Mag ik onder de Sleepwet onthullen hoe ik door de AIVD gehackt werd?

| AE 10463 | Regulering | 21 reacties

Een lezer vroeg me:

Ietwat hypothetisch, maar stel de AIVD, politie of een ander overheidsorgaan hackt mij (hallo aluhoedje!) en ik ontdek dat, verzamel de technische details (manier hoe ze zijn binnen gekomen) en deel dit op een blog. Dan valt te argumenteren dat ik de werkwijze van de overheid onthul en daarmee zelfs staatsgeheime informatie publiceer. Ben ik dan strafbaar?

Nee, je bent niet strafbaar als je publiceert hoe je door een overheidsorgaan bent gehackt, zelfs niet als die daarbij een staatsgeheime methode gebruiken.

Voor zover jij als burger weet, is een computerhack gewoon het misdrijf computervredebreuk gepleegd door een jou onbekende partij. Dat de overheid zo’n partij kan zijn, is theoretisch mogelijk maar natuurlijk praktisch gezien niet door jou te verifiëren. Achteraf kan het misschien boven water komen, maar dat betekent alleen dat de pleger van dat misdrijf vrijuit gaat omdat het hem wettelijk toegestaan is dat feit te plegen.

Bij de politie werkt het ongeveer net zo. Daar is dan een bevel van de rechter-commissaris gegeven, wat het legaal maakt om dit te doen. En in zo’n geval kan de politie er ook voor zorgen dat jij niet in kan grijpen, denk aan de situatie dat men je computer wil uitlezen: dan komt er een technisch rechercheur die de computer doorzoekt en een agent met spierballen om te zorgen dat jij niet in de weg gaat staan.

De Wiv waar vandaag het raadgevend referendum over is, maakt dat verder niet anders. Deze wet geeft bevoegdheden waaronder de mogelijkheid in te breken in een computersysteem, maar ook hier geldt: vanuit jouw perspectief is het gewoon een hack, en als jij wilt publiceren over een hack die jou overkwam dan is dat jouw goed recht. Pas als je wéét dat je een staatsgeheim zou onthullen, kan dat anders komen te liggen. Maar grofweg moet de AIVD dan langs zijn geweest en je dat hebben gezegd. Ik zie dat niet gebeuren.

Arnoud

Politie haalt netwerk van honderden illegale modems uit de lucht

| AE 9847 | Regulering | 31 reacties

Honderden Nederlanders hebben met een illegale modem gratis internet en televisie gehad, las ik bij Nu.nl. De maker van de gekloonde modems is gearresteerd voor computervredebreuk en oplichting, en de kopers worden mogelijk vervolgd voor heling, las ik dan. Maar dan ben ik dus een tikje in de war, want volgens mij gaat het om iets andere misdrijven.

Wie internet of televisie wil afnemen, heeft daarvoor een modem nodig. Die ontvangt en verwerkt (demoduleert) de signalen die je huis binnenkomen, waarna de rest van je netwerk daar mee aan de slag kan. Ieder modem heeft een unieke code, die wordt herkend door het netwerk en op basis daarvan wordt bepaald wat je zoal mag zenden en ontvangen. Door die code te klonen – herprogrammeren in een ander modem – krijg je dus toegang tot dienstverlening waar je eigenlijk niet bij mag.

Het is strafbaar om met een technische truc een telecommunicatiedienst af te nemen (art. 326c Sr):

Hij die, met het oogmerk daarvoor niet volledig te betalen, door een technische ingreep of met behulp van valse signalen, gebruik maakt van een dienst die via telecommunicatie aan het publiek wordt aangeboden, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Ook de verkoop en het “uit winstbejag” in voorraad hebben van deze kastjes is strafbaar, zo staat in lid 2 van dit artikel: maximaal twee jaar cel of geldboete van de vierde categorie.

Ik denk dat ik dus even iets mis als ik dan heling, computervredebreuk en oplichting zie staan. Zijn de modems fysiek als objecten gestolen van Ziggo wellicht? Dat zou kunnen, want een van de verdachten werkt bij Ziggo. Maar als het bijvoorbeeld generieke modems zijn die het Ziggo-netwerk aankunnen (wat mogelijk en toegestaan is), of tweedehands ‘echte’ Ziggo-modems, dan zie ik niet welk strafbaar feit je pleegt door die modem in gebruik te nemen. Het klonen is een “technische ingreep” in de zin van bovenstaand wetsartikel.

De computervredebreuk zou dan zijn dat je binnendringt in het netwerk van Ziggo, je zendt en ontvangt immers signalen via dat netwerk terwijl je daar officieel niet mag zijn want je hebt immers geen abonnement. Maar mijn bezwaar daartegen is dat het hierboven aangehaalde artikel specifiek geschreven is voor dit soort strafbare feiten, en je hebt nu eenmaal de algemene regel dat je in principe altijd het specifiekste strafwetsartikel in stelling brengt.

Praktisch is er ook nog het punt dat mensen bij computervredebreuk nog kunnen zeggen dat ze niet wilden binnendringen, en dat artikel vereist nu eenmaal opzet. Terwijl bij het telecom-artikel hierboven je ook zonder opzet de wet kunt overtreden, zolang je maar wist of moest weten dat het eigenlijk een betaaldienst was.

Arnoud

Mag je de muziek hacken bij je ex-werkgever?

| AE 9730 | Security | 6 reacties

Radio-dj Giel Beelen heeft het begin van zijn nieuwe ochtendshow aangegrepen voor een opvallende promotiestunt, las ik bij de NOS. Hij ‘hackte’ een plaat die werd gedraaid bij zijn oude werkgever 3FM om reclame te maken voor zijn nieuwe programma. “Ik denk dat we effe van iemand het wachtwoord moeten wijzigen”, concludeert de NOS-opvolger. Dus, mag je de muziek hacken bij je ex-werkgever?

De suggestie dat Beelen op afstand ingebroken zou hebben bij zijn ex-werkgever lijkt me wat vergezocht. Logischer lijkt me dat hij gewoon het muziekbestand van een bekend nummer aangepast had om daar na enige seconden intro een eigen boodschap (“Hee, hallo, Giel hier”, en een promo voor zijn nieuwe programma bij de concurrent) te laten horen. Dat aangepaste bestand zet je dan over het origineel heen, en dan is het wachten tot je opvolger het aanklikt. Meer een logisch bommetje dan een computerinbraak.

Het zou natuurlijk strafbaar zijn om in te loggen en op afstand bestanden aan te passen. Je bent immers na einde dienstverband niet meer bevoegd om in te loggen, laat staan om gegevens te wijzigen. Dat je account nog werkt, doet er daarbij niet meer toe.

Als DJ-werknemer ben je natuurlijk wél bevoegd om met die bestanden te werken. Draaien van muziek (en het grappig bewerken daarvan) behoort tot je werk immers. Maar hier wordt dan toch wel een grens overschreden: de aanpassing straalt negatief af op de werkgever, die wordt nu voor gek gezet omdat het lijkt of ze zelf een boodschap spelen om naar de concurrent te gaan.

Strafbaar is dat niet, wel overtreedt het de algemene norm van goed werknemerschap, zeg maar je zorgplicht als personeel. De NOS kan als ex-werkgever hem hierop aanspreken, in theorie zelfs een schadeclaim indienen. Al zal het onderbouwen van de schade nog knap ingewikkeld zijn.

Arnoud

Mag je mensen hacken als je van de televisie bent?

| AE 9367 | Regulering | 15 reacties

Voor het nieuwe programma What the #Hack?! gaat presentator en rapper Yes-R internetgebruikers confronteren met hun onvoorzichtige sociale mediagedrag. Dat meldde RTL gisteren. Het programma wil aantonen hoe onveilig mensen online zijn, onder meer door met social engineering en keyloggers (naar ik aanneem via Trojans verspreid) te gebruiken. Wat de vraag oproept: mag dat dan,… Lees verder

Mag je gekraakte wachtwoorden of hashes in je bezit hebben?

| AE 9278 | Regulering, Security | 16 reacties

Een lezer vroeg me: Er zijn veel dumps van gehackte wachtwoorddatabases (b.v. LinkedIn) beschikbaar op internet. Is het strafbaar om (1) deze in je bezit te hebben (2) hashes in zo’n dump te kraken en (3) gekraakte wachtwoorden publiek te maken in b.v. presentaties of publicaties? Het is op dit moment algemeen niet strafbaar om… Lees verder

Wanneer is een responsible disclosure beleid rechtsgeldig?

| AE 9240 | Security | 28 reacties

Een lezer vroeg me: Sommige bedrijven hebben een responsible disclosure beleid en maken dit bekend op hun website. Ik zie alleen daarin steeds vaker iets over geheimhoudingsplicht voorkomen: je mag kwetsbaarheden wel zoeken en melden, maar zonder toestemming (of soms “zonder overleg”) niet publiceren. Maar het hele idee van responsible disclosure is toch juist dat… Lees verder

Een Spotify-account overnemen versus de Wet computercriminaliteit

| AE 8064 | Regulering | 15 reacties

Weer een interessante Tweakersdiscussie, ditmaal over een jongen die een Spotify premium account generator gebruikt had dat van een politie-stagiair bleek te zijn. Die wist de jongen te traceren en dreigde met aangifte wegens creditcardfraude. Hoe strafbaar is dat dan, een Spotify-account overnemen? De agent-in-opleiding noemt art. 232 Strafrecht als basis. Dat artikel stelt strafbaar… Lees verder