image

Juridische vraag: Is het maken van software voor een DDoS aanval illegaal?

woensdag 25 september 2019, 10:32 door Arnoud Engelfriet, 10 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Wil je weten wat onder de AVG nu wel en niet is toegestaan of zit je met andere gerelateerde dilemma's? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Vraag: Op het forum las ik de vraag: "Is het maken van software voor een DDoS aanval illegaal?" Kun je daar duidelijkheid over geven?

Antwoord: Het hangt van het beoogde doel van de software af of het illegaal is om deze te maken. De wet stelt namelijk strafbaar het maken, verkopen, verspreiden et cetera van een middel om een ddos aanval te plegen (artikel 139d lid 2 Strafrecht). Het moet dan gaan wel om een "technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf".

In de comments lees ik onder meer dat mensen wijzen op de bekende tool ping(1), waarmee je kunt kijken of een bepaald ip-adres bereikbaar is via internet. Deze beschikt over een flood-optie waarbij heel veel data wordt verstuurd. Daarmee kun je een (d)dos aanval plegen als je de ping richt op je slachtoffer en langdurig met die optie actief pings stuurt. Maar ik kan met de beste wil van de wereld dat geen "hoofdzakelijk geschikt gemaakt of ontworpen" noemen.

Een tool die is voorzien van uitleg hoe je heimelijk deze bij anderen installeert en vervolgens via internet commando's stuurt om vanaf hun computers een dos-aanval uit te voeren, zou ik wel degelijk 'ontworpen' voor dat misdrijf noemen. Het zal dus heel erg neerkomen op hoe de tool wordt gepresenteerd, welke toelichting erbij staat en wat uiteindelijk de algemene indruk is. Ja, dat is vaag maar voor juristen is dat niet erg.

Let op dat het verder niet uitmaakt of je de software verspreidt of voor jezelf houdt. Ook alleen maar zelf maken is in theorie al strafbaar (hoewel de vraag is hoe iemand er dan achterkomt dat je het hebt).

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (10)
25-09-2019, 11:40 door Anoniem
Tuurlijk is het strafbaar(DDoS botnets, rats, IoT dump) maar ergens ook weer niet, met een voorbeeld aan het load testen van je eigen server of die van een klant waar je gewoon toegang tot mag hebben en beschikt over de goedkeuring om te mogen testen.

Dit lijkt me dus een logisch antwoord op de vraag. Juridisch advies niet eens nodig gehad.
Mag mijn Chinese koks- en hakmessen ook gewoon kopen en gebruiken, right? Mag ze natuurlijk wel niet in gebruik gaan nemen voor mensen mee in mootjes te hakken (goh), of toch wel en dan de gevangenis in gaan (hm wat vreemd toch joh!)..

Wat ik mij serieus afvraag is wat nu als je niet zwart op wit heb staan of je mag testen. Misschien wel een hele simpele security test. Zou nu bijvoorbeeld de manager je een oor kunnen aannaaien en u in juridische problemen laten komen?
25-09-2019, 13:03 door MathFox
Als je professioneel software test, heb je een "paper record" met doelen, testplannen, resultaten, etc. Wanneer je tests uitvoert in opdracht van een andere partij komt daar ook nog de commerciële overeenkomst bij.

Met name bij security (pen-) testen is het heel goed om vooraf met de opdrachtgever de grenzen te bepalen en die vast te leggen. Inbreken (ook op computers) zonder toestemming van de eigenaar is strafbaar; die toestemming op papier is een 'get out of jail' kaart.
Als jij een opdracht van je manager krijgt mag jij er van uit gaan dat jouw werkgever de contractuele zaken geregeld heeft. Ik zou vragen "kun je me de details van de opdracht mailen" om zelf een "trail" te hebben. (Als jij je manager niet vertrouwt, kun je beter op zoek gaan naar een andere baan.)
25-09-2019, 13:35 door Anoniem
Door MathFox: Als je professioneel software test, heb je een "paper record" met doelen, testplannen, resultaten, etc. Wanneer je tests uitvoert in opdracht van een andere partij komt daar ook nog de commerciële overeenkomst bij.

Makes sense. Nu moet ik plots aan dit artikel denken
https://www.security.nl/posting/624854/Penetratietesters+tijdens+fysieke+beveiligingstest+gearresteerd

Die hebben elkaar wel verkeerd begrepen of de zaakjes niet helemaal in orde.
25-09-2019, 16:59 door Anoniem
Door Anoniem: Tuurlijk is het strafbaar(DDoS botnets, rats, IoT dump) maar ergens ook weer niet, met een voorbeeld aan het load testen van je eigen server of die van een klant waar je gewoon toegang tot mag hebben en beschikt over de goedkeuring om te mogen testen.

Dit lijkt me dus een logisch antwoord op de vraag. Juridisch advies niet eens nodig gehad.
Mag mijn Chinese koks- en hakmessen ook gewoon kopen en gebruiken, right? Mag ze natuurlijk wel niet in gebruik gaan nemen voor mensen mee in mootjes te hakken (goh), of toch wel en dan de gevangenis in gaan (hm wat vreemd toch joh!)..

Wat ik mij serieus afvraag is wat nu als je niet zwart op wit heb staan of je mag testen. Misschien wel een hele simpele security test. Zou nu bijvoorbeeld de manager je een oor kunnen aannaaien en u in juridische problemen laten komen?
Het korte antwoord op de laatste vraag is "ja". Ook in de zakelijke setting zijn zaken als computervredebreuk en dergelijke gewoon strafbaar. Niet voor niets is prioriteit 1 als je een security assessment of pentest laat uitvoeren wat de spelregels zijn en daaraan gekoppeld een vrijwaringsbewijs. Dan zijn de handelingen die uitgevoerd worden nog altijd strafbaar, maar met dat document kun je aantonen dat je de handelingen verricht in opdracht van de werkgever. Hij belooft daarmee dus impliciet geen aangifte te doen, en doet hij dat toch, dan is het een bewijs dat je niet uit eigen beweging aan het hacken bent geslagen. Een mondelinge toezegging is trouwens geldig, maar moeilijk te bewijzen. Daarom zijn opdrachten en vrijwaringsbewijzen altijd schriftelijk en ondubbelzinnig.
25-09-2019, 17:39 door Anoniem
Strafrecht. Dat betekent dus ook dat als je wetenschap hebt dat iemand software zit te bakken om te gaan ddossen, je de plicht hebt om dat te melden. Omdat je anders als medeplichtige aangemerkt kunt worden. Dat is niet anders dan dat je weet dat iemand serieus van plan is leuk te gaan lopen beroven of slaan. Of een potje schieten.

Of zo een melding ook daadwerkelijk wordt aanvaard is met de huidige politiemoraal een andere zaak. Evenwel blijf je juridisch dan nog steeds vervolgbaar als je zoiets komt melden en door een vermoeid hoofd wordt weggestuurd. Zorg daarom altijd dat je een bewijs van wegsturing krijgt van de politie. Want voor je het weet ben je medeplichtig, of probeert de advocaat van de softwarebakker de rechter aan de neus te hangen dat jij de opdrachtgever en dus de hoofddader was. Wat wel blijkt omdat je alles wist en niks gemeld hebt.
25-09-2019, 18:33 door Anoniem
Door Anoniem:
Door Anoniem: Tuurlijk is het strafbaar(DDoS botnets, rats, IoT dump) maar ergens ook weer niet, met een voorbeeld aan het load testen van je eigen server of die van een klant waar je gewoon toegang tot mag hebben en beschikt over de goedkeuring om te mogen testen.

Dit lijkt me dus een logisch antwoord op de vraag. Juridisch advies niet eens nodig gehad.
Mag mijn Chinese koks- en hakmessen ook gewoon kopen en gebruiken, right? Mag ze natuurlijk wel niet in gebruik gaan nemen voor mensen mee in mootjes te hakken (goh), of toch wel en dan de gevangenis in gaan (hm wat vreemd toch joh!)..

Wat ik mij serieus afvraag is wat nu als je niet zwart op wit heb staan of je mag testen. Misschien wel een hele simpele security test. Zou nu bijvoorbeeld de manager je een oor kunnen aannaaien en u in juridische problemen laten komen?
Het korte antwoord op de laatste vraag is "ja". Ook in de zakelijke setting zijn zaken als computervredebreuk en dergelijke gewoon strafbaar. Niet voor niets is prioriteit 1 als je een security assessment of pentest laat uitvoeren wat de spelregels zijn en daaraan gekoppeld een vrijwaringsbewijs. Dan zijn de handelingen die uitgevoerd worden nog altijd strafbaar, maar met dat document kun je aantonen dat je de handelingen verricht in opdracht van de werkgever. Hij belooft daarmee dus impliciet geen aangifte te doen, en doet hij dat toch, dan is het een bewijs dat je niet uit eigen beweging aan het hacken bent geslagen. Een mondelinge toezegging is trouwens geldig, maar moeilijk te bewijzen. Daarom zijn opdrachten en vrijwaringsbewijzen altijd schriftelijk en ondubbelzinnig.
Minder onzin praten. De vrijwaring is een impliciete toestemming waarmee "wederrechtelijkheid" weggenomen zal worden en dat maakt. JUIST het niet strafbaar meer. Elke aangifte gedaan zal dan ook een valse aangifte zijn.
25-09-2019, 21:48 door MathFox
Door Anoniem: Strafrecht. Dat betekent dus ook dat als je wetenschap hebt dat iemand software zit te bakken om te gaan ddossen, je de plicht hebt om dat te melden. Omdat je anders als medeplichtige aangemerkt kunt worden. Dat is niet anders dan dat je weet dat iemand serieus van plan is leuk te gaan lopen beroven of slaan. Of een potje schieten.
Het doen van aangifte is alleen wettelijk verplicht bij ernstige misdrijven als moord, verkrachting en ontvoering en voorbereiding daartoe. Niet wanneer je weet dat iemand "illegale" software schrijft.
26-09-2019, 10:01 door Ron625 - Bijgewerkt: 26-09-2019, 10:04
Door MathFox:
Het doen van aangifte is alleen wettelijk verplicht bij ernstige misdrijven als moord, verkrachting en ontvoering en voorbereiding daartoe.
Niet wanneer je weet dat iemand "illegale" software schrijft.
Dat heb je m.i. fout.
Je bent verplicht aangifte te doen van alle misdrijven.
De enig mogelijke ontheffing is de maximale straf die er op zit, het kan dus zijn, dat je verplicht bent om aangifte te doen wanneer de maximale straf minimaal 5 jaar bedraagt (als voorbeeld)
Omdat het inzicht daarin moeilijk is, kan je beter altijd aangifte doen.
Maar er is een verschil tussen een misdrijf en een overtreding...........

Zie ook https://www.uwwet.nl/wetten-en-regelingen/strafrecht/wetboek-van-strafvordering/54-aangiften-en-aanklachten.htm
26-09-2019, 15:40 door SPer
Door Ron625:
Door MathFox:
Het doen van aangifte is alleen wettelijk verplicht bij ernstige misdrijven als moord, verkrachting en ontvoering en voorbereiding daartoe.
Niet wanneer je weet dat iemand "illegale" software schrijft.
Dat heb je m.i. fout.
Je bent verplicht aangifte te doen van alle misdrijven.
De enig mogelijke ontheffing is de maximale straf die er op zit, het kan dus zijn, dat je verplicht bent om aangifte te doen wanneer de maximale straf minimaal 5 jaar bedraagt (als voorbeeld)
Omdat het inzicht daarin moeilijk is, kan je beter altijd aangifte doen.
Maar er is een verschil tussen een misdrijf en een overtreding...........

Zie ook https://www.uwwet.nl/wetten-en-regelingen/strafrecht/wetboek-van-strafvordering/54-aangiften-en-aanklachten.htm
In de door u aangeleverde link staat dat je juist niet voor alle misdrijven aangifte hoeft te doen namelijk :
1.Ieder die kennis draagt van een der misdrijven omschreven in de artikelen 92-110 van het Wetboek van Strafrecht, in Titel VII van het Tweede Boek van dat Wetboek, voor zoover daardoor levensgevaar is veroorzaakt, of in de artikelen 287 tot en met 294 en 296 van dat wetboek, van menschenroof of van verkrachting, is verplicht daarvan onverwijld aangifte te doen bij een opsporingsambtenaar.

Dat moet dus alleen maar bij levensgevaar, mensenroof of verkrachting.
Dus hetgeen Mathfox opmerkt is correct .
30-09-2019, 08:29 door Anoniem
Door Anoniem: Tuurlijk is het strafbaar(DDoS botnets, rats, IoT dump) maar ergens ook weer niet, met een voorbeeld aan het load testen van je eigen server of die van een klant waar je gewoon toegang tot mag hebben en beschikt over de goedkeuring om te mogen testen.

Dit lijkt me dus een logisch antwoord op de vraag. Juridisch advies niet eens nodig gehad.
Mag mijn Chinese koks- en hakmessen ook gewoon kopen en gebruiken, right? Mag ze natuurlijk wel niet in gebruik gaan nemen voor mensen mee in mootjes te hakken (goh), of toch wel en dan de gevangenis in gaan (hm wat vreemd toch joh!)..

Wat ik mij serieus afvraag is wat nu als je niet zwart op wit heb staan of je mag testen. Misschien wel een hele simpele security test. Zou nu bijvoorbeeld de manager je een oor kunnen aannaaien en u in juridische problemen laten komen?

Waarom is een RAT strafbaar? Dus Teamviewer is illegaal?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.