Tag: Computervredebreuk

About Computervredebreuk

Subscribe Feeds

Eerste aanhouding wegens virtuele diefstal

Geplaatst op in Informatiemaatschappij, Security, 6 reacties

De politie heeft voor het eerst in Nederland iemand opgepakt wegens virtuele diefstal, meldt Planet. Het gaat om de meubi’s (meubels) uit de virtuele wereld voor tieners Habbo Hotel. Spelers lopen als virtueel personage rond, en kunnen hun eigen kamers in dat Habbo Hotel inrichten met speciale credits. Die credits zijn de inkomstenbron van Habbo: die moet je kopen met echt geld.

De verdachten zouden door middel van hacken bij de accounts van de Habbo-gebruikers zijn gekomen en vervolgens meubels naar hun eigen kamers hebben verplaatst. Omdat de Habbo-credits zijn gekocht met echt geld wordt de verdachte behalve hacken ook diefstal ten laste gelegd.

Het lijkt me duidelijk dat het hacken van iemands account, in dit geval het aftroggelen van wachtwoorden, computervredebreuk is. Dat is een strafbaar feit, een misdrijf zelfs. Het intrigerende vond ik de tenlastelegging van diefstal.

Diefstal is het wegnemen van iets “met het oogmerk om het zich wederrechtelijk toe te eigenen” (art. 310 Wetboek van Strafrecht). Er moet dan alleen wel een “iets” zijn om weg te nemen. In een eerdere blogpost over Diefstal van game credits ging ik in op de vraag hoe tastbaar spelobjecten zoals die meubi’s van Habbo zijn. Dat bleek wat twijfelachtig. Maar dat ging over de definitie van “zaak” in het Burgerlijk Wetboek. En hier gaat het om strafrecht. Bij strafrecht zijn de regels anders. Elektriciteit is niet bepaald een tastbare zaak. Toch werd al in 1921 door de Hoge Raad beslist dat diefstal van elektriciteit mogelijk was (het Elektriciteitsarrest, HR 23 mei 1921).

Bovendien: het gaat niet om diefstal van de meubi’s maar om diefstal van het geld waarmee die meubi’s zijn gekocht. Dat is een originele invalshoek. Giraal geld stelen is strafbaar.

De zeer creatieve constructie is dan dat Habbo een bank is, die je saldo op een originele manier laat zien: als meubi’s. Waarom zou giraal geld tenslotte per se een saai getal in je internetbankapplicatie moeten zijn? Je kunt het ook laten zien als een tafel van 5 euro, een stoel van 3 en een plantenbak van 2,50. En (opvoedkundig verantwoord, het is voor kinderen tenslotte) je mag dan zelf uitrekenen dat je saldo 10,50 is.

Arnoud

Social engineering: van vuilnisbak naar Hyves-profiel

Geplaatst op in Security, 1 reacties

Een erg lastige vorm van computercriminaliteit is social engineering: niet een computer hacken maar de persoon er voor. Je voordoen als je slachtoffer, dat helaas zijn wachtwoord is vergeten (“en mijn gebruikersnaam is er-o-o-tee”) en zielig doen tot de helpdesk het wachtwoord verandert. Meer voorbeelden bij Microsoft en Securityfocus.

Daar heb je natuurlijk wel de nodige informatie over je slachtoffer bij nodig. Vroeger moest je dan diens vuilnisbak plunderen in de hoop een brief of bankafschrift te vinden. Tegenwoordig is dat een stuk makkelijker: bekijk iemands Hyves-profiel, blader door zijn Linkedin-contactenlijst of lees zijn weblog.

In Emerce een waarschuwend artikel over de risico’s van zulke Web 2.0-sites. Men citeert XS4All:

Met Web 2.0-toepassingen wordt van mensen verwacht dat ze informatie géven. Dat is wezenlijk anders dan de aard van het web een paar jaar geleden. Toen was internet er vooral om informatie tót je te nemen. Hoe meer je geeft, hoe meer risico je loopt. We vinden het verstandig om internetgebruikers erop te wijzen dat dat hun eigen risico is.

XS4All biedt ook een veiligheidstraining waar deze aspecten aan de orde komen.

Je voordoen als iemand anders kan computervredebreuk zijn. Het probleem is natuurlijk dat dat bijzonder lastig te bewijzen is als iemand jou je wachtwoord weet te ontfutselen. Dat laat geen sporen na die een echte ‘hack’ wel nalaat.

UPDATE: (6 september) ook Corcom heeft er een stukje over.

Arnoud

iPhone nu simlock-vrij; en ja, dat mag

Geplaatst op in Security, 6 reacties

De Amerikaanse tiener George Hotz is er in geslaagd Apple’s iPhone te ontdoen van simlock van Apple’s zakenpartner AT&T, las ik op SYNC.nl. En op de BBC. En bij Tweakers. En Engadget. Ja, ik lees veel.

Wat ik ook las bij Tweakers:

Het is nog onduidelijk in hoeverre het omzeilen van de technische beveiliging van de iPhone juridisch aangepakt kan worden. De Amerikaanse DMCA-wetgeving staat het verwijderen van simlocks in elk geval wel toe, maar heel wat landen hebben inmiddels juridische maatregelen tegen het omzeilen van beveiligingssystemen genomen.

Maar ook in Nederland is het verwijderen van een simlock legaal. Dat is toch echt duidelijk.

Je kunt het kraken van een beveiliging op verschillende manieren juridisch proberen aan te pakken. Ten eerste hebben we artikel 29a Auteurswet, de tegenhanger van de DMCA-regeling waar Tweakers aan refereert. Dat artikel zegt dat je een beveiliging op een stuk software (of ander auteursrechtelijk beschermd werk) niet mag kraken of omzeilen. Maar:

Een simlock en een serviceproviderlock kunnen niet worden aangemerkt als auteursrechtelijk beschermd werk.

Dan is kraken dus legaal. Natuurlijk is het kraken van andermans computersysteem computervredebreuk, maar als je je eigen systeem kraakt, of met toestemming bezig bent, is er niets aan de hand. En een telefoon unlocken gebeurt toch echt met toestemming van de koper van het toestel.

Arnoud

Arrestatie voor illegaal gebruik draadloos netwerk (wifi)

Geplaatst op in Security, nog geen reacties

In Engeland is een man gearresteerd vanwege het feit dat hij zonder toestemming gebruik maakte van een draadloze internetverbinding, meldt Techzine.

De 39-jarige man werd dinsdag gearresteerd door twee politieagenten in West-Londen. Deze werden achterdochtig nadat zij de man buitenshuis zijn laptop zagen gebruiken, in de wijk Prebend Gardens. Tijdens ondervraging van de agenten gaf hij toe de onbeveiligde draadloze internetverbinding van iemand anders te gebruiken. Hij is op borg vrijgelaten terwijl de politie de zaak verder onderzoekt.
Niet de eerste keer trouwens.

Zowel in Nederland als in Engeland is het strafbaar om gebruik te maken van andermans draadloos netwerk wanneer het opzettelijk en wederrechtelijk gebeurt. Ook als daarbij geen beveiliging wordt omzeild of misleid. Wel moet het voor de ‘meesurfer’ kenbaar zijn dat hij op verboden terrein zit, bijvoorbeeld doordat een netwerknaam met daarin ‘verboden toegang’ wordt gebruikt.

Het is natuurlijk voor de politie erg lastig om te zien of iemand illegaal meesurft. Zonder aangifte door de eigenaar van het netwerk zou ik niet verwachten dat de politie optreedt. Maar je weet nooit wat het OM bedenkt natuurlijk als ze klaar zijn met downloaden aanpakken.

UPDATE: ik ben “juristen” volgens NU.nl.

Arnoud

Utah wil porno via draadloze netwerken verbieden

Geplaatst op in Security, 1 reacties

Meeliften op andermans netwerk is strafbaar als computervredebreuk. Sinds 1 september 2006 ook als daarbij geen beveiliging wordt doorbroken. Computercriminelen zijn zo dus makkelijker aan te pakken.

Maar wat moeten we met de omgekeerde situatie: iemand zet zijn netwerk open, en allerlei onfrisse derden plegen misdrijven via dat netwerk? Moet je strafbaar zijn als je geen wachtwoord instelt? Dan houden nuttige diensten als FON snel op natuurlijk.

In de Amerikaanse staat Utah wordt gepleit voor het volledig verantwoordelijk houden van netwerkbeheerders voor wat er via hun draadloos netwerk gebeurt, zo meldt Security.NL:

“Als je voor een draadloos netwerk kiest, en iedereen maar toestaat om het te gebruiken, dan ben je daar verantwoordelijk voor, en moet je maatregelen nemen om te voorkomen dat minderjarigen van je dienst gebruik maken”, aldus Preston.

Het idee is dat netwerkbeheerders niet zomaar ongecontroleerd iedereen toegang mogen verschaffen, maar of een wachtwoord, of een filter moeten installeren op wat er gedaan kan worden met het netwerk. Ik heb het altijd raar gevonden dat de eis van een beveiliging werd afgeschaft in de Wet Computercriminaliteit, maar ja dat moest van Europa heet het dan. Mij lijkt een wachtwoord dan wel het minste.

Arnoud