Juridische vraag: Is het strafbaar om losgeld te betalen bij ransomware?
woensdag 8 januari 2020, 11:17 door Arnoud Engelfriet, 19 reacties
Is het strafbaar om losgeld bij ransomware te betalen?
Moet de politie
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Vraag: De geruchten worden steeds sterker dat de Universiteit Maastricht losgeld betaalde om haar door Clop gegijzelde systemen terug te krijgen. Nu vroeg ik me af of dat wel mag eigenlijk, losgeld betalen. Moet je niet zoiets via de politie laten lopen?
Antwoord: Ransomware zoals Clop wordt een steeds groter probleem, getuige de vele berichten over ransomware hier op Security.nl alleen al. Het is haast de perfecte misdaad: je ontkomt haast niet aan betalen (tenzij je heel hard je best doet, zie topdraadje maar dat lukt vele organisaties niet) en de daders opsporen lukt haast niet. Want waar je een zak geld achtergelaten in de prullenbak in het park nog kunt volgen, is dat met een cryptomunt niet te doen.
Het is niet strafbaar om losgeld te betalen. Dat zou ook wel erg onethisch zijn, slachtoffers van een misdrijf zet je zo klem terwijl ze een geliefde (of heel waardevol object) kwijt zijn en terug kunnen krijgen met dat geld. Dat kun je niet maken als wetgever. Natuurlijk is het beter de politie hierover te laten beslissen, want wellicht weten die een manier om met de betaling de daders op te sporen.
Bij ransomware lees je vaak dat verzekeraars betalen wanneer ransomware heeft toegeslagen bij een polishouder. Zakelijk is het immers puur een rekensom: wat kost het om het hele systeem terug te zetten, en hoe hoog is het losgeld? Verrassend genoeg blijken veel ransomware-verspreiders namelijk gewoon de sleutel te geven als je betaalt. Logisch vanuit hun perspectief, want dan gaan de betalende slachtoffers anderen adviseren om ook te betalen. En dit soort misdaad moet het van vele gewillige slachtoffers hebben.
Voor een individueel slachtoffer is het dus niet gek om gewoon te betalen, hoewel maatschappelijk gezien dat natuurlijk buitengewoon onwenselijk is. Voor een verzekeraar voelt het gekker: die heeft meer klanten die mogelijk slachtoffer kunnen worden, en veroorzaakt zo meer claims bij zichzelf (en concullega's). Maar voor het individuele geval zou het ook bij de verzekeraar een prima oplossing kunnen zijn.
Ik ken geen wet die expliciet verbiedt dat een verzekeraar losgeld betaalt. Als de verzekeraar dit in de polis zet als recht, dan zou dat waarschijnlijk in strijd met de openbare orde of goede zeden zijn (art. 3:40 BW). Maar dat levert volgens mij alleen op dat de klant de verzekeraar niet kan dwingen te betalen (een dergelijke verbintenis is immers nietig) of dat de verzekeraar het geld als onverschuldigd betaald kan terugvorderen bij de ransomware-verspreider (en dat heeft geen betekenis). Ik ken geen artikel uit het wetboek van strafrecht dat je tegen zo'n betalende verzekeraar in kunt zetten. Waarschijnlijk is het nooit verboden omdat niemand er aan gedacht heeft dat dit grootschalig een ding kon worden - bij traditionele gijzelingen is de politie er meestal bij betrokken, en die kan dan bepalen wat wijsheid is.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (19)
08-01-2020, 11:37 door
Anoniem
Want waar je een zak geld achtergelaten in de prullenbak in het park nog kunt volgen, is dat met een cryptomunt niet te doen.
Dit is niet altijd waar. Het gedistribueerde grootboek waar cryptomunten op bouwen is publiek. Alleen, wat vertelt het je dat muntjes van adres x naar adres y verschoven zijn?
08-01-2020, 11:46 door
Anoniem
Verrassend genoeg blijken veel ransomware-verspreiders namelijk gewoon de sleutel te geven als je betaalt. Logisch vanuit hun perspectief, want dan gaan de betalende slachtoffers anderen adviseren om ook te betalen. En dit soort misdaad moet het van vele gewillige slachtoffers hebben.
Toevallig vandaag in een artikel gelezen dat nog niet in de helft van de gevallen de data terugkomt.
Uit https://www.helpnetsecurity.com/2020/01/07/windows-7-ransomware/:
Ransomware relies on the idea that paying a ransom is going to be the only/cheapest way to regain access to your data, yet research shows that less than half of those that pay up are actually able to recover their data from cyber criminals.
Dat wil niet zeggen dat in al die gevallen de sleutel niet correct is. In sommige gevallen blijkt hij niet te werken, omdat de organisatie eerst andere pogingen heeft gedaan de informatie te herstellen. Daardoor zijn de versleutelde bestanden om de een of andere reden niet meer te ontsleutelen.
Er zijn ook gevallen bekend waarbij de "ransomware" gewoon de bestanden weggooit.
Maar het klopt waarschijnlijk wel dat de grote partijen, die hele netwerken versleutelen, wel meer te "vertrouwen" zijn. Hun activiteiten komen uitgebreid in het nieuws. Als duidelijk wordt dat de sleutels niet werken, is de kans dat volgende slachtoffers niet betalen, groot.
Peter
08-01-2020, 13:21 door
Anoniem
Door Anoniem:
Want waar je een zak geld achtergelaten in de prullenbak in het park nog kunt volgen, is dat met een cryptomunt niet te doen.
Dit is niet altijd waar. Het gedistribueerde grootboek waar cryptomunten op bouwen is publiek. Alleen, wat vertelt het je dat muntjes van adres x naar adres y verschoven zijn?Fysiek geld is traceerbaar (serienummer) en ondeelbaar. (Een briefje van 100 Euro, blijft steeds eentje van 100 euro.)
Als je de serienummers bijhoudt van het betaalde lostgeld, kan je achteraf steeds zeggen of een gegeven croupure deel uitmaakte van het losgeld of niet.
Cryptomunten zijn uiteraard volgbaar, want de transacties zijn publiek, maar cryptomunten zijn ook deelbaar.
Jouw 100 Bitcoin aan losgeld, wordt ineens 100x 1 bitcoin verspreid over 100 rekeningen waar al andere bitcoins opstonden, vandaaruit wordt weer geaggregeerd of verder uitgesplitst, etc...
Dit zijn niet enkel "smoke an mirrors" transacties, maar ook echte rechtmatige.
Uiteindelijk kan je achteraf voor een gegeven bitcoin in een wallet niet meer zeggen of het deel uitmaakte van de losgeldtransactie of niet, zelfs niet als je de transacties volgt. Je kan enkel vaststellen dat er ooit een link is geweest met de originele wallet.
Zoals je misschien weet is iedere mens op aarde met iedere andere slechts via 6 "links" verbonden, maar dat wil niet zeggen dat deze mensen iets met elkaar gemeen hebben. (https://en.wikipedia.org/wiki/Six_degrees_of_separation)
In de praktijk wil dat in dit geval zeggen dat het geld dus is witgewassen.
08-01-2020, 16:37 door
Anoniem
Door Anoniem: Cryptomunten zijn uiteraard volgbaar, want de transacties zijn publiek, maar cryptomunten zijn ook deelbaar.
Jouw 100 Bitcoin aan losgeld, wordt ineens 100x 1 bitcoin verspreid over 100 rekeningen waar al andere bitcoins opstonden, vandaaruit wordt weer geaggregeerd of verder uitgesplitst, etc...
Dit zijn niet enkel "smoke an mirrors" transacties, maar ook echte rechtmatige.
Dat kan. Een dienst die dat doet heet een "cryptocurrency tumbler". Maar je moet die dan wel gebruiken, het gebeurt niet automatisch, en het kost je transactiekosten. Of je moet het zelf doen. Dat is meer werk en kost je meer transactiekosten en levert minder verwarring op want alle transacties zijn van jezelf.Jouw 100 Bitcoin aan losgeld, wordt ineens 100x 1 bitcoin verspreid over 100 rekeningen waar al andere bitcoins opstonden, vandaaruit wordt weer geaggregeerd of verder uitgesplitst, etc...
Dit zijn niet enkel "smoke an mirrors" transacties, maar ook echte rechtmatige.
In de praktijk wil dat in dit geval zeggen dat het geld dus is witgewassen.
In de praktijk van zo'n cryptocurrency tumbler gebruiken is het niet meer te zeggen waar de cryptovaluta nu eigenlijk vandaankomen. Maar dat is niet de dagelijkse praktijk van cryptocurrencies gebruiken. Het is dus niet zo dat "oh het is nu een cryptomunt" hetzelfde is als "oh het is niet meer te traceren". Dat is helemaal niet gezegd.Het ging erom het punt "cryptovaluta-transacties volgen is ondoenlijk" tegen te spreken. Dat is niet automatisch het geval. Zo'n tumbler wordt niet automatisch ingezet. Zelf je muntjes opbreken en over vele adressen verspreiden en weer verzamelen op een ander adres is leuk maar als daar niet vele andere transacties van anderen tussen zitten voor die "smoke and mirrors" dan kost dat transactiekosten en moeite maar levert weinig "smoke and mirrors" op.
08-01-2020, 16:42 door
Anoniem
Je kunt crypto valuta prima traceren. Alleen werken de Oostblok landen niet mee om de criminelen te arresteren.
09-01-2020, 08:55 door
teusink
Even een vervolgvraag: Ben je als organisatie (in)direct verantwoordelijk als met de door jouw betaalde losgeld terroristische aanslagen wordt gepleegd? En als je niet (in)direct verantwoordelijk bent, vind je het fijn als het als kopstuk in de krant komt?
Voorbeeld: "Organisatie XYZ heeft aanslag gefinancierd door betaling losgeld terroristen".
Vanuit bedrijfseconomische overwegingen begrijp ik de betaling van het losgeld. Ook wanneer je hele cruciale data verloren hebt. Ethisch gezien kan het gewoon niet.
Wellicht organisaties die losgeld n.a.v. een cyberaanval betalen verplichten om 10 jaar lang een jaarlijkse algehele onafhankelijke security assessment laten doen inclusief het oplossen van alle critical en medium bevindingen? En dit onder toezicht van het NCSC o.i.d.?
Voorbeeld: "Organisatie XYZ heeft aanslag gefinancierd door betaling losgeld terroristen".
Vanuit bedrijfseconomische overwegingen begrijp ik de betaling van het losgeld. Ook wanneer je hele cruciale data verloren hebt. Ethisch gezien kan het gewoon niet.
Wellicht organisaties die losgeld n.a.v. een cyberaanval betalen verplichten om 10 jaar lang een jaarlijkse algehele onafhankelijke security assessment laten doen inclusief het oplossen van alle critical en medium bevindingen? En dit onder toezicht van het NCSC o.i.d.?
09-01-2020, 09:58 door
johanw
Iets gijzelen om het losgeld gebeurt wel vaker hoor. In de kunstwereld bijvoorbeeld, men steelt een kostbaar kunstwerk dat echter slecht verkoopbaar is omdat het zo bekend is. Vaak biedt de verzekeraar dan meer dan het op de zwarte markt zou opbrengen.
09-01-2020, 10:08 door
Anoniem
Door teusink: Even een vervolgvraag: Ben je als organisatie (in)direct verantwoordelijk als met de door jouw betaalde losgeld terroristische aanslagen wordt gepleegd?
Ben je als burger verantwoordelijk als er van het door jou betaalde belastinggeld elders burgers worden vermoord
omdat de politiek het wel een goed idee vindt om zicht e bemoeien met andermans zaken??
Ik denk dat je als je zo begint wel erg op een zeephelling terecht komt.
09-01-2020, 15:33 door
Anoniem
Want waar je een zak geld achtergelaten in de prullenbak in het park nog kunt volgen, is dat met een cryptomunt niet te doen.
Jups, cash geld is zo goed traceerbaar. Van ieder muntje en biljet wordt geregistreerd waar deze wordt uitgegeven, door wie, en wie de ontvangende partij is. Ohnee, toch niet.
Slechte vergelijking.
09-01-2020, 15:35 door
Anoniem
@teusink :
Als je deze redenatie volgt, ben je straks strafbaar vanwege je pensioen afdracht. Immers gaat er geld naar de wapenindustrie, en met behulp van hun produkten, worden landen gebombardeerd.
PS: Geef eens voorbeelden van terreuraanslagen, die gefinancieerd zijn m.b.v. ransomware opbrengsten ? Of klinkt het gewoon leuk, zoiets te roepen ?
Even een vervolgvraag: Ben je als organisatie (in)direct verantwoordelijk als met de door jouw betaalde losgeld terroristische aanslagen wordt gepleegd?
Als je deze redenatie volgt, ben je straks strafbaar vanwege je pensioen afdracht. Immers gaat er geld naar de wapenindustrie, en met behulp van hun produkten, worden landen gebombardeerd.
PS: Geef eens voorbeelden van terreuraanslagen, die gefinancieerd zijn m.b.v. ransomware opbrengsten ? Of klinkt het gewoon leuk, zoiets te roepen ?
09-01-2020, 16:43 door
Briolet
Door Anoniem:
Cryptomunten zijn uiteraard volgbaar, want de transactie zijn publiek, maar cryptomunten zijn ook deelbaar.
Jouw 100 Bitcoin aan losgeld, wordt ineens 100x 1 bitcoin verspreid over 100 rekeningen waar al andere bitcoins opstonden, vandaaruit wordt weer geaggregeerd of verder uitgesplitst, etc...
Dit zijn niet enkel "smoke an mirrors" transacties, maar ook echte rechtmatige.
Uiteindelijk kan je achteraf voor een gegeven bitcoin in een wallet niet meer zeggen of het deel uitmaakte van de losgeldtransactie of niet, zelfs niet als je de transacties volgt. Je kan enkel vaststellen dat er ooit een link is geweest met de originele wallet.
Door Anoniem:
Want waar je een zak geld achtergelaten in de prullenbak in het park nog kunt volgen, is dat met een cryptomunt niet te doen.
Dit is niet altijd waar. Het gedistribueerde grootboek waar cryptomunten op bouwen is publiek. Alleen, wat vertelt het je dat muntjes van adres x naar adres y verschoven zijn?Cryptomunten zijn uiteraard volgbaar, want de transactie zijn publiek, maar cryptomunten zijn ook deelbaar.
Jouw 100 Bitcoin aan losgeld, wordt ineens 100x 1 bitcoin verspreid over 100 rekeningen waar al andere bitcoins opstonden, vandaaruit wordt weer geaggregeerd of verder uitgesplitst, etc...
Dit zijn niet enkel "smoke an mirrors" transacties, maar ook echte rechtmatige.
Uiteindelijk kan je achteraf voor een gegeven bitcoin in een wallet niet meer zeggen of het deel uitmaakte van de losgeldtransactie of niet, zelfs niet als je de transacties volgt. Je kan enkel vaststellen dat er ooit een link is geweest met de originele wallet.
Dit heb ik zelf nooit gesnapt. Bitcoins zijn gebaseerd op de blockchain wat juist elke transactie volgbaar moet maken. Je kunt dan toch internationaal afspreken dat elke transactie die contact heeft gehad met zo'n criminele wallet als besmet verklaren.
Als er vervolgens een transactie naar een volgende wallet gaat, verklaar je die ook 'besmet'. Op het moment dat er eens een uitbetaling in harde valuta plaats heeft, kun je die persoon of organisatie financieel verantwoordelijk maken die de uitbetaling doet. Als dat oorspronkelijke bedrag uiteindelijk aan boetes uitbetaald is, kun je de wallets weer als 'ontsmet' aanmerken. Juist de blockchain moet dit alles goed kunnen administreren.
Omdat die lijst met transacties openbaar is, kun je ook een openbare lijst met besmette wallets aanleggen. Als je dat internationaal goed aanpakt, zal ook niemand meer geld van zo'n besmette wallet durven aan te nemen. Als je geld krijgt van een ander, moet je dit wel altijd vergelijken met de lijst van besmetten wallets om te voorkomen dat jouw wallet ook besmet wordt en jij op de schade blijft zitten.
Dus niet kijken welk microdeel van de oorspronkelijke bitcoin bij jouw komt, maar direct het hele bedrag op die wallet besmet verklaren. Lijkt mij een kwestie van consequente internationale wetgeving. b.v. gecoördineerd door het IMF.
09-01-2020, 17:29 door
Anoniem
Door Briolet: Dit heb ik zelf nooit gesnapt. Bitcoins zijn gebaseerd op de blockchain wat juist elke transactie volgbaar moet maken. Je kunt dan toch internationaal afspreken dat elke transactie die contact heeft gehad met zo'n criminele wallet als besmet verklaren.
Als er vervolgens een transactie naar een volgende wallet gaat, verklaar je die ook 'besmet'.
Een paar tumbler-acties later, of er hoeft maar iemand met een besmet-verklaarde spam-actie (naar heel veel adressen met tenminste een beetje waarde erop een piepklein bedrag extra bijschrijven) en je besmetverklaring blijkt onwerkbaar.Als er vervolgens een transactie naar een volgende wallet gaat, verklaar je die ook 'besmet'.
Op het moment dat er eens een uitbetaling in harde valuta plaats heeft, kun je die persoon of organisatie financieel verantwoordelijk maken die de uitbetaling doet. Als dat oorspronkelijke bedrag uiteindelijk aan boetes uitbetaald is, kun je de wallets weer als 'ontsmet' aanmerken. Juist de blockchain moet dit alles goed kunnen administreren.
Willekeurige mensen aanslaan voor wat onbekenden elders mischien wel gedaan hebben. Dit heeft niets meer met justitie te maken, maar is zelf crimineel.Omdat die lijst met transacties openbaar is, kun je ook een openbare lijst met besmette wallets aanleggen.
Puntje van orde: Een "wallet" is een verzameling bitcoin-adressen (geheime sleutels), en iedere geheime sleutel geeft toegang over de muntjes die op dat adres zijn bijgeschreven. Het is niet aan de buitenkant te zien welke adressen er in welke wallet zitten. Dus een lijst van "wallets" is niet te doen.En een lijst met besmette adressen is ook al niet te doen, zie boven.
Als je dat internationaal goed aanpakt, zal ook niemand meer geld van zo'n besmette wallet durven aan te nemen. Als je geld krijgt van een ander, moet je dit wel altijd vergelijken met de lijst van besmetten wallets om te voorkomen dat jouw wallet ook besmet wordt en jij op de schade blijft zitten.
Zeg maar gerust dat niemand meer cryptovaluta wil gebruiken want je weet nooit of iemand anders jouw geld besmet laat verklaren door er even wat besmetverklaard geld bovenop te storten. Dit is zo makkelijk te misbruiken om iemand een hak te zetten dat het echt helemaal niets met justitie meer van doen heeft.Dus niet kijken welk microdeel van de oorspronkelijke bitcoin bij jouw komt, maar direct het hele bedrag op die wallet besmet verklaren. Lijkt mij een kwestie van consequente internationale wetgeving. b.v. gecoördineerd door het IMF.
Het blijft crimineel gedrag want het verwordt heel erg snel tot een buitenproportionele en willekeurige belasting op gebruik van de munt, niet op misbruik van de munt.Jouw constructie is vrij letterlijk die van "wallet inspector". Wat in de echte wereld bijvoorbeeld zou betekenen dat ook het kleinste spoortje cocaïne op een enkel biljet in je portemonnee tot verbeurdverklaren van de hele inhoud leidt. Met verplichte controles elke keer dat je iets wil betalen. Bedenk zelf maar wat dat zou betekenen als je weet dat er sporen van cocaïne op 90% van de dollarbiljetten te vinden zijn.
Dus let even op wat je aan het doen bent: Je probeert wraak te nemen op ransomware-criminelen door hun betaalmiddel aan te vallen, waarmee je iedereen die het betaalmiddel gebruikt aanvalt. Maar wraak is geen justitie.
[Verwijderd door moderator]
[Verwijderd door moderator]
10-01-2020, 00:01 door
Anoniem
Dat zou ook wel erg onethisch zijn [...] Dat kun je niet maken als wetgever.
Ik heb toch sterk de indruk dat de Roverheid cq. wetgever zich daar steeds minder aan stoort... of iet etisch is...[Verwijderd door moderator]
10-01-2020, 10:11 door
Q1
Door Briolet:
Dit heb ik zelf nooit gesnapt. Bitcoins zijn gebaseerd op de blockchain wat juist elke transactie volgbaar moet maken. Je kunt dan toch internationaal afspreken dat elke transactie die contact heeft gehad met zo'n criminele wallet als besmet verklaren.
Als er vervolgens een transactie naar een volgende wallet gaat, verklaar je die ook 'besmet'. Op het moment dat er eens een uitbetaling in harde valuta plaats heeft, kun je die persoon of organisatie financieel verantwoordelijk maken die de uitbetaling doet. Als dat oorspronkelijke bedrag uiteindelijk aan boetes uitbetaald is, kun je de wallets weer als 'ontsmet' aanmerken. Juist de blockchain moet dit alles goed kunnen administreren.
Omdat die lijst met transacties openbaar is, kun je ook een openbare lijst met besmette wallets aanleggen. Als je dat internationaal goed aanpakt, zal ook niemand meer geld van zo'n besmette wallet durven aan te nemen. Als je geld krijgt van een ander, moet je dit wel altijd vergelijken met de lijst van besmetten wallets om te voorkomen dat jouw wallet ook besmet wordt en jij op de schade blijft zitten.
Dus niet kijken welk microdeel van de oorspronkelijke bitcoin bij jouw komt, maar direct het hele bedrag op die wallet besmet verklaren. Lijkt mij een kwestie van consequente internationale wetgeving. b.v. gecoördineerd door het IMF.
Door Anoniem:
Cryptomunten zijn uiteraard volgbaar, want de transactie zijn publiek, maar cryptomunten zijn ook deelbaar.
Jouw 100 Bitcoin aan losgeld, wordt ineens 100x 1 bitcoin verspreid over 100 rekeningen waar al andere bitcoins opstonden, vandaaruit wordt weer geaggregeerd of verder uitgesplitst, etc...
Dit zijn niet enkel "smoke an mirrors" transacties, maar ook echte rechtmatige.
Uiteindelijk kan je achteraf voor een gegeven bitcoin in een wallet niet meer zeggen of het deel uitmaakte van de losgeldtransactie of niet, zelfs niet als je de transacties volgt. Je kan enkel vaststellen dat er ooit een link is geweest met de originele wallet.
Door Anoniem:
Want waar je een zak geld achtergelaten in de prullenbak in het park nog kunt volgen, is dat met een cryptomunt niet te doen.
Dit is niet altijd waar. Het gedistribueerde grootboek waar cryptomunten op bouwen is publiek. Alleen, wat vertelt het je dat muntjes van adres x naar adres y verschoven zijn?Cryptomunten zijn uiteraard volgbaar, want de transactie zijn publiek, maar cryptomunten zijn ook deelbaar.
Jouw 100 Bitcoin aan losgeld, wordt ineens 100x 1 bitcoin verspreid over 100 rekeningen waar al andere bitcoins opstonden, vandaaruit wordt weer geaggregeerd of verder uitgesplitst, etc...
Dit zijn niet enkel "smoke an mirrors" transacties, maar ook echte rechtmatige.
Uiteindelijk kan je achteraf voor een gegeven bitcoin in een wallet niet meer zeggen of het deel uitmaakte van de losgeldtransactie of niet, zelfs niet als je de transacties volgt. Je kan enkel vaststellen dat er ooit een link is geweest met de originele wallet.
Dit heb ik zelf nooit gesnapt. Bitcoins zijn gebaseerd op de blockchain wat juist elke transactie volgbaar moet maken. Je kunt dan toch internationaal afspreken dat elke transactie die contact heeft gehad met zo'n criminele wallet als besmet verklaren.
Als er vervolgens een transactie naar een volgende wallet gaat, verklaar je die ook 'besmet'. Op het moment dat er eens een uitbetaling in harde valuta plaats heeft, kun je die persoon of organisatie financieel verantwoordelijk maken die de uitbetaling doet. Als dat oorspronkelijke bedrag uiteindelijk aan boetes uitbetaald is, kun je de wallets weer als 'ontsmet' aanmerken. Juist de blockchain moet dit alles goed kunnen administreren.
Omdat die lijst met transacties openbaar is, kun je ook een openbare lijst met besmette wallets aanleggen. Als je dat internationaal goed aanpakt, zal ook niemand meer geld van zo'n besmette wallet durven aan te nemen. Als je geld krijgt van een ander, moet je dit wel altijd vergelijken met de lijst van besmetten wallets om te voorkomen dat jouw wallet ook besmet wordt en jij op de schade blijft zitten.
Dus niet kijken welk microdeel van de oorspronkelijke bitcoin bij jouw komt, maar direct het hele bedrag op die wallet besmet verklaren. Lijkt mij een kwestie van consequente internationale wetgeving. b.v. gecoördineerd door het IMF.
Een interessante gedachte, maar met een vervelend bij-effect: Ik kan als crimineel vanuit een besmette wallet met één bitcoin tienduizenden wallets besmetten, bv. van goede doelen instellingen of willekeurige individuen, en daarmee al snel het hele Bitcoin systeem om zeep helpen want binnen de kortste keren is iedereen besmet. Hoe gaan die ervoor zorgen dat de onschuldige ontvangers niet aansprakelijk zijn voor de acties van de crimineel? Terugboeken, zodat je netto niets ontvangen hebt (maar wel transactie kosten hiervoor moeten maken)? Of een expliciete "I Accept" maken voor iedere transactie zodat een zender wel kan overmaken maar het niet aankomt als de ontvanger niet accepteert? Een speciale overheidswallet waar je het ontvangen bedrag naar toe moet boeken (soort belasting/afkoop, maar kost je zelf dan ook weer geld). Of ...?
Soort Bitcoin DDoS...
Ook blijft de vraag: wat bepaalt of een wallet als "Besmet" aangemerkt moet worden? Een ransomware betaling? Of het feit dat er met die wallet ooit verdachte goederen als bv. kunstmest gekocht is voor een zelfgemaakte bom? Als er iets mee betaald is op de zwarte markt?
Een tweede vraag: wie? Of gaan we daar crypto-bankinstanties en toezichthouders voor opzetten?
En daarna de "hoe" vraag: hoe ga je het inrichten? Wordt dat bv. per land gedaan? (==> meteen een makkelijke manier om het monetaire crypto verkeer van een land waar je ruzie mee hebt plat te leggen...)
Maar het blijft een interessante optie :-)
Q
10-01-2020, 10:32 door
Anoniem
Even een vervolgvraag: Ben je als organisatie (in)direct verantwoordelijk als met de door jouw betaalde losgeld terroristische aanslagen wordt gepleegd? En als je niet (in)direct verantwoordelijk bent, vind je het fijn als het als kopstuk in de krant komt?
Voorbeeld: "Organisatie XYZ heeft aanslag gefinancierd door betaling losgeld terroristen".
Voorbeeld: "Organisatie XYZ heeft aanslag gefinancierd door betaling losgeld terroristen".
Geef eens 1 historisch voorbeeld, van zo'n gebeurtenis ?
10-01-2020, 10:37 door
Q1
Door Anoniem:
En een lijst met besmette adressen is ook al niet te doen, zie boven.
Jouw constructie is vrij letterlijk die van "wallet inspector". Wat in de echte wereld bijvoorbeeld zou betekenen dat ook het kleinste spoortje cocaïne op een enkel biljet in je portemonnee tot verbeurdverklaren van de hele inhoud leidt. Met verplichte controles elke keer dat je iets wil betalen. Bedenk zelf maar wat dat zou betekenen als je weet dat er sporen van cocaïne op 90% van de dollarbiljetten te vinden zijn.
Dus let even op wat je aan het doen bent: Je probeert wraak te nemen op ransomware-criminelen door hun betaalmiddel aan te vallen, waarmee je iedereen die het betaalmiddel gebruikt aanvalt. Maar wraak is geen justitie.
Door Briolet: Dit heb ik zelf nooit gesnapt. Bitcoins zijn gebaseerd op de blockchain wat juist elke transactie volgbaar moet maken. Je kunt dan toch internationaal afspreken dat elke transactie die contact heeft gehad met zo'n criminele wallet als besmet verklaren.
Als er vervolgens een transactie naar een volgende wallet gaat, verklaar je die ook 'besmet'.
Een paar tumbler-acties later, of er hoeft maar iemand met een besmet-verklaarde spam-actie (naar heel veel adressen met tenminste een beetje waarde erop een piepklein bedrag extra bijschrijven) en je besmetverklaring blijkt onwerkbaar.Als er vervolgens een transactie naar een volgende wallet gaat, verklaar je die ook 'besmet'.
Op het moment dat er eens een uitbetaling in harde valuta plaats heeft, kun je die persoon of organisatie financieel verantwoordelijk maken die de uitbetaling doet. Als dat oorspronkelijke bedrag uiteindelijk aan boetes uitbetaald is, kun je de wallets weer als 'ontsmet' aanmerken. Juist de blockchain moet dit alles goed kunnen administreren.
Willekeurige mensen aanslaan voor wat onbekenden elders mischien wel gedaan hebben. Dit heeft niets meer met justitie te maken, maar is zelf crimineel.Omdat die lijst met transacties openbaar is, kun je ook een openbare lijst met besmette wallets aanleggen.
Puntje van orde: Een "wallet" is een verzameling bitcoin-adressen (geheime sleutels), en iedere geheime sleutel geeft toegang over de muntjes die op dat adres zijn bijgeschreven. Het is niet aan de buitenkant te zien welke adressen er in welke wallet zitten. Dus een lijst van "wallets" is niet te doen.En een lijst met besmette adressen is ook al niet te doen, zie boven.
Als je dat internationaal goed aanpakt, zal ook niemand meer geld van zo'n besmette wallet durven aan te nemen. Als je geld krijgt van een ander, moet je dit wel altijd vergelijken met de lijst van besmetten wallets om te voorkomen dat jouw wallet ook besmet wordt en jij op de schade blijft zitten.
Zeg maar gerust dat niemand meer cryptovaluta wil gebruiken want je weet nooit of iemand anders jouw geld besmet laat verklaren door er even wat besmetverklaard geld bovenop te storten. Dit is zo makkelijk te misbruiken om iemand een hak te zetten dat het echt helemaal niets met justitie meer van doen heeft.Dus niet kijken welk microdeel van de oorspronkelijke bitcoin bij jouw komt, maar direct het hele bedrag op die wallet besmet verklaren. Lijkt mij een kwestie van consequente internationale wetgeving. b.v. gecoördineerd door het IMF.
Het blijft crimineel gedrag want het verwordt heel erg snel tot een buitenproportionele en willekeurige belasting op gebruik van de munt, niet op misbruik van de munt.Jouw constructie is vrij letterlijk die van "wallet inspector". Wat in de echte wereld bijvoorbeeld zou betekenen dat ook het kleinste spoortje cocaïne op een enkel biljet in je portemonnee tot verbeurdverklaren van de hele inhoud leidt. Met verplichte controles elke keer dat je iets wil betalen. Bedenk zelf maar wat dat zou betekenen als je weet dat er sporen van cocaïne op 90% van de dollarbiljetten te vinden zijn.
Dus let even op wat je aan het doen bent: Je probeert wraak te nemen op ransomware-criminelen door hun betaalmiddel aan te vallen, waarmee je iedereen die het betaalmiddel gebruikt aanvalt. Maar wraak is geen justitie.
Ehh, ik had deze post nog niet gelezen voordat ik zelf reageerde. Kennelijk zie je dezelfde bezwaren :-)
Q
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
IT-security-officer
Nederlands Forensisch Instituut
Het Nederlands Forensisch Instituut levert kwalitatief hoogwaardige forensische diensten. Een veilige IT-omgeving is daarbij essentieel. Bij ons houd jij je als IT-security-officer bezig met een breed gebied op het vlak van security. In ons team krijg jij heel afwisselend werk, waarbij je echt op hoog niveau nadenkt over securityvraagstukken.
Chief Information Security Officer (CISO) & Privacy Officer
Wij zoeken één medewerker die deze twee functies van 18 uur per week gezamenlijk wil gaan invullen. De functies zijn hiërarchisch gepositioneerd onder de afdeling Dienstverlening en Informatiebeheer (DIB). Inhoudelijk wordt mede verantwoording afgelegd aan de concerncontroller en gemeentesecretaris. Wil jij deze rol binnen onze bruisende organisatie?