Is het strafbaar mijn wachtwoord van online diensten te delen met vrienden?

| AE 7067 | Security | 22 reacties

login-inloggen-pin-number-nummer-password-wachtwoordEen lezer vroeg me:

Het is vaak tegen de gebruikersvoorwaarden om mijn login gegevens van een digitale dienst zoals een krantenabonnement of streamingdienst met anderen te delen. Maar is het ook strafbaar? En hoe zit het als ik er een vergoeding voor vraag, zodat de ander en ik allebei de helft van het abonnement betalen?

Het is strafbaar om gebruik te maken van een betaaldienst zonder daarvoor te betalen (art. 326c Strafrecht). Het moet dan wel gaan om een “dienst die via telecommunicatie aan het publiek wordt aangeboden”, zoals betaaltelevisie. Gratis parkeren in een (private) parkeergarage valt hier niet onder.

Eis is dat je een technische ingreep pleegt (‘hacken’) of met behulp van valse signalen je toegang verschaft tot die betaaldienst. De vraag is dus of het gebruik van andermans wachtwoord telt als een vals signaal. Ik twijfel daarover, omdat elders (bij computervredebreuk bijvoorbeeld) altijd “valse signalen of een valse sleutel” wordt gebruikt, waarbij het wachtwoord als ‘sleutel’ wordt aangemerkt. Die term is hier weggelaten, is dat dan opzettelijk of niet?

Uit de wetsgeschiedenis blijkt dat het moet gaan om

enig teken dat bij de ontvanger, ongeacht of dit een natuurlijke persoon of een geautomatiseerd werk is, een gevolg bewerkstelligt dat gebaseerd is op (geprogrammeerde) veronderstellingen die onjuist blijken te zijn, terwijl degene die het teken geeft, weet dat hij met dat teken, gegeven die veronderstellingen, dat gevolg uitlokt.

In dit arrest had het gerechtshof in Arnhem er geen moeite mee het bellen vanaf andermans vaste lijn naar een 09xx-nummer (om credits op te waarderen) onder “vals signaal” te rekenen. De redenering was: het gebruiken van een valse sleutel (een identificatiemiddel) levert het geven van een vals signaal op want daardoor denkt de wederpartij dat hij met een ander te maken heeft, in die zaak de eigenaar van de telefoonlijn (waardoor die de rekening krijgt).

In dit geval is de sleutel echt want het wachtwoord hoort bij een normaal, betalend account. Maar het signaal dat je afgeeft is vals in die zin dat je je voordoet als die accounteigenaar in plaats van als een derde. En daarmee is het formeel dus strafbaar om je wachtwoord van zo’n betaaldienst te delen.

Arnoud

Is een portscan strafbaar?

| AE 6593 | Security | 33 reacties

portscanEen lezer vroeg me:

Op mijn thuisserver zie ik met zeer grote regelmaat portscans voorbij komen. Is dat eigenlijk niet strafbaar en wat kan ik er juridisch tegen doen?

Een portscan (port scan?) is een technisch hulpmiddel om vast te stellen welke diensten een bepaalde server aanbiedt. Diensten (services) zijn via verschillende adressen op een en dezelfde server – poorten, letterlijk eigenlijk ‘havens’ maar goed – bereikbaar. Zo werkt http via poort 80, en verstuur je mail via poort 25.

Weten welke diensten een server aanbiedt, en vooral welke software daarbij wordt ingezet, is handig om te weten als je van plan bent in te breken op die server. Door op alle poorten een communicatie te starten, krijg je die informatie want vrijwel alle serversoftware identificeert zichzelf daarbij. En dan kun je per stukje software opzoeken welke bekende kwetsbaarheden deze heeft.

Portscannen staat als zodanig niet in het wetboek van strafrecht. Het is geen binnendringen (art. 138ab Sr) want je voert geautoriseerde handelingen uit. Die software draait op een bekende poort, en hij geeft volgens het protocol de gebruikelijke reactie. Dat is net zo min strafbaar als aanbellen of het naamkaartje lezen bij een voordeur. En normaliter zal een portscan een server niet laten crashen, dus dat is dan ook geen “veroorzaken van een stoornis in de werking van een geautomatiseerd werk” (art. 161sexies Sr). Tenzij je het zo veel en vaak doet dat je van een denial of service-aanval kunt spreken.

Toch riekt dit naar niet de bedoeling, en het verbaast dan ook niet dat het strafrecht daar wat op gevonden heeft. Twee man die ’s nachts om drie uur met een bivakmuts en een breekijzer in iemands portiek staan, dat voelt ook niet helemaal jofel dus daar wil je als agent tegen kunnen optreden. En dat kan: het strafrecht kent de ‘poging tot’, artikel 45 lid 1 Sr:

Poging tot misdrijf is strafbaar wanneer het voornemen van de dader zich door een begin van uitvoering heeft geopenbaard

Er moet dus sprake zijn van een poging tot plegen van een misdrijf, een overtreding proberen te plegen is niet strafbaar. En er moet een “begin van uitvoering” zijn, alleen maar bedénken dat je een misdrijf gaat plegen is niet strafbaar. (Nou ja behalve als je het met z’n tweeën bedenkt en het misdrijf “met terroristisch oogmerk” is.)

Computervredebreuk is een misdrijf, dus poging daartoe is strafbaar. Brute forcen van een account en gepakt worden voordat je het wachtwoord geraden had, levert dus strafbare poging op want je was bezig met inbreken, er was een begin van uitvoering.

Het vinden van zwakke plekken om in te breken lijkt me ook een “begin van uitvoering”, immers die informatie is nodig om naar binnen te kunnen gaan. Een persoon met bivakmuts die aan alle ramen rammelt om drie uur ’s nachts, is ook bezig met een begin van uitvoering (van inbraak).

Het lastige is alleen, je kunt ook portscannen zonder die informatie te willen gebruiken om later in te breken. En dat oogmerk, dat plan om in te breken, moet er wel zijn. Je kunt niet iets ‘pogen’ dat je niet van plan bent, als u begrijpt wat ik bedoel.

Dus: portscannen is strafbaar, mits duidelijk is dat de portscan-uitvoerder van plan is vervolgens in te gaan breken bij het geportscande systeem. Alleen: hoe bewijs je dat? Je kúnt natuurlijk zeggen, er is geen andere legitieme reden om te portscannen dús is elke portscan bewijs van de wens in te gaan breken. Maar dat voelt wel een beetje te kort door de bocht. Wat jullie?

Arnoud

Wanneer mag je je partner in huis bespioneren?

| AE 6368 | Privacy | 25 reacties

Een lezer vroeg me:

Wanneer je samenwoont, al of niet getrouwd, mag je elkaar dan afsluiteren of met verborgen camera’s observeren?

Ik had al eens eerder een dergelijke vraag gehad, maar ik kreeg de afgelopen drie weken vier keer deze vraag dus ik dacht, hier moet ik nog eens op terugkomen.

Iedereen heeft privacy, maar als je met elkaar bent getrouwd of samenwoont dan wordt die privacy een heel stuk minder. Je moet dan eerder verwachten dat je partner dingen van je weet of dingen opvalt die je eigenlijk liever privé zou willen houden. Douchen is privé maar dat je partner binnenkomt tijdens het douchen, tsja dat hoort erbij.

De wet verbiedt het ‘wederrechtelijk’ aftappen van telefoontjes, mail of internetchats en ook het ‘wederrechtelijk’ installeren van verborgen camera’s in huis. Wederrechtelijk wil zeggen dat er geen recht, geen reden voor is. En dat is hier het lastige: omdat je een stuk privacy inlevert als je trouwt of samenwoont, kun je minder snel spreken van “geen recht” als zoiets gebeurt.

Wanneer je in gemeenschap van goederen bent getrouwd, dan is het nóg moeilijker om van wederrechtelijkheid te spreken. Het is dan immers je (mede)eigendom waar je de aftap/opnamespulen op installeert. En binnendringen in je eigen computer, dat kan niet. Maar zaligmakend is dat criterium niet: ik mag het bezoek op mijn verjaardag ook niet zomaar filmen met een verborgen camera, ook al heb ik die in mijn eigen huis verstopt.

Het gebruik van andermans wachtwoord is formeel strafbaar als computervredebreuk. Maar ook hier weer, het moet gaan om ‘wederrechtelijk’ gebruik. En of daar sprake van is, is dus onduidelijk.

Wel lijkt het me buitengewoon moeilijk om in een huwelijk/partnerschap met dergelijke juridische zaken te beginnen. Ga je werkelijk aangifte doen tegen je echtgenoot als je zo’n camera vindt? Een schadevergoeding eisen als je vriendin je aftapt?

Arnoud

Wanneer is rondkijken op iemands pc (mét toestemming) alsnog strafbaar?

| AE 6204 | Security | 19 reacties

Een lezer vroeg me: Een kennis vroeg me laatst om op afstand op zijn PC in te loggen om hem zo te helpen met een probleempje. Tijdens het oplossen daarvan klikte ik ook een paar mapjes aan die misschien niet direct relevant waren, waarop hij me direct beschuldigde van computervredebreuk. Klopt dat? Hij heeft me… Lees verder

Mag ik mensen met openstaande netwerken of schijven helpen?

| AE 6130 | Regulering, Security | 26 reacties

Een lezer vroeg me: Regelmatig kom ik netwerkschijven of draadloze netwerken tegen die niet goed beveiligd zijn. Je kunt met enkele simpele muisklikken gegevens zien van mensen die zelf denken dat ze goed voor de buitenwereld beveiligd zijn. Graag wil ik deze mensen helpen en ze vertellen dat ze een beveiligingsprobleem hebben. Aan de andere… Lees verder

De strafbaarheid van het omzeilen van een IP-ban

| AE 5871 | Security | 10 reacties

Een ander IP-adres aannemen of een proxy gebruiken om zo een IP-ban op een website te omzeilen is in de VS een strafbaar feit, meldde Ars Technica vorige week. In het eerste vonnis over deze vraag bepaalde de district court in Californië dat een gebande bezoeker dan “intentionally accesses a computer without authorization or exceeds… Lees verder

Wacht even, afgesloten internetverbinding voor 18-jarige KPN-hacker?

| AE 5625 | Ondernemingsvrijheid, Security | 24 reacties

De 18-jarige jongen die vorig jaar KPN-servers heeft gehackt heeft een celstraf van 45 dagen en een taakstraf van 100 uur gekregen, meldde Webwereld. Omdat de jongen exact dat aantal dagen al in voorarrest had gezeten, hoeft hij niet meer de cel in. Het vonnis lijkt niet gepubliceerd, logisch omdat het om een minderjarige gaat… Lees verder

Meesurfen met internet van de buren toch wél computervredebreuk

| AE 5258 | Security | 29 reacties

Oké dus toch. Meeliften bij het internet van de buren is wel degelijk computervredebreuk, bepaalde de Hoge Raad gisteren. In 2011 had het Gerechtshof nog bepaald dat hiervan geen sprake is omdat een router geen “geautomatiseerd werk” is in de zin van de strafwet. Maar het was toch echt de bedoeling van de wetgever om… Lees verder