Het verschil tussen een cybercrimetool hebben en cybercrime plegen

| AE 12645 | Regulering | 1 reactie

Een lezer vroeg me:

Als zelfstandig security onderzoeker en pentester heb ik natuurlijk allerlei tools om sites en diensten te checken. In theorie zou je dat strafbare middelen kunnen noemen, want ik kan er ook zonder opdracht mee gaan werken en dan ergens binnendringen, ik pleeg dan computervredebreuk. Hoe ziet de wet het verschil?
Het bezitten van security-tools is legaal. Het bezit van hacktools niet. Het verschil tussen die twee is niet met een technische term te geven, want het gaat erom of die tools bestemd zijn voor misdrijven én of het jouw bedoeling was om ze zo in te zetten. Dat kun je aan de tool niet zien. Aanbieders van tools kijken wel uit om er “hiermee hack je snel je moeder” erbij te zetten. Dan krijg je eerder “controleer uw organisatie” of, zoals bij ddos-tools, “check of je site ddos-bestendig is”.

Een arrest uit vorig jaar augustus laat mooi zien hoe de rechtspraak de grens trekt tussen die twee. In deze zaak had een jongen een tool gebruikt waarmee je kunt testen of een bestand door virusscanners zou worden herkend als malware. Deze internetdienst, Razorscanner genaamd, controleert dan je upload met alle virusscanners ter wereld – zodat jij weet of je malware daar voorbij zou komen. Zeer geruststellend voor de klant wordt tevens gemeld dat “De maker van Razorscanner garandeert dat de gegevens met betrekking tot de in het programma geüploade bestanden niet aan de makers van anti-virusproducten worden doorgegeven.” (Ik zou het hilarisch vinden als achteraf blijkt dat ze dat wel deden.)

Aanverwant is de dienst Razorcryptor, die malware kan verstoppen door het bijvoorbeeld te koppelen aan andere software. Deze dienst werd samen met Razorscanner aangeboden, op basis van pay-as-you-go met vooraf gekochte credits. De verdachte had credits gekocht, maar stelde alleen met Razorscanner te hebben gewerkt.

Het Hof begint met vaststellen wat er nu precies strafbaar is, en daar kwamen we natuurlijk voor. Artikel 139ab Strafrecht lid 2 bepaalt:

Met dezelfde straf [als computervredebreuk, lid 1] wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid138b of 139c wordt gepleegd: a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft, of (…)
De discussie die we meestal hebben, is of een bepaalde tool ontworpen is voor het plegen van computervredebreuk of de andere genoemde cybercrimedelicten. Een security scanner heeft ook legitieme doelen, denk aan een bedrijfsnetwerk dat je controleert op brakke byod-apparaten of een onderzoek voor je ISO certificering.

Het Hof heeft er geen moeite deze scandienst te zien als hulpmiddel voor het plegen van computervredebreuk. Je kunt nu je malware (waarmee binnendringen vaak gepleegd wordt) beter afstemmen op het omzeilen van de antivirussoftware van organisaties. Dat is dus effectieve hulp, en duidelijk enkel en alleen bestemd voor computervredebreuk. Verzin maar eens een legitieme reden waarom je zou willen dat iets een virusscanner omzeilt.

Maar het artikel kent nóg een bepaling, namelijk dat je dat hulpmiddel voorhanden hebt met het oogmerk dat daarmee computervredebreuk wordt gepleegd. Oftewel, dat je als verdachte ook echt dat misdrijf ging plegen. Enkel dat je het hulpmiddel hebt, is dus niet genoeg. Misschien had je het per abuis, misschien was je het als journalist of researcher aan het uitpluizen, of misschien was je gewoon nieuwsgierig.

Nee, dat laatste vind ik ook geen héle sterke. Maar tot mijn verbazing zag het Hof hier dat -even kort gezegd- wél aanwezig.

De verdachte heeft ter terechtzitting in hoger beroep verklaard dat hij tijdens zijn middelbareschoolperiode geïnteresseerd is geraakt in de werking van malware en de detectiemogelijkheden van anti-malwareprogramma’s. Onder andere met behulp van MSFencode verstopte de verdachte malware in bestanden en uploadde deze bestanden naar onder meer Razorscanner. Ook testte hij bestanden die hij vond op internet. …
Een concrete aanwijzing was nog dat hij dezelfde malware meerdere malen uploadde, maar nooit malware had gewijzigd nadat de scanner had gezegd dat deze wel gedetecteerd zou worden. Daarom
kan aan de inhoud van het strafdossier en de hiervoor weergegeven informatie geen bewijs worden ontleend dat de verdachte bestanden met daarin malware naar Razorscanner heeft geüpload louter met de bedoeling te vermijden dat de omstandigheid dat de daarin aanwezige malware door geen enkele of slechts een beperkt aantal anti-malwareprogramma’s detecteerbaar was, ter kennis zou worden gebracht van de producenten van dergelijke scanners.
Er is sprake van een geloofwaardige weerlegging die de verdenking ontkracht, aldus het Hof. Dit is niet alleen maar een “nee ik was gehackt” of “ik wilde alleen maar controleren of internet tegen een ddos kon”, hier is een onderbouwing gegeven die past bij de persoon en de feiten die zijn gevonden. (Wie nu denkt, ik verzin op dat moment ook wel een leuk verhaal dat past bij de feiten – de politie heeft meer feiten dan jij denkt, deelt niet alles met je en hangt je, terecht, op aan je leugens.) De verdachte gaat dus vrijuit.

Arnoud

Aon neemt cybercrime voortaan standaard in inboedelverzekering op

| AE 12184 | Innovatie | 26 reacties

Verzekeraar Aon neemt vanaf 1 september cybercrime standaard op in de inboedelverzekering. Dat las ik bij Tweakers onlangs. In de polis staat te lezen dat voornamelijk onkosten worden betaald voor situaties zoals phishing, ransomware of identiteitsfraude. De daadwerkelijke schade wordt zelden vergoed, wat niet zo gek is want juridisch gezien heb je als consument geen schade bij dataverlies (data is niets) of benodigde herinstallatie (je tijd kost geen geld).

De polisvoorwaarden zijn nog best leesbaar en to the point, wat natuurlijk mede komt omdat het wettelijk verplicht is om in eenvoudige taal te communiceren. En oh wat zou het fijn zijn als privacyverklaringen eens net zo goed leesbaar zouden zijn.

Even lezen geeft dan toch wat aardige dingen. Het eerste dat mij opviel, is dat je de app van de bank moet gebruiken. Als je wordt beroofd via internetbankieren via de site, dan valt dat buiten de dekking. Dat laat wel zien hoe men de risico’s inschat bij bankieren via browsers.

Oh, jailbreak je je systeem dan ben je niet gedekt. Die term is breder gedefinieerd dan alleen iOS overigens, hoewel het mij raar aandoet om deze toch Apple-specifieke term te gebruiken. Het gaat om iedere vorm van het uitschakelen of omzeilen van de beveiliging van de fabrikant tegen het zomaar installeren van apps. Daar zit natuurlijk achter dat je zo malafide apps binnen kunt krijgen, zodat je het risico op schadebrengende gebeurtenissen vergroot.

Wat me in negatieve zin opvalt, is dat de voorwaarden niet eisen dat je je OS en veelgebruikte software bijwerkt. Zou dat zijn omdat de meeste moderne OS’en dat toch al doen automatisch (Windows 10 zelfs zonder optie dat te weigeren)? Anders voelt het als een merkwaardige omissie.

Ik lees in de comments nog diverse mensen die zelf prima weten hoe ze de beveiliging van hun computer regelen, maar daarbij desondanks de regels van de verzekeraar zouden overtreden. Bijvoorbeeld door hun telefoon te rooten maar wél keurig de malware buiten de deur houden. Moeten die dan wel of niet onder de dekking vallen? Altijd een lastige.

Ik ben uiteindelijk toch geneigd te zeggen van wel, máár met een hoge bewijslast dat je systeem echt veilig was ondanks al je eigen knutselwerk. Want de verzekeraar kan het verschil niet zien tussen een hacker (een echte) die beter dan Linus weet hoe zijn kernel dicht te timmeren, en een gedachteloze amateur die zomaar overtypt wat mensen op vage forums vertellen dat je moet doen om gratis Bejeweld te spelen. En gezien de eerste categorie veel zeldzamer is dan de tweede, vind ik dat je als echte hacker moet bewijzen dat je dat bent om alsnog aanspraak op de verzekering te maken.

Arnoud

Ben je als werknemer aansprakelijk bij CEO fraude?

| AE 9236 | Ondernemingsvrijheid | 5 reacties

Een lezer vroeg me:

Een relatief nieuw concept in de cybercrime is CEO fraud. Hierbij doen criminelen of zij een hooggeplaatste manager of bestuurder (bijvoorbeeld de CEO, CFO, Group Executive of directeur van je bedrijf) zijn. Ze geven een ondergeschikte dan opdracht om geld over te maken. Stel dat je daarin meegaat, ben je dan persoonlijk aansprakelijk?

CEO fraud is voor mij een speciale vorm van social engineering. De truc is feitelijk niet meer dan een vervalste mail, een neptelefoontje of iets dergelijks die afkomstig lijkt van de CEO. Je krijgt dan een werkinstructie: maak even een zak geld over naar dit en dit rekeningnummer.

De truc is natuurlijk dat veel mensen blij verrast zijn dat de baas hén uitzoekt om zoiets belangrijks te doen. Want natuurlijk gaat het dan om een geheim project, ben jij uitgekozen om dit te gaan leiden als je dit even snel doet, en ga zo maar door. Een effectieve vorm van social engineering. Of, zo je wilt, acquisitiefraude.

Normaal heeft een bedrijf procedures voor betalingen, zoals een goedkeuring door de afdeling Finance of een handtekening van een aantal verantwoordelijken. Maar de truc is hier natuurlijk dat dit vanwege de spoed en het belang even niet kan, en dat je dan denkt, dan doe ik het even, ik zal eens laten zien hoe daadkrachtig ik ben.

Maar goed, dan komt uit dat dit helemaal niet de directeur was. Ben je dan aansprakelijk?

Waarschijnlijk niet. Een werknemer is alleen aansprakelijk naar zijn werkgever toe als sprake is van opzet of bewuste roekeloosheid, en dat is een héle hoge lat. Gewone fouten vallen er zeer zeker niet onder. De schade van zulke fouten moet de werkgever gewoon zelf dragen.

Omdat de hele truc hier gericht is op een overtuigende indruk wekken dat hier de CEO spreekt, denk ik niet dat je snel kunt spreken van bewuste roekeloosheid. Dan moet het wel een héle neppe mail zijn geweest, waarvan iedereen meteen zou zien dat die niet echt van de CEO is.

Dat er een verbod is ingesteld op betalen buiten de procedures om, maakt daarbij niet uit. Van verboden mag immers worden afgeweken, zeker als de CEO dat zegt. En als we dus concluderen dat de werknemer redelijkerwijs mocht denken dat dit de CEO was, dan heeft hij terecht afgeweken van het verbod.

Arnoud

Vuistregels voor vorderen van persoonsgegevens (gastpost)

| AE 1008 | Privacy, Security | 1 reactie

Vandaag een gastbijdrage van strafrechtadvocaat mr. A.H. (Bert) Staring uit Arnhem Onlangs is het rapport High-tech crime: soorten criminaliteit en hun daders van het Ministerie van Justitie verschenen. High-tech crime is een overkoepelend containerbegrip dat verwijst naar een veelheid aan criminele activiteiten waarbij gebruik wordt gemaakt van ICT. Voorbeelden hiervan zijn kinderporno (cybercrime) en hackers… Lees verder

Flinke toename cybercrime in Nederland (via Emerce)

| AE 206 | Security | Er zijn nog geen reacties

De online criminaliteit neemt flink toe in Nederland, meldt o.a. Emerce. Dit blijkt uit het Trendrapport Cybercrime 2007, uitgegeven door ICT-beveiligingsinstantie Govcert.NL (van o.a. de Waarschuwingsdienst.nl) Het grootste probleem is de toename van botnets. Botnets vormen de infrastructuur voor cybercrime, zo meldt het rapport. Daarmee kunnen ongestraft virussen, spam mail en dergelijke worden verzonden. Ook… Lees verder

Europese Commissie komt met nieuwe aanpak cybercrime

| AE 161 | Security | Er zijn nog geen reacties

Europese Commissie maakt nieuwe aanpak cybercrime bekend, meldt Arnout Veenman op ISPam.nl. Hij citeert Vice-President Frattini, EU Commissaris verantwoordelijk voor Justitie, Vrijheid en Veiligheid: De Europese Commissie neemt vandaag een belangrijke stap naar het formuleren van een generiek Europees beleid in het gevecht tegen cybercrime. Dit beleid zal er uiteindelijk zorgen voor betere operationele samenwerking… Lees verder