Wanneer is het hebben van een Remote Acces Tool en een Keylogger strafbaar?

| AE 11106 | Regulering, Security | 22 reacties

In december werd een man veroordeeld voor het voorhanden hebben en verspreiden van Blackshades software. De rechtbank merkte dit aan als medeplichtigheid tot computervredebreuk, omdat deze software gebruikt kan worden om een inbraak in andermans computer te vergemakkelijken. Wat diverse lezers ertoe bracht om me te vragen, hoezo is het strafbaar om die software te hebben? Er zijn zo veel tools voor remote access, hoe moet je nu weten wanneer dat wel of niet strafbaar is?

Het enkele feit dat software geschikt is voor remote access maakt deze natuurlijk niet meteen een hulpmiddel voor computervredebreuk. De wet spreekt van “ontworpen of geschikt gemaakt” voor het misdrijf (art. 139d lid 2 Strafrecht), en niet alle binnengaan of binnendringen in andermans computer is een misdrijf. Een ICT-bedrijf kan immers prima legaal bij de klant zijn computer binnengaan om onderhoud te plegen onder een contract, of op verzoek inloggen om een probleem te herstellen.

Dergelijke software kan ook door criminelen worden gebruikt om stiekem bij mensen binnen te dringen, en dan bijvoorbeeld data te gijzelen of te verkrijgen, of om de computer als springplank voor een aanval elders te gebruiken. Dat zijn misdrijven.

Hoe zie je dan het verschil? Zoals ik wel vaker zeg, dat zie je aan de intentie van hoe de software wordt vermarket en hoe deze in de markt bekend staat. De software Blackshades staat bekend als hackingtool:

Blackshades is the name of a malicious trojan horse used by hackers to control infected computers remotely. The malware targets the computers using Microsoft Windows -based operating systems. According to US officials, over 500,000 computer systems have been infected worldwide with the software. … Blackshades infects computer systems by downloading onto a victim’s computer when the victim accesses a malicious webpage (sometimes downloading onto the victim’s computer without the victim’s knowledge, known as a drive-by download) or through external storage devices, such as USB flash drives.

De rechtbank is dan ook van oordeel dat de Blackshades software hoofdzakelijk is ontworpen om het plegen van computervredebreuk mogelijk te maken. Daarmee is bezit van deze software dus strafbaar. Dat de software ook gebruikt kan worden voor legale activiteiten is dan niet relevant; het gaat erom of hij hoofdzakelijk bedoeld is voor illegale zaken. En gezien hoe deze software algemeen bekend staat, en het soort features dat aan boord is, is dat hier dus het geval.

De verdachte wilde zich aansluiten bij de reeds bestaande Blackshades organisatie, en kreeg dat op zeker moment ook voor elkaar. Bovendien had hij wetenschap van alle functionaliteiten en illegale mogelijkheden van deze software. Dat maakt hem ook strafbaar voor het voorhanden hebben van die software, én voor medeplichtigheid aan misdrijven zoals binnendringen en denial of service aanvallen.

Arnoud

De legaliteit van bootersites en ddos’en kopen

| AE 8253 | Security | 11 reacties

denial-service-ddos-aanval-attackDDoS-aanvallen, waarbij websites worden overspoeld met dataverkeer, worden steeds gemakkelijker en goedkoper, door de opkomst van speciale websites die die aanvallen op commando uitvoeren. Dat meldde de NOS vorige week. Zogeheten booter-sites bieden een makkelijke interface om tijdelijke botnetkracht in te huren om een specifieke website even te overbelasten. Legitieme dienstverlening met het doel de eigen website te kunnen controleren, heet het dan. In juridische taal: kom nou toch.

Het uitvoeren van een ddos-aanval is strafbaar, maar de strafmaat is nog wat onduidelijk. In beginsel staat er één jaar cel op (art. 138b Wetboek van Strafrecht). Maar de paar rechtszaken waarin mensen vervolgd werden voor ddos-aanvallen, hadden grotere gevolgen en daarom werd daar een ander artikel van stal gehaald: het “vernielen, beschadigen of onbruikbaar maken” van een computersysteem of een “stoornis in de gang of in de werking” daarvan veroorzaken (art. 161sexies Strafrecht). Zeker als je dan “gemeen gevaar” of levensgevaar veroorzaakt, gaat het hard met de strafmaat – tot vijftien jaar cel.

Een bootersite voert niet op eigen initiatief een ddos-aanval uit, maar faciliteert het in gang zetten daarvan na betaling door een klant. Op zijn minst is dat medeplichtigheid: het verschaffen van gelegenheid en middelen tot het plegen van het misdrijf.

Vrijwel elke site zegt dan ergens braaf, je koopt een stresstest en je moet een vinkje zetten dat je toestemming hebt van de eigenaar. Maar zoals ik dus al zei, juridisch gezien: moehaha. Kom nou toch. Er zijn een hoop situaties waarbij je kunt zeggen, ik lever een dienst en het hangt van de klant af of het legaal is en dat kan ik niet beoordelen, maar hier? Nope. Vergeet het maar. Al is het maar omdat die sites totaal niet ingeregeld zijn op het voorkomen van misbruik.

En er zit vast ook een stukje vooroordeel in. Een site met groene Courier-letters op een zwarte achtergrond is eerder strafbaar dan zwarte schreefloze letters op een witte achtergrond met strakke stockfoto’s en een blauwe balk met daarin een keurig securitylogo en daaronder “over ons – contact – werken bij” et cetera. Maar ik heb niet het gevoel dat dat hier echt de doorslag gaat geven.

DDoS-inkoopsites schieten “als paddestoelen uit de grond”, aldus een politiewoordvoerder tegen de NOS. Waardoor dat precies komt, is mij niet helemaal duidelijk. Misschien zijn er meer verveelde pubers die het wel grappig (lauw? hoe heet dat tegenwoordig) vinden om elkaar plat te gooien. Of het is makkelijker geworden ddos-aanvallen in te kopen waardoor je makkelijker als reseller aan de slag kunt. Of mis ik iets?

Arnoud