Het verschil tussen een cybercrimetool hebben en cybercrime plegen
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Als zelfstandig security onderzoeker en pentester heb ik natuurlijk allerlei tools om sites en diensten te checken. In theorie zou je dat strafbare middelen kunnen noemen, want ik kan er ook zonder opdracht mee gaan werken en dan ergens binnendringen, ik pleeg dan computervredebreuk. Hoe ziet de wet het verschil?
Antwoord: Het bezitten van security-tools is legaal. Het bezit van hacktools niet. Het verschil tussen die twee is niet met een technische term te geven, want het gaat erom of die tools bestemd zijn voor misdrijven én of het jouw bedoeling was om ze zo in te zetten. Dat kun je aan de tool niet zien. Aanbieders van tools kijken wel uit om er "hiermee hack je snel je moeder" erbij te zetten. Dan krijg je eerder "controleer uw organisatie" of, zoals bij ddos-tools, "check of je site ddos-bestendig is".
Een arrest uit vorig jaar augustus laat mooi zien hoe de rechtspraak de grens trekt tussen die twee. In deze zaak had een jongen een tool gebruikt waarmee je kunt testen of een bestand door virusscanners zou worden herkend als malware. Deze internetdienst, Razorscanner genaamd, controleert dan je upload met alle virusscanners ter wereld – zodat jij weet of je malware daar voorbij zou komen. Zeer geruststellend voor de klant wordt tevens gemeld dat "De maker van Razorscanner garandeert dat de gegevens met betrekking tot de in het programma geüploade bestanden niet aan de makers van anti-virusproducten worden doorgegeven." (Ik zou het hilarisch vinden als achteraf blijkt dat ze dat wel deden.)
Aanverwant is de dienst Razorcryptor, die malware kan verstoppen door het bijvoorbeeld te koppelen aan andere software. Deze dienst werd samen met Razorscanner aangeboden, op basis van pay-as-you-go met vooraf gekochte credits. De verdachte had credits gekocht, maar stelde alleen met Razorscanner te hebben gewerkt.
Het Hof begint met vaststellen wat er nu precies strafbaar is, en daar kwamen we natuurlijk voor. Artikel 139ab Strafrecht lid 2 bepaalt:
Met dezelfde straf [als computervredebreuk, lid 1] wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c wordt gepleegd: a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft, of (…)
De discussie die we meestal hebben, is of een bepaalde tool ontworpen is voor het plegen van computervredebreuk of de andere genoemde cybercrimedelicten. Een security scanner heeft ook legitieme doelen, denk aan een bedrijfsnetwerk dat je controleert op brakke byod-apparaten of een onderzoek voor je ISO certificering.
Het Hof heeft er geen moeite deze scandienst te zien als hulpmiddel voor het plegen van computervredebreuk. Je kunt nu je malware (waarmee binnendringen vaak gepleegd wordt) beter afstemmen op het omzeilen van de antivirussoftware van organisaties. Dat is dus effectieve hulp, en duidelijk enkel en alleen bestemd voor computervredebreuk. Verzin maar eens een legitieme reden waarom je zou willen dat iets een virusscanner omzeilt.
Maar het artikel kent nóg een bepaling, namelijk dat je dat hulpmiddel voorhanden hebt met het oogmerk dat daarmee computervredebreuk wordt gepleegd. Oftewel, dat je als verdachte ook echt dat misdrijf ging plegen. Enkel dat je het hulpmiddel hebt, is dus niet genoeg. Misschien had je het per abuis, misschien was je het als journalist of researcher aan het uitpluizen, of misschien was je gewoon nieuwsgierig.
Nee, dat laatste vind ik ook geen héle sterke. Maar tot mijn verbazing zag het Hof hier dat -even kort gezegd- wél aanwezig.
De verdachte heeft ter terechtzitting in hoger beroep verklaard dat hij tijdens zijn middelbareschoolperiode geïnteresseerd is geraakt in de werking van malware en de detectiemogelijkheden van anti-malwareprogramma’s. Onder andere met behulp van MSFencode verstopte de verdachte malware in bestanden en uploadde deze bestanden naar onder meer Razorscanner. Ook testte hij bestanden die hij vond op internet. …
Een concrete aanwijzing was nog dat hij dezelfde malware meerdere malen uploadde, maar nooit malware had gewijzigd nadat de scanner had gezegd dat deze wel gedetecteerd zou worden. Daarom
kan aan de inhoud van het strafdossier en de hiervoor weergegeven informatie geen bewijs worden ontleend dat de verdachte bestanden met daarin malware naar Razorscanner heeft geüpload louter met de bedoeling te vermijden dat de omstandigheid dat de daarin aanwezige malware door geen enkele of slechts een beperkt aantal anti-malwareprogramma's detecteerbaar was, ter kennis zou worden gebracht van de producenten van dergelijke scanners.
Er is sprake van een geloofwaardige weerlegging die de verdenking ontkracht, aldus het Hof. Dit is niet alleen maar een "nee ik was gehackt" of “ik wilde alleen maar controleren of internet tegen een ddos kon", hier is een onderbouwing gegeven die past bij de persoon en de feiten die zijn gevonden. (Wie nu denkt, ik verzin op dat moment ook wel een leuk verhaal dat past bij de feiten – de politie heeft meer feiten dan jij denkt, deelt niet alles met je en hangt je, terecht, op aan je leugens.) De verdachte gaat dus vrijuit.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Dus ben ik niet strafbaar bezig ..
Is een stuk korter.
Als een virusscanner ongecontroleerd zijn gang kan gaan, kan die in theorie je systeem om zeep helpen of kwetsbaar maken. Daarom is het nuttig legitieme software op virussen te controleren voor die gedistribueerd wordt. Vooral als software wat dieper op de hardware zit kan die onterecht als virus worden aangemerkt.
Dus ben ik niet strafbaar bezig ..
Is een stuk korter.
Mooie illustratie dat je het hele probleem niet zo goed snapt .
Arnoud legt nu just uit waar & hoe precies de juridische _grens_ getrokken wordt - want voor dingen die klip & klaar "heel veel normaal gebruik hebben" is het in bezit hebben niet eens een twijfelgeval.
In tegenstelling tot auto's is het bezit van *hack*tools dus wel strafbaar .
Voor tools waarbij "normaal gebruik" heel veel twijfelachtiger wordt komen dan wel grensgevallen tussen security tool, toegestaan gebruik , omstandigheden aan bod.
Dus, omdat je jezelf zo slim vindt, geef eens een wetsartikel waarin je auto figureert als "een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert," ...
Kijk eens naar presentaties van BlackHat of DefCon. Source code ter download aangeboden om een jeep aan de andere kant van de provincie rondjes te laten rijden.
Antwoord: Het verschil tussen die twee is niet met een technische term te geven, want het gaat erom of die tools bestemd zijn voor misdrijven én of het jouw bedoeling was om ze zo in te zetten. <- Jawel, zie "crackware, cracking tools, bank malware etc."
Antwoord: Ligt aan de context, de tool zelf is niet illegaal, tenzij duidelijk is dat het ontwikkeld is of gebruikt gaat worden voor een misdrijf.
<- Oke! Hey wacht even! Stel ik ontwikkel en verkoop dus een hacking framework zoals "mijn versie van" Metasploit of een phishing framework. Dan is dat dus pas illegaal als ik erbij vermeld dat het om een cybercrime tool gaat of wanneer een koper vermeld dat hij mensen er mee gaat hacken. Bij automatische afschrijvingen kan ik dus gewoon vermelden dat het om een ethische tool gaat voor law enforcement en ethical hacking, die je maar natuurlijk niet moet gebruiken voor misdrijven.
Is dit niet precies zoals de NSO group zijn mobiele malware trojans verkoopt? Aan duizende bedrijven en overheden die daar minderheden mee in de gaten gaan houden? (Niet dat nederland moeijlijk doet over het verkopen van wapens en Toyota's voor proxy oorlogen maar goed, buiten context.) In europa zijn deze tools alleen gebruikt voor law enforcement en in andere landen voor "slechte dingen" (god wat naive).
Nice.. Maar ja dat is mijn interpretatie van de wet, zoals elke rechter en advocaat een interpretatie moet doen van een lap tekst.
(Een koevoet is niet illegaal, Een politie agent is geen "Ethisch agent") Lijk ik dik in deze bivakmuts?
- RAMLETHAL
Dus ben ik niet strafbaar bezig ..
Is een stuk korter.
Mooie illustratie dat je het hele probleem niet zo goed snapt .
Arnoud legt nu just uit waar & hoe precies de juridische _grens_ getrokken wordt - want voor dingen die klip & klaar "heel veel normaal gebruik hebben" is het in bezit hebben niet eens een twijfelgeval.
In tegenstelling tot auto's is het bezit van *hack*tools dus wel strafbaar .
Voor tools waarbij "normaal gebruik" heel veel twijfelachtiger wordt komen dan wel grensgevallen tussen security tool, toegestaan gebruik , omstandigheden aan bod.
Dus, omdat je jezelf zo slim vindt, geef eens een wetsartikel waarin je auto figureert als "een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert," ...
Er zijn namelijk development talen, die meer aanleiding hiertoe geven en andere minder.
Ook is het ene av-product er minder kwetsbaar voor dan het andere.
Natuurlijk is het dan zaak dat de producent van de code deze van een handtekening voorziet.
Ongesigneerde code kan in principe eerder als FP worden gezien (en kan toch van een malcreant komen).
Verkeerd gaat het als FP's worden geproduceerd, die als echte malware av gaan omzeilen.
De intentie is hierbij het belangrijkste criterium, dunkt mij.
#sockpuppet
Die heeft aan een klein werkend wurmgaatje genoeg.
Verdedigen gaat over alle klavieren en voetpedalen, vaak vol op op het orgel soms.
Het gebruik van bepaalde tools is ook onderhevig aan de voorwaarden daarvoor door de ontwerper van de tool gesteld. Sommige toolhouders verbieden weer het publiceren van de scan gegevens e.d.
In het geval van een te luidruchtige scan, opgemerkt door een monitorende website eigenaar, kan ik in naar een "l*llig zandbakje" gestuurd worden om daar verder te spelen.Arrogante Yanks bijvoorbeeld zijn daar goed in.
Tegenwoordig krijg je meestal van de onderhavige Cloud-dienst een Access Denied of een page not found voor je kiezen.
Soms mis je soms een legitieme online scanner zeer, zoals een DOM-XSS scanner, die de eigenaar verwijderd heeft, omdat het gebruik hem te veel kost aan server-kosten. Over een dienst als shodan.io zijn de meningen verdeeld, de info ervan kan meer beveiliging opleveren, maar ook meer kwetsbaarheden onthullen.
Eigenlijk zijn de fantasie van de beveiliger en de hacker de enige begrenzing. Een paperclip kan dienen om papier bij elkaar te houden, of een slot open te rommelen. 'Operation Paperclip' had nog een geheel andere betekenis in de jaren na de oorlog. Rommel je je eigen slot open is dat ineens geen misdrijf meer, be your own black hat.
Maar onthoud, zwart is geen kleur, het absorbeert alle spectra om zich heen. Kleed je alleen in zwart als je alles wenst te absorberen. Zwart gebruiken als rouwkleding bijvoorbeeld is eigenlijk geen goed idee. Ik zou het afraden zo'n Black Hat. Lijkt me een mooi thema voor een nieuwe zombie-thriller. Veel Amerikanen zijn daar bang voor.
Oh, alleen al de discussie over wat beschouwd kan worden als de juiste disclosure kan heel wat standpunten opleveren van full disclosure tot alleen vrijgeven op need-to-know basis. Hou je internet-infrastructuur veilig en betrouwbaar. Bestaat er bijvoorbeeld geen mogelijk tot patchen meer (in geval van verlaten software), dan houden onderzoekers hun mond.
Maar dat hoeft niet te betekenen dat een black hat ook zo'n gat niet weet te vinden.
Voorzichtigheid blijft derhalve de moeder van de spreekwoordelijke porseleinkast. Ook bij justitie.
#sockpuppet
En alle "is dit een dat" beweringen met 100% nauwkeurigheid moeten kunnen worden gemaakt, anders zijn ze waardeloos.
Maar zo denkt een rechter niet! Die kijkt niet alleen naar dit soort ruwe feiten maar naar de totale situatie.
Dit is wat Arnoud goed uitlegt, maar dat is aan de gemeente hier ook weer niet besteed want die schieten weer in hun
bekende "maar een auto is toch ook niet verboden maar daar kun je mensen mee doodrijden" stuip.
Gelukkig hebben we rechters.
En alle "is dit een dat" beweringen met 100% nauwkeurigheid moeten kunnen worden gemaakt, anders zijn ze waardeloos.
Maar zo denkt een rechter niet! Die kijkt niet alleen naar dit soort ruwe feiten maar naar de totale situatie.
Dit is wat Arnoud goed uitlegt, maar dat is aan de gemeente hier ook weer niet besteed want die schieten weer in hun
bekende "maar een auto is toch ook niet verboden maar daar kun je mensen mee doodrijden" stuip.
Gelukkig hebben we rechters.
Dus ben ik niet strafbaar bezig ..
Is een stuk korter.
Mooie illustratie dat je het hele probleem niet zo goed snapt .
Arnoud legt nu just uit waar & hoe precies de juridische _grens_ getrokken wordt - want voor dingen die klip & klaar "heel veel normaal gebruik hebben" is het in bezit hebben niet eens een twijfelgeval.
In tegenstelling tot auto's is het bezit van *hack*tools dus wel strafbaar .
Voor tools waarbij "normaal gebruik" heel veel twijfelachtiger wordt komen dan wel grensgevallen tussen security tool, toegestaan gebruik , omstandigheden aan bod.
Dus, omdat je jezelf zo slim vindt, geef eens een wetsartikel waarin je auto figureert als "een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert," ...
Zo te zien beduidend meer dan degene waar ik op reageerde, en ook wat meer dan jij.
Als de slimbo die praatte "met 'mijn auto zou ik een voetganger kunnen doodrijden' inderdaad een mad-max stijl auto met spiesen en vlammenwerpers rijdt zal hij/zij potentieel een vergelijkbaar wetsartikel wel kunnen raken ja .
Z'n RDW toelating zal dan ook vervallen zijn .
Nu slaat dit wetsartikel specifiek op tools hoofdzakelijk bedoeld voor het plegen van misdrijven benoemd onder die genoemde artikel secties 138/139 - oftewel computervredebreuk.
Doodslag, overvallen, kidnapping etc zitten onder een ander wetsartikel . Er zal eventueel een ander artikel met strafbaarstelling van tools die hoofdzakekelijk bedoeld zijn voor *die* misdrijven nodig zijn. Of zo'n artikel er is weet ik niet - en geen zin om het op te zoeken. Mag je zelf doen.
Maar ook daar zal de wetgever dan spreken over *hoofdzakelijk bedoeld voor* - een normale auto is dat niet.
Evenmin als een baksteen of een hamer "hoofdzakelijk of alleen" bedoeld zijn voor moord en doodslag .
Maar op zich kunnen voor normaal gebruik bedoelde gereedschappen afhankelijk van tijd en plaats en omstandigheden inderdaad naar strafbaarheid of bewijs voor strafbare pogingen gaan .
Betonschaar overdag op een bouwplaats, niks mis mee. Er 's nachts mee rondlopen en rammelen aan deuren kun je er (extra) nat mee gaan.
Mocht er inderdaad een vergelijkbaar verboden gereedschapsartikel zijn voor andere misdrijven dan zou een voldoende specifiek aangepaste auto (of boot, of vliegtuig) er onder kunnen vallen ja.
En zal , net zoals Arnoud uitlegde bij het geval van hack/security tools, in zo'n geval een rechter moeten beslissen of, gegeven omstandigheden, uitleg van de verdachte over de reden van het in bezit hebben de tenlastenlegging wettig en overtuigend bewezen is.
Welke Toyota doel je op, trouwens ?
Die 4WD pickup's zijn niet speciaal 'ontworpen op conflicten' -het zijn gewoon erg solide terreinwagens.
Niet veel anders hier zal je niet snel probleem door krijgen.
Ik kan hiermee mijn signature based ASM database op mijn Big IP checken voordat de firewall het verwijderd.
Kan immers niet mijn virusscanner uit zetten op de firewall, dan ben ik niet meer ISO en PCI DSS gecertificeerd.
Dus ja, er zijn valide redenen.
Ik kan hiermee mijn signature based ASM database op mijn Big IP checken voordat de firewall het verwijderd.
Kan immers niet mijn virusscanner uit zetten op de firewall, dan ben ik niet meer ISO en PCI DSS gecertificeerd.
Dus ja, er zijn valide redenen.
Ik denk dat Arnoud wat anders bedoelt met omzeilen in deze context.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.