image

Juridische vraag: Mag een Honeypot of is dit uitlokking?

woensdag 28 januari 2009, 06:36 door Arnoud Engelfriet, 19 reacties

Regelmatig krijgen we op de redactie van Security.nl vragen over ICT en recht, vandaar dat we in samenwerking met ICT-jurist Arnoud Engelfriet een nieuwe rubriek zijn begonnen waar de vragen van lezers centraal staan. Heb je dus een vraag over je privacy op het web, je aankoop bij een webshop, het downloaden van materiaal of het feit dat je baas je e-mail leest? Stuur hem naar juridischevraag@security.nl. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek "De wet op internet" zal ontvangen.

Mag je een honeypot opzetten of valt dat onder uitlokking?
Arnoud: Een honeypot is een opzettelijk zwak beveiligd systeem dat opgezet wordt met als doel computercriminelen, virussen, Trojans en dergelijke te kunnen detecteren. De zwakke beveiliging zorgt ervoor dat de honeypot een aantrekkelijk doel wordt, en doordat het systeem is voorzien van uitgebreide logging en dergelijke, zijn IP-adressen en misschien wel meer van de aanvallers te achterhalen. Je zorgt er met een honeypot dus voor dat mensen daar computervredebreuk, vernieling van gegevens en andere misdrijven kunnen plegen.

Uitlokken van misdrijven is strafbaar: artikel 47 lid 1 Wetboek van Strafrecht verbiedt het opzettelijk uitlokken van strafbare feiten "door giften, beloften, misbruik van gezag, geweld, bedreiging, of misleiding of door het verschaffen van gelegenheid, middelen of inlichtingen". Wie bijvoorbeeld een huurmoordenaar inschakelt, lokt de moord uit en is daarmee net zo strafbaar als de moordenaar zelf. Maar ook het bedreigen met geweld van een klasgenoot om in de supermarkt iets te stelen, valt onder uitlokking. Je honkbalknuppel uitlenen aan een buurman die grote ruzie heeft met zijn ex kan ook al snel als uitlokking of poging daartoe worden gezien. Wel zal het OM moeten aantonen dat je die knuppel gaf met de bedoeling dat de buurman daarmee de ex zou mishandelen of diens huis ging vernielen.

Een belangrijk aspect bij uitlokking is dat de uitlokker degene is van wie het initiatief moet komen. Als de buurman al zelf van plan was om het huis van zijn ex kort en klein te slaan, dan lok je dat feit niet uit door hem je honkbalknuppel te lenen. (Je bent misschien wel medeplichtig als je wist dat hij dat ging doen.) Dit is dus waar de discussie over lokfietsen, lokvuilniszakken, loktienerdrankkopers, lokhoeren, lokvrachtwagens, lokhomo's en wat al niet meer steeds over gaat. Zet je daarmee onschuldige mensen aan tot het stelen van een fiets, het illegaal buitenzetten van afval enzovoorts of waren deze mensen dat toch al van plan?

In 2008 oordeelde de Hoge Raad dat het toegestaan is om een lokfiets te plaatsen op een plek waar fietsendieven actief zijn. De lokfiets stond niet op slot, maar dat was onvoldoende om van uitlokken te spreken. Had een agent de dief aangesproken en gezegd "op de hoek staat een rode fiets zonder slot, die kun je zo meenemen" dan zou het wel uitlokking zijn geweest.

Het lijkt mij dat je net zo goed een loknetwerk of lokcomputer (honeypot) mag opzetten. Met het opzetten van zo'n systeem zet je mensen niet aan om iets te doen dat ze niet al zelf van plan waren. Ik zou alleen uitkijken met bijvoorbeeld de honeypot promoten op crackersites of IRC kanalen, want dan kan een verweer van uitlokking best wel eens effect hebben: "Ik was alleen wat aan het lezen en toen haalde hij me over om het eens te proberen bij die site".


Heb jij ook een vraag voor Arnoud en wil jij kans op zijn boek maken? Stuur dan je vraag naar juridischevraag@security.nl

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (19)
28-01-2009, 09:05 door gorn
De meeste honeypot of honeynetwerken zijn vooral bedoeld om geautomatiseerde verspreiding van malware en trojans te detecteren. Dit komt door het mechanise wat achter de honepot/net zit, een script wat reageert op een bekende zwakheid/exploit. Een mens achter de knopen kan eerder ontdekken dat er iets niet klopt. Het in kaart brengen van de achtergrond ruis op internet kan hiermee uitstekend, zeker als je een wijdverspreid honeynet hebt.

Het dus moeilijk om dit te vergelijken met het inzetten van de andere lokmiddelen daar die specifiek gericht zijn op personen.
28-01-2009, 09:08 door Anoniem
"Juridische vraag: Mag een Honeypot of is dit uitlokking?"

Nee, een honeypot is geen uitlokking. En dat de beveiliging express zwak is maakt daarbij niet uit; op het moment dat iemand dat 'ontdekt' is hij namelijk reeds bezig met het profilen van je systeem t.b.v. het plegen van een misdrijf, en je zet op geen enkele wijze aan tot het plegen van een misdrijf.

"Je zorgt er met een honeypot dus voor dat mensen daar computervredebreuk, vernieling van gegevens en andere misdrijven kunnen plegen. "

Tja, dan kan je het aansluiten van een computer op het internet strafbaar stellen, omdat je dan anderen in de gelegenheid stelt om je systeem te kraken, indien het goed beveiligd is, is het enkel een extra uitdaging. Of je kunt het parkeren van je auto voor je deur strafbaar stellen; je geeft gelegenheid om te proberen je auto te stelen.
28-01-2009, 09:12 door Anoniem
Volgens mij kan een honeypot nooit uitlokking zijn zolang je er inderdaad niet reklame voor gaat maken.

Als ik een honeypot aanzet wie weet dan dat ik dit heb gedaan?
Iedereen die daarna probeert deze machine te hacken doet dit dan ook zelf en ik heb niet gevraagd om dit te doen.

Gorn: Er zijn verschillende typen honeypots. Het kan ook zijn dat de machine zelf dmv een image steeds opnieuw te herstellen is en dat er voor een machine staat waarop de scripts draaien. Dan wordt het een stuk moeilijker te ontdekken dat het niet 'the real thing' is.
Wel is het zo dat meestal uitgaande verbindingen worden geblokkeerd om teveel schade te voorkomen en dat valt natuurlijk wel op :D

Jeroen
28-01-2009, 09:14 door Martijn Brinkers
Het is zowiezo niet nuttig om een honeypot vol met 'vulnerabilites' direct toegankelijk te laten zijn voor het Internet. Wat leer je daar van? Dat er mensen zijn die willen inbreken? Dat weten we al. Dat de honeypot vulnerable is? Dat wist je al want dat had je bewust gedaan. Een honeypot die direct toegankelijk via het Internet moet in mijn optiek dus net zo goed beschermd zijn als een ander systeem dat je aan het Internet hangt en moet dus geen bekende 'vulnerabilities' bevatten. Een honeypot kan je ook binnen je beveilgde netwerk zetten om zodoende te detecteren dat iemand toegang heeft verkregen tot je beveiligde netwerk. Dan is het wel zinvol om je honeypot bewust 'onveilig' te maken zodat je sneller kan detecteren dat iemand er een indringer is.
Het gebruik van een honeypot in een van deze opstellingen heb je dus helemaal geen probleem wat betreft uitlokking aangezien de honeypot die toegankelijk is via het Internet net zo goed beveiligd is als je normale systemen. De 'vulnerable' honeypot staat binnen je beveiligde netwerk en moet er dus eerst een beveiliging worden overwonnen voor je toegang kan krijgen tot de honeypot.
Als slotwoord :), natuurlijk kan je best in bepaalde gevallen een honeypot met bewuste onveilgheden aan het internet hangen alleen is het de vraag hoeveel informatie je dat oplevert.
28-01-2009, 09:19 door [Account Verwijderd]
[Verwijderd]
28-01-2009, 10:12 door Anoniem
Een honeypot vind ik erg handig op bedrijfsnetwerken kan meewerken aan de vraag of er iets of iemand bezig is op je lan.

En zo moeilijk is dat niet Ik maak een honeypot binnen een dag inclusief de logging van hun acties.

Erg leerzaam.
28-01-2009, 10:46 door Anoniem
Uitlokking is een onmogelijk begrip dat is bedacht door advocaten die criminelen in bescherming nemen.
Als uitlokking een werkelijke mogelijkheid zou zijn, dan zou geen mens zich meer thuis mogen bevinden omdat de mogelijkheid bestaat dat hij een inbreker zou kunnen betrappen.

Een crimineel is een crimineel, of de deur nou open staat of niet.
28-01-2009, 14:06 door [Account Verwijderd]
[Verwijderd]
28-01-2009, 14:08 door [Account Verwijderd]
[Verwijderd]
28-01-2009, 15:15 door Anoniem
Euhm, ik neem aan dat de weledelgestrenge Arnoud ook geen enkel slot op zijn huis heeft? Want insluipen mag niet!
Of was het de bedoeling dat van eenieder mag worden verwacht dat hij/zij voor deugdelijke beveiliging van have en goed zorgt?

'Inbreken' op een honeypot mag dus niet, maar een honeypot neerzetten ook niet! Dat laatste niet omdat er al of niet sprake is van uitlokking maar omdat er sprake is van het niet deugdelijk beveiligen.
De waarde van het neergezette lijkt me niet relevant. Als ik een vuilniszak langs de straat zet, doe ik er afstand van. Als ik een doos juwelen langs de straat zet, ben ik die ook kwijt, ook als het neppers zijn die voor mij geen enkele waarde hebben...! Wie een onbeveiligde / zwak beveiligde server ter openbare beschikking aan het Net hangt, geeft door het gebrek aan deugdelijke beveiliging aan geen prijs te stellen op de beschikkingsbevoegdheid erop en kan dus niet bepalen wie er wel en niet op mag etc.

En de honeypot die binnen het bedrijfsnetwerk draait; tsja daar is geen sprake van uitlokking want dan is er al beveiliging doorbroken en equivalent aan een huis; daar mag je ook juwelen laten slingeren -- mits ze niet in zicht liggen van buiten...
28-01-2009, 16:40 door Eerde
Een honeypot is per definitie passief en kan dus niet als actief gezien worden, hetgeen "aanzetten tot" wel altijd is.
Daar komt bij dat het misdrijf in 99,999% van de gevallen ook geautomatiseerd is, echter met het verschil dat de opzet duidelijk crimineel is.

Zie het als een CCTV, die lokt niet uit maar registreerd. Wel weten dat je niet alles zomaar mag registreren. Dat geldt ook voor honeypots*.

*ik zou illegale toepassingen van een honeypot kunnen noemen, maar doe dat niet (zelf nadenken).
29-01-2009, 07:48 door Anoniem
Gorn,

vogens mij bedoel jij Tarpit.
Door gornDe meeste honeypot of honeynetwerken zijn vooral bedoeld om geautomatiseerde verspreiding van malware en trojans te detecteren. Dit komt door het mechanise wat achter de honepot/net zit, een script wat reageert op een bekende zwakheid/exploit. Een mens achter de knopen kan eerder ontdekken dat er iets niet klopt. Het in kaart brengen van de achtergrond ruis op internet kan hiermee uitstekend, zeker als je een wijdverspreid honeynet hebt.

Het dus moeilijk om dit te vergelijken met het inzetten van de andere lokmiddelen daar die specifiek gericht zijn op personen.

29-01-2009, 08:28 door Arnoud Engelfriet
@gorn, Martijn Brinkers en Iceyong: goed punt, zulke honeypots zijn nog verder verwijderd van strafbare uitlokking. Ik dacht vooral aan systemen waarbij je spammers en scripts wilt detecteren die hele reeksen IP-adressen scannen om te hacken.

@Anoniem 15:15: er is geen wet die verbiedt om een slecht beveiligd systeem aan internet te hangen. Ook niet om een slot op je deur te hebben trouwens. Je verzekeraar zal moeilijk doen, maar strafbaar ben je niet. De persoon die dan het systeem binnendringt, of mijn niet-afgesloten huis binnengaat, pleegt computervredebreuk dan wel insluiping en dat is gewoon strafbaar. Ik zie werkelijk niet hoe ik afstand doe van mijn huisraad door de voordeur open te laten.
29-01-2009, 10:41 door Martijn Brinkers
Hoe zou het juridisch zitten als een bedrijf of instelling roept "ons netwerk is onkraakbaar". Zou dat gezien kunnen worden als een vorm van uitlokking? Dus iemand leest dat, neemt een kijkje en later blijkt dat ze hem aanklagen voor het doen van een inbraakpoging. De honeypot die ze hadden draaien heeft alles netjes gelogd. Er zijn ook vaak subtielere vormen van 'uitlokking'. Bijvoorbeeld iemand vraag in een forum of iemand wil kijken of zijn website veilig is. Natuurlijk moet je dat niet zonder duidelijke toestemming doen, je weet natuurlijk nooit of degene die die posting doet wel echt de eigenaar is van die site, maar stel iemand doet dat toch en wordt later aangeklaagd? Is dat dan een vorm van uitlokking?
29-01-2009, 16:28 door Anoniem
Is een onbeveiligd of wep beveiligd wireless netwerk een honeypot?
30-01-2009, 09:54 door Arnoud Engelfriet
@Martijn: leuke! Ik denk dat dat op zich nog geen uitnodiging is, hoewel je zou kunnen zeggen dat je daarmee moet weten dat je alle crackers (en hackers) uitdaagt om het eens te proberen. Als dat argument lukt, is geen sprake van inbraak want de uitdaging is dan een rechtvaardiging om te gaan hacken. En zonder inbraak geen uitlokking tot inbraak.

Als iemand in een forum zit en zegt "wie wil mijn site hacken", dan is dat dus een uitnodiging. Maar als de site eigenlijk van iemand anders is, dan is die poster schuldig aan strafbare uitlokking. Hij haalt mensen over om in te breken bij een derde.
31-01-2009, 08:57 door [Account Verwijderd]
[Verwijderd]
31-01-2009, 16:46 door Anoniem
is een honeypot illegaal? nee...
waarom niet? omdat hij binnen een niet publiek netwerk staat, en er eerst al een illegale actie nodig is om die honeypot te kunnen bereiken, dit word dus niet dmv uitlokking gedaan maar juist als een vorm van preventie, en is daardoor niet strafbaar...
de persoon die toegang probeert te verkrijgen tot de honeypot is zelf in beginsel al strafbaar, en dat ik als netwerkbeheerder deze middelen inzet om zwakke plekken in een netwerk te vinden om ze te kunnen sluiten, of met doel om recidiverende criminelen te indentificeren om ze daardoor uit te kunnen sluiten.
op alle punten ben ik niet primair bezig met het aanvallen, irriteren, intimideren, uitlokken of lastigvallen van de betreffende digitale inbreker, maar alleen maar met mijn eigendom te beschermen, daarintegen is de inbreker wel degelijk bezig met 1 of meerdere van die zaken, en net zoals het volledig legaal is om mijn huis te beveiliging is het ook zeer zeker toegestaan om mijn internetverbinding/netwerk te beveiliging tegen onbevoegd gebruik, inbraak of andere criminele activiteiten (of zelfs maar alle ongewenste actieviteiten waarvoor de inbreker geen toestemming heeft, legaal of illegaal, het is niet illegaal om mijn toilet te gebruiken, maar ik kan een wildvreemde wel degelijk de toegang tot mijn toilet ontzeggen ;)

er zijn wel situaties waarin deze zaken wel illegaal kunnen worden, maar dat is meer door de manier waarop je er mee om zou gaan, je hebt het volste recht om je eigen netwerk te beveiligen en over die veiligheid te waken, het is in bepaalde gevallen zelfs verplicht om logfiles bij te houden, terwijl dit volgens het honeypot = illegaal idee niet eens zou mogen(op het punt van inbreuk, niet op het punt van uitlokken), want je verzameld dan gegevens over iemand zonder zijn toestemming. (ook een leuke vraag btw, aan de ene kant moet je verplicht bepaalde dingen loggen, aan de andere kant zou je dit als inbreuk op de privacy ed. kunnen zien, wat is wijsheid?)

een honeypot opzich is niet illegaal, maar wat je met de verkregen gegevens doet, en hoe je omgaat met de verkregen kennis is weer een heel ander verhaal...
03-02-2009, 20:50 door Anoniem
Door Martijn BrinkersHet is zowiezo niet nuttig om een honeypot vol met 'vulnerabilites' direct toegankelijk te laten zijn voor het Internet. Wat leer je daar van? Dat er mensen zijn die willen inbreken? Dat weten we al. Dat de honeypot vulnerable is? Dat wist je al want dat had je bewust gedaan.

Sinds ik een kale red hat 5.2 pentium 90 achter een router heb hangen, port 23 telnet, is er al een heel legioen aan voorbijgetrokken. Alle portscanners zien 'm open staan, niemand logt in.

Maw: leuk dat het juridisch kan maar wat is het nut vraag ik me dan af. Al die portscans waarmee men later niets doet. Of men ruikt onraad :-D

Robert
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.