eens,.,..

een maat van me had gevraagd of die een,"audit" moch doen op mijn machine.
verder als een IRC server kwam die niet.....

Ik denk dat we in NL hier iets anders mee omgaan dan bv in de USA (en zelfs Duitsland).

Het is niet al te moeilijk aan te tonen of iemand, een beveiliging test, zelfs zonder toestemming van de eigenaar van die PC kan dat heel legitiem* zijn, of dat iemand doelgericht vele PC's/servers kraakt met als doel eigen gewin.

*Stel dat veel van mijn werknemers tijden hun pauze met toestemming van het bedrijf mogen twitteren/hyven/xyz'ten en de IT afdeling heeft een vermoeden dat er zich malware op die site bevind die een specifiek deel van onze servers zou aanvallen. Dan is het testen (daar zijn zat methodes voor, vorige week zelf hier nog een prog besproken in een artikel) zeker legitiem. In geval van gevaar voor het eigen systeem zou je kunnen zeggen, sorry mensen maar deze site(s) blokkeren we vanaf heden.

Het verhaal zoals je hier schetst is volgens mij inderdaad niet strafbaar. Je stelt dan ook de volgende voorwaarde:


Hierbij heb je het over XSS. Helaas wordt er bij XSS lang niet altijd voldaan aan bovengenoemde voorwaarden (het uitlezen van data die dus niet voor publiek bedoeld was, deze data wel opslaan / manipuleren). Het lijkt mij dat er op het moment dat deze voorwaarden worden geschonden er wel degelijk een strafbaar feit wordt gepleegd. Maar daar eindig je ook mee...het ligt er dus maar helemaal aan wat je er mee doet of het al dan niet strafbaar is. Just my 50ct...

Dank je, Spirit :) Ik blijf me verbazen hoe veel interessante vragen jullie met z'n allen weten te bedenken. Ga zo door dus!

Beste Arnout,

Sinds wet computercriminaliteit 2 is het niet meer zo vanzelfsprekend.

Zelfs als je een audit tegen een machine uitvoert van jezelf kan OM beslissen om tot vervolging over te gaan.

Ook wetgeving zoals omtrent "voorbereidingshandelingen" kan hierbij gebruikt worden.

Als je professie geenzins met audit/penetratie testen te maken heeft, zul je nooit hard kunnen maken dat je geen kwaad in de zin hebt omdat je namelijk ten alle tijden een onrechtmatige handeling probeert uit te halen, waarbij je iets test waarvoor het niet gemaakt is.

Bovendien als software niet van jouw is (wat vaak zo is) kan ook de eigenaar/fabrikant van de software het onwenselijk vinden dat jij onderzoek doet aan zijn software.

Het onderzoeken van mogelijk vulnerabilities ook al is het tegen je eigen infrastructuur en zeker indien het je professie niet is kan ten alle tijden strafrechtelijk vervolgt worden.

"Zelfs als je een audit tegen een machine uitvoert van jezelf kan OM beslissen om tot vervolging over te gaan. Ook wetgeving zoals omtrent "voorbereidingshandelingen" kan hierbij gebruikt worden. "

Pertinente onzin, want er is pas sprake van een strafbaar feit wanneer je zonder toestemming van de eigenaar een systeem binnendringt, of daar voorbereidingshandelingen voor pleegt. Wanneer het gaat om je eigen systeem spreekt het voor zich dat jij jezelf daarvoor toestemming hebt gegeven. Wederrechtelijk binnendringen is strafbaar, en daar is in dit geval geen sprake van.

Ook is het voorhanden hebben van hacking tools strafbaar, maar wel met die voorwaarde dat kan worden aangetoond dat je van plan was hiermee strafbare (en dus wederrechtelijke) feiten te plegen, danwel dat je in deze tools handelt of ze verder verspreidt.

"Als je professie geenzins met audit/penetratie testen te maken heeft, zul je nooit hard kunnen maken dat je geen kwaad in de zin hebt omdat je namelijk ten alle tijden een onrechtmatige handeling probeert uit te halen, waarbij je iets test waarvoor het niet gemaakt is."

Je hebt dus 'kwaad in de zin' wanneer je probeert je eigen systeem te kraken ? Ik heb respect voor een officier van justitie die zo creatief is dat hij de rechter van zo'n argument weet te overtuigen.

Overigens is je beroep niet van belang; de aanklager dient aan te tonen dat jij kwaad in de zin had, jij dient niet aan te tonen dat jij een legitieme reden had om de tools voorhanden te hebben. Immers zegt het feit of je al dan niet professioneel bezig bent met informatie beveiliging niets over de vraag of juridisch kan worden aangetoond dat je strafrechtelijk al dan niet verkeerd bezig was.

Een penetration tester kan een website opzetten met hacking tools, of in zijn vrije tijd zonder toestemming hacken, en daardoor strafbaar zijn. Een postbode kan een hele verzameling hacking tools hebben staan; zolang de postbode de tools niet gebruikte voor strafbare feiten, en de tools niet verder verspreidt, is hij volkomen legaal bezig.

"Bovendien als software niet van jouw is (wat vaak zo is) kan ook de eigenaar/fabrikant van de software het onwenselijk vinden dat jij onderzoek doet aan zijn software. "

Daar heb je wel gelijk in, al heeft dat meer betrekking op schenden van auteursrecht dan op de wet computer criminaliteit, zeker wanneer er sprake is van reverse engineering ? Daarnaast is het een mogelijke overtreding van de gebruikersovereenkomst met de leverancier, al heeft dat met strafrecht weinig van doen.

Beste Anoniem,

Je weet dat je het tegen een gespecialiseerde jurist hebt? Waar haal jij je wijsheid vandaan?

EJ

Het OM kan van alles beslissen, maar er moet wel een redelijk vermoeden van een strafbaar feit zijn. Als je op je eigen computer een alert-box of zo laat verschijnen middels een XSS-truc, of een server jou laat mailen, dan zie ik het strafbare feit niet. Binnendringen in je eigen computer is volstrekt legaal, net zo goed als het legaal is je eigen deur met een breekijzer open te wrikken.

De kans is natuurlijk aanwezig dat de politie je bezig ziet met dat breekijzer en je aanhoudt. Maar als het goed is, kun je dan vrij snel uitleggen dat het je eigen huis is en dat je de treksterkte van je breekijzer wilde testen of iets dergelijks.

Waar het bij dit soort zaken (XSS en form hijacking) fout kan gaan, is dat je mogelijk wel 'binnendringt' in de server die je gebruikt als onderdeel van je zelfhack. Het is denkbaar dat het OM daartegen op wil gaan treden, hoewel ik me dat moeilijk kan voorstellen want welk belang hebben ze daarbij?

Als je bedoelt dat je strafbaar handelt als je op je eigen netwerk penetratietesten of andere hacks uitvoert, dan is het antwoord categorisch nee. Het is niet wederrechtelijk je eigen wachtwoorden te kraken, je eigen netwerk te portscannen of een stuk code te testen op buffer overflows. (Het op je netwerk loslaten van virussen of Trojans ligt iets complexer maar is een bijzonder geval want die kunnen ontsnappen en elders schade aanrichten.)

Interessant, met name m.b.t. die wachtwoorden... Dus wat verdere vraagjes daarover...

1. Wachtwoorden kunnen van andere medewerkers zijn, en bij veel bedrijven is het zo dat bij een verdenking op fraude in de audit trail / logs wordt gekeken wie iets gedaan heeft. Als je de wachtwoorden van andere medewerkers in het bedrijf kent, kun je dus aanloggen met credentials van die andere medewerker, en fraude plegen waarbij alle verdenkingen naar die persoon gaan...
Natuurlijk is dat een bedrijfsprobleem, in eerste instantie, maar ik vraag me af of in wetten als Soxa en Basel 2 toch ook nog problemen ontstaan voor het bedrijf zelf...

2. Daarnaast kunnen er ook nog wachtwoorden van klanten worden vastgehouden. Ik kan me voorstellen dat het daarbij nog veel gevoeliger ligt. In ieder geval kan de klant daar schade van oplopen. Ik kan me voorstellen dat er ook wetten zijn waaronder dat strafbaar wordt...

Hallo Arnoud,

Kun je het volgende meer verklaren; "Ik denk dus dat je weinig te vrezen hebt wanneer je dit even snel doet nadat je had gesignaleerd dat de site mogelijk kwetsbaar was."

Het hele verhaal is dus niet zwart of wit? Je spreekt namelijk over "Ik denk". Dat klinkt als een persoonlijke opvatting waar je niet zeker van bent.
Daarnaast snap ik niet waarom je "dit even snel" moet doen. Is het verhaal anders als je het (te) langzaam doet?

bedankt.

[url=http://www.ejure.nl/page=4/articles/dossier_id=265/id=190/show.html]Info over voorbereidingshandelingen[/url]:

@14:38 door Anoniem: het gebruiken van andermans wachtwoord om ergens in te loggen is computervredebreuk (gebruik valse sleutel). Ook binnen een bedrijfsomgeving, hoewel daar de uitzondering zou kunnen opgaan dat je gerechtigd bent die sleutel te gebruiken. Bijvoorbeeld als ik ziek ben en jou mijn wachtwoord vertel zodat je in mijn mailbox kunt. Niet elk bedrijf heeft zijn delegaties en admin access goed op orde.

Wat bedoel je met "vasthouden" van wachtwoorden van klanten? Ze blokkeren? Of ze afluisteren? Het is strafbaar als systeembeheerder om kennis te nemen van wat gebruikers van je communicatienetwerk of -dienst doen. http://wetboek.net/20080803/Sr/273d.html?n=1 (Ook bij niet-openbare netwerken, zie helemaal onderaan.)

@15:56 door Anoniem: ik twijfel, omdat je heel strikt gesproken 1 seconde lang binnendringt in het systeem waar je de XSS hack op loslaat. Had je die intentie ook? Dan zou het wel eens strafbaar kunnen zijn. In de praktijk zie ik dat de aan- of afwezigheid van daadwerkelijke schade meeweegt bij de beslissing te vervolgen. Als je dus "even snel" constateert dat een systeem kwetsbaar is voor een XSS hack, zonder verder schade aan te richten, dan lijkt het me zeer onwaarschijnlijk dat je vervolgd wordt. Wanneer je na die constatering nog een uurtje gaat spelen en gewild of ongewild schade aanricht, heb je een probleem.

Dat was ook de reden dat ik de vraag aan je stelde: je dringt in principe een computersysteem binnen, met het doel om een aanval uit te voeren. Weleenswaar ben je zelf het "slachtoffer", maar desalniettemin voer je wel een aanval uit.
Mag uit je antwoorden afleiden dat hiervan nog geen jurisprudentie is?

Bedankt Arnoud voor het antwoord.
In de meeste gevallen is het mogelijk om zonder een XSS uit te voeren er toch achter te komen of het systeem daar vatbaar voor is.

@Zarco.nl: nee, er is geen jurisprudentie over dit onderwerp. Ik vraag me ook af of die er snel zal komen. Wie heeft er belang bij een aangifte, en krijgt het prioriteit bij het OM?

Er wordt hier verwezen naar; http://wetboek.net/20080803/Sr/273d.html, daar staat dat dit strafbaar is met een gevangenisstraf van ten hoogste een jaar & zes maanden.
Dit lijkt me gezien de (potentiële) waarde van informatie een lachertje ... en, ik zit te denken aan mijn salaris, een zeer rendabele termijn..... ;)

Is het dan anders wel strafbaar, of is dit een moreel oordeel, zeg maar meer iets dat je *zou* moeten doen als je een nette witte-hoed ict-er wilt zijn?

ja maar als dat toegestaan zou zijn is er ook wel weer een groepje mensen die daar misbruik van zullen maken.
als dit toegestaan word zou niemands computer meer veilig zijn.

Hallo, ik heb een vraagje

is iemand strafbaar als hij/zij probeert in te loggen op je
website/ftp toegang zonder dat hij/zij daar wat te zoeken heeft?
ik neem aan als iemand dat probeert om binnen te komen en dan
lijkt het mij dat dit een poging tot hacking is ???
ik heb dit geval dus mee gemaakt iemand zij dus in een gesprek op
skype dat hij mijn website plat wou gooien en hij probeerde dus
inteloggen op mijn website/ftp toegang maar dit is mislukt ??
is dit poging tot hacking of wat het nog meer mag zijn ???