Mag je iemand er publiekelijk op wijzen dat hij heel dom privéinformatie publiceert?

| AE 11169 | Privacy, Security, Uitingsvrijheid | 8 reacties

“Zet nooit, maar dan ook helemaal nooit, je boardingpass op Twitter @peterverhaar. En roep al helemaal niet mensen op om het te doen.” Aldus techjournalist Daniel Verlaan op Twitter vorige week. Aanleiding was een actie van bankier Verhaar tegen de ‘klimaatterroristen’ waarbij je door een Tweet met je boardingpass laat zien dat je tegen klimaatverandering bent. Of zoiets. Bepaald handig is die oproep niet: zoals journalist Verlaan liet zien, kun je met de informatie op een boardingpass erg veel doen: “Ik weet nu naast jouw privégegevens ook de namen, e-mailadressen en telefoonnummers van je vrouw en dochter.” Maar mag je dat wel achterhalen, met die informatie?

Natuurlijk is het in principe computervredebreuk om in te loggen met publiek aangetroffen accountgegevens, zoals een boardingkaartnummer en een achternaam. Je dringt dan binnen in een systeem onder de hoedanigheid van de luchtpassagier, en je weet dat je daar niet mag zijn in die hoedanigheid. Dat de gegevens publiek te vinden waren, maakt daarbij niet uit. (Als je ooit denkt “de informatie is publiek dus ik mag X”, dan heb je -als vuistregel- juridisch geen gelijk.)

Punt is natuurlijk dat Verlaan werkt als journalist, en daarbij technologie en met name security als aandachtspunt voor zichzelf geclaimd heeft. Hij bouwde onder meer de site Laat je niet hack maken, die mensen in gewone taal uitlegt wat wel en niet verstandig is bij online security. En als zo’n journalist ziet dat iemand met een profiel als Peter Verhaar publiekelijk oproept om zoiets doms te doen, dan snap ik meteen dat hij dat publiceert. Zoals een twitteraar het vergeleek: “ik ben tegen de bankmaffia, u ook, post dan uw creditcard voor en achter”.

Een journalist mág zoiets ook, in het kader van het aan de kaak stellen van een misstand. Ook als daarbij een strafbaar feit nodig was. Als journalist mag je soms net een klein stapje verder gaan, als dat in het belang is van je publicatie en je geen andere manier hebt om je punt te maken.

De vraag is dus, had Verlaan die noodzaak om in te loggen en die gegevens van vrouw en kind te noteren en (geanonimiseerd) te publiceren? Ik zou zeggen van wel: Verhaar begaat zo’n ernstige en onverantwoorde fout dat daar onmiddellijk een signaal tegen gegeven moet komen. En iemand die zo oliedom is, zal van enkel “dat is niet handig!!1!” van een nerdjournalist (sorry Daniel) niet onder de indruk zijn. Die persoonlijke informatie is dan nodig om direct het signaal te geven, doe dit niet, houd ermee op. Dus ja, dit mocht.

Arnoud

Ambtenaar Lopik krijgt 240 uur taakstraf voor hacken rioolinstallatie

| AE 10852 | Regulering | 8 reacties

Een voormalig ambtenaar van de gemeente Lopik heeft een taakstraf van 240 uur gekregen voor het hacken van de gemeentelijke rioolinstallatie, las ik bij Nu.nl. Eind 2017 had hij na een ontslag diverse keren ingelogd op de server van de rioolwatervoorziening van de gemeente, en daar bestanden gewist maar ook bedieningssystemen van de riolering geprobeerd te saboteren. Dat is niet zomaar een beetje boos afreageren op een ex-werkgever, dat is sabotage van de publieke werken. Maar hoe bewijs je dat hij het is geweest?

Uit het vonnis is lastig te halen wat nu precies de beweegredenen van de man waren om dit te doen. Het speelde allemaal maanden na zijn uitdiensttreding. Vanaf zijn eigen IP-adres en dat van zijn ouders werd eind 2017 ingelogd op systemen van de gemeente waarna bestanden werden vernietigd. En in 2018 ging het nog een stap verder, toen werden de pompen van de riolering op afstand uitgeschakeld.

Volgens een monteur die als getuige optrad:

Omdat de pompen op afstand waren aangezet en de aanvoer dicht was gezet kon de vacuümleiding teveel vacuüm trekken waardoor de pompen oververhit raken en stuk gaan of brand vatten. Een eventuele mogelijkheid is dat de leiding als gevolg daarvan implodeert. Gevolg daarvan is weer dat de pompen vervangen moeten worden. Bij brand zouden de aansturing en hardware vervangen moeten worden en bij het imploderen van leidingen moeten deze opnieuw worden aangelegd. Tot die tijd moeten alle putten handmatig worden langsgelopen met een zuigwagen om de leidingen van de bewoners te kunnen afvoeren. De leidingen lopen vol en bewoners en bedrijven kunnen hiervan overlast ondervinden.

Dit kan dus behoorlijk zwaar uitpakken, vandaar dat het OM “vernieling met gemeen gevaar” ten laste had gelegd. Het vernielen of veroorzaken van storingen in de infrastructuur is apart strafbaar gesteld, en wanneer daar gevaar voor openbare dienstverlening (of nog erger, voor mensen) in ontstaat kan de gevangenisstraf in theorie tot 15 jaar oplopen. In dit geval had het gevaar zich op zich nog niet verwezenlijkt, de gemeente was er snel bij. Maar voor de strafbaarheid maakt dat niet uit.

Discussie ontstond toen nog over de vraag of wel bewezen was dat de verdachte dit had gedaan. De handelingen vereisten specifieke kennis en kunde, die maar weinig mensen bezitten. Daar komt bij dat de gebruikte IP-adressen aan de man te herleiden waren (hemzelf en zijn ouders), waarbij ook nog eens een laptop werd gebruikt die overeen kwam met het type laptop dat de gemeente kwijt was na het ontslag van de man. Verbindingen vanaf deze laptop werden gemaakt in het tijdsbestek dat de inbraak en sabotage plaatsvonden. Deze omstandigheden bij elkaar maken dat voor de rechtbank vaststaat dat de man de dader is.

Het was echter de eerste wetsovertreding van de man, en een gevangenisstraf zou hem zwaar duperen omdat zijn gezin met jonge kinderen dan in de problemen komt. Daarom legt de rechtbank een werkstraf van 240 uur op.

Arnoud

Mag ik onder de Sleepwet onthullen hoe ik door de AIVD gehackt werd?

| AE 10463 | Regulering | 21 reacties

Een lezer vroeg me:

Ietwat hypothetisch, maar stel de AIVD, politie of een ander overheidsorgaan hackt mij (hallo aluhoedje!) en ik ontdek dat, verzamel de technische details (manier hoe ze zijn binnen gekomen) en deel dit op een blog. Dan valt te argumenteren dat ik de werkwijze van de overheid onthul en daarmee zelfs staatsgeheime informatie publiceer. Ben ik dan strafbaar?

Nee, je bent niet strafbaar als je publiceert hoe je door een overheidsorgaan bent gehackt, zelfs niet als die daarbij een staatsgeheime methode gebruiken.

Voor zover jij als burger weet, is een computerhack gewoon het misdrijf computervredebreuk gepleegd door een jou onbekende partij. Dat de overheid zo’n partij kan zijn, is theoretisch mogelijk maar natuurlijk praktisch gezien niet door jou te verifiëren. Achteraf kan het misschien boven water komen, maar dat betekent alleen dat de pleger van dat misdrijf vrijuit gaat omdat het hem wettelijk toegestaan is dat feit te plegen.

Bij de politie werkt het ongeveer net zo. Daar is dan een bevel van de rechter-commissaris gegeven, wat het legaal maakt om dit te doen. En in zo’n geval kan de politie er ook voor zorgen dat jij niet in kan grijpen, denk aan de situatie dat men je computer wil uitlezen: dan komt er een technisch rechercheur die de computer doorzoekt en een agent met spierballen om te zorgen dat jij niet in de weg gaat staan.

De Wiv waar vandaag het raadgevend referendum over is, maakt dat verder niet anders. Deze wet geeft bevoegdheden waaronder de mogelijkheid in te breken in een computersysteem, maar ook hier geldt: vanuit jouw perspectief is het gewoon een hack, en als jij wilt publiceren over een hack die jou overkwam dan is dat jouw goed recht. Pas als je wéét dat je een staatsgeheim zou onthullen, kan dat anders komen te liggen. Maar grofweg moet de AIVD dan langs zijn geweest en je dat hebben gezegd. Ik zie dat niet gebeuren.

Arnoud

Politie haalt netwerk van honderden illegale modems uit de lucht

| AE 9847 | Regulering | 31 reacties

Honderden Nederlanders hebben met een illegale modem gratis internet en televisie gehad, las ik bij Nu.nl. De maker van de gekloonde modems is gearresteerd voor computervredebreuk en oplichting, en de kopers worden mogelijk vervolgd voor heling, las ik dan. Maar dan ben ik dus een tikje in de war, want volgens mij gaat het om… Lees verder

Mag je de muziek hacken bij je ex-werkgever?

| AE 9730 | Security | 6 reacties

Radio-dj Giel Beelen heeft het begin van zijn nieuwe ochtendshow aangegrepen voor een opvallende promotiestunt, las ik bij de NOS. Hij ‘hackte’ een plaat die werd gedraaid bij zijn oude werkgever 3FM om reclame te maken voor zijn nieuwe programma. “Ik denk dat we effe van iemand het wachtwoord moeten wijzigen”, concludeert de NOS-opvolger. Dus,… Lees verder

Mag je mensen hacken als je van de televisie bent?

| AE 9367 | Regulering | 15 reacties

Voor het nieuwe programma What the #Hack?! gaat presentator en rapper Yes-R internetgebruikers confronteren met hun onvoorzichtige sociale mediagedrag. Dat meldde RTL gisteren. Het programma wil aantonen hoe onveilig mensen online zijn, onder meer door met social engineering en keyloggers (naar ik aanneem via Trojans verspreid) te gebruiken. Wat de vraag oproept: mag dat dan,… Lees verder

Mag je gekraakte wachtwoorden of hashes in je bezit hebben?

| AE 9278 | Regulering, Security | 16 reacties

Een lezer vroeg me: Er zijn veel dumps van gehackte wachtwoorddatabases (b.v. LinkedIn) beschikbaar op internet. Is het strafbaar om (1) deze in je bezit te hebben (2) hashes in zo’n dump te kraken en (3) gekraakte wachtwoorden publiek te maken in b.v. presentaties of publicaties? Het is op dit moment algemeen niet strafbaar om… Lees verder

Wanneer is een responsible disclosure beleid rechtsgeldig?

| AE 9240 | Security | 28 reacties

Een lezer vroeg me: Sommige bedrijven hebben een responsible disclosure beleid en maken dit bekend op hun website. Ik zie alleen daarin steeds vaker iets over geheimhoudingsplicht voorkomen: je mag kwetsbaarheden wel zoeken en melden, maar zonder toestemming (of soms “zonder overleg”) niet publiceren. Maar het hele idee van responsible disclosure is toch juist dat… Lees verder