Habbo-meubi’s wegnemen is diefstal (en computervredebreuk)

| AE 1540 | Informatiemaatschappij, Security | 23 reacties

Met andermans (geraden of afgetroggeld) wachtwoord inloggen op Habbo Hotel is computervredebreuk. En haal je dan die ander zijn meubels naar je eigen account, dan pleeg je heel ouderwets diefstal. Dat bepaalde de rechtbank Amsterdam gisteren in twee grotendeels eensluidende vonnissen (LJN BH9789 en LJN BH9791, via Boek9.nl).

Dit is de Habbo-zaak waarover ik in november 2007(!) berichtte. Twee (veertienjarige) verdachten hadden wachtwoorden van Habbo-gebruikers bemachtigd en vervolgens de meubi’s die bij die accounts hoorden naar hun eigen kamer overgezet. En dat kwalificeert de rechtbank als computervredebreuk (het achterhalen en gebruiken van de wachtwoorden) en diefstal (het overzetten van de virtuele goederen).

De wachtwoorden werden achterhaald middels een fake-site (phishing) waarbij het slachtoffer dacht bij Hotmail in te loggen. Vervolgens werden die Hotmail-inloggegevens gebruikt om de mailbox van de slachtoffers in te zien. Handig, want daar was in de tussentijd net het “u was uw wachtwoord vergeten”-mailtje binnengekomen. En zo kwamen ze dan bij Habbo terecht. Het vonnis noemt nog keyloggers, maar ik zie even niet waar dat is gebruikt. “Hij heeft daartoe zelfs een speciaal programma gedownload waarmee hij op professionele wijze aan de inloggegevens van een ander kon komen” maar een fake-site is toch geen programma?

Vervolgens had men “met het oogmerk van wederrechtelijke toe-eigening” de virtuele meubelen uit deze speelwereld weggenomen uit de macht van de eigenaar. En dat is, zoals ook in het Runescape-vonnis van afgelopen oktober werd bepaald, een standaard gevalletje diefstal.

Het verweer dat het er bij Habbo toch om gaat “om zoveel mogelijk meubels te verzamelen”, wordt verworpen. Veel meubels verzamelen ok, maar dat rechtvaardigt niet dat je andermans meubels afneemt door hun wachtwoorden te raden. Dit heeft “niets meer te maken met de spelregels van het Habbohotel” zoals de rechtbank het terecht formuleert.

Kortom, weinig verrassend wat mij betreft maar wel goed dat deze lijn wordt aangehouden. Want: “Het internet dient daarom gevrijwaard te blijven van het zogenaamde ‘hacken’.” zoals de rechtbank fijntjes opmerkt.

Arnoud

Werkstraf voor computervredebreuk bij Activision en Valve

| AE 1522 | Security | 10 reacties

lolhaxed-maddoxx-klein.pngIn 2006 brak een Nederlander in bij de computernetwerken van onder andere Activision en maakte daar een kopie van het computerspel “Enemy Territory: Quake Wars“, dat toen nog in ontwikkeling was. Ook zou hij op de systemen van Valve zijn binnengedrongen Voor deze computervredebreuk kreeg de 21-jarige Maastrichtenaar zes maanden voorwaardelijk en een werkstraf van 240 uur, meldde Security.nl gisteren.

De zaak is opvallend, omdat de inbreker (MaddoxX) zelf op internet meldde dat hij dit gedaan had. En dat woog de rechter mee in het vonnis: “Verdachte heeft deze schade nog vergroot door aan het plegen van deze strafbare feiten uitvoerig ruchtbaarheid te geven via het internet.”

Verder werden de bedrijven opgeroepen om T-shirts en gadgets op te sturen, alles onder het dreigement dat hij vertrouwelijke klantgegevens (zoals creditcarddetails) zou publiceren wanneer zij niet aan zijn eisen zouden voldoen. In fraai rechtbankproza: “met het oogmerk om zichzelf en (een) ander(en) wederrechtelijk te bevoordelen door bedreiging met openbaring van een geheim [bedrijf 4] heeft gedwongen tot de afgifte van een of meer T-shirts en gadgets, in elk geval van enig goed.”

Alles bij elkaar vind ik de straf nogal laag gezien de feiten. In augustus 2007 kreeg een andere “gamehacker” (TM Bright) nog 12 maanden cel, waarvan acht voorwaardelijk, plus 50 uur taakstraf.

Bij Fok! doen ze nogal laatdunkend over de technische kant van de zaak. Ik ben daar nog niet helemaal uit: het vonnis noemt toch een aantal technisch complexe trucs:

  • gebruikmakend van kwetsbaarheden in genoemde geautomatiseerde werken(o.a. in de PHP bulletin-board software op de website van [bedrijf 2] d.m.v. van een SQL-injectie) en van valse hoedanigheden en van inloggegevens (tot onder meer een FTP-server) van een of meer medewerker(s) van [bedrijf 1] en [bedrijf 3]
  • <li>gebruikmakend van kwestbaarheden in genoemde geautomatiseerde werk (te weten o.a. een bug in een php-script op de sign-up pagina van [bedrijf 4] cybercafé systeem) en (vervolgens) gebruikmakend van een broncode en vertrouwelijke inloggegevens het systeem server van bovengenoemde [bedrijf 4] binnen te dringen</li></ul>
    

    Of valt dit toch onder het kopje “scriptkiddie”?

    Arnoud

Gratis internet in de trein hacken, mag dat?

| AE 1493 | Security | 9 reacties

ns-kpn-onlineindetrein-binnendringen.pngDe draadloze internettoegang, die momenteel als proef gratis wordt aangeboden in de trein tussen Groningen en Leeuwarden, blijkt slecht beveiligd te zijn, las ik bij Tweakers. De verbindingen zijn standaard niet versleuteld, waardoor iedereen mee kan lezen met het netwerkverkeer. Ook blijkt de router gewoon de fabriekswachtwoorden te gebruiken. Dit ontdekte NOS Headlines dat “met de internettrein” reisde.

Dankzij dit aftappen wist de NOS ook het wachtwoord van een e-mailaccount te achterhalen, waarna men op het account inlogde en de eigenaar benaderde. Bij Security.nl werd al gemeld dat dit computervredebreuk zou zijn. Bij het aftappen van de verbindingen wordt het juridisch interessanter. Hoewel het “opzettelijk en wederrechtelijk opnemen of aftappen van gegevens die niet voor hem bestemd zijn” strafbaar is (art. 139c Strafrecht), is er een uitzondering voor “door middel van een radio-ontvangapparaat ontvangen gegevens”. Op grond van de informatievrijheid (art. 10 EVRM) is het namelijk toegestaan om radiosignalen op te vangen en te gebruiken, zolang je daarbij geen ‘bijzondere inspanning’ hoeft te verrichten.

De NOS heeft dus computervredebreuk gepleegd toen men op dat e-mailaccount inlogde. Haar rechtvaardiging zal zijn dat sprake was van nieuwsgaring: men wilde aantonen dat draadloos internet in de trein veel onveiliger was dan mensen dachten. Het plegen van misdrijven in het kader van vrije nieuwsgaring is een dubieuze kwestie. Zoals ik al bij de hack van staatssecretaris Jack de Vries schreef, ook journalisten mogen de wet niet breken, zelfs niet om aan te tonen dat sprake is van een misstand. (Hier was het strikt gesproken een derde die voor de camera liet zien hoe hij het systeem hackte.)

Er moet wel een bijzonder zwaar nieuwsbelang zitten aan zo’n wetsovertreding wil je ermee weg kunnen komen. Bij de hack van Jack kon ik die niet bedenken, en ook hier heb ik er moeite mee. Draadloos internet is onveilig want mensen kunnen meelezen. Is dat nieuws? Voor mij niet echt, maar voor veel gebruikers waarschijnlijk wel – zoals blijkt uit de ophef over dit stukje. Het stond trouwens wel keurig in de voorwaarden maar ja, wie leest die nou?

Trouwens, het nut van aparte internetvoorzieningen in de trein snap ik nog steeds niet. Er is toch HSDPA dat landelijke dekking zou moeten leveren? Zorg er dan liever voor dat die dekking ook echt landelijk is, want onder ‘landelijk’ versta ik ook “buiten de ring A10” en dus ook “op het spoor tussen Best en Geldermalsen”. Oh ja, en hang stopcontacten in alle treinen. Wat jullie?

Arnoud

De verkoop van opgevoerde kabelmodems

| AE 1414 | Security | 4 reacties

In de VS is een man aangeklaagd wegens het verkopen van gekraakte docsis-kabelmodems van Motorola, meldde Tweakers dinsdag. De man verkocht kabelmodems die voorzien waren van gemanipuleerde firmware, waardoor gebruikers de maximale upload- en downloadsnelheid vrijelijk konden instellen of een mac-adres konden klonen. Wired wist dat dit illegaal was, maar een echt duidelijke grond zag… Lees verder

Storm Worm ontmantelen: nuttig of misdrijf?

| AE 1410 | Security | 17 reacties

Een groep Duitse onderzoekers van de universiteit van Bonn heeft een oplossing voor het beruchte Storm Worm botnetwerk, meldden Heise en ZDNet.nl. Juridische problemen maken het echter onmogelijk om deze oplossing in te zetten: de techniek komt neer op computervredebreuk, en hoewel het een goed doel dient, blijft dat een misdrijf. Storm Worm is één… Lees verder

Na ontslag wachtwoord blijven gebruiken strafbaar

| AE 1297 | Security | 5 reacties

De rechtbank in Den Haag heeft twee voormalige voorlichters van het ministerie van Sociale Zaken en Werkgelegenheid veroordeeld tot voorwaardelijke taakstraffen van 150 en 100 uur, meldde Nu.nl zaterdag. De twee bleven hun oude wachtwoord van de Geassocieerde Pers Diensten gebruiken om zo vroeg kennis te krijgen van nog ongepubliceerde nieuwsberichten. Het bewijs was in… Lees verder

Stijlloze tegenactie of computercriminaliteit?

| AE 1231 | Security | 26 reacties

De ludiek bedoelde actie van Geencommentaar kon Geenstijl toch iets meer boeien dan het shockblog in eerste instantie deed voorkomen. GC had een petitie online gezet, waar GS een bindend stemadvies voor had uitgebracht. GC kreeg zoveel onzininschrijvingen dat zij besloot een database te bouwen met meer dan 2000 IP-adressen van stijlloze reaguurders die de… Lees verder

Bandbreedte kun je niet stelen

| AE 1220 | Security | 17 reacties

Het aftappen van internetverbindingen is geen diefstal, bepaalde de rechtbank Amsterdam donderdag. In deze strafzaak had de verdachte een computer geinstalleerd in het vals plafond van een studentenflat om zo van de snelle internetverbinding daar te profiteren. Naast inbreuk op het auteursrecht (vanwege uitgewisselde muziek) werd ook diefstal van “capaciteit van bandbreedte” ten laste gelegd…. Lees verder