'Hacking without a legal basis'

/

In May 2014, the Dutch Public Prosecution Office announced that the Dutch police participated in a global action against ‘Blackshades’ malware. Blackshades enables individuals to remotely take over computers and copy information (among other functionalities). The Dutch press release stated that: “Team High Tech Crime of the Dutch police saw an opportunity to enter the Blackshades server and secure a large amount of information. The location of the server is unknown”.

This statement implies that Dutch law enforcement authorities entered the server remotely to copy data. Said in other words, Dutch law enforcement authorities hacked a server without knowing the location of the server to secure information. The problem is that there is arguably no legal basis for hacking in Dutch criminal procedural law.

Lees verder:

 

Meer weten over de uitdagingen die cybercrime met zich brengt? Kom dan op Vrijdag 28 november 2014 naar de Studiedag Cybercrime

Klik hier voor meer informatie.

/ /

joyce verhaert

Print Friendly and PDF ^

Europol: huidige wetgeving niet klaar voor cybercrime

/

De huidige wetgeving maakt het lastig voor opsporingsdiensten zoals Europol om cybercriminelen aan te pakken en moet dan ook worden gemoderniseerd. Daarvoor pleit Troels Oerting, hoofd van het Europees Cybercrime Centrum (EC3) van Europol. "We proberen misdrijven van de 21ste eeuw met het juridische systeem van de 19e eeuw te bestrijden".

Lees verder:

 

Meer weten over de uitdagingen die cybercrime met zich brengt? Kom dan op Vrijdag 28 november 2014 naar de Studiedag Cybercrime

Klik hier voor meer informatie.

/ /

joyce verhaert

Print Friendly and PDF ^

Antwoorden kamervragen over het hacken van servers door de politie terwijl de zogenaamde hackwet nog niet door de Kamer is behandeld

/

Op 22 augustus berichtte Nu.nl over huiszoekingen bij 34 personen in mei van dit jaar, gedaan nadat de politie een server had gehackt met daarop een verkooplijst van de zogeheten Blackshades-software. Naar aanleiding van dit bericht zijn aan Minister van Veiligheid en Justitie Opstelten kamervragen gesteld over het hacken van servers door de politie terwijl de zogenaamde ‘hackwet’ nog niet door de Kamer is behandeld.

Opstelten erkent dat de berichtgeving klopt, in zoverre dat in diverse Europese landen, de VS en Canada strafrechtelijke onderzoeken hebben gelopen of lopen tegen (ver)kopers en/of verspreiders en/of vervaardigers van software die hoofdzakelijk geschikt is gemaakt of ontworpen is tot het plegen van kort gezegd computercriminaliteit als bedoeld in de artikelen 138ab, eerste lid, 138b en 139c Sr.

Volgens de minister heeft het Openbaar Ministerie, in het kader van onderzoek naar Blackshades, echter geen opdracht gegeven tot het hacken van de server van Blackshades. De politie heeft onder verantwoordelijkheid van het Openbaar Ministerie en na daartoe te zijn gemachtigd door een rechter- commissaris op afstand een server betreden en deze server vervolgens doorzocht ter vastlegging van gegevens op grond van artikel 125i Sv.

Het is onder bepaalde omstandigheden op basis van artikel 125i Sv met een machtiging van de rechter-commissaris mogelijk om op afstand een computersysteem te betreden, met als uitsluitende doel de computer te doorzoeken op vooraf bepaalde gegevensbestanden en deze zonodig in beslag te nemen door ze vast te leggen, aldus Opstelten. In twee strafzaken waarin het ging om zeer ernstige feiten is hiervan sprake geweest.

Op de vraag of het klopt het dat het wetsvoorstel Computercriminaliteit III juist beoogt in een wettelijke grondslag te voorzien voor het hacken van servers en computers door justitie ten behoeve van het opsporingsonderzoek antwoordt de minister dat de huidige wettelijke regeling dient te worden aangevuld, hetgeen gebeurt in het wetsvoorstel Computercriminaliteit III. Doel van dat wetsvoorstel is het juridisch kader voor de opsporing en vervolging van cybercrime meer toe te snijden op de opsporing en vervolging van computercriminaliteit en de nieuwe werkwijzen van criminelen. De huidige samenleving en de snelle veranderingen van techniek om met elkaar te communiceren en informatie te delen of op te slaan overal ter wereld, vereisen dat opsporingsautoriteiten met die veranderingen mee ontwikkelen.

Het wetsvoorstel voorziet naast diverse veranderingen en aanvullingen in een nieuwe bevoegdheid waarin een opsporingsambtenaar zich, na een daartoe gegeven bevel van een officier van justitie, onder strikte voorwaarden heimelijk en op afstand de toegang mag verschaffen tot een geautomatiseerd werk om in dat geautomatiseerde werk bepaalde bevoegdheden toe te passen. Dit binnendringen in een geautomatiseerd werk is een verdergaande bevoegdheid dan het doorzoeken ervan en noodzakelijk voor de opsporing van veel vormen van internetcriminaliteit.

Het wetsvoorstel wordt begin volgend jaar ingediend bij de Tweede Kamer.

/ /

joyce verhaert

Print Friendly and PDF ^

Veroordeling wegens uitvoeren van een Denial of Service-aanval gericht op de website van een bank

/

Rechtbank Zeeland-West-Brabant 2 september 2014, ECLI:NL:RBZWB:2014:6659

Verdachte heeft zich schuldig gemaakt aan het uitvoeren van een Denial of Service aanval oftewel DoS-aanval gericht op de website van een bank. Door middel van een onvolledige http post-request heeft verdachte ervoor gezorgd dat het maximale aantal verbindingen werd bereikt waardoor de website niet meer toegankelijk was voor klanten van de bank. Zij konden daardoor geen gebruik meer maken van het telebankieren, iDeal en Mobielbankieren. 

Het standpunt van de officier van justitie

De officier van justitie acht wettig en overtuigend bewezen dat verdachte een Denial Of Service-aanval heeft uitgevoerd op de website van de bank, waardoor deze gedurende één uur niet toegankelijk is geweest. Zij baseert zich daarbij op de aangifte van de bank waaruit onder meer blijkt dat er op 10 april 2013 een verhoogd verkeer over het netwerk was en dat de http-post request afkom-stig was van een enkel IP-adres dat hoorde bij het adres van verdachte. Voorts wijst zij op het proces-verbaal van bevindingen betreffende de uitwerking van de IP-tap en de processen-verbaal betreffende het onderzoek naar de inbeslaggenomen computer, USB-stick en iPad van verdachte. Het verweer van de verdediging dat de computer van verdachte is overgenomen door derden acht de officier van justitie ongeloofwaardig. Los van het feit dat uit de stukken blijkt dat deze stelling vanuit een technisch oogpunt hoogst onwaarschijnlijk is, komt de verklaring van verdachte er in essentie op neer dat niet hij de DoS-aanval heeft gepleegd, maar iemand anders. Verdachte kan echter niet aangeven wie deze andere persoon is geweest. Onder die omstandigheden en onder verwijzing naar het arrest van de Hoge Raad, gepubliceerd in NJ 1999, nr. 152, behoeft het verweer van de verdediging geen verdere weerlegging, aldus de officier van justitie.

Het standpunt van de verdediging

De verdediging stelt zich op het standpunt dat verdachte een logische en uitvoerige weerlegging heeft gegeven van de verdenkingen. Verdachte heeft verklaard dat zijn computer, zonder zijn toestemming, is overgenomen door hackers en dat deze hackers de vermeende DDoS-aanvallen hebben verricht waarbij zij gebruik hebben gemaakt van het IP-adres van verdachte. Verdachte heeft, als bewijs, de door de hackers geïnstalleerde software op een USB-stick gezet om te laten zien dat deze software door anderen op zijn computer is gezet. De stelling van de politie dat het zeer onwaarschijnlijk is dat de computer van verdachte op afstand overgenomen zou zijn, is volgens de verdediging uiterst suggestief geformuleerd. De verdediging is dan ook van mening dat de rechtbank niet tot een bewezenverklaring kan komen en verzoekt verdachte vrij te spreken van zowel het primair als subsidiair ten laste gelegde.

Het oordeel van de rechtbank

Op 10 april 2013 is de bank tussen 13.15 uur en 14.15 uur geconfronteerd met het uitvallen van de website. Als gevolg hiervan was het voor klanten van de bank niet meer mogelijk om hun geldzaken te regelen via internet- en mobiel bankieren en iDeal. Na analyse bleek dat er sprake was van verhoogd dataverkeer over het netwerk. Daarnaast bleek dat een http post-request, afkomstig van één IP-adres, hiervoor verantwoor-delijk was. De post zorgde ervoor dat het maximale aantal verbindingen werd bereikt. Als gevolg hiervan was het voor de overige gebruikers niet mogelijk de pagina te laden en was de site “down”. Het IP-adres dat verantwoordelijk was voor deze actie, was IP-nummer. Nadat dit IP-adres werd geblokkeerd, kwam de site van de bank weer ter beschikking. Uit nader onderzoek bleek dat met het betreffende IP-adres op 26 augustus 2012 een transactie is uitgevoerd bij de bank door middel van internetbankieren. De transactie werd uitgevoerd met een rekeningnummer op naam van de heer en/of mevrouw.

De politie heeft in het kader van het opsporingsonderzoek de verstrekking van de gebruikersgegevens gevorderd van het voornoemde IP-adres. Uit deze gebruikersgegevens bleek dat het IP-adres op naam staat van de vader van verdachte op het adres waar verdachte en zijn ouders wonen.

Vervolgens is in het kader van het opsporingsonderzoek een IP-tap aangesloten op het IP-adres. Hieruit kwam naar voren dat er in de periode 19 april 2013 tot 26 april 2013 uitzonderlijk veel POST-aanvragen werden toegezonden naar bepaalde IP-adressen of domeinnamen. Het aanbieden van een grote hoeveelheid POST aanvragen kan in bepaalde omstandigheden resulteren in het belemmeren van de toegankelijkheid van een webserver. In voornoemde periode is op verschillende websites getracht in te loggen met verschillende e-mailadressen, gebruikersnamen en wachtwoorden met daarin de naam van verdachte.

Bij de doorzoeking in de woning waar verdachte woont, zijn door de politie onder meer een Personal Computer van het merk DELL, een USB-stick van het merk Lexor en een iPad van het merk Apple in beslag genomen. Op de computer zijn verschillende bestanden aangetroffen waarvan bekend is, dat door het gebruik van deze programma’s zogenaamde DDoS-aanvallen worden uitgevoerd. In de submap Prefetch van de Windows map zijn onder meer de volgende bestanden aangetroffen:

  • Bestandsnaam: [bestandsnaam 1]
  • Gemaakt op: 6-4-2013 13:12:58
  • Bestand : [bestandsnaam 1a]
  • Opgestart vanaf: [gebruiker 1]
  • Totaal keer opgestart: 30
  • Bestandsnaam: [bestandsnaam 2]
  • Gemaakt op: 5-4-2013 18:01:07
  • Bestand: [bestandsnaam 2a]
  • Opgestart vanaf: [gebruiker 2]
  • Totaal keer opgestart: 70

In de map ProgramData/MFAData/cfgdump werd op de computer van verdachte het bestand naam 1 aangetroffen. Dit bestand bevat data betreffende de instellingen van de op de harde schijf geïnstalleerde AVG antivirus software. Normaliter zou het antivirusprogramma de hieronder genoemde bestanden in de map naam 2 en naam 3 moeten aanmerken als bestanden welke een bedreiging vormen voor het computersysteem. Met de AVG Exceptionmanager kunnen bestanden echter worden aangemerkt als vertrouw-de bestanden. Dit moet handmatig worden ingesteld.

Bij onderzoek in het bestand naam 1 waren onder meer de navolgende bestanden als "vertrouwd" ingesteld: 2013-03-24/14-24-50, naam 4, 2013-03-24/14-39-56, naam 5,  2013-04-06/11-19-54, naam 6.

In de unallocated clusters (vrije ruimte) van voornoemde computer zijn sporen aangetroffen, welke duiden op het bevragen van de beschikbaarheid van de website http://website 2. Middels deze website kan de beschikbaarheid van websites worden gecontroleerd. Uit de IP-tap blijkt dat middels website 2 de beschikbaarheid van het domein is opgevraagd.

Op de root van de inbeslaggenomen USB-stick zijn mappen aanwezig geweest met de naam map naam 1 en de naam ddos aanvallen. Daarnaast is op de USB-stick in de map VIDEO aangetroffen het bestand map naam 2. Op de inbeslaggenomen iPad is in de Unrecognized files een bestand aangetroffen met naam 7. Dit bestand is binnengekomen op 12 februari 2013.

De rechtbank overweegt dat uit voornoemde bewijsmiddelen volgt dat er op 10 april 2013 een DoS-aanval op de website van de bank is gepleegd. Na onderzoek bleek dat er ten tijde van de aanval sprake was van verhoogd verkeer over het netwerk waarvoor een http post-request verantwoordelijk was. Deze post was afkomstig van één IP-adres. Dit is het adres waar verdachte woonachtig is. De post zorgde er voor dat het maximale aantal verbindingen werd bereikt waardoor de website van de bank niet langer toegankelijk was. Het is een feit van algemene bekendheid dat wanneer een website ontoegankelijk is, de opslag en/of verwer-king en/of overdracht van gegevens is verhinderd. Nadat het IP-adres werd geblokkeerd, was de website van de bank weer toegankelijk.

Op het adres waar verdachte woont, is tijdens de doorzoeking één computer van het merk Dell in beslag genomen. Op deze computer zijn verschillende programma’s aangetroffen waarmee een (d)DoS-aanval kan worden uitgevoerd. Uit onderzoek is gebleken dat het programma op 5 april 2013 is gedownload en het programma 2 op 6 april 2013. Deze bestanden zijn met de virusscanner handmatig als ‘betrouwbaar’ aangemerkt. Beide programma’s bevonden zich derhalve vóór de onderhavige DoS-aanval op de computer. Uit de IP-tap is voorts gebleken dat deze programma’s in de periode net na de DoS-aanval een groot aantal keer zijn opgestart. Op grond van het voorgaande concludeert de rechtbank dat de DoS-aanval is uitgevoerd vanaf de computer die tijdens de doorzoeking in voornoemde woning is aangetroffen.

De rechtbank overweegt voorts dat verdachte heeft verklaard dat hij een beetje computer-verslaafd was en uren achter voornoemde computer zat. Verdachte heeft voorts verklaard dat zijn zusje zes jaar oud is en dat zijn ouders niet zo goed zijn met een computer. Daarnaast zijn op de in beslag genomen USB-stick mappen aangetroffen met de namen ‘dDoS-aanvallen’ en ‘map naam 1’, alsmede een YouTube-video met de titel ‘map naam 2’. Verdachte heeft verklaard dat de USB-stick van hem is en door niemand anders wordt gebruikt. Ten slotte is door de politie geanalyseerd welke websites in de periode 19 april 2013 tot en met 26 april 2013 vanaf voornoemde IP-adres zijn bezocht en welke user-agent daarvoor is gebruikt. Hieruit is gebleken dat er in die periode regelmatig websites werden bezocht die duidelijk raakvlakken hebben met (d)DoS-aanvallen en hacken. Daarvoor werd gebruikt gemaakt van inlognamen, e-mailadressen of wachtwoorden die rechtstreeks zijn te linken aan verdachte zoals: ‘verdachte’, ‘emailadres 1’, ‘emailadres 2’ en ‘wachtwoord’.

Op grond van het voorgaande is de rechtbank van oordeel dat verdachte degene is geweest die de DoS-aanval heeft gepleegd.

Het verweer van de verdediging dat de computer van verdachte is overgenomen door derden en dat op deze wijze de DoS-aanval is uitgevoerd, volgt de rechtbank niet. Uit het dossier volgt dat het vanuit een technisch oogpunt zeer onwaarschijnlijk is dat de computer is overgenomen op een wijze zoals door verdachte is verklaard. Voorts zijn er in het kader van het technisch onderzoek op de computer geen sporen aangetroffen die wijzen op een overname van de computer door een derde. Ook in de overige bewijsmiddelen wordt voor dit standpunt geen steun gevonden. Daar komt bij dat verdachte niet consistent in zijn verklaring is en dat hij, op het moment dat hem meer informatie wordt gegeven, zijn verklaring steeds aanpast. De rechtbank acht de verklaring van verdachte dan ook niet geloofwaardig. Het verweer van de verdediging wordt dan ook verworpen.

Bewezenverklaring

Opzettelijk stoornis in de werking van enig geautomatiseerd werk veroorzaken, terwijl daardoor wederrechtelijk verhindering van de opslag, verwerking of overdracht van gegevens ten algemenen nutte of stoornis in een openbaar telecommunicatienetwerk ontstaat;

Strafoplegging

De rechtbank veroordeelt verdachte tot een werkstraf van 60 uren, subsidiair 30 dagen vervangende jeugddetentie, waarvan 30 uren, subsidiair 15 dagen vervangende jeugddetentie, voorwaardelijk met een proeftijd van twee jaar en bepaalt dat het voorwaardelijke deel van deze werkstraf niet ten uitvoer wordt gelegd, tenzij de rechter tenuitvoerlegging gelast:

  • omdat verdachte, ten behoeve van het vaststellen van zijn identiteit, geen medewerking verleent aan het nemen van een of meer vingerafdrukken of een identiteitsbewijs als bedoeld in artikel 1 van de Wet op de identificatieplicht niet ter inzage aanbiedt;
  • omdat verdachte zich voor het einde van de proeftijd schuldig maakt aan een strafbaar feit;
  • omdat verdachte tijdens de proeftijd de bijzondere voorwaarde niet heeft nageleefd;

De rechtbank stelt als bijzondere voorwaarde dat verdachte zich tijdens de proeftijd moet gedragen naar de voorschriften en aanwijzingen die worden gegeven door of namens de jeugdreclassering, uit te voeren door de William Schrikker Groep, draagt deze reclasseringsinstelling op om aan verdachte hulp en steun te verlenen bij de naleving van deze voorwaarde en bepaalt dat verdachte, hoewel hij de leeftijd van 18 jaar heeft bereikt, bij omzetting van de taakstraf in aanmerking komt voor vervangende jeugddetentie overeenkomstig artikel 77p, lid 4, van het Wetboek van Strafrecht.

Lees hier de volledige uitspraak.

/ /
, ,

joyce verhaert

Print Friendly and PDF ^

Wetsvoorstel implementatie EU-richtlijn aanvallen op informatiesystemen ingediend bij parlement

/

Het Wetsvoorstel dat strekt tot implementatie van de richtlijn 2013/40/EU van het Europees parlement en de Raad van 12 augustus 2013 over aanvullen op informatiesystemen is gisteren ingediend bij het parlement. De implementatie van de richtlijn leidt tot enkele aanscherpingen van strafbaarstellingen van computercriminaliteit in het Wetboek van Strafrecht. De wijzigingen betreffen enkele verhogingen van strafmaxima en de toevoeging van een aantal strafverzwarende omstandigheden aan de computerdelicten.

Het kabinet onderkent de toenemende risico’s van cybercriminaliteit en wil dit fenomeen krachtig aanpakken. Zie bijvoorbeeld ook het wetsvoorstel tot wijziging van het Wetboek van Strafrecht en het Wetboek van Strafvordering in verband met de verbetering en versterking van de opsporing en vervolging van cybercrime (computercriminaliteit III), waarover de Afdeling advisering van de Raad van State advies heeft uitgebracht. De aanpak wordt door de bepalingen uit de richtlijn versterkt.

Hoofdlijnen wetsvoorstel

Voor een groot deel voldoet Nederland al aan hetgeen waartoe de richtlijn verplicht.

In de jaren negentig van de vorige eeuw is het Wetboek van Strafrecht uitgebreid met bepalingen die specifiek zijn toegespitst op strafbare feiten gepleegd door middel van of met betrekking tot geautomatiseerde werken (Wet computercriminaliteit). De Wet computercriminaliteit II bouwde hierop voort. Met die wet werden het Cybercrimeverdrag en het kaderbesluit uit 2005 geïmplementeerd.

Anders dan in het Cybercrimeverdrag, het kaderbesluit en de richtlijn, waar de strafbare gedragingen bij elkaar zijn geplaatst, zijn de strafbaarstellingen van de verschillende vormen van computercriminaliteit verspreid over het Wetboek van Strafrecht opgenomen. Het betreft in de eerste plaats de computervre- debreuk (artikel 138ab Sr) en de strafbaarstelling van ernstige spam of bom- bing (artikel 138b Sr), die staan opgenomen in de Titel over de misdrijven tegen de openbare orde (Boek II, Titel V). Ook de bepalingen uit die Titel over het aftappen of opnemen van gegevens (artikelen 139ba tot en met 139e Sr) zijn relevant, voor zover het gaat om het aftappen en opnemen van computer- gegevens. Daarnaast gaat het om de artikelen 161sexies en 161septies Sr, waarin de vernieling etc. van geautomatiseerde werken en werken voor tele- communicatie is strafbaar gesteld. Deze bepalingen zijn opgenomen in Boek II, Titel VII, misdrijven waardoor de algemene veiligheid van personen of goederen in gevaar wordt gebracht. Verder kan nog gewezen worden op artikel 326c Sr, het listiglijk gebruikmaken van telecommunicatiediensten, ondergebracht in Titel XXV van Boek II over bedrog. Ook Boek II, Titel XXVII, over vernieling, bevat enkele computermisdrijven. Het betreft de artikelen 350a en 350b (beschadi- ging van computergegevens), en 351 en 351bis Sr (beschadiging van werken ten algemenen nutte), voor zover betrekking hebbend op geautomatiseerde werken.

Tot slot valt een aantal gedragingen ook binnen de termen van commune delicten, zoals valsheid in geschrift (artikelen 225 en 226 Sr) en vernieling (artikel 350 Sr).

Met bovengenoemde bepalingen is het grootste deel van de gedragingen, omschreven in de richtlijn, reeds strafbaar gesteld. Alleen artikel 9 van de richtlijn behoeft nog in wetgeving geïmplementeerd te worden. Dat artikel bevat enkele bepalingen over de minimale maximumstraffen die op de ver- schillende gedragingen moeten worden gesteld. Implementatie van dit artikel leidt tot een verhoging van de strafmaat van enkele in het Wetboek van Strafrecht opgenomen computermisdrijven naar een maximale gevangenisstraf van twee jaar. Daarnaast worden ten behoeve van de implementatie van artikel 9 van de richtlijn drie strafverzwarende omstandigheden geïntroduceerd. De maximaal op te leggen gevangenisstraf zal worden verhoogd naar drie jaar wanneer gebruik wordt gemaakt van een botnet, en naar vijf jaar wanneer het strafbare feit ernstige schade ten gevolge heeft of wanneer het feit is gepleegd tegen een geautomatiseerd werk van een vitale infrastructuur.

De implementatietermijn van de richtlijn loopt af op 4 september 2015 (artikel 16 van de richtlijn). Vóór die datum dient de richtlijn door de lidstaten op nationaal niveau te zijn omgezet.

/ /
,

joyce verhaert

Print Friendly and PDF ^