Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 173 reacties
Submitter: himlims_

De vertegenwoordigende ministers van de Europese lidstaten staan achter een voorstel om het schrijven van software die gebruikt kan worden om botnets te maken en wachtwoorden te stelen strafbaar te maken op Europees niveau.

In september 2010 deed de Europese Commissie een aantal voorstellen om de Europese regelgeving voor aanvallen op it-systemen aan te scherpen. Veel elementen die in 2005 op de Council of Europe Convention on Cybercrime werden vastgesteld, zoals het strafbaar stellen van ongeoorloofde toegang tot en blokkade van systemen en datastromen, zijn ook in de nieuwe voorstellen opgenomen. Ook de strafbaarheid van het helpen en het plegen van pogingen hiertoe blijft onderdeel.

Er komen echter ook nieuwe elementen. Zo moet het maken van tools waarmee bovenstaande delicten gepleegd worden, strafbaar gemaakt worden. De Raad noemt als voorbeeld het schrijven van software voor het maken van botnets en het stelen van wachtwoorden. Het illegaal onderscheppen van data wordt een misdrijf. Daarnaast worden lidstaten verplicht statistische gegevens over cybercrime te verzamelen en binnen acht uur feedback te geven bij wederzijdse urgente verzoeken om informatie over aanvallen.

De maximumgevangenisstraf wordt op twee jaar gesteld, maar bij een aanval op verschillende systemen, zoals het instellen van een botnet, wordt die termijn met een jaar verhoogd. Als de pleger de aanval doet als lid van een georganiseerde groepering of als de aanval tot grote schade leidt, kan maximaal vijf jaar opgelegd worden.

De Raad van de Europese Unie, bestaande uit afgevaardigde ministers van lidstaten, heeft zich achter de voorstellen geschaard. Voor Nederland hebben minister Leers en staatssecretaris Teeven hun handtekening gezet. Het Europees Parlement moet zich nog wel over de voorstellen uitspreken.

Moderatie-faq Wijzig weergave

Reacties (173)

Dit wordt een zeer en zeer lastig uit te voeren wet. Hoe maak je onderscheid tussen een tool die bedoeld is om remote wachtwoorden te kunnen inzien voor administratieve doeleindes en hoe onderscheid je die van de hackertools? Hoe wil je uberhaupt in de gaten gaan houden dat legale tools illegaal worden gebruikt? Sterker nog, hoe groot is de kans dat developers van dergelijke tools zich wat aan trekken van dergelijke wetgevingen.

Je ontwikkelt de tool, gaat naar een random internettoko dumpt hem annoniem via een nieuw profiel op een fileshare website en laat de stroming het werk doen. M.a.w. dit is gewoon weer de zoveelste papieren tijger in het digitale tijdperk.
Hoe maak je onderscheid tussen een tool die bedoeld is om remote wachtwoorden te kunnen inzien voor administratieve doeleindes [...]
Zolang je in een eigen gecontroleerde omgeving, waar je zelf ook het beheer en de rechtmatige rechten hebt, zal ik nog de eerst officier van justitie tegen moeten komen om vervolgens te zeggen dat je strafbaar bent.
Wachtwoorden zijn over het algemeen persoons- / applicatie gebonden. Wat zou jij met MIJN wachtwoord moeten?
Juist, helemaal NIETS. Sterker, je bent dan al strafbaar in het kader van schending van de privacy.
Ook bij (gecontroleerde en officieel goedgekeurde!) penetratietesten is het altijd al een schemergebied van wanneer is het testen, en wanneer gaat het over in een strafbaar feit?
Nogmaals, in een eigen gecontroleerde omgeving, waar je zelf ook het beheer en de rechtmatige rechten hebt, zal dit niet zo'n vaart lopen.
Echter wanneer je voor dergelijk praktijken opgepakt wordt voor acties op het internet op systemen die niet van jou zijn, jij niet de rechtmatige rechten op hebt en gebruikt om datastromen en/of systemen te blokkeren, zoals groeperingen als Anonumous en LulzSec etc. met enige regelmaat uitvoeren, dan weet je alvast wat je te wachten staat!
Misschien heb je gelijk maar het gaat om het principe.

Zolang je dit lokaal gebruikt is d'r niks aan de hand.

Maar wat nu als een werknemer je aanklaagt omdat hij mot heeft met de baas en deze tools worden gebruikt qua onderhoud. Dat kan een bedrijf miljoenen kosten terwijl er niks aan de hand is.
Nope, dan nog steeds zit je in een gecontroleerde omgeving waar je zelf het beheer en de rechtmatige rechten op heb.
Alles zal staan of vallen met de intentie waarmee je het gebruikt!
Ik heb het zelf ooit eens meegemaakt dat ik het hoofdkantoor eens over de z...k heb gehad omdat ze poortscans en penetraties voorbij zagen komen op hun firewall's waarvan ik dacht in een afgesloten omgeving te zitten. Oorzaak... 1 router!
Op zich kan je volgens de letter van de wet zeggen dat ik op dat moment strafbaar was. (alleen had ik wel een schriftelijk vrijwaring gekregen voor mijn testen)

a) er zal dan eerst iemand aangifte moeten doen
b) er zal dan een officier van justitie moeten zijn die de zaak haalbaar acht.

Met deze twee punten en mijn schriftelijke vrijwaring begrijp je dat er geen aanklacht zal komen.

Ander voorbeeld:

Enkele weken geleden werden verschillende ip-adressen van mij structureel gescand op bepaalde vulnerabilities. Na onderzoek bleek dit van een nederlands bedrijf af te komen.
Ik heb ze hierop gebeld om aan te geven wat er aan de hand was en of ze dit ff konden oplossen...
Volgens de letter van de wet kan je zeggen dat ze strafbaar zijn. Echter gezien het profiel, scangedrag etc. heb ik het vermoeden dat ze onderdeel waren geworden van een botnet die rustig op zoek waren naar andere potetiele slachtoffers.
Tja, hoe straks wil je de regels hanteren?
Zolang je in een eigen gecontroleerde omgeving, waar je zelf ook het beheer en de rechtmatige rechten hebt, zal ik nog de eerst officier van justitie tegen moeten komen om vervolgens te zeggen dat je strafbaar bent.
Wat hier dus nog wel een probleem is, is dat ook het maken van tools hiervoor strafbaar wordt. Bij het maken van een tool staat nog helemaal niet vast hoe het uitendelijk gebruikt gaat worden.
Het onderscheid (mijn poging tot..): je hebt 2 situaties.

1) Je zet het als trojan op een site en installert via eoa zero-day exploit, dan is dát deel van de software illegaal. Ook is je gebruik ervan illegaal (computervredebreuk).

2) Je laat het de gebruiker zelf installeren en misbruikt het programma dan: dan is jouw gebruik ervan illegaal (computervredebreuk).

In beide gevallen ben je dus illegaal bezig. Verschil is alleen dat degene die eventueel voor jou dat stukje trojan-software schrijft nu ook illegaal bezig is. De 'goedaardige' administratieve software is gewoon ok. Intentie is heel belangrijk en bij trojans/phishing is deze meestal wel duidelijk.
Er zijn genoeg software pakketten van keyloggerontwikkelaars waar de intentie een goed doel heeft (kinderen monitoren) maar die je makkelijk kan tweaken zodat je ook de computer van andere in de gaten kan houden.

Dus die keyloggerontwikkelaars zijn dan ook illegaal bezig?

Beetje kort door de bocht.

[Reactie gewijzigd door Hakulaku op 15 juni 2011 15:36]

En wat als je enkel de code post en dat gebruikers die zelf moeten compileren. Je kan toch onmogelijk code verbieden. je kan die op elk forum en blog gewoon posten. Parlement zal dit wel tegenhouden , die raad van europa hoeft zich niet met dagelijks bestuur van de EU te moeien, benieuwd of de commisie zelfs voor dit voorstel is gewonne.
Dit soort wetgeving is vaak zeer nuttig omdat het de intentie van de wetsovertreder meer duiding geeft. Daarom hebben we bijvoorbeeld ook een wapenwetgeving terwijl het neerschieten van mensen toch al strafbaar is. (ik heb het niet erg op analogieen maar deze gaat ligt wel lekker).

Als er nu iemand opgepakt word met dit soort tools in zijn bezit kan je op zoek gaan naar mogelijke wetovertreding die er mee gedaan zijn. Als de tools legaal zijn is dat allemaal een stuk moeilijker. Een papieren tijger hoeft het dus zeker niet te zijn.
De vertegenwoordigende ministers van de Europese lidstaten staan achter een voorstel om het schrijven van software die gebruikt kan worden om botnets te maken en wachtwoorden te stelen strafbaar te maken op Europees niveau.
Voorts willen ze een verbod op schroevendraaiers en koevoeten?

Het lijkt me niet verstandig om het schrijven van software te verbieden. Er zijn allerlei legitieme doeleinden, van academisch tot praktisch voor het maken van dit soort software.

Ik vind het goed dat ze er wat aan willen doen, maar deze wet lijkt me niet te handhaven (gaan ze bij iedereen over de schouder meekijken als hij software schrijft? misschien met gebruik van een keylogger...) en vooral als strafvermeerdering tellen als dit soort software crimineel wordt ingezet.

Daarbij gaat het security-onderzoekers alleen maar hinderen.
Volgens mij is hier het woord "stelen" het magische woord. Onderzoekers en anderen die de software op een legale wijze maken en gebruiken lopen dus geen gevaar.
Kaspersky voorspelt internationaal internet paspoort
A global internet police force, digital passports in order for users to go online, cyber crime as an 'integrated part' of virtual reality - this is how Russian anti-virus expert Eugene Kaspersky sees the future of the online world.
Bovenstaande zou inderdaad realiteit kunnen worden. Die moet natuurlijk wel verdedigd kunnen worden door wetten. Ik zie dit EU voorstel dan ook als eerste stap naar zo'n internet-ID. Toepasbaarheid is een andere vraag.

[Reactie gewijzigd door EektheMan op 15 juni 2011 15:45]

depends of securityonderzoekers erdoor gehinderd worden. Men kan denken aan bijvoorbeeld een vrijstelling voor hun, of dat het niet illegaal is voor mensen op basis van beroep als het programma al bestaat.
Ik zie het meer als het verbieden van TPB voor het verspreiden van illegale content.

Een applicatie specifiek gemaakt voor een doeleinde dat illegaal is, willen ze illegaal maken.
Een applicatie specifiek gemaakt voor een doeleinde dat illegaal is, bestaat niet.
Apart, en gevaarlijk. Ben benieuwd hoe het exact is geformuleerd, want welke software is dan strafbaar?

Echt software die puur is geschreven met misdadige doeleinden? Dan hebben we het over phishing-software, botnet-software en trojans die zonder medeweten van de gebruiker kunnen worden geïnstalleerd... tenminste, lijkt me.

Dit wordt dan een beetje de software-versie van "voorbedachten rade". Op zich is dat prima natuurlijk, mits dus naar intentie wordt gekeken en de bewijslast niet bij de schrijver van de software ligt...
Apart, en gevaarlijk. Ben benieuwd hoe het exact is geformuleerd, want welke software is dan strafbaar?
"software die gebruikt kan worden om..."
"software die gebruikt kan worden om..."
Zoals operating systems en compilers? :)

[Reactie gewijzigd door Zoijar op 15 juni 2011 16:13]

Eerst in Duitsland nu in heel Europa. :(

nieuws: Duits verbod op hacktools zorgt voor uittocht

Ik vind dit een heel domme zet. Als je geen hacktools mag ontwikkelen kun je niet meer hacken is waarschijnlijk de gedachte.

Criminelen die willen hacken zullen deze in het geniep ontwikkelen als het wereld wijd verboden zou zijn. Waardoor je gene inzicht meer hebt in "hack tools".

Ik hoop dat Oost Europa ons hier tegen gaat behoeden, door tegen te stemmen.

Als je hacktools verbied betekend het ook dat security personeel deze ook niet meer mag gebruiken. Een van de zaken die nodig zijn om een security specialist te zijn is hands on ervaring met hoe hacks in zijn werk gaan. En inzicht in de tools die hier voor gebruikt worden.
Hacken is een eng woord...staat voor veel mensen gelijk aan anti dit en anti dat en politici die teveel naar Millennium hebben gekeken krijgen bibbers...eigenlijk zegt de politiek we weten niet wat hacken is, hebben ons laten informeren door bedrijven als FOX-IT andere commercieel belanghebbenden wie weet is zelfs Brein benaderd....geen hacktools...geen software piraterij, dit opent heel wat deuren voor allerlei smerige organisaties zoals Brein om hun commerciele belangen veilig te stellen.
Als echt het schrijven en niet het ge/misbruiken strafbaar wordt is dat een domper voor de innovatie..
Want stelen van wachtwoorden en illigaal onderscheppen van data is innovatie :?
Nee, de innovatie zou zijn als dat (stelen van wachtwoorden en illigaal onderscheppen van data) niet meer kon.

De voorgestelde wetgeving creëert alleen een schijnveiligheid, omdat deze tools nog steeds onverminderd ontwikkeld zullen worden. Door deze schijnveiligheid zal echter de echte innovatie (het veilig maken van systemen) afnemen. Via deze weg schaad het de innovatie wel degelijk.

Het valt mij op dat er de laatste tijd zoveel gehackt en gelekt wordt. Ik krijg het gevoel dat dit tegenwoordig nog erger is dan voorheen. Dat zou imho geen reden moeten zijn om het ontwikkelen van tools te verbieden, maar om bedrijven en instellingen meer verantwoordelijk te maken voor de beveiliging van hun data en ze daarmee meer incentive te geven eens een keer écht te innoveren.

[Reactie gewijzigd door Paul C op 15 juni 2011 15:33]

Dat zou imho geen reden moeten zijn om het ontwikkelen van tools te verbieden, maar om bedrijven en instellingen meer verantwoordelijk te maken voor de beveiliging van hun data en ze daarmee meer incentive te geven eens een keer écht te innoveren.
Ik lees de laatste tijd steeds regelmatiger dit (of een vergelijkbaar) argument op T.net. Vanuit moreel oogpunt is dit een zeer aantrekkelijk standpunt, namelijk, de klant moet er vanuit kunnen gaan dat er op fatsoenlijke wijze met zijn/haar gegevens wordt omgegaan. En als een bedrijf er alles aan doet om de beveiliging te optimaliseren zal dit geen problemen veroorzaken. Zeker, van grote (inter)nationale organisaties mag je ogenschijnlijk verwachten dat ze er zo veel mogelijk aan doen om misbruik te voorkomen, maar dit is tevens de kern van het probleem.

Want, "bedrijven en instellingen" zijn ooit begonnen als "klein bedrijf en kleine instelling", en in dat stadium is er gewoonweg geen kennis of middelen om de data op de best mogelijke manier te beveiligen, danwel te streven naar briljant innovatieve oplossingen die databeveiliging verbeteren. Ik neem aan dat eenieder begrijpt dat je niet vanaf de start een bedrijf kunt beginnen waarin je inzet op maximale beveiliging, maar juist op het runnen van je business zodat je kosten en baten in een mooie verhouding weet te krijgen. Natuurlijk, in theorie is het fijn als je er rekening mee houdt, maar om alles potdicht te timmeren terwijl je product/dienst nog aan verandering onderhevig is, is gewoon geld weggooien. Zeker voor het MKB is het bijna ondoenlijk om compleet bij te blijven bij de meest moderne beveiligingseisen en wordt er dus wel eens een concessie gedaan t.a.v. veiligheid. De voorgenoemde kern van het probleem is dat het haast ondoenlijk is om harde eisen te stellen wanneer een bedrijf een bepaalde beveiligingsstrategie moet hanteren.

Daarbij komt dat het verbieden van hacktools maken, gebruiken en verspreiden, en de bijbehorende straffen die daarbij horen, naast instrument ook als afschrikmiddel gebruikt (kunnen) worden. Dus we zijn zeker gebaat bij deze regelgeving, mits deze rekening houdt met de uitzonderingen die er moeten zijn voor het gebruiken, ontwikkelen en verspreiden van hack-tools, juist om de kwaadwillenden tegen te gaan.

Ten slotte, denk even aan de volgende situatie. Ik gaf laatst mijn paspoort af als onderpand om een auto tijdelijk te gebruiken. Deze werd in een kaartenbakje geplaatst onder de toonbank. Enigszins verbaasd vroeg ik of dat wel veilig genoeg was, iedereen die weet dat het kaartenbakje daar staat kan immers zo bij die paspoorten. Zegt die man: 'Luister, ik had ze eerst in een kluis, dat is super onhandig in gebruik want die moet steeds open en dicht, bovendien hebben ze die een keer gestolen. Toen overwoog ik een grotere kluis, maar als ze willen krijgen ze die ook wel weg. Dus nu staan ze hier en er is al tien jaar niets mee gebeurd". Je kunt je dus afvragen of sterk beveiligde plekken niet juist interessanter zijn voor kwaadwillenden en of sterke beveiliging de dagelijkse gang van zaken niet te veel hindert.

Dit neemt overigens niet weg dat bedrijven niet over veiligheid hoeven na te denken. Juist wel! Maar ik zie liever een weloverwogen keuze voor minder beveiliging dan een "wij zijn XYZ en moeten daarom de beste beveiliging" zoals sommige directeuren maar ook zeker (veiligheids)adviseurs graag roepen.

[Reactie gewijzigd door Smen op 15 juni 2011 16:13]

Je moet ook geen systeem (zoals een kluis) verplicht gaan stellen, maar gewoon bedrijven meer verantwoordelijk maken. Ze kunnen dan zelf hun beveiligingsniveau en -systeem kiezen. Neem bijvoorbeeld in de wet op dat bedrijven verplicht klanten moeten informeren over mogelijke datalekken.

Als een bedrijf een brief naar al zijn klanten moet sturen met de volgende strekking:
"Op basis van wet XYZ moeten wij u informeren dat uw persoonlijke informatie ABC die bij ons verwerkt wordt na aanleiding van een recente hack van ons systeem mogelijk ontvreemd is."
Dat zal er (afgezien van de kosten om dit uit te voeren) wel voor zorgen dat er meer prioriteit komt te liggen op het beveiligen van informatie.

Voor een MKB hoeft dit helemaal geen groot obstakel te zijn. Die hebben minder klanten en daarom minder te verliezen. Tevens is de data in een MKB overzichtelijker en dus met meer eenvoudige middelen te beveiligen.

Wetgeving is slechts een beperkt middel om symptoom bestrijding te doen. Het probleem (de over het algemeen slechte beveiliging) aanpakken is waarop we ons zouden moeten concentreren. Iets verbieden heeft gewoon meestal niet zoveel effect: we hebben drugs verboden, te hard rijden verboden, zwaar vuurwerk verboden, etc...
Mooie post met inhoudelijke argumenten waarvoor dank!

Het laks(er) omgaan met gegevesn van klanten (met welk excuus dan ook) dient mi gezien te worken in het kader van riskmanagement. Als je als klein bedrijf het risico wil lopen om minder geavanceerd/uptodate met beveiliging om te gaan dan wenselijk (om zodoende kosten te sparen of je focus te kunnen houden op andere belangrijke onderwerpen in je bedrijfsvoering) dan moet je wel weten dat dit een RISICO is en enkel met veel geluk een besparing betekent. Maw wanneer je het geluk hebt dat er niets voorvalt.

Wie (on)bewust een risico neemt door data onveilig te behandelne, moet nadien op de blaren (imagoschade, schadeclaims, omzetverlies, ...) zitten.

Even (on)bewust duiden:
  • Dat de bakker om de hoek dit niet weet in het kader van de realisatie van z'n website annex broodbesteldienst: Begrijpelijk dat de man dit niet kon voorzien, websites zijn immers helemaal z'n corebizz niet. Spijtig dat ie een onprofessionele partij koos bij de implementatie.
  • Dat het zwartwerkend studentenwebsite"bedrijfje", dat die bakkersbestelwebsite in mekaar knutselt, het niet weet: eveneens begrijpelijk...
  • maar elke andere "écht" professionele partij zou dit wel moeten weten. Ik wil daarbij nog in het midden laten of die kennis bij de opdrachtgever (vb pretpark laat webapp ontwikkelen) of enkel bij de ontwikkelaar (van die webapp) moet liggen.
Hoewel ik puur intuïtief niet mee eens ben dat alles alleen maar vanuit een risk-management kant benadert wordt, is dit in het bedrijfsleven wel de harde realiteit en zal er vaker naar de risicovolle kant geneigd dan naar de veilige kant. Simpel ook, want als een risico niet onderkent of goed ingeschat kan worden en niet bekend is wat de werkelijke kosten van de risk zijn, dan kan er ook geen budget voor vrij gemaakt worden. Het niet onderkennen van de nodige risks is wat jij hier omschrijft, maar risks worden ook onderschat.

Zelfs als risks goed ingeschat worden zijn deze vaak kleiner dan sociaal wenselijk is. Door de voorgestelde maatregel (bedrijven verplichten klanten in te lichten over mogelijk dataverlies) wordt het risk significant groter en dat zou veel bedrijven moeten stimuleren de zaakjes beter op orde te krijgen.

En nog even over die bakker:
Ook een (beetje slimme) bakker probeert in te schatten wat de risk is van het inhuren van een onervaren/niet-professioneel bedrijfje voor zijn website. Daarvoor hoeft hij IT niet zijn core-business te zijn.
De voorgestelde wetgeving creëert alleen een schijnveiligheid, omdat deze tools nog steeds onverminderd ontwikkeld zullen worden. Door deze schijnveiligheid zal echter de echte innovatie (het veilig maken van systemen) afnemen. Via deze weg schaad het de innovatie wel degelijk.

Het valt mij op dat er de laatste tijd zoveel gehackt en gelekt wordt. Ik krijg het gevoel dat dit tegenwoordig nog erger is dan voorheen. Dat zou imho geen reden moeten zijn om het ontwikkelen van tools te verbieden, maar om bedrijven en instellingen meer verantwoordelijk te maken voor de beveiliging van hun data en ze daarmee meer incentive te geven eens een keer écht te innoveren.
Schijn is het ook weer niet helemaal, en denk dat iedereen wel snapt dat dit niet het probleem zal oplossen, zou wel heel naïef zijn van de lidstaten. Maar draagt wel degelijk bij bij de strijd tegen kwaadwillende.

Maar nu kan iemand die zich bezig houd met ontwikkel van software voor botnetwerken en het doorverkoopt aan andere gewoon lekker ongestraft doorgaan, al is die wel degelijk een schakel in het probleem. Als de wet is aangepast dan is die persoon tijdje van de straat en zal niks ontwikkelen. Ze pakken dan niet alleen de gebruikers aan maar ook de mensen die de software schrijven.

Zelfs de doodstraf weerhield mensen niet om ernstige misdrijven te begaan, dus iedereen weet wel dat 2 jaar straf niet iedereen zal afschrikken maar wel een deel van de mensen die eerst helemaal geen risico liepen nu ineens minimaal 2 jaar aan hun broek kunnen krijgen zich twee keer bedenken voordat ze verder gaan met hacktools schrijven voor botnetwerken.

Ik zie dus wel degelijk voordelen bij deze wet en is zeker niet allemaal schijn. En denk dat niemand denkt dat dit geheel het probleem zal oplossen. ;)
maar om bedrijven en instellingen meer verantwoordelijk te maken voor de beveiliging van hun data
Misschien moeten de ontwikkelaars van legitieme tools ook wat verantwoordelijkheid nemen en zorgen dat ze niet misbruikt kunnen worden.
PVV-achtig? Eerder VVD.
Ik vind dit persoonlijk een erg slecht stuk (potentiële) wetgeving. Keyloggers en logging tools hebben legitieme doeleinden.
Inderdaad!
En er is ook niets voorzien voor educatieve doeleinden, hoe kan je nu leren om (bv.) een P2P applicatie te maken als je voor elke dataoverdracht toestemming zou moeten geven (anders kan je stellen dat het zonder jouw expliciete toestemming was, en jongens toch, dat is illegaal ja!)
En daarnaast moet je denken aan de educatieve waarde van het maken van een netwerklezers zoals airodump-ng om daar vervolgens tegen te kunnen beveiligen.

Want wat werkt nou beter, dan het schrijven van een zodanig programma zodat je zelf echt begrijpt wat de zwakke punten en dergelijke zijn, zodat je daar gebruik van kan maken in je beveiligingsapplicatie. In mijn ogen is dit een typisch voorbeeld van vroegtijdige regelgeving die, zoals pcmadman al zei, slechts dient voor schijnveiligheid.

[Reactie gewijzigd door Ircghost op 17 juni 2011 11:15]

Net als IDS, honeypot en proxy/caching systemen. Verder kan je prima 'hacken' (wat dus geowon cracken is) met telnet, of netcat. Zijn dat dan ook hacktools? En als je iemand vraagt zijn inloggegevens op papier te zetten, is dat papier dan een hacktool?
Ik snap het klagen over deze wetsvoorstel niet, er zijn een hoop wetten die hoewel ze geschreven zijn alleen gebruikt worden indien nodig.

Dit imo lijkt mij zo een wet!

Ik denk dat het hebben van een goede stok achter de deur voor als je iemand vangt die overduidelijk bezig is met het maken van deze krap kan nooit kwaad.

Want nu kan men open en bloot deze troep verkopen, deze wet maakt het in de EU iig een stuk moeilijker.

Of ben ik nu niet paranoia genoeg tegen over de wetgever en niet bang genoeg dat ze deze wetten gaan misbruiken.

Maar denk toch echt dat wetten met de tijd mee moeten gaan, en er zijn een hoop wetten die iig niet met de snelheid van het internet zijn mee gegaan
player-x:
Ik snap het klagen over deze wetsvoorstel niet
Omdat dit weer typisch een voorbeeld is van alle messen verbieden omdat er door kwaadwillenden ook mensen mee neergestoken kunnen worden. Alle medicatie verbieden omdat sommige mensen er (zelf)moord mee plegen. Alle glassnijders verbieden omdat er ook mee ingebroken kan worden :/

Sowieso is dit symboolpolitiek, sterker nog: beargumenteerbaar contraproductieve schijnwetgeving van mensen die (zoals gebruikelijk helaas) niet weten waar het over gaat en die denken het ei van Columbus gevonden te hebben om daarmee wel ff de madness van de dag (Anonymous, LulzSec) te gaan fixen.

Wat zijn "hacktools"?? Als je de veiligheid van bijv. een website of web-facing server wil doortesten heb je tools nodig waarmee portscans en penetratietesten kunnen worden gedaan, waarmee SQL-injection kan wordt uitgetest etc. Dat zijn precies de tools die hackers dus ook gebruiken.
Ofwel: goedwillende beveiligers hebben dit soort toepassingen keihard nodig als ze ook maar een poging willen wagen om de kwaadwillende hackers voor te blijven. Men gaat er dus volkomen aan voorbij dat "hacktools" en "security-test"-tools zo ongeveer hetzelfde ding zijn.

Hoe belachelijk dit soort wetgeving is toonde Geenstijl gisteren (onbedoeld) nog aan met een stappenplan om via Google niet-publieke/geheime info van websites boven water te krijgen. klik. Tja, daarmee kan Google dus tot de "hacktools" gerekend worden, ofwel: verbieden dan maar EU? 8)7

De voorbeelden:
* Software voor het 'stelen' van wachtwoorden illegaal? Dit soort software kan volkomen legitiem zijn, niet alleen voor het testen van security, maar ook bijvoorbeeld in een situatie waarin (master)passwords vergeten zijn of zijn zoekgeraakt.
* Software voor het 'beheren van botnets'? Waarin verschilt dit met software voor het beheren van een multi-systeem netwerk, renderfarm, distributed computing, cloud-computing?
Of wordt het pas strafbaar als de ontwikkelaar zijn illegaal-bedoelde tools lekker 1337 "P4$$w0rdH4xx0r" en "B0tN3tC0ntr0llz00rrr" noemt ofzo? En voor alle gemak meteen even zijn NAW gegevens in een "About"-boxje zet voor justitie. Wel zo herkenbaar :Z

Plus denk je nou echt dat een serieuze hacker zich hierdoor laat afschrikken? Hoe realistisch is het dat die figuren achter LulzSec en Anonymous sinds vandaag angstig bibberend achter hun computertjes denken "oh jee, oh jee, nu gaan we het krijgen"? Om te beginnen raakt deze wetgeving niets wat buiten de EU staat. Een beetje hacker voert zijn aanvallen niet vanaf z'n eigen machine uit. Daarnaast snapt een beetje hacker ook wat encryptie en sand-boxing is, zowel van zijn verbinding als van zijn gegevens. Dus zelfs als ze zijn machine te pakken krijgen dan moet de hacker een behoorlijke nul zijn wil justitie zonder meer incriminerende tools op zijn machine vinden nadat deze wetgeving live is.
De enigen die hier echt door geraakt worden zijn degenen die dit soort toepassingen voor legitieme doeleinden nodig hebben & ontwikkelen. Want ook die worden met dit soort wetgeving gecriminaliseerd.

[Reactie gewijzigd door Cheetah op 15 juni 2011 20:33]

Dus wat jij zegt we moeten maar geen wetgeving tegen trojaans en dergelijke moeten maken want het middel is erger dan de kwaal.
Plus denk je nou echt dat een serieuze hacker zich hierdoor laat afschrikken?
Nee denk het niet, maar ik denk ook meer dat dit tegen georganiseerde misdaad is bedoeld dan tegen hackers, hoewel ik zeker denk dat het daar ook tegen gebruikt zal worden.
De voorbeelden:
Ik denk niet dat men opzoek is naar mensen die dat er mee doen, maar meer zo als ik al zij als een stok achter de deur tegen criminelen!

* player-x vraagt zich af of Cheetah dat nog steeds denkt als zijn bank account leeg is geroofd of zijn WoW account is ge-hacked, maar heeft daar toch best wel zijn twijfels over.
ik vindt niet dat er een wetgeving moet komen..

in de tijd dat netbus/cDc uit kwam. wist niemand van te voren wat het was, maar waren zeker 2/3jaar van te voren al aan de gang.
op deze manier is het wel beter aan het licht gekomen men weet nu hoe het zit en werkt..

had je dat liever niet gehad dan? bedoel nog 5jaar door gaan tot dat er nieuws komt bij rlt4. is een tool gevonden die je computer kunt overnemen..

na mijn idee was het toen goed dat het uitgekomen was. toen begonnen av eindelijk hun werk beter te gaan doen..


het zelfde met gigabyte ,zij is opgepakt vanwegen dat ze een hele goede virus schrijver was/is. maakt virussen voor plezier en voor dat ze haar werk publiceren had ze het eerst naar alle av gestuurd...ik meen me te herrineren dat zij de eerst .net virus maakte..
deze mensen hebben we toch nodig om eigen producten beter te krijgen..

en als bedrijf geen gehoor geeft en users zijn de duppe, geef het vrij. moet je kijken hoe snel ze dan reageren.( voorbeeld twitter die pas na een maand eigenlijk beveiling gat van berichten zou dichten. het komt aan het licht en huppa 3dagen was het geregeld. was dat niet, waren users een maand vatbaar)
zullen mensen raar op kijken wat ik nu zeg..

maar hoe zit het met p2p/torrent/nieuwsgroepen tools...
deze worden vaak misbruikt valt deze dan onder hacktools?
(zo zou breinloos over denken)
Ach, er hoeft alleen een wisseling van de wacht te plaats vinden, om zo een wet op andere manier te gebruiken en zelfs stuk zwaarder, dan waar hij ooit is voor gemaakt.
Je hoeft alleen maar naar de geschiedenis te kijken en dan zie je dat regeringen absoluut niet stabiel zijn en dus absoluut geen veiligheid op lange termijn bieden.

Vandaar dat zulke "wetgeving" een gevaar is op de lange termijn.
Trouwens, er is al genoeg wetgeving om bovenstaande aan te pakken.
@bangkirai
Wellicht moet je je iets meer verdiepen in (de ontwikkelingen van) wetten. Het recht is onderhevig aan het legaliteitsbeginsel, waar tevens het specialiteitsbeginsel uit voortvloeit. Het legaliteitsbeginsel houd in dat niemand gestraft kan worden voor iets wat niet strafbaar gesteld is bij wet. Het specialiteitsbeginsel houd in dat een wet alleen gebruikt mag worden voor het daarvoor bestemde doel.

Een goede rechter daarbij neemt in acht met welk doel de wetgeving gemaakt is en past deze ook op de betreffende manier. Zo kan er door maatschappelijke veranderingen, technologische vernieuwingen maar ook onkunde ten tijde van de totstandkoming van de wet een nieuwe invulling gegeven worden aan een wet(sartikel).*

Ben overigens benieuwd naar de wetgeving die bovenstaande problemen reeds ingedekt hebben, want op dit moment is het nogal een loze kreet zonder enige onderbouwing

*nb: denk aan het Brief-, telefoon-, telegraafgeheim geregeld in art 13 van de Grondwet. Ten tijden van het totstandkomen van de grondwet kenden we nog geen e-mail. Echter logischerwijs zou e-mail hier ook onder moeten vallen en ondanks dat dit wettelijk niet verankerd is, is aan de hand van jurisprudentie af te leiden dat e-mail weldegelijk onder deze bepaling valt.
Je hebt gelijk dat jrusprudentie zo´n grote rol speelt dat het vaak onnodig is om nieuwe wetgeving te maken (ook al zie ik best dat je wat meer betoogt :)).

Deze wetgeving is echter niet nodig omdat veel van de gevolgen van het ontwikkelen en gebruiken van deze software al strafbaar is. De productie verbieden is hier niet proportioneel. Of in gewone mensen taal dient geen enkel doel. Wie die software voor legale toepassingen gebruikt moet nu ondergronds gaan, wat absurd is en wie het voor illegale toepassingen gebruikt was al strafbaar.

Het artikel is hopelijk ook geen copie van de brontekst want ´Het illegaal onderscheppen van data wordt een misdrijf.´ kan alleen maar zin hebben als a) illegaal onderscheppen strak gedefinieerd wordt en b) het voor die tijd een overtreding was. Illegaal houdt immers al tegen de wet in. Een van de vermakelijke zaken aan het strafbaar willen stellen aan illegaliteit waarbij men vreemdelingen in Nederland bedoelt. Altijd geestig om die debatten aan te horen.

Daarnaast worden lidstaten verplicht statistische gegevens over cybercrime te verzamelen en binnen acht uur feedback te geven bij wederzijdse urgente verzoeken om informatie over aanvallen. Lidstaten worden verplicht, maar zullen geen weet hebben van die cybercrime omdat vrijwel geen enkel bedrijf ruchtbaarheid geeft aan een inbraak. Dat men op Tweakers denkt dat het fors toegenomen is, komt door Anon en Lulzsec en andere groepen die het zelf publiek maken. Banken en andere bedrijven houden inbraken onder de pet om imagoschade te voorkomen. Ik meen dat alleen al Belgische banken voor honderden miljoenen schade hebben, maar nimmer aangifte doen. Dat zou in Europa dus vele miljarden alleen al bij banken zijn.

De maximumgevangenisstraf wordt op twee jaar gesteld, maar bij een aanval op verschillende systemen, zoals het instellen van een botnet, wordt die termijn met een jaar verhoogd. Als de pleger de aanval doet als lid van een georganiseerde groepering of als de aanval tot grote schade leidt, kan maximaal vijf jaar opgelegd worden.

Van deze zin kan niets klopppen. Als een individu iets doet kan hij toch niet gestraft worden omdat anderen hetzelfde doen wat het geval is bij een botnet. Als een marokkaan een tasje steelt krijgt hij toch geen jaar extra omdat een andere Marokkaan dat ook bleek te doen. Dat zou de PVV wel willen, maar dat overleeft echt het Europese hof niet.

Dat het tot grote schade leidt, kan ook maken dat je max. 5 jaar moet brommen. Hoe kan jij nu van te voren weten hoe groot de schade zal zijn? Wie gaat dat beoordelen?

Nee, zoals het hier staat is dit wetgeving voor de buhne en gaat er in de praktijk niets mee gedaan worden.
Volgens mij, zou jij je is beter in geschiedenis moeten verdiepen en vooral hoe stabiel regeringen en regeringsvormen zijn van een land.
Een regering of regeringsvorm beslist in feite, wat de betekenis is van allerlei definities, een minder vriendelijke regeringsvorm "verruimt" als dat hun uitkomt allerlei betekenissen, waar de oorspronkelijke opsteller nooit aangedacht heeft.

Wetten zijn niet 100 percent eenduidig en betekenissen van woorden veranderen over de tijd.

Je betoog is absoluut geldig in ons huidige bestel, maar alleen als die nauwelijks wijzigd, zouden er echter grote wijzigingen plaats vinden, dan is het maar de vraag, wat voor nieuwe invullingen ze aan bepaalde wetten geven.
Je ziet het tegenwoordig wel vaker, dat nieuwe wetten, stuk ruimer en algemener opgezet worden dan oudere wetgeving, vaak zit de wetgever dan uit te leggen:" ja maar, daarvoor en daarvoor gaat het niet worden toegepast hoor...", echter dat staat dus niet in de wetteksten en is dus puur afhankelijk van de op dat moment geldende "gevoel" een rechtsmacht.
" er zijn een hoop wetten die hoewel ze geschreven zijn alleen gebruikt worden indien nodig."

En er zijn er meer die gebruikt worden daar waar ze niet daadwerkelijk voor geschreven zijn, maar wel toegepast worden.

In de praktijk wordt een wet toegepast waar het kan, niet enkel waar die voor geschreven is.
Dus als we het verbieden verdwijnt het probleem vanzelf?

Wetgeving moet zinvol zijn en deze wet is ongeveer even zinvol als het strafbaar stellen van stelen maar ondertussen niemand er op wijzen dat ze hun huis en auto moeten afsluiten.

Maar het is weer hetzelfde liedje als met (bijna) alle regelgeving die Europa/Nederland op het gebied van het internet wil gaan voeren.
Het word bedacht door een aantal mensen die geen idee waar ze het over hebben.

Als er een stuk software niet bestaat waar wel behoefte aan is dan word dat vanzelf gemaakt, ook als dat niet volgens de letter van de wet niet mag.
k snap het klagen over deze wetsvoorstel niet, er zijn een hoop wetten die hoewel ze geschreven zijn alleen gebruikt worden indien nodig.

Dit imo lijkt mij zo een wet!
Juist in dit gebied is er constant misbruik van wetgeving door af te wijken van de intenties die de basis voor die wetgeving vormen: maw, als je het niet duidelijk regelt (en ik denk dat crack of hack tools een te vage omschrijving is) dan is het vrijwel zeker dat er voor andere doeleinden misbruik zal worden gemaakt door de op dat moment heersende politieke stroming.
En wat dat betreft leven we nu in een politiek landschap waar ik het niet bepaald geruststellend vind dat we nog met dit soort wetgeving komen.
En er zijn wetten, voetbalvandalen wet b.v. die werd al misbruikt terwijl de inkt van de wet nog amper droog was ...

voorbeelden:
http://www.bndestem.nl/re...tten-tegen-dealers%27.ece

http://zakelijk.infonu.nl...t-voetbalwedstrijden.html
lol - een zelf geschreven php forum kan al als hacktool gebruikt worden,.... je staat ervan versteld hoeveel mensen op verschillende sites hetzelfde wachtwoord / gebruikersnaam gebruiken. Laat staan dat het wachtwoord in sommige gevallen identiek zijn aan die van hun emailserver (hotmail of wat dan ook)...
bv system tools die alles loggen en bijhouden voor misbruiken..

tools die screenrecorden tijdens examens @ pc etc.


Die vallen hierdoor allemaal onder "hacktools"


edit:
Op unief/hogeschool wordt alles gelogd. Als je dus inlogt op een non https server kun je perfect in de log de passwords etc lezen

edit:
bedenk me net iets.. het is verboden om tools te maken..
Sourcecode @ githeb etc zijn dan nog steeds niet illegaal.. en ook niet beschrijven van hoe..

[Reactie gewijzigd door Icekiller2k6 op 15 juni 2011 15:38]

We hebben het hier over botnets, niet over monitoring software. Bovendien accepteer jij de algemene voorwaarden (waarin vast staat dat men het recht heeft om het verkeer te monitoren) wanneer je netwerk van de hogeschool/unief in gebruik neemt.

Bovendien bestaat een botnet uit trojan geinfecteerde computers waarvan de clients niet weten dat ze geinfecteerd zijn, dat is even wat anders dan een keylogger op de examenpc waarvan je weet dat deze aanwezig is.
Het voorstel is kennelijk het strafbaar stellen van
het schrijven van software die gebruikt kan worden om botnets te maken en wachtwoorden te stelen
Een brede interpretatie daarvan kan ongeveer elk willekeurig stuk software onder deze formulering laten vallen. Immers, een compiler kan gebruikt worden om tools te genereren voor het maken van botnets. Een woordproceessor kan gebruikt worden voor het schrijven van de source code van een botnet tool. Een OS kan botnet software laten draaien en valt dus ook onder deze kwalificatie.
Naast dit definitie probleem draagt dit voorstel niets bij aan het verminderen van het probleem. Het verminderd kennis over botnets want de toolmakers worden gedwongen om hun activiteiten bijzonder moeilijk opspoorbaar te maken. Onbekendheid met de technieken die aanvallers gebruiken, maakt het bijzonder lastig om een adequate verdediging in te bouwen in applicaties die aangevallen door botnets.
Oooh. Nice. In de praktijk betekent dit dat alle remote control software zojuist strafbaar is geworden. Wie klaagt Microsoft aan voor het bestaan van Remote Desktop?

* Aetje : *zucht*
Ik gebruik tijdens mijn werk vaak tools van nirsoft. dit om wachtwoorden van wifi netwerken of outlook (express) mailboxen te achterhalen omdat de persoon deze vergeten is en geen documentatie van heeft bijgehouden.

Ik gebruik deze verkregen informatie nooit op illegale wijze om bv andermans mails te gaan uitlezen.

Het ontwikkelen van beheerssoftware voor botnets kan ik nog tot op zekere hoogte begrijpen, maar welke tool is voor botnets te maken en welke voor distributed computing mogelijk te maken. Als er slechts een goedkeuring van de gebruiker nodig is, is dit wel vaak te krijgen omdat veel gebruikers toch maar op "volgende" en op "ok" tijdens een installatie van een of ander programma.

Dit is weer duidelijk een voorbeeld van een populistische beslissing zonder ook maar enige blijk van kennis ten gronde van de zaak.
Want stelen van wachtwoorden en illigaal onderscheppen van data is innovatie :?
Met zo'n opmerking moet je haast wel politicus zonder verstand van techniek zijn. Je trapt met open ogen in de valkuil die dit voorstel opwerpt en waar Vinzz je voor probeert te verhoeden.

Die hacktools worden sowieso al niet in de EU gemaakt, maar juist in landen waar dergelijke wetgeving totaal niet aan de orde is. Dezelfde landen waar tonnen spam en andere digitale crap vandaan komt. Inzichtloos wetsvoorstel naar mijn mening.

Voor de mensen die mij weer hopeloos gaan 'counteren' omdat ze niet begrijpen wat ik bedoel: ik zeg dus NIET dat het schrijven van hacktools een goede (of slechte) bezigheid is, noch dat ik het stelen van wachtwoorden en ongeoorloofd onderscheppen van data (telefoontaps anyone?) goedkeur.

Ik kan mij niet van de gedachte onttrekken dat dit een reactie is op de golf van gecompromitteerde systemen her en der, met dank aan onder andere de groepering LulzSec. Ik snap in die zin totaal niet wat het doel van dit wetsvoorstel is. Als ik het goed begrijp zijn alle gegevens die buitgemaakt zijn, verkregen via manieren waar geen tool voor nodig is. SQL Injection is nog steeds handmatig prima te bewerkstelligen bijvoorbeeld.

Scriptkiddies maken gebruik van tools. Die duizenden scriptkiddies konden de afgelopen jaren Sony/pron.com/PSN/Senate.gov/etc. niet hacken (ik geloof niet dat er geen enkele scriptkiddie is geweest die het geprobeerd heeft). Toch is er iemand zo vernuftig geweest om deze systemen binnen te dringen. Ik denk dat je daar inzicht en kennis voor nodig hebt, en dat heeft een hacktool niet.

Ik vraag me af welke netwerk-analysetools en anderssoortige handige applicaties dankzij dit wetsvoorstel de illegaliteit in gedrukt gaan worden.
Er is echter altijd nog wel een redelijke nuance aan te brengen.
Ik kan volledig legitiem met een honkbalknuppel een partijtje spelen op het veld, maar zodra ik iemand zijn schedel er mee inslaat is het ook strafbaar.
[...] zoals het strafbaar stellen van ongeoorloofde toegang tot en blokkade van systemen en datastromen, zijn ook in de nieuwe voorstellen opgenomen.
Het gebruik is dus wel degelijk aan bandel te leggen / strafbaar te stellen met deze tekst.
Vergeet niet, het is 'nog maar' een priciepe-akkoord en nog geen wet!
Het Europees Parlement moet zich nog wel over de voorstellen uitspreken.
Er is echter altijd nog wel een redelijke nuance aan te brengen.
Ik kan volledig legitiem met een honkbalknuppel een partijtje spelen op het veld, maar zodra ik iemand zijn schedel er mee inslaat is het ook strafbaar.
Maar wat hier dus wordt geroepen is, maak het fabriceren van honkbalknuppels strafbaar. Met een server-stress-test-tool kan ik volledig legitiem mijn software testen, maar zodra iemand het als DDOS tool gebruikt is het strafbaar. Waarom dan het maken van zulke tools strafbaar stellen?
Omdat je dan iemand die een DDOS-tool gebruikt om netwerken plat te leggen juridisch kunt aanpakken.

Vergelijk het maar met motorvoertuigen die niet toegestaan zijn in het verkeer. Er staat je niets in de weg om op je eigen grasveld er mee te gaan scheuren maar zodra je de openbare weg opgaat, krijg je een boete.
Omdat je dan iemand die een DDOS-tool gebruikt om netwerken plat te leggen juridisch kunt aanpakken.
Dat kan nu dus ook al! Heb je het nieuws niet gevolgd de afgelopen tijd? Er zijn een aantal DDOS-ers opgepakt. Iemand die een tool gebruikt om te hacken kan al lang gestraft worden; maar nu willen ze mensen die een tool maken ook straffen.

Mijn mening is dat je zo veel mogelijk de daad moet bestraffen en niet allerlei dingen bij voorbaat moet verbieden -- dingen die vaak ook een legitiem nut hebben.
Vergelijk het maar met motorvoertuigen die niet toegestaan zijn in het verkeer. Er staat je niets in de weg om op je eigen grasveld er mee te gaan scheuren maar zodra je de openbare weg opgaat, krijg je een boete.
Dit voorbeeld is wederom het bestraffen van de daad -- het rijden op de weg -- wat ze hier willen is het fabriceren/bezit van die voertuigen verbieden. Waar het nog het dichts bij in de buurt komt is vuurwapens. Software die gebruikt kan worden om te hacken is echter zo breed, dat het bijna zoiets is als een verbod op objecten die mogelijk letsel kunnen veroorzaken.
Je kunt je wel afvragen wat in dit geval dan de openbare weg is. Mag een software ontwikkelaar zoiets in elkaar zitten en het vervolgens verkopen aan diegenen die bovengenoemde tool goed kunnen gebruiken, of iemand die zelfs gewoon voor de lol iets in elkaar frutselt en dit als freeware beschikbaar stelt? Het is dan namelijk wel voor het grote publiek beschikbaar en volgens jouw redenering dus strafbaar.
met een beetje ruime interpretatie (daar houden overheden nogal van) kan het schrijven van een bootloader of jailbreak/root applicatie nu dus strafbaar worden, dus in die zin heb je gelijk
Precies. Firmware wordt dan dus ook verboden. En drivers. En het toetsenbord, om dat er letters mee geregistreerd kunnen worden.
Dat niet alleen; hoe kun je met zulke wetgeving nog testtools als Metasploit of Backtrack maken? Die heb je écht nodig, want de criminelen trekken zich hier natuurlijk niets van aan en je zult je systemen toch actief moeten blijven testen (anders doet 'men' het voor je).
Een stap in de goede richting, al is het alleen maar omdat dergelijke wetgeving op dit moment nog ontbreekt.

Al kun je je vraagtekens zetten bij de straffen, die met een jaar nogal licht genoemd kunnen worden. Zeker omdat je het voorarrest van de celstraf af mag trekken. Gezien de complexiteit van dit soort zaken kan het maar zo voorkomen dat de tijd tussen arrestatie en rechterlijke uitspraak gelijk loopt aan de verkregen celstraf.

Dat is nog zonder vrijlating wegens goed gedrag en andere verzachtende omstandigheden, natuurlijk... |:(
Hoevaak hebben politici de leus 'minder regels' niet geuit? Loze woorden, want zelden wordt het argument daadwerkelijk ingezet om een voorstel te bestrijden waarvan de inhoud desondanks welgevallig is. Begrijpelijk, maar des te vreemder vind ik de tegengestelde opmerking: voor regelgeving pleiten omdat deze ontbreekt. Dat suggereert dat wetten maken een doel op zich is.

Verder schets je nogal een karikatuur, naar mijn idee. Drie jaar celstraf voor het beschikbaar stellen van software om botnets te maken is ten eerste meer dan één jaar celstraf en ten tweede al vrij fors in mijn optiek. Het artikel spreekt overigens van een minimumstraf, maar daar is geen sprake van. Minimumstraffen zijn in veel lidstaten niet eens verenigbaar met het strafrecht. De Raad stelt een maximumstraf voor die in het algemene geval ten minste twee jaar moet zijn.

Ten tweede is het allerminst de norm om verdachten van arrestatie tot eventuele veroordeling vast te zetten. Meestal mag men het proces in vrijheid afwachten. Mocht het tot een celstraf komen, dan wordt het voorarrest inderdaad verrekend. Beide lijken mij heel redelijke consequenties van het idee dat straffen enkel door de rechtelijke macht kunnen worden opgelegd, hetgeen, net als het in beschouwing nemen van verzachtende omstandigheden, uiteindelijk voortvloeit uit het recht op een eerlijk proces, al botsten ze natuurlijk met het aan populariteit winnende idee dat redelijkheid, nuance en zorgvuldigheid louter obstakels zijn.
Zoals hierboven ook al eens vermeld is dit eigenlijk meer nadelig. Neem nu bv pwn2own . Deze word dan illegaal. Aangezien hier juist code word gebruikt waar mogelijk botnets mee gemaakt kan worden. Toch is dit juist een positief evenement. Het helpt voor betere beveiliging.

In principe kan je dit als broodroof voor security experts zien. aangezien zij volgens deze wetgeving niet meer legaal kunnen werken. Ze moeten effectief gewoon het misbruik aan banden leggen en niet de ontwikkeling.
Opsporingsinstanties mogen natuurlijk wel dingen in bezit hebben die wij niet mogen hebben he? Om het op te sporen moet je weten wat het is.

[Reactie gewijzigd door falconhunter op 15 juni 2011 17:04]

beveiligings bedrijven zijn geen opsporingsinstanties

Dat zijn gewoon bedrijven met kennis van (IT) beveiliging en die gebruiken juist dit soort tools om de beveiliging te testen.

Ik gebruik zelf voor mijn werk veel wireshark. Hoe wil ik anders erachter komen wat die servers tegen elkaar het zeggen zijn (middleware)? |:( |:( 8)7
Je weet toch dat de tools nog steeds geschreven worden..

''t zijn enkel legitieme bedrijven die hier nadeel aan hebben (zoals admintools/bedrijven die security testen doen etc)
Dus wireshark wordt verboden?
Aangezien je dat kan gebruiken voor het stelen van paswoorden.

Edit: en wat dan met lnx4n6 distributie dat ontwikkeld is door de Belgische FCCU?
Uiteindelijk zijn die tools ook omwikkeld om PC's en netwerken te hacken.

[Reactie gewijzigd door IStealYourGun op 15 juni 2011 15:53]

Nee zo moet je niet denken, wireshark kan gebruikt worden voor legitiem gebruik, is ook het voornaamste doel.

Ik denk dat je het best kan vergelijken met wapens. Een aardappelschilmesje is niet verboden, maar een jachtmes wel, omdat je een jachtmes niet normaal kunt gebruiken.
Maar in het princiepe akkoord wordt er geen verschil gemaakt tussen legitiem gebruik en niet legitiem gebruik. Het punt is dat wanneer je software probeert te maken of te gebruiken voor legitieme doeleinden, deze ook gebruikt kunnen worden voor niet legitieme doeleinden en zal de ontwikkelaar van dit software pakket vervolgd kunnen worden indien zijn (legitieme) software wordt misbruikt. Dit zal er voor zorgen dat ontwikkelaars stoppen met het ontwikkelen van software

Het klinkt allemaal goed in de oren van de diplomaten, maar het zorgt er alleen maar voor dat de (slechte) beveiliging van websites alleen maar slechter wordt.

OffTopic: Dat je een jachtmes niet normaal kan gebruiken is onzin, je kan er altijd appels mee door 2en snijden. Daarnaast kan het hebben van een aardappelmesje in je zak erook voor zorgen dat je het mes verliest / wordt gearresteerd.

[Reactie gewijzigd door Hakulaku op 15 juni 2011 15:39]

Je kunt een jachtmes toch normaal gebruiken voor de jacht? Een jachtmes wordt toch ook niet gemaakt speciaal voor criminele doeleinden?

Ik ben het wel eens met IStealYourGun, dit zal leiden tot dubieus gedoe over programma's die mogelijk zouden kunnen worden gebruikt voor crimineel gedrag.
Hij bedoelt het principe, niet per see het 'object'.
(in dit geval een jachtmes)

[Reactie gewijzigd door Webmail op 15 juni 2011 18:48]

Denk eerder aan; metasploid, en havij

tools waarmee een ontwikkelaar zijn systeem kan testen of deze wel veilig is, maar een scriptkiddy kan 't ook misbruiken... tjah waar ligt de grens?? en wie bepaald wat wel/niet mag?
precies mijn gedachten, wederom een erg krom stukje regelgeving gemaakt door mensen die er de ballen verstand van hebben... Jammer
Maar daar begint het juist. Software zoals L0phtCrack, Metasploit, havij kan je als it'er goed gebruiken om je omgeving te testen.

Lijkt me logischer dat ze het gebruik aan banden zouden leggen.
Dus wireshark wordt verboden?
Dat is al het geval in Duitsland. Idem voor tcpdump en andere packetsniffers.
http://de.wikipedia.org/w...Rechtslage_in_Deutschland

Het met opzet afluisteren van een vreemde funk-verbinding is verboden zolang het door de bezitter van deze verbinding niet toegestaan is. Ongewenst afluisteren is schijnbaar toegestaan volgens de Duitse wet, maar het opslaan, doorsturen of gebruiken van dergelijke ontvangen gegevens is wel strafbaar.

Kortom, wat je zegt klopt niet.
Volgens mij denken die mensen van de Tweede kamer bij het woord hacken al gelijk aan mensen die in de kelder van hun moeder wonen met allerlei illegale bezigheden. Daarnaast dacht ik een week geleden een bericht te hebben gelezen dat ze hackers in dienst wilden nemen (nieuws: CDA: overheid moet wellicht hackers in dienst nemen) Hoe komen zij dan aan hun tools?
Ze heben zeker ook nog nooit gehoord van bedrijfen als FOX-IT?
Volgens mij denken die mensen van de Tweede kamer
Hopelijk herinner jij (en iedereen die dit leest) je dat bij de volgende tweede kamer verkiezingen. Iedereen klaagt steen en been maar blijft wel steeds op dezelfde partijtjes stemmen; dan krijg je waar je om vraagt.
[...]


Hopelijk herinner jij (en iedereen die dit leest) je dat bij de volgende tweede kamer verkiezingen. Iedereen klaagt steen en been maar blijft wel steeds op dezelfde partijtjes stemmen; dan krijg je waar je om vraagt.
De reden daarvoor is heel simpel: Het schrappen van de hypotheekrenteaftrek zien mensen aan het einde van de maand op hun bankafschrift. Vage zaken zoals privacy, internetveiligheid en verbieden van hacktools zien mensen pas als het mis gaat.
Ik denk dat ze het hebben over keyloggers, dat soort spul. Een white hat hacker heeft dat gewoon niet nodig, want dit word alleen gebruikt om data van iemand anders te jatten.
Laat fox-it nou net een van de bedrijven zijn die ik maar al te graag eens grondig tegen het licht gezien zie worden.

De directeur daar schuwt illegale zaken niet in zijn strijd tegen wat hij onwettig acht, zelfs niet als hij daarvoor zelf in samenwerking met de overheden te wet zou moeten overtreden, althans dat is wat hij verkondigd op allerlei lectures.
Doe gelijk een verbod op inbraak, autodiefstal, copieren etc, dan zijn deze problemen ook opgelost...
Idd, zeer kromme regeling.

Met een hamer kan ik ook 'ongeoorloofde toegang' krijgen tot een auto/huis. Moet die nu ook verboden worden?
als die hamer specifiek ontworpen is om mee in te breken: ja dan kan die zondermeer verboden worden.

Het gaat hier over software die als specifiek doel heeft om botnets op te zetten of illegaal informatie te verzamelen van een gebruiker zijn systeem.

Het is niet perfect, maar misschien dat er iets zinnigs uitkomt. De wildgroei aan aanvallen en digitale inbraken moeten in ieder geval aangepakt worden. Ik ga er ook vanuit dat dergelijke wetgeving beslist aangepast zal gaan worden.
Ik was laatst mijn sleutel vergeten en toen kwam zo'n kerel van de sleutel dienst en die had een hele boel tools om mijn deur open te breken. Ben ik blij dat die tools niet verboden zijn.
Ik was laatst mijn sleutel vergeten en toen kwam zo'n kerel van de sleutel dienst en die had een hele boel tools om mijn deur open te breken. Ben ik blij dat die tools niet verboden zijn.
Met een maatje 45 veiligheidsschoen en genoeg brute kracht was het je waarschijnlijk ook gelukt. Vanaf volgende week iedereen verplicht blootsvoets over straat?
Ik was laatst mijn sleutel vergeten en toen kwam zo'n kerel van de sleutel dienst en die had een hele boel tools om mijn deur open te breken. Ben ik blij dat die tools niet verboden zijn.
Veel daarvan zijn wel verboden maar de mensen die je deur kwamen open maken zijn geregistreerde gebruikers. Geen fraaie analogie dus.
Helaas is veel van die software oorspronkelijk geschreven voor systeembeheerders, net als dat hamers meestal voor timmermannen gemaakt zijn.

Onderscheid maken tussen software die bedoeld is als tool voor een sysadmin of software bedoeld voor een hacker kan erg moeilijk zijn.
kan moeilijk zijn, maar dat wil niet zeggen dat het onmogelijk is.

In ieder geval was het hamerstukje vooral bedoeld om aan te tonen dat dat een vrij onzinnige vergelijking is ;)

Ik vraag me trouwens af of veel van die software die tegenwoordig op de "markt" is, nog echt door systeembeheerders wordt geschreven. Ik vermoed zelf dat het veelal afkomstig is van wat securitymensen die proof of concepts ermee hebben en natuurlijk een lading hoedjes, van wit, grijs tot zwart.
In het geval van inbreek tools worden inderdaad wel eens mensen aangehouden die in het bezit zijn hiervan.

Ik zou er toch ook niet aan moeten denken dat wij hier op het werk geen hacktools zouden mogen vervaardigen/gebruiken om de veiligheid van onze eigen site te testen (ik werk bij een bank)
als die hamer specifiek ontworpen is om mee in te breken: ja dan kan die zondermeer verboden worden.
Je hebt niet en speciaal voor inbraak ontworpen hamer nodig om in te breken, een gewone hamer, koevoet etc volstaat.

Het probleem me deze wetgeving is juist dat het algemeen gebruikte netwerk tools verbiedt die "gebruikt kan worden" om digitaal in te breken.
zelfs dan is het nog belangrijk om in bepaalde omgevingen die 'hamer' wel te mogen maken zodat je kan testen wat voor soort beveiligingen werken tegen dat soort 'hamers'.
Het gaat hier over software die als specifiek doel heeft om botnets op te zetten of illegaal informatie te verzamelen van een gebruiker zijn systeem.
Dan blijven we dus gewoon de software gebruiken bedoeld om informatie te verzamelen. De legale software kunnen we uiteraard ook (blijven) gebruiken voor illegale doelen. Ja, zo weet ik er nog wel een paar. Overheden verzamelen zelf ook als een bezetene.

Overheden zijn erg sterk in het verbieden van zaken die zij niet in de hand hebben of die hen niet bevallen. Het komt me niet uit dus ik verbied het maar.
Je kunt niet zomaar iedere vergelijking maken (software is complex)... maar laat ik toch een poging wagen om de juiste vergelijking te maken.

Het is meer alsof je een robot bouwt met een hamer die automatisch een huis binnenbreekt. Dát wordt dus illegaal. De bouwer van die robot kan nu ook een probleem krijgen als die robot specifiek is gebouwd om huizen binnen te breken.
Het is meer alsof je een robot bouwt met een hamer die automatisch een huis binnenbreekt. Dát wordt dus illegaal. De bouwer van die robot kan nu ook een probleem krijgen als die robot specifiek is gebouwd om huizen binnen te breken.
... en als ik nu een robot bouw die gemaakt is om een rijtje spijkers in een plank hout te tikken, en die 'toevallig' voor het raam van een huis parkeer? Ben ik dan als robotbouwer ineens de boef?

Een botnet is niks anders dan een platform voor distributed computing (een BOINC-client is ook deel van een botnet, al dan niet vreedzaam), het grote probleem is programma's die zonder medeweten van de gebruiker de machine deel maken van een botnet, en vervolgens dat botnet gebruiken om andere systemen of websites te compromisen.

Botnets zelf zijn het probleem niet. Als dat wel zo was, dan kunnen alle clusters ook inpakken, dat zijn namelijk in beginsel ook botnets.
idd, elke systeembeheerder die een pakket heeft waarmee hij remote systemen kan beheren, beheert in feite een botnet.

Elke machine die windows update op automatisch heeft staan is onderdeel van een botnet, beheerd door Microsoft. Elk stukje software met een auto-update functie maakt en computer onderdeel van een botnet, zelfs je virusscanner.

Je zou zelfs kunnen stellen dat elke chat-client, gsm of zelfs tv onderdeel is van een botnet. Die doen nl wat hem extern wordt opgedragen. Behalve dan dat ze dat doen binnen bepaalde parameters en het moeilijk is om ze daarbuiten iets te laten doen.

De grap is dat botnet geen technisch of afgebakend iets is, maar slechts een losse term in de media. Een groep computers die wacht op een signaal van buitenaf om iets slechts te doen? -> botnet.
Ja maar als jij een beveiligingsbedrijf hebt waar jij ramen/deuren test op inbraakpreventie dan heb jij een goed doel met die robot. Dat zou niet illegaal moeten zijn want het heeft een goede intentie.
Het is meer alsof je een robot bouwt met een hamer die automatisch een huis binnenbreekt. Dát wordt dus illegaal. De bouwer van die robot kan nu ook een probleem krijgen als die robot specifiek is gebouwd om huizen binnen te breken.
Dan zou de wetgeving geformuleerd kunnen worden als "software die specifiek geschreven is om..." ipv "software die gebruikt kan worden om botnets te maken en wachtwoorden te stelen" - wat gaan ze doen, C++ verbieden?
Doe gelijk een verbod op inbraak, autodiefstal, copieren etc, dan zijn deze problemen ook opgelost...
Eerder een verbod op hamers en kopieerapparaten. Beide zijn hulpmiddelen (tools) die net zogoed gebruikt worden voor een vreedzaam doel. Of ik nu een spijker in het hout sla of een ruit stuksla om in te breken.

Met hacktools is het hetzelfde verhaal: Elk hulpmiddel wat een systeembeheerder gebruikt om zijn eigen systemen op veiligheid te testen kan ook gebruikt worden om andermans systemen (onvrijwillig) op die veiligheid te testen, ofwel erop in te breken.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True