image

Juridische vraag: Ben je strafbaar als je een lek ontdekt?

woensdag 14 april 2010, 10:56 door Arnoud Engelfriet, 13 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Laatst ontdekte ik een security vulnerability in een applicatie die ik veel gebruik. De leverancier zit gewoon in Nederland, dus ik dacht hem gewoon te mailen om hem te tippen over de fout. Maar een vriend zei dat ik dat absoluut niet moet doen: hij kan me dan aanklagen wegens computervredebreuk! Is dat echt zo?

Antwoord: Vorig jaar beantwoordde ik een vergelijkbare vraag, maar ik krijg deze vraag zo vaak dat ik er toch nog een keer op terug wil komen.

Het "opzettelijk en wederrechtelijk binnendringen" in een computersysteem of -netwerk is strafbaar, ongeacht of je daar nu een beveiliging bij doorbreekt of een truc uithaalt of welke manier je dan ook gebruikt. Wie dus gaat zoeken naar fouten in andermans computersysteem, kan zich schuldig maken aan computervredebreuk. Een applicatie op je eigen computer hacken valt daar niet onder, op je eigen PC kun je niet binnendringen. Bij een webapplicatie zou men in theorie kunnen zeggen dat je binnendrong op de webserver, omdat je jezelf privileges geeft of het systeem dingen laat doen waarvoor het niet bedoeld is.

De wet kent formeel geen onderscheid tussen whitehat en blackhat als het gaat om binnendringen. Maar in de praktijk zie ik het niet snel gebeuren dat een bedrijf je aanklaagt omdat je een fout hebt ontdekt en die netjes rapporteert. In een rechtszaak van afgelopen januari had iemand ontdekt dat een e-learning systeem een fout had. Hier werd de leverancier zelfs zo kwaad dat hij een rechtszaak aanspande. Maar de rechter wees de eis af: "Om te beginnen is voldoende aannemelijk dat in dit geval sprake is van een goedbedoelde en onschuldige actie van de werknemer van Handyman, juist gericht op het behartigen van het belang van [de eiser] die dit zeer wel zó kon begrijpen en er zó ook profijt van had kunnen hebben."

Bij een goedbedoelde poging om een toevallig ontdekte fout te melden, zie ik dan ook geen aanleiding voor aangifte of strafvervolging. Maar wat ik vaak zie, is mensen die welbewust aan allerlei knoppen op websites gaan draaien en dat gaan rondtetteren op allerlei fora. Ik kan me voorstellen dat bedrijven daar kwaad om worden. Ook taalgebruik als "ik heb een fout ontdekt, ik ga de fout publiceren tenzij je binnen een dag reageert en natuurlijk een leuke beloning hebt ;)" kan echt niet door de beugel (ik citeer uit een mail van een klant).

Security research is prima, maar houd het professioneel en ga niet ongevraagd zoeken naar fouten tenzij je een goed verhaal hebt waarom je onderzoek in het algemeen belang is. En daarbij zou ik dan eigenlijk altijd verwachten dat je meerdere sites onderzoekt en niet één bedrijf.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (13)
14-04-2010, 11:14 door Anoniem
Mischien wordt het eens tijd dat we leveranciers van software produkten gaan vragen om aan te tonen dat men de benodigde veiligheidsmaatregelen heeft genomen... Externe source code screening, fuzzing, etc...

Bij het ontbreken van dergelijke matregelen heeft men dus duidelijk niet de moeite genomen die men had kunnen nemen om gebruikers c.q. klanten te beschermen tegen ondeugdelijke en onveilige software.

Mischien iets wat maar eens wettelijk gegereld moet gaan worden?

Iets wat bijvoorbeeld zijn fundering kan krijgen in de wet en regelgeving op zaken als:

Zorgvuldigheid in het maatschappelijk verkeer, denk aan applicaties in ziekenhuizen oid....?

My two cents,
Carlo Seddaiu
14-04-2010, 11:44 door Anoniem
Security research is prima, maar houd het professioneel en ga niet ongevraagd zoeken naar fouten tenzij je een goed verhaal hebt waarom je onderzoek in het algemeen belang is.
Dat is een nogal rare opmerking. De meeste exploits en buffer overflows worden toch echt gevonden door proactief te zoeken naar fouten. En waarom moet het belang algemeen zijn? Als ik persoonlijke gegevens aan een website geef, vind ik dat ik het recht heb om te controleren of die site veilig is (heb ik dan een goed verhaal?). Het is toch niet zo dat applicaties veiliger zijn als je er geen fouten in mag ontdekken omdat je dan strafbaar bent?

Maar goed, ben je uberhaupt strafbaar als je het echt houdt bij onderzoek, dus poort scannen, ip ranges scannen, sql injectie testen, XSS, zonder daadwerkelijk in te loggen of data te veranderen?
14-04-2010, 11:49 door Skizmo
Ben je strafbaar als je een lek ontdekt?
Nee. De fabrikant is strafbaar voor het maken ervan.
14-04-2010, 12:34 door Anoniem
"De wet kent formeel geen onderscheid tussen whitehat en blackhat als het gaat om binnendringen. Maar in de praktijk zie ik het niet snel gebeuren dat een bedrijf je aanklaagt omdat je een fout hebt ontdekt en die netjes rapporteert."

Dit soort activiteiten vallen -niet- onder whitehat hacking. Immers worden de activiteiten uitgevoerd zonder voorafgaande toestemming van de eigenaar van het systeem. Je zou dit beter kunnen scharen onder grey hat hacking ;)

"Dat is een nogal rare opmerking. De meeste exploits en buffer overflows worden toch echt gevonden door proactief te zoeken naar fouten. "

Er is wel een wereld van verschil tussen het proactief zoeken naar fouten op je eigen testsystemen, en het proactief zoeken naar fouten in systemen van derden, zonder dat daarvoor toestemming is verleend.

"Als ik persoonlijke gegevens aan een website geef, vind ik dat ik het recht heb om te controleren of die site veilig is (heb ik dan een goed verhaal?). "

Nee natuurlijk mag dit niet. Je maakt je simpelweg schuldig aan strafbare feiten, en bovendien loop je de kans dat je (onbedoeld) zorgt voor technische problemen. Vanwaar de veronderstelling dat je dit zou mogen ?
14-04-2010, 12:48 door Anoniem
"Ben je strafbaar als je een lek ontdekt?"

Die vraagstelling is een beetje vreemd. Ontdek je een lek op eigen systemen waarop je aan het testen bent, of ontdek je een lek op systemen van derden ? In dat geval gaat het om de vraag of je al dan niet toestemming hebt van de eigenaar van het systeem.

"Nee. De fabrikant is strafbaar voor het maken ervan."

Met andere woorden, als een fabrikant een fout maakt, dan mag jij deze fout exploiten om op systemen binnen te komen. Dat is pas een ronduit bizarre redenatie.

"Maar goed, ben je uberhaupt strafbaar als je het echt houdt bij onderzoek, dus poort scannen, ip ranges scannen, sql injectie testen, XSS, zonder daadwerkelijk in te loggen of data te veranderen?"

Ja, je pleegt dan computervredebreuk omdat je probeert om jezelf wederrechtelijk toegang te verschaffen tot systemen van derden. Pogingen / voorbereidingshandelingen zijn ook strafbaar, en een hack hoeft helemaal niet succesvol te zijn om vervolgd te kunnen worden.

"Het is toch niet zo dat applicaties veiliger zijn als je er geen fouten in mag ontdekken omdat je dan strafbaar bent?"

Je mag best fouten ontdekken. Installeer een testserver en ga vervolgens daarop onderzoek doen. Niemand zegt dat dit niet mag, je mag dit alleen niet doen zonder toestemming op systemen die niet van jou zijn.
14-04-2010, 13:23 door Duck-man
Arnoud
wederom een goed verhaal.

Zit ik nog wel met een vraag. Je stelt dat je je eigen PC mag kraken. Maar veel software wordt geleverd met een licentie waarin staat dat je dit niet mag doen. Dus als ik mijn eigen systeem kan kraken door een fout in de software met een licentie waarin staat dat ik dit niet mag doen, heb ik als nog een probleem.
14-04-2010, 13:29 door anoniem lafbekje
Zou je niet kunnen redeneren dat wanneer er een fout in de toepassing zit, de fabrikant hiervan jou nadeel berokkend en derhalve laakbaar is?
14-04-2010, 14:36 door Anoniem
"Bij een goedbedoelde poging om een toevallig ontdekte fout te melden, zie ik dan ook geen aanleiding voor aangifte of strafvervolging"

Ik zie ook geen AANLEIDING voor aangifte of strafvervolging, maar je bent als je pech hebt wel duizenden euro's lichter en heel veel hartkloppingen rijker voordat je EVENTUEEL je gelijk krijgt (en dat is als je het al zo lang vol houdt, zoveel geld en tijd hebt en zoveel stress en angst hebt doorstaan).

Zie het als spelen met vuurwerk. Je kunt honderden keren vuurwerk afsteken en het gaat goed. En die ene keer blaas je hoofd/hand eraf. Met andere woorden, je vriend had gelijk. Als je slim bent ga je niet het risico lopen want de risico's wegen anno 2010 niet op tegen de voordelen.

In 'mijn tijd' om niet nog ouderwetser over te komen dan ik al deed kreeg je goodies (varierend van balpennen tot gratis software) wanneer je op een correcte manier fouten rapporteerde bij de fabrikant. Nu loop je het risico aangeklaagd te worden. Of daar nu een 'aanleiding' voor is of niet.

Het is Nederland, en in deze bananenrepubliek is het recht hebben en recht krijgen bijna nooit tegelijk.
Rechters zijn over het algemeen digibeet, hebben geen inzicht in hoe wetten moeten worden toegepast of nog erger, volgen gewoon letterlijk het woord van de wet. Die wetten zijn vaak gemaakt door mensen met nog minder verstand van kaas.

Wil je echt je 'leven' in de weegschaal leggen van dat soort mensen? Ik niet meer... Ik heb mijn lesjes geleerd. Laat die bedrijven met bugs en grote gapende gaten maar lekker aanmodderen. Als ik iets vind (per ongeluk of niet) zorg ik dat IK er geen last meer van heb en de rest mag stikken.
14-04-2010, 16:20 door Anoniem
"Wil je echt je 'leven' in de weegschaal leggen van dat soort mensen? Ik niet meer... Ik heb mijn lesjes geleerd. Laat die bedrijven met bugs en grote gapende gaten maar lekker aanmodderen. Als ik iets vind (per ongeluk of niet) zorg ik dat IK er geen last meer van heb en de rest mag stikken."


Ook hier mischien weer tijd voor een wettelijk geregelde klokkeluiders regeling die bescherming biedt. Idealiter afgestemd met de rest van Europa, de US, etc..

My two cents...
15-04-2010, 08:18 door Anoniem
Als je voldoende kennis hebt om een lek te ontdekken heb je zeer waarschijnlijk ook genoeg kennis om een bijna ontraceerbare email te versturen (gratis webmail-account en een (paar) anonieme proxies zouden voldoende moeten zijn). Dan kan je zowel jezelf, andere gebruikers en de maker beschermen.
15-04-2010, 10:51 door Anoniem
En het bedrijf zegt gewoon dat de persoon 'achter dat E-mailtje' een hacker is die voor miljoenen euro schade heeft toegebracht en dan hang je. Probeer dan nog maar eens te bewijzen dat je lekker unreal tournament aan het spelen was op dat moment.

Vroeger wilde ik nog wel eens wat vertellen aan security bedrijven zoals secunia maar sinds zij geen bronbescherming meer bieden is dat feestje ook afgelopen. Een klokkenluider regeling klinkt wel leuk maar je kunt het voor de rest van je leven schudden. Bedrijven en overheid hebben meer macht dan jij uithoudingsvermogen. Kom ik weer bij mijn punt aan, gelijk hebben en gelijk krijgen is in dit land bijna non-existent.
15-04-2010, 21:24 door TD-er
Door Anoniem: "Wil je echt je 'leven' in de weegschaal leggen van dat soort mensen? Ik niet meer... Ik heb mijn lesjes geleerd. Laat die bedrijven met bugs en grote gapende gaten maar lekker aanmodderen. Als ik iets vind (per ongeluk of niet) zorg ik dat IK er geen last meer van heb en de rest mag stikken."


Ook hier mischien weer tijd voor een wettelijk geregelde klokkeluiders regeling die bescherming biedt. Idealiter afgestemd met de rest van Europa, de US, etc..

My two cents...
Het ligt er IMHO aan hoe je de gapende gaten weet te melden.
Zo ben ik zelf programmeur en heb laatst de development kit van een beveiligingsproduct uitgeplozen om onze eigen software te beveiligen.
Echter als je de gegenereerde source code letterlijk gebruikt die zij in die toolkit voor je maken, met je bedrijfskey (die dus geheim moet blijven in dat product), dan is met sysinternals de code gewoon te vinden. De code staat ook letterlijk in de executable, als je kennis hebt over hoe hun code opgebouwd is. (en daar kun je achter komen als je de toolkit uitgebreid bestudeert) Waarschijnlijk zal een groot deel van hun klanten die toolkit gebruiken.
Kwestie van 1 mailtje naar dat bedrijf en ik werd teruggebeld voor meer informatie en na een paar mailtjes over en weer was hen duidelijk waar het probleem zat en nog geen maand later was er een update van de toolkit online te vinden.
Dit ging voor hen om de core-bussiness van hun bedrijf. Ze hadden mij kunnen dwingen een NDA achtig iets te tekenen, maar in plaats daarvan was het gewoon een heel prettige manier van communiceren.

Het is maar net hoe je je opstelt.
16-04-2010, 10:26 door Anoniem
Het is maar net hoe je je opstelt.

Neen, het is maar net wie je treft en in welke bui die is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.