|
|
| Auteur |
Bericht |
Arnoud Engelfriet
Leeftijd: 49
Geslacht: 
Sterrenbeeld: 
Studieomgeving (BA): UvA
Studieomgeving (MA): UvA
Berichten: 1385
|
 Geplaatst: zo 27 aug 2006 20:28 Onderwerp: Doen plegen van denial of service aanval? |
   |
|
Per 1 september wordt de nieuwe Wet Computercriminaliteit van kracht. Een van de nieuwe artikelen stelt de zogeheten denial-of-service aanval (verstikkingsaanval) strafbaar. Hierbij ontvangt het slachtoffer een (grote hoeveelheid) gegevens, waardoor de werking van diens computer of netwerk belemmerd wordt.
Nu zegt het nieuwe artikel 138b dat strafbaar is "hij die opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden."
Punt is dat de meeste van deze aanvallen niet door een enkele aanvaller verzorgd worden, maar door tientallen of honderden computers tegelijk. Meestal zijn deze 'gekaapt' door de dader, die van afstand alle computers de opdracht geeft het slachtoffer te bestoken met gegevens.
Bij de behandeling in de Tweede Kamer is voorgesteld om hieraan toe te voegen "dan wel gegevens aan te laten bieden of toe te laten zenden", maar dat is er dus niet doorgekomen.
Toch wordt in commentaren (zoals b.v. op eJure) zonder voorbehoud gemeld dat beide vormen nu strafbaar zijn met dit artikel. Maar hoe dan?
Is dit nu iets dat onder het "doen plegen" valt (art. 47 Sr)? De dader zet immers een ander (de eigenaar van de gekaapte computer) er toe aan om het slachtoffer te bestoken, en die ander kan dat niet weigeren. Dus daarmee is die eigenaar niet zelf aansprakelijk.
Of zit ik er nu helemaal naast? Ik krijg volgend jaar pas strafrecht...
Arnoud |
|
|
|
|
 |
StevenK
Moderator
Leeftijd: 51
Geslacht:
Sterrenbeeld:
Studieomgeving (BA): OU
Studieomgeving (MA): OU
Berichten: 4108
|
| Geplaatst: zo 27 aug 2006 21:43 Onderwerp: |
|
|
Ik betwijfel zelfs of je wel van 'doen plegen' kunt spreken bij een DDoS. Kenmerk is tenslotte dat de pc van de 'plegers' direct bestuurt wordt door de daadwerkelijke dader. Het is zeker niet zo dat de eigenaren / beheerders / gebruikers van die pc er op enig manier toe bewogen worden die aanval te plegen, het is de dader die zelf die pc's als instrument gebruikt.
Nu zou je nog kunnen argumenteren dat het 'doen plegen' gelegen is in het onder valse voorwendselen laten accepteren van de spyware waarmee de DDoS client op de pc's gezet wordt, maar in mijn beleving staat dat te ver af van de feitelijke DDoS. De legitieme verhuurder van een auto wordt tenslotte ook niet als feitelijk pleger van een ramkraak gezien. |
|
|
|
|
|
Nemine contradicente
Moderator
Leeftijd: 45
Geslacht:
Sterrenbeeld: 
Studieomgeving (BA): UvT
Studieomgeving (MA): UvT
Berichten: 2250
|
| Geplaatst: zo 27 aug 2006 21:56 Onderwerp: |
|
|
Interessante kwestie.
Mijn eerste ingeving zou zijn dat een parallel te trekken valt met onder bedreiging een strafbaar feit plegen.
En dit valt niet onder het doen plegen criterium.
_________________
Legere Iudicare Reparare |
|
|
|
|
|
StevenK
Moderator
Leeftijd: 51
Geslacht:
Sterrenbeeld:
Studieomgeving (BA): OU
Studieomgeving (MA): OU
Berichten: 4108
|
| Geplaatst: zo 27 aug 2006 22:04 Onderwerp: |
|
|
| Nemine contradicente schreef: | Interessante kwestie.
Mijn eerste ingeving zou zijn dat een parallel te trekken valt met onder bedreiging een strafbaar feit plegen.
|
Kun je die ingeving onderbouwen ? Want zie ik vooral het 'plegen' gedeelte niet. Als er op mijn pc een bot draait, ben ik dan pleger ? Of ben ik dat alleen omdat ik achter mijn pc zit op het moment dat de bot gebruikt wordt ? En wat als de oppas op dat moment achter mijn pc zit ? Of wat als de schoonmaker per ongeluk mijn pc aangezet heeft ? Is hij dan de pleger ?
Van 'doen plegen' in deze context zou je imnsho hooguit kunnen spreken wanneer iemand hierheen belt en met één of andere smoes, bijvoorbeeld 'ik ben van uw internet provider' mij beweegt om mijn pc aan te zetten. En dit alles natuurlijk nog afgezien van mijn argument wat ik hierboven aanvoerde, dat de pc van derde niets anders is dan een instrument. |
|
|
|
|
|
Arnoud Engelfriet
Leeftijd: 49
Geslacht:
Sterrenbeeld:
Studieomgeving (BA): UvA
Studieomgeving (MA): UvA
Berichten: 1385
|
| Geplaatst: zo 27 aug 2006 22:26 Onderwerp: |
|
|
Ok, kennelijk heb ik het 'doen plegen' niet helemaal goed begrepen. De feitelijke dader moet een persoon zijn en die moet zelf het feit plegen (daartoe bewogen door de principaal).
Dus het is hier eigenlijk veel simpeler: de hoofddader gebruikt voorwerpen die van een ander zijn, bestuurt die van op afstand en pleegt daarmee het misdrijf.
Zeg maar, hij stopt (ongemerkt) een bom in mijn tas, wacht tot ik het gebouw binnen ben en laat deze dan met de afstandsbediening ontploffen. Dan pleegt hij de aanslag. Ik ben verder niet strafrechtelijk aansprakelijk.
Zou ik het weten, en toch de bom mee naar binnen nemen, dan ben ik medepleger. En als hij me chanteert om het te doen, dan is het doen plegen?
Arnoud |
|
|
|
|
|
bona fides
Geslacht:
Studieomgeving (BA): UL
Studieomgeving (MA): UL
Berichten: 22893
|
| Geplaatst: ma 28 aug 2006 1:02 Onderwerp: |
|
|
Ik sluit me bij StevenK aan. Technisch gezien is het altijd de computer die een pakketje stuurt, maar een computer is niet strafbaar voor zijn acties. Strafbepalingen beschrijven dus menselijke handelingen. De menselijke handeling bestaat er in dat de toegang tot een geautomatiseerd werk wordt belemmerd, door (vanzelfsprekend met behulp van een computer) gegevens aan te bieden of toe te zenden. In de bepaling valt geen beperking te lezen wat betreft de manier waarop die gegevens worden aangeboden: of je die zendende computer nu van afstand bedient, of er direct zelf achter zit, de handeling valt onder de strafbepaling. (Het "achter de computer zitten" is ook maar schijn, tenzij het een laptop is zit je achter een monitor en toetsenbord die via een "netwerk" (nl. kabels) met de computer zijn verbonden.) Ik denk daarom niet dat je via "doen plegen" hoeft te redeneren.
Ik geloof wel dat je het "doen plegen" criterium juist hebt begrepen (al moet ik daarvoor mijn splinternieuwe boek "Materieel strafrecht" raadplegen  ). Het ziet op het gebruiken van een ander als instrument om een strafbaar feit te plegen. Die fysieke uitvoerder moet hierbij straffeloos zijn. Dus als iemand bij jou ongemerkt een bom in je tas stopt, ben jij de niet-strafbare fysieke dader, maar is die ander de strafbare dader via het "doen plegen" criterium. Als je het wel weet, maar zodanig bedreigd wordt dat dit een rechtvaardigingsgrond vormt om met die bom het gebouw in te lopen, is opnieuw sprake van "doen plegen". Het strafrecht maakt kennelijk een onderscheid tussen het gebruik van een voorwerp als instrument om een feit te plegen (bijv. pistool, computer), en het gebruik van een mens als instrument.
In het geval van een DDoS zie ik nog steeds geen "doen plegen", omdat de eigenaar van de gehackte computer de handeling niet zelf verricht. Hij geeft zijn computer niet (al dan niet onbewust) de opdracht om gegevens te verzenden.
(Het zou anders zijn als bijvoorbeeld iedere muisbeweging de gehackte computer een pakketje zou doen versturen... dan is de eigenaar van de computer de straffeloze fysieke dader, en is het brein achter de DDoS de doen pleger.)
_________________
Hanc marginis exiguitas non caperet. |
|
|
|
|
|
Arnoud Engelfriet
Leeftijd: 49
Geslacht:
Sterrenbeeld:
Studieomgeving (BA): UvA
Studieomgeving (MA): UvA
Berichten: 1385
|
|
|
|
|
|
bona fides
Geslacht:
Studieomgeving (BA): UL
Studieomgeving (MA): UL
Berichten: 22893
|
| Geplaatst: vr 08 sep 2006 19:34 Onderwerp: |
|
|
Mooie tekst.
Onder "Hulpmiddelen" mist denk ik de opmerking dat het gaat om het maken/vervaardigen/etc van zo'n hulpmiddel met het oogmerk één van de eerder genoemde misdrijven te plegen. In de praktijk zal het m.i. lastig zijn dit te bewijzen.
Art 139 lid 2 sub a Sr verbiedt daarom nog niet het bezit van een ping-programma met flooding ("-f") optie.
_________________
Hanc marginis exiguitas non caperet. |
|
|
|
|
|
Arnoud Engelfriet
Leeftijd: 49
Geslacht:
Sterrenbeeld:
Studieomgeving (BA): UvA
Studieomgeving (MA): UvA
Berichten: 1385
|
| Geplaatst: vr 08 sep 2006 23:52 Onderwerp: |
|
|
| bona fides schreef: |
Onder "Hulpmiddelen" mist denk ik de opmerking dat het gaat om het maken/vervaardigen/etc van zo'n hulpmiddel met het oogmerk één van de eerder genoemde misdrijven te plegen. |
U vraagt, wij draaien er een paragraaf bij
| Quote: | | In de praktijk zal het m.i. lastig zijn dit te bewijzen. |
Zou je denken? Ik mag toch hopen dat een Nederlandse rechter desgevraagd korte metten maakt met iets als:
| http://linux.softpedia.com/get/System/Networking/THC-Flood-Connect-10399.shtml schreef: | | THC-Flood Connect is a connection flooding tool which supports SSL, dumping + sending data, closing or keeping sessions etc. |
Heeft dit enig nuttig doel? Het programma kan precies 1 ding: een te kiezen poort bij een te kiezen ontvanger volpompen met data.
En dan zetten ze er bij: "Use allowed only for legal purposes."
Daarbij hoor je gewoon de "wink, wink, nudge, nudge, know what I mean, say no more".
Arnoud |
|
|
|
|
|
bona fides
Geslacht:
Studieomgeving (BA): UL
Studieomgeving (MA): UL
Berichten: 22893
|
| Geplaatst: za 09 sep 2006 0:34 Onderwerp: |
|
|
| Arnoud Engelfriet schreef: | | Heeft dit enig nuttig doel? Het programma kan precies 1 ding: een te kiezen poort bij een te kiezen ontvanger volpompen met data. |
Lijkt me erg nuttig voor het testen van netwerkverbindingen, bijvoorbeeld van een intranet.
| Quote: | En dan zetten ze er bij: "Use allowed only for legal purposes."
Daarbij hoor je gewoon de "wink, wink, nudge, nudge, know what I mean, say no more". |
Misschien, maar er is geen oogmerk een misdrijf te plegen.
Ik zie echt helemaal niets in een heksenjacht op dergelijke programma's. Dan duurt het niet meer lang of het bezit van een compiler wordt vergunningsplichtig (al zal dat eerder uit de DRM-hoek komen).
_________________
Hanc marginis exiguitas non caperet. |
|
|
|
|
|
Arnoud Engelfriet
Leeftijd: 49
Geslacht:
Sterrenbeeld:
Studieomgeving (BA): UvA
Studieomgeving (MA): UvA
Berichten: 1385
|
| Geplaatst: za 09 sep 2006 0:49 Onderwerp: |
|
|
| bona fides schreef: | | Arnoud Engelfriet schreef: | | Heeft dit enig nuttig doel? Het programma kan precies 1 ding: een te kiezen poort bij een te kiezen ontvanger volpompen met data. |
Lijkt me erg nuttig voor het testen van netwerkverbindingen, bijvoorbeeld van een intranet.
|
Er zijn tools (zoals ping) die nuttig zijn voor netwerktesting en tevens opties hebben om veel verkeer te genereren. En er zijn tools om netwerken te flooden. Dat taalgebruik geeft m.i. een duidelijk verschil in het oogmerk van de gebruiker.
Het oogmerk moet zijn "dat daarmee een verstikkingsaanval wordt gepleegd". Dus niet door de aanbieder, maar de aanbieder moet het oogmerk hebben dat een downloader daarmee mensen gaat (netwerk)verstikken.
Een tool dat enkel en alleen als "flooding tool" omschreven wordt, is voor mij evident bedoeld voor zo'n aanval. Het kan maar 1 ding, en dat wordt ook nog eens aangeduid in die typische cracker-terminologie, compleet met disclaimer dat je toch echt geen stoute dingen mag doen hiermee.
Dat roept toch een heel andere sfeer op dan een tool dat zichzelf aanduidt als "send ICMP ECHO_REQUEST packets to network hosts" en dat bij de flood optie zegt "This can be very hard on a network and should be used with caution." Dat is taal die ik verwacht bij een netwerktool. "Flood nu extra hard, ook over beveiligde verbindingen" is reclame voor een DOS-tool.
Tot een heksenjacht zou ik ook niet oproepen, dat werkt alleen maar averechts. Ik wilde alleen maar laten zien dat het volgens mij makkelijker is om het oogmerk aan te tonen dan jij stelde.
Arnoud |
|
|
|
|
|
Volento Deo
Leeftijd: 41
Geslacht:
Sterrenbeeld: 
Studieomgeving (BA): EUR
Berichten: 4007
|
| Geplaatst: za 09 sep 2006 1:48 Onderwerp: |
|
|
| Arnoud Engelfriet schreef: | | Daarbij hoor je gewoon de "wink, wink, nudge, nudge, know what I mean, say no more". |
Hahaha, dat was wel in een heeeel apart context hoor (van Monthy Python)   |
|
|
|
|
|
bona fides
Geslacht:
Studieomgeving (BA): UL
Studieomgeving (MA): UL
Berichten: 22893
|
| Geplaatst: za 09 sep 2006 2:32 Onderwerp: |
|
|
Maar hoe bewijs je dat dit het oogmerk is van de aanbieder? De aanbieder zelf ontkent het. Een nuttig gebruik in een privé-netwerk is ook goed denkbaar.
In De Hullu's Materieel Strafrecht lees ik dat het oogmerk-bestanddeel strikter is dan opzet. Zo is voorwaardelijke opzet niet voldoende. Ik zie niet in hoe je op basis van de website en wetenschap van de tool kunt hard maken dat de tool verspreid wordt met de opzet dat een misdrijf wordt gepleegd, laat staan met het oogmerk.
Wel voldoet deze tool, itt ping, aan "dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf".
_________________
Hanc marginis exiguitas non caperet. |
|
|
|
|
|
lexine
Berichten: 112
|
| Geplaatst: za 09 sep 2006 12:41 Onderwerp: |
|
|
Het THC flooding tool is niet alleen nuttig, maar kan zelfs essentieel zijn bij het bepalen van de oorzaak van netwerkproblemen. Het tool is niet gemaakt met het oogmerk er een misdrijf mee te plegen, hoewel dat heel goed mogelijk is.
De disclaimer is er niet zomaar, het zal niet de eerst ekeer zijn dat de maker van een stuk gereedschap aansprakelijk wordt gesteld voor het gebruik ervan (BV Smith & Wesson).
Gelet op het gegeven dat het tool, weliswaar niet onmisbaar is, maar wel essentieel kan zijn, kan het bezit (of het aanwezig zijn van het tool in machine leesbare vorm op de computer), zeker niet als het bewust is geïnstalleerd, als de intentie tot een strafbaar feit worden gezien. Vergelijk bijvoorbeeld het vleesmes. |
|
|
|
|
|
|
|
