Wanneer URL-manipulatie strafbaar is als computervredebreuk

Vanwege mijn vakantie deze week geen nieuwe blogs. In plaats daarvan een terugblik op de afgelopen tien jaar: ik heb vijf populaire blogs geselecteerd en kijk er anno 2017 graag nog eens naar met jullie.

Vandaag: Wanneer URL-manipulatie strafbaar is als computervredebreuk,

De man die de kersttoespraak van koningin Beatrix op internet vond, heeft zich strafbaar gemaakt. Zoiets zei ik Eerste Kerstdag [2012] tegen de NOS. En dat maakte nogal wat los. URL’s zijn toch openbare adressen, wat op een server staat is niet geheim, er wordt niets gekraakt, dit is toch pure domheid van de RVD, en ga zo maar door. Ja ja dat klopt allemaal en de RVD is ook een stel prutsers maar het blijft een feit dat binnendringen óók zonder iets te kraken strafbaar is.

Sinds 2006 hebben we een brede definitie van computervredebreuk: ieder opzettelijk en wederrechtelijk “binnendringen” in een computersysteem is strafbaar, ook als er niets wordt gekraakt, omzeild, geïnjecteerd of vervalst. Zodra je ergens bent waarvan je wéét dat je er niet mag zijn, ben je formeel al in overtreding. En ik zie werkelijk niet waarom dat wél zou gelden bij een SQL injectie en niet bij een trivialer vorm van URL-manipulatie – zoals bij de kersttoespraakurl waarbij het een kwestie was van jaartal en UID aanpassen. Beiden zijn aanpassen van URLs.

Ik blijf het een hele moeilijke kwestie vinden. Volgens mij komt het uiteindelijk 99% neer op de intentie van het manipuleren van die URL. Een logische voor de hand liggende URL intypen (uit de comments: nl.wikipedia.org/wiki en dan eh Arnoud_Engelfried) voelt heel anders dan met getallen gaan spelen in de hoop dat je iets krijgt waarvan je wéét dat het er nog niet is. Zoals op 24 december de video van de kersttoespraak die is aangekondigd voor de 25e.

Wat me opviel bij teruglezen van de discussie is dat veel mensen een wezenlijk verschil zien tussen een ID aanpassen en dingen als SQL injectie of buffer overflows, die je toch ook via de URL doet. Zit hem het verschil dan in hoe moeilijk het is om dit te doen? Een ID aanpassen kan een kind, een buffer overflow exploiteren vereist toch enige expertise (of een gegoogeld script).

Of gaat het erom dat een ID duidelijk herkenbaar is als een ID, zodat aanpassen daarvan in de lijn der verwachtingen ligt? Zo van, hier zit een grote rode knop, natúúrlijk gaan mensen daarop klikken. Natuurlijk gaan mensen 201112253998 veranderen in 201212254003. Dat is gewoon, eh, een logisch volgend getal, beetje rare interface maar ik blader gewoon. En SQL injectie is dan anders omdat dat volstrekt onlogisch is om te doen. Niemand heet “Robert’); DROP TABLE students –” immers. Of Robert Oot dan wel Jennifer Null.

Peins peins.

Arnoud

Wat nou als je URL de inhoud *is*?

hash-signEen lezer wees me op dit Slashdotbericht over “unhosted data”: je kunt in een URL achter het #-teken alle data opnemen die je wilt, dus ook bijvoorbeeld een foto of tekstbestand in gecodeerde vorm. Vervolgens kun je die URL verspreiden zoals dat met alle URL’s kan, waardoor je de content verspreidt zonder dat je die ergens hoeft te hosten. Leuk idee, maar kom je er bij de rechter mee weg?

Ik noem rechters wel eens Do-What-I-Mean compilers van het recht, en dat is vanwege dit soort grappen. Het idee op zich is natuurlijk nieuw, maar uiteindelijk gaat het er bij het recht nooit echt om hoe iets nu precies technisch werkt. Wat je doet, speelt wel mee, maar het effect van wat je wilt bereiken weegt minstens zo zwaar.

Als je in feite niets anders van plan bent dan de wet omzeilen, dan heb je toch echt een probleem. Rechters hebben misschien weinig verstand van URL’s, maar ze hebben al meer dan 500 jaar ervaring met bijdehante figuren die met “ja nee maar eigenlijk doe ik alleen maar” aankomen en dan de meest fantastische verhalen ophangen terwijl duidelijk is wat er eigenlijk gebeurt. Daar wordt dus al snel doorheen geprikt.

In dit geval zegt de bedenker, ja nee maar eigenlijk stuur je dan mensen alleen een URL. Dat is niet waar: je stuurt mensen een stuk content, al dan niet in strijd met andermans rechten (of een andere wet). Juridisch gaat “het is maar een URL” hem dus niet worden – you can’t hack the law.

Het doet me denken aan oudere grappen waarbij bijvoorbeeld een film werd gecodeerd tot een heel groot priemgetal. Wie daar bezwaar tegen had, wilde in feite priemgetallen verbieden. Nee: je bent een film aan het verspreiden. Dat jij voor een manier kiest waarbij de codering een priemgetal oplevert, is dan niet meer relevant.

Natuurlijk, het is een leuke truc en het zal een stuk lastiger zijn om dit soort informatieverspreiding aan te pakken dan ‘gewoon’ een site waar dingen gepubliceerd staan. Maar dat iets lastiger aan te pakken is, betekent nog niet dat het juridisch ineens vernieuwend is.

Arnoud

Wanneer URL-manipulatie strafbaar is als computervredebreuk

nos-url-manipulatieDe man die de kersttoespraak van koningin Beatrix op internet vond, heeft zich strafbaar gemaakt. Zoiets zei ik Eerste Kerstdag tegen de NOS. En dat maakte nogal wat los. URL’s zijn toch openbare adressen, wat op een server staat is niet geheim, er wordt niets gekraakt, dit is toch pure domheid van de RVD, en ga zo maar door. Ja ja dat klopt allemaal en de RVD is ook een stel prutsers maar het blijft een feit dat binnendringen óók zonder iets te kraken strafbaar is.

Sinds 2006 hebben we een brede definitie van computervredebreuk: ieder opzettelijk en wederrechtelijk “binnendringen” in een computersysteem is strafbaar, ook als er niets wordt gekraakt, omzeild, geïnjecteerd of vervalst. Zodra je ergens bent waarvan je wéét dat je er niet mag zijn, ben je formeel al in overtreding. En ik zie werkelijk niet waarom dat wél zou gelden bij een SQL injectie en niet bij een trivialer vorm van URL-manipulatie – zoals bij de kersttoespraakurl waarbij het een kwestie was van jaartal en UID aanpassen. Beiden zijn aanpassen van URLs.

Natuurlijk, het is technisch bepaald triviaal en volstrekt onvergelijkbaar met het soort hack waarmee Diginotar gekraakt werd, dus om het nou “hacken” te noemen is wel erg veel eer. Maar het formele punt blijft. Je verandert een webadres om informatie te krijgen die niet openbaar bedoeld was. Waarom maakt het uit of je dat met de toevoeging ” OR 1=1; SELECT * FROM userdata” doet of door 31337 te veranderen in 31338?

Een veelgehoord argument was dat informatie op een website openbaar is tenzij deze afgeschermd is. Dan zou er per definitie dus geen sprake van binnendringen kunnen zijn. Sympathiek, en ik zou het graag zo zien, maar dat staat niet in de wet. Net zo min als er in de wet staat dat je mijn achtertuin mag betreden als er geen hek omheen staat. Dat is en blijft mijn eigendom en ik beslis wie daar mag lopen of kamperen.

Het blijft natuurlijk van de zotte dat de RVD een “onderzoek” gaat instellen, en ik kan me níet voorstellen dat het OM meer dan vijf minuten besteedt aan een eventuele aangifte.

Arnoud