Het verschil tussen een cybercrimetool hebben en cybercrime plegen

| AE 12178 | Regulering | 11 reacties

Met enige regelmaat zie ik discussie en zorgen over het gebruik van tools waarmee je (ook of alleen maar) computergerelateerde misdrijven kunt plegen. Meestal gaat het dan over scanners om zwakheden in systemen op te sporen, of stresstesters waarmee je ook ddos-aanvallen kunt plegen. Het jargon is altijd heerlijk neutraal dan, en logisch want het hebben of aanbieden van tools die bestemd zijn voor misdrijven is strafbaar. En nu was er een jongen die een tool had voor het omzeilen van antivirussoftware, dus dacht het OM: die pakken we daarop, daar heb je geen verhaal op. Maar toch werd dat een vrijspraak.

De verdachte had (zoals te lezen in het arrest) virussen en andere malware geüpload naar een betaalde internetdienst, Razorscanner genaamd. Deze controleert dan je upload met alle virusscanners ter wereld – zodat jij weet of je malware daar voorbij zou komen. Zeer geruststellend voor de klant wordt tevens gemeld dat “De maker van Razorscanner garandeert dat de gegevens met betrekking tot de in het programma geüploade bestanden niet aan de makers van anti-virusproducten worden doorgegeven.” (Ik zou het hilarisch vinden als achteraf blijkt dat ze dat wel deden.)

Aanverwant is de dienst Razorcryptor, die malware kan verstoppen door het bijvoorbeeld te koppelen aan andere software. Deze dienst werd samen met Razorscanner aangeboden, op basis van pay-as-you-go met vooraf gekochte credits. De verdachte had credits gekocht, maar stelde alleen met Razorscanner te hebben gewerkt.

Het Hof begint met vaststellen wat er nu precies strafbaar is, en daar kwamen we natuurlijk voor. Artikel 139ab Strafrecht lid 2 bepaalt:

Met dezelfde straf [als computervredebreuk, lid 1] wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid138b of 139c wordt gepleegd: a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft, of (…)
De discussie die we meestal hebben, is of een bepaalde tool ontworpen is voor het plegen van computervredebreuk of de andere genoemde cybercrimedelicten. Een security scanner heeft ook legitieme doelen, denk aan een bedrijfsnetwerk dat je controleert op brakke byod-apparaten of een onderzoek voor je ISO certificering.

Het Hof heeft er geen moeite deze scandienst te zien als hulpmiddel voor het plegen van computervredebreuk. Je kunt nu je malware (waarmee binnendringen vaak gepleegd wordt) beter afstemmen op het omzeilen van de antivirussoftware van organisaties. Dat is dus effectieve hulp, en duidelijk enkel en alleen bestemd voor computervredebreuk. Verzin maar eens een legitieme reden waarom je zou willen dat iets een virusscanner omzeilt.

Maar het artikel kent nóg een bepaling, namelijk dat je dat hulpmiddel voorhanden hebt met het oogmerk dat daarmee computervredebreuk wordt gepleegd. Oftewel, dat je als verdachte ook echt dat misdrijf ging plegen. Enkel dat je het hulpmiddel hebt, is dus niet genoeg. Misschien had je het per abuis, misschien was je het als journalist of researcher aan het uitpluizen, of misschien was je gewoon nieuwsgierig.

Nee, dat laatste vind ik ook geen héle sterke. Maar tot mijn verbazing zag het Hof hier dat -even kort gezegd- wél aanwezig.

De verdachte heeft ter terechtzitting in hoger beroep verklaard dat hij tijdens zijn middelbareschoolperiode geïnteresseerd is geraakt in de werking van malware en de detectiemogelijkheden van anti-malwareprogramma’s. Onder andere met behulp van MSFencode verstopte de verdachte malware in bestanden en uploadde deze bestanden naar onder meer Razorscanner. Ook testte hij bestanden die hij vond op internet. …
Een concrete aanwijzing was nog dat hij dezelfde malware meerdere malen uploadde, maar nooit malware had gewijzigd nadat de scanner had gezegd dat deze wel gedetecteerd zou worden. Daarom
kan aan de inhoud van het strafdossier en de hiervoor weergegeven informatie geen bewijs worden ontleend dat de verdachte bestanden met daarin malware naar Razorscanner heeft geüpload louter met de bedoeling te vermijden dat de omstandigheid dat de daarin aanwezige malware door geen enkele of slechts een beperkt aantal anti-malwareprogramma’s detecteerbaar was, ter kennis zou worden gebracht van de producenten van dergelijke scanners.
Er is sprake van een geloofwaardige weerlegging die de verdenking ontkracht, aldus het Hof. Dit is niet alleen maar een “nee ik was gehackt” of “ik wilde alleen maar controleren of internet tegen een ddos kon”, hier is een onderbouwing gegeven die past bij de persoon en de feiten die zijn gevonden. (Wie nu denkt, ik verzin op dat moment ook wel een leuk verhaal dat past bij de feiten – de politie heeft meer feiten dan jij denkt, deelt niet alles met je en hangt je, terecht, op aan je leugens.) De verdachte gaat dus vrijuit.

Arnoud

 

Mag een mail gateway iemands mail weggooien zonder dit te melden?

| AE 10436 | Privacy | 10 reacties

Een lezer vroeg me:

Ons bedrijf is overgestapt naar een externe maildienst die een mail gatewaydienst aanbiedt (scannen op malware, virussen en andere bedreigingen). Nu blijkt dat deze mails met dergelijke bedreigingen gewoon stilletjes weggooit. Mag dat zomaar?

Het doet nogal raar aan dat een bedrijf dit zou doen, maar ik denk dat het wel mag, juridisch gezien.

In beginsel zijn bedrijven onderling vrij om hun dienstverlening in te richten zoals hen goeddunkt. Het filteren of controleren van e-mail is voor de wet gewoon een dienst als alle andere, en als de klant het goed vindt dat de dienstverlener verdachte zaken direct weggooit zonder te melden, dan is dat een zakelijke keuze.

Natuurlijk heeft de andere partij (bijvoorbeeld de externe afzender van een mail) hier last van. Diens mails komen niet aan maar hij krijgt dat niet te horen. Hij kan dus weinig doen dan namailen of op zeker moment gaan bellen. Dat is hinderlijk en kan de relatie schaden tussen hem en het bedrijf dat de gatewaydienstverlener ingeschakeld heeft. Maar volgens mij is het niet verboden.

In theorie zou je nog op de AVG kunnen wijzen: de mail gateway verwerkt immers persoonsgegevens door de mail te scannen en door te sturen dan wel weg te gooien. Daarmee geldt er een informatieplicht voor het bedrijf dat de gateway inzet, en de afzender heeft dan een basis voor een claim dat zijn persoonsgegevens ongewenst zijn verwerkt.

Ik denk dat dat in de praktijk niet gaat vliegen. Het scannen van mail en het weggooien van verdachte mail is een relatief bekende praktijk. Daarnaast kan het (zo weet iedereen) altijd gebeuren dat mails spontaan kwijtraken. Je moet er dus sowieso altijd rekening mee houden dat een mail niet aankomt of niet gelezen wordt. Eisen dat de ontvanger je informeert over een blokkade, kan ik dus ook onder de AVG niet hard krijgen.

Arnoud

Wie is aansprakelijk voor schade door malware op een website?

| AE 8957 | Security | 30 reacties

oud-virus-drop-charactesEen lezer vroeg me:

Wie is verantwoordelijk voor schade door malware op een website, wanneer mijn browser of besturingssysteem ook niet up-to-date zijn?

In het Nederlands recht geldt dat wie een ander een onrechtmatige daad aandoet, de schade daardoor moet vergoeden. Dat geldt voor alles, van auto’s bekrassen tot malware infecteren.

Op zich is het antwoord dus simpel: die schade moet worden vergoed door de eigenaar van die website. Natuurlijk zal de hoogte van de schade moeten worden aangetoond, maar dat is een praktisch detail.

Of de eigenaar wist van de malware, doet er daarbij niet toe. Over het algemeen is voor een onrechtmatige daad niet verplicht dat je bewust of zelfs opzettelijk de schade berokkende. Bij malware zou je hooguit nog kunnen zeggen, deze malware was zó moeilijk tegen te houden dat je het mij niet kunt verwijten. Een besmetting als overmacht. Het kan, maar ik zou de lat daar wel hoog voor willen zien.

Lastiger wordt het als het slachtoffer de schade had kunnen voorkomen of beperken. De wet kent de constructie van eigen schuld (art. 6:101 BW), waarbij de hoogte van de schadevergoeding wordt verlaagd naarmate de schade meer te wijten is aan het slachtoffer. De rechter mag daarbij uiteindelijk altijd naar billijkheid van afwijken.

Het niet hebben van een up-to-date browser, besturingssysteem of virusscanner zou je kunnen zien als een stukje eigen schuld, iets dat je zelf makkelijk had kunnen voorkomen. Daar staat tegenover dat je als websitebeheerder in de beste positie bent om malware te voorkomen. Ik denk dus niet dat je heel makkelijk aan eigen schuld komt hier, of je moet wel héél ver achterlopen, geen enkele securityscanner hebben en een browser uit 1998 gebruiken.

Arnoud

Lenovo installeert nepcertificaat en malware op nieuwe laptops, mag dat?

| AE 7452 | Security | 36 reacties

Lenovo injecteert nieuwe laptops met malware, meldde Nu.nl gisteren. Het gaat om de Superfish-software, die advertenties en floepvensters toevoegt aan webpagina’s. En om dat ook bij beveiligde sites te kunnen doen, is een SSL root certificaat geïnstalleerd zodat beveiligd verkeer omgeleid kan worden en Superfish er tussen kan komen met z’n rommel. Stilletjes adware op… Lees verder

Microsoft verwijdert Tor-software in strijd tegen botnet, mag dat?

| AE 6300 | Security | 9 reacties

Om het Sefnit-botnet tegen te houden, heeft Microsoft op zo’n twee miljoen computers de anonimiteitssoftware Tor verwijderd, zo las ik bij Daily Dot (via). Sefnit communiceerde via het Tor-netwerk waarmee een hoog niveau van anonimiteit kan worden behaald. Toen Microsoft dit doorhad, was het een kwestie van de Tor software toevoegen aan de detectie van… Lees verder

Is een site aansprakelijk voor besmette advertenties?

| AE 6053 | Ondernemingsvrijheid | 12 reacties

Verschillende bekende Nederlandse websites hebben vanwege een gehackte advertentieplatform bezoekers geïnfecteerde advertenties getoond, las ik bij Security.nl. Een server van het bedrijf Adfactor was gecompromitteerd en daardoor kon een banking Trojan (Sinowal) worden verspreid. Echter, door een fout van de aanvallers werkte de aanval niet. Maar goed, stel hij werkte wél, had je dan het… Lees verder

Aansprakelijk voor schoonmaakkosten van een virus van je ebookleverancier

| AE 4694 | Ondernemingsvrijheid, Security | 18 reacties

Even geen gratis e-books meer, las ik via Twitter bij de blog van Jan Willem Alphenaar. Hij had deze ondergebracht bij een externe site die het “betaal met een tweet”-principe voor hem implementeerde. Dus verplicht twitteren dat je het boek hebt, en dan gratis downloaden. Maar die site bleek rare software (‘Mystart Incredibar’) te installeren… Lees verder

Hackers besmetten Nederlandse internetters via advertentienetwerk

| AE 2741 | Ondernemingsvrijheid, Security | 6 reacties

Hackers hebben malware verspreid via een advertentienetwerk, meldde Tweakers gisteren. Bekende sites van Wegener, Sanoma en Reed Business zouden zijn getroffen, maar niet Nu.nl, meldt Nu.nl. Het virus doet voorkomen alsof een computer crasht en biedt vervolgens een oplossing voor het probleem, waar de gebruiker dan wel voor moet betalen. Drie keer raden welke vraag… Lees verder

DollarRevenue-affiliate krijgt 14.000 euro boete voor verspreiden reclameworm

| AE 2462 | Security | 6 reacties

Een affiliate van het beruchte DollarRevenue heeft van de rechtbank een boete van 14.000 euro gekregen, meldde Webwereld vorige week. De OPTA kwam tijdens het onderzoek naar spyware van DollarRevenue de namen tegen van twee Nederlanders die als affiliate stonden geregistreerd bij het bedrijf. Zij verspreidden tegen betaling de DollarRevenue-software, en de OPTA merkte ze… Lees verder

‘Uw virus schendt mijn auteursrecht’

Ook op virussen en bots zit auteursrecht. Het is alleen wat lastig om je recht te halen als het werk ontworpen en gebruikt is voor illegale activiteiten zoals spammen en computervredebreuk. Een slimme Rus had daar wat op verzonnen: plak een EULA op je botsoftware met een leuke boeteclausule: In cases of violations of the… Lees verder