Wijziging wet computercriminaliteit, 1 september 2006

1. Introductie

Op 1 september 2006 werd een aantal wijzigingen aan de diverse wetten met betrekking op computercriminaliteit doorgevoerd. De tekst van het wetsvoorstel is hier te vinden, met de wijzigingen in het Wetboek van Strafrecht als PDF. Deze wetgeving is gebaseerd op een Europees verdrag.

Een aantal zaken wordt nu strenger bestraft, en dan met name het "misbruik van hulpmiddelen", virtuele kinderporno en afluisteren van gegevens. Het 'inbreken' in systemen is net zo strafbaar als vroeger, maar hoe zit het nu met het bezit van software tools die 'helpen' bij het afluisteren en inbreken, zoals Ethereal en Hunt? Is dit strafbaar?

In het kort is het antwoord: dat hangt van de rechter af.

Veel ingrijpender dan het voorgaande is evenwel art. 6 CCV, dat misbruik van hulpmiddelen strafbaar stelt (de term uit het verdrag, ‘devices’, omvat zowel apparatuur als programmatuur; ik gebruik daarom de term ‘hulpmiddel’ in plaats van de gebruikelijker vertaling ‘apparaat’). Volgens het verdrag moeten tal van, kort gezegd, voorbereidingshandelingen strafbaar worden gesteld die worden gepleegd met het doel om een van de voorgaande delicten te plegen. Het gaat om bijvoorbeeld het ontwikkelen, verspreiden of voorhanden hebben van apparatuur of programmatuur voor hacken, virusverspreiding of gegevensonderschepping. Ook het voorhanden hebben van wachtwoorden of toegangscodes waarmee toegang tot een computer(systeem) kan worden verkregen, is strafbaar als men van plan is om daarmee bijvoorbeeld computervredebreuk te plegen.

Om de zoektocht wat overzichtelijk te houden, kiezen we ervoor om Hunt te definiëren als een software-hulpmiddel waarmee het mogelijk is om netwerkverkeer af te tappen, en om een valse identiteit aan te nemen door arp-poisoning. We gaan enkel uit van het bezit, niet van het gebruik (dit was al strafbaar).

Direct hieronder staat een analyse van de zaken. Een overzicht van de wetsartikelen die vallen onder de noemer 'computercriminaliteit' zijn te vinden in de bijlage.

1.1. Disclaimer

De hieronder beschreven informatie en conclusies zijn gebaseerd op informatie die wij konden vinden, en op onze interpretatie. Wij zijn geen juristen. De rechter zou er heel anders over kunnen denken :)

2. Is bezit van Hunt strafbaar?

2.1. Wetsartikelen

In de bijlage staan een aantal zinvolle artikelen, maar de meest toepasbare zijn 139d en f, allebei over afluisterapparatuur (en programmatuur?).

2.2. Bestaande jurisprudentie

Sinds de wetswijzigingen zijn er nog geen uitspraken op basis van de aangepaste artikelen gedaan. In de artikelen wordt een aantal termen gebruikt die voor verschillende interpretatie vatbaar zijn; hieronder een aantal zaken, die interpretatie van de artikelen mogelijk maakt. Alle artikelen hebben een LJ-Nummer, een Landelijk Jurisprudentie Nummer. De betreffende arresten zijn na te lezen op www.rechtspraak.nl.

• LJN AY4778 is een veroordeling tot 6 maanden voorwaardelijk op basis van 139a en e. Het betreft het registreren van een ongeklede dame met haar eigen webcam; omdat er geen gegevens zijn afgetapt, maar er direct gebruik is gemaakt van bestaande apparatuur, geldt het voorbehoud in 139a niet.
  De rechter maakt dus wel onderscheid tussen hard- en software, de webcam wordt gezien als een hulpmiddel, maar artikelen die spreken over 'gegevens' worden niet van toepassing verklaard. Overigens zijn er, binnen dit rechtsgebied, verder weinig aanknopingspunten die kunnen verklaren wat een technisch hulpmiddel precies is.
• LJN AD3861 en LJN AO7009 leverde 150 uur werkstraf (met een bevestiging door de Hoge Raad) op voor de maker van het Kournikova-virus, op basis van artikel 350a, lid 3.
  Het bijzondere van deze uitspraak is de passage 'gegevens ter beschikking stelt of verspreidt', waarmee de rechter aangeeft geen onderscheid te maken tussen actieve en passieve data!

Het komt er dus op neer dat (a) er onderscheid wordt gemaakt tussen hardware en software, en (b) de rechter geen onderscheid maakt tussen actieve en passieve data.

2.3. Conclusie

In het kort: het hangt af van de interpretatie van de rechter.

Artikel 139d.2a kan van toepassing zijn als de rechter van mening is dat een PC waarop Hunt geinstalleerd is, of het programma Hunt zelf, een 'technisch hulpmiddel dat hoofdzakelijk geschikt' voor het inbreken is.

Artikel 139d.2b kan van toepassing zijn als de rechter van mening is dat software een gegeven is, vergelijkbaar met een password.

Het is onze inschatting dat het eerste artikel niet van toepassing is, omdat dit het onderscheid tussen hard- en software geen recht doet. Bij het tweede artikel zou de voorziening 'computerwachtwoord' kunnen betekenen dat de rechter het artikel niet toepasbaar verklaart; als het wetsartikel het had gehouden bij 'een gegeven waarmee toegang kan worden verkregen', dan was het zeker toepasbaar.

Aangezien er, zolang de tools niet worden gebruikt, verder geen toepasbare artikelen zijn, zouden wij het er best op durven wagen.

Bijlage: toepasbare wetsartikelen met interpretatie

Alle hieronder genoemde wetsartikelen komen uit het Wetboek van Strafrecht. Alle informatie is afkomstig van wetten.overheid.nl. Zoals in de inleiding is vermeld, heeft de wetswijziging betrekking op meer artikelen in het Wetboek van Strafrecht; we hebben er voor gekozen om niet alles op te nemen, maar alleen artikelen die iets zeggen over de hulpmiddelen en hun toepassing.

Bij elk wetsartikel is, waar nuttig, een cursieve uitleg opgenomen.

• Artikel 138a
  In Titel V, Misdrijven tegen de openbare orde, gaat artikel 138 ruwweg over inbraak.
  1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
     Dit is het beroemde artikel over 'computervredebreuk'. Overigens is het 'geautomatiseerd werk' een juridische term voor alles wat een systeem lijkt.
  1. door het doorbreken van een beveiliging,
     Juist, cracking dus.
  2. door een technische ingreep,
     Alle zaken die niet als 'normaal gebruik' aan te merken zijn.
  3. met behulp van valse signalen of een valse sleutel, of
     'valse' signalen zijn lastig te definieren, maar hiermee wordt ongetwijfeld iets bedoeld als het sturen van ACKs op een SYN die niet voor jou bedoeld is.
  4. door het aannemen van een valse hoedanigheid.
     Identity theft, dus, maar wellicht ook zaken als MAC spoofing.
  2. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of overgedragen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, aftapt of opneemt.
     Strafverzwaring ten opzichte van computervredebreuk als je informatie 'steelt'.
  3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk gepleegd door tussenkomst van een openbaar telecommunicatienetwerk, indien de dader vervolgens
     Aparte bepaling voor het gebruik van een 'openbaar telecommunicatienetwerk', internet dus.
  1. met het oogmerk zichzelf of een ander wederrechtelijk te bevoordelen gebruik maakt van verwerkingscapaciteit van een geautomatiseerd werk;
     'Verwerkingscapaciteit' is een lastig begrip, maar hier wordt waarschijnlijk gedoeld op (a) het distribueren van password cracking of (b) spambots.
  2. door tussenkomst van het geautomatiseerd werk waarin hij is binnengedrongen de toegang verwerft tot het geautomatiseerd werk van een derde.
     Bijvoorbeeld, door middel van een telnet sessie vanaf een ingenomen systeem een IP-check omzeilen.
• Artikel 138b
  Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden.
  Dit kan doelen op twee zaken, (a) spam, en (b) DOS.
• Artikel 139a
  Het hoofdartikel gaat over insluiping en bedreiging.
  1. Met gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde categorie wordt gestraft hij die met een technisch hulpmiddel een gesprek dat in een woning, besloten lokaal of erf wordt gevoerd opzettelijk:
     
     1. anders dan in opdracht van een deelnemer aan dat gesprek afluistert;
        
     2. zonder deelnemer aan dat gesprek te zijn en anders dan in opdracht van zulk een deelnemer opneemt.
        
     Dit is een algemeen artikel over afluisteren; de volgende voorzieningen zijn wel leerzaam.
  2. Het eerste lid is niet van toepassing op het opnemen:
     
     1. van gegevens die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk;
        Een bijzondere voorziening: het is toegestaan om alle signalen te ontvangen, en zelfs op te nemen, zolang je er maar geen bijzondere activiteiten voor hoeft uit te voeren. Het gebruiken van deze informatie is overigens een heel ander verhaal.
     2. behoudens in geval van kennelijk misbruik, met een technisch hulpmiddel dat op gezag van degene bij wie de woning, het lokaal of het erf in gebruik is, niet heimelijk aanwezig is;
        Nog een voorziening om 'onbewuste misdrijven' te voorkomen: je kunt er niks aan doen als je per ongeluk iets opneemt, terwijl iedereen weet dat dat zou kunnen.
     3. ter uitvoering van de Wet op de inlichtingen- en veiligheidsdiensten 2002.
        
• Artikel 139c
  
  1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.
     Net even anders dan 139a.2.1: het is wel strafbaar om deze gegevens op afstand op te vangen, niet op 'iemands erf'.
  2. Het eerste lid is niet van toepassing op het aftappen of opnemen:
     
     1. van door middel van een radio-ontvangapparaat ontvangen gegevens, tenzij om de ontvangst mogelijk te maken een bijzondere inspanning is geleverd of een niet toegestane ontvanginrichting is gebruikt.
        Zoals eerder: normaal gebruik is niet strafbaar.
     2. door of in opdracht van de gerechtigde tot een voor de telecommunicatie gebezigde aansluiting, behoudens in geval van kennelijk misbruik;
        
     3. ten behoeve van de goede werking van een openbaar telecommunicatienetwerk, ten behoeve van de strafvordering, dan wel ter uitvoering van de Wet op de inlichtingen- en veiligheidsdiensten 2002.
        
• Artikel 139d
  
  1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die met het oogmerk dat daardoor een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd werk wederrechtelijk wordt afgeluisterd, afgetapt of opgenomen, een technisch hulpmiddel op een bepaalde plaats aanwezig doet zijn.
     Dus: het plaatsen van afluisterapparatuur.
  2. Met dezelfde straf wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138a, eerste lid, 138b of 139c wordt gepleegd:
     
     1. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft, of
        Verbod op de handel in, en bezit van, afluisterapparatuur (en programmatuur?).
     2. een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan, verkoopt, verwerft, verspreidt of anderszins ter beschikking stelt of voorhanden heeft.
        Verbod op handel in andermans wachtwoorden en dergelijken.
  3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft hij die het in het tweede lid bedoelde feit pleegt terwijl zijn oogmerk is gericht op een misdrijf als bedoeld in artikel 138a, tweede of derde lid.
     Verzwaring bij een combinatie van vergrijpen; dit heeft te maken met het Nederlandse principe dat alleen het zwaarste vergrijp bestraft wordt, straffen worden dus niet 'opgeteld'.
• Artikel 139e
  Met gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde categorie wordt gestraft:
  Bestraft het voorhanden hebben van afgeluisterde informatie, en de handel in afgeluisterde informatie.
  1. hij die de beschikking heeft over een voorwerp waarop, naar hij weet of redelijkerwijs moet vermoeden, gegevens zijn vastgelegd die door wederrechtelijk afluisteren, aftappen of opnemen van een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd werk zijn verkregen;
     
  2. hij die gegevens die hij door wederrechtelijk afluisteren, aftappen of opnemen van een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd werk heeft verkregen of die, naar hij weet of redelijkerwijs moet vermoeden, ten gevolge van zulk afluisteren, aftappen of opnemen te zijner kennis zijn gekomen, opzettelijk aan een ander bekend maakt;
     
  3. hij die een voorwerp als omschreven onder 1° opzettelijk ter beschikking stelt van een ander.
     
• Artikel 139f
  Met gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde categorie wordt gestraft:
  
  1. hij die, gebruik makende van een technisch hulpmiddel waarvan de aanwezigheid niet op duidelijke wijze kenbaar is gemaakt, opzettelijk en wederrechtelijk van een persoon, aanwezig in een woning of op een andere niet voor het publiek toegankelijke plaats, een afbeelding vervaardigt;
     Verbod op het gebruik van 'vermomde' foto- of video-afluisterapparatuur (voyeurisme).
  2. hij die de beschikking heeft over een afbeelding welke, naar hij weet of redelijkerwijs moet vermoeden, door of ten gevolge van een onder 1° strafbaar gestelde handeling is verkregen.
     
• Artikel 350a
  Onder de titel Vernieling of Beschadiging, gaat 350 over het slopen of onbruikbaar maken van andermans goed (of dier (!))
  1. Hij die opzettelijk en wederrechtelijk gegevens die door middel van een geautomatiseerd werk of door middel van telecommunicatie zijn opgeslagen, worden verwerkt of overgedragen, verandert, wist, onbruikbaar of ontoegankelijk maakt, dan wel andere gegevens daaraan toevoegt, wordt gestraft met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie.
     Het veranderen, wissen of anderszins onbruikbaar maken van informatie.
  2. Hij die het feit, bedoeld in het eerste lid, pleegt na door tussenkomst van een openbaar telecommunicatienetwerk, wederrechtelijk in een geautomatiseerd werk te zijn binnengedrongen en daar ernstige schade met betrekking tot die gegevens veroorzaakt, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie.
     Verzwarende maatregelen indien dit over Internet gebeurt.
  3. Hij die opzettelijk en wederrechtelijk gegevens ter beschikking stelt of verspreidt die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie.
     Kortom: malware.
  4. Niet strafbaar is degeen die het feit, bedoeld in het derde lid, pleegt met het oogmerk om schade als gevolg van deze gegevens te beperken.
     Hierbij valt te denken aan de quarantaine-mogelijkheid van antivirus-software.
• Artikel 350b
  Gaat over het beveiligen van informatie: als je vertrouwelijke informatie niet voldoende beschermt, ben je de sjaak.
  1. Hij aan wiens schuld te wijten is dat gegevens die door middel van een geautomatiseerd werk of door middel van telecommunicatie zijn opgeslagen, worden verwerkt of overgedragen, wederrechtelijk worden veranderd, gewist, onbruikbaar of ontoegankelijk gemaakt, dan wel dat andere gegevens daaraan worden toegevoegd, wordt, indien daardoor ernstige schade met betrekking tot die gegevens wordt veroorzaakt, gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie.
     
  2. Hij aan wiens schuld te wijten is dat gegevens wederrechtelijk ter beschikking gesteld of verspreid worden die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie.