Man die wifi-wachtwoord voor ander doel gebruikte schuldig aan computervredebreuk

| AE 12888 | Privacy, Security | 12 reacties

Rollstein / Pixabay

Een 51-jarige man die als schoonmaker een verborgen camera plaatste en die koppelde met het wifi-netwerk van zijn slachtoffer heeft zich onder andere schuldig gemaakt aan computervredebreuk, meldde Security.nl onlangs. De rechtbank Amsterdam veroordeelde de man eind augustus tot 10 maanden cel (4 voorwaardelijk) voor deze computervredebreuk, gekoppeld aan het maken van stiekeme intieme beelden in de slaapkamer van zijn opdrachtgever. Het is in zoverre opmerkelijk dat enkel “gebruik voor ander doel” niet snel computervredebreuk is.

De zaak kwam aan het licht toen de vrouw een verborgen ip-camera had ontdekt, die was vastgeplakt met hetzelfde dubbelzijdige tape dat de schoonmaker eerder voor klusjes in haar huis had gebruikt. De verdachte was daarnaast één van de weinige personen die een sleutel van het huis van de vrouw had. De camera was aan het wifi-netwerk van het huis gekoppeld; de man had het wachtwoord gekregen zodat hij tijdens het werk naar muziek kon luisteren. En dat ziet de rechtbank als een probleem:

Nu verdachte het wifi-wachtwoord heeft gebruikt met een ander doel dan waarvoor deze aan hem was verstrekt is de rechtbank van oordeel dat verdachte opzettelijk wederrechtelijk is binnengedrongen in een geautomatiseerd werk (de router dan wel het wifi-netwerk), door middel van een valse sleutel.
Enige tijd geleden hadden we in Amerika de uitspraak dat je bevoegdheid misbruiken geen computervredebreuk meer was, dankzij de Supreme Court. In Nederland ligt dat iets subtieler: in 2019 hadden we bijvoorbeeld wijkagent Jan die mensen natrok, wat de grenzen van zijn autorisatie ver te buiten ging en computervredebreuk opleverde. Hier zou ik het ook zeker wel “vér te buiten” vinden gaan, de sprong van “mag ik muziek luisteren via je netwerk” naar stiekem een ip-camera via dat netwerk laten werken die met een bewegingssensor geactiveerd wordt is hoe dan ook te groot.

Het wil dus niet zeggen dat wanneer je autorisatie tot X hebt, dat dan ieder gebruik dat de letter van X te buiten gaat, automatisch computervredebreuk is. Had de man het wifi-wachtwoord gebruikt om ook te kunnen internetten (even Buienradar bekijken of googelen hoe je balpen van een houten tafel krijgt) dan zou ik er zeer veel moeite mee hebben gehad als dat computervredebreuk zou opleveren.

Naast de computervredebreuk wordt de man ook veroordeeld tot het afluisteren van gesprekken in die slaapkamer, en specifiek het vervaardigen en bezitten van “een afbeelding van seksuele aard” (art. 139h Strafrecht). Dit artikel is deel van het verbod op wraakporno, wat hier niet echt het geval is (“gewoon voyeurisme”) maar het artikel past bij het feit. Hij krijgt alles bij elkaar 10 maanden cel waarvan 4 voorwaardelijk, en moet bijna 1200 euro schadevergoeding betalen.

Arnoud

Mag een zoekmachine het World-Wide Web scannen op securitykwetsbaarheden?

| AE 12830 | Security, Uitingsvrijheid | 2 reacties

Een lezer vroeg me:

Ik las dat in augustus tijdens de Defcon-hackerconferentie de zoekmachine Punkspider opnieuw gelanceerd zal worden. Deze zal dan dagelijks miljoenen websites op kwetsbaarheden scannen. De resultaten zijn vervolgens via de zoekmachine te vinden, wat volgens de ontwikkelaars voor een veiliger web moet zorgen. Hoe is dat in vredesnaam legaal, laat staan ethisch verantwoord?
Het voelt inderdaad een tikje raar als je het zo leest: dan kun je dus als crimineel-in-spe even naar die zoekmachine om te kijken welke sites eenvoudig kwetsbaar zijn. Zal ik ook maar de “goedkope voordeurslotenspider” beginnen, keyPunk.darkweb?

Of het legaal is, komt echter neer op de vraag wat Punkspider precies doet met hun doorzoekactie. Het leest als een vorm van portscannen, men toetst op bekende kwetsbaarheden zoals SQL injectie of cross-site scripting.

Zo te lezen publiceert men niet in detail welke kwetsbaarheid gevonden is, alleen grofweg “deze site is kwetsbaar voor gegevensdiefstal vanwege SQL injectie, laat hier niets achter alsjeblieft”. (Ik zag al de categorie “dumpster fire” dus ik hoop dat de boodschap overal in zulke duidelijke taal gecommuniceerd wordt.)

Portscannen en onderzoeken naar kwetsbaarheden is strafbaar wanneer je het doet met de bedoeling (het “oogmerk”, juridisch gezegd) om daarna computervredebreuk te plegen, of om anderen aan te zetten dat te doen. De Punkspider-eigenaren zijn dat zeker niet zelf van plan, zij publiceren immers deze rapporten juist zodat brakke sites de beoel eindelijk eens repareren en er dus géén computervredebreuk gaat plaatsvinden.

Blijft dus over, zetten zij criminelen aan tot misbruik van de gevonden kwetsbaarheden? Dat lijkt me op het eerste gezicht niet het geval. Ik zie dus niet meteen het strafbare aan deze zoekmachine, tenzij blijkt dat men het wel héél eenvoudig maakt om met een gegeven exploit direct een inbraak uit te voeren. Daarvoor moeten we de definitieve publicatie afwachten, maar het lijkt me sterk.

Arnoud

Chinese politie en Tencent halen sites die gamecheats verkochten offline

| AE 12614 | Informatiemaatschappij | 8 reacties

Door gezamenlijke inzet van de Chinese politie en game-ontwikkelaar Tencent is een collectief opgepakt dat gamecheats verkocht. Volgens de politie verdiende het collectief zo’n 64 miljoen euro met de verkoop van cheat-abonnementen aan gamers in honderd landen en regio’s. En kennelijk is dat dan illegaal, hoewel voor niet iedereen duidelijk was waarom dan precies.

Wie bij cheaten nog denkt aan in je eigen spelletje idspispopd intypen en dan door muren kunnen lopen, die loopt een beetje achter. Cheaten of valsspelen kan zeer lucratief zijn, denk aan de vele toernooien waar je geld verdient door goed te spelen. Of alleen maar het makkelijker kunnen veroveren (en daarna verhandelen) van zeldzame spullen of het uplevelen van een personage dat je daarna overdraagt aan een luie medespeler.

De grote game-aanbieders hebben er dan ook al jaren lang een dagtaak aan om valsspelers buiten de deur te houden. Want voor de duidelijkheid, het gaat dus niet om het ontdekken van ingebouwde achterdeurtjes maar om het exploiteren van programmeerfouten, onbedoelde trucs en dergelijke. En natuurlijk is dat in de algemene voorwaarden van zo’n online spel verboden, maar daar krijg je de politie niet mee in beweging. Dat heet juridisch een civiele kwestie, doe ze maar zelf een rechtszaak aan.

De Chinese autoriteiten lijken het te gooien op een vorm van computervredebreuk: binnendringen in de servers van de game-aanbieder op een manier die niet geautoriseerd is, namelijk door het versturen van data die gemanipuleerd is. Want dat is waar cheaten op neerkomt, bijvoorbeeld het doorgeven van eigenlijk onmogelijke bewegingen of het verkrijgen van data waar je niet bij mag. En als je het strafrecht noemt, dan kan de politie natuurlijk wél in actie komen.

Naar Nederlands recht zou ik dat een lastige vinden. Bij ons geldt dat je natuurlijk niet mag binnendringen, maar het versturen van valse data is nog geen binnendringen. Eind vorig jaar blogde ik over onder valse personalia verkrijgen van een internetabonnement; dat is geen binnendringen in de servers van Ziggo. Evenmin is binnendringen het vervalsen van betaalopdrachten die je gewoon via een bankiersysteem aanbiedt. Pas als de data zélf zorgen voor ongeautoriseerde toegang, dan kom je bij computervredebreuk terecht.

Ik zou eerlijk gezegd niet weten hoe cheaten strafbaar zou zijn in Nederland. (Natuurlijk is het hier wél schending game-voorwaarden en dus einde abonnement.) Ik kan geen delict bedenken waarmee je dit via de politie zou kunnen aanpakken. Vrijwel altijd komt het neer op manipuleren van de gegevens op je eigen computer (hetzij versturen van nepgegevens, hetzij het uitlezen van gegevens die je hier niet mocht gebruiken, hetzij het door een programma laten doen wat jouw handwerk had moeten zijn). Ik hoor graag wie daar een bepaling uit het wetboek van strafrecht op weet!

Arnoud

Het verschil tussen een cybercrimetool hebben en cybercrime plegen

| AE 12178 | Regulering | 11 reacties

Met enige regelmaat zie ik discussie en zorgen over het gebruik van tools waarmee je (ook of alleen maar) computergerelateerde misdrijven kunt plegen. Meestal gaat het dan over scanners om zwakheden in systemen op te sporen, of stresstesters waarmee je ook ddos-aanvallen kunt plegen. Het jargon is altijd heerlijk neutraal dan, en logisch want het… Lees verder

Schenden van de gebruiksvoorwaarden van een site is toch geen computervredebreuk

| AE 11863 | Regulering, Security, Uitingsvrijheid | 6 reacties

Het schenden van de gebruiksvoorwaarden van een site is toch geen computervredebreuk, las ik bij Ars Technica. Een federale rechter in Washington, DC heeft geoordeeld dat de strenge Amerikaanse Wet Computercriminaliteit (Computer Fraud and Abuse Act) niet van toepassing is enkel omdat iemand op een site actief is in strijd met de gebruiksvoorwaarden. Dat zal… Lees verder

Hoe erg is het dat onze loginbanner “Welkom” zegt tegen mensen?

| AE 11713 | Security | 6 reacties

Een lezer vroeg me: Op onze interne servers krijgt personeel een loginscherm met daarop een tekst à la “Welkom bij Initech, gelieve in te loggen – uitsluitend voor werkdoeleinden gebruiken”. Nu zegt onze ISO auditor dat deze tekst problematisch is, omdat met name dat ‘welkom’ zou maken dat inbrekers kunnen claimen er niet wederrechtelijk te… Lees verder

Wanneer is het hebben van een Remote Acces Tool en een Keylogger strafbaar?

| AE 11106 | Regulering, Security | 22 reacties

In december werd een man veroordeeld voor het voorhanden hebben en verspreiden van Blackshades software. De rechtbank merkte dit aan als medeplichtigheid tot computervredebreuk, omdat deze software gebruikt kan worden om een inbraak in andermans computer te vergemakkelijken. Wat diverse lezers ertoe bracht om me te vragen, hoezo is het strafbaar om die software te… Lees verder

Wanneer URL-manipulatie strafbaar is als computervredebreuk

| AE 9566 | Regulering | 11 reacties

Vanwege mijn vakantie deze week geen nieuwe blogs. In plaats daarvan een terugblik op de afgelopen tien jaar: ik heb vijf populaire blogs geselecteerd en kijk er anno 2017 graag nog eens naar met jullie. Vandaag: Wanneer URL-manipulatie strafbaar is als computervredebreuk, De man die de kersttoespraak van koningin Beatrix op internet vond, heeft zich… Lees verder

Een Spotify-account overnemen versus de Wet computercriminaliteit

| AE 8064 | Regulering | 15 reacties

Weer een interessante Tweakersdiscussie, ditmaal over een jongen die een Spotify premium account generator gebruikt had dat van een politie-stagiair bleek te zijn. Die wist de jongen te traceren en dreigde met aangifte wegens creditcardfraude. Hoe strafbaar is dat dan, een Spotify-account overnemen? De agent-in-opleiding noemt art. 232 Strafrecht als basis. Dat artikel stelt strafbaar… Lees verder

De security scan als strafbare poging tot computervredebreuk

| AE 7233 | Security | 10 reacties

Wanneer is het zoeken naar kwetsbaarheden nu strafbaar als computervredebreuk? Een vaak terugkomende discussie, waar nu met een vonnis (dank, lezer) een eerste antwoord op is gegeven. Een security scan is strafbaar als het er alle schijn van heeft dat je van plan bent daarna in te gaan breken. Een security scan kan van alles… Lees verder