Europees parlement wil hack-software verbieden

Het Europees Parlement wil het verspreiden van software die is bedoeld om te hacken verbieden. Een richtlijn daarvoor moet later dit jaar worden aangenomen. Op het plegen van cyberaanvallen moet jaren gevangenisstraf komen te staan.

Hoewel het bezit van de tools op zich niet verboden wordt, zal het gebruik of verspreiden van tools bedoeld voor hacken wel een strafbaar feit zijn, blijkt uit de tekst (Nederlandstalige versie) van het voorstel. Het gebruiken van dergelijke tools voor het testen van de beveiliging zal wel legaal blijven. Op het uitvoeren van hacks en cyberaanvallen komt een gevangenisstraf van twee jaar te staan als de gevolgen niet heel ernstig zijn, tot ten minste vijf jaar als deze als lid van een criminele organisatie uitgevoerd worden. Als de hack als een 'onbeduidend geval' te beschouwen is, geen schade veroorzaakt dus, moet geen straf opgelegd worden, waarmee onder andere ethische hackers beschermd worden. Het voorstel werd aangenomen met vijftig stemmen voor en een tegen.

In het voorstel staat ook dat bedrijven voortaan verplicht worden om privacygevoelige gegevens goed te beveiligen. Lidstaten van de Europese Unie moeten het mogelijk maken dat consumenten bedrijven aanklagen als zij slordig zijn omgesprongen met persoonlijke gegevens. Eerder werden al strengere privacyregels gepresenteerd. Die verordening is nog niet aangenomen.

Dat betekent niet dat het voorstel op deze wijze wordt aangenomen. Daarvoor moet eerst een deal worden gesloten met de raad van ministers. Het voorstel toont echter wel aan in welke richting het Europees Parlement denkt en de kans is groot dat de richtlijn binnen enkele jaren in deze of licht gewijzigde vorm kracht van wet krijgt. Als de richtlijn wordt aangenomen, krijgt politiek Den Haag over het algemeen enkele jaren om de details van de richtlijn in de Nederlandse wet te krijgen.

IT-banen

Reacties (197)

arjankoole 29 maart 2012 12:03

Ze zijn gek. Hoe moet ik dan in godsnaam security en penetratie tests uitvoeren? Dat doe ik juist door te hacken, met de tools die ontwikkeld zijn om te hacken. Ik doe het alleen in opdracht van de eigenaar van dat systeem (en tegen een riante betaling).

Dooievriend @arjankoole • 29 maart 2012 12:11

Ik denk dat het idee erachter is dat je extra mogelijkheden hebt om hackers aan te pakken: als je bijvoorbeeld niet kunt bewijzen dat ze een site gehackt hebben, kun je meestal makkelijker bewijzen dat ze hacksoftware gebruikt hebben. Op deze manier zullen er dus minder hackers door de mazen van het net glippen. De bedoeling is waarschijnlijk niet om iedereen die eens een tooltje test op zijn eigen website te vervolgen.

Je moet dit wetsvoorstel dan ook zien in het kader van het verbeteren van de strijd tegen internetcriminaliteit, een steeds groter probleem. Persoonlijk denk ik echter dat bijvoorbeeld een Europese "hacktoolvergunning", analoog aan een wapenvergunning, een betere oplossing zou zijn, waarbij gedocumenteerd wordt wie welke tools mag gebruiken. Dan kun je criminelen (die geen vergunning zouden krijgen) wel straffen op het gebruik van hacksoftware, maar professionelen zoals jij kunnen dan legaal hun werk doen.

terror538 @Dooievriend • 29 maart 2012 12:19

Dat zal zeker waar zijn, alleen heeft de geschiedenis wel aangetoond dat dit soort wettelijke stokken die voor een veel breder gebruik toepasbaar zijn na verloop van tijd vaak buiten de intentie van de wet gebruikt zullen worden.
Daarnaast is het een Europese richtlijn, die ieder land daarna weer moet implementeren, dat betekend dat die intentie (in bewoording) makkelijk verloren kan gaan in de vertaalslagen die gemaakt worden door de landen om de wet in te voeren.

De intentie van de wet zoals ze bedoeld is en het gebruik ervan na enkele jaren ligt vaak ver van elkaar af helaas, iets wat ook logisch is omdat de bedenkers van een wet of richtlijn niet de uitvoerders zijn. De uitvoerders nemen gewoon simpelweg niet 1 op 1 de intentie over, sterker nog, die doen een interpretatie van de wet. Jij interpreteert de wet nu als een middel om daadwerkelijke criminaliteit te stoppen door het dichten van mazen, een ander kan die wet juist totaal anders interpreteren.

Durandal @Dooievriend • 29 maart 2012 14:35

Als je bezit van hacktools (software) in Europa wilt weren moet je ook alle sites buiten europa waar dat spul of sources te downloaden zijn gaan filteren.
Wil je daar naar toe?

acemoo @arjankoole • 29 maart 2012 12:05

Ik denk dat ze je niet gaan aan klagen als je iemands systeem gaat testen in opdracht van de eigenaar van het systeem.

terror538 @acemoo • 29 maart 2012 12:12

Echter wordt het delen van tools die gemaakt zijn voor dit doeleinde wel in 1 klap verboden.
Mogelijk zelfs het beschrijven van de werking van de tools (diepgaand technisch) en het publiceren van exploits (wat in mijn ogen alleen ethisch te verantwoorden is als je de maker van de software een redelijke periode geeft te patchen).

Ik zie hierin een zwarte dag voor de veiligheid van computernetwerken, iedereen die dit soort tools maakt met goede bedoelingen zal hierdoor de criminaliteit in geduwd worden en daardoor mogelijk stoppen met hun werk, lekken worden niet meer gepubliceerd en de motivatie voor software bouwers deze te patchen kan daardoor afnemen.
Mensen met een slechte intentie daarintegen zullen door gaan met hun werk, darknets zijn niet voor niets uitgevonden.

Voor mij is dit een duidelijke case van security through obscurity, haal de kennis en tools weg bij het normale publiek waardoor de gaten niet meer zichtbaar zijn, wat dus niet wegneemt dat ze er zullen blijven zijn.

jGS @terror538 • 29 maart 2012 12:27

Inderdaad, helemaal mee eens!

Het verbieden is zinloos, het maakt het net voor penetration testers 100x moeilijker om aan goede tools te komen en informatie in te winnen.

Bovendien is het helemal geen oplossing voor het echte probleem, dat zijn de security lekken, niet de tools!!!

Durandal @jGS • 29 maart 2012 14:31

Inderdaad, want criminelen storen zich niet aan een verbod.
Deze wet maakt het moeilijker systemen te beveiligen dus krijgen hackers het makkelijker.

Dat is toch precies wat ze niet wilden?

Thalaron @Durandal • 29 maart 2012 18:09

En minder netwerken die getest worden, ivm oplopende kosten van de testers die 4 keer zoveel gaan vragen ivm regelgeving etc.

.oisyn Moderator Devschuur® @acemoo • 29 maart 2012 12:09

Die nuancering lees ik nergens. Bovendien, hoe ga je aan die tools komen als het verspreiden ervan illegaal wordt (goed, die zijn dan natuurlijk nog steeds te vinden, maar even los daarvan)? Je kunt ze niet meer legaal verspreiden, want de verspreider kan niet controleren of de gebruiker ze goedaardig of kwaadaardig gebruikt.

Anoniem: 449482 @.oisyn • 29 maart 2012 12:32

Heb je het voorstel ook daadwerkelijk bekeken?

(10) This Directive does not intend to impose criminal liability where the offences are committed without criminal intent, such as for testing in accordance with law or protection of information systems, or where the withholding of an authorisation for access to a system constitutes an abuse of rights by itself.

Given the possibility to use programmes in dual forms, i.e. for legal as well as criminal purposes, the possession of a tool should as such not be punishable. In addition, the purpose of the actions described in this article should only be punishable when it is clearly aimed at committing an offence.

Dus ik voorzie weinig problemen om door te blijven gaan met het hacken, in de zin van beveiliging testen.

Bron: De eerste link in het Tweakers artikel.

.oisyn Moderator Devschuur® @Anoniem: 449482 • 29 maart 2012 13:08

Heb je het voorstel ook daadwerkelijk bekeken?

En heb jij mijn post ook daadwerkelijk gelezen, en nagedacht over de implicaties? Ze willen het gebruik, maar ook de verspreiding gaan verbieden. De uitzondering die je hier quotet gaat alleen over het gebruik. Maar hoe geraak je aan de tools als verspreiding al verboden is? Deze hele uitzondering is daarmee dan ook een farce. De enige manier om in aanmerking te komen van deze uitzondering is als je zelf de tools hebt geschreven. Uit informatie die je zelf reverse-engineered hebt, want het verspreiden van informatie erover is ook verboden.

[Reactie gewijzigd door .oisyn op 26 juli 2024 04:59]

10 feet high @.oisyn • 29 maart 2012 13:47

Dan lees het nog maar eens opnieuw. Zonder criminele intentie is dat helemaal niet verboden. Je moet geen problemen gaan zoeken waar er geen zijn.

Zoijar @10 feet high • 29 maart 2012 14:59

Waarmee het mijns inziens een vrij zinloze wet is. Elke tool kan gebruikt worden om eigen systemen te testen op beveiliging, dus geen enkele tool heeft zuiver criminele intentie; i.e., alle tools mogen vrij gemaakt en verspreid worden. Bezit is al niet strafbaar gesteld om dezelfde rede.

Jij doelde denk ik op dit stukje, toch?

Member States shall take the necessary measures to ensure that the production, sale, procurement for use, import, distribution or otherwise making available of the following is punishable as a criminal offence when committed intentionally and without right for the clear purpose of committing any of the offences referred to in Articles 3 to 6:

Justification:
Given the possibility to use programmes in dual forms, i.e. for legal as well as criminal purposes, the possession of a tool should as such not be punishable. In addition, the purpose of the actions described in this article should only be punishable when it is clearly aimed at committing an offence.

Maar een tool als bijvoorbeeld LOIC, dat veel in het nieuws is geweest, "is an open source network stress testing tool" en heeft dus niet bij voorbaat een purpose of committing an offence.

Welke tools denken ze hier dan mee aan te pakken? Ik snap het doel niet helemaal. De aanvallen zelf zijn namelijk al strafbaar, en de tools worden alleen strafbaar op het moment dat er daadwerkelijk mee wordt aangevallen.

Ze stellen ook dat 'tools' heel breed opgevat moet worden.

Tools refer to, for example, malicious software, including botnets, used to commit cyber attacks. These tools represent only a few among many possibilities of attacking information systems.

Hoe is een botnet een tool? Snap ik ook niet. Bovendien, voor zover ik weet is het gebruik van virussen en worms om computers te infecteren ook al strafbaar, toch?

Er staan een aantal vaagheden in die ik niet helemaal begrijp. (ligt wellicht aan mij)

Ook zoals dit, wat er weer veel op lijkt dat ISPs liable zouden kunnen worden in bepaalde gevallen:

This includes, for example, support by service providers to shut down illegal systems or functions.

[...]

Notwithstanding voluntary cooperation between legal persons such as service providers and producers on the one hand and law enforcement bodies and judicial authorities on the other, Member States should define the cases in which the failure to act could constitute a criminal behaviour by itself.

Beetje vaag, maar zoals gezegd moet dat verduidelijkt worden.

Maar er staan ook een aantal goede opmerkingen in, zoals dat de beveiliging verbeterd moet worden en dat lidstaten een plicht krijgen om degelijke beveiliging op te zetten. Ik vraag me alleen af wat voor nut het hele verhaal over tools heeft. Wat is daar dan een voorbeeld van?

10 feet high @Zoijar • 29 maart 2012 16:53

Je bekijkt het dat ook verkeerd, en daardoor komt het inderdaad verwarrend over. Een tool staat, en die wetgeving onderschrijft dat, NIET op zichzelf. Er worden hier telkens maar zinnetjes uit hun context gerukt (niet specifiek door jou, in het algemeen). Voor testdoeleinden en zonder criminele intenties mag je nog steeds alles doen. Dit gaat echt doelgericht "Aanvallen op informatiesystemen" en "instrumenten die die aanvallen mogelijk maken". En ook: Deze richtlijn beoogt niet de strafbaarstelling van feiten die gepleegd worden zonder criminele opzet. M.a.w. een botnet an sich is niet strafbaar. Een botnet gebruiken en verspreiden om er koffie mee te zetten is en blijft niet strafbaar. Een botnet verkopen aan iemand die het gebruikt voor criminele doeleinden (vul zelf maar in) is dat wel.

Ze stellen ook dat 'tools' heel breed opgevat moet worden.

Hoe is een botnet een tool? Snap ik ook niet. Bovendien, voor zover ik weet is het gebruik van virussen en worms om computers te infecteren ook al strafbaar, toch?

Er staan een aantal vaagheden in die ik niet helemaal begrijp. (ligt wellicht aan mij)

Er bestaan daarover nog geen gecoördineerde Europese richtlijnen. In sommige landen is de wetgeving daarover voldoende en duidelijk, in andere landen niet. Een richtlijn dient om dat voor heel Europa gelijk te trekken.

Only 12% of European web users feel completely safe making online transactions. Threats such as malicious software and online fraud unsettle consumers and dog efforts to promote the online economy. The Digital Agenda proposes a number of practical solutions, including a coordinated European response to cyber-attacks and reinforced rules on personal data protection.
Vanuit dat standpunt is de EU bezig met een heel scala aan acties en maatregelen, waarvan verbeterde Europese wetgeving een onderdeel is, om cybercrime internationaal beter aan te kunnen pakken. Tot nu toe lag die focus vooral nationaal.

En het klopt dat men de verantwoordelijkheid van ISP's nu ook op europees niveau wil verankeren. Nationaal gezien was dat al het geval.

terror538 @Anoniem: 449482 • 29 maart 2012 13:15

Het eerste stuk wat je citeerd is een geamendeerd stuk uit het voorstel, de originele tekst luidt:

This Directive does not intend to impose criminal liability where the offences are committed without criminal intent, such as authorised testing or protection of information systems.

Zowel de originele vorm als de geamendeerde vorm spreken eigenlijk alleen van geauthoriseerd of "in accordance with law" beide laten geen ruimte over voor testen door derden (de whitehats) daarnaast vind ik "in accordance with law" een vage bewoording. Het is natuurlijk een richtlijn, dus de werkelijke implementatie in Nederland kan een heel andere vorm krijgen (zowel in positieve als negatieve zin), echter de tekst zoals die nu ligt is absoluut niet bevordelijk voor het testen van systemen zonder toestemming door derden (iets wat in mijn ogen een kracht in veiligheid is: dmv crowdsourcing de lekken en gaten dichten).

De tweede tekst die je citeerd is de motivatie voor het amanderen van artikel 7, ik zal de originele vorm en geamendeerde vorm citeren:

Member States shall take the necessary measure to ensure that the production, sale, procurement for use, import, possession, distribution or otherwise making available of the following is punishable as a criminal offence when committed intentionally and without right for the purpose of committing any of the offences referred to in Articles 3 to 6

Member States shall take the necessary measures to ensure that the production, sale, procurement for use, import, distribution or otherwise making available of the following is punishable as a criminal offence when committed intentionally and
without right for the clear purpose of committing any of the offences referred to
in Articles 3 to 6

Goed, in de niet geamendeerde vorm is bezit nog strafbaar gesteld, de geamendeerde vorm spreekt niet meer over bezit en spreekt over een "duidelijke intentie tot". Helaas is intentie dus niet te meten, daarnaast laat dit dus ook geen ruimte voor whitehats zonder authorisatie (wat ik dus zeer kwalijk vind).

Artikel 6 is trouwens een verbod op het zonder toestemming ontvangen van digitale data, in combinatie met artikel 7 kan dit dus een verbod inhouden op het delen van programmas die als doel hebben pakketten op een netwerk te ontvangen, zoals wireshark of wireless capture programmas.

djunicron @Anoniem: 449482 • 29 maart 2012 12:45

Ja, maar hoe ga je iemand beoordelen op "intent". Dan heeft deze illegaal verklaring dus helemaal geen zin over de huidige regelgeving waarin staat aangemerkt "dat je niet mag hacken".

Nu kan iedere student dus gewoon blijven hacken met "illegale" tools die dus voor studie doeleinden alsnog legaal verklaard gaan worden. Iedereen die een cursusje webserver onderhoud volgt bij een paid-subscription dienst als Safaribooks of Lynda.com kan voor deze omweg aangemerkt worden, dus eigenlijk zijn tools dan altijd weer recht te praten.

scsirob @Anoniem: 449482 • 29 maart 2012 16:49

Als de toevoeging "does not intend" voldoende is voor deze wet, dan is het dus ook voldoende om welke tool dan ook te verspreiden mits je er een note bij zet "Is not intended for hacking". Beide even legitiem..

IIsnickerII @.oisyn • 29 maart 2012 12:14

Met een beetje gezond verstand kun je er wel van uit gaan dat er uitzonderingen vallen voor legaal whitehat hacken. Anders zijn we straks alleen nog maar slechter af.

guapper @IIsnickerII • 29 maart 2012 12:16

Gezond verstand en eigen interpretatie zijn geen rechtsgeldige argumenten, helaas.

Cheetah @guapper • 29 maart 2012 13:02

Gezond verstand en eigen interpretatie zijn geen rechtsgeldige argumenten, helaas.

Inderdaad... dit is weer typisch een voorbeeld is van alle messen verbieden omdat er door kwaadwillenden ook mensen mee neergestoken kunnen worden. Alle medicatie verbieden omdat sommige mensen er (zelf)moord mee plegen. Alle glassnijders en koevoeten verbieden omdat er ook mee ingebroken kan worden

Sowieso is dit symboolpolitiek, sterker nog: beargumenteerbaar contraproductieve schijnwetgeving van mensen die (zoals gebruikelijk helaas) niet weten waar het over gaat en die denken het ei van Columbus gevonden te hebben om daarmee wel ff de madness van de dag (Anonymous) te gaan fixen.

Wat zijn "hacktools"?? Als je de veiligheid van bijv. een website of web-facing server wil doortesten heb je tools nodig waarmee portscans en penetratietesten kunnen worden gedaan, waarmee SQL-injection kan wordt uitgetest etc. Dat zijn precies de tools die hackers dus ook gebruiken.
Ofwel: goedwillende beveiligers hebben dit soort toepassingen keihard nodig als ze ook maar een poging willen wagen om de kwaadwillende hackers voor te blijven. Deze zullen dus zowel gemaakt als gedistribueerd moeten blijven worden. Men gaat er gewoon aan voorbij dat "hacktools" en "security-test"-tools zo ongeveer hetzelfde ding zijn.

Hoe belachelijk dit soort wetgeving is toonde Geenstijl een tijdje terug (onbedoeld) nog aan met een stappenplan om via Google niet-publieke/geheime info van websites boven water te krijgen. klik. Tja, daarmee kan Google dus tot de "hacktools" gerekend worden, ofwel: verbieden dan maar EU?

De voorbeelden:
* Software voor het 'stelen' van wachtwoorden illegaal? Dit soort software kan volkomen legitiem zijn, niet alleen voor het testen van security, maar ook bijvoorbeeld in een situatie waarin (master)passwords vergeten zijn of zijn zoekgeraakt.
* Software voor het 'beheren van botnets'? Waarin verschilt dit met software voor het beheren van een multi-systeem netwerk, renderfarm, distributed computing, cloud-computing?
Of wordt het pas strafbaar als de ontwikkelaar zijn illegaal-bedoelde tools lekker 1337 "P4$$w0rdH4xx0r" en "B0tN3tC0ntr0llz00rrr" noemt ofzo? En voor alle gemak meteen even zijn NAW gegevens in een "About"-boxje zet voor justitie. Wel zo herkenbaar

Plus wie gelooft er nou echt dat een serieuze hacker zich hierdoor laat afschrikken? Hoe realistisch is het dat die figuren achter Anonymous sinds vandaag angstig bibberend achter hun computertjes denken "oh jee, oh jee, nu gaan we het krijgen"? Om te beginnen raakt deze wetgeving niets wat buiten de EU staat. Een beetje hacker voert zijn aanvallen niet vanaf z'n eigen machine uit. Daarnaast snapt een beetje hacker ook wat encryptie en sand-boxing is, zowel van zijn verbinding als van zijn gegevens. Dus zelfs als ze zijn machine te pakken krijgen dan moet de hacker een behoorlijke nul zijn wil justitie zonder meer incriminerende tools op zijn machine vinden nadat deze wetgeving live is.
De enigen die hier echt door geraakt worden zijn degenen die dit soort toepassingen voor legitieme doeleinden nodig hebben & ontwikkelen. Want ook die worden met dit soort wetgeving gecriminaliseerd.

@mjtdevries:
Ik heb de tekst wel degelijk gelezen en het veranderd niets aan bovenstaand. Het komt neer op: je mag een mes wel gebruiken om kip te snijden ("for testing"), maar niemand mag het je verstrekken/verkopen (versprijding/distributie van "hacktools" wordt verboden). De hele nota gaat voorbij aan de legio legale en wenselijke doeleinden van wat de EU "hacktools" noemt, omdat er 'toevallig' ook onwenselijke dingen mee kunnen (net als met een mes, zaag, koevoet of hamer). En op die grote gapende wond van onbegrip plakt men dan die kleine artikel 10 pleister.
Let wel: Het illegale gebruik van "hacktools" - het (met kwade intentie) hacken van informatiesystemen zelf - is al lang bij wet verboden. Daar dient deze wetgeving dus niet voor, deze richt zich op de tools die (ook) voor kwaadwilend hacken gebruikt kunnen worden. En dat is dus een fundamentele fout.

Zie ook de tekst: [...] does not intend to impose criminal liability where the offences are committed without criminal intent, such as for testing [...]
Met andere woorden: gebruik wordt in deze nota als een "offence" gezien, die wordt voorbijgekeken als het "testen" betreft. Dat is hetzelfde als het gebruik van een mes als "offence" zien, welke wordt voorbijgezien als dat gebruik toevallig kip snijden betreft. De (IT) wereld is niet zo specifiek en zeker niet zo zwart/wit.

Het is gewoon, zoals ik al schreef: contraproductieve symboolwetgeving die niets zal uitrichten behalve de branche verder beschadigen door allerlij onzekerheden rond legaliteit van gebruik/distributie van dit soort tools te creeeren. Duidelijk geschreven door nitwits die IT gewoonweg niet snappen.

[edit2 @mjtdevries]
Je gaat totaal niet in op mijn argumenten en mist duidelijk het hele punt van mijn betoog:
Het is net zo onzinnig om zich te richten op het verbieden van maken/verspreiden van "hacktools" als het is om zich te richten op het verbieden van het maken/verspreiden van messen en koevoeten (immers: rovers/dieven gebruiken die om je te beroven en in je huis in te breken nietwaar, net zoals kwaarwillende hackers "hacktools" gebruiken om op jouw computernetwerk in te breken). Of om de "kwaadaardige ontwikkelaars" (wat een terminologie) van "hacktools" (of: messen en koevoeten) te willen aanpakken.

Let wel: Het illegaal gebruik van zowel "hacktools" als messen en koevoeten is al lang bij wet verboden. Daarnaast is er ook al wetgeving rond criminele organisaties, en het met crimineel oogpunt verstrekken van 'tools' (messen, koevoeten, "hacktools") met het oog op begaan van misdaden. Dat is ook exact hoe het moet blijven. Een ontwikkelaar waarvan banden met bijv. Anonymous worden aangetoont, en waarvan wordt bewezen dat hij welbewust hacktools aan leden van Anonymous verstrekt heeft zal ook onder huidige wetgeving veroordeeld worden.
Echter: De doelstelling van de EU om nu het maken en verspreiden van "hacktools" (definieer dat om te beginnen maar eens sluitend) aan banden te leggen is - hoewel het voor de leek/nitwit fantastisch klinkt - gewoonweg nonsense en tevens contraproductief.

Jammer dat je jouw duidelijk onbegrip over bovengenoemd koppig blijft verwarren met dat ik dat stukje pleister van een artikel 10 zogenaamd niet gelezen zou hebben.

[Reactie gewijzigd door Cheetah op 26 juli 2024 04:59]

mjtdevries @Cheetah • 29 maart 2012 13:44

En in de haast om als eersten hier bovenaan lekker te gaan blaten heeft natuurlijk niemand de moeite genomen om de tekst waarnaar gelinked word in het artikel eens te gaan lezen.

Want uiteraard hebben ze in het parlement wel rekening gehouden met legale tools om beveiligingen te testen etc.
Zoals blijkt uit de volgende tekst:

(10) This Directive does not intend to
impose criminal liability where the
offences are committed without criminal
intent, such as for testing in accordance
with law or protection of information
systems, or where the withholding of an
authorisation for access to a system
constitutes an abuse of rights by itself.

En zo zitten er nog de nodige teksten in.

[edit: @cheetah]

Het is gewoon, zoals ik al schreef: contraproductieve symboolwetgeving die niets zal uitrichten behalve de branche verder beschadigen door allerlij onzekerheden rond legaliteit van gebruik/distributie van dit soort tools te creeeren. Duidelijk geschreven door nitwits die IT gewoonweg niet snappen.

Je probeert nu net te doen alsof je het wel had gelezen, maar je claim is gewoon duidelijk niet waar. Het parlement geeft gewoon duidelijk aan dat er niks mis is met het maken en gebruiken van dit soort tools voor legale doeleinden. Jouw bewering dat het allerlei onzekerheden geeft rond het gebruik/distributie van dit soort tools is daarmee dan ook grote flauwekul.
Duidelijk geschreven door een nitwit die vol emotie pas achteraf gelezen heeft wat er eigenlijk door het parlement gezegd is.

Het is overduidelijk wat het parlement wil. Niet alleen de criminelen pakken die op heterdaad betrapt worden bij het hacken, maar ook de kwaadaardige ontwikkelaars pakken die bv de tools voor zombienetwerken etc maken. Dat laatste is op dit moment vrijwel niet mogelijk.
En tegelijkertijd zorgen ze er voor dat er ook artikelen in zitten zodat goedaardige gebruik van "hack" tools nog als vanouds mogelijk blijft.

Als jij een betere tekst weet om beide doelen te bereiken, stuur die dan eventjes naar ze op.

[edit: edit @ cheetah]
Het is gigantisch irritant als je steeds je eigen post zit te editen ipv gewoon een nieuwe reactie te schrijven. Daarmee is het onmogelijk om een discussie chronologisch door te lezen en word de hele discussie onduidelijk. Ik ben nu helaas gedwongen om ook te editen, maar het is echt heel irritant.

[Reactie gewijzigd door mjtdevries op 23 juli 2024 17:13]

Anoniem: 399807 @mjtdevries • 29 maart 2012 17:06

Ja maar het punt is, ze kiezen wel de bewoording "offences". Guapper gaf al aan dat dit criminaliseert.
Wat je krijgt is een soort gedoogconstructie zoals we in ons land rond wiet hebben.
De ICT beveiliger's positie wordt op losse schroeven gezet en kan juridisch aansprakelijk worden gesteld, bijvoorbeeld als er onenigheid ontstaat tussen de opdrachtgever en de beveiligingsexpert.

Waar dit uiteindelijk heen gaat is dat overheden en de EU controle krijgen over internet omdat iedereen, met name iedereen die gebruik moet maken voor de uitoefening van zijn werk, die deze tools gebruikt, gecontroleerd dient te handelen bij dat werk door de overheid. We kijken voer je schouder mee of je nu hackt of gewoon beveiligingswerk organiseert. Ik noem dat een vorm van controle die je niet moet willen en het is praktisch ook niet uitvoerbaar. Het alternatief wordt dan dat beveiligers allemaal moeten werken voor de overheid die dan op die manier bedrijven beveiligt...dat ICT'ers ambtenaren worden.

Daar gaat je vrije internet.

miw @mjtdevries • 29 maart 2012 16:06

Censuur op welke informatie dan ook is altijd een heilloze weg en het zal naar alle waarschijnlijkheid geen enkel probleem oplossen.
Als niemand geen proof of concept voor een software beveiligingslek mag openbaarmaken, is er geen enkel drukmiddel meer om leveranciers te dwingen om het probleem op te lossen.

Whieee Moderator Apple Talk @mjtdevries • 29 maart 2012 20:32

En nu gebruik ik een tool als webslayer voor pentesting op mijn eigen webservers. Diezelfde tool kan ik echter ook loslaten op de site van een ander, en dan ben ik ineens 'strafbaar'. De tool heb ik echter nodig voor het eerste.

Hetzelfde voor nmap, de portscanner die standaard met elk *nix OS wordt meegeleverd. Als sysadmin heb je dat ding gewoon regelmatig nodig, als hacker is het een handige tool. Verboden of niet?

Of wat dacht je van Puppet? Puppet gebruik ik voor het beheren van complete netwerken, maar is juist daarom ook uitstekend inzetbaar om bijvoorbeeld een botnetje aan te sturen. Een kleine wijziging op de Puppetmaster, en alle 'puppets' gaan iets anders doen. Ook maar illegaal maken dan? Dan kunnen er aardig wat techbedrijven de tent sluiten, omdat hun beheer staat of valt met tools als Puppet en CfEngine.

De huidige wetgeving biedt voldoende mogelijkheden om 'cybercriminelen' aan te pakken. Extra wetgeving die auto's gaat verbieden omdat je er ook mensen mee dood kan rijden of ramkraken mee kan uitvoeren hebben we echt niet nodig, en gaat ook niemand helpen.

bbc @Cheetah • 29 maart 2012 14:03

Misschien eerst de tekst eens lezen waar naar gelinkt wordt in het artikel? De amendementen volstaan hier. Er staat dat je de tools mag gebruiken om te testen.

(10) This Directive does not intend to
impose criminal liability where the
offences are committed without criminal
intent, such as for testing in accordance
with law or protection of information
systems, or where the withholding of an
authorisation for access to a system
constitutes an abuse of rights by itself.

edit: sorry blijkbaar ook al door Rinzler gepost iets verder, had ik gemist.

[Reactie gewijzigd door bbc op 26 juli 2024 04:59]

Anoniem: 30917 @bbc • 29 maart 2012 14:18

"Does not intend"
= is niet bedoeld om

Maar kan er natuurlijk wel voor misbruikt worden, dat is natuurlijk ruim uitlegbaar, en dan moet je maar hopen dat er per geval goed bekeken wordt wat wel en niet onder testen valt, door een rechter die er doorgaans geen bal van snapt, dat zie je nu bij genoeg rechtzaken al.

"explicetely excludes testing" was al beter geweest.

[Reactie gewijzigd door Anoniem: 30917 op 26 juli 2024 04:59]

Wilke @guapper • 29 maart 2012 13:52

Exact.

Wat ik graag zou willen weten: er zit dus 1 clueful persoon in het EP. Wie is dat? Was de stemming openbaar? Zo ja, waar kunnen we die vinden? Kan ik op die persoon stemmen?

Ik ben verder reuze benieuwd hoe ze "hacking software" gaan definieren. Tellen browsers ook? Telnet dan?

Edit: gokje dat dit het antwoord is

[Reactie gewijzigd door Wilke op 26 juli 2024 04:59]

reinouts @Wilke • 29 maart 2012 17:00

Jahoor, dat is Judith Sargentini.

IIsnickerII @guapper • 29 maart 2012 13:15

Dat zeg ik ook niet. Ik zeg alleen dat we er wel van uit kunnen gaan dat ze niet zomaar alle hacking tools per definitie gaan verbieden. We hebben ze ook nodig voor internet security. Ze gaan hackingtools verbieden die een dreiging vormen voor bedrijven die er vatbaar voor zijn, en ze gaan slecht gebruik van hacking tools zwaarder bestraffen.

Gert @IIsnickerII • 29 maart 2012 12:18

En hoe ga je controleren dat iemand alleen maar whitehat is?
Certificering kost meestal een hoop geld, kleine organisaties hebben dan het nakijken.

Wat is een tool gericht op hacken? Met telnet kan je ook al een hoop aanrichten.

terror538 @Gert • 29 maart 2012 12:37

Hier sla je de spijker op de kop:
hoe kan je controleren of iemand alleen maar whitehat is.

Dat kan je dus inderdaad niet, althans niet op "voorhand", een whitehat zal waarschijnlijk dezelfde tools gebruiken als een blackhat, over dezelfde kennis beschikken als een blackhat en zelfs deels dezelfde motivatie (de kick ergens binnen te komen bv) maar zal daarnaast een sterk gevoel van ethiek hebben om naast gratificatie van de eigen behoefte ook ervoor te zorgen dat het lek gedicht wordt. Door bijvoorbeeld eerst de instantie aan te schrijven en eventueel later nog de publiciteit te zoeken.

Het jammerlijke is dat dus juist dat ethische gevoel totaal niet meetbaar is, daar het bij een whitehat ethiek een deel van de drijfveer is is dat bij een blackhat persoonlijk gewin of puur en alleen de kick (wat weer destructief gedrag kan uitlokken).

Als je het gaat binden in certificeringen zal je alleen maar je hoeveelheid whitehats beperken, het wordt namelijk duur om gecertificeerd te zijn. Een high skill hobbyist zal dus niet snel over de certificaten beschikken die hem vrijpleiten.
En in welke zin houdt een certificeringssysteem daarnaast blackhats tegen om ook certificaten te behalen ? Sterker nog, het zal gunstig kunnen zijn voor blackhats dat er een certificeringssysteem bestaat, ze zullen eerder vrijgepleit zijn van verdenking indien er geen direct bewijs is en een vrijbrief geven voor allerhande net niet strafbaar gedrag zonder dat dit verdenking kan opleveren.

Uiteindelijk zal het niets veranderen aan de huidige situatie qua internet criminaliteit met als enige bijkomende verandering dat de hoeveelheid whitehats wel is af zou kunnen nemen wat de slagkracht om lekken te dichten en gaten te vinden drastisch kan doen afnemen.

Daarnaast is er nog de mogelijkheid dat mensen die zich nu whitehat zouden richten zich meer en meer blackhat zullen gaan gedragen omdat ze bij voorhand al gecriminaliseerd worden, de stap om dan over te gaan op echte criminaliteit kan daardoor wel eens kleiner worden. Helemaal in de "kwetsbare" groep die "hackers" vaak nou eenmaal zijn: jong, getalenteerd, niet altijd even goed begrepen dus met een nog niet volledig ontwikkeld moreel besef en een hogere behoefte zichzelf te bewijzen.

zvbhvb @terror538 • 29 maart 2012 13:34

Het enige verschil tussen een Blackhat en een Whitehat is:toestemming.

donny007 @zvbhvb • 29 maart 2012 14:38

@zvbhvb

Daartussen zit nog de qrayhat, de whitehat zonder de toestemming van de eigenaar van de systemen, met de intentie om kwetsbaarheden aan het licht te brengen bij de organisatie.

Voorbeeld van greyhat hacking: ik zie achter een url ?userid=3000 staan, vul daar 3001 in en krijg de gegevens van een ander te zien, dit meld ik vervolgens bij de beheerder. Een ander voorbeeld is het invoeren van SQL-statements in invoervelden, puur om te kijken of de input klakkeloos overgenomen wordt in de query en er op die manier SQLi uit te voeren is.

Pas op: Anonymous,Lulzsec etc. is geen greyhat hacking, een greyhat zal nooit een database dumpen naar pastebin met honderden inloggegevens om een statement te maken, of een website bekladden, dat valt onder cracking en 'hacktivisme'.

[Reactie gewijzigd door donny007 op 26 juli 2024 04:59]

zvbhvb @donny007 • 29 maart 2012 15:48

Greyhat hacking blijft mogelijk.

http://webwereld.nl/nieuw...acken-niet-strafbaar.html

terror538 @zvbhvb • 29 maart 2012 13:59

edit: reactie op zvbhvb

Hier ben ik het absoluut niet mee eens, in mijn ogen is een whitehat ook iemand die systemen hackt zonder toestemming en de betreffende bedrijven/instanties inlicht en helpt de gaten te dichten.

Zo kan ik mijzelf goed voorstellen dat ik het DigiD systeem of het GBA systeem zou proberen te hacken puur omdat ik weet dat al mijn gegevens er in staan en ik totaal gebrek heb in vertrouwen in de kwaliteit van de Nederlandse overheid in het beveiligen in IT systemen.

Juist de mensen met hoge skills die zich betrokken voelen tot een systeem (door direct belang of andere redenen) moeten de mogelijkheid behouden om de veiligheid van deze systemen te blijven verbeteren met of zonder toestemming!

[Reactie gewijzigd door terror538 op 26 juli 2024 04:59]

musiman

@terror538 • 29 maart 2012 14:39

@terror538
Helaas, Whitehat hackers dienen eerst toestemming te vragen. Wellicht ben je in de war met grayhat die zonder toestemming probeert binnen te dringen en als het lukt de eigenaar van het systeem op een (hopelijk nette, discrete) manier hiervan verwittigt.

Zeker deze grayhatter zal denk ik last gaan ondervinden van deze strengere maatregelen. Dit, omdat deze in eerste instantie toch een illegale activiteit uitvoert. Nu staat er wel een uitsluitsel clausule in voor ethical hackers, maar dat zijn dus weer die Whitehat hackers.

zvbhvb @terror538 • 29 maart 2012 14:44

Juist de mensen met hoge skills die zich betrokken voelen tot een systeem (door direct belang of andere redenen) moeten de mogelijkheid behouden om de veiligheid van deze systemen te blijven verbeteren met of zonder toestemming!

Voor een bedrijf die echt wel meer te doen heeft als alleen de beveiliging monitoren is er op het moment van testen onmogelijk de intentie van degene die aan het wrikken is te evalueren. Bovendien zijn lang niet alle bedrijven even gecharmeert als men een vinger op de zere plek legt.
Ook ben je ondanks goede bedoelingen nog steeds strafbaar zonder vrijbrief.

Wil je effect hebben is enige coordinatie wel op zijn plaats. Een situatie waar iedereen elkaar voor de voeten loopt is hoogst onwenselijk.

Er zijn ook genoeg mensen die zich wel degelijk betrokken voelen en toch niet eigenhandig zonder toestemming de beveiliging checken. Zo zou je een onderzoek kunnen doen naar de onderliggende technologie en de bevindingen openbaren.
Uiteraart zonder tool te publiceren:-). Je zou poc´s kunnen schrijven en mailen naar buqtraq. Een beetje admin is geabonneert op meerdere security lists.

Neophyte808 @Gert • 29 maart 2012 12:25

Dit dus, binnen de doelgroep die ze hiermee willen raken, raken ze alleen scriptkids die andermans tools gebruiken om te "hacken". Professionele/ervaren hackers schrijven hun eigen tooltjes of hebben die niet eens nodig!

Anoniem: 91397 @Neophyte808 • 29 maart 2012 12:29

Niet mee eens, met penetration testing tooling kan de gemiddelde systeembeheerder zijn security testen, volgens jouw beredenering heeft een bedrijf daar dan ineens een dure specialist voor nodig.

djunicron @Anoniem: 91397 • 29 maart 2012 12:43

Ervan uitgaande dat die specialist het bezit van illegale tools kan afkopen...

Probleem met software is dat deze on-the-spot herschreven kan worden. Certificering bij illegaal verklaren gaat een probleem worden.

Fysieke middelen verbieden is niet zo'n probleem. Vuurwapens alleen aan het leger en politie geven werkt wel, daar is het illegaal verklaren buiten die regelingen gewoon te controleren / bekrachtigen.

Maar in het geval van illegale code / tools is er naast een onzichtbare zwarte markt ook nog gewoon een hoop zelfbouw. Een inflitratiescript is sneller zelf te knutselen indien er kennis is, dan een vuurwapen / illegale substantie. Bij de laatste fysieke goederen is namelijk de productiefaciliteit nog te vinden / illegaal te verklaren. Maar code heeft geen grondstof en je kunt moeilijk SDK's of SDE's illegaal verklaren, want dan is zelfs notepad.exe gevaarlijk.

Prima idee, maar totaal onuitvoerbaar dus. En ik denk dat Brussel zwaar onderschat hoe hard whitehat en zelfs grayhat's nodig zijn voor de digitale veiligheid.

questo @Neophyte808 • 29 maart 2012 12:44

Zoals ik het lees willen ze de hack software verbieden. Of je dat ergens koopt of zelf schrijft zou dan niets uitmaken. Het zou even illegaal zijn.

Uiteindelijk is het een nutteloze regel die alleen maar averechts werkt. Het hacken zelf is in veel gevallen al verboden. Toch worden er systemen gekraakt. Dat zal niet veranderen als je de software ook verbiedt.
Wat je wel veroorzaakt is dat professionals minder mogelijkheden krijgen om hun eigen beveiliging te testen.

Mei @Gert • 29 maart 2012 12:34

Er zijn genoeg bedrijven die werknemers hebben om de beveiliging van de zelfgemaakte software te testen en goed gereedschap is ook bij dit soort werk verdomd handig.

Deze wetgeving klinkt als een gevalletje FUD, symptoombestrijding en struisvogelpolitiek in één.

bbob

Politiek en recht
Wetgeving
Europa

@IIsnickerII • 29 maart 2012 12:37

Een richtlijn is een richtlijn en moet heel duidelijk dat soort uitzonderingen bevatten.
Helaas is dat vaak niet duidelijk genoeg.

Je kan het ook zo zien, bekijk lockpicking is, de tools daarvan kun je gewoon online kopen. Het breken van een slot kan gedaan worden door iemand die je daarvoor opdracht geeft maar ook door een dief. De tools zijn echter vrij verkrijgbaar en zou dat niet zo zijn krijg je dus weer problemen met mensen die er wel legaal gebruik van maken.

TjeuvanBussel @IIsnickerII • 29 maart 2012 14:15

Ik heb ook een keer in een artikel gelezen dat de KLPD geen onderscheid maakt tussen 'ethical hackers' en de echte blackhats met kwade bedoelingen, die jongen had dus een lek ontdekt in het beveiligingssysteem van een universiteit, en heeft dat aan die mensen daar gemeld, maar hij werd toch nog opgepakt door de KLPD... Ik hoop dat ze daar snel verandering in gaan brengen, en daar onderscheid in gaan maken, of tenminste mensen aannemen die er verstand van hebben...

Anoniem: 30917 @IIsnickerII • 29 maart 2012 12:16

Met jouw gezond verstand wel, de vraag is of ze dat in Brussel ook beseffen. Die hebben die nuancering niet, als het woord "hacken" erin voorkomt is het per definitie slecht.

Anoniem: 146814 @IIsnickerII • 29 maart 2012 12:28

Met een beetje gezond verstand kun je er wel van uit gaan

Jij verwacht gezond verstand van politici? Optimist!

Daarnaast zijn het ook meer dan eens de whitehats die in de avonduren een zwarte pet op hebben.

DheeradjS @IIsnickerII • 29 maart 2012 14:10

We hebben het hier over politiek, en media. Die lezen hack, en slaan door.

stresstak @IIsnickerII • 29 maart 2012 17:08

Anders zijn we straks alleen nog maar slechter af.

Ook dat heeft overheden er nooit van weerhouden rare maatregelen te bedenken en wetten te maken.

En zelfs al zou je een vergunning moeten hebben -zoals een wapenvergunning bijvoorbeeld-, weerhoudt niets mij om een wapen te kopen, te verkopen, te ruilen of te gebruiken. Zo ook software.

TDeK

Cybercrime

@.oisyn • 29 maart 2012 12:26

Inderdaad, alleen de legale security specialisten zijn de dupe; hackers houden zich per definitie niet aan de wet. En ja, die komen toch wel aan hun tools (of bouiwen ze zelf), zie bijvoorbeeld de Zeus of Carberb botnet kits.

ro8in @.oisyn • 29 maart 2012 12:44

Die nuancering staat er wel degelijk. Het gebruik ervan, dus als jij het op je eigen of cliënt zijn systeem gebruikt zal niemand klagen... Het gaat enkel alleen om als er aangifte tegen je word gedaan en het blijkt dat je inderdaad die tools gebruikt hebt dit strafbaar word. Wat nu dus nog niet het geval is.

Anoniem: 112442 @.oisyn • 29 maart 2012 12:45

Dit probleem hebben ze nu in Duitsland waar zo'n wet allang ingevoerd is.

nieuws: 'Duitse antihackwet maakt beveiligingsonderzoek illegaal'

Om deze reden zit bijvoorbeeld metasploit niet in de (open)SUSE distro.

IMO is dit een zeer slechte ontwikkeling.
Het wordt volgens mij hoog tijd dat er meer mensen met kennis van techniek in de parlementen komen (EU en EU landen).
Mijn gevoel is dat er erg veel pennenlikkers in zitten, die niet niet gehinderd worden door enige kennis van zaken,

dasiro @.oisyn • 29 maart 2012 12:47

hoe ga je aan die tools komen als het verspreiden ervan illegaal wordt (goed, die zijn dan natuurlijk nog steeds te vinden, maar even los daarvan)? Je kunt ze niet meer legaal verspreiden, want de verspreider kan niet controleren of de gebruiker ze goedaardig of kwaadaardig gebruikt.

van een leverancier buiten de EU

Orion84 Admin General Chat / Wonen & Mobiliteit @.oisyn • 29 maart 2012 13:05

Dan heb je blijkbaar de tekst van de directive niet gelezen want daarin staat letterlijk:

(10) This Directive does not intend to impose criminal liability where the offences are committed without criminal intent, such as for testing in accordance with law or protection of information systems, or where the withholding of an authorisation for access to a system constitutes an abuse of rights by itself.

[Reactie gewijzigd door Orion84 op 26 juli 2024 04:59]

scsirob @Orion84 • 29 maart 2012 16:53

Lees dat nou eens goed.. Er staat letterlijk dat de daad zelf nog steeds als een "offence" gezien wordt. Het 'is niet de bedoeling' dat daar rechtsvervolging aan hangt, maar het wordt niet expliciet uitgesloten. Er wordt ook nergens uitgesloten dat je aansprakelijk gesteld wordt voor de gevolgen van deze 'offence', dus je kunt nog steeds te maken krijgen met schadeclaims, al dan niet reeel. Of met aantekeningen in je dossier, etc..

JeromeB @.oisyn • 29 maart 2012 14:58

Misschien lees ik het niet goed, maar in amendment 7 staat het volgende:

"This Directive does not intend to impose criminal liability where the offences are committed without criminal intent, such as for testing in accordance with law or protection of information systems, or where the withholding of an authorisation for access to a system."

oh nvm, ik post weer eens eeuwen te laat

[Reactie gewijzigd door JeromeB op 26 juli 2024 04:59]

Rey Nemaattori @acemoo • 29 maart 2012 12:50

Ik denk dat ze je niet gaan aan klagen als je iemands systeem gaat testen in opdracht van de eigenaar van het systeem.

Het maakt voor de wet niet uit of je verboden hacktools gebruikt om een systeem te hacken met instemming of zonder instemming van de eigenaar, zodra je een kopie
naar hun systemen maakt om je ding te doen dan verspreid je al en dús ben je strafbaar voor het verspreiden van hacksoftware.

nightlion @acemoo • 29 maart 2012 13:17

Nee dat niet, maar hoe kan iemand nog aan de tools komen als het verspreiden ervan straks verboden is. Je moet juist op het moment dat er een nieuwe tool is deze mogelijk meteen kunnen binnehalen om jou eigen systeem te kunnen testen tegen de nieuwste bedreigingen

Keypunchie @nightlion • 29 maart 2012 15:54

Je moet juist op het moment dat er een nieuwe tool is deze mogelijk meteen kunnen binnehalen om jou eigen systeem te kunnen testen tegen de nieuwste bedreigingen

Want jij download altijd alle virussen en gaat ze zelf ontleden?

Of, doe je net zoals ik, en draai je gewoon een virus-scanner en laat je die regelmatig updaten met de nieuwste definities?

Voor de security-bedrijven zal het gewoon nog mogelijk zijn om hun werk te blijven doen, zoals al meerdere keren in de reacties is aangegeven.

Anoniem: 408389 @Keypunchie • 30 maart 2012 00:38

Ja, voor het mysql-virus...

BoringDay @acemoo • 29 maart 2012 13:28

Nee maar de gemiddelde consument weet echt niet wat hack software is.
En wat is eigenlijk hack-software, waar liggen de grenzen en hoe maak je dat de consument duidelijk?

De meesten downloaden er maar wat op los zonder te weten wat het is.
En hetgeen wat verspreid d.m.v. kwaadaardige software?

Misschien kunnen we dan meteen Windows ook maar verbieden ...

Dit soort regeltjes van de EU hebben we niks aan en zet geen zoden aan de dijk.
Ik begrijp niet dat ze hiervoor betaald worden met overdreven lonen.

Echte hackers pak je hier niet mee en onschuldigen worden de dupe door uit onwetendheid.

ShadowBumble @arjankoole • 29 maart 2012 12:05

Sja das de overheid he niet verder kijken dan hun neus lang is. Deze opmerking vind ik ook erg disputabel :

"Op het uitvoeren van een cyberaanval komt een gevangenisstraf van twee jaar te staan."

Hoe ga je dit dan bewijzen dat de gebruiker dit bewust heeft gedaan ? De grote DDoSS attacks worden namelijk gelaunched via Twitter/IRC met de melding drukt even op dit linkje, of sterker nog malware die zich verstopt heeft in je Systeem.

Durandal @ShadowBumble • 29 maart 2012 14:33

Simpel. Iedereen die op dat linkje drukt krijg 2 jaar, en twitter wordt verboden.

Ik hoop dat ze facebook hebben in de gevangenis..

Batiatus @arjankoole • 29 maart 2012 12:06

Dus precies wat ik dacht. Wat gebeurd er nou met tools als Metaspl0it? Die zijn juist ontwikkeld voor penetratietesten.
Daarbij heb je ook verschillende pakketten zoals Nessus dat je hele netwerk extern en intern kan scannen.
Heb het idee dat ze hier weer totaal niet over na hebben gedacht.

ApexAlpha @arjankoole • 29 maart 2012 12:11

Dit is een typisch geval waar politici denken dat ze iets oplossen met wetgeving. Alsof er ook maar één black-hat hacker is die deze tools nu niet meer gaat gebruiken.

Lijkt wel een beetje Amerikaanse politiek... 'we hebben het verboden dus is het er niet'.

BoringDay @ApexAlpha • 29 maart 2012 13:37

Die schrijven toch hun eigen tools?
Daarbij zal de definitie crack software nogal in een schemergebied zitten.
Ik denk dat er nog heel veel ogen en haken aan vast zitten.

Misschien kunnen we beter opnieuw het besturingssysteem gaan uitvinden

Fealine @arjankoole • 29 maart 2012 12:41

Dat is juist het hele domme van dit voorstel.... wat is hack software? Volgens mij bedoelen ze hier gewoon normale software mee dat voor valide doeleinden wordt gebruikt maar ook voor hacken zou kunnen worden gebruikt.

Hetzelfde zou zijn om messen te verbieden want daar kan je een moord mee plegen.

Blazing-Studios @arjankoole • 29 maart 2012 13:06

Als minister word er niet verwacht dat je kennis van zaken hebt voordat je iets verbied.
En ze komen er vanzelf op terug als alles en iedereen gehackt word straks omdat niemand zijn/haar beveiliging meer kan testen

Keypunchie @arjankoole • 29 maart 2012 12:28

Ze zijn gek. Hoe moet ik dan in godsnaam security en penetratie tests uitvoeren? Dat doe ik juist door te hacken, met de tools die ontwikkeld zijn om te hacken. Ik doe het alleen in opdracht van de eigenaar van dat systeem (en tegen een riante betaling).

Ik mag hopen dat het een voorzet wordt tot een systeem van regulatie van hacktools. Dat je er dus een vergunning moet hebben. Zo wordt een security-researcher een soort van apotheker. Alleen als je aan bepaalde voorwaarden voldoet heb je een vergunning voor het in huis hebben van hacktools.

Of, als je wat dramatischer wil doen, zie het maar als vuurwapens. Die zijn ook streng gereguleerd in Europa.

blouweKip @Keypunchie • 29 maart 2012 13:04

Dat is toch niet te doen, dat je straks voor een simpele IDE een vergunning moet hebben omdat een stel mensen in het EP niet weet wat hacken is?

torp @arjankoole • 29 maart 2012 12:05

Er zullen vast wel uitzonderingen mogelijk zijn. Misschien kun je dit beter vergelijken met een verbod op handel in vuurwapens.

elleP @torp • 29 maart 2012 12:14

"Goedendag, mag ik uw nmap-vergunning even zien?"

Anoniem: 345311 @arjankoole • 29 maart 2012 12:11

Ik neem aan dat ze wel uitzonderingen maken hiervoor. Bepaalde software wordt dan gewoon wel toegestaan.

Anoniem: 420800 @arjankoole • 29 maart 2012 12:53

Lees de eerste regel van de eerste alinea eff

wil het verspreiden van software die is bedoeld om te hacken verbieden.

2e alinea

het bezit van de tools op zich niet verboden wordt, zal het gebruik of verspreiden van tools bedoeld voor hacken wel een strafbaar feit zijn,

Conclussie

test in opdracht van de eigenaar is niet hacken....

SuperDre @arjankoole • 29 maart 2012 13:37

Maar als je dat doet is het geen echte hacken meer, aangezien je het met toestemming van de eigenaren doet. Het gaat hier dus om een echte hacking poging zonder toestemming.. En dat is een goede zaak dus..

hackerhater @SuperDre • 29 maart 2012 14:54

En hoe kom je legaal aan die tools?

LopendeVogel @arjankoole • 29 maart 2012 14:03

als het zo belangrijk is dat jij die testen doet dan weet je ook dat dit geen enkel.probleem voor jou zou moeten vormen.
bedrijven hebben meest eigen software en al helemaal experts. althans bij ons wel. wij zijn allang blij dat niet elke goofy (zoals jou?) aan de software kan komen maar alleen experts. dat is ook het doel van dit alles

chrisborst @arjankoole • 29 maart 2012 15:47

If you outlaw guns, only outlaws will have guns.
Kortom, door het verbieden van hack-software zal je helemaal niks bereiken. De criminelen zijn toch al crimineel bezig, dus die blijven gewoon doorgaan.
De mensen die dat willen bestrijden worden in hun mogelijkheden beperkt.

In Nederland mag je ook gewoon een koevoet hebben, maar hem gebruiken om in te breken is verboden. Het mag weer wel als je toestemming hebt van de eigenaar. Precies wat er dus nu gebeurd door beveilingsbedrijven.

Aetje @arjankoole • 29 maart 2012 16:25

Inderdaad. Reactief en ondoordacht, waarschijnlijk een scheet van boven in respons op de hoeveelheid overheidssystemen die gehackt zijn de laatste tijd. De tools illegaal maken zal daar geen verbetering in brengen... hacken is al strafbaar. Hiermee tref je alleen de ethische hackers (zgn whitehats) die gewoon niets meer uit kunnen voeren zonder ook strafbaar te zijn.

Gevolg: Zwakke sysadmins wanen zich veilig. Beveiliging verslapt verder... Struisvogelpolitiek.

-ETz-candyman 29 maart 2012 12:05

En wat is hack-software dan?
Valt vb Wireshark daar onder?
Wanneer is iets effectief "hack-software"?
Komt er dan een publieke lijst die je moet checken voor je iets download?

Verder zal zo een regel volgens mij ook de mensen die de veiligheid van eigen systemen willen/moeten testen serieus hinderen...

Robtimus @-ETz-candyman • 29 maart 2012 12:09

Dat is een hele goede vraag. Als ik connectieproblemen heb (bv met een server op het werk, of een lokale web server van een vriend) dan gebruik ik regelmatig Nmap om te kijken of de betreffende poort wel openstaat. Nmap is alleen ook erg goed te gebruiken door hackers. Mag dat in de toekomst ook al niet meer, omdat een hacker het wel eens zou kunnen gebruiken?

kwaazaar @-ETz-candyman • 29 maart 2012 12:25

Dus mijn LoginWithoutPassword.exe is straks verboden!

Zonder gein, inderdaad netwerksniffers (zijn de berichten die ik verstuur of via bv internetbankieren ontvang wel netjes versleuteld) , portscanning tools (staat mijn firewall wel goed dicht, die config is tenslotte best complex) en debuggers (waarom crasht mijn app telkens) kunnen daar dus nooit onder vallen.

Zijn er dan nog andere echt puur voor hacken bedoelde tools?

Niemand_Anders 29 maart 2012 12:21

In het EP zitten 754 leden, hoe kan een voorstel aangenomen als slechts 51 leden (nog geen 7%) een stem heeft uitgebracht? Tijdens het referendum over de grondwet werd nog een drempel geworpen van 65%. Het wordt tijd dat er in het EP ook een drempel komt. Want waar waren die andere 700 leden van het EP?

Daarnaast is het hacken op zich al niet toegestaan. Vraag maar aan de 17 jarige hacker welke is opgepakt ivm met de KPN hacks. Er is helemaal geen wet nodig welke hacking tools verbied.

Het binnen dringen en pogingen daartoe zonder toestemming van de eigenaren is al niet toegestaan. Die kapstok is breed genoeg. Net als artikel 5 (gevaarlijk rijgedrag) uit de (verkeers) wegen wet alles omdat wat niet specifiek elders in beschreven.

[Reactie gewijzigd door Niemand_Anders op 26 juli 2024 04:59]

JinZa @Niemand_Anders • 29 maart 2012 13:31

Inderdaad. Dit is echt te belachelijk voor woorden. Er zijn al genoeg dubieuze wetten aangenomen door het Europese Parlement op deze manier.

Waarom geloven en vertrouwen we nog in dit belachelijk systeem dat de Europese Unie heet. Dit is een onverschilligheid dictatuur aan het worden!

Anoniem: 175233 @Niemand_Anders • 29 maart 2012 12:40

Ondanks dat moord verboden is, hebben we ook een extra wet die wapenbezit aan banden legt... Rara, waarom zou dat zijn?

SirBlade @Anoniem: 175233 • 29 maart 2012 13:44

1) Omdat de overheid niet wil dat burgers de mogenlijkheid hebben zich massaal tegen de overheid te beschermen. Met als uitzondering de overheid van de VS ten tijde van de revolutie.

2) Als de politie een huiszoeking doet en ze vinden illegale wapens is het makkelijk daar een veroordeling voor te krijgen. Vaak makkelijker als voor het eigenlijke doel van de huiszoeking.

Ik gok dat optie 2 in dit geval van belang is; als huiszoeking doen bij iemand die betrokken was bij een DDOS en ze vinden bepaalde tooltjes is dat voldoende om hem te straffen.

Durandal @SirBlade • 29 maart 2012 14:42

Tja, maar een revolver kan je niet encrypten.

Optie 2 gaan ze niet veel aan hebben.

stresstak @Anoniem: 175233 • 29 maart 2012 18:04

Ondanks dat moord verboden is, hebben we ook een extra wet die wapenbezit aan banden legt... Rara, waarom zou dat zijn?

En ondanks die wetten en verboden worden er mensen vermoord met wapens waarvoor de drager en gebruiker een vergunning heeft. De vergunning is hooguit makkelijker om een wapen te bemachtigen, maar niets weerhoudt me daarna om een winkelcentrum te ruimen.

reinouts @Niemand_Anders • 29 maart 2012 17:17

Het ging hier om een stemming in een subcommissie (Civil Liberties Committee, zie het originele artikel), niet om een plenaire stemming.

PBloem 29 maart 2012 12:32

Europarlement: ethisch hacken niet strafbaar

Ethisch hacken niet strafbaar

Er is echter ook een amendement aangenomen dat bepaalt dat hacks zonder significante schade niet strafbaar hoeven te zijn. "Zo'n geval kan voorkomen als de toegang tot een it-systeem zonder toestemming of recht was, maar slechts met het doel om de beheerder van het systeem te informeren over serieuze securitygaten en er geen schade is aangericht," staat te lezen in het amendement.

Deze toevoeging betekent dat ethische hackers een expliciete uitzondering vormen op op de strengere bestraffing van cybercrime. Zij genieten in principe bescherming voor vervolging, bevestigt Baptiste Chatain, woordvoerder van de Justitie-commissie van het EP

[Reactie gewijzigd door PBloem op 26 juli 2024 04:59]

cbravo2 @PBloem • 29 maart 2012 14:23

Overigens staat in onze huidige computervredebreuk-wet geen uitzondering voor dit soort 'hacken'.

Durandal @PBloem • 29 maart 2012 14:44

Als ze het dan maar zonder tools doen.

CobyBE 29 maart 2012 12:05

Ik kan het nut hiervan wel inzien maar het lijkt mij niet echt haalbaar. Er zal toch altijd wel ergens gedeeld worden neem ik aan.
En hoe zit het dan met IT security opleidingen? Ik weet dat die meestal wel een paar tools gebruiken om te 'hacken' (was op mijn hoge school zo). Ze moeten toch eerst weten hoe je binnen kan komen om er tegen te beschermen?
Dit werpt een derde vraag op: definieer "hack tools"

Anoniem: 316234 29 maart 2012 13:13

Was het al bij het parlement opgekomen dat de meeste hackertools gebruikt worden buiten de EU en tegen de computersystemen in de EU?, en dat deze stupide richtlijn ervoor zal zorgen dat Europeese bedrijven zich gaan weerhouden van security audits? Waarom zou je het risico gaan lopen?

Aan de ene kant willen ze dat alle datalekken gemeld worden en aan de andere kant hinderen ze het oplossen van dat problem. Hoeveel ICT-failures zijn er aan het licht gekomen d.m.v van deze tools? Velen

Ja, je kan de tools blijven gebruiken om security audits te doen, maar als je deze per ongeluk richt op een verkeerde server (laten we zeggen een typo in nmap), dan ben je al in overtreding?

Daarnaast zal er door een rechter bepaald moeten worden of een tool daadwerkelijk een hacktool is of niet en of de persoon die het bestuurde een hacker is of niet.

Best knap voor een Dr. die over het algemeen niet eens zijn eigen computer kan her-installeren. Linux + Midnight Commander ? wat is dat? zoiets als DOS + WP5.1?

Dat politici en justitie geen verstand hebben van ICT is al veel langer duidelijk. Ik heb voor de lol een aantal ICT/hacker rechtzaken bijgewoond. Hilarisch en treurig tegelijkertijd.

pim 29 maart 2012 15:09

Hier een illegaal PHP scriptje.. Ben ik nu strafbaar?

<?php
while(1){ file('http://www.example.com/'); }

Razwer 29 maart 2012 12:04

Slecht nieuws dit. Dit betekent dat recovery software dus ook verboden wordt. immers, waar trek je de grens?

Rinzler @Razwer • 29 maart 2012 12:39

Idd, een andere grens lijkt me ook de ordehandhaving als ik een paar 'oudere' artikels bovenhaal:
nieuws: 'Politie breekt in op computers van verdachten'
nieuws: Duitse politie mag computers hacken

Als je dan leest dat de stemmen voor het voorstel 50 tegen 1 waren... Daar kan je weeral zien dat 90% er weer te weinig van af weet, de echt hackers hou je hier niet met tegen... Ik ben voor de EU, maar ik vind het niveau van de mensen die er zitten (op vlak van IT toch) echt ondermaats.

Anoniem: 415735 @Razwer • 29 maart 2012 12:10

Die conclusie is prematuur. Een rechter zal eerst moeten oordelen dat recovery software bedoeld is om te hacken.

NB: zowel recovery software als hacken zijn bijzonder vage begrippen.

Iblies @Anoniem: 415735 • 29 maart 2012 12:42

Dat is nu het vage aan deze gedachte. Hacken is een instelling, en daarbij kun je positief te werk gaan maar ook negatief.

Nu ben ik wel hartstikke benieuwd hoe hier invulling aan wordt gegeven want hacken an sich komt vaker voor dan je zou willen.
Niet alleen op standaard pc's, maar ook het rooten van telefoons, tunen van auto's etc.

In mijn optiek kun je al met de huidige wetgeving mensen vervolgen. Inbreken op een netwerk is gewoon inbraak, mocht je iets meenemen, al dan niet gekopieerd, dan is dat gewoon diefstal. Stelen bij een groot bedrijf kun je een economisch delict van maken. Er weer een wet bijschrijven compliceert het nodeloos en daarbij is niemand gebaat en het probleem blijft liggen.

Op een snelle en adequate manier de mensen vervolgen die negatieve bedoelingen hebben met genoeg mensen is veel beter en gaandeweg zal dmv precedenten het gerecht zijn werk doen.

Blokker_1999

Europa
Politiek en recht
Wetgeving

@Razwer • 29 maart 2012 12:27

waar trek je de grens? Wat is het primaire doel van een tool. Waarvoor is het ontwikkeld? Das hetzelfde als google vergelijken met tpv. Ja met beide kan je torrents vinden, maar de ene is er speciaal voor gemaakt en bij d andere is het een neveneffect.

Fealine @Razwer • 29 maart 2012 12:33

Met compiler software en een text editor kan je al een nieuwe 'hack-tool' schrijven, wordt dit dan ook verboden?

In het ergste geval zal je deze tools niet meer precompiled kunnen downloaden, maar krijg je gewoon de source en de compile configuratie. Ik neem aan dat 'hackers' daar geen moeite mee hebben.

nickelz 29 maart 2012 13:01

Zoals al zovelen zeggen: "Wat is hack-software"?

Dit is weer zo lekker politiek smijten met termen waar ze eigenlijk geen weet van hebben.. "Hack-software"?! Dus Visual studio of ILSpy is gelijk ook een hack tool?

Mijn mening is dat het tijd wordt dat de politiek zich eens wat meer gaat verdiepen in IT, aangezien dit een onderdeel is geworden van het leven. Want ze schieten zichzelf enorm in de voet als ze zo globaal iets gaan verbieden wat (grotendeels) gebruikt wordt om je eigen
beveiliging te testen...

Laten we ook maar hamers gaan verbieden, want tja, daar kun je ook mee "hacken" in iemands huis. Het gaat erom wat de persoon in kwestie daar mee doet, en daarom lijkt mij dat elke situatie apart bekeken moet worden en niet zomaar even geroepen wordt:

"Hey, we gaan "Hack-tools" verbieden, dat zou alles oplossen..."

*Edit: Rare zin weggepoetst...

[Reactie gewijzigd door nickelz op 26 juli 2024 04:59]

mrlammers @nickelz • 29 maart 2012 14:06

Dus Visual studio of ILSpy is gelijk ook een hack tool?

Notepad is een hack-tool. In de juiste handen.

johnkeates @mrlammers • 30 maart 2012 00:54

Een computer is een hack-tool. In de juiste handen.

10 feet high @nickelz • 30 maart 2012 03:28

Ik denk dat het eerder andersom nodig is, dat mensen zich hier eens een heel klein beetje in politiek verdiepen. Sebiet noemen jullie Angry Birds nog een hacktool. Het ontgaat me echt waarom al die zelfverklaarde experts een zin als "Deze richtlijn beoogt niet de strafbaarstelling van feiten die gepleegd worden zonder criminele opzet, zoals het
legaal testen of beveiligen van informatiesystemen" nog niet eens kunnen begrijpen.

Daarnaast gaat het om "de vaststelling van minimumnormen voor de adequate bescherming van informatiesystemen". Sorry hoor, maar dat is heus iets anders als wat jij noemt "iets gaan verbieden wat gebruikt wordt om je eigen beveiliging te testen".

Anoniem: 87095 29 maart 2012 13:08

Bijna alle Linux Distros worden dan in een klap illegaal, die bevatten meestal tools zoals nmap/nessus (penetratie testers), tcpdump/wireshark/ngrep (traffic analyzers), load testing software (kunnen gebruikt worden om te DOSSen) en oh ja zoals Fawn zei, ping -f (dat heeft elke Distro).

10 feet high @Anoniem: 87095 • 30 maart 2012 03:37

Goed, je hebt blijkbaar een paar voorbeelden gevonden van dingen die naar jouw normen onder hacken vallen en die in heel wat gevallen niks met criminele feiten te maken hebben. In welke klap zou dat dan illegaal worden? Als er geen sprake is van een aanval op een 'informatiesysteem' is er geen sprake van ene strafbaar feit. Zo moeilijk is dat toch niet. Voor mijn part gebruik je ping -f om frieten te bakken, niemand zal je dat beletten. Gebruik je dat in een cyberaanval, dan ben je wel strafbaar.

Anoniem: 87095 @10 feet high • 30 maart 2012 13:31

Het verspreiden ervan, tiens.

Op dit item kan niet meer gereageerd worden.

Europees parlement wil hack-software verbieden

Lees meer

IT-banen

Reacties (197)

Sorteer op:

Weergave: