image

Juridische vraag: Wanneer is het hebben van een Remote Access Tool en een Keylogger strafbaar?

woensdag 6 februari 2019, 10:20 door Arnoud Engelfriet, 21 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Wanneer is het hebben van een Remote Access Tool (RAT) nu strafbaar? Wij gebruiken dit in de organisatie voor intern beheer op afstand, maar ik lees diverse berichten dat het strafbaar kan zijn om deze te bezitten. Kun je duidelijkheid verschaffen?

Antwoord: Het enkele feit dat software geschikt is voor remote access maakt deze natuurlijk niet meteen een hulpmiddel voor computervredebreuk. De wet spreekt van "ontworpen of geschikt gemaakt" voor het misdrijf (art. 139d lid 2 Strafrecht), en niet alle binnengaan of binnendringen in andermans computer is een misdrijf. Een ICT-bedrijf kan immers prima legaal bij de klant zijn computer binnengaan om onderhoud te plegen onder een contract, of op verzoek inloggen om een probleem te herstellen.

Dergelijke software kan ook door criminelen worden gebruikt om stiekem bij mensen binnen te dringen, en dan bijvoorbeeld data te gijzelen of te verkrijgen, of om de computer als springplank voor een aanval elders te gebruiken. Dat zijn misdrijven.

In december werd een man veroordeeld voor het voorhanden hebben en verspreiden van Blackshades software. De rechtbank merkte dit aan als medeplichtigheid tot computervredebreuk, omdat deze software gebruikt kan worden om een inbraak in andermans computer te vergemakkelijken.

Hoe zie je dan het verschil? Zoals ik wel vaker zeg, dat zie je aan de intentie van hoe de software wordt vermarket en hoe deze in de markt bekend staat. De software Blackshades staat bekend als hackingtool:

Blackshades is the name of a malicious trojan horse used by hackers to control infected computers remotely. The malware targets the computers using Microsoft Windows -based operating systems. According to US officials, over 500,000 computer systems have been infected worldwide with the software. … Blackshades infects computer systems by downloading onto a victim’s computer when the victim accesses a malicious webpage (sometimes downloading onto the victim’s computer without the victim's knowledge, known as a drive-by download) or through external storage devices, such as USB flash drives.

De rechtbank was in die zaak dan ook van oordeel dat de Blackshades software hoofdzakelijk is ontworpen om het plegen van computervredebreuk mogelijk te maken. Daarmee is bezit van deze software dus strafbaar. Dat de software ook gebruikt kan worden voor legale activiteiten is dan niet relevant; het gaat erom of hij hoofdzakelijk bedoeld is voor illegale zaken. En gezien hoe deze software algemeen bekend staat, en het soort features dat aan boord is, is dat hier dus het geval.

Er is dus geen harde regel zoals dat RAT software altijd strafbaar is, of alleen als er geen toestemming-popup bij het 'slachtoffer' was getoond. Het gaat er om hoe de software bekend staat en hoe deze wordt gebruikt.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (21)
06-02-2019, 12:19 door Anoniem
Hoe kun je dan als ICT security onderzoeker goed je werk doen.

Algemeen bekend staat : 50% fout ivm foute reputatie vd software

Hoe deze wordt gebruik: 50% Goed
- "Niet voor criminele doeleinden"
- "Het lijkt mij namelijk dat je systemen wil testen in een afgezonderde omgeving."

Dan zit ik even in een soort spagaat...

Wat is dan het oordeel v.d. rechter?
06-02-2019, 12:21 door Anoniem
Nou, dat betekent dus het einde van viraal onderzoek van mijn kant.
Mijn itenties zijn het bestrijden van malware, dus ook Remote Acces Trojans. Maar aangezien het voorhanden hebben al strafbaar is gemaakt (welke digibeet bedenkt dit?) moet ik vandaag het bestrijden ervan maar aan de wilgen hangen.

Nog bedankt overheid!
06-02-2019, 12:46 door Anoniem
Man man man wat een kromme bewoordingen weer. Iemand zin om die wikipediapagina om te schrijven zonder alle loze bangmaakwoorden?

Goed, als je dus maar een programma gebruikt waar de makers en/of vermarketeers heel hard van roepen dat het alleen bedoeld is voor legaal gebruik zit je goed. Duidelijk.

Wel de marketeeringmaterialen erbij houden in je CYA-archief, natuurlijk. "Toen we het kochten was het nog helemaal legaal, edelachtbare, heus! Kijk maar, we hebben de folder nog."
06-02-2019, 12:54 door Anoniem
Misschien kan Arnoud aangeven hoe de rechtbank tegen de Linux distributie KALI aan zou kijken?
Kali Linux is zeer populair onder hackers, omdat deze Linuxdistributie zo veel tools bevat die op exploits kunnen scannen en bijvoorbeeld wachtwoordlijsten kunnen genereren.
06-02-2019, 14:12 door Anoniem
Door Anoniem: Misschien kan Arnoud aangeven hoe de rechtbank tegen de Linux distributie KALI aan zou kijken?
Kali Linux is zeer populair onder hackers, omdat deze Linuxdistributie zo veel tools bevat die op exploits kunnen scannen en bijvoorbeeld wachtwoordlijsten kunnen genereren.

Jij denkt dat de rechtbank weet wat Linux KALI is?
En daardoor een goed oordeel erover kan geven....
06-02-2019, 15:02 door Anoniem
Door Anoniem:
Door Anoniem: Misschien kan Arnoud aangeven hoe de rechtbank tegen de Linux distributie KALI aan zou kijken?
Kali Linux is zeer populair onder hackers, omdat deze Linuxdistributie zo veel tools bevat die op exploits kunnen scannen en bijvoorbeeld wachtwoordlijsten kunnen genereren.

Jij denkt dat de rechtbank weet wat Linux KALI is?
En daardoor een goed oordeel erover kan geven....

Daarvoor zal de rechtbank experts inschakelen die deze informatie kunnen geven.

Als je gepakt wordt met explosieven in bezit dan heb je een probleem, maar toch zie je mijnbouwers niet op forums
roepen dat ze nu hun werk niet meer kunnen doen. Kennelijk kan dit wel opgelost worden.

En je moet bedenken dat er geen razzia is om iedereen die dit soort tools in bezit heeft op te pakken.
Het begint met de constatering van een misdrijf, en het bezit van die tools is dan belastend bewijs.
Dus als je zorgt dat je niet gepakt wordt voor een misdrijf (bijvoorbeeld door je zogenaamde viraal onderzoek uit
te voeren op zelf gekozen targets in plaats van op klanten waar je een getekende overeenkomst mee hebt) dan is
er zeer waarschijnliijk niks aan de hand.
06-02-2019, 15:06 door MathFox
Door Anoniem:Jij denkt dat de rechtbank weet wat Linux KALI is?
En daardoor een goed oordeel erover kan geven....
De rechter hoeft niet te weten wat KALI is, dat hoort in het dossier uitgelegd te zijn (door zowel OvJ als verdediging).

Het maakt ook een verschil of je (aantoonbaar) met white hat security bezig bent (Laat contracten met opdrachtgevers zien) of dat je op een "dark website" tools aanbiedt voor "toegang en gegevensverzameling". De man uit het vonnis gaf ook blackshades support aan mensen met minder goede bedoelingen.
06-02-2019, 15:31 door Anoniem
Door Anoniem: Nou, dat betekent dus het einde van viraal onderzoek van mijn kant.
Mijn itenties zijn het bestrijden van malware, dus ook Remote Acces Trojans. Maar aangezien het voorhanden hebben al strafbaar is gemaakt (welke digibeet bedenkt dit?) moet ik vandaag het bestrijden ervan maar aan de wilgen hangen.

Nog bedankt overheid!
Nee, dat is niet zo. Lees de wettekst er maar op na. Er staat ook dat het pas strafbaar is als het oogmerk is "dat daarmee een misdrijf als bedoeld in [...] wordt gepleegd". Als jouw voorhanden hebben (aantoonbaar) gericht is op het bestrijden van malware, mag je dus een "strafbare" RAT voorhanden hebben.
06-02-2019, 16:30 door Anoniem
Mijn kwartje in de pot: Kali Linux is gemaakt voor het testen van de beveiliging van systemen. Daarmee is het doel niet inbreken. Dus is de software legaal. :).

Let op ik heb er verder geen verstand van. Ik probeer alleen de tekst hierboven toe te passen.
06-02-2019, 21:24 door Anoniem
Wat legaal of niet legaal is weet je zelf doorgaans dondersgoed. Het gaat om je motief, en als je motief slecht is, dan komt de wet om de hoek. Dan kun je nog pech of geluk hebben, maar dat hangt dan weer af van de kwaliteit van wet.

Dat wist lang geleden mijn buurjongen van 6 al. Maar die had er wat op bedacht. Best slim. Hij ging naar een groot warenhuis. En gooide wat uit de bakken. Dan ging hij een rondje om, en raapte het op. Met de gedachte, wat op de grond ligt heb je gevonden, en dan mag je het houden. Dan is het geen stelen. Want dan had de winkel maar beter op moeten letten dat er niks op de grond viel. Het klopt niet, maar er zat wél wat in! En creatief bedacht voor een jochie van 6. Als je er even over doorpraatte, dan had zelfs dat jochie van 6 ook wel door dat het toch stelen bleef. En dat hij beter de volgende dag terug kwam om te zien of het nog steeds op de grond lag. Want grenzen zoeken is ook des mensen eigen. Maar wel met een dondersgoed besef waar de grens ligt.

Als jochies van 6 al besef hebben/hadden? van wat je "kunt maken" of niet, (rechtsbesef heet dat) wat mierreken veel volwassenen dan nog? Als je geweten jeukt, dan is het waarschijnlijk toch verboden. Dat kunnen kinderen zelfs snappen.
06-02-2019, 23:39 door Anoniem
Als het strafbaar zou zijn om gereedschap te bezitten, waarmee je in principe een misdaad kunt plegen, maar dat onder normale omstandigheden voor niet-criminele doeleinden gemaakt werd, dan kun je helemaal niets meer:

- Een breekijzer is een heel gewoon stuk gereedschap voor een bouwer of sloper, maar in handen van een dief een (bewijsbaar) verboden gereedschap.
- Een keukenmes ligt in elke keukenlade, maar als je een moord wilt plegen is het een zeer gevaarlijk wapen.
- Een auto is niet bedoeld om mee te moorden, maar het komt (helaas) voor.
- Met een fototoestel, een smartphone of een filmcamera kun je kinderporno vervaardigen, moet ook dus maar verboden worden.
- En dan kun je vervolgens een compiuter gebruiken om allerlei illigale activiteiten re plegen, van inbreken op een ander systeem tot aan vermeerderen van voornoemde producten van een fototoestel. Weg met al die computers.

En zo is er vanalles te bedenken aan 'gereedschap'. Dat Remote Access Tool is dus net zoiets. Het zit nota bene in veel OS-en ingebouwd: geef de hele besturing maar even uit handen aan de specialist, die repareert de boel wel van afstand of vertelt je wat je fout deed. Werkt prima en is niets mis mee.

Ik zie dus het probleem niet.

En om er meteen weer te gaan schweeuwen 'nog bedankt overheid' is toch wel erg overdreven. Er wordt hier toch al zoveel gescholden op de 'roverheid', in heel veel gevallen zonder enige reden.
07-02-2019, 09:40 door Anoniem
Door Anoniem: Als het strafbaar zou zijn om gereedschap te bezitten, waarmee je in principe een misdaad kunt plegen, maar dat onder normale omstandigheden voor niet-criminele doeleinden gemaakt werd, dan kun je helemaal niets meer: [...]
Vergeet ook niet dat gevaarlijke goedje DHMO, waarmee ook moorden gepleegd worden. Ook maar verbieden dan.

En om er meteen weer te gaan schweeuwen 'nog bedankt overheid' is toch wel erg overdreven. Er wordt hier toch al zoveel gescholden op de 'roverheid', in heel veel gevallen zonder enige reden.
Dat was ik niet maar ik denk wel dat het in dit geval niet helemaal zonder enige reden is. Als wetgevers zich op (voor hen) onbekend terrein begeven willen ze de plank wel eens mis slaan, en soms beschamend hard. Net als rechters, overigens. Zo ook met verschillende pogingen "hacking tools" te verbieden met zo'n ontzettend breed verbod dat ping er ook onder valt, bijvoorbeeld.

Of zonder te vertellen wat dat "hacking" dan wel is, terwijl iedereen met een klein beetje achtergrond weet dat de originele betekenis daarvan heel erg ver van die "mens rea", die "guilty mind" staat waartegen toch de wetten gemaakt worden, en de schreeuwerige msm-populistische betekenis op z'n best vaag te noemen is. Vandaar ook dat je "hacking" niet in wetten, juridische verhandelingen, of zelfs discussies over zulks terug zou moeten kunnen vinden. Dan is niet alleen je jacht op te criminaliseren handelen vaag, maar ook je denken daarover beneveld.

Of de rechter die meegaat in de redenatie van de aanklager dat AXFR wel heel gevaarlijk is want het is niet iets dat "de gemiddelde gebruiker" kent of gebruikt, terwijl het gewoon een gedocumenteerde optie van de relevante DNS-bevraag-utility is, zelfs ook een protocol-optie gedocumenteerd in de relevante RFCs, en gewoon behoort tot de gereedschapskist van de DNS-admin. Als we zo gaan beginnen dan is een doodgewone gereedschapskist achterin de auto al bewijs van crimineel voorhebben. Terwijl sommige autos er zelfs standaard mee verkocht werden.

Dus tja, dit soort verboden zijn altijd minstens een beetje vaag en vrij gevoelig voor misbruik, dus ik ben niet heel blij als ze in wetten gegoten worden. Zoals het appen-op-de-fiets verbod, dat zo breed is dat een dedicated GPS, een radio, of zelfs een fietslampje er ook onder valt. Je mag geen "electronisch apparaat vasthouden". Wat gewoon veel te breed is uit naam van een misplaatse wens om "toekomstvastheid". Dus een boombox vasthouden ook al staat'ie uit mag niet. Maar achterop de fiets vastbinden dan. Even kijken waar je heenmoet doe je maar weer op een papieren kaart, want dat is niet electronisch. En een fietslampje? Die kunnen met dezelfde knop aan- en uitgezet worden en vaak ook nog in een of meer knipperstanden. Dat doet een chipje. Ergo, "electronisch apparaat".

En dan kun je wel zeggen "nou de rechter zal wel beter weten" maar dat is geen gegeven. Belangrijker, wetten die helemaal niet functioneren zonder dat de verzamelde rechters het misbruik in de hand houden zijn gewoon slechte wetten. Dan kan het misbruik van niet een, maar wel twee kanten tegelijk komen, van beklaagde maar ook vanuit de aanklager, en of dat nou zo'n verbetering is? Die wetten die je zoals gezegd vaker tegenkomt als de wetgever zaken probeert te regelen die de wetgever gewoon niet voldoende begrijpt.
07-02-2019, 19:35 door Anoniem
Kom op zeg. Wat je (eigenlijk) niet kunt flikken leer je al als kind. Nog voor je leert lezen.

Bedrijven, maar individuen ook, die hardnekkig denken "als het werkt dan mag het" staan op het geestelijk niveau van een baby van 6 maanden.

We worden gegijzeld door monopolisten met een rechtsbesef van een baby van 6 maanden. Dat is de status quo op dit moment.
08-02-2019, 09:48 door Anoniem
Een beveiligingsonderzoeker / ethical hacker mag dit soort tools hebben, want dan is er een legitieme uitleg. Hoe zit dat met jongeren, die de ambitie hebben om te gaan werken in deze sector ? Mogen die ook dit soort tools hebben, zolang ze deze niet op illegale wijze inzetten ? Of is het dan verboden omdat de uitleg niet wordt geaccepteerd door de overheid ?

Laat men mensen straffen die illegale daden plegen, i.p.v. mensen die tooling hebben waarmee ze potentieel de wet zouden kunnen overtreden. Mijn PC thuis, met internet verbinding, is ook een ''hacktool''.
08-02-2019, 11:45 door MathFox
Door Anoniem: Een beveiligingsonderzoeker / ethical hacker mag dit soort tools hebben, want dan is er een legitieme uitleg. Hoe zit dat met jongeren, die de ambitie hebben om te gaan werken in deze sector ? Mogen die ook dit soort tools hebben, zolang ze deze niet op illegale wijze inzetten ? Of is het dan verboden omdat de uitleg niet wordt geaccepteerd door de overheid ?

Je bent strafbaar als je "hacktools" bezit met de intentie om ze voor misdrijven te gebruiken. Nu is het voor een docent beveiligingsonderzoek makkelijker om aannemelijk te maken dat hij goede intenties heeft dan een willekeurige middelbare scholier, maar ook een scholier kan laten blijken dat hij met serieus onderzoek bezig is.
Als jouw IP naar boven komt bij het onderzoek naar een hack, dan zal het bezit van hacktools in jouw nadeel meespreken. Gebruik je ze op een manier die niet de aandacht trekt (zet een tweede computer op je kamer als testserver om die te proberen te hacken) dan loop je veel minder risico. Deel jouw hacktools ook niet met "vriendjes" die er minder ethisch mee om gaan.
08-02-2019, 14:12 door Anoniem
Als het strafbaar zou zijn om gereedschap te bezitten, waarmee je in principe een misdaad kunt plegen, maar dat onder normale omstandigheden voor niet-criminele doeleinden gemaakt werd, dan kun je helemaal niets meer:

- Een breekijzer is een heel gewoon stuk gereedschap voor een bouwer of sloper, maar in handen van een dief een (bewijsbaar) verboden gereedschap.
- Een keukenmes ligt in elke keukenlade, maar als je een moord wilt plegen is het een zeer gevaarlijk wapen.
- Een auto is niet bedoeld om mee te moorden, maar het komt (helaas) voor.
- Met een fototoestel, een smartphone of een filmcamera kun je kinderporno vervaardigen, moet ook dus maar verboden worden.
- En dan kun je vervolgens een compiuter gebruiken om allerlei illigale activiteiten re plegen, van inbreken op een ander systeem tot aan vermeerderen van voornoemde producten van een fototoestel. Weg met al die computers.

Daarom kijkt men ook naar intentie en omstandigheden.
08-02-2019, 21:31 door Anoniem
Door Anoniem: Man man man wat een kromme bewoordingen weer. Iemand zin om die wikipediapagina om te schrijven zonder alle loze bangmaakwoorden?

Goed, als je dus maar een programma gebruikt waar de makers en/of vermarketeers heel hard van roepen dat het alleen bedoeld is voor legaal gebruik zit je goed. Duidelijk.

Wel de marketeeringmaterialen erbij houden in je CYA-archief, natuurlijk. "Toen we het kochten was het nog helemaal legaal, edelachtbare, heus! Kijk maar, we hebben de folder nog."
TuT Tut TuT... de zaak niet bagataliseren aub.

Dit gaat om vrijheid nou goed. Die heb je in allerlei soorten kleuren en maten en blackshades is zoiets. Dat je met een mes je eten kan bereiden betekend het bezit ervan nog niet dat het bezit van een mes ook misbruikt wordt en gelijk als crimineel bestempeld hoeft te worden omdat iemand anders ermee vermoord kan worden.

Het is de persoon die het tooltje gebruikt die verantwoordelijk is, niet diegene die het tooltje in bezit heeft. En als de overheid denkt dat ze hiermee computer vrede breuk op te kunnen lossen dan komt ze van een koude kermis thuis. Dit is de zoveelste beknotting van vrijheden. De CHina utopie knuffelende beleidsmakers horen niet in de politiek thuis. Nu zitten ze helaas wel in de politiek dus zullen ze ook anders denkende mensen maar moeten tolereren.
09-02-2019, 18:28 door Anoniem
Je bent strafbaar als je "hacktools" bezit met de intentie om ze voor misdrijven te gebruiken.
Hoe bewijs je dat iemand die intentie heeft, of veel lastiger, niet heeft!
12-02-2019, 13:15 door Eric-Jan H te D
Wanneer ik nu met mijn klant afspreek dat ik dit tool gebruik om zijn computer op afstand te beheren.

Knappe rechter die mij dan nog veroordeelt.
13-02-2019, 17:37 door Anoniem
De uitspraak van de rechter in de zaak ECLI:NL:RBROT:2018:10149 ligt iets genuanceerder, hoewel de kennis op dit gebied van politie/justitie erg zwak is. Kort samengevat, de verdachte verkocht deze tools als zijnde hacktools op hackforums.net.

"De rechtbank is van oordeel dat de Blackshades software hoofdzakelijk is ontworpen om het plegen van computervredebreuk mogelijk te maken. De rechtbank komt tot deze conclusie op basis van de volgende omstandigheden. In het proces-verbaal van bevindingen Blackshades producten relateert de politie uitgebreid dat Blackshades een veelheid aan software omvat waaronder Remote Acces Tools (RAT’S) en een Keylogger. Remote Acces Tools zijn malware, waarmee op afstand een computer door een Blackshades gebruiker overgenomen kan worden. De Blackshades RAT was volgens dit proces-verbaal officieel ontwikkeld om gebruikt te worden als een remote acces tool in combinatie met de mogelijkheid om een DdoS- (distributed denial of service) aanval uit te voeren. Daarbij zijn allerlei nieuwe functies ontwikkeld waarmee – kort samengevat – informatie van geïnfecteerde computers kan worden verkregen, deze computers op verschillende wijzen kunnen worden beïnvloed en de Blackshades infectie via deze computers verder kan worden verspreid. Eén van die functies is ‘surveillance’. Die functie behelst een Keylogger, spyware die bijhoudt welke toetsen een gebruiker aanslaat. Deze gegevens kunnen vervolgens ongemerkt verstuurd worden aan de Blackshades gebruiker en door deze worden misbruikt. De keylogfunctionaliteit staat – zoals blijkt uit het proces-verbaal nadere bevindingen Blackshades producten – standaard aan bij gebruik van de Blackshades RAT. De Blackshades producten maken het plegen van computermisdrijven op een veelheid aan manieren mogelijk. De rechtbank betrekt bij zijn conclusie ook de omstandigheid dat de verdachte de Blackshades producten aan de man bracht op een hackforum.

Dat de software ook gebruikt kan worden voor legale activiteiten doet hier geenszins aan af."
13-02-2019, 21:59 door Anoniem
Dat zou wel een hele ideale wereld zijn waar in je dan leeft niet dan? Kun je elkaar tenminste geen pijn doen. Het zal wel weer een utopie zijn. Immers, ik ken iemand die al 21 jaar een depressie heeft. En dan nog beweren dat aan alle slechte dingen een eind komt. Nee, alleen aan alle GOEDE dingen komt een einde.

Door Anoniem: Als het strafbaar zou zijn om gereedschap te bezitten, waarmee je in principe een misdaad kunt plegen, maar dat onder normale omstandigheden voor niet-criminele doeleinden gemaakt werd, dan kun je helemaal niets meer:

- Een breekijzer is een heel gewoon stuk gereedschap voor een bouwer of sloper, maar in handen van een dief een (bewijsbaar) verboden gereedschap.
- Een keukenmes ligt in elke keukenlade, maar als je een moord wilt plegen is het een zeer gevaarlijk wapen.
- Een auto is niet bedoeld om mee te moorden, maar het komt (helaas) voor.
- Met een fototoestel, een smartphone of een filmcamera kun je kinderporno vervaardigen, moet ook dus maar verboden worden.
- En dan kun je vervolgens een compiuter gebruiken om allerlei illigale activiteiten re plegen, van inbreken op een ander systeem tot aan vermeerderen van voornoemde producten van een fototoestel. Weg met al die computers.

En zo is er vanalles te bedenken aan 'gereedschap'. Dat Remote Access Tool is dus net zoiets. Het zit nota bene in veel OS-en ingebouwd: geef de hele besturing maar even uit handen aan de specialist, die repareert de boel wel van afstand of vertelt je wat je fout deed. Werkt prima en is niets mis mee.

Ik zie dus het probleem niet.

En om er meteen weer te gaan schweeuwen 'nog bedankt overheid' is toch wel erg overdreven. Er wordt hier toch al zoveel gescholden op de 'roverheid', in heel veel gevallen zonder enige reden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.