Dreigen op 4chan: niet voor normale mensen?

shoot-schieten-leiden-dreigenGisteren diende de rechtszaak rond de Leidseschooldreiger: het 4chanbericht waarin werd gedreigd een leraar Nederlands en zo veel mogelijk scholieren in Leiden te vermoorden. Ik mocht als getuige-deskundige uitleggen wat een proxy is en aangeven hoe ik 4chan zou omschrijven. Hoe serieus moet je 4chan-dreigingen nemen?

In april 2013 verscheen op internetafvoerputje 4chan een dreigbericht dat leidde tot schoolsluiting en politiebewaking in Leiden. Oordeel zelf:

Tomorrow, I will shoot my Dutch teacher, and as many students as I can. It will be on the news tomorrow. It’s a school in a Dutch city called Leiden, and for more proof, I will be using a 9mm Colt Defender. I will be carrying a note with me when I go into the school which will explain why I did it. If he message of the note will not be published, a friend of mine will post here on 4chan a day later. Oh, and I’m using a proxy, the police is not gonna find me before tomorrow.

Vandaag stond de verdachte terecht die het bericht zou hebben geplaatst. Volgens hemzelf was dit een Amerikaan geweest die zijn laptop even had geleend in het internetcafé in Costa Rica waar hij toen was. De officier geloofde daar weinig van: Amerikanen kunnen ‘Leiden’ niet echt goed spellen, en bovendien waarom zou ‘ie. Terwijl deze jongen problemen had op zijn school in Leiden en eerder een spreekbeurt over school shootings zou hebben gehouden.

Ik mocht als getuige-deskundige uitleggen wat 4chan was, eigenlijk /b/ dus maar dat onderscheid is subtieler dan dat tussen hacker en cracker. Het afvoerputje van het internet noemde ik het, een shockblog (oké, shockforum) waar het doel is zo grof en hard mogelijk te zijn. Branie schoppen, reacties uitlokken. En met excuses aan alle meelezende /b/tards, normale mensen lezen daar niet.

Heel apart vond ik nog dat de politie het IP-adres onderzocht en daarbij binnendrong in de router die aan dat adres hing. Toegegeven, dat binnendringen was een kwestie van de algemeen bekende admin/admin combinatie intypen maar binnendringen blijft het. Dringende noodzaak onder de Politiewet of strafbaar feit door ambtenaar gepleegd in het buitenland?

De meeste discussie ging over de vraag hoe je het bericht moest opvatten. Dat het als grap bedoeld was, was wel duidelijk, maar als je gezien de achtergrond en andere recente gebeurtenissen serieus mag opvatten, dan kan zo’n grap tóch best eens strafbaar zijn. En nou ja, school shootings en internetdreigingen waren wel een actueel onderwerp. Dus vanuit dat standpunt begrijp ik de zorg wel over hoe serieus het bericht te nemen.

De rechter was bepaald ICT-cluevol. Op zeker moment kwam bijvoorbeeld de vraag langs, waarom heeft u het bericht niet zelf gewist. Had u een wachtwoord ingesteld, had u de cookies laten staan? En dat is nu net een punt waarop 4chan uniek is: het forum werkt niet met registratie en accounts, maar met een wachtwoord per bericht (dat eventueel in een cookie opgeslagen wordt) waarmee je herkend wordt als auteur.

In de 4chanzaak uit 2011 (die van de “een router is geen computer”-discussie) speelde ook deze vraag. Als je weet dat 4chan een onzinforum is en dat er een disclaimer staat met “only a fool would take anything seriously here”, is dan een bericht daar niet evident altijd een grap? Het Hof oordeelde toen (met instemming van de Hoge Raad):

Eerdere schoolshootings zijn immers ook op voorhand via internet aangekondigd en dit gebeurt meestal anoniem en via sites waarbij de maker van het bericht moeilijk te achterhalen is. Uit de voornoemde reactie, geplaatst binnen korte tijd na de posting van de verdachte, blijkt dat niet alle lezers het bericht als een geintje hebben beschouwd. Dat er mensen hebben gereageerd die het wel als een grap hebben gezien doet hier niets aan af.

De Officier kwam nog met de scherpe opmerking dat de ‘jongere’ generatie alles weet van elkaar: alles is publiek, en privacy komt pas om de hoek kijken als het achteraf niet meer leuk was. Jongeren denken niet na over hoe iets overkomt bij anderen, zo zegt ze. Tsja. Snap het standpunt maar daar kun je tegenover stellen dat je dan als ‘oudere’ generatie zou kunnen bedenken dát zo’n bericht afreageren is en niet bedoeld is anders dan shockeren, stoer doen.

Enigszins ergerlijk vond ik de redenering van de officier uit het requisitoir: de gevolgen konden ernstig zijn want kinderen lopen gevaar op zo’n school, dús is de dreiging serieus te nemen. En dús is de bedreiging strafbaar. Maar ze raakt wel aan het dilemma. School shootings zijn helaas serieuze realiteit. Je moet dus dreigingen serieus nemen, want je kunt het je niet veroorloven de fout in te gaan hiermee. Alleen, moet je dan elke bedreiging ook maar strafbaar verklaren?

De officier wilde eigenlijk een onvoorwaardelijke celstraf eisen, maar gezien de jurisprudentie maakt die geen kans. Ze eist dan ook 150 uur werkstraf met een voorwaardelijke celstraf van 1 maand.

Wat vinden jullie? Is een bedreiging gepost op een digitaal afvoerputje serieus te nemen?

Arnoud

Meesurfen met internet van de buren toch wél computervredebreuk

Oké dus toch. Meeliften bij het internet van de buren is wel degelijk computervredebreuk, bepaalde de Hoge Raad gisteren. In 2011 had het Gerechtshof nog bepaald dat hiervan geen sprake is omdat een router geen “geautomatiseerd werk” is in de zin van de strafwet. Maar het was toch echt de bedoeling van de wetgever om inbreken op netwerken onder computervredebreuk te rangschikken.

In deze strafzaak had een jongen via het netwerk van de buren op het NSFL-imageboard 4chan een dreigende tekst geplaatst (“I”ll go and kill some peeps from my old school”). In het hoger beroep had het Gerechtshof bepaald dat dat meeliften bij dat netwerk niet strafbaar was (het dreigen zelf wel), want de wet (art. 80sexies Strafrecht) definieert een ‘geautomatiseerd werk’ als

een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.

Het Hof interpreteerde die “en” als een AND: een apparaat moet alle drie die dingen doen met (een gegeven set) gegevens. En een router doet dat niet, want die slaat de gegevens die hij routeert niet op. Derhalve is het onmogelijk computervredebreuk op een router te plegen.

De Hoge Raad raadpleegde de wetsgeschiedenis en ontdekte dat de wetgever toch echt bedóeld had om ook inbraak op netwerken onder computervredebreuk te rekenen:

Artikel 80sexies Sr, zoals dit wordt aangevuld door het onderhavige wetsvoorstel, definieert geautomatiseerd werk als een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen. Met dit begrip worden op zichzelf staande computers aangeduid, maar ook netwerken van computers en geautomatiseerde inrichtingen voor telecommunicatie. Van belang is wel dat de inrichting zowel gegevens kan opslaan als deze verwerken én overdragen.” (Kamerstukken II, 2004-2005, 26 671, nr. 10, blz. 31)

Het hoeft dus niet per se om één apparaat te gaan waar je alle drie die functies mee kunt uitvoeren. Een netwerk met apparaten dat in zijn totaliteit in staat is tot zenden, ontvangen en opslaan is ook goed. Daarmee was dat netwerk van de buren van de /b/tard wel degelijk een ‘geautomatiseerd werk’ waar hij op binnengedrongen was.

Een rechter is dus een DWIM compiler van het recht. Wetten moet je niet alleen letterlijk lezen, de bedoeling is soms belangrijker dan de tekst.

Arnoud

Meesurfen met internet van de buren geen computervredebreuk

Nou, mooi is dat. Meeliften bij het internet van de buren is geen computervredebreuk, oordeelde het Hof Den Haag vorige week (via). Ook als je daarbij de router kraakt. Een router is namelijk geen “geautomatiseerd werk” in de zin van de wet, en je kunt alleen computervredebreuk plegen als je binnendringt in een geautomatiseerd werk. Dit is het hoger beroep van de 4chan-zaak.

In deze strafzaak had een jongen via het netwerk van de buren op het NSFL-imageboard een dreigende tekst geplaatst (“I”ll go and kill some peeps from my old school”). In eerste instantie oordeelde de rechtbank dat deze bedreiging niet serieus te nemen was omdat het motto van 4chan was “only a fool would take anything posted here as fact”. Daar komt het Hof op terug: gezien de context van enkele andere school shootings mocht je die bedreiging wel degelijk serieus opvatten, ook als deze niet daadwerkelijk zo bedoeld was.

Het oordeel dat er geen computervredebreuk bij de buren werd gepleegd, blijft in stand. Het Hof neemt de redenering van de rechtbank over dat er pas sprake kan zijn van een computerinbraak als je daadwerkelijk iets doorbreekt (wat dus niet klopt gezien de huidige wet). Maar belangrijker, het Hof stelt dat je op een router niet kunt inbreken omdat een router geen “geautomatiseerd werk” is. Artikel 80sexies Strafrecht definieert dat namelijk als

een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.

Het Hof interpreteert die “en” nu netjes als een AND: een apparaat moet alle drie die dingen doen met (een gegeven set) gegevens. En een router doet dat niet, want die slaat niets op.

Het hof stelt vast dat een router een schakelapparaat op de knooppunten van een netwerk zoals het internet is. Een router houdt een wachtwoord of gebruikerscode opgeslagen en zorgt, in opdracht van de gebruiker van die router alleen voor de verzending van gegevens naar de juiste bestemming.

Net als ik heeft ook ict-jurist Jan-Jaap Oerlemans grote moeite met dit arrest.

Ik denk dat artikel 80sexies Sr verkeerd wordt geïnterpreteerd en dit onwenselijke effecten met zich meebrengt. Wat als mensen spam of kinderpornografie over je beveiligde wifi-netwerk verspreiden? De onderhavige zaak illustreert overduidelijk een ander onwenselijk effect. Als via een ander wifi-netwerk misdrijven worden gepleegd en op basis van het IP-adres wordt getracht een verdachte te identificeren komen opsporingsdiensten bij de verkeerde persoon uit!

Het lijkt mij ook dat dit niet de bedoeling is geweest van de wetgever. Maar het staat er wel, en ik vrees dat we niet heel ver komen met dat een router een geheugen heeft voor firmware of dat er een buffer is die 0,1 seconde alle data vasthoudt. Echter, ik vond een sprankje hoop in de memorie van toelichting uit 1993:

een “geautomatiseerd werk”. Hieronder wordt verstaan elke inrichting die met technische middelen geschikt is gemaakt voor de opslag, verwerking of overdracht van gegevens. … Hieronder vallen dus computers, netwerken van aan elkaar verbonden computers en geautomatiseerde inrichtingen voor telecommunicatie (mijn cursivering)

Echter, bij de Eerste Kamer werd het “op te slaan en te verwerken”. En in 2006 werd het het huidige “op te slaan, te verwerken en over te dragen”, waarbij werd opgemerkt

Daarmee vallen niet alleen computers in de meer gangbare betekenis onder het begrip geautomatiseerd werk, maar ook computernetwerken en geautomatiseerde inrichtingen voor telecommunicatie, zoals telefoon en telefax.

In het Cybercrime-verdrag vond ik nog een definitie van “computer system” die hoopvoller klinkt:

any device or a group of interconnected or related devices, one or more of which, pursuant to a program, performs automatic processing of data

Onze wet moet immers passen binnen het Cybercrime-verdrag, dus daar kan de Hoge Raad wellicht nog wat mee in eventuele cassatie. Dat zal wel lastig worden, want tegen de letterlijke tekst van een wetsartikel ingaan met je interpretatie is heel erg moeilijk.

Ook kun je zoals mijn collega Paul Pols betoogt, verdedigen dat niet ingebroken is op de router maar op het netwerk, en dat slaat wel gegevens op naast ze te verwerken en versturen. Maar ik vrees dat dat niet gaat werken.

Een wetswijziging lijkt me dan ook nodig. Daarvoor nu gaan pushen vind ik eng, want dat gebeurt dan in het wetsvoorstel dat ook het OM de bevoegdheid zou geven websites te sluiten zonder gerechtelijk bevel.

Arnoud

Bedreigen op 4chan niet strafbaar

4chan-posts-forum.pngOMGWTFBBQ. Ja sorry, maar weinig andere openingszinnen zijn gepast als je rechtspraak leest waarin iemand vrijgesproken wordt van bedreiging door een post op 4chan én het niet strafbaar wordt verklaard om op andermans draadloze netwerk mee te liften (via). Zeker als blijkt dat de rechter de disclaimer op de frontpage van 4chan de doorslag laat geven.

De site 4chan, meer specifiek /b/, is een plaatjes- en discussieforum waar kort gezegd geen regels gelden. Alles mag, en alles (ja alles) gebeurt daar ook. Een belangrijk onderdeel van de discussies daar is opzettelijk shockeren en beledigen van alles wat los en vast zit.

Enkele dagen na de schietpartij op een school in Duitsland postte de verdachte in deze zaak het volgende bericht:

Tomorrow I”ll go and kill some peeps from my old school, the Maerlant college in The Hague. I have made arrangements already in the school, so I will be able to make a good getaway. I parked two vehicles next to both of the exits and have been studying the building plans.

Vanwege die timing is het begrijpelijk dat de school hiervan schrok. De Haagse politie stelde na een tip meteen een onderzoek en het Maerlant College onopvallend beveiligde. Men vroeg bij KPN de NAW-gegevens op achter het IP-adres waarmee de post was geplaatst (ik weet niet hoe ze aan dat IP-adres kwamen). Dat bleek de buurvrouw te zijn van de verdachte.

Na technisch onderzoek van de router (die bij buurvrouw in beslag werd genomen) werden drie MAC-adressen aangetroffen die niet tot computers in dat huishouden te herleiden waren. Vervolgens is men gaan rondkijken in de buurt:

Uit nader onderzoek is vervolgens gebleken dat een oud-leerling van het Maerlant College, genaamd [Z], binnen het bereik van de router van [X] woonde. In diens woning is na binnentreden op zondag 15 maart omstreeks 11.25 uur geen voor internetgebruik geschikte computer, maar wel een X-BOX spelcomputer aangetroffen. Daarnaast lag een briefje, waarop met pen stond geschreven: Speedtouch 51EB02, [gegevens]. Het gaat hier om de gegevens van de in de woning van [X] aangetroffen router.

Ik ben heel erg benieuwd hoe dit nu precies in het werk is gegaan. Hoe kom je als politie te weten waar oud-leerlingen van een bepaalde school wonen? En hoe bepaal je het bereik van zo’n router?

Na geconfronteerd te worden met het bewijs, waaronder het MAC-adres van zijn iBook in de router van de buren, bekende de verdachte het bericht geplaatst te hebben. Maar hij had nooit echt de bedoeling om op zijn oude school een bloedbad aan te richten:

Verdachte heeft bij de politie verklaard dat “het de bedoeling van 4chan is om mensen te shockeren, het is een soort uitlaatklep van internet. Je kunt daar dingen neerzetten zonder consequenties. Het is allemaal fictieve bullshit die iedereen daar neerplempt.” Hij verkeerde in de veronderstelling dat hij een beter bericht dan de eerdere twee kon opstellen.

De rechter oordeelde dan ook dat de verdachte niet de intentie had om werkelijk tot daden over te gaan. Bovendien stond er een disclaimer bovenaan de site:

The stories and information posted here are artistic works of fiction and falsehood. Only a fool would take anything posted here as a fact

De verdachte hoefde er dus geen rekening mee te houden (“had niet de aanmerkelijke kans aanvaard”) dat anderen zich door zijn bericht daadwerkelijk bedreigd zouden voelen.

Ook verklaart de rechter het niet strafbaar om alleen maar mee te liften met andermans draadloze netwerk. Pas als je toegang tot gegevens op dat netwerk zoekt, val je onder computervredebreuk. Dit wordt gebaseerd op een opmerking uit de parlementaire behandeling van de allereerste Wet Computercriminaliteit uit 1989 (Memorie van Toelichting, TK 1989/90, 21511, nr. 3, p. 15):

De wetgever heeft, zoals uit de wetsgeschiedenis blijkt, met artikel 138a, eerste lid, van het Wetboek van Strafrecht (“computervredebreuk”) diegene willen beschermen “die blijkens feitelijke beveiliging heeft duidelijk gemaakt dat hij zijn gegevens heeft willen afschermen tegen nieuwsgierige blikken”

Dit lijkt me echt onjuist, in ieder geval met het huidige artikel 138a. Dat bevat een expliciete scheiding tussen het binnendringen (lid 1) en het toegang tot gegevens verkrijgen (lid 2).

Hoe de rechtbank vervolgens kan oordelen dat er “geen belang is geschaad” van de eigenaar van de router, is voor mij ook volstrekt onbegrijpelijk. Er is ’s avonds laat een politieteam langsgegaan, men heeft ze verhoord over het willen plegen van een aanslag op een school, computerapparatuur is in beslag genomen en ga zo maar door. Is het gevrijwaard willen blijven van betrokkenheid bij misdrijven geen belang dat je zou willen beschermen?

Arnoud<br/> PS: rules 1 & 2 only apply during raids.

Mishandeling via internet – hackers vallen epilepsieforum aan

Kwaadwillende hackers hebben op een internetforum voor epileptici berichten achtergelaten waarin middels Javascript en animated gifs allerlei felgekleurde, knipperende plaatjes waren verwerkt, meldt Tweakers. Zulke afbeeldingen kunnen een epileptische aanval oproepen bij mensen die daar gevoelig voor zijn.

Een rotstreek, zeker. En strafbaar ook: dit is gewoon mishandeling, soms zelfs mishandeling met de dood tot gevolg.

Je zou zelfs kunnen betogen dat hier sprake is van mishandeling met terroristisch oogmerk: het doel is ongetwijfeld om bezoekers van die fora angst aan te jagen zodat ze niet meer vrijelijk berichten gaan lezen. En het angst aanjagen van een deel van de bevolking heet in de wet een ’terroristisch oogmerk’ (art. 83a Strafrecht). Hoewel dat oogmerk wel lastig te bewijzen zal zijn bij een stel verveelde pubers.

Volgens Wired zou dit de groep ‘Anonymous‘ zijn. Inderdaad, dezelfde club die een tijd geleden ook Scientology onder vuur nam.

Arnoud

Denial-of-service aanval op Scientology-beweging

T-shirt van XS4All naar aanleiding van de gewonnen rechtszakenEen groep anonieme hackers heeft de oorlog verklaard aan de omstreden Scientology-beweging, meldde Tweakers gisteren. Het initiatief voor deze serie aanvallen komt van een groep die zich “Project Chanology” noemt.

Directe aanleiding voor deze actie is de actie van Scientology tegen een gelekt video-interview van Tom Cruise. Diverse sites kregen een takedown notice om de film te verwijderen. Enkele daarvan waren gerelateerd aan 4chan, een internetfenomeen dat verantwoordelijk is voor allerlei internet-ongein (zoals de de lolcat) maar ook serieuze vormen van internetvandalisme.

Security.NL meldt dat er meer dan 488 DDoS-aanvallen zijn uitgevoerd op Scientology-websites, goed voor een dataverkeer van gemiddeld 21 megabytes per seconde oftewel de inhoud van zo’n 3 DVD’s per minuut. Best veel, maar niet uitzonderlijk voor verstikkingsaanvallen.

Op internet heeft Scientology een slechte reputatie, door de keiharde manier waarop zij tegenstanders en kritiek aanpakt, zoals schrijfster Karin Spaink en internetprovider XS4All halverwege de jaren negentig ondervonden. Het is mede dankzij hun standvastig optreden dat ik nu IT-jurist ben trouwens.

Hoe begrijpelijk de weerstand tegen Scientology ook is, het is nog geen excuus voor dit soort vigilante justice. Al was het maar vanwege de kans op onschuldige slachtoffers, zoals een Nederlandse school die een paar minuten per ongeluk op de korrel werd genomen omdat de aanvallers het verkeerde IP-adres hadden gebruikt (oh noes!). Bovendien: Scientology van het net proberen te krijgen is precies hetzelfde als wat de beweging altijd kwalijk wordt genomen.

Kritiek leveren mag best, zelfs als je daarbij gebruik maakt van gelekt materiaal zoals die Tom Cruise video. Dat bepaalde het Gerechtshof in die eerder genoemde zaak tegen XS4All en Spaink:

Naar ’s hofs oordeel kan in deze bijzondere omstandigheden niet worden gezegd dat een beperking van de informatievrijheid op grond van de handhaving van het auteursrecht nodig is in de zin van artikel 10 EVRM en evenmin dat het belang van [F] en de Providers en het algemeen belang bij de informatievrijheid van artikel 10 lid 1 EVRM in verhouding tot dat van Scientology c.s. bij handhaving van hun auteursrecht in dit geval minder zwaar weegt. Derhalve behoort het eerstgenoemde belang niet te wijken voor het belang van Scientology c.s. en slaagt het beroep op artikel 10 lid 1 EVRM.

Maar dit is natuurlijk van een heel andere orde dan Scientology proberen van internet te pesten met dit soort computercriminaliteit. Ook Scientology heeft het recht om haar mening te uiten. Uit jurisprudentie over datzelfde artikel 10 lid 1 EVRM blijkt dat je heel ver mag gaan daarin. Pas wanneer je de democratie zelf aanvalt, overschrijdt je een grens. Maar zelfs dan is het de taak van de overheid, en niet zelfbenoemde vigilantes met te veel vrije tijd om daar wat aan te doen.

Arnoud