Kun je aansprakelijk gesteld worden voor bitcoindiefstal door je kinderen?

Een Amerikaan heeft de dieven van 16 bitcoins (destijds 2 ton in Euro’s) gevonden en klaagt nu hun ouders aan, zo meldde Krebs on Security onlangs. De man stak veel tijd in het opsporen van de bitcoindieven, maar wist met het nodige forensisch onderzoek te achterhalen dat twee Britse -destijds- minderjarigen de cryptomunten naar zich toe hadden weten te krijgen. Omdat de ouders niet reageerden op zijn verzoek tot terugbetaling, gaat hij nu over tot een civiele rechtszaak. Wat de vader van een “crypto hackende” dochter me bezorgd deed vragen: loop ik ook dat risico?

Even voor de duidelijkheid, het gaat hier dus niet om aangifte of strafvervolging tegen minderjarigen. Dat kan (in Nederland vanaf 12 jaar) maar dat zou een beslissing van het OM zijn. Het gaat hier om een civiele of burgerlijke zaak: ik heb schade geleden door uw kind, ik wil graag even afrekenen. En nee, dit is geen verzekeringswerk.

De truc die de twee gebruikt zouden hebben, was een crypto wallet app met een achterdeur: wanneer je een bitcoinadres kopieerde naar het Klembord, werd dit vervangen door een sterk gelijkend adres dat beheerd werd door de dieven. Je plakt dat dan in het walletprogramma en alles lijkt te kloppen, maar je geld ben je dus kwijt. Dit is een van de vele vormen van malware, diefstal en oplichting waar cryptogebruikers mee te maken hebben.

De man gooide er flink wat onderzoekscapaciteit tegenaan maar wist ze te vinden;

[The claimant’s] lawsuit lays out how his investigators traced the stolen funds through cryptocurrency exchanges and on to the two youths in the United Kingdom. In addition, they found one of the defendants — just hours after [his] bitcoin was stolen — had posted a message to GitHub asking for help accessing the private key corresponding to the public key of the bitcoin address used by the clipboard-stealing malware.
De leeftijd van de twee wordt niet gegeven, maar het speelde in 2018 en de twee studeren nu aan de universiteit, dus het zal niet om copypastende tienjarigen zijn gegaan. Dat is van belang, want aansprakelijkheid van ouders voor handelen van kinderen ligt een tikje ingewikkeld.

In Nederland trekken we een grens bij veertien jaar. Als een kind van onder die leeftijd iets onrechtmatigs doet, zijn de ouders daarvoor aansprakelijk. (Met als randvoorwaarde dat de vraag wel eerst is of het kind aansprakelijk zou zijn geweest als het meerderjarig was.) Ik heb geen twijfel dat het verspreiden van bitcoinstelende malware onrechtmatig is, of je dat nou doet “voor de lolz” of omdat je nieuwe fidget spinners wilt komen. Dus als die malwarecopypastende tienjarige inderdaad twee ton aan bitcoins had gestolen, dan zijn de ouders aansprakelijk.

Het andere makkelijke geval is de leeftijd zestien tot achttien, dan is alleen het kind aansprakelijk. Het doet er dan niet toe of het kind geen geld heeft en de ouders miljonair zijn. In theorie zouden de ouders aansprakelijk gehouden kunnen worden als blijkt dat ze hun ouderlijke zorgplicht hebben geschonden, maar dat is niet hetzelfde als “je kind stal mijn bitcoins en woonde bij jou thuis”. Het moet dan op zichzelf onrechtmatig zijn geweest dat de ouders niet ingrepen.

Vanaf achttien jaar is het kind meerderjarig en dus geheel als enige aansprakelijk voor zijn of haar fouten. Ook als het kind nog thuis woont en ook als de ouders alles betalen. Er is natuurlijk een ouderlijke zorgplicht tot 21 jaar, maar die betreft levensonderhoud en zorg en niet onrechtmatig handelen.

Als het kind veertien is (maar nog geen zestien) dan ligt het ingewikkelder, en dat komt met name omdat de wet een draak van een taalconstructie hanteert hiervoor:

Voor schade, aan een derde toegebracht door een fout van een kind dat de leeftijd van veertien jaren al wel maar die van zestien jaren nog niet heeft bereikt, is degene die het ouderlijk gezag of de voogdij over het kind uitoefent, aansprakelijk, tenzij hem niet kan worden verweten dat hij de gedraging van het kind niet heeft belet.
Het gaat hier dus om de vraag of je als ouder had moeten ingrijpen. Als je dat niet deed, en dat kan jou worden verweten (de “kom op nou”-toets) dan ben je dus aansprakelijk voor de fouten van je kind. Natuurlijk wederom met de voorvraag of het überhaupt een fout was, wat je kind deed.

In 2009 blogde ik over de ouders van een vijftienjarige die aansprakelijk werden gehouden voor een auteursrechtclaim: de jongen had een fotootje van Cruijff op zijn website gezet en de ouders moesten daarvoor betalen, aldus de fotograaf.  De rechter zag geen reden om aan te nemen dat de ouders hadden moeten ingrijpen:

Het gaat kennelijk om een handige jongen – zoals zoveel kinderen tegenwoordig zeer handig zijn in het omgaan met internet en alles wat met computers te maken heeft – die op deze wijze zijn liefhebberij mede vorm geeft. Dat is tegenwoordig niets bijzonders. Er zijn veel kinderen van (ongeveer) deze leeftijd die een website hebben. Het onderwerp van de site -voetbal- is onschuldig: volstrekt normaal voor een jongen van 15 jaar.
Een verschil met deze zaak zou dus zijn dat het onderwerp van de online activiteit iets minder onschuldig was. Je zou bij rare dingen van je puber eerder geacht worden een en ander te controleren: wat voor rare apps bouw jij, wat zit jij op dat giethub en hoe kom je aan al dat geld voor je nieuwe sneakers?

Met name het moment dat er bizar veel geld in bezit blijkt, zou voor mij het moment zijn dat je als ouders in moet gaan grijpen. De bestolen man uit het Krebs-artikel hanteert als primair argument dat hij de ouders had geïnformeerd en dat ze daarom aansprakelijk zijn omdat ze niets deden om het ongedaan te maken. Dat is in Nederland geen rechtsgeldig argument – het gaat immers om informeren over een reeds gepleegde onrechtmatige daad.

Een slachtoffer van na die brief zou er wellicht wel wat mee kunnen: je wist dat meneer A bestolen was door je zoon, je deed niets en daarna werd ik óók bestolen, dat kan jou dus worden verweten. Blijf je zitten met het feit dat de kinderen in het Verenigd Koninkrijk zitten en de bestolene in Colorado, USA, maar dat thema hebben we al een paar keer recent gehad op deze blog.

Arnoud

Mag de politie je systeem patchen na een malware infectie?

De FBI gaat nu netwerken van privépartijen patchen, las ik (vrij vertaald) bij Schneier’s blog. Het gaat om honderden met malware geïnfecteerde Microsoft Exchange-servers, waar webshells (commandoregel-toegang op afstand) op waren geplaatst. Nadat de federale politie daartoe door een rechtbank was gemachtigd, gaf zij al deze servers een speciaal commando waarmee de kwaadaardige code werd gewist. Dat gaf dus ophef, want men passeerde zo het eigen IT-beleid van die organisaties. En hoezo mag de politie überhaupt bij mensen thuis dingen komen fixen?

Over een week gaat de politie bij ons Emotet wissen van een miljoen computers wereldwijd, dus dit is lekker actueel. Ik zei toen dat dat mocht, want wij hebben artikel 125o Wetboek van Strafvordering:

Indien bij een doorzoeking in een geautomatiseerd werk gegevens worden aangetroffen met betrekking tot welke of met behulp waarvan het strafbare feit is gepleegd, kan de officier van justitie dan wel indien deze de doorzoeking verricht, de rechter-commissaris bepalen dat die gegevens ontoegankelijk worden gemaakt voor zover dit noodzakelijk is ter beëindiging van het strafbare feit of ter voorkoming van nieuwe strafbare feiten.

De doorzoeking vond hier plaats in de centrale server, en via die server vind je dan ook de clientsoftware bij de slachtoffers thuis. Dat zijn “gegevens met behulp waarvan het strafbare feit is gepleegd”, zodat de politie die mag wissen (ontoegankelijk maken).

In de VS moet de FBI het doen met Rule 41, waarmee men algemeen gezegd warrants oftewel bevelen mag halen om bewijs of contraband mee te nemen, illegale voorwerpen in beslag te nemen of mensen op te halen. In het jargon, een search & seizure – zoeken en inbeslagname. Onder deze Rule heeft men nu de warrant gekregen om op al die Exchange-servers binnen te dringen en daar de wis-instructie te geven. En dat is wat vreemd, want oké ze zouden fysiek langs mogen gaan en al die servers meenemen met zo’n bevel maar dat blijft wat anders dan een stukje informatie daarop aanpassen.

Niet gek dus dat vele mensen op de achterste benen staan. Het gaat ook verder dan eerdere zaken waarbij de FBI botnets verwijderde: daar kwamen de geïnfecteerde computers naar de inbeslaggenomen server toe voor nieuwe instructies, en men kon toen vrij eenvoudig “wis jezelf” teruggeven. Dat is toch wat anders dan actief inloggen bij die clients en daar een wis-instructie geven.

Arnoud

Het verschil tussen een cybercrimetool hebben en cybercrime plegen

Met enige regelmaat zie ik discussie en zorgen over het gebruik van tools waarmee je (ook of alleen maar) computergerelateerde misdrijven kunt plegen. Meestal gaat het dan over scanners om zwakheden in systemen op te sporen, of stresstesters waarmee je ook ddos-aanvallen kunt plegen. Het jargon is altijd heerlijk neutraal dan, en logisch want het hebben of aanbieden van tools die bestemd zijn voor misdrijven is strafbaar. En nu was er een jongen die een tool had voor het omzeilen van antivirussoftware, dus dacht het OM: die pakken we daarop, daar heb je geen verhaal op. Maar toch werd dat een vrijspraak.

De verdachte had (zoals te lezen in het arrest) virussen en andere malware geüpload naar een betaalde internetdienst, Razorscanner genaamd. Deze controleert dan je upload met alle virusscanners ter wereld – zodat jij weet of je malware daar voorbij zou komen. Zeer geruststellend voor de klant wordt tevens gemeld dat “De maker van Razorscanner garandeert dat de gegevens met betrekking tot de in het programma geüploade bestanden niet aan de makers van anti-virusproducten worden doorgegeven.” (Ik zou het hilarisch vinden als achteraf blijkt dat ze dat wel deden.)

Aanverwant is de dienst Razorcryptor, die malware kan verstoppen door het bijvoorbeeld te koppelen aan andere software. Deze dienst werd samen met Razorscanner aangeboden, op basis van pay-as-you-go met vooraf gekochte credits. De verdachte had credits gekocht, maar stelde alleen met Razorscanner te hebben gewerkt.

Het Hof begint met vaststellen wat er nu precies strafbaar is, en daar kwamen we natuurlijk voor. Artikel 139ab Strafrecht lid 2 bepaalt:

Met dezelfde straf [als computervredebreuk, lid 1] wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid138b of 139c wordt gepleegd: a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft, of (…)
De discussie die we meestal hebben, is of een bepaalde tool ontworpen is voor het plegen van computervredebreuk of de andere genoemde cybercrimedelicten. Een security scanner heeft ook legitieme doelen, denk aan een bedrijfsnetwerk dat je controleert op brakke byod-apparaten of een onderzoek voor je ISO certificering.

Het Hof heeft er geen moeite deze scandienst te zien als hulpmiddel voor het plegen van computervredebreuk. Je kunt nu je malware (waarmee binnendringen vaak gepleegd wordt) beter afstemmen op het omzeilen van de antivirussoftware van organisaties. Dat is dus effectieve hulp, en duidelijk enkel en alleen bestemd voor computervredebreuk. Verzin maar eens een legitieme reden waarom je zou willen dat iets een virusscanner omzeilt.

Maar het artikel kent nóg een bepaling, namelijk dat je dat hulpmiddel voorhanden hebt met het oogmerk dat daarmee computervredebreuk wordt gepleegd. Oftewel, dat je als verdachte ook echt dat misdrijf ging plegen. Enkel dat je het hulpmiddel hebt, is dus niet genoeg. Misschien had je het per abuis, misschien was je het als journalist of researcher aan het uitpluizen, of misschien was je gewoon nieuwsgierig.

Nee, dat laatste vind ik ook geen héle sterke. Maar tot mijn verbazing zag het Hof hier dat -even kort gezegd- wél aanwezig.

De verdachte heeft ter terechtzitting in hoger beroep verklaard dat hij tijdens zijn middelbareschoolperiode geïnteresseerd is geraakt in de werking van malware en de detectiemogelijkheden van anti-malwareprogramma’s. Onder andere met behulp van MSFencode verstopte de verdachte malware in bestanden en uploadde deze bestanden naar onder meer Razorscanner. Ook testte hij bestanden die hij vond op internet. …
Een concrete aanwijzing was nog dat hij dezelfde malware meerdere malen uploadde, maar nooit malware had gewijzigd nadat de scanner had gezegd dat deze wel gedetecteerd zou worden. Daarom
kan aan de inhoud van het strafdossier en de hiervoor weergegeven informatie geen bewijs worden ontleend dat de verdachte bestanden met daarin malware naar Razorscanner heeft geüpload louter met de bedoeling te vermijden dat de omstandigheid dat de daarin aanwezige malware door geen enkele of slechts een beperkt aantal anti-malwareprogramma’s detecteerbaar was, ter kennis zou worden gebracht van de producenten van dergelijke scanners.
Er is sprake van een geloofwaardige weerlegging die de verdenking ontkracht, aldus het Hof. Dit is niet alleen maar een “nee ik was gehackt” of “ik wilde alleen maar controleren of internet tegen een ddos kon”, hier is een onderbouwing gegeven die past bij de persoon en de feiten die zijn gevonden. (Wie nu denkt, ik verzin op dat moment ook wel een leuk verhaal dat past bij de feiten – de politie heeft meer feiten dan jij denkt, deelt niet alles met je en hangt je, terecht, op aan je leugens.) De verdachte gaat dus vrijuit.

Arnoud

 

Mag een mail gateway iemands mail weggooien zonder dit te melden?

Een lezer vroeg me:

Ons bedrijf is overgestapt naar een externe maildienst die een mail gatewaydienst aanbiedt (scannen op malware, virussen en andere bedreigingen). Nu blijkt dat deze mails met dergelijke bedreigingen gewoon stilletjes weggooit. Mag dat zomaar?

Het doet nogal raar aan dat een bedrijf dit zou doen, maar ik denk dat het wel mag, juridisch gezien.

In beginsel zijn bedrijven onderling vrij om hun dienstverlening in te richten zoals hen goeddunkt. Het filteren of controleren van e-mail is voor de wet gewoon een dienst als alle andere, en als de klant het goed vindt dat de dienstverlener verdachte zaken direct weggooit zonder te melden, dan is dat een zakelijke keuze.

Natuurlijk heeft de andere partij (bijvoorbeeld de externe afzender van een mail) hier last van. Diens mails komen niet aan maar hij krijgt dat niet te horen. Hij kan dus weinig doen dan namailen of op zeker moment gaan bellen. Dat is hinderlijk en kan de relatie schaden tussen hem en het bedrijf dat de gatewaydienstverlener ingeschakeld heeft. Maar volgens mij is het niet verboden.

In theorie zou je nog op de AVG kunnen wijzen: de mail gateway verwerkt immers persoonsgegevens door de mail te scannen en door te sturen dan wel weg te gooien. Daarmee geldt er een informatieplicht voor het bedrijf dat de gateway inzet, en de afzender heeft dan een basis voor een claim dat zijn persoonsgegevens ongewenst zijn verwerkt.

Ik denk dat dat in de praktijk niet gaat vliegen. Het scannen van mail en het weggooien van verdachte mail is een relatief bekende praktijk. Daarnaast kan het (zo weet iedereen) altijd gebeuren dat mails spontaan kwijtraken. Je moet er dus sowieso altijd rekening mee houden dat een mail niet aankomt of niet gelezen wordt. Eisen dat de ontvanger je informeert over een blokkade, kan ik dus ook onder de AVG niet hard krijgen.

Arnoud

Wie is aansprakelijk voor schade door malware op een website?

oud-virus-drop-charactesEen lezer vroeg me:

Wie is verantwoordelijk voor schade door malware op een website, wanneer mijn browser of besturingssysteem ook niet up-to-date zijn?

In het Nederlands recht geldt dat wie een ander een onrechtmatige daad aandoet, de schade daardoor moet vergoeden. Dat geldt voor alles, van auto’s bekrassen tot malware infecteren.

Op zich is het antwoord dus simpel: die schade moet worden vergoed door de eigenaar van die website. Natuurlijk zal de hoogte van de schade moeten worden aangetoond, maar dat is een praktisch detail.

Of de eigenaar wist van de malware, doet er daarbij niet toe. Over het algemeen is voor een onrechtmatige daad niet verplicht dat je bewust of zelfs opzettelijk de schade berokkende. Bij malware zou je hooguit nog kunnen zeggen, deze malware was zó moeilijk tegen te houden dat je het mij niet kunt verwijten. Een besmetting als overmacht. Het kan, maar ik zou de lat daar wel hoog voor willen zien.

Lastiger wordt het als het slachtoffer de schade had kunnen voorkomen of beperken. De wet kent de constructie van eigen schuld (art. 6:101 BW), waarbij de hoogte van de schadevergoeding wordt verlaagd naarmate de schade meer te wijten is aan het slachtoffer. De rechter mag daarbij uiteindelijk altijd naar billijkheid van afwijken.

Het niet hebben van een up-to-date browser, besturingssysteem of virusscanner zou je kunnen zien als een stukje eigen schuld, iets dat je zelf makkelijk had kunnen voorkomen. Daar staat tegenover dat je als websitebeheerder in de beste positie bent om malware te voorkomen. Ik denk dus niet dat je heel makkelijk aan eigen schuld komt hier, of je moet wel héél ver achterlopen, geen enkele securityscanner hebben en een browser uit 1998 gebruiken.

Arnoud

Lenovo installeert nepcertificaat en malware op nieuwe laptops, mag dat?

mitm-man-in-the-middle-malware-aanval-cybercrimeLenovo injecteert nieuwe laptops met malware, meldde Nu.nl gisteren. Het gaat om de Superfish-software, die advertenties en floepvensters toevoegt aan webpagina’s. En om dat ook bij beveiligde sites te kunnen doen, is een SSL root certificaat geïnstalleerd zodat beveiligd verkeer omgeleid kan worden en Superfish er tussen kan komen met z’n rommel.

Stilletjes adware op iemands computer zetten, is normaal een vorm van binnendringen en bovendien een overtreding van de cookiewet. Die laatste verbiedt immers dat je zonder toestemming data op iemands randapparatuur zet. En dat geldt niet alleen voor tracking cookies, dat geldt voor álle data die niet functioneel is voor de dienst die je wilde afnemen. En Superfishadvertenties bij mijn bankbezoek, nee dank u.

Probleem met dat ‘binnendringen’ is alleen dat de software erop gezet is terwijl de laptop nog eigendom van Lenovo was. En je kunt niet in je eigen PC ‘binnendringen’ in de zin van de strafwet. Dat ze vergaten het te vertellen bij de verkoop, dat levert een oneerlijke handelspraktijk op (weglaten van essentiële informatie) waarmee je de koop ongedaan mag maken, maar aan de strafwet kom je niet.

Aftappen van datacommunicatie dan? Ook daar twijfel ik over. Het aftappen van “gegevens die niet voor hem bestemd zijn” is strafbaar (art. 139c Strafrecht) maar toen KPN een paar jaar terug DPI dataverkeerde DPI’de, werd dat geen overtreding van dit wetsartikel geacht omdat KPN “geen inzicht in de inhoudelijke communicatie” had. Er moet een mens meekijken, en dat gebeurde niet bij KPN – en ook niet bij Superfish.

Maar misschien kan de cookiewet alsnog voor de redding zorgen. Lid 1 heeft het over “via een netwerk” maar lid 2 zegt dat het ook geldt dat je op een andere manier realiseert dat er gegevens kunnen worden uitgelezen of opgeslagen. Ik zou zeggen dat het preïnstalleren van middelen om dat te doen, onder lid 2 valt. Het doorgeven van gegevens door Superfish, maar ook het ontvangen van te tonen advertenties, valt dan onder het “opslaan of uitlezen van gegevens” waarvoor de cookiewet toestemming vereist.

Lenovo heeft nog geen persbericht met PR-gereutel over het waarderen van privacy en het streven naar continue innovatie en verbetering van gebruikservaring uitgegeven. Maar de software is gewoon via het controlepaneel van Windows te deïnstalleren (“VisualDiscovery”). Wie ontdekt ‘m nu ineens op zijn laptop?

Arnoud

Microsoft verwijdert Tor-software in strijd tegen botnet, mag dat?

microsoft-botnet-tor-sefnit-bestrijdingOm het Sefnit-botnet tegen te houden, heeft Microsoft op zo’n twee miljoen computers de anonimiteitssoftware Tor verwijderd, zo las ik bij Daily Dot (via). Sefnit communiceerde via het Tor-netwerk waarmee een hoog niveau van anonimiteit kan worden behaald. Toen Microsoft dit doorhad, was het een kwestie van de Tor software toevoegen aan de detectie van haar Safety Scanner en zien hoe het aantal installaties achteruit ging. Maar mag dat?

De reden dat Tor wordt verwijderd, is omdat oude versies daarvan lek blijken te zijn, en daardoor eenvoudig te infecteren door het botnet. Zo te lezen worden enkel die oude versies geraakt, wie een recente versie van Tor heeft, zou nergens last van moeten hebben.

In Nederland hebben we het concept zaakwaarneming: “Het zich willens en wetens en op redelijke grond inlaten met de behartiging van eens anders belang” zonder daartoe bevoegd te zijn, artikel 6:198 BW. Het standaardvoorbeeld is bij de afwezige buren het overkokende pannetje melk van het gas halen, waarbij het zelfs toegestaan is de achterdeur te forceren. Maar het principe geldt voor alle soorten handelingen, dus er is geen principiële reden waarom het niet zou gelden op computers of internet.

Wel geldt er een noodzakelijkheidsvereiste en een proportionaliteitsvereiste. Je moet niet anders kunnen, dus de buren moeten écht met vakantie zijn en er moet niemand zijn die snel de sleutel kan pakken. En je mag niet verder gaan dan nodig om direct de situatie op te lossen; het huis voorzien van brandmelders en blusinstallatie gaat te ver en is dus geen zaakwaarneming.

In 2010 verwijderde de politie de Bredolab-botnetsoftware van geïnfecteerde computers, na toegang te hebben gekregen tot command&control servers daarvan. Ook daar kon ik niets anders bedenken dan zaakwaarneming om dit te rechtvaardigen.

Microsoft zou wellicht nog kunnen zeggen dat zij via de EULA van Safety Scanner het recht heeft dit te doen. Die zegt immers

The software will check for and remove certain high severity malicious software (“Malware”) stored on your device when you select this action. …
The software will only remove or disable low to medium severity Potentially Unwanted Software if you agree.

Maar is dat genoeg? We hebben immers een cookiewet die expliciete toestemming eist (oftewel niet slechts in een EULA of privacyverklaring opgeëist) voordat je gegevens mag opslaan of uitlezen via een netwerk. Oh, hee, dat is wel apart: het verwijderen van gegevens staat daar niet bij. Dan val je terug op de algemene regel dat er een grond moet zijn, en een EULA kan op zich best een grond geven om acties op een computer uit te voeren.

Dus hm. Het lijkt te mogen, zeker gezien die EULA. Maar toch voelt het als erg vérgaand. Zeker als (wat me niet duidelijk is) het om Tor als zodanig gaat, in plaats van enkel om geïnfecteerde versies van Tor. Het verwijderen van geïnfecteerde software vind ik minder ernstig dan het verwijderen van infecteerbare software.

Update: in de comments wordt gemeld dat het hier enkel ging om Tor-installaties die meegekomen waren met de Sefnit-malware. Andere versies (en waarschijnlijk zelfs de betreffende versie als deze anderszins geinstalleerd was) werden met rust gelaten.

Arnoud

Is een site aansprakelijk voor besmette advertenties?

Verschillende bekende Nederlandse websites hebben vanwege een gehackte advertentieplatform bezoekers geïnfecteerde advertenties getoond, las ik bij Security.nl. Een server van het bedrijf Adfactor was gecompromitteerd en daardoor kon een banking Trojan (Sinowal) worden verspreid. Echter, door een fout van de aanvallers werkte de aanval niet. Maar goed, stel hij werkte wél, had je dan het platform of die sites aansprakelijk kunnen stellen voor je schade?

Het verspreiden van virussen is natuurlijk strabaar (art. 350a Strafrecht):

Hij die opzettelijk en wederrechtelijk gegevens ter beschikking stelt of verspreidt die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.

Met de term “bestemd om schade aan te richten” worden dus virussen, Trojans en andere vormen van malware gedekt. Vroeger stond daar nog wat bij over “zichzelf vermenigvuldigen in een geautomatiseerd werk” zodat je je kon afvragen of een zuivere Trojan er ook onder zou vallen.

Met dit wetsartikel zijn de virusverspreiders dus aan te pakken. En natuurlijk zijn ze ook voor computervredebreuk te vervolgen – ze hebben immers een technische ingreep op de OpenX server van Adfactor gepleegd om deze zo iets te laten doen waar ze niet toe bevoegd waren. Maar ja, vind ze maar eens.

Wat veel mensen echter niet weten, is dat er naast artikel 350a ook nog een artikel 350b Strafrecht is dat over virusverspreiding gaat. En dát artikel biedt een optie om ook eens met gefronste strafrechtwenkbrauwen te kijken naar Adfactor of de sites die via dat netwerk advertenties laten zien:

Hij aan wiens schuld te wijten is dat gegevens wederrechtelijk ter beschikking gesteld of verspreid worden die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie.

Het verschil zit hem in “wiens schuld te wijten” versus “wie verspreidt”. Wie verspreidt, kiest daar actief voor. Wie schuld heeft, heeft dat niet actief gekozen maar was wel een beetje dom bezig, zeg maar. Lichtzinnigheid (“dat valt wel mee, gebeurt toch niet”) of niet genoeg nadenken terwijl dat wel had gemoeten. Beiden zijn vormen van nalatigheid.

En dat biedt dan perspectieven: kun je een advertentienetwerk zulke nalatigheid verwijten? Hoe hard moet je je servers en software controleren, welke mate van nadenken mag je verwachten van zo’n platformbeheerder of van de site waar de advertenties op komen te staan?

Ik ben geneigd te zeggen, dit mag gewoon niet gebeuren klaar – maar dat is onrealistisch, er kan altijd een zeer geavanceerde hack langskomen waar gewoon écht niets aan te doen is. Plus, het blijft mensenwerk dus fouten kunnen altijd gebeuren. Een fout betekent niet automatisch nalatigheid. Maar waar leg je dan de grens? Hebben jullie een suggestie?

Arnoud

Aansprakelijk voor schoonmaakkosten van een virus van je ebookleverancier

Even geen gratis e-books meer, las ik via Twitter bij de blog van Jan Willem Alphenaar. Hij had deze ondergebracht bij een externe site die het “betaal met een tweet”-principe voor hem implementeerde. Dus verplicht twitteren dat je het boek hebt, en dan gratis downloaden. Maar die site bleek rare software (‘Mystart Incredibar’) te installeren bij een geïnteresseerde in het e-book. En deze dreigt nu een factuur te sturen voor de uren van zijn ICT-er om deze weer te verwijderen. Eh, wacht, wát?

Na enig puzzelen bleek het probleem hem te zitten in dit schermpje:

Ziet u ook dat knopje “Download” rechts? Inderdaad, dat downloadt niet het e-book maar een gezellige browserbalk die héél hard blijft plakken. Malware dus. En die verwijderen is geen eenvoudige zaak.

Maar of je de rekening daarvoor bij Alphenaar kunt zeggen, betwijfel ik. Natuurlijk, had hij dit systeem niet gebruikt dan was de infectie niet opgetreden. Maar dat is niet genoeg om automatisch hem alle rekeningen te laten betalen.

Specifiek voor virussen is er een aparte strafbepaling in de wet (art. 350b Strafrecht): als het je te verwijten is dat er een virus (verder) verspreid werd, ben je strafbaar én civiel aansprakelijk voor de schade. Je hebt schuld aan de verspreiding als je de verspreiding had kunnen voorzien met de nodige veiligheidsmaatregelen of onderzoek, en het onzorgvuldig is dat je dat niet hebt gedaan.

Is browserbalkmalware een virus? In principe niet, want het heeft niet als doel schade aanrichten in de computer waar het geïnstalleerd is. Maar volgens het Kournikova-arrest hoeft het doel niet heel expliciet te zijn. Ook het per ongeluk laten vastlopen van systemen (bv. doordat het virus zich te enthousiast verspreidt) telt als ‘schade’. De kosten van het opruimen zijn echter geen ‘schade’ die die balk beoogt of indirect beoogt. De maker van die balk wil integendeel juist dat deze goed werkt, anders gaan mensen ‘m te snel verwijderen.

Echter ook als het geen virus is, gaat die norm van “had je het redelijkerwijs kunnen voorkomen” wel op in het civiele recht. Als die browserbalk in het e-book zelf zat, dan zou ik wel grond zien voor een claim: natuurlijk haal je zo’n e-book even door een scanner voordat je deze uploadt. Wie dat niet doet, is dus nalatig en moet de schade vergoeden.

Maar is het redelijk om te moeten voorzien dat je e-bookverspreider misleidende downloadknoppen toevoegt aan jouw schermpje met “betaal met een tweet”? Dat lijkt me toch niet. Ik kan me moeilijk voorstellen dat een verspreidingssite dit opzettelijk doet, dat kost ze hun reputatie. En googelen naar het bedrijf levert me geen resultaten op die wijzen op boze intenties.

Oké, ze kunnen per ongeluk zijn geïnfecteerd (dat overkomt zelfs Google) maar daar hoef je als e-bookuploadende gebruiker van die dienst geen rekening mee te houden. Dus ook dan zie ik geen grond voor een claim.

En nog iets anders: ik heb zelf een paar keer die “pay with a tweet”-diensten gebruikt maar nog nooit zo’n downloadknop aan de zijkant gezien. Je gaat je dan haast afvragen of een eerder stukje malware niet die webpagina bewerkt heeft.

Arnoud

Hackers besmetten Nederlandse internetters via advertentienetwerk

fake-alert.pngHackers hebben malware verspreid via een advertentienetwerk, meldde Tweakers gisteren. Bekende sites van Wegener, Sanoma en Reed Business zouden zijn getroffen, maar niet Nu.nl, meldt Nu.nl. Het virus doet voorkomen alsof een computer crasht en biedt vervolgens een oplossing voor het probleem, waar de gebruiker dan wel voor moet betalen. Drie keer raden welke vraag ik nu ga behandelen.

De wet stelt het opzettelijk verspreiden of ter beschikking stellen van kwaadaardige software zoals virussen en wormen strafbaar, met de generieke definitie “programma’s die bestemd zijn om schade aan te richten in een geautomatiseerd werk”. Daarmee zijn zo ongeveer alle soorten virussen en wormen gedekt.

Het per ongeluk (laten) verspreiden van virussen of het beschadigen van systemen of informatie is in principe niet strafbaar. Als er door een lek in de software binnengedrongen is, dan is geen sprake van opzet. Er is echter een ondergrens: als systemen door grove nalatigheid beschadigd of onbruikbaar worden gemaakt, dan is het betrokken bedrijf wel degelijk strafbaar. Wel worden de maximumstraffen dan verlaagd.

Het virus (de Trojan?) blijkt verspreid via een advertentienetwerk. Hoe de advertentieserver van het netwerk kon worden besmet, kon men gisteren nog niet zeggen. Dat maakt het moeilijk bepalen of sprake is van grove nalatigheid.

Er is nog nooit iemand aangeklaagd met als beschuldiging grof nalatig te hebben gehandeld bij het verspreiden van virussen of het laten aanrichten van schade. Wellicht dat dit in de toekomst gaat gebeuren: nu het eigenlijk algemeen bekend is dat men eigenlijk een virusscanner en firewall op de pc moet hebben, kan het grof nalatig worden om dit niet te doen. Hetzelfde kan gelden voor bedrijven die hun software niet bijwerken door de updates van Microsoft, Apache en andere bedrijven niet te installeren.

Een boze schadeclaimbrief naar Wegener en andere partijen die meewerkten is echter snel geschreven, en wie weet schrikt er daar dan iemand zó van dat men zomaar gaat betalen. 😉

Arnoud