Vervolging 'script-kiddies' / uitkijken met welke technologie je bespreekt

[willemj]

Afgelopen donderdag zijn 4 jongeren veroordeeld tot o.a. 80 uur werkstraf (subsidiair 40 dagen gevangenisstraf) voor een DDOS op een website (het zorgen dat de site niet meer toegankelijk is) Eerste keer in Nederland dat daar een veroordeling voor is gedaan. Wat me opviel was deze tekst:

 

Gezien het vorenstaande is de rechtbank van oordeel dat verdachte met zijn deelname aan de proefaanval op 22 oktober 2004, het uitwisselen van informatie met medeverdachte [verdachte De V] en het compileren van een bot voor het updaten van het botnetwerk van [verdachte De V], een zodanig intellectuele bijdrage heeft geleverd aan de ddos-aanval op geenstijl.nl op 24 oktober 2004, dat verdachte als medepleger van laatstgenoemde aanval dient te worden aangemerkt.

 

Geef mij een kroeg, een paar biertjes en een nerd als tegenpartij en ik beraam net zo'n plan om een site plat te leggen. M'n kennis deel ik ook met alle plezier (online) met derden. Uitvoeren natuurlijk niet ;) Maar ik heb ook wel eens security audits gedaan op sites waarbij ik dezelfde soort tools gebruik als 'hackers'. En voor de lol vind de source code van een virus bekijken ook wel leuk (tja, ben Nerd) Kleine stap om dat te vertalen naar bovenstaande omschrijving van de veroordeelde.

 

Geeft me weer te denken hoe weinig ik weet op welke grens van de wet ik soms bezig ben.

 

Wet bescherming persoonsgegevens is ook zoiets. Je hoeft als webbouwer maar persoonsgegevens in een database op een webserver te zetten en je hebt er mee te maken. Houden jullie daar rekening mee? En nog belangrijker hoe maak je de vertaalslag van de juridische taal naar wat je daadwerkelijk moet doen/ wel of niet mag?

[juul.s]

Geef mij een kroeg, een paar biertjes en een nerd als tegenpartij en ik beraam net zo'n plan om een site plat te leggen.

 

Krijg je ook zo'n mooie titel voor in je CV. Maar achter 'intellectuele bijdrage' zal niet meer betekenis zitten dan dat bepaalde stukken code aanwijsbaar zijn gemaakt door die persoon. Ik denk niet dat het betekenis heeft op de superioriteit van het werk.

[willemj]

Geef mij een kroeg, een paar biertjes en een nerd als tegenpartij en ik beraam net zo'n plan om een site plat te leggen.

 

Krijg je ook zo'n mooie titel voor in je CV. Maar achter 'intellectuele bijdrage' zal niet meer betekenis zitten dan dat bepaalde stukken code aanwijsbaar zijn gemaakt door die persoon. Ik denk niet dat het betekenis heeft op de superioriteit van het werk.

 

Vergeet het woord 'intellectueel' even. Dat heeft jurdische gezien, inderdaad, waarschijnlijk ongeveer de betekenis 'meegedacht over' in leken termen. Zo las ik het in ieder geval. Stuk is cursief omdat het meedenken, testen van techniek zonder directe gevolgen en toegang tot en compileren van software die gebruikt kan worden voor strafbare feiten dus blijkbaar een veroordeling tot gevolg kan hebben.

[Edward]

Vergeet het woord 'intellectueel' even. Dat heeft jurdische gezien, inderdaad, waarschijnlijk ongeveer de betekenis 'meegedacht over' in leken termen. Zo las ik het in ieder geval.

Goed gelezen.

 

Stuk is cursief omdat het meedenken, testen van techniek zonder directe gevolgen en toegang tot en compileren van software die gebruikt kan worden voor strafbare feiten dus blijkbaar een veroordeling tot gevolg kan hebben.

Nee, de rechtbank komt voor zover ik uit het vonnis kan afleiden tot een bewezen verklaring onder meer op grond van de verklaring van verdachte zelf.

 

Verdachte verklaart over bovenvermeld chatgesprek ter terechtzitting dat hij inderdaad met medeverdachte [verdachte De V] heeft besproken op welke wijze geenstijl.nl het beste kon worden aangepakt, dat is bekeken of vorenvermeld jpg-bestand kon worden besmet en dat zij bij wijze van proef 120 seconden een ddos-aanval op geenstijl.nl hebben uitgevoerd. Verdachte wist dat [verdachte De V] betrokken was geweest bij de aanval op websites van de overheid eerder die maand en wist ook van de problemen van [verdachte De V] met geenstijl.nl (persoonsdossier, p. 17). In het verhoor bij de politie verklaart verdachte dat hij met medeverdachte [verdachte De V] meedacht hoe hij het beste de site van geenstijl.nl kon platleggen. Hij heeft daarna op verzoek van medeverdachte [verdachte De V] een bot gecompileerd (blz. 193) en heeft dit gedaan zodat medeverdachte [verdachte De V] diens botnetwerk kon updaten naar een nieuwe versie om zichzelf te verspreiden (blz. 194).

 

Enkel en alleen het ventileren van kennis zou niet voldoende zijn om tot een bewezenverklaring te komen van medeplegen aan een opzettelijke stoornis. Om tot een veroordeling te komen moet verdachte niet alleen hebben meegedacht, zijn meedenken moet ook nog eens zijn gericht op het storen van. Niet alleen de wetenschap, maar ook de wil is van belang om tot een veroordeling te komen van dit delict.

[willemj]

Om tot een veroordeling te komen moet verdachte niet alleen hebben meegedacht, zijn meedenken moet ook nog eens zijn gericht op het storen van. Niet alleen de wetenschap, maar ook de wil is van belang om tot een veroordeling te komen van dit delict.

 

Dus als ik iemand uitleg hoe je inbreekt op een netwerk maar denk dat die persoon daar geen gebruik van gaat maken is er niets aan de hand?

[R.I.P. - Benm]

Het lijkt me sterk dat je daardoor in problemen kunt geraken, tenzij je bijvoorbeeld een specifiek lek bespreekt dat je weet door inside information.

 

Als ik iemand uitleg hoe je een slot kunt picken ben ik toch ook niet verantwoordelijk als diegene dat vervolgens toepast om ergens een inbraak te plegen? Uiteraard wordt ook dat een ander verhaal als ik die persoon de sleutel van andermans pand bezorg..

[WelleKe]

Dus als ik iemand uitleg hoe je inbreekt op een netwerk maar denk dat die persoon daar geen gebruik van gaat maken is er niets aan de hand?

 

Het is wel naïef ;)

 

Het is altijd moeilijk dit soort uitspraken goed te interpreteren, gelukkig heeft Edward dat wat nader toegelicht. Je zou anders namelijk voor de verandering weer eens de wapenindustrie erbij kunnen pakken. Die leveren ook de faciliteiten (wapens=code) om nare dingen te doen. Maar het is niet de wil van de wapenindustrie om het tot uitvoering te brengen. Het zal inderdaad wel weer anders liggen als iemand een wapen op maat gaat maken om een moord te plegen.

[willemj]

Als ik iemand uitleg hoe je een slot kunt picken ben ik toch ook niet verantwoordelijk als diegene dat vervolgens toepast om ergens een inbraak te plegen?

 

Als die persoon tegen jou zegt 'ik wil gaan inbreken bij m'n baas' en jij vertelt hem daarop hoe je dat slot picked dan zit je dus blijkbaar wel in de gevarenzone.

 

Maar om terug te komen op m'n andere vraag. Zijn jullie op de hoogte van relevante wetgeving en de consequenties? Hoe kom je aan die informatie en hoe vertaal je de juridische informatie naar de praktijk?

 

Voorbeeld wet berscherming persoonsgegevens noemde ik al maar denk ook aan de colportage wet/wet kopen op afstand.

[willemj]

En zo denk je nog rustig te kunnen nerden en zo lees je dat Donner met een waanzinnig voorstel komt:

 

Het versturen van computervirussen en grote hoeveelheden 'spam' wordt strafbaar. Daarnaast wil minister Donner (Justitie) dat elke poging tot inbraak in een computer strafbaar wordt gesteld.

 

Ten slotte wordt ook een aantal voorbereidingshandelingen voor het plegen van computercriminaliteit of bijvoorbeeld het voorhanden hebben van technische hulpmiddelen (software), strafbaar gesteld.

 

Bron:regering.nl

 

Moet ik straks m'n portscan en draadloosnetwerksniffer software (die ik voor legitieme doeleinden gebruik) weg gaan weggooien? Er moet nog steeds aangetoond worden dat men de software met de foute intentie in bezit heeft. Hoop maar dat een overijverige provider die mijn portscan oppikt me even vraagt waarom ik dat deed ;)

 

Zie ook het persbericht van MinJus

[R.I.P. - Benm]

Ach, zo'n vaart zal het wel niet lopen, zelfs als dit soort wetgeving erdoor komt. Strabaar is 1 ding, een poging doen tot vervolging is een 2e, en een rechter zo gek krijgen te veroordelen is een 3e.

 

Het risico zit hem er wel in dat de kans vrij groot is dat een rechter het allemaal niet zo best begrijpt, en dan wellicht onterecht zou kunnen veroordelen.

 

Met een hamer kun je ook iemand doodslaan, maar enkel het bezit van de hamer bewijzen schiet qua veroordeling ook niet op... alleen leg die analogie maar eens uit voor een complex stuk software.

[Edo van Santen]

Ach, zo'n vaart zal het wel niet lopen, zelfs als dit soort wetgeving erdoor komt. Strabaar is 1 ding, een poging doen tot vervolging is een 2e, en een rechter zo gek krijgen te veroordelen is een 3e.

 

Het risico zit hem er wel in dat de kans vrij groot is dat een rechter het allemaal niet zo best begrijpt, en dan wellicht onterecht zou kunnen veroordelen.

 

Met Joost Tonino als officier van Justitie erbij zal het niet zo'n vaart lopen ;D

[willemj]

ch, zo'n vaart zal het wel niet lopen, zelfs als dit soort wetgeving erdoor komt. Strabaar is 1 ding, een poging doen tot vervolging is een 2e, en een rechter zo gek krijgen te veroordelen is een 3e.

 

Verdacht worden en beslaglegging op je PC's lijkt me ook niet zo'n pretje. Dat is volgens mij met stap 1, het strafbaar stellen al een stuk eenvoudiger geworden.

 

Uit de voorgestelde wijzigingen(PDF) haal ik:

Met dezelfde straf wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld in

artikel 138a, eerste lid, 138b of 139c wordt gepleegd,

a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van

een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter

beschikking stelt of voorhanden heeft,

 

Voor die veroordeling is het oogmerk belangrijk (wat Edward al opmerkte) en zo'n vaart, tot aan de veroordeling, zal het dus niet lopen.

 

Te grote messen bij je hebben is ook strafbaar. Wanneer je ze voor je werk nodig hebt mag je ze wel vervoeren tussen je woning en werk. M'n schoenbroer (kok) is hier dus al een keer voor aangehouden. Gelukkig dat het restaurant nog open was waardoor het snel afgehandeld kon worden.

 

Met deze wet gaat het voor mijn tooltjes dus dezelfde kant op.

[R.I.P. - Benm]

Ik zou zeggen: neem als bedrijfsactiviteit expliciet het uitvoeren van security audits op. Daarmee heb je een prima excuus om dergelijke tools in huis te hebben, je kunt een beveiliging niet vertrouwen zonder deze grondig te testen.

 

[Edward]

Ik zou zeggen: neem als bedrijfsactiviteit expliciet het uitvoeren van security audits op. Daarmee heb je een prima excuus om dergelijke tools in huis te hebben, je kunt een beveiliging niet vertrouwen zonder deze grondig te testen.

 

Onnodig. De vergrijpen waarnaar wordt verwezen vereisen een wederrechtelijk optreden, een handelen zonder toestemming van de rechthebbende. Enkel het bezit van de tools is niet verboden.

 

[willemj]

Onnodig. De vergrijpen waarnaar wordt verwezen vereisen een wederrechtelijk optreden, een handelen zonder toestemming van de rechthebbende. Enkel het bezit van de tools is niet verboden.

 

Edward heb je het nu over de huidige situatie of over de voorgestelde wetswijziging? In de media staat 'het bezit van tools strafbaar maken' en in de wijzigingen van de wettekst staat dit:

 

Met dezelfde straf wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld in

artikel 138a, eerste lid, 138b of 139c wordt gepleegd,

a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van

een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter

beschikking stelt of voorhanden heeft,

De tekst 'met het oogmerk dat daarmee' zegt toch dat je in principe niets gedaan hoeft te hebben maar uitsluitend de (vermeende) intentie hoeft te hebben?