De strafbaarheid van het omzeilen van een IP-ban

| AE 5871 | Security | 10 reacties

bannedEen ander IP-adres aannemen of een proxy gebruiken om zo een IP-ban op een website te omzeilen is in de VS een strafbaar feit, meldde Ars Technica vorige week. In het eerste vonnis over deze vraag bepaalde de district court in Californië dat een gebande bezoeker dan “intentionally accesses a computer without authorization or exceeds authorized access” en dat is strafbaar als computervredebreuk naar Amerikaans recht. En hoe zit dat in Nederland?

Het bedrijf 3taps haalde periodiek met een scraper data op van de bekende advertentiesite Craigslist. Craigslist reageerde met een ip-ban en een schriftelijk toegangsverbod (cease and desist letter), waarop 3taps andere ip-adressen inzette en proxies gebruikte om zo toch bij de advertentiedata van Craigslist te kunnen. Daarop stapte Craigslist naar de rechter, en die bevestigt nu dat 3taps computervredebreuk had gepleegd. Hoewel Craigslist voor het publiek toegankelijk is, betekent dat niet dat Craigslist niemand mag weren van zijn site. Toestemming kan worden ingetrokken en dan moet je wegblijven. Kom je dan toch terug, dan is dat strafbaar.

In Nederland lijkt me dit niet veel anders te liggen. Ook hier geldt: je mag niet willens en wetens een geautomatiseerd werk gebruiken waarvan je weet dat je daar niet mag zijn – dat is de definitie van computervredebreuk. En toegegeven, dat is discutabel bij publieke URL’s en dergelijke situaties waarin er geen beveiliging omzeild gaat worden. Maar als iemand je specifiek per brief zegt “blijf wég van mijn site” en je IP-adressen blokkeert, dan lijkt het me toch niet zo gek dat we dan spreken van computervredebreuk. In de analogie met huis- en erfvredebreuk is een dergelijke brief óók genoeg. “Tegen de verklaarde wil van de eigenaar zich bevinden op”, heet dat dan.

Het lijkt me alleen vrij onwaarschijnlijk dat Justitie zal gaan vervolgen in zo’n situatie. Het voelt als iets dat je zelf ook prima kunt oplossen met een burgerlijke rechtszaak. Het begaan van een strafbaar feit is ook een onrechtmatige daad, dus je kunt dan een verbod met dwangsom bij de rechter gaan halen. En proxy’t meneer dan toch nog een keer terug, dan kun je de dwangsom incasseren. (Mits je kunt bewijzen dat hij het was, wat bij een proxy wat lastig is.)

Specifiek bij scrapers is schending van het databankrecht ook nog een route. Je kunt dan als site een dwangsom laten zetten op verder scrapen, en je krijgt natuurlijk je vollédige advocaatkosten vergoed. Dit werkt niet altijd: je moet wel een en natuurlijk beschermde databank hebben en schade lijden door de inbreuk.

Weet je niet wie het is, dan is dagvaarden lastiger. En hoewel je dan op een verstekzaak zou kunnen aansturen (die je automatisch wint, niet komen == verliezen immers) heb je dan nog geen mogelijkheid om dat af te dwingen. Dus wat moet je dan?

Arnoud

Help, ik word gehackt door de buren!

| AE 5683 | Security | 25 reacties

goede-buurEen lezer vroeg me:

Mijn buurjongen hackt regelmatig mijn computer. Dat weet ik zeker, want hij maakt opmerkingen over dingen die hij niet kan weten tenzij hij op mijn PC heeft gekeken. Maar concreet bewijs kan ik niet overleggen, en zonder zulk bewijs wil de politie niets doen. Dus nu dacht ik, ik kan een honeypot bouwen met net wat slechtere beveiliging dan normaal, en dan alles loggen zodat ik dat bewijs krijg. Mag dat?

Er is op zich weinig mis met het opzetten van een honeypot, oftewel een systeem dat voorzien is van uitgebreide logging en een paar eigenschappen waardoor een inbreker daar graag gaat kijken. De beveiliging net wat slechter dan normaal, een paar bestanden of mappen die suggereren dat er wat te halen is en vrij gemakkelijk bereikbaar vanaf het inbreekpunt op het netwerk.

Een honeypot opzetten is geen uitlokking. Van uitlokking is pas sprake als je zelf het initiatief neemt, oftewel als jij de buurjongen overhaalt om bij jou in te gaan breken. Volgens de Hoge Raad is het enkele neerzetten van een fiets zonder slot nog geen uitlokken van diefstal: het gaat erom of je een specifiek persoon met concrete handelingen aanzet iets te doen dat hij niet zelf al van plan was. Een fiets neerzetten zet niemand specifiek aan tot het stelen daarvan. En een zwakke beveiliging hebben op een computer zet je buurjongen nog niet aan tot computervredebreuk, ook niet als jij hoopt dat hij dan op die computer binnendringt.

Je moet alleen niet tegen de buurjongen zeggen “haha nu kom je écht niet meer binnen” of juist “nou ik heb vandaag toch een serie lekkere pornofoto’s van je moeder op mijn netwerkdrive gezet”. Dat kan wél worden gezien als uitlokking, want daarmee nodig je hem min of meer uit om in te gaan breken.

Lastig punt blijft hoe je dat bewijs aan de buren gaat koppelen. Jij kunt niet het IP-adres van de binnendringer koppelen aan zijn NAW-gegevens. De politie natuurlijk wel, dus die zul je met de juiste logs et cetera moeten overtuigen dat er werkelijk is ingebroken. (Iemand tips hoe je het meest overtuigend laat zien aan Oom Agent dat er is binnengedrongen? Standard logs zien er niet heel overtuigend uit. Een screencast?)

En dan nog. Is het wel die buurjongen? Of iemand die zijn IP-adres gebruikt?

Arnoud

Wacht even, afgesloten internetverbinding voor 18-jarige KPN-hacker?

| AE 5625 | Ondernemingsvrijheid, Security | 24 reacties

kpn-afgeslotenDe 18-jarige jongen die vorig jaar KPN-servers heeft gehackt heeft een celstraf van 45 dagen en een taakstraf van 100 uur gekregen, meldde Webwereld. Omdat de jongen exact dat aantal dagen al in voorarrest had gezeten, hoeft hij niet meer de cel in. Het vonnis lijkt niet gepubliceerd, logisch omdat het om een minderjarige gaat (ten tijde van de inbraak). Maar ik werd geïntrigeerd door de opmerking dat zijn internetverbinding afgesloten was door KPN.

Ik las namelijk deze opmerking in het persbericht van het Openbaar Ministerie:

Vanwege ontoelaatbaar internetgedrag was de verdachte in 2010 al door KPN gewaarschuwd. Zijn internetaansluiting is toen enige tijd afgesloten. Dat heeft hem er niet van weerhouden om verder te gaan met het binnendringen in computersystemen tot letterlijk aan het moment van zijn aanhouding.

Dit is opmerkelijk, omdat dat (sinds netneutraliteit) helemaal niet meer mág, iemand afsluiten omdat hij “ontoelaatbaar internetgedrag” vertoont. Nu geldt die wet pas sinds 1 januari jongstleden, en de inbraak was vorig jaar dus echt relevant is dat niet. Maar ik weet dat het nog steeds gebeurt bij diverse providers.

De Telecommunicatiewet (art. 7.6a) is duidelijk: afsluiten van een consument mag alleen op grond van één van deze zes voorwaarden:

  1. op verzoek van de abonnee;
  2. bij een tekortkoming in de nakoming van de betalingsverplichting door de abonnee of faillissement van de abonnee;
  3. bij bedrog in de zin van artikel 3:44 van het Burgerlijk Wetboek door de abonnee;
  4. wanneer de looptijd van de overeenkomst van bepaalde duur tot levering van de internettoegangsdienst afloopt en de overeenkomst met instemming van de abonnee niet wordt verlengd of vernieuwd;
  5. ter uitvoering van een wettelijk voorschrift of rechterlijk bevel; en
  6. bij overmacht en onvoorziene omstandigheden in de zin van artikel 6:258 van het Burgerlijk Wetboek.

De eerste twee lijken me evident. Van ‘bedrog’ is sprake als de consument KPN misleid heeft, bv. door een valse naam op te geven omdat zijn echte op een zwarte lijst staat. Nummer vier is ook weer evident. Nummer zes gaat over situaties waarin de feiten zó zijn gewijzigd dat je onmogelijk nog kunt verlangen van KPN dat ze met je doorgaan.

Nummer vijf klinkt als een grond voor afsluiten wegens abuse, maar is dat niet: het gaat daar over afsluiten als in de wet staat dat dat mag, of als de rechter bepaalt dat het contract opgezegd moet worden. Dat iemand een strafbaar feit pleegt via de internetverbinding, is weliswaar een overtreding van een wetttelijk voorschrift (namelijk art. 138ab Strafrecht, computervredebreuk) maar KPN voert dat wetsartikel niet uit.

KPN mag wél tijdelijk de internetverbinding blokkeren wanneer sprake is van “een inbreuk op de integriteit of veiligheid van het netwerk of de [internettoegangs]dienst” (art. 7.4a Tw), maar de blokakde moet dan noodzakelijk zijn om die inbreuk te beëindigen. Je zou dan kunnen denken aan een computer afsluiten omdat deze een ddos-aanval uitvoert of een virus of worm verspreidt. Maar hoe een hack op een computer van een derde “de integriteit of veiligheid van het netwerk of de [internettoegangs]dienst” in gevaar brengt, ontgaat me. “Abuse on the Net is not the same as abuse of the Net”, was ooit een internetmotto, en volgens mij geldt dat in deze wet nog steeds.

Meer dan een verbinding verbreken omdat er via die verbinding iets illegaals gebeurt, kun je volgens mij niet doen op grond van netneutraliteit. Iemand afsluiten wegens abuse mag dus niet (meer).

Arnoud

Meesurfen met internet van de buren toch wél computervredebreuk

| AE 5258 | Security | 29 reacties

Oké dus toch. Meeliften bij het internet van de buren is wel degelijk computervredebreuk, bepaalde de Hoge Raad gisteren. In 2011 had het Gerechtshof nog bepaald dat hiervan geen sprake is omdat een router geen “geautomatiseerd werk” is in de zin van de strafwet. Maar het was toch echt de bedoeling van de wetgever om… Lees verder

Toevoegen van debug=1 om kwade code te triggeren: computervredebreuk?

| AE 2605 | Security | 47 reacties

debug=1. Een onschuldig uitziend statement, zo zou je denken. Maar in mei 2009 had het een heel wat minder onschuldig effect als het werd toegevoegd aan de URL van de vacaturesite Juristenbank.nl: er werden dan telkens maximaal 10 kandidaten, dan wel werkgevers, in willekeurige volgorde volledig onomkeerbaar verwijderd. Dat bleek een logisch bommetje van een… Lees verder

Meesurfen met internet van de buren geen computervredebreuk

| AE 2466 | Security | 38 reacties

Nou, mooi is dat. Meeliften bij het internet van de buren is geen computervredebreuk, oordeelde het Hof Den Haag vorige week (via). Ook als je daarbij de router kraakt. Een router is namelijk geen “geautomatiseerd werk” in de zin van de wet, en je kunt alleen computervredebreuk plegen als je binnendringt in een geautomatiseerd werk…. Lees verder

Wat moeten wij met het nieuwe wetsvoorstel computercriminaliteit?

| AE 2170 | Informatiemaatschappij, Uitingsvrijheid | 27 reacties

Plannen voor een nieuwe wet computercriminaliteit. Dat zou alweer de derde worden. Er is al veel over geschreven over het afsluitbevel, en ook vanwege mijn vakantie houd ik het kort (goed he, Steven?). Wie zin heeft in uitgebreid & diepgaand, leze Jan-Jaap Oerlemans’ analyse. Allereerst dat afsluitbevel. Op zich is het nu al mogelijk (art…. Lees verder

DoS-aanvaller veroordeeld tot 15 maanden cel

| AE 2068 | Security | 5 reacties

Een denial-of-serviceaanval is strafbaar, maar als je naast je eigenlijke doelwit ook nog eens andere websites onderuit schoffelt, wordt dat gezien als een aanval op de telecommunicatie-infrastructuur. Dat blijkt uit een vonnis van de rechtbank Rotterdam dat gisteren verscheen. De verdachte kreeg vijftien maanden cel, waarvan vijf voorwaardelijk, voor het platleggen van twee Nederlandse sites,… Lees verder

Journalistieke hack van Revu legaal

| AE 1864 | Security | 24 reacties

De Revu wordt niet gestraft voor het infecteren van 14.000 computers en het hacken van de mailbox van de geanonimiseerde Staatssecretaris van Defensie, zo las ik gisteren bij Security.nl. De politierechter vond dat het nieuwsfeit dat de mailbox te kraken was, belangrijk genoeg is om de hoofdredacteur vrij te spreken van het strafbare feit. De… Lees verder