image

Juridische vraag: wanneer is het zoeken naar lekken strafbaar?

woensdag 24 december 2014, 13:21 door Arnoud Engelfriet, 4 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Wanneer is het zoeken naar kwetsbaarheden nu strafbaar als computervredebreuk?

Antwoord: Deze vraag is vaak terugkomende discussie, waar nu met een vonnis (dank, lezer) een eerste antwoord op is gegeven. Een security scan is strafbaar als het er alle schijn van heeft dat je van plan bent daarna in te gaan breken.

Een security scan kan van alles omvatten. Uitproberen of een invulveld gevoelig is voor cross-site scripting. Directory traversals zoeken. Of een portscan uitvoeren, waarbij je per poort gaat kijken welke software daar draait en of dat kwetsbare software is. Dit kun je puur uit nieuwsgierigheid doen. Of omdat je bezig bent met een groot onderzoek hoe kwetsbaar allerlei systemen zijn. Maar het kan ook overkomen als een opmaat tot inbreken - 's nachts om drie uur aan een huisdeur rammelen komt ook best wel over als een opmaat tot insluipen in dat huis.

In deze zaak had de verdachte verklaard dat hij uit nieuwsgierigheid allerlei sites had gescand met de vulnerability scanner Acutenix. Er was in de krant allerlei ophef over onveilige sites en hij wilde wel eens weten hoe dat zit.

Niet geloofwaardig, aldus de rechtbank:

Door meermalen het computersysteem van [bedrijf 2] te 'scannen op zwakheden' met de programma’s waarmee hij dit heeft gedaan, kan dit naar de uiterlijke verschijningsvormen niet anders worden gezien dan het proberen binnen te dringen in het computersysteem van de [bedrijf 2].

Wat exact de bewijzen zijn voor deze conclusie, kan ik niet halen uit het vonnis. Mogelijk speelde ook mee dat hij had gezegd dat het een schoolopdracht was, wat niet waar was. Dan sta je natuurlijk al meteen met 3-0 achter in de verdere discussie. En het lijkt erop dat hij naast het uitproberen ook data heeft gekopieerd, zo staat in de tenlastelegging:

immers heeft hij, verdachte, een of meer bestand(en) en/of gegevens gekopieerd naar zijn eigen computer, te weten 500 gebruikersnamen en wachtwoorden om in te loggen op de webwinkel van de genoemde groothandel;

Ik kan begrijpen dat het "ik wilde alleen uit nieuwsgierigheid scannen" niet heel geloofwaardig is als je ook inloggegevens bewaart. Een nieuwsgierige zou genoegen nemen met het uitslagscherm van de scanner lijkt me.

Tegelijk kan ik me ook voorstellen dat je bij zo’n scan data downloadt als deel van het proces, en daar vervolgens niet meer naar omkijkt. Dan heb je dus een probleem want je hebt zwaar de schijn tegen in zo’n situatie. Dus áls je vreemde systemen wilt gaan scannen omdat je nieuwsgierig bent, zorg er dan voor dat je niets downloadt, hoe nieuwsgierig je ook bent.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (4)
24-12-2014, 13:53 door Briolet
Wat exact de bewijzen zijn voor deze conclusie, kan ik niet halen uit het vonnis. Mogelijk speelde ook mee dat hij had gezegd dat het een schoolopdracht was, wat niet waar was.

Deze 'security scan' is natuurijk maar één punt uit de gehele tenlastelegging. Als ik de gehele tenlastelegging lees, heeft hij ook gepoogd om een krediet op valse naam te krijgen, kopiën van andermans legitimatiebewijzen te verkrijgen. Poging een iPhone te bemachtigen; bestellingen doen van kazen en natuursteen op valse naam. etc.

Met zo'n staat van dienst, lijkt het me ook lastig om aannemelijk te maken dat het dit keer wel echt onschuldig was.
26-12-2014, 20:40 door Anoniem
Door Briolet: Met zo'n staat van dienst, lijkt het me ook lastig om aannemelijk te maken dat het dit keer wel echt onschuldig was.
Goed gezien! Dat is het juist waar een rechter naar kijkt. Die kijkt ook naar het héle plaatje, en niet alleen naar wat de verdachte en de advocaat van de verdediging zegt.
En er is meer: sinds kort zijn voorbereidingshandelingen tot een misdrijf strafbaar. Dus ook die handelingen die duidelijk een voorbereiding tot het misdrijf zijn aan te merken, dus zonder dat het misdrijf daadwerkelijk geheel of gedeeltelijk is uitgevoerd (zoals bij een Strafbare Poging). Wie dus die voorbereidingen al uitvoert en gesnapt wordt, komt hier bij een rechter niet meer zo makkelijk weg.
27-12-2014, 14:35 door Briolet - Bijgewerkt: 27-12-2014, 14:36
Door Anoniem: En er is meer: sinds kort zijn voorbereidingshandelingen tot een misdrijf strafbaar.

Klopt, ik heb twee jaar geleden een rechtszaak bijgewoond. Een onderdeel van het proces was de voorbereiding van een misdaad. Het ging om een groep, maar alleen de organisator heeft een half jaar cel gekregen wegens de voorbereiding. De rest van de groep ging vrijuit voor deze aanklacht, omdat het alleen meelopers waren. Maar ook in dit geval gold dat betreffende persoon een 'staat van dienst' had doordat hij het type misdaad al eerder uitgevoerd had. Hierdoor had de rechter de overtuiging dat de voorbereiding ook uitgevoerd zou zijn als hij niet eerder opgepakt was.
08-01-2015, 10:17 door Anoniem
Is dit niet waar de leidraad Responsible Disclosure voor in het leven geroepen is?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.