Anti-botnetacties: een strafrechtelijk perspectief (en een beetje privacy)

Transcriptie

1 Anti-botnetacties: een strafrechtelijk perspectief (en een beetje privacy) prof.dr. Bert-Jaap Koops Tilburg Institute for Law, Technology, and Society (TILT) Tilburg University

2 Overzicht deel I SURF-expert opinion anti-botnetacties bepalingen in Wetboek van Strafrecht algemene aandachtspunten wederrechtelijkheid conclusie en aanbevelingen deel II privacy 2

3 Deel I. Anti-botnetacties

4 Expertadvies expert opinion geschreven i.o.v. SURF: Acties tegen botnets door SURFnet en bij SURFnet aangesloten instellingen: strafrechtelijke aspecten, april k/2013/expert_opinion_botnets_koops_mei_2013.pdf vragen: welke typen van anti-botnetacties zijn er? onder welke omstandigheden zijn deze strafbaar? 4

5 Anti-botnetacties (1) Dittrich, D. en K.E. Himma (2005), 'Active Response to Computer Intrusions', in: H. Bidgoli. The Handbook of Information Security. Hoboken, N.J.: John Wiley & 5 Sons

6 Anti-botnetacties (2) 1. observatie en registratie: 1. passief/registrerend (nazoeken DNS-informatie, registreren netflow, eventueel Deep Packet Inspection (DPI) van langskomend netwerkverkeer); 2. actief/zoekend (aantrekken van netwerkverkeer dat met een botnet samenhangt) hierbij moet ook onderscheid gemaakt worden tussen: informatie over het botnet (verkeerspatronen e.d.) informatie verkregen door het botnet (vermoedelijk illegaal verzameld) 2. infiltratie en manipulatie, bijvoorbeeld het spoofen van Command & Control-verkeer, IP-spoofing en het installeren van remote exploits; 3. overnemen en neerhalen, bijvoorbeeld sinkholing (het routeren van botnetverkeer naar een server onder eigen beheer in plaats van naar de C&C-server) het anderszins overnemen van een C&C-server, het blokkeren van botnetverkeer, of het ontmantelen van een botnet; acties op dit niveau kunnen gericht zijn op: het botnet als geheel, dan wel de C&C-server; een geïnfecteerde computer, bijvoorbeeld het op afstand desinfecteren van een bot. Mogelijke uitvoerders: SURFnet als ISP van bij SURFnet aangesloten instellingen, met informatiebeveiligingsdiensten door SURFcert een bij SURFnet aangesloten instelling. 6

7 Bepalingen in het Wetboek van Strafrecht (Sr)

8 Bepalingen over observatie en registratie Artikel 139c [aftappen] 1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk. 2. Het eerste lid is niet van toepassing op het aftappen of opnemen: 1. van door middel van een radio-ontvangapparaat ontvangen gegevens, tenzij om de ontvangst mogelijk te maken een bijzondere inspanning is geleverd of een niet toegestane ontvanginrichting is gebruikt. 2. door of in opdracht van de gerechtigde tot een voor de telecommunicatie gebezigde aansluiting, behoudens in geval van kennelijk misbruik; 3. ten behoeve van de goede werking van een openbaar telecommunicatienetwerk, ten behoeve van de strafvordering, dan wel ter uitvoering van de Wet op de inlichtingen- en veiligheidsdiensten

9 Bepalingen over observatie en registratie Artikel 273d [inzage in communicatie-inhoud] 1. Met gevangenisstraf van ten hoogste een jaar en zes maanden of geldboete van de vierde categorie wordt gestraft de persoon werkzaam bij een aanbieder van een openbaar telecommunicatienetwerk of een openbare telecommunicatiedienst: a. die opzettelijk en wederrechtelijk van gegevens kennisneemt die door tussenkomst van zodanig netwerk of zodanige dienst zijn opgeslagen, worden verwerkt of overgedragen en die niet voor hem zijn bestemd, zodanige gegevens voor zichzelf of een ander overneemt, aftapt of opneemt; b. die de beschikking heeft over een voorwerp waaraan, naar hij weet of redelijkerwijs moet vermoeden, een gegeven kan worden ontleend, dat door wederrechtelijk overnemen, aftappen of opnemen van zodanige gegevens is verkregen; c. die opzettelijk en wederrechtelijk de inhoud van zodanige gegevens aan een ander bekendmaakt; d. die opzettelijk en wederrechtelijk een voorwerp waaraan een gegeven omtrent de inhoud van zodanige gegevens kan worden ontleend, ter beschikking stelt van een ander. 2. Het eerste lid is van overeenkomstige toepassing op de persoon werkzaam bij een aanbieder van een niet-openbaar telecommunicatienetwerk of een nietopenbare telecommunicatiedienst. 9

10 Bepalingen over infiltratie en manipulatie Artikel 138ab [computervredebreuk] 1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven: a. door het doorbreken van een beveiliging, b. door een technische ingreep, c. met behulp van valse signalen of een valse sleutel, of d. door het aannemen van een valse hoedanigheid. 2. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of overgedragen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, aftapt of opneemt. 3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk gepleegd door tussenkomst van een openbaar telecommunicatienetwerk, indien de dader vervolgens a. met het oogmerk zichzelf of een ander wederrechtelijk te bevoordelen gebruik maakt van verwerkingscapaciteit van een geautomatiseerd werk; b. door tussenkomst van het geautomatiseerd werk waarin hij is binnengedrongen de toegang verwerft tot het geautomatiseerd werk van een derde. 10

11 Bepalingen over infiltratie en manipulatie Artikel 350a 1. Hij die opzettelijk en wederrechtelijk gegevens die door middel van een geautomatiseerd werk of door middel van telecommunicatie zijn opgeslagen, worden verwerkt of overgedragen, verandert, wist, onbruikbaar of ontoegankelijk maakt, dan wel andere gegevens daaraan toevoegt, wordt gestraft met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie. 2. Hij die het feit, bedoeld in het eerste lid, pleegt na door tussenkomst van een openbaar telecommunicatienetwerk, wederrechtelijk in een geautomatiseerd werk te zijn binnengedrongen en daar ernstige schade met betrekking tot die gegevens veroorzaakt, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie. 3. Hij die opzettelijk en wederrechtelijk gegevens ter beschikking stelt of verspreidt die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie. 4. Niet strafbaar is degeen die het feit, bedoeld in het derde lid, pleegt met het oogmerk om schade als gevolg van deze gegevens te beperken. 11

12 Bepalingen over infiltratie en manipulatie Artikel 326 [oplichting] 1. Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, hetzij door het aannemen van een valse naam of van een valse hoedanigheid, hetzij door listige kunstgrepen, hetzij door een samenweefsel van verdichtsels, iemand beweegt tot de afgifte van enig goed, tot het verlenen van een dienst, tot het ter beschikking stellen van gegevens, tot het aangaan van een schuld of tot het teniet doen van een inschuld, wordt, als schuldig aan oplichting, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie. ( ) spoofing? sinkholing? 12

13 Artikel 138b [(D)DoS-aanval] Bepalingen over blokkeren van botnetverkeer op netwerkniveau Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden. Artikel 161sexies, artikel 351: computersabotage niet van toepassing op besloten netwerken wel van toepassing op universitaire medische centra, als gevaar voor patiënten ontstaat door blokkade 13

14 Bepalingen over overnemen en neerhalen zelfde als bij infiltratie en manipulatie, namelijk binnendringen in een computer, gegevensaantasting en (afhankelijk van de werkwijze) virusverspreiding subsidiariteit: keuze voor het minst ingrijpende effectieve middel minder ingrijpend is overdragen aan de politie maar bereikt dat het doel, als de politie er niets mee doet? eigenrichting? alleen subsidiair om zelf een botnet neer te halen als de overheid aanmerkelijk nalatig is om in te grijpen bij meldingen, en in noodgevallen NB subsidiariteit is ook relevant bij vraag of je op afstand geïnfecteerde computers (zonder toestemming) mag desinfecteren 14

15 Artikel 139e (huidig recht) Overige bepalingen: heling van gegevens Met gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde categorie wordt gestraft: 1. hij die de beschikking heeft over een voorwerp waarop, naar hij weet of redelijkerwijs moet vermoeden, gegevens zijn vastgelegd die door wederrechtelijk afluisteren, aftappen of opnemen van een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd werk zijn verkregen; 2. hij die gegevens die hij door wederrechtelijk afluisteren, aftappen of opnemen van een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd werk heeft verkregen of die, naar hij weet of redelijkerwijs moet vermoeden, ten gevolge van zulk afluisteren, aftappen of opnemen te zijner kennis zijn gekomen, opzettelijk aan een ander bekend maakt; 3. hij die een voorwerp als omschreven onder 1 opzettelijk ter beschikking stelt van een ander. 15

16 Overige bepalingen: heling van gegevens (2) Artikel 139f (Wetsontwerp computercriminaliteit III) 1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens: a. verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen; b. ter beschikking van een ander stelt, aan een ander bekend maakt of uit winstbejag voorhanden heeft of gebruikt, terwijl hij weet of redelijkerwijs moet vermoeden dat het door misdrijf verkregen gegevens betreft. 2. Niet strafbaar is degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang bekendmaking van de gegevens vereiste. 16

17 Artikel 350b Strafbepalingen die pleiten vóór anti-botnetacties 1. Hij aan wiens schuld te wijten is dat gegevens die door middel van een geautomatiseerd werk of door middel van telecommunicatie zijn opgeslagen, worden verwerkt of overgedragen, wederrechtelijk worden veranderd, gewist, onbruikbaar of ontoegankelijk gemaakt, dan wel dat andere gegevens daaraan worden toegevoegd, wordt, indien daardoor ernstige schade met betrekking tot die gegevens wordt veroorzaakt, gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie. 2. Hij aan wiens schuld te wijten is dat gegevens wederrechtelijk ter beschikking gesteld of verspreid worden die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie. inspanningsverplichting voor systeembeheerders om ernstige gegevensschade te voorkomen 17

18 Algemene overwegingen

19 Juridische leerstukken maken goede bedoelingen uit? niet voor de strafbaarheid, evt. wel voor strafoplegging noodweer Niet strafbaar is hij die een feit begaat, geboden door de noodzakelijke verdediging van eigen of eens anders lijf, eerbaarheid of goed tegen ogenblikkelijke, wederrechtelijke aanranding (art. 41 lid 1 Sr) hebben burgers (opsporings)bevoegdheden? aanhouden en inbeslagnemen bij heterdaad wellicht zou de wetgever ook digitale inbeslagneming bij heterdaad moeten introduceren 19

20 Hamvraag: wat is wederrechtelijk? (1) wederrechtelijkheid is kernelement in strafbepalingen bij contractuele relaties: tussen SURFnet en aangesloten instellingen bepaling over DPI? bepaling over op afstand desinfecteren van bot? tussen aangesloten instellingen en eindgebruikers bepalingen over monitoren van netwerkverkeer Leidraad voor het opstellen van een Acceptable Use Policy (versie 2005) van SURF-IBO: Artikel 11: Controle Misbruik en incidenten melden met inachtneming van de WBP worden ter voorkoming van beheer- en capaciteitsproblemen evenals ter voorkoming van misbruik door de beheerder de ICT-faciliteiten via geautomatiseerde processen gecontroleerd en wordt het netwerkverkeer gevolgd; hierbij zijn de gegevens niet tot personen te herleiden ( ). te overwegen om contracten en gedragscodes aan te passen om bepaalde anti-botnetacties mogelijk te maken 20

21 Hamvraag: wat is wederrechtelijk? (2) bij niet-contractuele relaties: open maatschappelijke normen art. 6:162 BW: onrechtmatige daad = doen of nalaten in strijd met ( ) hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt, een en ander behoudens de aanwezigheid van een rechtvaardigingsgrond. beginselen van subsidiariteit en proportionaliteit invulling hiervan is sterk context-afhankelijk, en verschuift in tijd bij anti-botnetacties zijn maatschappelijke normen nog niet uitgekristalliseerd partijen kunnen zelf ontwikkeling bijsturen zorgvuldige praktijkacties ontwikkelen gedragscodes 21

22 Conclusies en aanbevelingen bijna alle anti-botnethandelingen vallen onder gedragingen beschreven in strafbepalingen maar zijn ze wederrechtelijk? wanneer zorgvuldig wordt gehandeld (subsidiair en proportioneel), is veel mogelijk maatschappelijke norm kan worden bijgestuurd door private initiatieven neem een voorbeeld aan officier van justitie Lodewijk van Zwieten: de grens opzoeken, discussie uitlokken en kijken waar het schip strandt 22

23 Deel II. Privacy

24 Anti-botnetacties en dataprotectie Ronald Leenes, Acties tegen botnets door SURFnet en bij SURFnet aangesloten instellingen: privacy & data protectie aspecten. Een expert opinion, onderzoek i.o.v. SURF, k/2013/expert_opinion_botnets_leenes_oktober_2013.pdf belangrijkste punten: rechtvaardigingsgrond: artikel 8 onder f Wbp (zwaarderwegend belang) doelspecificatie en doelbinding wat te doen met botnetdata? waarschuwen SURF-gebruikers overdragen dataset aan politie i.h.k.v. algemeen belang? opstellen gedragscode 24

25 Privacy in de 21 e eeuw bron: persbericht NWO, 27 januari

26 VICI proposal 2013 No Place in Legal Protection Finding a new paradigm to protect citizens in the age of ubiquitous data Prof. Bert-Jaap Koops e.j.koops@uvt.nl TILT Tilburg Institute for Law, Technology, and Society

27 An everyday example source: 7/search-seizure-search-incidentto-a-valid-arrest/ source: search-cell-phone-incident-toarrest/ TILT Tilburg Institute for Law, Technology, and Society

28 Searching a smartphone contacts addresses Internet links photos, videos GPS info personal information passwords diaries agendas locations relations criminal networks routes last used Facebook images Internet banking Bluetooth Wifi fingerprint (iphone) DNA live video call history message history payment which apps how often and when the phone is used malware viruses cookies source: Dutch police, Head of Digital Investigations, showing how much police officers can get out of a smartphone TILT Tilburg Institute for Law, Technology, and Society

29 Current legal protection focuses on place my home is my castle underlying assumption most private activities take place in the home TILT Tilburg Institute for Law, Technology, and Society

30 The home evaporates source: TILT Tilburg Institute for Law, Technology, and Society

31 Public space becomes privacy-sensitive source: SIXTY-CCTV-cameras.html source: source: source: TILT Tilburg Institute for Law, Technology, and Society

32 place no longer suffices to distinguish between major and minor private-life intrusions TILT Tilburg Institute for Law, Technology, and Society

33 we need new concepts to mark the boundary between major and minor private-life intrusions How can legal protection of citizens against private-life intrusions be consistently and robustly shaped in the age of ubiquitous data? TILT Tilburg Institute for Law, Technology, and Society

34 Onderzoeksvragen wat is de kern van privacy, in een wereld waar je je privéleven altijd bij je draagt en je overal traceerbaar bent? huisrecht 2.0 kunnen online privacy (persoonsgegevens) en fysieke privacy geïntegreerd worden geregeld? maakt de Grondwet nog een zinnig onderscheid in: persoonlijke levenssfeer bescherming persoonsgegevens lichamelijke integriteit huisrecht vertrouwelijkheid van communicatie hoe moet wetgeving worden aangepast om de burger te beschermen? enkele ideeën extended self mozaïektheorie: kijk naar het cumulatief effect contextuele integriteit: zoek niet buiten de context van het onderzoek 34

35 Vragen en discussie? meer vragen? 35