Mag je gelekte software doorspitten om te zien of deze tegen jou gebruikt is?

Activistische hackers hebben 1,8 terabyte aan software en broncode online gezet van het Israëlische spionagebedrijf Cellebrite. Dat meldde Tweakers vorige week. Onder meer ons NFI gebruikt deze software om mobiele telefoons te kraken, bijvoorbeeld in een strafrechtelijk onderzoek. De discussie in de comments focuste op een interessante vraag: mag je in deze publicatie snuffelen als je vermoedt dat deze software ook tegen jou gebruikt zou (kunnen) zijn?

Hoe ernstig het lek is, is nog wel de vraag. Reageerder Eltweako meldt bijvoorbeeld dat “verreweg de meeste files gewoon te downloaden van de Cellebrite portal als je hun software afneemt.”

Het grootste deel van de 1.7TB zijn de offline map packages. Die zijn bedoeld om in te laden in de Physical Analyzer als je “in het veld” aan het werk bent. Grofweg zijn er 2 tools die je gebruikt en die ook in deze leak zitten: De Physical Analyzer en UFED4PC. UFED4PC is de tool die je gebruikt voor het uitlezen van mobiele apparaten, en is gelijk aan de software die op hun hardware draait.
De software is vrij breed beschikbaar onder vakgenoten, er zitten geen spectaculaire 0day inbraaktools tussen. Dat is relevant, want de zorg over of je erin mag kijken komt vanwege het recente wetsartikel tegen helen van gegevens, artikel 139g Wetboek van Strafrecht, dat het verwerven, hebben of verspreiden van “niet-openbare gegevens” strafbaar stelt. Dus of het nou software is of data, persoonsgegevens of niet, je mag ze niet verspreiden – als je wist of moest weten dat de gegevens door misdrijf zijn verkregen uit de originele bron.

Er is een uitzondering in lid 2:

Niet strafbaar is degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang het verwerven, voorhanden hebben, ter beschikkingstellen, bekendmaken of gebruik van de gegevens, bedoeld in het eerste lid, vereiste.
Deze uitzondering is met name bedoeld voor journalisten, die zouden willen publiceren over misstanden en daarbij deze gegevens als brongegevens nodig hadden. Stel tussen die gelekte gegevens zat ook een klantenlijst en men ziet daarop allerlei onfrisse geheime diensten in schurkenstaten, dan zou dat nieuwswaarde hebben om te publiceren en dan is het ongewenst dat het OM de nieuwsmedia kan vervolgen wegens “heling van informatie”.

De vraag die hier opdook, was echter of je zelf mag kijken of die software iets kan waardoor jou onrecht kan zijn aangedaan. Een soort van terughacken, zeg maar. Want dat is dan in jouw eigen belang, maar is dat hetzelfde als het algemeen belang, zeker als je niet publiceert? Indirect denk ik toch wel, want dat belang dat jij nastreeft is een belang voor het algemeen, het bestrijden van onrecht dat jou is aangedaan zodat je juridische stappen kunt nemen lijkt me daar wel aan te voldoen.

Arnoud

 

2 reacties

  1. Leunt dit ook niet op het principe dat iedereen eigenlijk een journalist is, en dat je pas bij het publiceren van jouw bevindingen kunt oordelen of er spraken is van een maatschappelijk belang?

    Ik krijg altijd jeuk als ik mensen hoor over ‘journalisten’, alsof er een magische stempel is waarmee sommige burgers meer rechten krijgen dan anderen.

    1. Zoals vaak in het recht is zijn de zaken niet zo zwart-wit als de wetstekst leest. Wanneer je je beroept op de “algemeen belang” exceptie, dan zal de rechter jouw argumentatie wegen en een journalist die kan wijzen naar een geschiedenis van tien jaar artikelen over computerbeveiliging zal veel meer overtuigingskracht hebben dan iemand die af en toe wat familiefoto’s op Facebook zet wanneer beiden zeggen “met een artikel over de gegevens” bezig te zijn.

      Ja, de “algemeen belang” uitzondering beschermt ook beveiligingsonderzoekers, waarbij ook geldt dat aantoonbare ervaring helpt een rechter te overtuigen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.