Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties

In Groot-Brittannië zal binnenkort een strengere wet tegen computerkraak van kracht worden. Met de nieuwe wet kunnen hackers gemakkelijker en zwaarder worden bestraft.

De belangrijkste verandering in de Computer Misuse Act uit 1990 is een bepaling die het verbiedt om programma's te verspreiden die 'waarschijnlijk' zullen worden gebruikt voor hacken. Beveiligingsdeskundigen maken zich hier zorgen om, omdat ook programma's die testen hoe goed een systeem beveiligd is onder deze verbodsbepaling zouden kunnen vallen.

De regering heeft vorige week een document gepubliceerd, dat de openbaar aanklagers richtlijnen geeft over hoe ze met de nieuwe wet om moeten gaan. Bij het beoordelen van een programma moet worden gekeken naar wat het doet en de doelgroep van gebruikers die de maker voor ogen had. Sommige applicaties hebben zowel legale als illegale toepassingen; voordat iemand wordt aangeklaagd moet duidelijk zijn dat hij criminele bedoelingen had.

Cybercrime, cybercriminaliteitDe meeste deskundigen vinden deze richtlijn wel redelijk. Hoe de wet in de praktijk uit zal pakken moet uit de jurisprudentie blijken. De wetswijziging werd al in november 2006 aangenomen en zal in de loop van dit jaar van kracht worden.

Moderatie-faq Wijzig weergave

Reacties (32)

Een zorgelijke ontwikkeling. We stellen de wet zo ruim op dat hij alles dekt, en geven dan richtlijnen uit wanneer de wet wel en niet toegepast moet worden. In plaats van dat de grenzen in de wet staan wordt je afhankelijk van de willkeur van politie en justitie.

Een wet is er juist om grenzen te stellen. Ga je daar overheen dan ben je strafbaar. Nu ben je voor de wet altijd strafbaar, ook bij iets als Nessus (Security scanner bedoeld om je eigen systemen te testen) en moet een mannetje bepalen op hij dat strafbaar zijn vervolgt.

De wetgevers zijn de weg kwijt. Tijd dat er weer mensen met verstand van zaken aan het roer komen.
Het is anders heel gewoon dat er bij een wet een notie van toelichting wordt gegeven en dat er richtlijnen worden gegeven hoe de wet toe te passen. Een wet kan niet alle situaties kan omschrijven die mogelijk nu of ooit zouden kunnen voorkomen.

Dus is een wet meestal vrij algemeen en wordt er in de toelichtingen en richtlijnen aangegeven hoe om te gaan met regelmatig vvorkomende gevallen.

Mooi voorbeeld is de nieuwe ID-wetgeving. Die werd/wordt te pas en te onpas gebruikt om zwaardere boetes op te leggen omdat de overtreder geen id-kaart bij zich had/heeft. Dit was en is niet de bedoeling van die wet, en het OM heeft dus een hele mooie richtlijn geschreven waarin staat dat ondanks dat iemand z'n id-kaart niet bij zich heeft, dat niet automatisch leidt tot een boete op grond van de ID-wet.
Punt is wel dat je dan de scope van de wet overlaat aan de minister. Het idee van wetgeving is nou juist dat de volksvertegenwoordigers vaststellen wat de inhoud en scope is, en de minister zich bezighoudt met de uitvoering.

Als b.v. in de ID-wetgeving had gestaan dat je een ID moet tonen als er een redelijke grond is om er naar te vragen, of dat geen boete mag volgen in combinatie met een boete voor een ander delict hadden we vanaf dag 1 heel wat minder problemen gehad met deze wetgeving.
De wetgevers zijn de weg kwijt. Tijd dat er weer mensen met verstand van zaken aan het roer komen.
Ze moeten eens fatsoenlijke niet paranoïde security experts inhuren.

IMO is dit een zorgelijke ontwikkeling die waarschijnlijk veroorzaakt dat het omgekeerde bereikt word. Je kunt je eigen systemen niet meer testen en penetratie test tools zullen niet meer op het niveau zijn waardoor ze niet meer zinvol zijn (omdat ze niet meer toegestaan zijn).
Ik vraag me af wanneer iets onder deze wet valt? Het klinkt namelijk erg breed uitgemeten als blijkt dat er zelfs richtlijnen gesteld moeten worden over hoe je met de wet om moet gaan. Vallen alle netwerk applicaties hier opeens onder? Valt de managment applicatie van je router of managed switch er ook onder omdat een onbevoegd iemand die ook zou kunnen hacken?

En waneer is het duidelijk dat iemand echt criminele bedoelingen had? Ik denk toch niet dat de crimineel zelf gaat toegeven dat hij criminele bedoelingen ermee had; daaruit blijkt dat iemand anders daarover zal moeten oordelen, zijn hier ook richtlijnen over gesteld? En wat valt er te zeggen over een hacker die door een bedrijf is ingehuurd om lekken in de security te ontdekken?

Het is allemaal mooi en aardig dat hackers harder worden aangepakt, sterker nog; het word hoog tijd dat ze sterker worden aangepakt, maar waneer hebben ze criminele bedoelingen? En welke applicaties vallen onder deze wet? Het is allemaal nogal vervaagd, geen duidelijke harde grens waar men zich aan kan houden! Ik hoop dat dit goed gaat.
Het gaat om software die "likely to be used" bij het begaan van een computermisdrijf. Bij ons heet dat "hoofdzakelijk geschikt gemaakt of ontworpen is" om computervredebreuk te plegen (art. 139d lid 2 Strafrecht). Staat er al sinds 1993 bij ons in trouwens.

Een tool als nmap is dual use, en is dus niet hoofdzakelijk geschikt of ontworpen om mee in te breken.

Wat dit Engelse voorstel toevoegt, is dat als je een tool aanlevert aan iemand die er waarschijnlijk mee gaat cracken, jij strafbaar bent. De intentie van de verkrijger gaat dus een rol spelen. Zeg maar net zoals de messenwinkel aansprakelijk is als ze jou een mes verkopen nadat jij hebt zegt "met welk Bowie-mes steek ik mijn schoonmoeder het makkelijkst overhoop".

@lknik: het is niet een intentie op zich maar feiten en omstandigheden in combinatie met een intentie. Die intentie is dus noodzakelijk maar niet voldoende om tot een veroordeling te komen.

In jouw voorbeeld moet er een "begin van uitvoering" van jouw aanslag op de minister-president aanwezig zijn. Alleen onderweg zijn naar het Binnenhof is niet genoeg denk ik. Maar als je over het hek klimt en met een mes op zak de deur van het Torentje forceert, zit je al aan poging tot moord.

Pure intenties zijn alleen strafbaar in de context van terroristische misdrijven: als jij "samenspant" met iemand, dat wil zeggen met hem afspreekt dat je een aanslag gaat plegen, ben je allebei al strafbaar. Ook al heb je nog niets meer gedaan dan die afspraak maken. En ja dat is eng, maar dat moest om aanslagen "in een vroeg stadium te kunnen voorkomen" aldus Donner.

[Reactie gewijzigd door Arnoud Engelfriet op 7 januari 2008 14:43]

De intentie van de verkrijger gaat dus een rol spelen.
Ik denk dat je gelijk hebt, maar hoe kun je nu iemands intentie strafbaar maken? Een intentie heeft geen gevolgen. Ik kan best de intentie hebben om de premier te vermoorden, maar als ik onderweg een ongeluk krijg en onder de tram kom is er niks gebeurd. Of misschien haak ik op het laatste moment af omdat ik eigenlijk toch te bang ben.

Het strafbaar maken van de intentie om iets te doen komt al akelig dicht bij een soort van gedachtepolitie.

[Reactie gewijzigd door Iknik op 7 januari 2008 13:19]

Bestaat al in de vorm van "poging tot".

En als er sprake is van (mogelijk) terrorisme gaat e.e.a. nog verder. Daar is idd de intentie al strafbaar.
'Poging tot' is enkel wanneer je bijvoorbeeld de trekker hebt overgehaald, maar gemist hebt. Naar het slachtoffer toerijden, maar onderweg tegengehouden worden door politie zodat je beslist de moord uit te stellen, is géén poging tot moord.
Dat zou ik niet zo categorisch durven te zeggen. Er is sprake van een poging als er een voornemen van de dader was wat zich door een begin van uitvoering heeft geopenbaard (art. 45 Strafrecht). Alleen als je vrijwillig terugtreedt (stopt) met het plegen, ontkom je aan strafbaarheid. Maar dat moet dan wel puur je eigen wil zijn (je geweten dat zegt, niet doen joh).

Het klassieke voorbeeld is dat je op 't punt staat om in te breken, dan politiesirenes hoort en dus gauw wegrent. Dan ben je strafbaar wegens poging tot inbraak.

Afhankelijk van hoe dicht bij het slachtoffer hij was gekomen, kan het "er heen gaan" best als begin van uitvoering gezien worden.
De Hoge Raad heeft daar verschillende keren anders over gedacht.
Het strafbaar maken van de intentie om iets te doen komt al akelig dicht bij een soort van gedachtepolitie.

Precies, en hoe vaak denk jij iets strafbaars? Straks loopt de politie rond met gedachten-lezers.

Ik vraag me af wanneer een politie-agent kan zeggen dat iemands intentie echt fout is, zeker als ze vooraf dingen willen voorkomen. Als ze prefentief tegen hackers willen optreden heeft deze wet geen enkel nut, hoe kan je bewijzen dat iemands intentie fout was voor dat hij het gedaan heeft? Gaan we straks iedere burger die netwerk tools op zijn pc heeft staan aan een leugendetector hangen om zijn intentie te achterhalen? Of word straks gewoon gezegd dat je intentie slecht is om zo hacken te verkomen?
Volgens mij staat er in de derde paragraaf juist dat de makers van tools berecht kunnen worden al naar gelang hun intentie:
"voordat iemand wordt aangeklaagd moet duidelijk zijn dat hij criminele bedoelingen had."

Het zou dan (omdat iedereen houdt van een goede analogie) eerder iets zijn als een messenwinkel die adverteert met steekgerei dat uitermate geschikt is om schoonmoeders overhoop te steken.
Zorgwekkend als distributeurs kunnen berecht worden omdat ze de intentie van de verkrijger niet hebben gecontroleerd. Daardoor komt er zoveel onzekerheid bij de makers van dergelijke tools dat velen zich gaan inhouden om hun programma te verspreiden, uit schrik.
Hoe weet men immers wanneer men zich voldoende ingedekt heeft om zich van elke schuld te kunnen onttrekken bij het ter download aanbieden van een programma?
Zo werkt de rechtspraak niet. In zulke gevallen komen er toch echt getuige-deskundigen opdraven om vast te stellen of dit een "crack-tool" is of een legitiem beveiligingshulpmiddel. En in dat gelinkte document staat expliciet dat "dual use" software niet onder het verbod mag vallen. Dus nmap(1) blijft gewoon legaal.

@lknik: dat is een goede vraag. De rechter kijkt naar de kwalificaties van de deskundige, maar veel meer kan hij niet controleren. Kon 'ie dat wel, dan was hij zelf deskundig genoeg. :) Maar de tegenpartij kan zijn eigen deskundigen laten opdraven natuurlijk.

[Reactie gewijzigd door Arnoud Engelfriet op 7 januari 2008 13:09]

En hoe stelt de rechter vast of een deskundige deskundig is? Dat is ook misgegaan bij Lucia de B.
Maar dan nog is het gigantische security through obscurity. De wetgever probeert de kennis illegaal te maken, ipv de daad zelf.

Als ze dit ECHT illegaal willen maken, moeten ze minstens met 'wapenvergunningen' komen voor mensen die professioneel dit soort hack-tools analyseren. Net zoals professionele wapenmakers een deel wapens mogen stockeren waar ze geen vergunning voor hebben.
Helaas is dat voor een computerprogramma niet zo nuttig. Het gaat dan als volgt: iemand programmeert een programma waarmee gehacked kan worden. Hij wordt aangeklaagd, en op dat moment wordt het voor iedereen behalve een paar "wapenvergunning"-bezitters illegaal om dat programma te bezitten/bestuderen? Voor iemand aangeklaagd wordt, heeft het programma al op internet gestaan. Het illegaal maken van het bezit van zo'n programma voor de rechtzaak uberhaupt begonnen is vind ik erg onwenselijk.
Als je nou eerst eens de tekst leest (moeilijk he... dat Engels; ff snel 2 quotes)
Section 3A CMA covers making, supplying or obtaining articles for use in offences contrary to sections 1 or 3 CMA
prosecutors need to ascertain that the suspect has a criminal intent.
Ergo: de kennis/software is nog niet illegaal op zich, enkel het maken, aanbieden of verkrijgen van dergelijke zaken met de intentie om het voor illegale doelen in te (laten) zetten is strafbaar. Daar is de richtlijn klip en klaar over.
Waarom hebben mensen altijd zo weinig vertrouwen in de rechtspraak?

Die paar excessen die de krant halen vallen in het niet bij de vele tienduizenden (honderduizenden?) zaken per jaar die wel correct en goed worden afgehandeld.

Zorgelijk wordt iets pas als ook de rechtspraak niet corrigerend optreedt, en dat zie ik niet snel gebeuren.
Dat krijg je vanzelf als vierdejaars rechtenstudent. Niet alleen heb je dan de arresten die de krant halen bestudeerd, ook bestudeer je dan de (honderden) kromme redeneringen die rechters dan hanteren en de steeds verder afglijdende logica. Laat staan politici die zich over hun vertekend beeld van het recht uitlaten. Wist jij dat logica een keuzevak is op onze faculteit? En bijna niemand die het volgt...

On topic:
Het bestanddeel waarschijnlijk lijkt mij dan ook strijdig met een paar fundamentele rechtsbeginselen die maken dat wij op het continentale Europa het Anglosaksische recht waarderen zoals het is: revolutionair toen het halverwege de middeleeuwen werd ingevoerd, hopeloos gedateerd en ouderwets nu. Ik denk bijvoorbeeld aan het lex-certa-beginsel, dat bepaalt dat een (straf-) bepaling nauwkeurig omschreven moet zijn.

Een programma dat 'waarschijnlijk' gebruikt gaat worden om te hacken, daarvan hoeft juist niet vast te staan dat het daadwerkelijk gebruikt wordt om te hacken. Dan verschuift een opzet-bestanddeel (het willens en wetens handelen of het bewust aanvaarden van de aanmerkelijke kans dat het programma gebruikt gaat worden) naar een soort strafrechtelijke risico-aansprakelijkheid. Een slechte zaak die slechts willekeur in de hand werkt en zorgt dat zaken die anders niet te bewijzen zijn wel bewijsbaar worden. Het zegt wat over de intelligentie van degene die dat een goede zaak vindt, want strafrechtelijk bewijs is zo eenvoudig te leveren, dat vrijspraak betrekkelijk weinig voorkomt.

[Reactie gewijzigd door DeTinuxNL op 7 januari 2008 11:18]

Je kunt al vrij snel stellen dat als je zonder toestemming toegang probeert te krijgen/krijgt op een systeem/netwerk, je in ieder geval de wet overtreedt. Doe je dat bewust dan lijkt me een "criminal intent" al snel bewezen.

Heb je wel toestemming (testen van security in opdracht van bass/opdrachtgever bv.) dan lijkt me criminal intent niet te bewijzen.

En verder zal de jurisprudentie ervoor moeten zorgen dat er onderscheid gemaakt kan worden tussen crimineel gedrag en toelaatbaar gedrag.

(reactie op HJvK)

[Reactie gewijzigd door RML op 7 januari 2008 10:51]

Ja, maar hoe stel je die intentie vast op het moment dat er nog niks gebeurd is? In het brondocument staat:
It does not criminalise posession per se, unless an intention to use it [...] can be shown
Oftewel, het is niet verboden om in bezit te hebben tenzij je van plan bent er iets mee te gaan doen.
Uit feiten en omstandigheden. En die zullen ongetwijfeld van geval tot geval verschillen. Goed onderzoek, en rechters die bij de pinken zijn, zullen dan tot een weloverwogen uitspraak moeten leiden. Dat lijkt veel gevraagd maar onmogelijk is het zeker niet.
Dit kan je idd breed opvatten... Wat is een programma zoals nmap dan? Kan zowel voor beveiliging als voor hacking gebruikt worden. Eigenlijk kunnen alle "security-tools" wel voor zowel hacking al beveiliging gebruikt worden...
Dat is net zoals "inbrekersgereedschap".

Als je overdag een schroevendraaier bij je hebt, dan is er niks aan de hand, heb je 's avonds een schroevendraaier bij je, dan is het ineens inbrekersgereedschap, en in sommige landen zelfs strafbaar.
als niemand meer hack tools heeft heb je toch ook geen test tools meer nodig? :)
DAt was een geintje neem ik aan? Of denk je dat een verbod op tools waar je mee kunt hacken, criminele hackers tegenhouden? De bepalende factor om te bepalen of iemand crimineel is, is dat hij zich niet aan de wet houdt...
Dat zal de redenatie van de Britse overheid wel zijn ja :p

ze vergeten even dat mensen die weten waar ze mee bezig zijn (diegene die ze nu niet kunnen pakken) de tools hoogstwaarschijnlijk zelf wel (kunnen) maken.
Hoe dan? Daar heb je wel hack tools voor nodig, zoals een text editor, toetsenbord, monitor, computer, wellicht een compiler. En niet te vergeten een internet aansluiting....

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True