Is het strafbaar om je kwetsbare router uit 2016 te blijven gebruiken?

| AE 13549 | Security | 41 reacties

Een lezer vroeg me:

Naar aanleiding van de recente besmetting van oudere D-Link routers vroeg ik me af: is het blijven gebruiken van een besmet apparaat, waarmee bijvoorbeeld ddos-aanvallen worden uitgevoerd waar de eigenaar geen last van heeft, strafbaar? Ben je verplicht om bij een vastgestelde besmetting actie te ondernemen?
Die oudere D-Link routers blijken kwetsbaar voor de Mirai-botnetsoftware, en omdat hiervoor geen updates meer beschikbaar komen (al sinds 2016) is het een kwestie van tijd totdat ze besmet raken. Er is dus weinig aan te doen behalve je router vervangen, en dat is een lastige want voor de consument-gebruiker lijkt het ding nog prima te werken.

Er is althans op papier een mogelijkheid om het strafbaar te noemen dat je met zo’n apparaat door blijft werken. Art. 350b Strafrecht bepaalt namelijk in lid 2:

Hij aan wiens schuld te wijten is dat gegevens wederrechtelijk ter beschikking gesteld of verspreid worden die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie.
Malware zoals Mirai verspreidt zichzelf en heeft als doel schade aan te richten (door ddos-aanvallen, waar die router dan aan meedoet), dus dat valt onder het begrip ‘gegevens’ uit dit wetsartikel. De vraag is dan dus: heb je juridisch gezien “schuld” aan dat verspreiden als je een niet meer te updaten router aan laat staan, wetende dat Mirai actief zoekt naar (onder meer) dit type apparaat?

De term “schuld” is een trapje lager dan “opzet” (met daartussen de “voorwaardelijke opzet”). Kort door de bocht is de vraag of je dit risico redelijkerwijs had kunnen voorzien en het desondanks voor lief hebt genomen. Weet een gemiddeld gebruiker dat zijn D-Link router niet meer wordt bijgewerkt sinds 2016?

Daar komt bij: wat kon je redelijkerwijs doen om het gevaar af te wenden? De enige optie lijkt te zijn, de router vervangen. Voor 50 euro heb je al een prima router voor thuis, maar ik geef toe dat lang niet iedereen zo even 50 euro over heeft voor een nieuw apparaatje (dat is een modaal weekbudget boodschappen) als de oude het nog doet, nog los van de tijd (en ict-kennis) om zo je netwerk opnieuw in te richten.

En dat moet je dan tegenover de impact stellen: het is niet zo dat jóuw router wereldwijd enorme schade aanricht, je bent een klein deeltje van een enorm netwerk. Cynisch gezegd maakt het dan weinig uit dat enkel en specifiek jij je router vervangt, die aanval komt er toch wel want de totale massa aan geïnfecteerde systemen is enorm. Maatschappelijk is het gewenst dat iedereen die apparaten vervangt, maar daar is dus geen juridische prikkel voor.

Arnoud

Minister stuurt wetsvoorstel dat doxing strafbaar moet maken naar Tweede Kamer

| AE 13453 | Regulering | 10 reacties

De Nederlandse minister van Justitie en Veiligheid Dilan Ye?ilgöz-Zegerius heeft een wetsvoorstel dat doxing strafbaar moet stellen, naar de Tweede Kamer gestuurd. Dat meldde Tweakers vorige week. Doxing is de wat merkwaardige internetterm voor “iemands identiteit achterhalen”, waarbij het eigenlijk altijd gaat, zoals het wetsvoorstel zegt, om het gebruik van persoonsgegevens voor intimiderende doeleinden. De maximale straf moet een jaar cel of 9000 euro boete worden.

Het wetsvoorstel is breed geformuleerd maar focust nadrukkelijk op – wat Grapperhaus al zei – het onthullen van identiteit of woonadres van politie of andere ambtenaren:

Degene die zich persoonsgegevens van een ander of een derde verschaft, deze gegevens verspreidt of anderszins ter beschikking stelt met het oogmerk om die ander vrees aan te jagen dan wel aan te laten jagen, ernstige overlast aan te doen dan wel aan te laten doen of hem in de uitoefening van zijn ambt of beroep ernstig te hinderen dan wel ernstig te laten hinderen, wordt gestraft met gevangenisstraf van ten hoogste een jaar of geldboete van de derde categorie.
Het Tweakers-artikel meldt “Niet alleen daders vallen onder de wet. In het voorstel wordt ook gesproken over faciliterende partijen zoals internetplatforms. ” Maar voor de duidelijkheid: er is geen aparte nieuwe strafbaarstelling of medewerkplicht voor zulke partijen. Het mechanisme is gewoon notice-takedown, immers als een klant iets evident strafbaars doet en de provider wordt daarvan op de hoogte gesteld, dan moet deze dat bericht offline halen of blokkeren. En nu doxing dus strafbaar wordt, dienen providers ook daarbij in te grijpen.

Wel nog belangrijk is dat voorlopige hechtenis mogelijk is bij verdenking van dit misdrijf, het komt op de lijst van artikel 67 Strafvordering. Dat heeft meer effecten, zoals dat huiszoeking mogelijk is (art. 55a Sv) en vingerafdrukken mogen worden afgenomen (art. 55c). Ook is pseudokoop of -dienstverlening mogelijk (art. 126i), wat handig kan zijn als de verdachte in het openbaar alleen zegt dat hij de gegevens heeft maar ze alleen op individueel verzoek verstrekt. Dan kan een undercoveragent ze kopen, iets dat normaal lastig kan liggen vanwege uitlokking.

Natuurlijk blijven er bewijsproblemen, zoals dat oogmerk: als iemand een adres online zet met alleen knipogende smileys of “wie stuurt er een bloemetje”, kun je daar dan uit afleiden dat het gaat om vrees aanjagen of overlast aandoen? Dat is geen nieuw probleem in het strafrecht, hoe je een oogmerk bewijst.

Wat in ieder geval niet van belang is, is of de gegevens al ergens in het openbaar staan. Waar het om gaat, is of de verdachte ze publiceert met dat oogmerk van vrees aanjagen. Dat kan net zo goed als je de gegevens van de KVK ophaalt of uit een door het slachtoffer zelf gepubliceerd document, of voor mijn part het online telefoonboek.

En als laatste: ik lees her en der dat mensen de straf nogal laag vinden als maximum. Dat snap ik, maar realiseer je dat dit bedoeld is voor een situatie waarin alleen een publicatie met dreigend oogmerk te vinden is. Als er meer gebeurt, zoals dat mensen daadwerkelijk langsgaan, dan kun je het ook spelen via medeplichtigheid aan opruiing of bedreiging. En de opsporingsmiddelen in kunnen zetten is denk ik het werkelijke voordeel voor Justitie: de kans is groot dat er meer te vinden is als je langsgaat.

Arnoud

Onder welk recht vallen misdrijven in de Metaverse eigenlijk?

| AE 13017 | Ondernemingsvrijheid, Regulering | 16 reacties

Via Twitter:

als je straks in het #Metaverse van Facebook een misdrijf begaat, onder welke wetten valt dat dan?
Ik zou zelf de Metaverse zeggen, maar dat terzijde. De vraag is natuurlijk relevant omdat de Metaverse een nieuwe manier is om via internet te interacteren en dingen te doen. Dat kunnen ook strafbare dingen zijn, en omdat de Metaverse nadrukkelijk wordt vormgegeven als een driedimensionale virtuele wereld, ontstaat dan het beeld van een ‘nieuw’ land, een nieuwe wereld. Hoe past dat bij oude wetten?

“Governments of the Industrial World, you weary giants of flesh and steel, I come from Cyberspace, the new home of Mind”, aldus ooit John Perry Barlow, die al in 1996 voorzag dat internet breed gezien zou worden als een nieuwe wereld. Helaas voor hem trok niemand zich wat aan van deze onafhankelijkheidsverklaring-1.0.html, met name niet als het gaat om strafrecht: landen, hoe vermoeid of ouderwets ook, zien het kunnen reguleren van hun burgers en hun grondgebied als een kerntaak waar andere mensen van af moeten blijven.

Het korte antwoord is dan ook: De wetten van de landen waar je handelingen criminele impact hebben. Dit is niet uniek, bij Web 1.0 en 2.0 ook al zo. Er is immers geen wereldstrafhof.

Het iets langere antwoord: omdat wetgeving het concept van virtuele werelden niet erkent, althans niet in de zin van “niet ons terrein, vriend”, moet je bij het bepalen van jurisdictie dus daar doorheen prikken. Wat gebeurt er juridisch gezien, en wáár gebeurt dat? Slaat iemand ergens data op, wordt er een bericht verstuurd of ontvangen, ondervindt er iemand schade en zo ja waar zit die iemand?

Onbevredigend is dat wel. Als je in het Metaverse actief bent, dan wil je eigenlijk niet weten in welk fysiek land je handelen zich nu afspeelt, zeker niet als landen rare dingen gaan doen als “de server staat bij ons” of “iemand die hier woont, kan het lezen”. Maar toch werkt het zo. En dat kan dus betekenen dat je de strafwetgeving van meerdere landen tegelijk moet respecteren, ook van landen waar je nooit gehoord hebt. Als Meta vanwege fiscale redenen een belangrijk deel van de dienst in een belastingparadijs als Nederland parkeert, dan valt iedereen onder Nederlands recht. En tegelijk misschien ook wel onder dat van Thailand, als die wereldwijde verboden hebben op het beledigen van hun staatshoofd.

Daar staat tegenover dat het meestal “alleen maar” om uitingsdelicten gaat. Smaad, laster, aanzetten tot haat, dat werk. Bij strafrecht denken we eerder aan moord en vernieling, maar in de Metaverse vind ik het moeilijk voor te stellen hoe je iemand zou vermoorden. Het kan zeer interessante en unieke lectuur (<- lees dit) opleveren, maar je komt echt niet in het terrein van het strafrecht. Hooguit bij virtuele diefstal, waar Nederland relatief unieke jurisprudentie over heeft.

Arnoud

Eh nee, F12 indrukken bij een website is geen criminele handeling

| AE 12980 | Ondernemingsvrijheid, Security | 24 reacties

(Geen zorgen, nog een keer F12 en je scherm is weer normaal.) Het ziet er misschien heel imponerend uit, maar dit is gewoon het onderwaterscherm waarmee je onder meer de broncode van de huidige site in beeld krijgt. Dan kun je soms net iets meer informatie zien. Zoals recent journalist Josh Renaud uit Missouri ontdekte: de social… Lees verder

Mag een zoekmachine het World-Wide Web scannen op securitykwetsbaarheden?

| AE 12830 | Security, Uitingsvrijheid | 2 reacties

Een lezer vroeg me: Ik las dat in augustus tijdens de Defcon-hackerconferentie de zoekmachine Punkspider opnieuw gelanceerd zal worden. Deze zal dan dagelijks miljoenen websites op kwetsbaarheden scannen. De resultaten zijn vervolgens via de zoekmachine te vinden, wat volgens de ontwikkelaars voor een veiliger web moet zorgen. Hoe is dat in vredesnaam legaal, laat staan… Lees verder

Politie overtreedt opnieuw regels voor inzet hackingtools

| AE 12762 | Regulering | 6 reacties

De politie heeft zich opnieuw niet aan de regels gehouden bij het inzetten van hackingtools. Dat las ik bij Tweakers, dat zich baseert op een rapport van de Inspectie Justitie en Veiligheid. In dit rapport concludeert de inspectie dat de politie zich niet hield aan de gestelde voorwaarden houdt voor het inzetten van hacking tools. De politie… Lees verder

Aangifte tegen studenten om racistische plaatjes in appgroepen

| AE 11825 | Uitingsvrijheid | 11 reacties

Studenten van de Erasmus Universiteit en de Hogeschool van Rotterdam hebben seksistische, racistische, antisemitische beelden en porno gedeeld in besloten appgroepen. Dat meldde de Telegraaf onlangs. De universiteit en de hogeschool gaan daarom aangifte doen, en mogelijk ook eigen maatregelen (zoals schorsing) nemen. In appgroepen werden heftige beelden gedeeld onder het mom van ‘grappig’ en… Lees verder

Hoe strafbaar is het liken van strafbare berichten?

| AE 9462 | Regulering | 19 reacties

Een rechter in Zwitserland heeft een man veroordeeld vanwege het liken van lasterlijke berichten over een dierenrechtenactivist op Facebook, las ik bij de NOS. Met zijn likes zou hij de posts uitdrukkelijk hebben onderschreven, en daarmee zeg maar medeplichtig zijn aan het plegen van de laster. Dat vonden ze bij de NOS raar: liken is… Lees verder

Mag je gekraakte wachtwoorden of hashes in je bezit hebben?

| AE 9278 | Regulering, Security | 16 reacties

Een lezer vroeg me: Er zijn veel dumps van gehackte wachtwoorddatabases (b.v. LinkedIn) beschikbaar op internet. Is het strafbaar om (1) deze in je bezit te hebben (2) hashes in zo’n dump te kraken en (3) gekraakte wachtwoorden publiek te maken in b.v. presentaties of publicaties? Het is op dit moment algemeen niet strafbaar om… Lees verder

Is het strafbaar een USB-killer in je tas te hebben?

| AE 8097 | Regulering, Security | 47 reacties

Een Russische onderzoeker heeft een USB-stick ontwikkeld waarmee het mogelijk is om computers te vernielen, las ik bij Security.nl. De USB-killer stuurt een stroomstoot op -220 Volt naar het moederbord van de computer waar je hem insteekt, en dat is redelijk fataal. Oké, leuk, maar dan wordt het juridisch interessant: stel je stopt die in… Lees verder