Wanneer URL-manipulatie strafbaar is als computervredebreuk

| AE 4891 | Security | 197 reacties

nos-url-manipulatieDe man die de kersttoespraak van koningin Beatrix op internet vond, heeft zich strafbaar gemaakt. Zoiets zei ik Eerste Kerstdag tegen de NOS. En dat maakte nogal wat los. URL’s zijn toch openbare adressen, wat op een server staat is niet geheim, er wordt niets gekraakt, dit is toch pure domheid van de RVD, en ga zo maar door. Ja ja dat klopt allemaal en de RVD is ook een stel prutsers maar het blijft een feit dat binnendringen óók zonder iets te kraken strafbaar is.

Sinds 2006 hebben we een brede definitie van computervredebreuk: ieder opzettelijk en wederrechtelijk “binnendringen” in een computersysteem is strafbaar, ook als er niets wordt gekraakt, omzeild, geïnjecteerd of vervalst. Zodra je ergens bent waarvan je wéét dat je er niet mag zijn, ben je formeel al in overtreding. En ik zie werkelijk niet waarom dat wél zou gelden bij een SQL injectie en niet bij een trivialer vorm van URL-manipulatie – zoals bij de kersttoespraakurl waarbij het een kwestie was van jaartal en UID aanpassen. Beiden zijn aanpassen van URLs.

Natuurlijk, het is technisch bepaald triviaal en volstrekt onvergelijkbaar met het soort hack waarmee Diginotar gekraakt werd, dus om het nou “hacken” te noemen is wel erg veel eer. Maar het formele punt blijft. Je verandert een webadres om informatie te krijgen die niet openbaar bedoeld was. Waarom maakt het uit of je dat met de toevoeging ” OR 1=1; SELECT * FROM userdata” doet of door 31337 te veranderen in 31338?

Een veelgehoord argument was dat informatie op een website openbaar is tenzij deze afgeschermd is. Dan zou er per definitie dus geen sprake van binnendringen kunnen zijn. Sympathiek, en ik zou het graag zo zien, maar dat staat niet in de wet. Net zo min als er in de wet staat dat je mijn achtertuin mag betreden als er geen hek omheen staat. Dat is en blijft mijn eigendom en ik beslis wie daar mag lopen of kamperen.

Het blijft natuurlijk van de zotte dat de RVD een “onderzoek” gaat instellen, en ik kan me níet voorstellen dat het OM meer dan vijf minuten besteedt aan een eventuele aangifte.

Arnoud

Dwangbevel OM haalt honderden kraaksites offline

| AE 2993 | Ondernemingsvrijheid, Regulering, Uitingsvrijheid | 16 reacties

om-takedown-poster.jpgHet Openbaar Ministerie heeft met een dwangbevel honderden kraaksites offline laten halen, las ik bij Webwereld. Op één van die sites was een plaatje te vinden (zie hiernaast) dat volgens het OM majesteitsschennis (of iets dergelijks) opleverde. De politie eiste verwijdering, en op het laatste moment ging provider Leaseweb hiertoe zelf over. Zij moest daarbij grof handelen: in plaats van het plaatje zelf te deleten ging de hele server offline. Kan dat zomaar? Is daar niet een gerechtelijk bevel voor nodig?

Ja, dat kan, en nee, daar hoeft niet apart een rechtszaak over gevoerd. De wet biedt namelijk een aparte mogelijkheid voor Justitie om content offline te krijgen. Artikel 54a Strafvordering bepaalt dat een officier van Justitie kan bevelen dat zaken offline worden gehaald, op straffe van aansprakelijkheid van de provider zelf. Wel is er dan een machtiging van de rechter-commissaris nodig, en dat is toch een soort van onafhankelijke gerechtelijke toets.

Formeel is het dus correct wat hier gebeurt. Het bevel is met een machtiging van de R-C afgegeven, en die vond dus dat de afbeelding inderdaad strafbaar leek. Hoewel het dan wel bevreemdt dat in het bevel nergens de URL van het plaatje wordt genoemd maar alleen de gehele site, zodat je formeel wel de site offline móet halen vanwege die ene afbeelding.

En dat is gek. Het gaat hier om strafrecht, meer specifiek om het verbieden van een meningsuiting, toch niet bepaald een lichte categorie van overtredingen. Bij invoering van dit wetsartikel zei de minister dan ook:

De ontoegankelijkmaking van de gegevens moet redelijkerwijs kunnen worden gevergd. De verlangde maatregelen moeten derhalve in overeenstemming zijn met de eisen van subsidiariteit en proportionaliteit. Er mogen geen andere, minder verstrekkende mogelijkheden openstaan om een einde te maken aan de als onwenselijk ervaren situatie. En de verlangde maatregelen mogen niet verder strekken dan strikt noodzakelijk.

Een gehele site offline halen vanwege één afbeelding is niet proportioneel. Ook gaat het mij te ver om per direct naar de provider toe te stappen zonder de plaatser zelf eerst aan te spreken. In dit geval kon dat prima, diens identiteit was gewoon bekend.

Een ander belangrijk punt (zie ook het TILT-rapport) is dat nu de afbeelding weg is, er niet echt meer een reden lijkt te zijn voor het OM om de plaatser daarvan te gaan vervolgen. En dat wringt, want nu kan er niet meer worden getoetst door de rechter of het bevel inderdaad rechtmatig was. De provider kan niets doen (heeft geen juridische grond) en de plaatser zelf kan ook niet klagen als hij niet wordt vervolgd. Kortom, het voelt mij te veel als een handige shortcut om even snel zaken offline te krijgen.

Arnoud