|
|  |
Computercriminaliteit Reloaded
dpi - 04.03.2004 20:20
Minister Donner van "Rechtvaardigheid" heeft weer een wetsvoorstel (PDF [1]) ingediend! In de reeks van wetsvoorstellen die deze inmiddels tot "King Big Brother" benoemde minister heeft ingediend is nu toegevoegd een wetsvoorstel dat "hardere aanpak van computercriminaliteit" moet waarmaken.
Het wetsvoorstel is een gevolg van het internationale Cybercrime Verdrag dat in november 2001 is gesloten om "computercriminaliteit" (en privacy) aan te pakken.
In 1993 trad de wet computercriminaliteit in werking. Voorheen hadden crackers (computer-krakers; door de media en minister Donner aangeduid als "hackers") vrij spel. Deze wet bracht daar verandering in en stelde daar globaal een aantal strafbare feiten in vast. Justitie kreeg opsporingsbevoegdheden in een geautomatiseerde omgeving. Rond de milleniumwisseling breidde een aantal nieuwe wetten de bevoegdheden van opsporingsinstanties uit. Nieuw kabinet, nieuwe ontwikkelingen.
Een aantal organisaties [2], [3] hebben kritiek geuit op dit wetsvoorstel. In dit artikel volgt samenvatting van de voorgestelde veranderingen in Wetboek van Strafrecht. Wat ik probeer is Donner's beweegredenen/doelen samen te vatten en op basis van kennis over de materie te analyseren en de wet vergelijken met huidige (geimproviseerde), algemene of gedetaileerde situaties. Noot:
1) De voorstellen veranderingen Wetboek van Strafvorderingen vat ik in een zin samen als "meer bevoegdheden voor OM". Aangezien ik hier weinig verstand van heb ga ik er verder niet op in. Ik hoop dat andere onafhankelijken (bijv Bits of Freedom [3] en Buro Jansen en Jansen [4]) dat wel gaan doen.
2) Niet alle voorstellen veranderingen Wetboek van Strafrecht worden aangegeven. Wil je alle veranderingen en Donner's beweegredenen lezen, dan kun je de PDF [1] lezen.
Voorstellen veranderingen in Wetboek van Strafrecht.
Artikel 138a, eerste lid. Punt A:
1. Met gevangenisstraf van ten hoogste zes maanden of geldboete van de derde
categorie wordt, als schuldig aan computervredebreuk, gestraft hij die
opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in
een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang
tot het werk wordt verworven
a. door het doorbreken van een beveiliging,
b. door een technische ingreep,
c. met behulp van valse signalen of een valse sleutel of
d. door het aannemen van een valse hoedanigheid.
Donner zegt deze specifieke benamingen nodig te achten omdat er momenteel al andere specifieke manieren van toegang verschaffen worden genoemd en ten tweede voor 'een zo krachtig mogelijke bestrijding van het verschijnsel "hacking"'. Dit verschijnsel dat Donner "hacking" noemt (ik definieer het als cracking, cracken of computerkraken; waarbij men zich bij het tweede deel van de term, "kraken", iemand voor moet stellen die zich toegang tot een kluis verschaft. Een inbreker; niet een pandjesverlosser) heeft een uiteenlopende oorzaak. Die oorzaak kan liggen bij de beweegredenen van de computerkraker; uiteenlopende redenen waarvan sommige, bijvoorbeeld het beschikken over informatie die volgens de computerkraker publiek behoort te zijn, ethisch te verdedigen zijn. Een andere complicatie is dat iemand die vervolgens een fout in een computer(systeem) kenbaar maakt volgens deze wet verdacht is. De oorzaak kan ook aan degene die gekraakt wordt, of doelwit is, liggen: wanneer iemand iets onvoldoende beveiligt, bijvoorbeeld door software te gebruiken die slecht is geprogrammeerd, of door de stomiteit te begaan een "valse hoedanigheid" aan te nemen als een "authentieke hoedanigheid". Met dat laatste doel ik op "social engineering" maar jammerlijker is, dat deze wetswijziging samen met een aantal andere wijzigingen slecht geprogrammeerde software trachten te verdedigen door de aanvallers aan te vallen (het gevolg van een gevolg; symptoonbestrijding); daarmee los je het daadwerkelijke probleem niet op. In beide gevallen ligt de schuld volledig bij degene die aanvalt, niet bij degene die de fouten in de software heeft gemaakt of de fouten die zijn aangeboden door de maker niet in een redelijke tijd heeft opgelost; beide is vragen om problemen; beide zijn m.i. (mede)verantwoordelijk. Beide gaan echter volledig vrijuit.
Punt B. Voorgestelde artikel: Artikel 138b:
Met gevangenisstraf van ten hoogste een jaar of een geldboete van de vierde
categorie wordt gestraft hij die opzettelijk en wederrechtelijk tot of het
gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te
bieden of toe te zenden.
Donner zegt hierover: "Gedacht kan worden aan het toezenden van gegevens aan een computer(systeem) in een zodanige vorm of omvang of met een zodanige frequentie dat dit een significant nadelig effect heeft op de mogelijkheid van de eigenaar of gebruiker om de computer (of het computersysteem) te gebruiken of te communiceren met andere systemen." en noemt als voorbeelden: "Zo bestaan er programma's die zogenaamde "denial of service" aanvallen opwekkenl programma's (bijvoorbeeld virussen) die het gebruik van computersystemen onmogelijk maken of dit substantieel vertragen; programma's die grote hoeveelheden e-mail sturen met als doel de communicatiefuncties van een systeem te verstoren."
Met dat laatste doelt Donner niet op "spam" (ongewenste reclame) maar op het fenomeen "mailbomb", hoewel "spam" en "virus-mails" van verschillende partijen regelmatig tot hetzelfde effect leidt! Hoe denkt Donner deze verschillende partijen, die dagelijks ervoor zorgen dat verschillende systemen het moeilijk hebben, aan te pakken dmv deze wet? De omstandigheden in zo'n situatie zijn complex te noemen. Een andere vraag is hoe wil Donner "opzettelijk" bewijzen. Een spammer kan beargumenteren dat zijn cq. haar doel is een potentiele klant te bereiken, waarmee hij danwel zij zich vrijpleit van "opzettelijk"; het doel is immers niet het systeem plat te leggen; dat is een "samenloop van omstandigheden".
Donner heeft eerder aangegeven [3] niets tegen spam te willen doen. In de VS is men eindelijk zo ver wel maatregelen op justitioneel niveau te nemen. Spam stamt af uit 1980. Het eerste spammailtje was verstuurd door het bedrijf DEC (Digital Equipment Corporation) aka Digital, een bedrijf dat high-end software en servers ontwikkelde en hiervoor reclame maakte middels een massale mail. Het bedrijf is inmiddels overgenomen door Compaq, dat weer is overgenomen door HP hoewel dat hier min of meer los van staat. Critici beweren dat de slechte gang van zaken in de jaren 80 en 90 niet te wijten valt aan de producten die DEC maakte, maar aan de marketing van het bedrijf. De eerste internet-worm in het wild vond plaats in 1989 welke een lek in de mailserver Sendmail uitbuitte. Zoals eerder vermeld nam Nederland in 1993 de eerste computercriminaliteit wetgeving aan. In de VS was men wat eerder met een soortgelijke wetgeving. Later werden in Nederland een aantal toevoegingen aangenomen. Hoe kan het dat anno 2004, ruim 10 jaar nadat de computer criminaliteit wetgeving is aangenomen en ruim 20 jaar na de eerste spam-mail verstuurt was, justitie wel allerlei pogingen doet "computercriminaliteit" aan te pakken en daarbij zo ver gaat dat men "mailbombing" strafbaar maakt, maar men een aanpak van "distrubuted", "gedecentraliseerde" vorm van agressieve, ongewensde marketing en handel in e-mail adressen volkomen links of rechts laat slingeren?
Een andere interessante vraag is wie er verantwoordelijk is voor "virus-mails". Men kan beargumenteren dat alleen diegene die het virus schrijft volledig verantwoordelijk is, en dat is ook exact hetgeen dat Donner in een ander artikel probeert te bereiken. Diegene die het onopzettelijk verspreiden omdat zij zo dom zijn om een virus te openen, of omdat zij inferieure software gebruiken, gaan volledig vrijuit. Later kom ik hier nog op terug.
Een ander, heikel punt is de situatie waar de computer niet veel capaciteit heeft; bijvoorbeeld weinig bandbreedte, weinig rekenkracht, enz. Er zijn situaties waar "veel" niet "genoeg" is. Een buitenlands voorbeeld vloeit voort uit de website Slashdot.org. Deze site is een bekende, druk bezochte site gehost in de VS. Wanneer hier een link geplaatst wordt in een nieuwsartikel heeft dat tot gevolg een stormvloed van bezoekers bij de site waar naar gelinkt wordt. Regelmatig klappen daardoor sites eruit. Dit effect heet het "Slashdot effect" [5]. Hoewel Slashdot in de VS gehost wordt, kan zoiets ook in Nederland voorkomen. Laten we er voor het gemak van uitgaan dat we te maken hebben met een situatie die volledig onder de Nederlandse wetgeving valt: zijn de bezoekers van "Slashdot" verantwoordelijk? Is "Slashdot" verantwoordelijk voor het plaatsen van de link? Kortom, bij wie ligt hier de verantwoordelijkheid?
In punt E staat de volgende text als voorgesteld Artikel 139c, eerste lid:
1. Met gevangenisstraf van ten hoogste een jaar of een geldboete van de vierde
categorie wordt gestraft hij die opzettelijk en wederrechtelijk met een
technisch hulpmiddel gegevens aftrapt of opneemt die niet voor hem bestemd zijn
en die worden verwerkt of overgedragen door middel van telecommunicatie of door
middel van een geautomatiseerd werk.
Dit artikel sluit volgens Donner aan op Artikel 8 van EVRM. Het slaat op prive-overdrachten van data. Voorbeelden hiervan zijn: een Telnet, FTP of SSH sessie of een e-mail. Dat er in Nederland tov. Europa relatief verreweg het meest wordt getapt is ironisch te noemen. Een tap ziet het verschil tussen informatie die publiekelijk gesteld wordt en informatie die prive is niet. Donner geeft zelfs als voorbeeld: "het waarnemen van de zogenaamde residustraling bij beeldschermen", iets dat geheime diensten kunnen (codenaam "TEMPEST"[6]). De tap-mogelijkheden worden met deze wetswijziging bovendien flink uitgebreid. Kan het ironischer? Aan de andere kant stelt deze specifieke wetswijziging "spyware" strafbaar.
Punt F zijn twee nieuwe leden die als toevoeging op Artikel 139d gelden.
2. Met dezelfde straf wordt gestraft hij die, met het oogmerk dat daarmee een
misdrijf als bedoeld in artikel 138a, eerste lid, 138b, of 139c wordt gepleegd,
a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het
plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert, verspreidt
of anderszins ter beschikking stelt of voorhanden heeft, of
b. een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor
toegang kan worden verkregen tot een geautomatiseerd werk of een deel daarvan,
verkoopt, verwerft, verspreidt of anderszins ter beschikking stelt of voorhanden
heeft.
3. Met gevangenisstraf van vier jaren of geldboete van de vierde categorie wordt
gestraft hij die het in het tweede lid bedoelde feit pleegt indien zijn oogmerk
gericht is op een misdrijf als bedoekd in artikel 138a, tweede of derde lid.
Punt G slaat op een toevoeging van 1 lid aan Artikel 161sexies en betreft vrijwel hetzelfde als punt F. Deze worden daarom gezamelijk onder de loep genomen.
2. Met gevangenisstraf van ten hoogste zes maanden of geldboete van de vijfde
categorie wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld
in het eerste lid[, onderdeel 1*,] wordt gepleegd,
a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot
het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert,
verspreidt of anderszins ter beschikking of voorhanden heeft, of
b. een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor
toegang kan worden verkregen tot een geautomatiseerd werk of een deel daarvan,
verkoopt, verwerft, verspreidt, of anderszins ter beschikking stelt of voorhanden
heeft.
Dit wordt uitgebreid toegelicht op pagina 14/15 in de PDF [1].
De uitleg en toelichting spreken wat mij betreft voor zich. 1 belangrijk punt, dat slaat op lid 2 punt F en punt G, is opmerkelijk: "Het tweede lid van artikel 6 Verdrag bepaalt uitdrukkelijk dat artikel 6 niet zodanig mag worden geinterpreteerd dat strafbaar moet worden gesteld het gedrag waarbij niet de bedoeling voorzit om een strafbaar feit te van degene die het virus download. Toch heeft zo'n pagina tot gevolg dat internetters het virus draaien, ondanks zo'n dislaimer. Wie is er in zo'n geval verantwoordelijk? Uit een recent onderzoek van internet provider plegen. Dit is naar Nederlands recht afgedekt door in de delictsbepaling het "oogmerk" op te nemen." Vervolgens stelt Donner: "Indien iemand een technisch hulpmiddel voorhanden heeft dat hoofdzakelijk ontworpen is tot het plegen van computervredebreuk (138a Sr) maar hij dit oogmerk om alleen gebruikt om de beveiliging van z'n eigen computer te testen, heeft hij niet het oogmerk om het misdrijf computervredebreuk te plegen. Hij valt dan dus niet in de termen van de strafbepaling.".
Donner geeft niet aan of diegene die dat programma gebruikt om de beveiliging van z'n computer te testen deze software mag delen. Daarbij kun je denken aan een programma dat
een fout in een programma uitbuit om rechten te verschaffen (zgn. "exploit"), een programma dat de beveiliging test op basis van een database van zulke bekende "exploits", een programma dat bekijkt welke "services" of "daemons" er op een computer draaien (programma's die een bepaalde service bieden. Deze draaien op een server. Voorbeelden: een webserver (HTTPd), een e-mailserver (SMTPd, POP3d, IMAPd), enz). Een proefproces zal wellicht meer duidelijkheid geven.
Een ander doel van deze wet is waarschijnlijk de verspreiding van virussen tegengaan. Deze verspreiding ligt meestal aan een combinatie van inferieure programma's, domme, goedgelovige gebruikers, en de programmeur. Recent is viruschrijfster Gigabyte in Belgie opgepakt [7]. Zij verspreidde virussen op haar webpagina, met een duidelijke disclaimer welke ook wijst op verantwoordelijkheid van degene die het virus download. Toch heeft zo'n pagina tot gevolg dat internetters het virus draaien, ondanks zo'n dislaimer. Wie is er in zo'n geval verantwoordelijk? Uit een recent onderzoek van internet provider Xs4all is gebleken dat 85% van de Nederlandse internetters internetproviders verantwoordelijk houdt voor het verspreiden van virussen.[8] Dit gebrek aan verantwoordelijkheid is een van de oorzaken van de verspreiding van virussen, maar deze wet (tracht) de diegene die hun eigen verantwoordelijkheid niet nemen juist te beschermen.
Tenslotte iets dat zich afspeelt op EU niveau. Op dit moment wordt hier een wet in overweging genomen die eigenaren van intellectueel eigendom (IP) verregaande rechten verleend bij hun opsporing. Denk hierbij aan o.a. copyright schending mbt muziek, software, text, etc. Chrestomanci, een Slashdot bezoeker, verwoorde het als volgt: " The powers available include sending rent-a-cops to private homes, seizing assets, freezing bank accounts, and confiscating and ISP's equipment on suspicion." [9].
[1]  http://www.justitie.nl/Images/11_45832.pdf
[2] http://www.webwereld.nl/nieuws/17916.phtml
[3] http://www.bof.nl/nieuwsbrief/nieuwsbrief_2004_5.html
[4] http://www.xs4all.nl/~respub
[5] http://ssadler.phy.bnl.gov/adler/SDE/SlashDotEffect.html
[6] http://rechten.kub.nl/koops/Tempest.htm
[7] http://www.webwereld.nl/nieuws/17761.phtml
[8] http://www.xs4all.nl/nieuws/overzicht/virusonderzoek.html
[9] http://yro.slashdot.org/article.pl?sid=04/03/03/160235
DISCLAIMER: IANAL (I Am Not A Lawyer); ik ben geen advocaat. Ik ben ook geen deelnemer aan het "groot dictee der Nederlandse taal".
|
| Read more about: globalisering media vrijheid, repressie & mensenrechten | | supplements | | | some supplements were deleted from this article, see policy | | De nephackers van Donner | link - 06.03.2004 18:44
Column door Maurice Wessling
"In een tijd waarin veel gesproken wordt over de eigen verantwoordelijkheid van burgers, komt het cybercrime-voorstel van Donner vreemd over. De nieuwe definitie van hacken zou beveiliging wel eens een zaak van justitie kunnen maken. Want zelfs de slordigste, domste en sufste admin weet dat politie en justitie de 'hackers' zullen vervolgen die het systeem binnenwandelen. Ik vraag me af of justitie nu werkelijk zo'n signaal wil afgeven. Zou het niet veel beter zijn om slechte systeembeheerders ook te straffen?
[...]"
Lees verder op Webwereld:
 Website: http://www.webwereld.nl/column/04_10.phtml
| | | dpi - 10.03.2004 12:01
De "Intellectual Property Rights Enforcement Directive", de wet in URL [9], is er door. Momenteel geldt-ie nog niet, maar men heeft er over ingestemd.
(Binnenkort een artikel over P2P op Indymedia.nl)
Website: http://www.webwereld.nl/nieuws/17982.phtml
| |
| supplements | |
