elke strafbare en strafwaardige gedraging voor de uitvoering waarvan het gebruik van geautomatiseerde werken bij de verwerking en overdracht van gegevens van overwegende betekenis is. Onder computercriminaliteit worden zowel verschijningsvormen verstaan waarbij de computer het doel is van strafbare gedragingen (bijvoorbeeld hacking, virusverspreiding, dDoS) als verschijningsvormen waarbij de computer als middel wordt gebruikt (bijvoorbeeld fraude, verspreiding van kinderpornografie, schendingen van het auteursrecht etc).In dit artikel beperken we ons tot het eerste deel van deze definitie, waar het gaat om de computer als doel van strafbare gedragingen.
Het Nederlandse strafrecht is uitgewerkt in het Wetboek van Strafvordering en het Wetboek van Strafrecht. In het Wetboek van Strafvordering worden de kaders geschetst waarbinnen vervolging van strafbare feiten mag plaatsvinden, in het Wetboek van Strafrecht is opgenomen welke feiten strafbaar zijn en welke sanctie daaraan verbonden is. In dit artikel beperken we ons tot het laatstgenoemde wetboek. Onder bepaalde voorwaarden is het o.a. in het bezit hebben van bepaalde software strafbaar, in dit artikel wordt dieper ingegaan op dit punt.
Een in het oog springende verandering --De veranderingen m.b.t. het wetsvoorstel Computercriminaliteit II voor zover deze betrekking hebben op het Wetboek van Strafrecht staan duidelijk beschreven in (eJure, Wijzigingen van het wetsvoorstel Computercriminaliteit II in het Wetboek van Strafrecht)-- ten opzichte van de wet uit 1993 is de verruiming van de definitie van hacken. Eerst was er pas sprake van hacken als er sprake was van
het opzettelijk wederrechtelijk binnendringen in een geautomatiseerd werk voor de opslag of verwerking van gegevens, of in een deel daarvan, indien daarbij enige beveiliging wordt doorbroken of de toegang verworven wordt door een technische ingreep, met behulp van valse signalen of een valse sleutel dan wel door het aannemen van een valse hoedanigheid.Het doorbreken van een beveiliging is hier dus een belangrijke voorwaarde. In de nieuwe wet wordt deze voorwaarde afgezwakt:
Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven: a. door het doorbreken van een beveiliging, b. door een technische ingreep, c. met behulp van valse signalen of een valse sleutel.(Artikel 138a, lid 1). Deze formulering laat dus ruimte om buitenom de voorwaarden a, b en c toch het binnendringen van een geautomatiseerd werk strafbaar te stellen. Dit betekent dat bijvoorbeeld het anoniem inloggen op een ftp-server die ingericht staat als een publieke server, strafbaar kan zijn indien dit opzettelijk en wederrechtelijk gebeurt. De enige voorwaarden tot strafbaarstelling zijn dan dus de intentie van degene die het geautomatiseerd werk binnendringt en de omstandigheden waaronder dit gebeurt.
In de nieuwe wet zijn ook de strafmaten verhoogd. Stond op hacking eerst een gevangenisstraf van ten hoogste zes maanden of geldboete van de derde categorie (max. EUR 4500), nu is dat een gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie (max. EUR 11250).
Strafbare gedragingen die te herleiden zijn naar computercriminaliteit staan veelal niet op zichzelf: om bijvoorbeeld een hack uit te voeren, een virus te verspreiden of een (d)Dos aanval uit te voeren is het gebruik van bepaalde technische hulpmiddelen (software) nodig. De wet die tot stand gekomen is in 1993 doet hier geen uitspraken over, maar het nieuwe wetsvoorstel brengt hier verandering in aan. Artikel 139d van het Wetboek van Strafrecht handelt over misbruik van een technisch hulpmiddel. Het tweede lid van dit artikel luidt als volgt:
Met dezelfde straf wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138a, eerste lid, 138b of 139c wordt gepleegd: a. een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf, vervaardigt, verkoopt, verwerft, invoert, verspreidt of anderszins ter beschikking stelt of voorhanden heeft, of b. een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan, verkoopt, verwerft, verspreidt of anderszins ter beschikking stelt of voorhanden heeft.Artikel 138a handelt over hacking, artikel 138b handelt over (d)Dos en virusverspreiding en artikel 139c handelt over het afluisteren van telecommunicatie. Uit lid twee van artikel 161sexies wordt duidelijk dat volgens het wetsvoorstel Cybercrime II ook
het vervaardigen, verkopen, verwerven, invoeren, verspreiden of anderszins ter beschikking stellen of voorhanden hebben van een technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het opzettelijk vernielen, beschadigen of onbruikbaar maken van enig geautomatiseerd werk voor opslag of verwerking van gegevens of enig werk voor telecommunicatiestrafbaar is. Dit geldt ook als met dit hulpmiddel
een stoornis in de gang of in de werking van een geautomatiseerd werk veroorzaakt kan worden, of er een ten opzichte van zodanig werk genomen veiligheidsmaatregel verijdeld kan worden.Zelfs het voorhanden hebben van een dergelijk technisch hulpmiddel kan dus al strafbaar zijn.
Het programma ettercap is een pakketsniffer waarmee netwerkverkeer afgeluisterd kan worden. Door ettercap te installeren op een pc die onderdeel uitmaakt van een netwerk, kan het netwerkverkeer van andere computers die deel uitmaken van datzelfde netwerk worden afgetapt. Ook als de systemen met elkaar verbonden zijn via een switch kan het netwerkverkeer afgeluisterd worden doordat ettercap een zogenaamde man-in-the-middle-attack faciliteert waarbij het netwerkverkeer van het slachtoffer middels ARP-Poisoning wordt omgeleid via het systeem van de aanvaller.
Het programma ettercap is dus een hulpmiddel dat gebruikt kan worden voor het afluisteren (en opnemen) van telecommunicatie. In artikel 139c wordt het met een technisch hulpmiddel opzettelijk en wederrechtelijk aftappen of opnemen van gegevens strafbaar gesteld met een gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie (Max. EUR 11250). Er worden een aantal voorwaarden genoemd: zo is iemand die gegevens aftapt of opneemt alleen strafbaar wanneer de betreffende gegevens niet voor hemzelf bestemd zijn. Ook wordt er een uitzondering gemaakt voor het normale gebruik van een reguliere radio-ontvangapparaat, het aftappen of opnemen in opdracht van een beheerder van het telecommunicatienetwerk. Ook inlichtingen- en veiligheidsdiensten mogen onder bepaalde voorwaarden legaal gegeven aftappen en opnemen.
Volgens lid twee van artikel 139d kan het vervaardigen, verkopen, verwerven, invoeren, verspreiden of anderszins ter beschikking stellen of voorhanden hebben van ondermeer in 139c bedoelde technische hulpmiddelen strafbaar zijn, ettercap valt hier dus ook onder. Van strafbaarstelling is echter alleen sprake onder de voorwaarden die in artikel 139c genoemd zijn: ettercap kan in opdracht van een netwerkbeheerder op legale wijze worden gebruikt binnen een netwerk. Ook mag iemand gegevens aftappen op opnemen die voor hemzelf bestemd zijn, in een testomgeving mag ettercap dus ook gebruikt worden. Ten slotte mogen inlichtingen- en veiligheidsdiensten onder bepaalde voorwaarden ook gebruik maken van ettercap.
Tijdens de vergadering over het wetsvoorstel Computercriminaliteit II in de Eerste Kamer komt van Mevrouw De Wolff (GroenLinks) met de vraag aan minister Donner om meer duidelijkheid te verschaffen over de strafbaarheid van het verkopen en en bezit hebben van programma's die in hoofdzaak bestemd zijn voor het plegen van computercriminaliteit. Minister Donner reageert als volgt (Kamerstuk 2005-2006, 26671, nr. D, Eerste Kamer, Wijziging wetten ivm nieuwe ontwikkelingen in de informatietechnologie (computercriminaliteit II); Memorie van antwoord):
Mevrouw De Wolff vroeg mij wat wordt bedoeld met: de spulletjes die gebruikt moeten worden bij de voorbereiding. Ik dacht dat er gesproken was van programma's of voorwerpen. De bepaling op dat terrein kent een dubbele sleutel. Het gaat daarbij vooral om computerprogramma's die hoofdzakelijk zijn bedoeld om mee te hacken. Het programma als zodanig moet daar echter niet alleen op gericht zijn, maar het moet ook het oogmerk van de verkoper zijn om een programma te verkopen dat gebruikt kan worden om te hacken. De verkoper mag dus niet zeggen: u moet het vooral niet doen, maar dit hackprogramma is wel heel leuk voor uw verzameling programma's die u nooit mag gebruiken. Daardoor zou de situatie kunnen ontstaan waarvoor geldt: dat is niet het oogmerk. In andere gevallen is er dus wel die dubbele sleutel. De Hoge Raad is overigens in een vergelijkbare situatie met betrekking tot de uitleg van artikel 326c, tweede lid tot de conclusie gekomen dat degene die een stappenplan publiceert voor een succesvolle inbraak, strafbaar is, omdat voldaan is aan de omschrijving dat men het liet geworden, dan wel dat men het bevorderde. De term die nu wordt voorgesteld, houdt in dat daarmee een misdrijf als bedoeld wordt gepleegd. Als wij het terugdraaien van een kilometerteller strafbaar zouden stellen, dan zou een programma dat specifiek bedoeld is om de kilometerteller terug te draaien ook hieronder gebracht kunnen worden. Dat soort inbrekersmateriaal wordt op dit moment inderdaad soms verkocht. Voorzitter. Ad finire. Ceterum censeo obligationes Unitatis Europeae esse implementanda. Pacta sunt servanda!Nu is ettercap een programma dat vrij beschikbaar is, dus van verkopen van dit programma is in principe geen sprake. Verder kan aangevoerd worden dat er sprake is van plausibele legale gebruiksdoeleinden voor het programma (bijvoorbeeld het testen van of het, in opdracht van de beheerder, opsporen van onregelmatigheden in een netwerk).
Ettercap is a suite for man-in-the-middle attacks on LAN. It features sniffing of live connections, content filtering on the fly and many other interesting tricks. It supports active and passive dissection of many protocols (even ciphered ones) and includes many features for network and host analysis.In deze beschrijving wordt geen onwettig gebruik gesuggereerd. Echter, het programma kan wel degelijk gebruikt worden om strafbare feiten mee te plegen. We kunnen dus concluderen dat wanneer ettercap met goede intenties wordt gebruikt, het bezit ervan niet strafbaar is.
De beschreven informatie en conclusies zijn gebaseerd op informatie die wij konden vinden, en op onze interpretatie. Wij zijn geen juristen. De rechter zou er heel anders over kunnen denken :)