Computervredebreuk is sinds 1993 een misdrijf. Deze blog behandelt de dunne scheidslijn tussen rondsnuffelen op internet en binnendringen. Dat laatste is strafbaar met een jaar gevangenisstraf. Securityresearchers en beveiligers die juist op zoek gaan naar lekken stellen zich de vraag wat toegelaten is?
Maandag gaf ik op het Science Park van de Universiteit van Amsterdam een gastcollege over computervredebreuk, vaak losjes hacken genoemd. Geen gemakkelijke opdracht om aan niet-juristen uit te leggen welke computertechnieken legaal zijn en waar het misgaat. Nu is die vertaalslag wel net onze missie. Hierbij een samenvatting:
Computervredebreuk pleeg je wanneer je binnendringt in een computersysteem of netwerk van een ander en je weet dat je er niet hoort te zijn.
Daarbij is het irrelevant of dat systeem of netwerk beveiligd is. Ook binnendringen in een onbeveiligd netwerk is dus strafbaar als je kon weten dat dat je er niet welkom was.
De wet noemt vier vormen van binnendringen:
- Het doorbreken van een restrictie
Denk aan privilege escalation of een buffer overflow. - Het plegen van een technische ingreep
Een voorbeeld hiervan is een SQL injectie. - Het gebruik van valse signalen of een valse sleutel
Denk aan IP spoofen, het uitproberen van andermans wachtwoorden en inloggen op het systeem van je oud-werkgever met je oud wachtwoord. - Het aannemen van een valse hoedanigheid
IP spoofen kan ook hieronder vallen, net als social engineering.
Wie een van deze handelingen verricht, pleegt in ieder geval computervredebreuk. Er zijn echter ook andere vormen van binnendringen die in de wet niet werden opgesomd, maar die evengoed strafbaar zijn omdat je bent binnengedrongen in een computersysteem waar je niet hoorde te zijn.
Er bestaan verschillende technieken (software maar ook hardware) die het binnendringen in een computersysteem vergemakkelijken. Het bezit, gebruik en de verkoop van die hulpmiddelen is ook strafbaar als ze ontworpen zijn voor het plegen van computervredebreuk of als ze er bijzonder geschikt voor zijn. Denk aan een Trojaans paard.
Detectiesoftware als Nessus en Metasploit is legaal zolang deze duidelijk werd ontworpen, gepresenteerd en gebruikt wordt als beveiligingshulpmiddel door systeembeheerders en beveiligingsmedewerkers.
Het binnendringen in een computersysteem zonder verder iets te doen, is dus al voldoende om computervredebreuk te plegen en strafbaar te zijn. Ga je vervolgens ook gegevens kopieren, vernietieen, publiek maken of de gevonden persoonsgegevens vastleggen, dan leidt dat tot strafverzwaring en riskeer je een maximumstraf van vier jaar.
Een inbraak in de computersystemen van Activision, waarbij conceptversies van games werden gekopieerd, leverde de dader zes maanden voorwaardelijke gevangenisstraf en een werkstraf van 240 uur op.
Niet doen dus.. Een gewaarschuwde IT student, hacker, systeembeheerder of beveiliger is er twee waard!
