Mag je je verzetten tegen de Aftap- en Hackwet?

| AE 9569 | Strafrecht | 9 reacties

De Eerste Kamer nam gisteravond een wet aan waarmee de geheime diensten het internet op grote schaal kunnen aftappen, en de verzamelde mailtjes en appjes drie jaar mogen bewaren. Dat las ik bij RTL Nieuws. Maar de wet gaat niet alleen over aftappen: de nieuwe wet maakt het ook mogelijk dat de AIVD kennissen van verdachten mag hacken. Wat diverse lezers de vraag deed opperen: wat mag je daartegen doen, als je de AIVD in je firewall ziet?

Het idee achter dat stukje van de Hackwet is dat de meeste criminelen (althans, verdachten) wel enigszins op de hoogte zijn van elementaire ICT-beveiliging. Kennissen zijn dat waarschijnlijk minder, dus dat biedt dan een interessant secundair kanaal van informatie.

Dat de AIVD iets mag, wil natuurlijk niet zeggen dat je daar automatisch alle gelegenheid voor moet bieden. De wet eist niet dat jouw netwerk aftapbaar of anderszins toegankelijk is voor overheidsdiensten (behalve als je aanbieder van een openbaar telecomnetwerk bent, maar dat terzijde). Als je dus je ICT zo stevig dichttimmert dat de gleufhoeden zuchtend elders heengaan, dan is dat helemaal prima.

Sowieso is het natuurlijk heel verstandig om anno 2017 je netwerk en ICT-middelen goed te beveiligen; malware, spionage vanuit andere landen en gewone criminelen liggen natuurlijk óók op de loer. Dus voorzie alles van encryptie, werk je software bij, installeer een goede firewall en uitgebreide logging en zorg voor moeilijk voor derden toegankelijke backups.

Het opzetten van honeypots waar de aanvaller lang mee bezig is, is al een iets actievere tegenmaatregel. Het idee is dan dat je hem afleidt met een interessante maar neppe bron, bijvoorbeeld een groot bestand dat je iets van “ISIS full membership addresses Netherlands.xlsx” noemt en waar men dan jarenlang decryptie op loslaat voordat men ontdekt dat het gewoon een nepbestand is. Daar is weinig mis mee, dat is hooguit verspilling van iemands tijd.

Lastiger wordt het bij de actievere vormen van verdediging, zoals terughacken, -ddossen en anderszins -slaan van de aanvaller. Een voorbeeld is het neerzetten van dergelijke lokbestanden maar dan voorzien van malware, waarmee je hoopt dat de aanvaller dan wordt geïnfecteerd. Het digitale equivalent van een kluis waarin een kruisboog op scherp staat, met touwtje verbonden aan de deur. Auw.

Dergelijke handelingen zijn natuurlijk strafbaar; verspreiding van malware maar ook het uitvoeren van een DDOS aanval of inbreken in iemands systeem is niet toegestaan onder het Wetboek van Strafrecht. Ook niet als die iemand dat net bij jou zelf stond te doen. Natuurlijk is de kans klein dat de AIVD aangifte gaat doen van een terughack of malware-infectie, maar je weet in het algemeen natuurlijk nooit of het die dienst is dan wel een echte crimineel die een onschuldige derde z’n computer gebruikte om bij jou binnen te dringen. Dus nee, dat zou ik niet doen.

Arnoud

Mag je door anoniem browsen een paywall omzeilen?

| AE 9379 | Beveiliging | 36 reacties

Een lezer vroeg me:

Laatst vond ik in een discussiegroep een link naar een artikel, maar dat bleek achter een paywall te zitten. Nadat ik me daarover beklaagd had, kreeg ik te horen dat ik met anoniem browsen het artikel wél gratis kon zien. Maar is dat geen computervredebreuk dan, ik omzeil dan toch een beveiliging?

De beveiliging waar het hier om gaat, is een cookie: je krijgt bij bijna alle paywall-sites een aantal artikelen gratis, en dat aantal wordt geteld in een cookie. Met anoniem browsen (“private mode”) worden cookies na elke sessie weggegooid, dus staat dat aantal elke keer op nul.

Van computervredebreuk is sprake wanneer je opzettelijk en wederrechtelijk binnendringt in een computersysteem. Een beveiliging of toegangscontrole omzeilen is een mogelijke manier om dat te doen, maar waar het uiteindelijk om gaat is of je weet of moest weten dat je ergens bent in het systeem waar je niet mag zijn.

Met enige fantasie is die cookie-teller als een beveiliging te zien, of kun je het weggooien van het cookie zien als een technische ingreep. Daarmee is aan dat deel van het delict computervredebreuk voldaan.

Blijft over de vraag: ben je wederrechtelijk binnengedrongen? Oftewel ben je ergens waar je niet mag zijn, en ben je daar zonder enige bevoegdheid?

Het lijkt me evident dat als iemand een truc uithaalt om een betaald bericht gratis voor ogen te krijgen, hij computervredebreuk pleegt. Denk aan het gebruik van andermans wachtwoord, of het kapen van iemands inlogsessie om zo die toegang te krijgen. Maar de truc hier is niet gericht op het zoamaar lezen van een betaald bericht; het gaat om het toegang krijgen tot een zesde bericht die maand terwijl je er maar vijf mag lezen.

Dat voelt toch net even anders. Deze berichten zitten niet echt achter een paywall, je staat te lezen in de tijdschriftenwinkel en de juffrouw (m/v) achter de balie snauwt je toe “het is hier geen bibliotheek meneertje (m/v)”. En nu doe je na elk artikel een andere jas aan zodat ze je niet herkent. Ik kan dat moeilijk op één lijn stellen met na sluitingstijd inbreken. Dus nee, ik denk niet dat dit een strafbaar feit is.

Arnoud

Mag je mensen hacken als je van de televisie bent?

| AE 9367 | Strafrecht | 15 reacties

Voor het nieuwe programma What the #Hack?! gaat presentator en rapper Yes-R internetgebruikers confronteren met hun onvoorzichtige sociale mediagedrag. Dat meldde RTL gisteren. Het programma wil aantonen hoe onveilig mensen online zijn, onder meer door met social engineering en keyloggers (naar ik aanneem via Trojans verspreid) te gebruiken. Wat de vraag oproept: mag dat dan, mensen hacken omdat je een televisieprogramma gaat maken?

Een journalist heeft onder de wet geen andere positie dan andere burgers. Je moet je aan precies dezelfde regels houden als anderen, ook waar het gaat over strafrecht en ook als het nieuwsbelang in het gedrang zou komen. Inbreken of privécommunicatie aftappen is strafbaar, dus ook voor journalisten. Dus dan is het antwoord vrij snel duidelijk: nee, dat mag niet.

Het recht zou het recht niet zijn als “ja, toch wel” ook geen mogelijk antwoord was. Want soms heb je belangwekkende kwesties die gewoon aan de kaak gesteld móeten worden, en dat je dan als journalist de wet moet overtreden dat neem je dan voor lief. De rechter neemt de nieuwswaarde wel degelijk mee, en kan je zelfs vrijspreken als blijkt dat je daad puur ingegeven was door het brengen van zo’n algemeen belangwekkend nieuwsitem en dat je zo zorgvuldig mogelijk te werk bent gegaan. Met name is dan van belang dat je geen schade hebt aangericht en niet meer hebt gedaan dan nodig voor je item.

De AVROTROS ziet een dergelijk belang met hun programma:

We willen met het programma impact hebben op de kijkers van NPO 3 op een manier die hen aanspreekt. Het daadwerkelijk laten zien wat de gevaren zijn, is de de enige manier om awareness te creëren

Daar zit natuurlijk wat in. Een theoretisch verhaal heeft veel minder impact dan een daadwerkelijke hack bij echte mensen: kijk, zo makkelijk was het om Marieke haar Facebook over te nemen en met deze truc kregen we Ali zijn WhatsApp-berichtenlogs toegemaild. Maar is het dan ook nodig om dat te doen zonder toestemming te vragen? Had je niet kunnen zeggen, ben jij een echte internetfreak, meld je aan en we kijken hoe hackbaar jij bent? Dan heb je toestemming én echte mensen.

Weliswaar wordt er met een quitclaim gewerkt (hier tekenen dat wij mogen uitzenden) maar die wordt pas achteraf getekend. Wanneer iemand die weigert te tekenen, is er dus geen toestemming – ook niet voor het binnendringen op hun computer of het aftappen van hun datacommunicatie. En dat maakt het strafbaar.

Wat vinden jullie? Slimme manier van awareness creëren of gewoon strafbaar?

Arnoud

Mag je gekraakte wachtwoorden of hashes in je bezit hebben?

| AE 9278 | Hacken, Strafrecht | 16 reacties

Een lezer vroeg me: Er zijn veel dumps van gehackte wachtwoorddatabases (b.v. LinkedIn) beschikbaar op internet. Is het strafbaar om (1) deze in je bezit te hebben (2) hashes in zo’n dump te kraken en (3) gekraakte wachtwoorden publiek te maken in b.v. presentaties of publicaties? Het is op dit moment algemeen niet strafbaar om… Lees verder

Wanneer is een responsible disclosure beleid rechtsgeldig?

| AE 9240 | Beveiliging, Hacken | 28 reacties

Een lezer vroeg me: Sommige bedrijven hebben een responsible disclosure beleid en maken dit bekend op hun website. Ik zie alleen daarin steeds vaker iets over geheimhoudingsplicht voorkomen: je mag kwetsbaarheden wel zoeken en melden, maar zonder toestemming (of soms “zonder overleg”) niet publiceren. Maar het hele idee van responsible disclosure is toch juist dat… Lees verder

Mag je het netwerkprotocol van een online game uitpluizen?

| AE 8580 | Beveiliging | 15 reacties

Een tijd geleden ontdekte ontwikkelaar Rink Springer het spel Runes of Magic. En zoals dat gaat bij hackers: je raakt op het spel zelf uitgekeken, dus dan ga je kijken hoe het op de achtergrond werkt. In dit geval door het netwerkprotocol van het spel uit elkaar te trekken en te documenteren. Hetgeen uiteindelijk leidde… Lees verder

Een Spotify-account overnemen versus de Wet computercriminaliteit

| AE 8064 | Strafrecht | 15 reacties

Weer een interessante Tweakersdiscussie, ditmaal over een jongen die een Spotify premium account generator gebruikt had dat van een politie-stagiair bleek te zijn. Die wist de jongen te traceren en dreigde met aangifte wegens creditcardfraude. Hoe strafbaar is dat dan, een Spotify-account overnemen? De agent-in-opleiding noemt art. 232 Strafrecht als basis. Dat artikel stelt strafbaar… Lees verder

Mag je Metasploit-modules publiceren voor kwetsbaarheden in software?

| AE 7448 | Beveiliging, Hacken, Software | 17 reacties

Een lezer vroeg me: Vanuit een research-oogpunt zou ik graag Metasploit modules willen publiceren voor gedichte kwetsbaarheden in veelgebruikte software. Kan dit zomaar of ben je dan strafbaar bezig? Het is strafbaar om een kwetsbaarheid te exploiteren en zo binnen te dringen in een computersysteem. Dat is de computervredebreuk uit artikel 138ab Strafrecht. Aanvullend is… Lees verder

Mag een forum IP-adressen van een klager matchen tegen zijn gebruikers?

| AE 7117 | Beveiliging | 11 reacties

Via een lezer (dank) vond ik een interessante discussie bij Tweakers: een bedrijf werd besproken op het forum van de techsite, waarna het bedrijf bij het beheer ging klagen dat er hackpogingen werden ondernomen vanuit Tweakers. Waarop het beheer van Tweakers meldde dat personen die zoiets zouden doen, een ban zouden krijgen. Herrie in de… Lees verder

Mag een school een leerling schorsen wegens installeren van illegale iPadsoftware?

| AE 7058 | Hacken | 33 reacties

Een lezer vroeg me: De vwo-school van mijn zoon heeft iedereen een iPad in bruikleen gegeven. Handig als mijn zoon is, heeft hij er allerlei eigen software op gezet en daarbij kennelijk ‘gehackt’. Hij gebruikt een Chinese appstore en dat mag niet volgens de school. Hij moet nu de iPad binnen 24 uur in originele… Lees verder