurige tekens achter elkaar zetten in een bevraging bij de website.
Arnoud
Dat is interessant. In een URL is het geen probleem maar in een wachtwoord popup wel? Dus alle Zoom links met een erin-gecodeerd wachtwoord mag je gewoon raden / bruteforcen?
Of is er een juridisch verschil tussen 20191125-3998 en 20191125?pwd=3998 ?
Het verschil tussen
20191125-3998
en20191125?pwd=3998
is dat die laatste een authenticatiemechanisme is terwijl de eerste slechts een adres is. Ik zie evenzo een verschil tussen een dichte deur opendoen (klink omlaag en duwen) en een sleutel omdraaien die in het slot is blijven zitten en dan de deur open doen.En zou er dan verschil zitten tussen “?pwd=3998” in de URL en “Header: Bearer Qm02QamvLhN7lXPmDIGYU8GibUC6eBER”. Dat laatste is hoe basically elke website met OAuht is beveiligd. En dat zijn heel veel sites. Ik kan me voorstellen dat een paar cijfers in de URL aanpassen zo triviaal/makelijk is, dat het daarom minder snel computervredebreuk is. Maar de Header Bearer aanpassen kan niet zomaar in een browser, en vraagt veel meer rekenkracht (want meer mogelijke combinaties). En is dus wellicht wel computervredebreuk?
Bij nader inzien denk ik dat het verschil zit in de intentie en de bedoeling van die string. Een URL met een random code is voor iedereen toegankelijk mits je de code weet. Een Oauth aanroep is bedoeld als authenticatie, jij moet de beoogde gebruiker zijn. Net zoals wanneer ik jouw sleutel steel: ik kán dan jouw voordeur opendoen en naar binnen gaan, maar het blijft huisvredebreuk. “Ja maar ik had de sleutel / ik wist de pincode” is dan geen argument.
Zit er dan ook nog verschil tussen of je uit de URL af kan leiden of iets een wachtwoord is of niet? Wie weet bedoelt men in 20191125-3998 het laatste ook wel als wachtwoord, maar uit de URL maak je dat niet op in dat geval. Als je dan ook geen waarschuwing of login popup krijgt die automatisch doorschiet, kun je nergens uit afleiden dat je onder water ingelogd bent met de info uit de URL.
Is er verder ook jurisprudentie over hoe het in Nederland zit met het aanpassen van een URL om bijvoorbeeld die kersttoespraak te zien te krijgen?
Je moet het uit de omstandigheden kunnen afleiden lijkt me. Enkel dat het een random getal lijkt, is niet genoeg. Als ik
blog.iusmentis.com/correct-horse-battery-staple/
naar mijn adminloginpagina laat verwijzen, is dat dan een wachtwoord of gewoon een niet zo voor de hand liggend webadres? En wat nu als dit niet alleen de loginpagina is maar je meteen in de admin interface komt, was het dan op voorhand kenbaar dat je zou gaan inloggen met dit wachtwoord-in-een-url?Uitstapje: niemand heet
Robert’); DROP TABLE students –
. Je moet weten dat je dan iets raars aan het doen bent, als je dat invult in een naam-veld. Maar er zijn mensen die Jennifer Null heten (of Robert Oot, of Ad Min) en die dan ineens heel gek gedrag krijgen op basis van hun usernaam. Gevoelsmatig is dat anders maar in beide gevallen gaat er iets mis.In dit arrest uit 2021 ging het om de vraag of SQL injectie (zoals met Bobby Tables hierboven) computervredebreuk gaf.
Het criterium is dan lekker soft “niet de bedoeling”, maar dat is wel de kern. Ik kan het niet beter formuleren dan “in de adresstructuur van mijn blog
/2021/06/10
veranderen in/2017/07/27/
is prima, maar/2017/07/27/?email=Robert’); DROP TABLE students –
is strafbaar”.Ik ga al heel lang mee op internet, en vanaf het begin heb ik me al op het standpunt gesteld dat als mensen iets beschikbaar maken via internet, dat ze dat dan bewust doen, en dat ze dan ook moeten zorgen voor adequate beveiliging. Als ze dat niet kunnen/willen, dan moeten ze de info niet on line zetten.
Ik vind het op zich een heel redelijk eerste standpunt dat alles wat beschikbaar is via een URL, zelfs met code/passwords/etc erin, met de bedoeling van de publicist beschikbaar is. De omstandigheden moeten wel heel duidelijk de andere kant op wijzen om te betogen dat dat niet zo is.
Ook die SQL injectie, daar kun je best van betogen: Het staat zo online, dus ik mag aannemen dat het de bedoeling van de auteur was dat standaard gebruikers maar beperkte info kunnen krijgen, maar wat gesofisticeerdere gebruikers meer info kunnen krijgen.
De info is openbaar gemaakt, het is niet aan mij als gebruiker om te speculeren over de bedoelingen van de website bouwer. Als hij bepaalde bedoelingen had, dan had hij dat maar met fatsoenlijke technische middelen moeten aangeven, of, want dat is natuurlijk ook altijd een optie, minder online zetten.
Bedoelingen second-guessen….. ik ben daar niet zo voor. Het boek staat in de openbare bibliotheek, het heeft de schijn keihard tegen dat alles wat je eruit kunt leren (ook iets wat niet bedoeld was, bijvoorbeeld de lijmsamenstelling van de boekbinder) niet bedoeld was openbaar te zijn.
Ik deel je standpunt een heel eind, maar bij SQL injectie haak ik wel af. Iemand die dergelijke trucs gebruikt, is niet een gesofisticeerde gebruiker, dat is een oplichter. Ik kan het nog geavanceerd noemen dat je
&totalentries=9999
aan een URL toevoegt zodat je niet steeds 12 entries per pagina hoeft te bekijken. MaarRobert; drop table users --
is geen slimme hack om sneller dan normaal informatie te krijgen, dat is gewoon crimineel.Hoe kijk jij aan tegen een degelijk dichtgetimmerde site (volgens de stand der techniek) die toch gekraakt wordt met een geavanceerde hacktechniek die alleen bij de AIVD bekend was maar door een medewerker van aldaar stiekem privé wordt ingezet? Lijkt mij niet dat die site daar wat tegen kon doen. Is dat dan wel strafbaar? Wanneer zeg jij, hier is de slimme bezoeker te ver gegaan?
Ja, het probleem is natuurlijk: wanneer is iets een hack en wanneer is iets standaard kennis van eendeskundige.
Heel precies kan ik dan ook niet antwoorden op ‘wanneer is de slimme bezoeker te ver gegaan’
Als de persoon gebruik maakt van een openbaar gedocumenteerde feature (zoals, neem ik aan, bij de SQL injectie het geval is) vind ik het lastig om te zeggen ’te ver’. Ik sluit het niet uit, maar zou eerder zeggen van niet.
Maar het punt dat ik vooral wilde maken is: iemand heeft het willens en wetens met een bewuste daad online gezet. Het verweer ‘het was niet mijn bedoeling dat iedereen het zou kunnen zien’ is dan, overtuigende tegenbewijzen daargelaten, eigenlijk gewoon een kletsverhaal, een smoes.
Waar nu precies de grens ligt tussen ’te ver gaan’ als bezoeker en niet, daar kun je over twisten, maar als het aan mij ligt in ieder geval een flink stuk verder dan in de wetgeving wordt aangenomen.
Ik zie een website/dienst eerder als een als een stuk openbare ruimte waar iemand iets interessants heeft neergezet, dan als een cafe waar ik me aan huisregels of toegangsvoorwaarden moet houden (in ieder geval wettelijk), hoewel het natuurlijk niet zwart-wit is.
Ik zou een SQL injectie niet als een “feature” willen beschouwen.
Als het al gedocumenteerd is, dan niet door de software-bouwer, en je maakt mij niet wijs dat dit gewenste functionaliteit is.
Er zal toch zeker gedocumenteerd zijn wat er gebeurt als je een onverwachte input geeft? (nu , ik ben zeker geen deskundige, dus ik kan het best mis hebben)
Ik heb meerdere jaren ervaring in software ontwikkeling en het komt maar al te vaak voor dat op de basis van “een schetsje” of “monoloog met handgewapper” wijzigingen aan software worden aangebracht. Specificatie en documentatie lijken heel moeilijk te verkopen aan het management.
We weten allemaal dat SQL injectie niet hoort te mogen kunnen; dat staat bijna nergens gespecificeerd in een “programma van eisen” of “functioneel ontwerp”.
Het komt op mij wat vreemd over dat die computervredebreuk blijkbaar gezien wordt als een ernstiger misdrijf dan het verkopen van politie-informatie aan criminelen. Waarom staat daar een hogere (cel)straf op? Is het in Nederland ook zo dat computervredebreuk ernstiger is, en kan je uitleggen wat de redenen zijn van de wetgever om dat ernstiger te achten? Mijn gevoel zegt me namelijk dat die criminelen iets willen met die NAW-gegevens. Een afrekening, een ontvoering, zoiets, terwijl computervredebreuk meer gaat om financieel gewin, om fraude met facturen of BTW e.d. Kortom, bij de ene zijn mensen het echte slachtoffer, bij de tweede is de schade meer financieel-administratief van aard. Voor mijn gevoel van rechtvaardigheid is het verkopen van die informatie daarom ernstiger.
Tja, de wet is vaak een product van koehandel tussen regering en de fracties in het parlement. In de VS worden wetsvoorstellen veelal geschreven door de “sponsors” van de congresleden, dus kun je verwachten dat belangen van kleine groepen boven het algemene belang worden gesteld. En “de wet” is ondertussen zo complex gemaakt dat niemand meer een overzicht heeft. Een politicus die heel hard roept dat “X harder bestraft moet worden” krijgt makkelijk de handen omhoog als X toevallig in de publiciteit is. Kijken naar balans in de wetgeving levert je als politicus lang niet zoveel publiciteit op.
De wet is niet rechtvaardig.
Hoe zit het dan met bijv links naar YouTube video’s en soortgelijke sites. Tegenwoordig is het vast beter afgeschermd, maar vroeger kon je in de source van de webpagina die URL van de getoonde video vinden en die dan in de adresbalk kopiëren om de video te kunnen downloaden.
Maakt het hierbij nog verschil of je een tool/plugin gebruikt om de URL te achterhalen en de download te starten, of dat je het handmatig doet?
En als je een soortgelijke methode gebruikt voor het omzeilen van cookie walls of login pagina van bijv. een krant? De pagina’s zijn soms gewoon op te vragen zonder login t.b.v. indexeren door zoekmachines e.d.
Mijn gevoel is dat als er een ‘gewone’ link is die werkt, ook al was die obscuur te vinden, dat je dan kunt blijven zeggen dat het “de bedoeling” was. Althans kennelijk. De deur van het café stond open, kennelijk mocht ik naar binnen. Had ik moeten weten dat die open stond vanwege het doorluchten na het dweilen?
Een tool gebruiken verandert er voor mij niets aan, de handeling blijft hetzelfde. En het gaat om de intentie van de handeling.
Bij een cookiemuur omzeilen zit ik dus met die intentie. Die is “ik wil niet doen wat ze van me vragen”, namelijk een abonnement nemen. Is het dan “niet de bedoeling” dat je de pagina opvraagt door je cookies te wissen, of staat de deur open voor iedere nieuwe bezoeker en ben jij na cookies wissen gewoon weer een nieuwe bezoeker? Ik vind deze echt een grijs gebied.
Hoewel je ook kunt redeneren dat het wel degelijk de bedoeling is om die pagina’s te kunnen benaderen zonder login of het accepteren van cookies, maar dat dit alleen voor een andere doelgroep bedoeld was (te weten zoekmachines). Een grijs gebied inderdaad.
“Volgens deze Amerikaanse uitspraak is dit géén computervredebreuk, want je mocht bij alle informatie op deze publiek webserver en er is geen formeel onderscheid tussen een URL aanklikken en willekeurige tekens achter elkaar zetten in een bevraging bij de website.”
Dus hebben we nu een zeldzaam geval waarin ik de Amerikaanse wetgeving beter vind dan de onze.
Een url ophogen doe ik regelmatig, vooral bij lange pagina’s gemaakt door idioten die alleen helemaal onderaan een link naar de volgende hebben. Scheelt een hoop scrollen. Het is compleet van de zotten dat als ik dan 1 te ver verhoog en ik bij de blogpost van morgen kom dit computervredebreuk zou zijn.