De verkoop van opgevoerde kabelmodems

In de VS is een man aangeklaagd wegens het verkopen van gekraakte docsis-kabelmodems van Motorola, meldde Tweakers dinsdag. De man verkocht kabelmodems die voorzien waren van gemanipuleerde firmware, waardoor gebruikers de maximale upload- en downloadsnelheid vrijelijk konden instellen of een mac-adres konden klonen. Wired wist dat dit illegaal was, maar een echt duidelijke grond zag ik niet. Zou het in Nederland mogen?

Het meest relevante artikel lijkt me het verbod op het kraken van betaaldiensten (art. 326c Strafrecht): wie “met het oogmerk daarvoor niet volledig te betalen” gebruik maakt van een telecommunicatiedienst, pleegt een misdrijf. Daarvoor moet je wel een technische ingreep plegen of valse signalen genereren – en dat doe je met zo’n opgevoerd modem. Wie middelen voor die technische ingreep ter verspreiding aanbiedt, kan tot twee jaar cel krijgen.

Hoewel dit artikel voor betaaltelevisie is geschreven, zou het ook best kunnen opgaan bij internet via de kabel. Alleen: dan moet er wel per megabyte worden afgerekend, en niet zoals bij de meeste providers een vast bedrag per maand. Want zolang je je abonnementsgeld betaalt, is niet voldaan aan het “niet volledig betalen” uit het wetsartikel.

Computervredebreuk dan? Je zou kunnen zeggen dat je binnendringt in het modem. Maar dat gaat niet op: het is een zelf gekocht modem. En ook bij een modem in bruikleen (de Nederlandse situatie) lijkt het me niet wederrechtelijk om het apparaat aan te passen, zolang het maar in originele staat terugkomt.

Binnendringen in het kabelnetwerk dan? Dat is geen computervredebreuk in de zin van de wet, je kunt alleen binnendringen in een geautomatiseerd werk oftewel een computer. En om nou te zeggen dat je binnendringt op de router bij de kabelboer gaat misschien ook weer wat ver.

Wel lijkt het me dat je hiermee wanprestatie pleegt: je doet iets dat tegen de afspraak met de provider is. En op die grond mag de provider je abonnement opzeggen. Vaak staat in algemene voorwaarden expliciet dat je alleen hun apparatuur mag gebruiken en deze niet mag modificeren. Maar zelfs als het er niet staat, lijkt me dit toch zodanig onredelijk dat de provider je nog steeds mag afsluiten.

Arnoud

Storm Worm ontmantelen: nuttig of misdrijf?

storm-worm-bot.pngEen groep Duitse onderzoekers van de universiteit van Bonn heeft een oplossing voor het beruchte Storm Worm botnetwerk, meldden Heise en ZDNet.nl. Juridische problemen maken het echter onmogelijk om deze oplossing in te zetten: de techniek komt neer op computervredebreuk, en hoewel het een goed doel dient, blijft dat een misdrijf.

Storm Worm is één van de grootste en vervelendste botnetwerken ter wereld. Geïnfecteerde computers communiceren met een aantal centrale servers, vanaf waar de beheerders hun commando’s kunnen versturen. De onderzoekers ontdekten dat die communicatie eenvoudig omgeleid kan worden. Daarmee waren ze in staat om in een eigen netwerk de bots de opdracht te geven een speciaal desinfectieprogramma te downloaden en zo zichzelf te verwijderen.

In principe kun je die truc natuurlijk wereldwijd toepassen en zo het virus eenvoudig de nek omdraaien. Maar mag dat eigenlijk wel? De onderzoekers blijken bang van niet. Deze oplossing komt namelijk neer op het draaien van software op andermans PC, oftewel “opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk”. Zonder toestemming of wettelijke rechtvaardigingsgrond dring je wederrechtelijk binnen.

Ik vraag me wel af of je bij een situatie als deze echter geen uitzondering zou kunnen vinden. Het binnendringen dient hier het algemeen belang, en de onderzoekers beschikken over unieke kennis en vaardigheden waardoor uitgerekend zij deze handelingen kunnen uitvoeren. Zou dat niet moeten tellen als rechtvaardigingsgrond?

Natuurlijk is er een risico dat de software die zij gebruiken, bij sommige PC’s tot ernstige storingen zal leiden. Aan de andere kant, die PC was dan toch al besmet met Storm Worm en dan is opnieuw installeren hoe dan ook de enige optie.

Wat vinden jullie? Moeten deze heren hun gang kunnen gaan, of zou alleen de politie dergelijke schoonmaakacties moeten kunnen uitvoeren?

Arnoud

URL-manipulatie is geen merkinbreuk

ebeat-hyperlink-merk.gifStel, iemand ontdekt een beveiligingslek in je website. Wat doe je dan? a) Je repareert het lek en bedankt die iemand of b) Je gooit die persoon van je website en je start een rechtszaak wegens merkinbreuk. U dacht a? Dan moet u misschien eens als consultant langs bij e-learning provider eBeat, want die kozen voor b. En haalden gelukkig bakzeil bij de voorzieningenrechter.

Het bedrijf Handyman had voor interne opleidingen een digitale leeromgeving bij the Beat Factory afgenomen. Een slimme werknemer van Handyman merkte dat je door de URL’s in dat systeem aan te passen, je je cursusresultaten kon aanpassen. Hij mailde dat naar eBeat De reactie van Beat Factory? De toegang van de werknemer afsluiten en haar advocaat op Handyman afsturen wegens inbreuk op het merkenrecht.

De eis wordt vooral afgewezen omdat er geen sprake is van een spoedeisend belang, wat toch een vereiste is voor een kort geding. Ook heeft Beat Factory op geen enkele wijze schade geleden door deze actie. Sterker nog, de rechter laat doorschemeren dat Beat Factory zich aardig aanstelt:

[de actie was] juist gericht op het behartigen van het belang van The BEAT Factory, die dit zeer wel zó kon begrijpen en er zó ook profijt van had kunnen hebben.

Maar hoezo dan merkenrecht? Nou, de merk- en handelsnaam ‘ebeat’ stond namelijk in de aangepaste URL. Zoals Boek9.nl het droogjes omschrijft:

The BEAT Factory ziet dit als een inbreuk op haar intellectuele eigendomsrechten. De voorzieningenrechter niet.
Het gebruik van een tekst in een URL is geen inbreuk op een beeldmerk (ja, een beeldmerk!), noch een verboden gebruik van een handelsnaam.

Omdat Beat Factory haar vordering op het merkenrecht had gebaseerd, krijgt ze nu als verliezende partij de volledige proceskosten om haar oren: zesduizend euro voor de advocaat plus 4095 euro voor de ingeschakelde informaticus. Die trouwens met 195 euro uurtarief een aardige concurrent voor de advocaat lijkt te worden.

Mis ik iets of was dit een hele domme actie van Beat Factory?

Arnoud

Na ontslag wachtwoord blijven gebruiken strafbaar

De rechtbank in Den Haag heeft twee voormalige voorlichters van het ministerie van Sociale Zaken en Werkgelegenheid veroordeeld tot voorwaardelijke taakstraffen van 150 en 100 uur, meldde Nu.nl zaterdag. De twee bleven hun oude wachtwoord van de Geassocieerde Pers Diensten gebruiken om zo vroeg kennis te krijgen van nog ongepubliceerde nieuwsberichten.

Het bewijs was in deze zaak niet zo moeilijk rond te krijgen. De twee liepen tegen de lamp toen ze een verslaggever vroegen om in een artikel een wijziging aan te brengen: het artikel beweerde dat minister Donner gereformeerd was, maar hij is protestant. Dat verbaasde de journalist nogal, want het artikel was nog helemaal niet gepubliceerd op dat moment. Het systeem van GPD blijkt bij te houden wie welk artikel opvraagt, en zo waren de verantwoordelijken snel op te sporen. Er bleek meer dan 800 maal illegaal ingelogd te zijn vanaf een IP-adres van het ministerie van Sociale Zaken (195.109.215.181, zoek maar na).

De zaak doet sterk denken aan de computerinbraak door persbureau Novum, waarbij ook andermans wachtwoord werd gebruikt om in te loggen. Een verschil hier, dat de verdachten zwaar werd aangerekend, was dat zij als ambtenaren op het ministerie werkzaam waren en dus een voorbeeldfunctie hadden.

De verdachten gebruikten in eerste instantie nog hun eigen wachtwoorden, die na hun ontslag nog gewoon bleken te werken. Eigen schuld dus, en geen misdrijf, zo betoogde de advocate. Maar nee, “het behoort vanzelf te spreken, dat men na vertrek bij een werkgever geen kennis meer neemt van of gebruik maakt van vertrouwelijke informatie, ook al kan feitelijk nog toegang tot die gegevens worden verkregen; daar is geen verbod van die werkgever voor nodig.” Daarmee was dat computervredebreuk.

Opmerkelijk was nog dat de journalist die zijn wachtwoord aan zijn ex-collega’s gaf, ook veroordeeld werd: een voorwaardelijke taakstraf van 60 uur voor medeplichtigheid aan de computervredebreuk. Pas dus goed op je wachtwoord!

Arnoud

Heel internet stukmaken, mag dat? (2)

Internet stukmaken kan op heel veel manieren. En nu hebben we er weer eentje: met een paar slim gekozen TCP/IP pakketten is het mogelijk om vrijwel elke op internet aangesloten computer plat te leggen, meldt Webwereld.

Bijzonder aan deze aanval is dat hij kennelijk al jaren bekend was bij ontdekkers Outpost24. Men komt echter nu pas naar buiten, omdat er nog steeds geen oplossing voor is en de aandacht misschien mensen stimuleert om deze te gaan zoeken. Op 17 oktober zullen de ontdekkers de aanval demonstreren, maar geen diepe technische details geven.

En dat was waar een lezer me over mailde: zouden ze die wel mogen geven eigenlijk? Met die details kan iedereen aan de slag om een exploit te maken en systemen platleggen. Niemand die dat kan stoppen, want er is dus geen oplossing bekend. Dat lijkt nogal onverantwoordelijk. Maar is het strafbaar?

Als ik de artikelen goed begrijp, dan gaat het hier om een vorm van denial of service, een aanval waarbij de toegang tot een geautomatiseerd werk wordt belemmerd door bepaalde gegevens op te sturen. Dat is strafbaar onder artikel 138b Wetboek van Strafrecht. De meeste mensen denken bij een DoS-aanval vooral aan grote hoeveelheden onzingegevens zoals bij mailbommen of pingfloods. Maar ook een enkel slim gekozen pakketje valt onder deze strafbepaling (winnuke’t u nog wel eens iemand?).

Ook strafbaar is het om technische hulpmiddelen aan te bieden die “hoofdzakelijk geschikt gemaakt of ontworpen” zijn om een DoS-aanval mee uit te voeren (art. 139d lid 2 sub a Strafrecht). Bij diefstal van diensten bepaalde de Hoge Raad in 2005 dat een tijdschrift met een stappenplan een verboden hulpmiddel was (om gratis Canal+ te mogen kijken). Maar dat ging alleen goed omdat artikel 326c van het Wetboek van Strafrecht spreekt van het aanbieden van een “voorwerp en/of gegevens”. En een tijdschrift bevat gegevens, zo oordeelde de Hoge Raad.

Artikel 139d lid 2 spreekt van een “technisch hulpmiddel”, wat mij toch een stuk beperkter lijkt dan “een voorwerp of gegevens”. Valt een proof of concept exploit, een stuk code dat laat zien dat een aanval echt mogelijk is, daar nu onder? Het is een hulpmiddel, maar is het geschikt gemaakt of ontworpen om ook werkelijk aanvallen mee uit te voeren? En dan dus niet demonstratie-aanvallen in het lab, maar echte aanvallen in het wild.

Ik vind het een erg lastige vraag. Het gaat me wat ver om code ter ondersteuning van beveiligingsonderzoek strafbaar te stellen. Aan de andere kant, als die code uitlekt hebben alle script kiddies ook weer maandenlang plezier met het platleggen van internet en dat is ook bepaald onwenselijk.

Wat vinden jullie? Mag die code worden gepubliceerd, of moeten ze daarmee wachten tot iedereen gepatcht is? En maakt het daarbij uit dat dit een fout met een heel brede impact is, in tegenstelling tot een eenvoudige buffer overflow in versie X van één bepaald stuk software?

Arnoud

Stijlloze tegenactie of computercriminaliteit?

bluf-openbaren-geencommentaar.pngDe ludiek bedoelde actie van Geencommentaar kon Geenstijl toch iets meer boeien dan het shockblog in eerste instantie deed voorkomen. GC had een petitie online gezet, waar GS een bindend stemadvies voor had uitgebracht. GC kreeg zoveel onzininschrijvingen dat zij besloot een database te bouwen met meer dan 2000 IP-adressen van stijlloze reaguurders die de petitie hadden vervuild. Vervolgens publiceerde GC een tooltje waar je op basis van IP-adres kon controleren of je met een “roze randdebiel” cq. “huftert” te maken had.

GS kwam daarop met een “oldskool weblog incrowdcookie van eigen deeg”. Een slim stukje Javascript in de pagina’s van GS zocht automatisch het IP-adres op van elke bezoeker van GS in die database. Nu krijgt GS iets meer bezoekers dan GC, zodat de database dit niet aankon en volledig plat ging.

Is deze stijlloze actie nu computercriminaliteit? Het lijkt sterk op een distributed denial of service-aanval, of voor de juristen onder ons een gedistribueerde verstikkingsaanval. Bij zo’n aanval worden honderden of duizenden computers tegelijk ingezet om gezamenlijk het slachtoffer te overbelasten. Meestal doordat al die computers elk zo veel mogelijk onzingegevens opsturen, maar een groot aantal op zich legitieme verzoeken kan ook tot zo’n overbelasting leiden.

Art. 138b Strafrecht stelt strafbaar het opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk te belemmeren door daaraan gegevens aan te bieden of toe te zenden. Eens kijken hoe ver we komen.

De actie was duidelijk opzet, want die Javascript-code komt niet zomaar in een webpagina terecht. Wederrechtelijk? Ik zou zeggen van wel. Op zich mocht iedere GS-bezoeker zijn eigen IP-adres opzoeken in de database van GC. Maar dit was geen vrijwillig opvragen uit interesse van de bezoeker, maar een min of meer gedwongen opvraging door een programmeertruc van de site. Ik twijfel, omdat er ook nog zoiets bestaat als het Slashdot-effect (in Nederland het Nu.nl effect?): te veel bezoeken vanaf een populaire site kunnen een site ook plattrekken. Dat is niet wederrechtelijk van die populaire site. Maar ik denk dat dat toch waarschijnlijk niet opgaat hier.

De grote vraag is dus of Geenstijl zorgde voor het “aanbieden of toezenden” van de gegevens. Het zijn feitelijk de computers van de bezoekers die het doen. Maar die bezoekers zijn niet bij de actie betrokken. Het is het stukje Javascript van Geenstijl dat het toezenden van de opvraging in werking zet. Dat zou je kunnen zien als een handeling van Geenstijl. Andermans computer op afstand besturen is juridisch hetzelfde als achter het toetsenbord kruipen en de commando’s daar intypen. Ik zeg daar wel gelijk bij dat dit nog nergens in de literatuur of rechtspraak getest is. GC, probeer het eens uit! 🙂

Overigens was die actie van GC ook niet bepaald netjes. Het verzamelen van IP-adressen en aanbieden van een zoekmogelijkheid om te zien of iemand een “roze randdebiel” is (of zelfs maar, neutraal gezegd, een Geenstijl-lezer) is een verwerking van persoonsgegevens. Daarvoor moeten de bezoekers wel toestemming hebben gegeven. Ik heb geen privacystatement gezien bij die petitie, laat staan een uitdrukkelijk verzoek om toestemming.

Weet iemand trouwens waarom GC er nu uitligt?

Arnoud

Bandbreedte kun je niet stelen

dak plafond studentenflat computer aftappenHet aftappen van internetverbindingen is geen diefstal, bepaalde de rechtbank Amsterdam donderdag. In deze strafzaak had de verdachte een computer geinstalleerd in het vals plafond van een studentenflat om zo van de snelle internetverbinding daar te profiteren. Naast inbreuk op het auteursrecht (vanwege uitgewisselde muziek) werd ook diefstal van “capaciteit van bandbreedte” ten laste gelegd.

De rechtbank bepaalt in het vonnis echter dat dat niet kan. Door ongeoorloofd gebruik te maken van bandbreedte verliest de rechthebbende immers hierover niet noodzakelijkerwijs de feitelijke macht, aldus de rechtbank. Hij heeft nog steeds controle over de netwerkverbinding en kan deze nog steeds gebruiken. Misschien dat de snelheid omlaag gaat door de meeliftende plafondpc, maar snelheid is geen tastbaar iets dat je kunt stelen.

Het stelen van niet-tastbare zaken is al lang een moeilijk punt in het recht. Tjalling Hielkema van Solv wijst terecht op het Elektriciteits-arrest uit 1921, waarin werd bepaald dat elektriciteit wel degelijk gestolen kon worden. Stroom is voor menselijk beheersing vatbaar, en door het aftappen van de stroom van de buurman kon deze niet meer over die stroom beschikken. Dat vond de Hoge Raad hetzelfde als het stelen van een fysiek object zoals een fiets.

Computergegevens waren volgens diezelfde Hoge Raad geen goed, zo bleek in 1996. Het kopiëren of wegnemen van gegevens is vervolgens apart strafbaar gesteld in de Wet Computercriminaliteit.

Het verbaast me dan ook dat hier gekozen is voor een tenlastelegging van diefstal en niet van computervredebreuk. Het aansluiten van je eigen PC op andermans netwerk lijkt mij een vorm van binnendringen, en het gebruik van de netwerkcapaciteit is daarbij een strafverzwarende omstandigheid (art. 138a leden 1 en 3 Wetboek van Strafrecht). Mag ik dit een flater van het OM noemen?

Via Boek9.nl en met dank aan Mr. D.M. Rupert, Teurlings & Ellens advocaten .

Arnoud

KLPD waarschuwt slachtoffers botnet

In samenwerking met antivirusbedrijf Kaspersky gaat het Team High Tech Crime van de Nederlandse politie mensen informeren over het feit dat hun PC’s besmet zijn geraakt met malware en onderdeel uitmaken van een botnet, zo meldde ISPam donderdag. Dit is voor zover bekend de eerste keer dat een politiedienst via een botnet de slachtoffers inlicht.

Kaspersky heeft voor de politie een speciaal programma ontwikkeld waarmee berichten gestuurd kunnen worden naar de eigenaren van geïnfecteerde computers. Het bericht vertelt wat zij moeten doen om de besmetting van hun computer ongedaan te maken. Ook wordt verwezen naar een speciaal voor dat doel ontwikkelde site van de KLPD en het Landelijk Parket.

Intrigerend vond ik wel dat de politie hiermee feitelijk binnendringt op de geinfecteerde PC’s. Pleegt de politie computervredebreuk, zo vroegen een paar lezers me dit weekend. Dat denk ik niet. Het is pas computervredebreuk als iemand wederrechtelijk binnendringt. In dit geval lijkt me daar geen sprake van te zijn. De politie is bezig met bestrijding en ontmanteling van een botnet, en daarbij is het gerechtvaardigt dat men slachtoffers waarschuwt die onbewust lid waren van dit botnet.

Wel vraag ik me af hoe lang het zal duren voor de eerste phishers mails gaan rondsturen die zogenaamd van De Politie afkomstig zijn met daarin vergelijkbare instructies, die alleen toevallig een nieuw botnet installeren op je PC.

Arnoud

Het was geheim – mag dat?

Een lezer biecht op:

In een donker duister verleden heb ik mij de toegang verschaft tot een gedeelte van een forum dat met een wachtwoord was beveiligd. De makers hadden aangegeven dat er echt niks interessants stond. En alsof dit nog niet voldoende was om de nieuwsgierigheid bij mij op te wekken was het ook nog eens met een wachtwoord beveiligd. Ik heb daarop tervergeefs een aantal pogingen ondernomen om het wachtwoord te raden. Totdat ik op een gegeven moment bij mezelf dacht “Wat zou het wachtwoord toch zijn? Dat gaan ze natuurlijk niet aan mij vertellen, want dat is geheim”. Als gauw ondervond ik dat ik gelijk had: het wachtwoord was geheim, letterlijk wel te verstaan. Natuurlijk heb ik de beheerders direct op de hoogte gesteld, maar nu vraag ik me af: heb ik door mijn nieuwsgierigheid te bevredigen de wet overtreden?

Het achterhalen van een wachtwoord om daarmee binnen te dringen in een computersysteem dat niet van jou is, is een riskante onderneming. Opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk is strafbaar als computervredebreuk.

De vraag is hier wel of er ook echt binnengedrongen is. Alleen maar een gevonden sleutel in het slot omdraaien is nog geen inbreken, en alleen maar een wachtwoord intypen dat werkt, lijkt me ook nog geen computerinbraak. En onze mysterieuze lezer is uit eigen wil gestopt met de poging. Dat heet “vrijwillige terugtred” in het strafrecht. Een poging die je uit jezelf afbreekt, is niet strafbaar (art. 46db Strafrecht).

Aan de andere kant, zodra je het wachtwoord goed intypt, krijg je meteen ook een resultaat te zien. Je wordt ingelogd, je krijgt de beheerspagina voor je neus of wat er dan ook maar moet gebeuren bij de gebruiker wiens wachtwoord je achterhaald hebt. Dus je kunt betogen dat de inbraak voltooid was op het moment dat het wachtwoord geaccepteerd was en de “U bent ingelogd” pagina op het scherm kwam te staan.

Wat denken jullie? Moet dit kunnen zolang je maar niets doet als je het wachtwoord geraden hebt, of hoort deze meneer een SWAT-team door het raam te krijgen?

Arnoud

Computerinbraak door persbureau Novum Nieuws

Het persbureau Novum Nieuws is veroordeeld voor computervredebreuk. Novum, opgericht als concurrent voor ANP, bleek regelmatig ingebroken te hebben op de servers van het ANP om zo toegang tot ANP-nieuws te krijgen. Daarbij maakte het bedrijf gebruik van inlogcodes van McPro, RTV Utrecht en Sky Radio. Het gebruik van andermans inlogcode (gebruikersnaam en wachtwoord) is een vorm van computervredebreuk. Bij mijn weten is dit de eerste keer dat een rechtspersoon (bedrijf) veroordeeld wordt voor dit misdrijf.

Er was nog wat discussie over welke vorm van computervredebreuk het nu was, maar de rechtbank maakte daar korte metten mee. Het OM had ten laste gelegd dat een “technische ingreep” (een computerkraak of exploit) was gebruikt, maar het bedrijf verweerde zich door te zeggen dat men gewoon een bestaand wachtwoord had gebruikt. Dat vond de rechter juist, maar ook gebruik van andermans wachtwoord is een strafbaar feit. En terecht.

De rechtbank legde het bedrijf een geldboete op van € 4.000 (waarvan € 2.000 voorwaardelijk). Dit is lager dan de eis van 11.250 euro. Het OM had onvoldoende onderbouwd hoe zij tot haar eis kwam. Bovendien nam de rechtbank het ANP kwalijk dat zij kennelijk te weinig had gedaan om zich te beschermen tegen dit soort ongeautoriseerd gebruik door derden. Er zijn tenslotte genoeg eenvoudige technische maatregelen om dit te voorkomen, zoals het beperken van het aantal IP-adressen dat gebruik mag maken van de dienst.

In haar motivatie is de rechtbank hard:

Novum heeft zeer kwalijk gehandeld door zich ten behoeve van haar nieuwsgaring via aan derden verleende inlogcodes de toegang te verschaffen tot de Artos nieuwsserver van het ANP en daarvan ook veelvuldig gebruik te maken. Wetende dat aan haar als opkomend concurrent van het ANP geen toegang tot die server zou worden verleend, heeft Novum die toegang gezocht en gevonden via een bevriende relatie, de eigenaar/directeur van de zaak McPro. Na afloop van het contract tussen McPro en het ANP is Novum gebruik gaan maken van de inlogcodes die aan RTV Utrecht en Sky Radio waren verleend (periode [E]). Aldus van de informatie van het ANP profiterend heeft Novum haar eigen positie in haar concurrentie met het ANP willen versterken.

De oprichter/voormalig commercieel directeur en de voormalig hoofdredacteur werden veroordeeld tot een boete van € 2000, waarvan € 1000 voorwaardelijk met een proeftijd van 2 jaar. Ook deze eis is lager dan de geëiste voorwaardelijke taakstraf van 80 uur met een proeftijd van 2 jaar. Hoewel zij niet persoonlijk de ‘hack’ pleegden, gebeurde dit wel onder hun feitelijke leiding en daarom werden ook zij vervolgd.

Een eerder kort geding van ANP tegen Novum werd in juli 2005 door het Gerechtshof Amsterdam afgewezen omdat het bewijs niet duidelijk genoeg was. ANP moest, aldus het Hof, maar een bodemprocedure beginnen. ANP heeft er echter voor gekozen aangifte te doen van computervredebreuk.

Update (17 december 2009): in hoger beroep bevestigd. Veroordeling voor Novum zelf en voor de hoofdredacteur als leidinggevende maar vrijspraak voor directeur vanwege onvoldoende directe betrokkenheid.

Update (15 november 2011): in cassatie veroordeling hoofdredacteur in stand gehouden want motivatie Hof niet onbegrijpelijk.

de verdachte – hoewel daartoe bevoegd en redelijkerwijs gehouden – [heeft] geen maatregelen genomen om te voorkomen dat met de inlogcodes zou worden ingelogd op de nieuwsserver van het ANP, de aanmerkelijke kans heeftaanvaard dat van die inlogcodes gebruik zou worden gemaakt om onbevoegd toegang te verkrijgen tot de server van het ANP.

Arnoud