Juridische vraag: Welke hackertools zijn verboden?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Ik ben beveiligingsonderzoeker en was laatst in Duitsland op een conferentie. Daar hoorde ik dat Duitsland een nogal strenge benadering had betreffende het bezit van 'hacking tools'. Dat zou eigenlijk altijd strafbaar zijn, ook al handel je volstrekt te goeder trouw. Klopt dat?
Antwoord: Zowel in Nederland als in Duitsland hebben we regels over het bezit van computerinbraaktools. In Nederland staat het zo in art. 139d lid 2 Strafrecht:
Hij die met het oogmerk dat daarmee [computervredebreuk wordt gepleegd] ... een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van [computervredebreuk] vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft [wordt gestraft etcetera]
Een pentestingtool of zelfs maar een simpele wachtwoordtester kan hieronder vallen. Maar dan moet wel aan twee eisen zijn voldaan:
1) De tool moet zijn ontworpen of "hoofdzakelijk geschikt" zijn om mee in te breken in een computersysteem
2) Het maken, voorhanden hebben, verkopen, verspreiden etcetera moet gebeuren met het doel dat iemand dat ook werkelijk doet.
Een wachtwoordtester valt hier in het algemeen niet onder. Deze zijn niet "hoofdzakelijk geschikt" of "ontworpen" om mee in te breken. Hun enige doel is wachtwoorden testen, en daaruit kun je niet afleiden of dat te goeder of te kwader trouw bedoeld is.
Een exploit die na het aanklikken een privilegeëscalatie doet en een rootkit installeert, is wel hoofdzakelijk geschikt om in te breken. Natuurlijk kún je die ook gebruiken om te kijken of je zelf kwetsbaar bent voor de achterliggende bug, maar dat lijkt mij een ondergeschikt gebruik. (Als er geen rootkit wordt geïnstalleerd en alleen bv. Notepad wordt gestart, of alleen "you have been h4x0rd" in beeld komt, is het twijfelachtig.)
Zulke tools zijn dus problematisch om te bezitten. Je moet dan terugvallen op het tweede criterium: jouw reden om deze tools te bezitten of verspreiden. Ben je een bekend beveiligingsbedrijf, dan zal niet snel sprake zijn van het bezitten of verspreiden met het doel om daar misdrijven mee te plegen. Verzin je een leuke l33t naam voor jezelf en je groepje en doe je regelmatig ongevraagde pentesten, dan zul je een probleem hebben.
In Duitsland is het criterium iets anders geformuleerd. Het wetsartikel zegt daar:
Wer eine Straftat nach § 202a oder § 202b [=computervredebreuk] vorbereitet, indem er ... Computerprogramme, deren Zweck die Begehung einer solchen Tat ist, herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, erbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft.
De Duitse opzet is dus iets anders:
1) De tool moet als doel (Zweck) hebben om computervredebreuk te plegen, maar er staat niet zoals bij ons "hoofdzakelijk" bij. Ook een bijkomstig doel zou je er al onder kunnen doen vallen.
2) Er moet iemand van plan zijn er computervredebreuk te plegen, maar dat hoeft bij jou niet bekend te zijn. Onze formulering met "oogmerk" impliceert dat je zelf had moeten weten dat de tool voor Evil ingezet gaat worden.
In de praktijk vermoed ik dat het niet veel uit zal maken. De prioriteit bij het aanpakken van een individu met een paar tools op de harde schijf is zowel hier als in Duitsland erg laag, tenzij er omstandigheden zijn waaruit blijkt dat die persoon daadwerkelijk aan het inbreken is of anderen daarbij helpt.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Vergelijk het met een koevoet. Heb je die in je hand om binnenshuis krammen uit de muur te trekken dan is dat een heel ander verhaal dan wanner je er midden in de nacht in een willekeurig achtertuintje mee rondloopt.
(just kidding)
Okay, het is een tijd geleden maar wanneer je een brief krijgt van de politie rotterdam omdat je alleen maar op een vrijdagavond na een lange dag pentesten bij een bank vervolgens met je 4x4 sportauto bij een haMburgerketen een avondmaal bestelt vind ik die grens al lang overschreden.
Een vrouw met blonde haren krijgt een waarschuwing als ze de snelweg op rijdt in het pikkedonker zonder lichten en een sjonnie-ponnie met een basebalcap verkeerd op wordt de auto leeggetrokken voor hetzelfde vergrijp. Trek deze vergelijking door naar een ethical hacker die het paspoort vingerafdrukken systeem heeft gekraakt en land op schiphol en vervolgens wordt afgevoerd naar Quantanamo Bay en iemand die een laptop vol heeft men 'goodies' en verkoopt op markplaats laten ze lopen.
Selectieve vervolging is het resultaat van slechte en onduidelijke wetgeving met teveel uitzonderingen en opsporingsambtenaren met testosteron.
Echter de schrik zit er in Duitsland nog steeds goed in onder (semi-) beveiligingsonderzoekers. Op veel websites zijn tools en exploits verwijderd omdat men geen zin heeft in mogelijke vervolging. Afgelopen week nog was ik op zoek naar een tool die op een duitse site zou staan (ik weet even niet meer welke dat was, kom er misschien nog wel op). In elk geval verontschuldigde de eigenaar zich ervoor dat hij alle security-related tools had verwijderd omdat hij geen zin had in gedoe met justitie.
Ik vind het een slechte zaak dat er wetgeving gemaakt wordt die de bewijslast lijkt om te draaien. Kwaadwillenden (die sowieso al geen moeite hebben met het overtreden van wetten) kunnen via gesloten circuits toch wel aan hun spullen komen. White-hats (waar ik mezelf toe reken) houden hun kennis op peil door exploits en dubieuze tools te onderzoeken. Om daar legaal aan te komen hebben we mensen nodig die dat soort spullen online durven te zetten, en het mag m.i. niet zo zijn dat we ons criminelen voelen als we voor onderzoeksdoeleinden malware en inbraak-tools op onze eigen schijf hebben staan. Als dat niet mag moeten kettingzagen ook maar worden verboden (zie http://www.nu.nl/binnenland/2250342/man-bewerkt-huis-met-kettingzaag.html).
Aanvulling 14:00, dit wou ik nog schrijven: alleen al het feit dat een gezaghebbend jurist op dit gebied (Arnoud) schrijft dat hij vermoedt "dat het in de praktijk niet veel zal uitmaken" geeft aan dat de betrokken wetteksten gewoon onduidelijk zijn. In de praktijk betekent zoiets meestal dat hufters die een Mosko* advocaat kunnen betalen ermee wegkomen en anderen gewoon de pisang zijn. Briljant.
Ben er nog steeds niet van overtuigd dat ik met mijn XP / backtrack dual-boot installatie volgens de wet helemaal geen kwaad aan het doen ben als ik naar Duitsland ga..
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.