Politie haalt netwerk van honderden illegale modems uit de lucht

| AE 9847 | Strafrecht | 30 reacties

Honderden Nederlanders hebben met een illegale modem gratis internet en televisie gehad, las ik bij Nu.nl. De maker van de gekloonde modems is gearresteerd voor computervredebreuk en oplichting, en de kopers worden mogelijk vervolgd voor heling, las ik dan. Maar dan ben ik dus een tikje in de war, want volgens mij gaat het om iets andere misdrijven.

Wie internet of televisie wil afnemen, heeft daarvoor een modem nodig. Die ontvangt en verwerkt (demoduleert) de signalen die je huis binnenkomen, waarna de rest van je netwerk daar mee aan de slag kan. Ieder modem heeft een unieke code, die wordt herkend door het netwerk en op basis daarvan wordt bepaald wat je zoal mag zenden en ontvangen. Door die code te klonen – herprogrammeren in een ander modem – krijg je dus toegang tot dienstverlening waar je eigenlijk niet bij mag.

Het is strafbaar om met een technische truc een telecommunicatiedienst af te nemen (art. 326c Sr):

Hij die, met het oogmerk daarvoor niet volledig te betalen, door een technische ingreep of met behulp van valse signalen, gebruik maakt van een dienst die via telecommunicatie aan het publiek wordt aangeboden, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Ook de verkoop en het “uit winstbejag” in voorraad hebben van deze kastjes is strafbaar, zo staat in lid 2 van dit artikel: maximaal twee jaar cel of geldboete van de vierde categorie.

Ik denk dat ik dus even iets mis als ik dan heling, computervredebreuk en oplichting zie staan. Zijn de modems fysiek als objecten gestolen van Ziggo wellicht? Dat zou kunnen, want een van de verdachten werkt bij Ziggo. Maar als het bijvoorbeeld generieke modems zijn die het Ziggo-netwerk aankunnen (wat mogelijk en toegestaan is), of tweedehands ‘echte’ Ziggo-modems, dan zie ik niet welk strafbaar feit je pleegt door die modem in gebruik te nemen. Het klonen is een “technische ingreep” in de zin van bovenstaand wetsartikel.

De computervredebreuk zou dan zijn dat je binnendringt in het netwerk van Ziggo, je zendt en ontvangt immers signalen via dat netwerk terwijl je daar officieel niet mag zijn want je hebt immers geen abonnement. Maar mijn bezwaar daartegen is dat het hierboven aangehaalde artikel specifiek geschreven is voor dit soort strafbare feiten, en je hebt nu eenmaal de algemene regel dat je in principe altijd het specifiekste strafwetsartikel in stelling brengt.

Praktisch is er ook nog het punt dat mensen bij computervredebreuk nog kunnen zeggen dat ze niet wilden binnendringen, en dat artikel vereist nu eenmaal opzet. Terwijl bij het telecom-artikel hierboven je ook zonder opzet de wet kunt overtreden, zolang je maar wist of moest weten dat het eigenlijk een betaaldienst was.

Arnoud

Mag je de muziek hacken bij je ex-werkgever?

| AE 9730 | Beveiliging | 6 reacties

Radio-dj Giel Beelen heeft het begin van zijn nieuwe ochtendshow aangegrepen voor een opvallende promotiestunt, las ik bij de NOS. Hij ‘hackte’ een plaat die werd gedraaid bij zijn oude werkgever 3FM om reclame te maken voor zijn nieuwe programma. “Ik denk dat we effe van iemand het wachtwoord moeten wijzigen”, concludeert de NOS-opvolger. Dus, mag je de muziek hacken bij je ex-werkgever?

De suggestie dat Beelen op afstand ingebroken zou hebben bij zijn ex-werkgever lijkt me wat vergezocht. Logischer lijkt me dat hij gewoon het muziekbestand van een bekend nummer aangepast had om daar na enige seconden intro een eigen boodschap (“Hee, hallo, Giel hier”, en een promo voor zijn nieuwe programma bij de concurrent) te laten horen. Dat aangepaste bestand zet je dan over het origineel heen, en dan is het wachten tot je opvolger het aanklikt. Meer een logisch bommetje dan een computerinbraak.

Het zou natuurlijk strafbaar zijn om in te loggen en op afstand bestanden aan te passen. Je bent immers na einde dienstverband niet meer bevoegd om in te loggen, laat staan om gegevens te wijzigen. Dat je account nog werkt, doet er daarbij niet meer toe.

Als DJ-werknemer ben je natuurlijk wél bevoegd om met die bestanden te werken. Draaien van muziek (en het grappig bewerken daarvan) behoort tot je werk immers. Maar hier wordt dan toch wel een grens overschreden: de aanpassing straalt negatief af op de werkgever, die wordt nu voor gek gezet omdat het lijkt of ze zelf een boodschap spelen om naar de concurrent te gaan.

Strafbaar is dat niet, wel overtreedt het de algemene norm van goed werknemerschap, zeg maar je zorgplicht als personeel. De NOS kan als ex-werkgever hem hierop aanspreken, in theorie zelfs een schadeclaim indienen. Al zal het onderbouwen van de schade nog knap ingewikkeld zijn.

Arnoud

Mag je je verzetten tegen de Aftap- en Hackwet?

| AE 9569 | Strafrecht | 9 reacties

De Eerste Kamer nam gisteravond een wet aan waarmee de geheime diensten het internet op grote schaal kunnen aftappen, en de verzamelde mailtjes en appjes drie jaar mogen bewaren. Dat las ik bij RTL Nieuws. Maar de wet gaat niet alleen over aftappen: de nieuwe wet maakt het ook mogelijk dat de AIVD kennissen van verdachten mag hacken. Wat diverse lezers de vraag deed opperen: wat mag je daartegen doen, als je de AIVD in je firewall ziet?

Het idee achter dat stukje van de Hackwet is dat de meeste criminelen (althans, verdachten) wel enigszins op de hoogte zijn van elementaire ICT-beveiliging. Kennissen zijn dat waarschijnlijk minder, dus dat biedt dan een interessant secundair kanaal van informatie.

Dat de AIVD iets mag, wil natuurlijk niet zeggen dat je daar automatisch alle gelegenheid voor moet bieden. De wet eist niet dat jouw netwerk aftapbaar of anderszins toegankelijk is voor overheidsdiensten (behalve als je aanbieder van een openbaar telecomnetwerk bent, maar dat terzijde). Als je dus je ICT zo stevig dichttimmert dat de gleufhoeden zuchtend elders heengaan, dan is dat helemaal prima.

Sowieso is het natuurlijk heel verstandig om anno 2017 je netwerk en ICT-middelen goed te beveiligen; malware, spionage vanuit andere landen en gewone criminelen liggen natuurlijk óók op de loer. Dus voorzie alles van encryptie, werk je software bij, installeer een goede firewall en uitgebreide logging en zorg voor moeilijk voor derden toegankelijke backups.

Het opzetten van honeypots waar de aanvaller lang mee bezig is, is al een iets actievere tegenmaatregel. Het idee is dan dat je hem afleidt met een interessante maar neppe bron, bijvoorbeeld een groot bestand dat je iets van “ISIS full membership addresses Netherlands.xlsx” noemt en waar men dan jarenlang decryptie op loslaat voordat men ontdekt dat het gewoon een nepbestand is. Daar is weinig mis mee, dat is hooguit verspilling van iemands tijd.

Lastiger wordt het bij de actievere vormen van verdediging, zoals terughacken, -ddossen en anderszins -slaan van de aanvaller. Een voorbeeld is het neerzetten van dergelijke lokbestanden maar dan voorzien van malware, waarmee je hoopt dat de aanvaller dan wordt geïnfecteerd. Het digitale equivalent van een kluis waarin een kruisboog op scherp staat, met touwtje verbonden aan de deur. Auw.

Dergelijke handelingen zijn natuurlijk strafbaar; verspreiding van malware maar ook het uitvoeren van een DDOS aanval of inbreken in iemands systeem is niet toegestaan onder het Wetboek van Strafrecht. Ook niet als die iemand dat net bij jou zelf stond te doen. Natuurlijk is de kans klein dat de AIVD aangifte gaat doen van een terughack of malware-infectie, maar je weet in het algemeen natuurlijk nooit of het die dienst is dan wel een echte crimineel die een onschuldige derde z’n computer gebruikte om bij jou binnen te dringen. Dus nee, dat zou ik niet doen.

Arnoud

Mag je mensen hacken als je van de televisie bent?

| AE 9367 | Strafrecht | 15 reacties

Voor het nieuwe programma What the #Hack?! gaat presentator en rapper Yes-R internetgebruikers confronteren met hun onvoorzichtige sociale mediagedrag. Dat meldde RTL gisteren. Het programma wil aantonen hoe onveilig mensen online zijn, onder meer door met social engineering en keyloggers (naar ik aanneem via Trojans verspreid) te gebruiken. Wat de vraag oproept: mag dat dan,… Lees verder

Mag je gekraakte wachtwoorden of hashes in je bezit hebben?

| AE 9278 | Hacken, Strafrecht | 16 reacties

Een lezer vroeg me: Er zijn veel dumps van gehackte wachtwoorddatabases (b.v. LinkedIn) beschikbaar op internet. Is het strafbaar om (1) deze in je bezit te hebben (2) hashes in zo’n dump te kraken en (3) gekraakte wachtwoorden publiek te maken in b.v. presentaties of publicaties? Het is op dit moment algemeen niet strafbaar om… Lees verder

Wanneer is een responsible disclosure beleid rechtsgeldig?

| AE 9240 | Beveiliging, Hacken | 28 reacties

Een lezer vroeg me: Sommige bedrijven hebben een responsible disclosure beleid en maken dit bekend op hun website. Ik zie alleen daarin steeds vaker iets over geheimhoudingsplicht voorkomen: je mag kwetsbaarheden wel zoeken en melden, maar zonder toestemming (of soms “zonder overleg”) niet publiceren. Maar het hele idee van responsible disclosure is toch juist dat… Lees verder

Mag je het netwerkprotocol van een online game uitpluizen?

| AE 8580 | Beveiliging | 15 reacties

Een tijd geleden ontdekte ontwikkelaar Rink Springer het spel Runes of Magic. En zoals dat gaat bij hackers: je raakt op het spel zelf uitgekeken, dus dan ga je kijken hoe het op de achtergrond werkt. In dit geval door het netwerkprotocol van het spel uit elkaar te trekken en te documenteren. Hetgeen uiteindelijk leidde… Lees verder

Een Spotify-account overnemen versus de Wet computercriminaliteit

| AE 8064 | Strafrecht | 15 reacties

Weer een interessante Tweakersdiscussie, ditmaal over een jongen die een Spotify premium account generator gebruikt had dat van een politie-stagiair bleek te zijn. Die wist de jongen te traceren en dreigde met aangifte wegens creditcardfraude. Hoe strafbaar is dat dan, een Spotify-account overnemen? De agent-in-opleiding noemt art. 232 Strafrecht als basis. Dat artikel stelt strafbaar… Lees verder

Mag je Metasploit-modules publiceren voor kwetsbaarheden in software?

| AE 7448 | Beveiliging, Hacken, Software | 17 reacties

Een lezer vroeg me: Vanuit een research-oogpunt zou ik graag Metasploit modules willen publiceren voor gedichte kwetsbaarheden in veelgebruikte software. Kan dit zomaar of ben je dan strafbaar bezig? Het is strafbaar om een kwetsbaarheid te exploiteren en zo binnen te dringen in een computersysteem. Dat is de computervredebreuk uit artikel 138ab Strafrecht. Aanvullend is… Lees verder