ICTRecht B.V.

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
Vestiging Amsterdam: 020 663 1941 / Vestiging Groningen: 050 209 3499
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01

Juridisch advies / Computervredebreuk

De bekendste vorm van computercriminaliteit is het binnendringen in een computersysteem of netwerk. Dit heet  computervredebreuk (soms ook wel computerinbraak of hacken) en is een misdrijf.

In tegenstelling tot wat vaak  gedacht wordt, is het óók strafbaar om binnen te dringen in onbeveiligde computers of netwerken. Pogingen tot inbreken (bijvoorbeeld een poortscan) zijn al snel eveneens strafbaar.

Binnendringen in computersystemen

Binnendringen (‘inbreken’) in een computersysteem of netwerk kan op vele manieren, en de wet geeft daar geen algemene definitie voor. Dat kan ook niet, want er zijn altijd weer slimmeriken die dan een computerinbraak gaan verzinnen die niet onder die definitie valt. Bij de behandeling in de Tweede Kamer van de Wet computercriminaliteit gaf de minister aan dat dit van geval tot geval uit de rechtspraak zal moeten blijken. Met zo’n open definitie die door de rechter kan worden ingevuld, is de wet voorbereid op toekomstige ontwikkelingen.

Tot 2006 stond wél expliciet in de wet dat een beveiliging moest worden doorbroken. Wie toen rondsnuffelde op een onbeveiligde computer, was niet strafbaar. Pas als je enige beveiliging doorbrak, liep je tegen de wet aan. Door de wetswijziging van 2006 werd ook dat rondsnuffelen zonder wachtwoorden te raden of iets te kraken strafbaar. Meer dan wéten dat je niet op die plek hoort te zijn, is al genoeg onder de huidige wet. De eis van een beveiliging doorbreken is geschrapt om de wet in lijn te krijgen met het Europese Cybercrimeverdrag.

Voor het binnendringen in computersystemen wordt vaak de term ‘hacken’ gebruikt. Dit is eigenlijk niet juist; een hacker is iemand die zeer goed en creatief met computers of andere apparaten om kan gaan, en er meestal niet op uit is om schade aan te richten. Toch worden activiteiten van hackers (in deze positieve betekenis van het woord) gezien als computervredebreuk als ze – om welke reden dan ook in andermans systemen binnendringen. Wanneer het inbreken met een nobel doel gebeurt, wordt vaak gesproken van ‘ethisch hacken’ of ‘white hat’ hacken, waarover meer in hoofdstuk 6. In de pers (en ook in de rechtspraak) worden de termen ‘hackers’ en ‘inbrekers’ als synoniem gebruikt.

Beveiliging doorbreken

De wet noemt vier handelingen die in ieder geval computervredebreuk zijn. De definities zijn niet heel hard, en ze worden in de praktijk ook niet altijd even consequent toegepast. Omdat uiteindelijk de wet een open definitie hanteert, is het niet heel erg dat een bepaalde situatie af- wijkt van deze vier handelingen. Ze zijn meer bedoeld ter illustratie van het soort zaken dat typisch computervredebreuk is.

De vier in de wet genoemde vormen zijn

  • Doorbreken van een beveiliging: denk aan het omzeilen van een restrictie op wat een programma mag, waarmee volledige toegang mogelijk wordt (‘privilege escalation’). Het gebruiken van een gebrekkige controle op ingevoerde gegevens om com- mando’s uit te voeren (zoals bij een ‘buffer overflow’) is een voorbeeld.
  • Een technische ingreep: onder meer het systeem zover krijgen dat het een instructie uitvoert waardoor de toegang wordt verleend tot bepaalde gegevens (het digitale equivalent van het kortsluiten van een elektronisch slot zodat de deur opengaat). Een voorbeeld is een SQL-injectie, waarbij meer informatie uit een database kan worden gehaald dan toegestaan.
  • Valse signalen of een valse sleutel: bijvoorbeeld een geraden of afgekeken wachtwoord van een ander gebruiken, of je computer andermans IP-adres laten aannemen (IP spoofing). Er zijn diverse veroordelingen geweest van mensen die ‘geleende’ wachtwoorden gebruikten, of wachtwoorden van hun ex-werkgever die nog bleken te werken nadat ze een nieuwe baan hadden.
  • Het aannemen van een valse hoedanigheid: jezelf anders voordoen dan je bent, bijvoorbeeld door je computer de naam te geven van de printserver en zo toegang tot de map met printjobs krijgen. IP spoofen kan dus ook onder dit kopje geschaard worden. ‘Social engineering’ is ook op deze manier soms strafbaar: de helpdesk bellen, zeggen dat je de nieuwe manager bent en vragen of men de beveiliging even uitzet omdat je nú heel belangrijk werk moet doen.

Wie een van deze handelingen verricht, pleegt in ieder geval computervredebreuk. Er kunnen echter ook andere vormen van binnendringen zijn (of komen) die hier niet onder vallen. De rech- ter zal dan moeten bepalen of dit een strafbare vorm van binnendringen is. Zo kun je soms door een webadres (URL) handmatig te veranderen, pagina’s te zien krijgen die eigenlijk nog niet publiek toegankelijk hadden moeten zijn. Het is niet duidelijk of dit een strafbare vorm van binnendringen is. Hierover zullen nieuwe rechtszaken jurisprudentie moeten scheppen.

De beveiliging van je eigen computer kraken is natuurlijk niet strafbaar. Maar bij andere apparaten kan dat zomaar wel het geval zijn. De rechter vond eind 2010 het kraken en zelf opladen van OV-chipkaarten een vorm van computervredebreuk, omdat daarmee werd binnengedrongen in de chip in de kaart. Omdat volgens de algemene voorwaarden de kaart eigendom was en bleef van Trans Link Systems, had de verdachte daarmee inge broken in “andermans computer”. Het herprogrammeren van apparatuur in bruikleen (bijvoorbeeld het modem van je provider) zou hier dus ook onder kunnen vallen.

De Hoge Raad oordeelde in februari 2011 overigens dat de mate van beveiliging niet heel hoog hoeft te zijn. Meer dan “een ken bare drempel zodat onbevoegden zich niet simpelweg de toe- gang kunnen verschaffen” is niet vereist. Een netwerk dat met een standaardwachtwoord is beveiligd, mag niet worden bena- derd door een derde. Maar wie een bepaalde map op zijn harde schijf deelt met iedereen via filesharing software, kan niet ach teraf klagen dat mensen binnengedrongen zijn in die map.

Het aanleveren van valse gegevens is geen binnendringen. Dit bleek uit een rechtszaak over het aanleveren van valse auto matische incasso’s bij de bank. Dit was geen binnendringen, omdat de toegang tot het banksysteem op zichzelf geautoriseerd was. Via die toegang werd vervalste informatie aangeleverd. Er was dus sprake van fraude, maar niet van binnendringen. Let wel: als het gaat om gebruik van valse inloggegevens is het wel binnendringen.

Het overtreden van de gebruiksvoorwaarden van een site is ook geen computervredebreuk. Dergelijke regels overtreden leidt wel tot contractbreuk, en de site-eigenaar mag je dan verwijderen of je account blokkeren. Maar zolang je alleen de interfaces gebruikt die de site je ter beschikking stelt, kan er geen sprake zijn van strafbaar handelen. Hetzelfde geldt voor software die draait met bepaalde restricties, zoals de controlesoftware die bij spellen moet voorkomen dat mensen valsspelen of een illegale kopie gebruiken. Het uitschakelen van die software is geen computervrede breuk, maar kan wel inbreuk op het auteursrecht opleveren.

Per ongeluk binnendringen

Omdat er bij computervredebreuk geen eis geldt dat je actief iets moet kraken of uitschakelen, zou ook het per ongeluk binnen dringen in iemands computersysteem of netwerk een misdrijf kunnen zijn. Een voorbeeld is het zonder toestemming gebruik maken van andermans onbeveiligde draadloze netwerk, wat vaak automatisch gaat als het netwerk in de buurt is. De minister heeft bij invoering van de wetswijziging in 2006 bij het schrap pen van de beveiligingseis echter aangegeven dat het voor de potentiële dader wel kenbaar moet zijn dat hij zich op verboden terrein gaat begeven. Dat hoeft dus niet per se een beveiliging te zijn, een voor mensen zichtbare mededeling “Verboden voor onbevoegden” kan al genoeg zijn.

Door een draadloos netwerk als naam “Privé-netwerk, verboden toegang” te geven, weten derden die het netwerk toevallig zien dat het niet de bedoeling is dat ze daar gebruik van maken. Doen ze dat toch, dan plegen ze computervredebreuk. Een netwerk met de naam “Gratis Wifi” mag natuurlijk wél zomaar worden gebruikt. En bij een netwerk dat een nietszeggende naam (zoals ‘linksys’ of ‘SpeedtouchTHX1138’) zal het van de overige om standigheden afhangen of de gebruiker had moeten weten dat hij dit netwerk wel of niet mocht gebruiken.

In een strafzaak over bedreiging via internet werd in hoger be roep geoordeeld dat meesurfen via het netwerk van de buren nooit strafbaar is. Dit omdat de wet eist dat je binnen moet drin gen in een “geautomatiseerd werk”, en dat is een apparaat dat gegevens opslaat, verwerkt én overdraagt. De gebruikte router was een simpel apparaat dat geen gegevens van buitenaf op sloeg, en het netwerk met die router voldeed daarmee niet aan de wettelijke definitie. De zaak is naar de Hoge Raad, maar het zal nog wel even duren voor deze een definitieve uitspraak doet. Een router die wél netwerkverkeer opslaat (voor meer dan een paar seconden) zou wel onder de wettelijke definitie van “geau- tomatiseerd werk” vallen.

Ook het opvragen van webpagina’s die nog niet voor het pu bliek bedoeld waren, kan strafbaar zijn volgens deze definitie. Denk aan het raden of manipuleren van webadressen. Het op roepen van webadressen (URLs) die in een ‘robots.txt’ bestand zijn geblokkeerd, valt hier echter waarschijnlijk niet onder. Dat bestand is bedoeld voor zoekmachines (robots) en verbiedt dus niet iedereen (maar alleen robots) deze adressen op te roepen.

Verzwaarde vormen

Het binnendringen in een computersysteem – zonder dus iets te doen – is al genoeg om volgens de wet computervredebreuk te plegen. Echter, als de inbreker meer doet, kan dat tot strafverzwaring leiden. De maxi mumstraf die de rechter op kan leggen wordt dan verhoogd van één naar vier jaar. Google werd echter alleen op de vingers getikt voor de vastlegging van persoonsgegevens (zie hoofdstuk 4).

De meest voorkomende strafverzwarende handeling is na het bin nendringen gegevens kopiëren. Dergelijk handelen wordt wel ‘ge gevensdiefstal’ genoemd, maar juridisch is dat eigenlijk onjuist. Gegevens in een computerbestand kunnen niet worden wegge nomen, en zonder wegnemen kan er geen sprake van diefstal zijn. Wel kan dit strafbaar zijn als aftappen of afluisteren (zie hoofdstuk 3). Een inbraak in de computersystemen van gamesbedrijf Activi sion, waarbij conceptversies van games werden gekopieerd, le verde de dader zes maanden voorwaardelijke gevangenisstraf en een werkstraf van 240 uur op. Naast kopiëren is ook het vernielen of manipuleren van gegevens strafverzwarend.

Ook een strafverzwarende omstandigheid is het misbruiken van een computer om bijvoorbeeld gratis dingen te laten doorreke nen. De wet spreekt van misbruiken van de ‘verwerkingscapa citeit’ van de computer. Het inzetten van een systeem met een snelle internetverbinding om bestanden zonder toestemming ter verspreiding aan te bieden (bijvoorbeeld films of warez, illegaal gekopieerde software) valt hier ook onder. Daarnaast is zulk aanbieden een schending van het auteursrecht, wat formeel ook een misdrijf is – al wordt in de praktijk zelden tot nooit strafver volging ingezet tegen auteursrechtschenders.

Een andere vorm van verzwaarde computervredebreuk is het gebruik als ‘springplank’ naar andere systemen. Denk bijvoor beeld aan het kraken van de firewall die een intranet afschermt van het publieke internet. Hiermee heeft de inbreker makkelijk toegang tot de computers in dat intranet. Die andere computers herkennen de gekraakte computer namelijk als “een van hen”. Ook kan een gekraakte computer voorzien zijn van logincodes of wachtwoorden (credentials) waarmee automatisch op een ander systeem kan worden ingelogd. Denk aan een FTP-pro gramma dat voorgeprogrammeerd is om op de webserver in te loggen, of een VPN-programma dat na het opstarten de compu ter automatisch aanmeldt bij het bedrijfsnetwerk.

Hulpmiddelen

Voor computercriminaliteit worden meestal speciale ‘hack’-programma’s gebruikt. Het kraken van wachtwoorden, het exploiteren van fouten in de beveiliging (‘exploits’) of het zich voordoen als een ander persoon of systeem gaat een stuk gemakkelijker met speciale hulpmiddelen. Omdat het vaak lastig is een computercrimineel te betrappen terwijl hij inbreekt, is het bezitten, verspreiden of verkopen van hulpmiddelen apart straf baar gesteld. Zo kan iemand toch vervolgd worden als het bewijs van een daadwerkelijke inbraak niet rond te krijgen is.

Dergelijke hulpmiddelen hoeven niet per se uit software te be staan. Ook hardware kan een hulpmiddel voor computervrede breuk zijn. Er bestaan apparaatjes die tussen toetsenbord en computer kunnen worden aangebracht en alle ingedrukte toetsen registreren. Dergelijke hardwarematige keyloggers zijn te zien als hulpmiddelen, als ze zo aangeprezen worden of specifieke functionaliteit hebben (zoals het herkennen van creditcardnum mers) die eigenlijk alleen nuttig is voor criminele handelingen.

Software om beveiligingen te testen kan voor legitieme maar ook voor criminele doelen worden gebruikt. De wet stelt derge lijke hulpmiddelen dan ook strafbaar als ze “hoofdzakelijk ge schikt gemaakt of ontworpen zijn tot het plegen” van compu tervredebreuk. Een algemeen hulpmiddel zoals netcat, ssh of een tekstverwerker zou je kunnen gebruiken bij het inbraak, maar daar zijn deze middelen niet speciaal voor gemaakt. Deze hulpmiddelen zijn dus niet strafbaar. Een softwaretool die wacht woorden probeert te raden, is ook niet verboden: een systeem beheerder kan deze gebruiken om de wachtwoorden van eigen gebruikers te testen, en dat is een legitiem doel. Een Trojaans paard (zie hoofdstuk 2) dat geprogrammeerd is om een rootkit te installeren, valt wel onder dit wetsartikel, want dergelijke software heeft hoofdzakelijk maar één doel en dat is de controle over andermans computer overnemen.

Bekende software om beveiligingen te testen is Nessus, waarmee controles op bekende beveiligingsfouten worden uitgevoerd, en Metasploit, dat net als Nessus controles kan uitvoeren en voor zien is van een raamwerk om snel controles op nieuw ontdekte fouten toe te voegen. Dergelijke software wordt gebruikt door systeembeheerders en beveiligingsmedewerkers, maar ook wel door criminelen. Zolang deze software maar duidelijk wordt ontworpen én gepresenteerd als legitiem beveiligingshulpmid del, is dergelijke software legaal. Het moge duidelijk zijn dat dit een groot grijs gebied is, waar gemakkelijk misbruik van kan worden gemaakt. Het toevoegen van “Deze software mag alleen voor legale doeleinden worden gebruikt!” is in ieder geval niet genoeg.

Oogmerk van criminaliteit

De wet stelt hulpmiddelen pas strafbaar als ze ter beschikking worden gesteld of voorhanden zijn met het oogmerk dat daar mee computervredebreuk wordt gepleegd. Een onderzoeker die informatie of software (exploits) deelt met collega’s, heeft niet het oogmerk dat daarmee ingebroken wordt. Hij valt dan buiten het wettelijk verbod. Publicatie van een exploit voor het alge mene publiek kán strafbaar zijn afhankelijk van hoe veel detail de publicatie kent en hoe deze opgezet is. Een direct bruikbare exploit die de doelsite direct platlegt, met als toelichting “haha wat een sukkels”, zou waarschijnlijk wel strafbaar zijn. Een we tenschappelijke publicatie met alleen een theoretische analyse die niet direct bruikbaar is voor criminele activiteiten is niet strafbaar. Maar let wel: ook instructies en stappenplannen in ge woon Nederlands, zonder computercode erbij, kunnen volgens de Hoge Raad onder het verbod vallen.

Op sommige sites worden exploits verhandeld. Op zich maakt het voor de wet niet uit of je je laat betalen voor het delen van informatie. Maar als iemand geld vraagt voor exploits of infor matie over onbekende (“zero-day”) lekken, kan daaruit vaak wel een crimineel oogmerk worden afgeleid. Immers, als je geld wil verdienen met lekken of cracks dan doe je dat meestal door die aan criminelen te verkopen. Natuurlijk zullen er ook mensen zijn die legitiem handelen in cracks maar die hebben dan in ieder geval de schijn flink tegen.

Hetzelfde geldt voor het verkrijgen, verkopen, verspreiden of voorhanden hebben van andermans wachtwoorden, toegangs codes en dergelijke. Ook dit is strafbaar, mits het gebeurt met het oogmerk dat iemand daarmee computervredebreuk gaat ple gen. De systeembeheerder die een kopie van alle wachtwoorden van gebruikers in de kluis bewaart, omdat mensen die steeds kwijtraken, pleegt dus geen misdrijf.

Honeypots en uitlokken

Een loknetwerk of lokcomputer (‘honeypot’) is een opzettelijk zwak beveiligd systeem dat opgezet wordt met als doel compu tercriminelen, virussen, Trojans en dergelijke te kunnen detecte ren. De zwakke beveiliging zorgt ervoor dat de honeypot een aantrekkelijk doel wordt, en doordat het systeem is voorzien van uitgebreide logging en dergelijke, zijn IP-adressen, hacktechnie ken en misschien wel meer van de aanvallers te achterhalen. De exploitatie van een honeypot zorgt er dus voor dat mensen daar computervredebreuk, vernieling van gegevens en andere mis drijven kunnen plegen.

Het uitlokken van misdrijven is strafbaar. Wie bijvoorbeeld een huurmoordenaar inschakelt, lokt de moord uit en is daarmee net zo strafbaar als de moordenaar zelf. Maar ook het bedreigen met geweld van een klasgenoot om in de supermarkt iets te stelen, valt onder uitlokking. Je honkbalknuppel uitlenen aan een buur man die grote ruzie heeft met zijn ex kan ook al snel als uitlok king of poging daartoe worden gezien. Wel zal het Openbaar Ministerie (OM) moeten aantonen dat je die knuppel gaf met de bedoeling dat de buurman daarmee de ex zou mishandelen of diens huis ging vernielen.

Op eigen initiatief

Een belangrijk aspect bij uitlokking is dat de uitlokker degene is van wie het initiatief moet komen. Als de buurman al zelf van plan was om het huis van zijn ex kort en klein te slaan, dan lok je dat feit niet uit door hem je honkbalknuppel te lenen. De vraag is dan waar de grens ligt.

In 2008 oordeelde de Hoge Raad dat het toegestaan is om een lokfiets te plaatsen op een plek waar fietsendieven actief zijn. De lokfiets stond niet op slot, maar dat was onvoldoende om van uitlokken te spreken. Had een agent de dief aangesproken en ge zegd “kijk, op die hoek staat een rode fiets zonder slot, die kun je zo meenemen”, dan zou wel sprake van uitlokking zijn ge weest. Ook allerlei andere lokmiddelen (van lokvuilniszakken tot lokhoeren, lokvrachtwagens, lokoma’s, lokhomo’s en ga zo maar door) zijn met deze redenering legaal. Het maakt daarbij niet uit of een particulier of de politie het lokmiddel inzet.

Met dezelfde redenering is het dus legaal om een honeypot op te zetten. Daarmee zet je mensen immers niet aan om iets te doen dat ze niet al zelf van plan waren. Wel is het af te raden om de honeypot actief te promoten op plaatsen waar inbrekers actief zijn. Dan kan een verweer van uitlokking namelijk best wel eens effect hebben: “Ik was alleen wat aan het lezen en toen haalde hij me over om het eens te proberen bij die site”. Ook kan een honeypot na gehackt te zijn, worden ingezet als springplank voor aanvallen bij derden. Deze kunnen de schade verhalen op de eigenaar van de honeypot. Zorg er dus voor dat een dergelijk systeem niet met de buitenwereld kan communiceren.

> Meer adviezen over security & cybercrime

Dienst aanvraag

Meer weten? Laat een van onze juridische experts contact met u opnemen via het onderstaande formulier.

Soortgelijke onderwerpen

  • wolkje

    Cloud continuïteitsadvies

    Hoe pareert u de vraag “maar wat als mijn clouddienstverlener failliet gaat”? Met ons continuïteitsadvies weet u wat u te doen staat.

  • inventarisatie / checklist

    Starterspakket Hosters

    Host u websites of softwarediensten voor klanten? Dan zijn algemene voorwaarden en regels over aansprakelijkheid voor u van groot belang. Speciaal voor startende hostingbedrijven heeft ICTRecht een juridisch pakket ontwikkeld dat u in één keer alle juridische documenten levert die u nodig heeft.