image

Juridische vraag: mag je naast ethisch hacken ook ethisch oplichten?

woensdag 1 juni 2016, 13:51 door Arnoud Engelfriet, 31 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: ik lees veel over ethisch hacken en vroeg me af of dat ook voor andere misdrijven geldt? Ik overweeg een "ethische scam" op te zetten. Ik adverteer producten voor 10 euro, en wie geld overmaakt krijgt een uitleg dat ze opgelicht zijn, maar met tips hoe je dat voortaan herkent en wat je kunt doen om het te voorkomen. De 10 euro houd ik dan als vergoeding voor het advies.

Antwoord: het strafrecht kent geen uitzondering voor misdrijven die je "ethisch" begaat. Ook hacken - computervredebreuk - is en blijft volgens de letter van de wet strafbaar als je het met de meest ethische nobele motieven begaat.

Alleen vinden we ondertussen dat iemand die dat zeer netjes doet, én zich netjes meldt én geen schade berokkent, niet veroordeeld zou moeten worden. Het belang van het melden van securitybreaches en datalekken weegt zwaar, en als er dan verder ook geen schade of persoonlijk gewin is, dan is er weinig reden iemand nog te vervolgen. Maar dat is geen wettelijke grond waar je je op kunt beroepen, het is coulance.

Deze ethische scam is een aardig idee maar ik denk dat hier heel wat minder draagvlak voor is. Bovendien berokken je mensen zo schade: die tien euro zijn ze kwijt. Dat je (ongevraagd) advies geeft, maakt niet uit. Ik zou dit dus dringend afraden.

Als je mensen hun geld zou teruggeven, dan is in ieder geval het schadecomponent eraf. De kans op vervolging wordt dan kleiner. Maar het blijft voor mij zeer dubieus.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (31)
01-06-2016, 14:24 door Anoniem
Ik ben zelf geen jurist of iets in die trend, maar in vraag als je het beetje zwart wit leest, pleeg je daadwerkelijk ook de 'misdrijf' ook al doe je het uit ethisch oog punt, geld inhouden en iets toesturen wat je niet wilt hebben.

zelfde als al die register cleaners en pc boosters, die alleen maar meer troep met zich mee brengen.

Het etisch hacken is een enorm grijs gebied, volgens mij is het zo als je bijvoorbeeld met ssh ergens binnen kan komen,
direct weer moet uitloggen en het zou moeten melden, ga je meer doen en meer op onderzoek uit (ook al goed bedoeld) ben je dan ook fout bezig. over het proberen valt ook al wat te zeggen, want volgens mij is dat recentelijk ook al als strafbaar (de intentie hebben tot) bevonden.
01-06-2016, 14:35 door Anoniem
Een ethische inbreker heeft me recent middels een keurig briefje op mijn eettafel alten weten dat de beveiliging van mijn huis prima in orde is, het kostte hem op de kop af 19 minuten om mijn voordeur in te beuken.
De kosten voor het advies heet hij verrekend met de opbrengst van mijn televisie.
En zijn neef repareert deuren, dus al met al prima geregeld.
01-06-2016, 14:44 door Anoniem
Door Anoniem: Een ethische inbreker heeft me recent middels een keurig briefje op mijn eettafel alten weten dat de beveiliging van mijn huis prima in orde is, het kostte hem op de kop af 19 minuten om mijn voordeur in te beuken.
De kosten voor het advies heet hij verrekend met de opbrengst van mijn televisie.
En zijn neef repareert deuren, dus al met al prima geregeld.

:) Ja, precies.

Vraag: ik lees veel over ethisch hacken en vroeg me af of dat ook voor andere misdrijven geldt?

Misschien moet je nog wat meer lezen over wat ethisch inhoudt.
01-06-2016, 14:45 door Anoniem
Door Anoniem: Een ethische inbreker heeft me recent middels een keurig briefje op mijn eettafel alten weten dat de beveiliging van mijn huis prima in orde is, het kostte hem op de kop af 19 minuten om mijn voordeur in te beuken.
De kosten voor het advies heet hij verrekend met de opbrengst van mijn televisie.
En zijn neef repareert deuren, dus al met al prima geregeld.

Held.
01-06-2016, 15:21 door Anoniem
Het is van een laag moreel besef als je een beloning eist voor een goede daad. Het goede valt weg zodra zelfzucht voorrang heeft.
01-06-2016, 15:27 door Anoniem
Hoe zou jij reageren bij een "ethische smokkelaar". Edelachtbare, ik had die 10 kilo cocaine alleen maar daarin gedaan om te testen. Als het pakketje helemaal door de douane heen was gekomen, had ik dit gemeld, zodat ze het lek hadden kunnen dichten. De opbrengst van dat spul had ik nodig om de aankoop en verzending te betalen.
01-06-2016, 17:04 door johanw - Bijgewerkt: 01-06-2016, 17:06
Door Anoniem: Een ethische inbreker heeft me recent middels een keurig briefje op mijn eettafel alten weten dat de beveiliging van mijn huis prima in orde is, het kostte hem op de kop af 19 minuten om mijn voordeur in te beuken.
De kosten voor het advies heet hij verrekend met de opbrengst van mijn televisie.
En zijn neef repareert deuren, dus al met al prima geregeld.
Dankzij die neef heb ik de inbreker gevonden en hij heeft kennis gemaakt met mijn vriend die zwarte band jiu jitsu heeft. Die heeft hem uitgelegd dat zijn kennis van zelfverdediging zeer ondermaats is, maar als hij uit het ziekenhuis komt kent hij een prima sportschool om daar iets aan te doen. :-)
01-06-2016, 17:29 door Anoniem
Beetje verspilde moeite het beantwoorden van deze vraag eigenlijk; vraagsteller bezit duidelijk geen ratio en kan zodoende al niks om ethische redenen verrichten, enkel claimen het op ethische wijze te verrichten... maar wat was de betekenis van ethiek ookweer? Juist...
01-06-2016, 20:15 door Anoniem
Door johanw:
Dankzij die neef heb ik de inbreker gevonden en hij heeft kennis gemaakt met mijn vriend die zwarte band jiu jitsu heeft. Die heeft hem uitgelegd dat zijn kennis van zelfverdediging zeer ondermaats is, maar als hij uit het ziekenhuis komt kent hij een prima sportschool om daar iets aan te doen. :-)

Neem nog een blikje Fanta(sie)!
Wanneer komt "jouw vriend" weer terug uit het HvB wegens mishandeling?
Je zogenaamde vriend doet geen eer aan Jiujitsu aangezien dit een zelfverdedigingskunst betreft.

@TS: wat voor "product" bied je aan?
Een custom-made baksteen à 10 euro die je niet levert en zegt: je bent opgelicht, wie koopt er nou een baksteen van 10 euro? Of iets van ik bescherm jouw PC voor 10 euro...je bent erin getrapt, welke gek denkt zijn PC voor 10 euro beschermd te kunnen houden? Jij in ieder geval niet maar die 10 euro houd ik als advies.
01-06-2016, 21:23 door Anoniem
De reacties hierboven geven wel hele radicale voorbeelden zeg.
Hele TV's als vergoeding, 10 KG drugs, etc etc etc

Mensen, deze persoon heeft het over 10€, dat is bijna niks.
01-06-2016, 23:17 door Anoniem
Door Anoniem: De reacties hierboven geven wel hele radicale voorbeelden zeg.
Hele TV's als vergoeding, 10 KG drugs, etc etc etc

Mensen, deze persoon heeft het over 10€, dat is bijna niks.

een euro, dat is bijna niks. maar nog steeds teveel voor ongevraagd advies.
Ik kan het wellicht nog waarderen als ik mijn hele 10 euro terugkrijg, met een link naar een website die me voor 100 euro uitlegt wat oplichting is en hoe ik me ertegen kan beschermen.

Een principe leg je het beste uit met een radicaal voorbeeld. anders gaan mensen nog roepen dat iets wel meevalt.
02-06-2016, 00:04 door Anoniem
Als je een potje nagellak steelt bij de drogist van 1,25 pleeg je nog steeds diefstal. Ook al is de kleur waardeloos, en de prijs laag.
02-06-2016, 02:06 door Anoniem
Door Anoniem: De reacties hierboven geven wel hele radicale voorbeelden zeg.
Hele TV's als vergoeding, 10 KG drugs, etc etc etc

Mensen, deze persoon heeft het over 10€, dat is bijna niks.

Kijk eens hoe je je voelt als je je portemonnee op je buro laat liggen en er 10 euro uitgehaald is.
02-06-2016, 08:23 door PietdeVries
Door Anoniem: Mensen, deze persoon heeft het over 10€, dat is bijna niks.

Juist - en daar is een mooie term voor: Salami fraude of penny shaving (https://en.wikipedia.org/wiki/Salami_slicing). Juist omdat de bedragen zo klein zijn is het voor een individu niet de moeite er achteraan de gaan, maar voor de fraudeur levert het wel een lekker bedrag op.
Gaat het hier niet op het principe in plaats van de hoogte van de fraude?
02-06-2016, 09:06 door Anoniem
Ha ha ha dan sla ik mensen met een scheve neus heel hard in d'r gezicht zodat die recht slaat. Voor deze medische ingreep reken ik dan 10 euro per klap ...... roflol
02-06-2016, 09:20 door superglitched
Hahaha, ik vind het grappig. Gewoon omdat het zo fout is. Al helemaal omdat de term ethisch wordt gehanteerd bij een ongevraagde vergoeding.

Als dit legaal is, is de sky the limit. Hoeveel een ethische hacker zou verdienen is enkel nog gelimiteerd door hoeveel werk deze uitvoert aangezien koopvrijheden worden afgenomen.
02-06-2016, 10:53 door Anoniem
Dus het enige verschil tussen oplichten en etisch oplichten is dat bij de ene het slachtoffer zelf erachter komt dat hij is opgelicht (doordat hij het product niet geleverd krijgt) en bij de ander je zelf even alvast verteld tegen het slachtoffer dat hij het product niet geleverd gaat krijgen?? Bij beide gevallen: niet het product waar je om gevraagd hebt én je 10 euro kwijt.
Je bent gewoon aan het oplichten, je biedt een product aan voor 10 euro en levert dat product niet volgens afspraak. Dat je dat product dan gaat vervangen voor een regeltje ongevraagd advies veranderd daar in mijn ogen niks aan.
02-06-2016, 11:06 door Anoniem
Mensen, deze persoon heeft het over 10€, dat is bijna niks.
Ik vind dat meer ter beoordeling van degene van wie die € 10 was...

Maar
uit ethisch oog punt, geld inhouden en iets toesturen wat je niet wilt hebben.
Als je werkelijk slim was formuleer je een fatsoenlijk argument voor een donatie, en zal je meer overhouden;
vooral een fijn gevoel bij je etische slachtoffer van je -ahum- etisch gehackatack.
02-06-2016, 11:49 door Anoniem
Door Anoniem: Een ethische inbreker heeft me recent middels een keurig briefje op mijn eettafel alten weten dat de beveiliging van mijn huis prima in orde is, het kostte hem op de kop af 19 minuten om mijn voordeur in te beuken.
De kosten voor het advies heet hij verrekend met de opbrengst van mijn televisie.
En zijn neef repareert deuren, dus al met al prima geregeld.

Lol! precies mijn gevoel :-) Vreemde vraag van de vragensteller, waarbij ik het ethische aspect volkomen mis......
02-06-2016, 12:15 door cjkos
Tenzij de persoon het product ook daadwerkelijk levert lijkt het mij dat de wet er heel duidelijk in is, je betaald voor een niet geleverd product, en dient je geld terug te krijgen. Geheel volgens het principe van koop op afstand.

Lijkt mij dat het geven van het advies gelijk is aan het ongevraagd sturen van een sample, die mag je ook gewoon houden, zonder er voor te hoeven betalen.

Immers geen handtekening.
02-06-2016, 12:26 door Anoniem
in de jaren 90 was er iemand die via advertenties in de krant piepers aanbood voor een tientje. En dat is best een goede prijs voor een werkende pager.

En als je het bestelde kreeg je een aardappel (pieper) toegestuurd.

Ik heb begrepen dat als je klaagde je je geld terug kreeg...
02-06-2016, 12:29 door Anoniem
uit ethisch oog punt, geld inhouden en iets toesturen wat je niet wilt hebben.
Als je werkelijk slim was formuleer je een fatsoenlijk argument voor een donatie, en zal je meer overhouden;
vooral een fijn gevoel bij je etische slachtoffer van je -ahum- etisch gehackatack.
Wat voor je naam het geeft ik noem dit gewoon oplichten.
02-06-2016, 14:27 door Anoniem
Kijk de 10 euro houden is niet oke, aangezien het inderdaad ongevraagd advies is. Daarentegen kan je wel het bedrag teruggeven en vragen om een vergoeding zodat je dit kunt blijven voortzetten en andere mensen kan laten zien dat ze goed moeten opblijven letten.

Meer dan dat kan je niet ook al vind ik de intentie wel erg goed:)
02-06-2016, 15:31 door Anoniem
Laten we allereerst voorop stellen dat hacken pas ethisch is als het bedrijf (slachtoffer) daar zelf opdracht toe heeft gegeven. Elke andere vorm van hacken is per definitie strafbaar, ook al zijn de intenties goed.
Ethisch hacken betreft dus een overeenkomst tussen twee partijen met als doel de beveiliging van een netwerk te testen. Volstrekt legitiem dus.
Daarnaast moet wel gemeld worden dat hackers die ongevraagd te werk gaan met goede intenties zelden strafrechtelijk gevolgd worden, omdat ze het slachtoffer helpen de security te verbeteren.
02-06-2016, 16:05 door Anoniem
Door Anoniem: Kijk de 10 euro houden is niet oke, aangezien het inderdaad ongevraagd advies is. Daarentegen kan je wel het bedrag teruggeven en vragen om een vergoeding zodat je dit kunt blijven voortzetten en andere mensen kan laten zien dat ze goed moeten opblijven letten.

Meer dan dat kan je niet ook al vind ik de intentie wel erg goed:)

Hmm ja daarin heb je gelijk, en vragen om een vergoeding om voort te zetten, klinkt ook wel aardig, en dan ben je niks aan het stelen...

:)
02-06-2016, 16:31 door Anoniem
Zie ook : https://www.security.nl/posting/473038/FIOD+in+actie+tegen+miljoenenfraude+met+nepbrieven

Dit zou je dan ook ethisch oplichten kunnen noemen.
02-06-2016, 17:37 door Anoniem
Het lijkt er op dat de vraagsteller vooral ook probeert indirect een debat uit te lokken over ethisch hacken, met de ondertoon dat het gewoon diefstal is. Het eerste punt waar zijn nogal gechargeerde vergelijking mank gaat is dat hij harde euro's wegneemt in zijn vergelijking. Er bestaan grote meningsverschillen over wat een ethisch hacker is, maar de consensus is nu juist wel dat als je zo ver gaat dat je daadwerkelijk gebruik maakt van de kwetsbaarheid voor eigen voordeel, dat dat er nu juist in ieder geval buiten valt. Definitie van WhatIs (http://searchsecurity.techtarget.com/definition/ethical-hacker): "... but rather than taking advantage of any vulnerabilities found..." Als hij nu het geld onverkort met advies en al terug zou sturen, zou het althans binnen de definitie vallen. Een betere vergelijking zou met Alberto Stegeman zijn.

Het tweede punt waarop de vergelijking mank gaat is dat er juist nogal wat discussies zijn over wat er in valt en dat het begrip Ethische Hacker nogal breed is. Degenen die ingaan op een Responsible Disclosure verzoek zoals bijvoorbeeld Facebook dat heeft (https://www.facebook.com/whitehat) en zich daarbij keurig aan de genoemde regels houdt wordt ook een Ethisch Hacker genoemd. Iemand die onder contract staat bij bijvoorbeeld de Pentesting divisie van IBM, of een eigen bedrijf heeft en alleen een bedrijf gaat testen NADAT er een contract is afgesproken, wordt ook een ethisch hacker genoemd. De vraagsteller doet door de wijze van vraagstelling deze professionals, waarvan we het denk ik in ieder geval eens kunnen zijn dat ze goed werk doen, schromelijk en enigszins smadelijk tekort.
03-06-2016, 10:42 door Anoniem
Lees het boek van Chris van 't Hof ook eens, zou ik tegen de TS willen zeggen, "Helpende hackers".

Gaat in op de RD problematiek, de totstandkoming van de huidige regels en ook op de verschillende tinten grijs die je aantreft in ethical hacking land.

(En nee, ik krijg geen provisie, en je kunt het ook bij de bieb lenen verwacht ik).
03-06-2016, 16:59 door Anoniem
De vergelijking ethisch hacken / ethisch oplichten loopt ook een beetje mank omdat de data die een ethical hacker eventueel "steelt" een kopie is. Het kost het slachtoffer in dat geval niets. De "gestolen" data mag natuurlijk maar een heel klein deel zijn, net genoeg om aan te kunnen tonen dat de toegang mogelijk was. Is het mogelijk om deze toegang aan te tonen zonder aan de data zelf te komen, dan is zelf een kopie van een klein deel van de data al on-ethisch.

Als het je lukt om die €10 van iemands bankrekening te kopieren, de transactie logs bewaart, het geld apart zet en dit dan compleet overdraagt aan de bank, ja, dan lijkt me dit ethisch wel verantwoord.

Door Anoniem: Lees het boek van Chris van 't Hof ook eens, zou ik tegen de TS willen zeggen, "Helpende hackers".

Dit boek is volgens velen een echte aanrader! Heb inmiddels de Nederlandse en de Engelse versie op de plank liggen, maar kom er maar niet aan toe.

Door Anoniem: in de jaren 90 was er iemand die via advertenties in de krant piepers aanbood voor een tientje. En dat is best een goede prijs voor een werkende pager.

En als je het bestelde kreeg je een aardappel (pieper) toegestuurd.

De officiele Nederlandse benaming is geloof ik "Semafoon", maar hoeveel bezoekers hier nog weten wat een pieper/pager/samafoon is... Misschien tijd voor een poll over de oudste communicatie techniek die de bezoekers nog hebben gebruikt? Ik heb zelf nog zo'n "Maxer" gehad, en ik lees net dat operators die berichten moesten uittikken. Eigenlijk best logisch, maar in die tijd nooit bij stil gestaan. Ik krijg nog medelijden met die operators als ik bedenk wat voor vunzigheid er soms werd verstuurd. Bedankt voor de "trip down memory lane"!
03-06-2016, 22:17 door karma4
Door Anoniem: Het lijkt er op dat de vraagsteller vooral ook probeert indirect een debat uit te lokken over ethisch hacken, met de ondertoon dat het gewoon diefstal is. Het eerste punt waar zijn nogal gechargeerde vergelijking mank gaat is dat hij harde euro's wegneemt in zijn vergelijking. Er bestaan grote meningsverschillen over wat een ethisch hacker is, maar de consensus is nu juist wel dat als je zo ver gaat dat je daadwerkelijk gebruik maakt van de kwetsbaarheid voor eigen voordeel, dat dat er nu juist in ieder geval buiten valt.
..
Sterk opgemerkt. Arnoud is natuurlijk best slim en zijn antwoord is opmerkelijk voorzichtig geformuleerd alsof hij op de reacties zit te wachten. Ethiek is een lastig filosofisch onderwerp. https://nl.wikipedia.org/wiki/Ethiek.
Misdaad plegen onder het mom van ethisch handelen is iets wat naar newspeak neigt. De eigen ideologie wordt daarmee boven al het andere en de belangen van alle anderen verheven.

Als Arnoud op dat soort reflecties uit is. Hij herkent vast het eigen gelijk willen hebben ook als dat niet echt aan de orde.
Wat is het belang van de hacker als buitenstaander als hij op zoek is naar lekken en daar eigen gewin aan wil verbinden in wat voor vorm dan ook. zijn advies: "Ik zou dit dus dringend afraden. "

Het is wat anders als je ergens per ongeluk tegen aan loopt. Dan kun je dat in goed fatsoen melden of je mond houden. Dat is meer in de lijn van de loszittende schoenveters. Niet echt een gevaar, een ongelukkige val kan je helpen te voorkomen. Je kunt je ook te druk maken of niet echt belangrijke zaken zoals Jonathan Swift in zijn romans probeerde te brengen.

Als we het naar de echte wereld doortrekken ligt het vraagstuk meer wanneer anderen een gevaar gaan lopen en jij neemt het als eerste waar, wat dan te doen? Bij brand, misdaad en een lichamelijk bedreigende situatie bel je 112 (brandweer, politie, ambulance/dokter). [url https://www.rijksoverheid.nl/onderwerpen/alarmnummer-112[/url] Hoe dat zit met 225 en 450 met de verplichtingen noodzakelijk hul te verlenen zijn wetten. Wat ik mis is een duidelijk beleid bij de cyberwereld op dat vlak. Wat je ziet gebeuren is een soort flaming met merknaam van leveranciers en niet de werkelijke inhoud risicoanalyse versus impact. De AP zou een rol kunnen hebben. BZK is de baas van de AP.
08-06-2016, 10:44 door Netriq
Wie hacken in beginsel al gelijk stelt aan computervredebreuk is wat mij betreft al geen deskundige. Je zou jezelf een computer binnen kunnen hacken, maar hacken omvat veel meer dan alleen opzoeken van kwetsbaarheden.

Zullen we slotenmaken ook strafbaar stellen? Daarmee zou jij je immers toch óók toegang kunnen verschaffen tot andermans huis?

Overigens zijn er strikte regels om je aan te houden alvorens je jezelf wél een bedrijf binnen 'hackt'. Er zijn bijvoorbeeld een minimaal aantal belanghebbenden binnen dat bedrijf op de hoogte en er zijn duidelijke afspraken over hoe ver je mag gaan.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.