Juridische vraag: Mijn docent IT Security heeft zich voor de klas schuldig gemaakt aan computervredebreuk. Moet ik aangifte doen?
Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: Mijn docent voor het vak IT Security gaf net aan hoe makkelijk het is onbeveiligde PHPMyAdmin omgevingen te vinden met een Google-zoekopdracht en daar dan op in te loggen. We kregen zelfs een live demonstratie. Voor zover ik weet, is dit computervredebreuk en dat is een ernstig misdrijf. Ben ik nu verplicht aangifte te doen?
Antwoord: Het was inderdaad bepaalt niet handig van die docent om in een lesomgeving een demonstratie te geven van hoe makkelijk het is om slecht beveiligde systemen van derden te vinden. Natuurlijk is het relevant voor een vak als IT security om te melden dat dingen vaak misgaan, maar daarvoor hoef je niet te laten zien hoe je dit exact nagaat bij derden.
Echt problematisch is zo'n live demonstratie. (Ik neem maar aan dat dit geen eigen server was die als demonstratie-object werd gebruikt.) Want ja, het is strafbaar als computervredebreuk om binnen te dringen in een computersysteem van een derde. Of daarbij een beveiliging wordt doorbroken of een security zwakheid wordt geëxploiteerd doet er in principe niet toe. Zodra je weet of moet weten dat je daar niet mag zijn in dat systeem, is sprake van een strafbaar feit.
Iedereen is bevoegd om aangifte te doen van een strafbaar feit wanneer hij daar kennis van heeft (art. 161 Wetboek van Strafvordering). Als student bij dat vak kun je dus als je dat wilt naar de politie en melden dat dit is gebeurd. Persoonlijk zou ik eerder naar de decaan of opleidingsdirecteur stappen, ik denk dat dat meer kans maakt om tot een gedragsaanpassing te komen.
Verplicht is het niet. De wet (artikel 160 Strafvordering) noemt een aantal misdrijven waarbij aangifte verplicht is, maar het gaat dan eigenlijk altijd over zeer ernstige misdrijven waarbij mensenlevens in gevaar komen, zoals moord en doodslag, verkrachting en ontvoering. Computervredebreuk en aanverwante misdrijven (zoals ddos-aanvallen) horen daar niet bij.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Hoe weten we dat het om een omgeving van derden gaat ? Kan ook slechte interpretatie zijn van een leerling, terwijl de site gewoon van de docent is (danwel dat er toestemming is gegeven). De context ontbreekt nogal mijns inziens...
Is het werkelijk zo als ie het stelt, dan is dat een kwalijke zaak.
Je zou dan ook bepaalde YouTube fimpjes moeten blokkeren, waar zwakke PHP omgevingen worden aangeroerd.
Een betere benadering is om uit te leggen hoe een dergelijke omgeving (beter) kan worden beveiligd.
Juiste configuratie, juiste (eventueel toegevoegde) best policies (security headers, nonces etc.) toepassen.
Leg de nadruk met eventuele cheatsheet voorbeelden op de Safeguard procedure, dus altijd volledig uploaden en patchen.
Geef ook altijd een theoretisch verhaal hoe dit soort zwakheden historisch zijn ontstaan.
Bepaalde taal was nog niet klaar om losgelaten te worden op Internet (het verhaal achter javascipt uit de vorige eeuw).
Je leert studenten hoe men zich kan beveiligen, niet hoe men hackt met welk oogmerk dan ook.
Dit gaat vrij ver. Ook het delen van alle informatie om te (kunnen) gebruiken tegen een bepaalde website kan wederrechtelijk zijn.
Bepaalde online 3rd party scanners verbieden dit in hun voorwaarden, bijvoorbeeld dazzlepod IP scan.
Zelfs over ethisch hacken krijgen tegenwoordig verschillende overheidshoofden rimpels
(bepaalde recente Amerikaanse wetgeving aangaande pentesting).
Het is ook een goed gebruik nooit live links te gebruiken, hxtps:// of link breken met een extra spatie.
Het ene behandelt men bij theorie, het andere bij praktijk, maar hou die twee liefst strikt gescheiden.
Jodocus Oyevaer
Hoe weten we dat het om een omgeving van derden gaat ? Kan ook slechte interpretatie zijn van een leerling, terwijl de site gewoon van de docent is (danwel dat er toestemming is gegeven). De context ontbreekt nogal mijns inziens...
Dan nog was de demonstratie van hoe makkelijk het is om slecht beveiligde systemen van derden te vinden... ook al vond je die van jezelf.
Het lijkt mij dat dit minder te maken heeft met het verhaal.
A² + B² = C²
Het is natuurlijk niet geoorloofd om dan meteen op de computer/router/nas/etc. de gevonden kwetsbaarheid te gaan misbruiken door ongeoorloofd in te loggen.
Geen van de in art 138a benoemde situaties is van toepassing, zolang het gaat om het laten zien van een Google zoek opdracht en niet het uitputten van de gevonden kwetsbaarheden.
https://www.security.nl/posting/540231#posting540322
"Ben ik nu verplicht aangifte te doen?"
Wat een scheinheil.
Ben je mooi klaar mee met dat soort leerlingen of mensen in je omgeving.
En nogal laf om de docent daar niet zelf direct op aan te spreken.
Maar zo gaat dat tegenwoordig, veel leuker om op social media iets mee te doen.
Andere variant, mensen helpen, iets doen of filmen?
Filmen natuurlijk, verantwoordelijkheid nemen levert niet zoveel op, daar vul je je faecbook niet mee (weer niets beleefd vandaag).
Als het kalf of de mens verdronken is is de facebookpost tenminste gered.
Andersom heb ik ook wel eens meegemaakt dat je op een congres komt en dat dan met een pineapple een gratis nep WiFi netwerk opgezet wordt en dat daarmee telefoons gaan connecten. Vervolgens gaat een dappere zogenaamde "ethisch hacker" even laten zien wat op sommige telefoons staat en wat de gebruikers doen. Een demo geven van de gevolgen van gratis onbeschermde draadloze netwerken is prima, maar in een telefoon kijken of netwerk verkeer opslaan kan gewoon niet. Dat is echt fout.
Een algemene "don't rock the boat, go on, there is nothing to be seen here" mentaliteit. Later kunnen we altijd nog zeggen:
"Ik heb hier geen enkele herinnering aan" om in de recente woorden van de M.P. te spreken.
Al is de leugen nog ....
en gaat later bij het student office klagen, dat men hem ervan beticht ermee het internet op te gaan.
U heeft mij ten onrechte beschulkdigt, meneer! Ik ga u aangeven!
Vaak een methodiek van een slecht lerende om er nog een extra 'her uit het vuur te slepen.
Vroeger zorgde het "collectief van de groep" dat zulke 'minkukels' geen kans kregen
tussen goed gemotiveerde studenten.
Nu is er een cultuur, die ze er nog voor beloont, in zekere zin dan wel te verstaan.
Uiteindelijk krijgen ze hun portie ook wel weer thuis.
Ligt in dezelfde trant van dit soort beschuldigingen, als hierboven aangehaald..
De student krijgt meestal gelijk (vanwege de bekende insteek van het instituut - geld van studenten spreekt)
en docent kan er nog problemen mee krijgen.
Ik zou als security werkgever een student. die zo iets ooit heeft geflikt, niet aannemen.
Is ie eenmaal "onbetrouwbaar" gebleken, blijft ie voor altijd een risicofactor binnen het bedrijf.
Mentaliteit van ver onder het aanvaardbare door zogeheten "matennaaiersmentaliteit".
Over de muur met zo'n figuur.
luntrus
https://www.security.nl/posting/540231#posting540322
"Ben ik nu verplicht aangifte te doen?"
Wat een scheinheil.
Ben je mooi klaar mee met dat soort leerlingen of mensen in je omgeving.
En nogal laf om de docent daar niet zelf direct op aan te spreken.
Maar zo gaat dat tegenwoordig, veel leuker om op social media iets mee te doen.
Andere variant, mensen helpen, iets doen of filmen?
Filmen natuurlijk, verantwoordelijkheid nemen levert niet zoveel op, daar vul je je faecbook niet mee (weer niets beleefd vandaag).
Als het kalf of de mens verdronken is is de facebookpost tenminste gered.
Helemaal mee eens! Je gaat je eigen leraar toch niet naaien omdat hij je iets vets laat zien om studenten enthousiast te maken voor het vak... slappe zak joh..
https://www.security.nl/posting/540231#posting540322
"Ben ik nu verplicht aangifte te doen?"
Wat een scheinheil.
Ben je mooi klaar mee met dat soort leerlingen of mensen in je omgeving.
En nogal laf om de docent daar niet zelf direct op aan te spreken.
Maar zo gaat dat tegenwoordig, veel leuker om op social media iets mee te doen.
Andere variant, mensen helpen, iets doen of filmen?
Filmen natuurlijk, verantwoordelijkheid nemen levert niet zoveel op, daar vul je je faecbook niet mee (weer niets beleefd vandaag).
Als het kalf of de mens verdronken is is de facebookpost tenminste gered.
Helemaal mee eens! Je gaat je eigen leraar toch niet naaien omdat hij je iets vets laat zien om studenten enthousiast te maken voor het vak... slappe zak joh..
Eh - dit is hopelijk sarcastisch bedoeld?
Ik vind aangifte doen niet zo'n geweldige eerste stap, maar ik juich het ook niet zo toe om les te geven door in de praktijk te laten zien wat er allemaal kan, en daarbij de regels van de wet op te rekken of te overtreden.
Als je je studenten alleen maar enthousiast kan maken door zaken te doen die niet mogen (vandaar immers het "naaien", je denkt dus al dat het gewoon niet mag wat de docent deed) dan is dat niet de juiste manier. En die leraar is dan de slappe zak.
Het laatste wat je moet doen als docent, als je IT beveiliging doceert, is de wet en het moraal uit het oog verliezen. Hoe enthousiast je ook bent. Ik zou wellicht geen aangifte doen, maar de docent er zeer zeker wel op aanspreken, wanneer hij voor de klas de wet overtreedt.
Ik vind je reactie daarom wel heel erg kort door de bocht.
Moet je de "engelen", die de mens instrueerden, veroordelen, omdat mensen later deze kennis hebben misbruikt?
Dunne lijnen, exacte situatie niet duidelijk. Ik ben geneigd de docent het voordeel van de twijfel te gunnen,
maar direct komen er allerlei lieden de student in diens visie ondersteunen (vingertje, mag niet hoor, foei!).
In het geval van de student (a nasty suspicious mind is a joy forever).
Even los van dat bij dit specifieke voorbeeld duidelijk sprake is van opzet.
Als het goed is, dan weet je dat. Het is geen gokken, daarom besef je dat je ergens niet naar toe dient te gaan (punt uit).
Als dat het enige is wat je uitlegt, is er weinig aan de hand. Je studenten dienen die discipline ook onder alle omstandigheden op te kunnen brengen. Dus eis dat van hen, als je zoiets voor jezelf ook eist.
Je weet wanneer je een kwetsbare PHP versie hebt en dan kun je ook gevoegelijk aannemen, wat er eventueel kan gebeuren als je een bepaalde geconstrueerde url in geeft of een bepaalde code ergens in een veld injecteert binnen een mogelijk kwetsbare omgeving. Dan hoef je niet te wachten tot het "bingo, zei ik het niet, het werkt" moment!.
In zo'n geval hoef je niet aan een deur te rammelen om het effect te kunnen voorspellen
en kun je ook niet onverhoeds iets verkeerds doen of in de fout gaan.
Bezoek websites daarom nooit rechtstreeks of met de juiste rechten (vooraf verkregen uitdrukkelijke schriftelijke toestemming van de website eigenaar om een dergelijk iets uit te voeren). E.g.: (rootkali :-# airodump -ng -c6 -w /root/Desktop/-)
Er zijn talloze voorbeelden van cookie_steal scripts, bij voorbeeld van de $HTTP_GET_VARS variant voor cookiefile.txt of cookielog.txt. Is er een POC hoef je die niet in de praktijk te brengen.
PHP 4.4.9 https://www.cvedetails.com/vulnerability-list/vendor_id-74/product_id-128/version_id-66891/PHP-PHP-4.4.9.html
Krakatau hier op security.nl is zeer expliciet over de inherente gevaren van PHP en alle CMS, die daarop is gebaseerd, dus hij hoeft dat in ieder geval vast niet te demonstreren. Hij zal zich er verre van houden.
luntrus
Als het goed is dan weet je dat? Het punt waar juist dat je dat niet altijd weet. Stel dat je naar een winkel gaat waarvan jij denkt dat die open is. De winkel is echter gesloten, maar men heeft door een fout vergeten de deur op slot te doen. Op het moment dat je de deur opentrekt en je je realiseert dat je daar niet hoort, ben je volgens deze wet dus al strafbaar. Er is geen ruimte om je je situatie te beseffen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.