image

Juridische vraag: Is het publiceren van technische details van een overheidshack strafbaar?

woensdag 21 maart 2018, 13:40 door Arnoud Engelfriet, 6 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Ietwat hypothetisch, maar stel de AIVD, politie of een ander overheidsorgaan hackt mij (hallo aluhoedje!) en ik ontdek dat, verzamel de technische details (manier hoe ze zijn binnen gekomen) en deel dit op een blog. Dan valt te argumenteren dat ik de werkwijze van de overheid onthul en daarmee zelfs staatsgeheime informatie publiceer. Ben ik dan strafbaar?

Antwoord: Nee, je bent niet strafbaar als je publiceert hoe je door een overheidsorgaan bent gehackt, zelfs niet als die daarbij een staatsgeheime methode gebruiken.

Voor zover jij als burger weet, is een computerhack gewoon het misdrijf computervredebreuk gepleegd door een jou onbekende partij. Dat de overheid zo’n partij kan zijn, is theoretisch mogelijk maar natuurlijk praktisch gezien niet door jou te verifiëren. Achteraf kan het misschien boven water komen, maar dat betekent alleen dat de pleger van dat misdrijf vrijuit gaat omdat het hem wettelijk toegestaan is dat feit te plegen.

Bij de politie werkt het ongeveer net zo. Daar is dan een bevel van de rechter-commissaris gegeven, wat het legaal maakt om dit te doen. En in zo’n geval kan de politie er ook voor zorgen dat jij niet in kan grijpen, denk aan de situatie dat men je computer wil uitlezen: dan komt er een technisch rechercheur die de computer doorzoekt en een agent met spierballen om te zorgen dat jij niet in de weg gaat staan.

De Wiv waar vandaag het raadgevend referendum over is, maakt dat verder niet anders. Deze wet geeft bevoegdheden waaronder de mogelijkheid in te breken in een computersysteem, maar ook hier geldt: vanuit jouw perspectief is het gewoon een hack, en als jij wilt publiceren over een hack die jou overkwam dan is dat jouw goed recht. Pas als je wéét dat je een staatsgeheim zou onthullen, kan dat anders komen te liggen. Maar grofweg moet de AIVD dan langs zijn geweest en je dat hebben gezegd. Ik zie dat niet gebeuren.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (6)
21-03-2018, 17:53 door Anoniem
Als de AIVD je hackt, vervolgens een RootKit installeert die daarna door criminelen wordt misbruikt. Kun je de AIVD dan aansprakelijk stellen voor de schade? Ervan uit gaand dat je überhaupt kunt bewijzen dat het de AIVD was.
21-03-2018, 23:02 door [Account Verwijderd]
Niet strafbaar zijn en niet gestraft worden zijn twee compleet verschillende zaken (en andersom).
22-03-2018, 09:20 door Anoniem
Probleem in deze is vermoedelijk dat je nooit weet of het van de overheid komt of een criminele hacker.

Als je een bug vind (tot nu toe niets gevonden maar wel vaker last gehad van virussen en hacks) en publiceert/verkoopt aan een software vendor, zijn er dan consequenties?

Hypothetische vraag want als ik een zeroday zou vinden zou ik hem met 99% zekerheid prive houden, tenzij natuurlijk ergens echt een riante bugbounty openstaat op iets maar die kans is praktisch nul.
22-03-2018, 12:41 door Anoniem
Een zero-day (exploit) verkopen onder een officieel bug bounty programma zou je in de rechtzaal geen probleem mogen geven. Het zelf aanbieden aan voor jou onbekende kopers (dus b.v. via het darkweb of een generieke advertentie op het web) kan al voor grotere problemen zorgen. Zeker als later blijkt dat de koper een criminele organisatie of terrorist was.

Het aanbieden bij een leverancier welke GEEN bounty programma heeft en wel een betaling af proberen te dwingen zal strafbaar zijn.

Vervaardigen en in bezit hebben lijkt mij geen probleem als je een CV hebt welke je research status kan bevestingen. Ben je bijvoorbeeld stratenmaker en totaal niet technisch dan zal de aanklager het sneller proberen te gooien op "met het oogmerk dat daarmee een misdrijf wordt gepleegd."

Meestal gebruik ik bug bounty programma's zoals ZDI, SSD of Hackerone en indien geen interesse hebben: responsible disclosure. Voor sommige leveranciers wijk ik daar van af en doe full disclosure omdat ze gewoonweg niet reageren / patchen. Geen idee hoe strafbaar dat laatste precies is, publicatie op exploit-db.

Info: https://ictrecht.nl/2016/04/19/mag-ik-zero-day-exploits-verkopen-en-aan-wie/
22-03-2018, 16:02 door Anoniem
Vraag: Ietwat hypothetisch, maar stel de AIVD, politie of een ander overheidsorgaan hackt mij (hallo aluhoedje!) en ik ontdek dat, verzamel de technische details (manier hoe ze zijn binnen gekomen) en deel dit op een blog. Dan valt te argumenteren dat ik de werkwijze van de overheid onthul en daarmee zelfs staatsgeheime informatie publiceer. Ben ik dan strafbaar?

Er zal geen visite kaartje bij zitten ''wij zijn van de AIVD''......
22-03-2018, 16:03 door Anoniem
Niet strafbaar zijn en niet gestraft worden zijn twee compleet verschillende zaken (en andersom)

Je vergeet dat er ook nog rechters zijn, die de aanklacht van de officier moeten toetsen aan de wet ? En dat je zonder wetsovertredingen nimmers veroordeeld zal kunnen worden ?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.