Moet ik aangifte doen van computervredebreuk tijdens de les?

| AE 10567 | Hacken, Strafrecht | 24 reacties

Een lezer vroeg me:

Mijn docent voor het vak IT Security gaf net aan hoe makkelijk het is onbeveiligde PHPMyAdmin omgevingen te vinden met een Google-zoekopdracht en daar dan op in te loggen. We kregen zelfs een live demonstratie. Voor zover ik weet, is dit computervredebreuk en dat is een ernstig misdrijf. Ben ik nu verplicht aangifte te doen?

Het was inderdaad bepaalt niet handig van die docent om in een lesomgeving een demonstratie te geven van hoe makkelijk het is om slecht beveiligde systemen van derden te vinden. Natuurlijk is het relevant voor een vak als IT security om te melden dat dingen vaak misgaan, maar daarvoor hoef je niet te laten zien hoe je dit exact nagaat bij derden.

Echt problematisch is zo’n live demonstratie. (Ik neem maar aan dat dit geen eigen server was die als demonstratie-object werd gebruikt.) Want ja, het is strafbaar als computervredebreuk om binnen te dringen in een computersysteem van een derde. Of daarbij een beveiliging wordt doorbroken of een security zwakheid wordt geëxploiteerd doet er in principe niet toe. Zodra je weet of moet weten dat je daar niet mag zijn in dat systeem, is sprake van een strafbaar feit.

Iedereen is bevoegd om aangifte te doen van een strafbaar feit wanneer hij daar kennis van heeft (art. 161 Wetboek van Strafvordering). Als student bij dat vak kun je dus als je dat wilt naar de politie en melden dat dit is gebeurd. Persoonlijk zou ik eerder naar de decaan of opleidingsdirecteur stappen, ik denk dat dat meer kans maakt om tot een gedragsaanpassing te komen.

Verplicht is het niet. De wet (artikel 160 Strafvordering) noemt een aantal misdrijven waarbij aangifte verplicht is, maar het gaat dan eigenlijk altijd over zeer ernstige misdrijven waarbij mensenlevens in gevaar komen, zoals moord en doodslag, verkrachting en ontvoering. Computervredebreuk en aanverwante misdrijven (zoals ddos aanvallen) horen daar niet bij.

Arnoud

Mag je gekraakte wachtwoorden of hashes in je bezit hebben?

| AE 9278 | Hacken, Strafrecht | 16 reacties

Een lezer vroeg me:

Er zijn veel dumps van gehackte wachtwoorddatabases (b.v. LinkedIn) beschikbaar op internet. Is het strafbaar om (1) deze in je bezit te hebben (2) hashes in zo’n dump te kraken en (3) gekraakte wachtwoorden publiek te maken in b.v. presentaties of publicaties?

Het is op dit moment algemeen niet strafbaar om in het bezit te zijn van gegevens die door misdrijf zijn verkregen. Bezitten van dergelijke waar noemen we ‘heling’ maar dat geldt alleen bij fysieke goederen, niet bij informatie. Heb je bijvoorbeeld een foto of een PDF met jaarcijfers in je bezit die iemand anders heeft gedownload na een computervredebreuk, dan ben jij niet strafbaar.

Specifiek voor wachtwoorden is dat anders: het is strafbaar om een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan te hebben (of te verkopen of te verspreiden, et cetera). Zie artikel 139d lid 2 Strafrecht. Dus hebben en publiceren daarvan is strafbaar.

Ik denk dat dit artikel ook gaat over hashes. Hoewel dat strikt gesproken geen wachtwoorden zijn (je kunt er niet mee inloggen) is het meestal wel mogelijk om die wachtwoorden terug te halen, en daarom zou ik ze “daarmee vergelijkbaar” noemen. Een hash die goed gesalt is en daarmee niet terug te rekenen is, zou een uitzondering zijn.

Er ligt een wetsvoorstel bij de Eerste Kamer om de strafwet te wijzigen

zodanig dat het strafbaar wordt om niet-openbare gegevens voorhanden te hebben als die door misdrijf verkregen zijn en jij dat wist of had moeten weten.

Daarmee zou dus ook het bezit van die PDF met jaarcijfers ineens strafbaar zijn (een jaar cel). Er is een uitzondering (lid 2) voor handelen in het algemeen belang, zoals bij journalisten die met gestolen bronmateriaal een grote misstand aan de kaak willen stellen.

Arnoud

Wanneer is een responsible disclosure beleid rechtsgeldig?

| AE 9240 | Beveiliging, Hacken | 28 reacties

Een lezer vroeg me:

Sommige bedrijven hebben een responsible disclosure beleid en maken dit bekend op hun website. Ik zie alleen daarin steeds vaker iets over geheimhoudingsplicht voorkomen: je mag kwetsbaarheden wel zoeken en melden, maar zonder toestemming (of soms “zonder overleg”) niet publiceren. Maar het hele idee van responsible disclosure is toch juist dat je op zeker moment naar buiten treedt, natuurlijk wel op zorgvuldige wijze. Kunnen bedrijven dit zo stellen, is dit rechtsgeldig? Dan gaat toch het hele concept onderuit?

Een bedrijf dat responsible disclosure-beleid publiceert en daarin zegt dat er nimmer mag worden gepubliceerd zonder haar toestemming, is wat mij betreft misleidend bezig. Dat is niet wat de term responsible disclosure impliceert en het is zeer ergerlijk dat bedrijven op die manier doen alsof ze RP-beleid hebben.

Het hele idee achter responsible disclosure is dat kwetsbaarheden op zeker moment publiek móeten worden, omdat dan iedereen er rekening mee kan houden. Als de good guys hun mond moeten houden dan kunnen bedrijven kwetsbaarheden onder de pet houden. Wat slecht is voor de maatschappij, want de bad guys weten het toch wel. Natuurlijk is het ook weer niet de bedoeling dat kwetsbaarheden direct publiek worden, want dan kan er misbruik van worden gemaakt zonder dat het bedrijf het kon repareren.

De Leidraad over responsible disclosure uit 2013 van de overheid zoekt naar een middenweg. Het idee is dat melder en bedrijf in overleg treden over wanneer naar buiten te treden, met als vuistregel 60 dagen na de melding. Maar dát er naar buiten getreden wordt, staat daarbij voorop. En gezien het belang van security in ICT-systemen is dat ook niet meer dan logisch. Wie anno 2017 nog verdedigt dat security by obscurity beter is, kan beter wat anders gaan doen.

Of responsible disclosure beleid rechtsgeldig is, is een lastige vraag. Beleid is natuurlijk maar beleid, en dat kan zomaar veranderen. Belangrijkste is: wat dóet het, dat beleid. Zijn daar rechten of plichten aan te ontlenen? Plichten opleggen in beleid is erg moeilijk, want de wederpartij moet daar wel mee akkoord gaan. Je kunt dus niet op voorhand iemand aansprakelijk laten zijn voor alle schade die het gevolg is van een ontdekte kwetsbaarheid. Omgekeerd is het wél makkelijk mogelijk om het bedrijf te houden aan een toezegging. Met name dus de toezegging “wij zullen geen aangifte/schadeclaim doen als je je aan het beleid houdt”.

Arnoud

Mag je voor je afstudeeropdracht 17.000 mensen typosquatten?

| AE 8738 | Hacken | 10 reacties

Een Duitse student is erin geslaagd zo’n 17.000 mensen zijn eigen script te laten draaien middels typosquatting, meldde Ars Technica onlangs. Hij had het script geïnstalleerd op de bekende sites PyPI, RubyGems en NPM met als naam een spelfout op de 214 populairste scripts daar. “It’s not clear if the experiment broke ethical or even… Lees verder

Mag je gratis betaald internetten met een covert channel?

| AE 8598 | Beveiliging, Hacken | 15 reacties

Een lezer vroeg me: Als ik in een hotel wil internetten, moet ik betalen. Maar met tools zoals Iodine of PingTunnel kun je via een oneigenlijke weg alsnog gratis internet op. Is dat computervredebreuk? Van computervredebreuk is sprake als je binnendringt in een computer. Het is strikt gesproken niet nodig dat je een beveiliging omzeilt,… Lees verder

Is het strafbaar een USB-killer in je tas te hebben?

| AE 8097 | Hacken, Strafrecht | 47 reacties

Een Russische onderzoeker heeft een USB-stick ontwikkeld waarmee het mogelijk is om computers te vernielen, las ik bij Security.nl. De USB-killer stuurt een stroomstoot op -220 Volt naar het moederbord van de computer waar je hem insteekt, en dat is redelijk fataal. Oké, leuk, maar dan wordt het juridisch interessant: stel je stopt die in… Lees verder

In één nacht het internet scannen, hoe strafbaar is dat?

| AE 8048 | Beveiliging, Hacken, Strafrecht | 12 reacties

Het begon als grap, las ik in De Correspondent. Een onderzoeker wilde kijken hoeveel apparaten Telnet gebruikten. Op heel internet dus. “Hij bedacht daarom een list en liet een botnet het vuile werk opknappen.” Ook goeiemorgen. Een botnet van 30.000 computers die uiteindelijk concludeerden dat van 1,3 miljard IP-adressen een reactie kwam en van 2,3… Lees verder

Tiradeweek: Oh, en iemand wijzen op een vulnerability is dus géén strafbaar feit

| AE 7962 | Beveiliging, Hacken | 10 reacties

Kondig je een tiradeweek aan, krijg je allemaal tips van mensen met dingen waar je tenen van gaan krullen: Stop checking our code for vulnerabilities, aldus de (inmiddels ex-) Chief Security Officer van Oracle. Het doet me denken aan de standaardreactie van wel meer bedrijven: je meldt een probleem, en de reactie is niet “oh… Lees verder

Het Wassenaar Arrangement versus de security-onderzoeker

| AE 7806 | Hacken, Software | 22 reacties

Een Britse student mag zijn scriptie niet publiceren omdat hij daarin exploits uitlegt, wat verboden is door het Wassenaar Arrangement. Dat meldde Ars Technica afgelopen vrijdag. De bachelorscriptie bevat nu enkele zwartgemaakte pagina’s, en details daaruit worden alleen aan bona fide securityonderzoekers beschikbaar gesteld. Wacht even, is het nu ook al verboden om wetenschappelijke publicaties… Lees verder

Mag je Metasploit-modules publiceren voor kwetsbaarheden in software?

| AE 7448 | Beveiliging, Hacken, Software | 17 reacties

Een lezer vroeg me: Vanuit een research-oogpunt zou ik graag Metasploit modules willen publiceren voor gedichte kwetsbaarheden in veelgebruikte software. Kan dit zomaar of ben je dan strafbaar bezig? Het is strafbaar om een kwetsbaarheid te exploiteren en zo binnen te dringen in een computersysteem. Dat is de computervredebreuk uit artikel 138ab Strafrecht. Aanvullend is… Lees verder