Mag je de verlichting van de Erasmusbrug op paars zetten?

| AE 12327 | Regulering, Security | 23 reacties

Het systeem om de verlichting van de Erasmusbrug in Rotterdam te veranderen was ruim een jaar via internet toegankelijk, meldde Tweakers onlangs. RTL Nieuws-reporter Daniël Verlaan kreeg een tip over het lek en wist de brugverlichting paars te maken. De brug zelf was verder niet te bedienen, maar de interface van dit systeem bleek zonder beveiliging toegankelijk als je wist wat de netwerkpoort was van de server. Die laatste was via zwakhedenzoekmachine Shodan te vinden. Dat riep dus weer de bekende vraag op, mag dat dan?

Je mag niet binnendringen in andermans computersysteem. Of dat systeem beveiligd is, doet niet ter zake. Enige vraag is of je wist dan wel moest weten dat je daar niet mocht zijn. Het lijkt me evident dat je als Shodan-surfende derde weet dat je niet de verlichting van de Erasmusbrug mag bedienen, dus dat noem je binnendringen.

Natuurlijk kun je per abuis op zo’n server belanden. Je klikte wat rond, iemand deelde een onschuldige server en oeps die brug werd paars. Kan. Maar ik zou zeggen dat het bewijs van jouw bewustzijn een heel eind rond is als jij zegt, ik zat op Shodan te kijken en zag daar de admin van de Erasmusbrug. Je wéét dat Shodan geen rechtmatig gepubliceerde interfaces bevat en je wéét dat jij niet welkom bent in de admin van de Erasmusbrug.

Dit is dus tevens waarom je niet aan de politie gaat uitleggen wat je deed of waarom je dacht dat dat mocht. Gewoon niet. Echt niet. Nee, ook niet vanwege die reden die jij nu in je hoofd hebt. Niet. “Ik wil graag eerst met een advocaat overleggen” is het énige dat je zegt. Serieus. Alsjeblieft.

En ja, het is een vrij onschuldig verhaal want er is niets kapot gegaan, niets bediend en niets ernstigs gebeurd. Maar toch, wees voorzichtig als je geen professioneel journalist bent. Ik benadruk dit omdat in de sfeer van “cybercrime” Justitie vaak overspannen reageert vergeleken met real-life situaties. Als je de controlekamer van deze verlichting was binnengelopen, dan had de portier op z’n kop gehad en was jij eruit gejaagd. Maar nu heb je een cyberhack gedaan. In theorie had je zelfs antiterrorismewetgeving kunnen triggeren met zo’n actie.

In dit specifieke geval betreft het een journalist die een opmerkelijke misstand aan de kaak stelt, en daarvoor het enige middel gebruikt om aan te tonen dat de misstand waar is. De maatschappelijke of persoonlijke schade is nihil en het slachtoffer is geïnformeerd en kreeg de kans de misstand op te heffen voordat dit nieuws werd. Dan en specifiek dan wordt de strafbaarheid opgeheven.

En natuurlijk, journalist is geen beschermde titel, maar journalist ben je pas als je journalistieke activiteiten ontplooit. Dus enkel zeggen “ik wilde erover publiceren” is niet genoeg. Je moet een track record hebben (zoals Daniël, koop dat boek) of daadwerkelijk een journalistieke uiting hebben gedáán. Wilde je nu eindelijk eens journalist worden en was dit je eerste geplande publicatie maar werd je gepakt voordat het online stond, dan vrees ik dat je niet wordt geloofd.

Arnoud

Met valse personalia internet bestellen is geen computervredebreuk

| AE 12233 | Regulering, Security | 18 reacties

Onder andermans naam een internetmodem bestellen en een contract afsluiten, is dat computervredebreuk? Je zit dan te internetten terwijl je weet dat je dat niet mag, dus je bent dan willens en wetens ergens binnengegaan (namelijk in de modem en het netwerk van Vodafone) waar je niet mocht zijn. Dat je geen beveiliging hebt doorbroken, is al tijden geen argument meer. Maar nee, toch is dit géén computerdelict. Dat blijkt uit een recent strafrecht vonnis uit Rotterdam.

De verdachte heeft zich met zijn partner op grote schaal en creatieve wijze schuldig gemaakt aan het veelvuldig oplichten van VodafoneZiggo en KPN gedurende een periode van bijna twee jaar, zo opent het vonnis. Hij nam onder valse persoonsgegevens contracten af, nam de modems in ontvangst en kon zo internetten en bellen zonder daarvoor te hoeven betalen. Kennelijk ging er iets mis bij VodafoneZiggo haar fraudecontrole, want “[i]n het huis van de verdachte en in een door hem gehuurde garagebox zijn maar liefst 1161 modems aangetroffen.” Maar goed, uiteindelijk toch gepakt.

Het OM noemde dit computervredebreuk, want “door met valse personalia via VodafoneZiggo modems te bestellen, deze aan te sluiten en te gebruiken en de kosten daarvan onbetaald te laten, is sprake van het wederrechtelijk binnendringen in deze modems.” Een argument dat je wel vaker hoort. Je weet dan dat je niet in die modems (of de bijbehorende servers) mag zijn, omdat je weet dat je geen abonnement hebt.

Toch klopt het niet:

De verdachte heeft niet op een andere wijze toegang gekregen tot en gebruik gemaakt van de goederen en diensten van VodafoneZiggo dan gebruikelijk. Niet kan dan ook worden gezegd dat hij door die gedragingen op een wederrechtelijke manier toegang heeft verworven tot de modems.
In mijn woorden, als je een computer of netwerk gewoon gebruikt zoals het bedoeld is, dan is het geen computervredebreuk. Ook niet als je eigenlijk onder valse voorwendselen opereerde, zoals hier dus met de nep-NAW gegevens. Dat sluit aan bij een eerder arrest uit Amsterdam, waarin de verdachte vervalste betaalopdrachten aan de computer van de Rabobank had aangeleverd:
de verdachte […] gebruik heeft gemaakt van hem door de Rabobank […] ter beschikking gestelde gegevens (pincode, overeenkomstnummer, software etc, met uitzondering van het door hem zelf samengestelde wachtwoord). De verdachte heeft door aldus te handelen op reglementaire, geautoriseerde wijze verbinding gezocht en verkregen met het computersysteem van de Rabobank […] toen hij zijn batch-bestanden verzond van zijn computer naar die van de Rabobank […]. Op geen enkele wijze noch op enig moment is hem de toegang geweigerd, ontzegd of anderszins geblokkeerd, noch is daarbij van de kant van de verdachte sprake geweest van manipulatie van toegangsgegevens.
Valse input geven aan een systeem is dus op zichzelf nog geen computervredebreuk. Pas als je de computer wat anders laat doen dan wat deze normaal gaat doen (zoals bij een SQL injectie) dan kom je in dat strafbare feit terecht.

Oplichting was het natuurlijk wel, wat deze meneer had gedaan. En daarvoor krijgt hij dan ook 18 maanden cel, waarvan 6 voorwaardelijk. De schadeclaim van VodafoneZiggo van een dik half miljoen wordt afgewezen “omdat een volmacht of uittreksel van de Kamer van Koophandel ontbreekt” waaruit kon blijken dat de persoon die deze indiende, gemachtigd was namens VZ te handelen. Auw.

Arnoud

Mag PayPal weigeren je transacties te betalen als je tardigrades verkoopt?

| AE 12201 | Ondernemingsvrijheid, Regulering | 14 reacties

Nee, ik had ook geen idee, maar een tardigrade of waterbeer is een van de meest hardnekkige levensvormen op deze planeet. Ze overleven zelfs in de ruimte, wat ze natuurlijk superschattig maakt en daarom was er een bedrijfje dat er kerstboomornamenten van maakt. Zoek een gat in de markt en vul het, het motto van menig internetondernemer. Alleen een probleempje: betalingsdienstverlener PayPal laat geen betalingen toe voor wie deze ornamenten bestelt. Na klachten van het bedrijf kreeg men te horen dat de naam maar gewoon aangepast moet worden. Nu is mijn vuistregel dat wie “gewoon” gebruikt, eigenlijk te lui is om het probleem op te lossen, maar hier was meer aan de hand.

Het is al langer bekend dat PayPal bedrijfsnamen scant op bepaalde ongewenste termen, iets dat in het wereldje bekend staat als het Scunthorpe probleem – per abuis een woord weigeren omdat het een vies woord lijkt. (Bij ons zouden we dit het Sexbierum-probleem noemen, en ja ik ken kinderen die zich niet online mochten registreren bij bepaalde spelletjes omdat hun plaatsnaam vieze woorden bevatte.) Maar wat is er in vredesnaam mis met tardigrade? Zelfs in de diepste krochten van internet lijkt dit geen vies woord te zijn geweest, Rule 34 ten spijt.

Enig puzzelwerk op Twitter gaf een logischer verklaring:

there’s an arms dealer by the name of Tardigrade Ltd., so the OFAC banned all transactions containing the word Tardigrade, causing problems for anyone selling products related to this cute micro-organism
De Office of Foreign Assets Control (OFAC) is een Amerikaanse overheidsdienst die toeziet op sanctienaleving. En inderdaad staat het Cypriotische Tardigrade Limited op de sanctielijst, daar mag je geen zaken mee doen als Amerikaanse wetgeving jou raakt. Dus logisch dat PayPal dat blokkeert. Alleen dus iets grofmaziger dan je zou denken: niet enkel als afzender of ontvanger van het geld “Tardigrade Limited” heet, maar als ergens in enig veld van de transactie (zoals wat er besteld is) dat eerste woord voorkomt, dan mag het niet. We mogen kennelijk van geluk spreken dat ze “limited” niet apart als woord opgenomen hebben.

De reden dat PayPal zo agressief screent, is dat ze in 2015 een enorme boete (7.7 miljoen dollar) hebben gekregen voor het doorlaten van 486 overtredingen van deze sanctiewetgeving. Daar word je als bedrijf wat zenuwachtig van, en je ziet in het persbericht ook al meteen vergaande maatregelen om dit niet meer te laten gebeuren. Dat daardoor een enkele waterbeerverkoper niet meer kan handelen, ach. Die levert minder winst op dan die 7 miljoen boete, zal de gedachte zijn.

Ja, treurig. Maar ik zie ook het omgekeerde risico wel: A maakt naar B geld over met vermelding “ten behoeve van Tardigrade-wapentransactie”. Filter daar maar eens de vals positieven mee weg.

Arnoud

Data is niets maar een man uit Spijkenisse kon ze wel stelen?

| AE 12187 | Regulering, Security | 15 reacties

Met de aanhouding van een 53-jarige man uit Spijkenisse is voorkomen dat mogelijk vele honderdduizenden persoonsgegevens op straat kwamen te liggen. Dat las ik bij Politie.nl vorige week (via). Een bedrijf in Utrecht ontdekte dat persoonsgegevens in strijd met de wet werden gebruikt (mooi stukje beveiliging/organisatorisch de AVG op orde hebben!) en deed aangifte, waarna… Lees verder

Het verschil tussen een cybercrimetool hebben en cybercrime plegen

| AE 12178 | Regulering | 11 reacties

Met enige regelmaat zie ik discussie en zorgen over het gebruik van tools waarmee je (ook of alleen maar) computergerelateerde misdrijven kunt plegen. Meestal gaat het dan over scanners om zwakheden in systemen op te sporen, of stresstesters waarmee je ook ddos-aanvallen kunt plegen. Het jargon is altijd heerlijk neutraal dan, en logisch want het… Lees verder

Man van 22 is schuldig aan uitvoeren van ddos-aanvallen, maar krijgt geen straf

| AE 12161 | Regulering, Security | 14 reacties

Een man van 22 uit Scheemda is schuldig bevonden aan het uitvoeren van twee ddos-aanvallen op vrienden, las ik bij Tweakers. Hij krijgt daarvoor geen straf opgelegd. Het OM verdenkt hem van het uitvoeren van 76 aanvallen, maar de rechter acht dat slechts van twee bewezen. En gezien de beperkte schade van die twee, dat… Lees verder

ACM stelt paal en perk aan nepreviews en -likes

| AE 12033 | Ondernemingsvrijheid, Regulering | 12 reacties

Bedrijven die nepreviews of -likes verkopen, maar ook partijen die ze gebruiken, worden harder aangepakt door de Autoriteit Consument en Markt (ACM). Dat meldde BNR vorige week. “Het is voor een consument heel moeilijk om te zien als dit gemanipuleerde informatie is”, aldus de ACM. Helaas zijn neprecensies, -aanprijzingen en -likes tegenwoordig aan de orde… Lees verder

IT’ers die ov-chipkaart kraakten moeten schade vergoeden, maar hoe veel is die dan?

| AE 12021 | Regulering | 41 reacties

Twee mannen die regelmatig reisden met gehackte ov-chipkaarten krijgen een taakstraf van 120 uur, las ik bij Tweakers. Ze hadden bestaande kraaksoftware gevonden en verbeterd, waardoor hun excuus van “geïnteresseerd in hoe dat werkt” niet werd geaccepteerd. Ze reisden ook zo’n anderhalf jaar met de gehackte kaarten, en moeten daarom TLS een schadevergoeding betalen van… Lees verder

Sinds wanneer zijn Youtube-video’s bewijs van feiten van algemene bekendheid?

| AE 12016 | Regulering | 10 reacties

Wanneer mag de rechter internetbronnen gebruiken als bewijs, en maakt het daarbij uit of ze zoeken naar feiten van algemene bekendheid? Die vraag speelt al enige tijd, en in twee recente rechtszaken kwam de vraag weer langs. Daarom even de gelegenheid om een en ander weer op te frissen. Want als de raadsheren van de… Lees verder

Kan een presidentieel bevel een wet opzij zetten?

| AE 11978 | Regulering, Uitingsvrijheid | 9 reacties

De Amerikaanse president Donald Trump dreigt sociale media ‘streng te reguleren of te sluiten’. Dat meldde Tweakers vorige week. Trump is boos omdat Twitter onlangs enkele van zijn tweets labelde met een ‘disputed’ tag. De remedie lijkt nu bekend: hij heeft een executive order oftewel presidentieel bevel getekend waarin grofweg staat dat het overheidsbeleid vanaf… Lees verder