Anti-botnetacties: een strafrechtelijk perspectief (en een beetje privacy)

Anti-botnetacties: een strafrechtelijk perspectief

(en een beetje privacy) prof.dr. Bert-Jaap Koops Tilburg Institute for Law, Technology, and Society (TILT) Tilburg University [email protected]

Overzicht deel I • SURF-expert opinion • anti-botnetacties • bepalingen in Wetboek van Strafrecht • algemene aandachtspunten – wederrechtelijkheid • conclusie en aanbevelingen deel II • privacy

2

Deel I. Anti-botnetacties

Expertadvies •

• •

‘expert opinion’ geschreven i.o.v. SURF: Acties tegen botnets door SURFnet en bij SURFnet aangesloten instellingen: strafrechtelijke aspecten, april 2013 http://www.surf.nl/binaries/content/assets/surf/nl/kennisban k/2013/expert_opinion_botnets_koops_mei_2013.pdf vragen: – welke typen van anti-botnetacties zijn er? – onder welke omstandigheden zijn deze strafbaar?

4

Anti-botnetacties (1)

Dittrich, D. en K.E. Himma (2005), 'Active Response to Computer Intrusions', in: H. Bidgoli. The Handbook of Information Security. Hoboken, N.J.: John Wiley &5Sons http://papers.ssrn.com/sol3/papers.cfm?abstract_id=790585)

Anti-botnetacties (2) 1.

2.

3.

observatie en registratie: 1. passief/registrerend (nazoeken DNS-informatie, registreren netflow, eventueel Deep Packet Inspection (DPI) van langskomend netwerkverkeer); 2. actief/zoekend (aantrekken van netwerkverkeer dat met een botnet samenhangt) hierbij moet ook onderscheid gemaakt worden tussen: – informatie over het botnet (verkeerspatronen e.d.) – informatie verkregen door het botnet (vermoedelijk illegaal verzameld) infiltratie en manipulatie, bijvoorbeeld het spoofen van Command & Control-verkeer, IP-spoofing en het installeren van remote exploits; overnemen en neerhalen, bijvoorbeeld – – – –

sinkholing (het routeren van botnetverkeer naar een server onder eigen beheer in plaats van naar de C&C-server) het anderszins overnemen van een C&C-server, het blokkeren van botnetverkeer, of het ontmantelen van een botnet;

acties op dit niveau kunnen gericht zijn op: – –

het botnet als geheel, dan wel de C&C-server; een geïnfecteerde computer, bijvoorbeeld het op afstand desinfecteren van een bot.

Mogelijke uitvoerders: –

–

SURFnet als ISP van bij SURFnet aangesloten instellingen, met informatiebeveiligingsdiensten door SURFcert een bij SURFnet aangesloten instelling.

6

Bepalingen in het Wetboek van Strafrecht (Sr)

Bepalingen over observatie en registratie Artikel 139c [aftappen] 1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk. 2. Het eerste lid is niet van toepassing op het aftappen of opnemen: 1°. van door middel van een radio-ontvangapparaat ontvangen gegevens, tenzij om de ontvangst mogelijk te maken een bijzondere inspanning is geleverd of een niet toegestane ontvanginrichting is gebruikt. 2°. door of in opdracht van de gerechtigde tot een voor de telecommunicatie gebezigde aansluiting, behoudens in geval van kennelijk misbruik; 3°. ten behoeve van de goede werking van een openbaar telecommunicatienetwerk, ten behoeve van de strafvordering, dan wel ter uitvoering van de Wet op de inlichtingen- en veiligheidsdiensten 2002.

8

Bepalingen over observatie en registratie Artikel 273d [inzage in communicatie-inhoud] 1. Met gevangenisstraf van ten hoogste een jaar en zes maanden of geldboete van de vierde categorie wordt gestraft de persoon werkzaam bij een aanbieder van een openbaar telecommunicatienetwerk of een openbare telecommunicatiedienst: a. die opzettelijk en wederrechtelijk van gegevens kennisneemt die door tussenkomst van zodanig netwerk of zodanige dienst zijn opgeslagen, worden verwerkt of overgedragen en die niet voor hem zijn bestemd, zodanige gegevens voor zichzelf of een ander overneemt, aftapt of opneemt; b. die de beschikking heeft over een voorwerp waaraan, naar hij weet of redelijkerwijs moet vermoeden, een gegeven kan worden ontleend, dat door wederrechtelijk overnemen, aftappen of opnemen van zodanige gegevens is verkregen; c. die opzettelijk en wederrechtelijk de inhoud van zodanige gegevens aan een ander bekendmaakt; d. die opzettelijk en wederrechtelijk een voorwerp waaraan een gegeven omtrent de inhoud van zodanige gegevens kan worden ontleend, ter beschikking stelt van een ander. 2. Het eerste lid is van overeenkomstige toepassing op de persoon werkzaam bij een aanbieder van een niet-openbaar telecommunicatienetwerk of een nietopenbare telecommunicatiedienst. 9

Bepalingen over infiltratie en manipulatie Artikel 138ab [computervredebreuk] 1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven: a. door het doorbreken van een beveiliging, b. door een technische ingreep, c. met behulp van valse signalen of een valse sleutel, of d. door het aannemen van een valse hoedanigheid.

2. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of overgedragen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, aftapt of opneemt. 3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk gepleegd door tussenkomst van een openbaar telecommunicatienetwerk, indien de dader vervolgens a. met het oogmerk zichzelf of een ander wederrechtelijk te bevoordelen gebruik maakt van verwerkingscapaciteit van een geautomatiseerd werk; b. door tussenkomst van het geautomatiseerd werk waarin hij is binnengedrongen de toegang verwerft tot het geautomatiseerd werk van een derde.

10

Bepalingen over infiltratie en manipulatie Artikel 350a 1. Hij die opzettelijk en wederrechtelijk gegevens die door middel van een geautomatiseerd werk of door middel van telecommunicatie zijn opgeslagen, worden verwerkt of overgedragen, verandert, wist, onbruikbaar of ontoegankelijk maakt, dan wel andere gegevens daaraan toevoegt, wordt gestraft met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie. 2. Hij die het feit, bedoeld in het eerste lid, pleegt na door tussenkomst van een openbaar telecommunicatienetwerk, wederrechtelijk in een geautomatiseerd werk te zijn binnengedrongen en daar ernstige schade met betrekking tot die gegevens veroorzaakt, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie. 3. Hij die opzettelijk en wederrechtelijk gegevens ter beschikking stelt of verspreidt die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie. 4. Niet strafbaar is degeen die het feit, bedoeld in het derde lid, pleegt met het oogmerk om schade als gevolg van deze gegevens te beperken.

11

Bepalingen over infiltratie en manipulatie Artikel 326 [oplichting] 1. Hij die, met het oogmerk om zich of een ander wederrechtelijk te bevoordelen, hetzij door het aannemen van een valse naam of van een valse hoedanigheid, hetzij door listige kunstgrepen, hetzij door een samenweefsel van verdichtsels, iemand beweegt tot de afgifte van enig goed, tot het verlenen van een dienst, tot het ter beschikking stellen van gegevens, tot het aangaan van een schuld of tot het teniet doen van een inschuld, wordt, als schuldig aan oplichting, gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie. (…) • •

spoofing? sinkholing?

12

Bepalingen over blokkeren van botnetverkeer op netwerkniveau Artikel 138b [(D)DoS-aanval] Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden. Artikel 161sexies, artikel 351: computersabotage • niet van toepassing op besloten netwerken • wel van toepassing op universitaire medische centra, als gevaar voor patiënten ontstaat door blokkade

13

Bepalingen over overnemen en neerhalen •

zelfde als bij infiltratie en manipulatie, namelijk binnendringen in een computer, gegevensaantasting en (afhankelijk van de werkwijze) virusverspreiding

•

subsidiariteit: keuze voor het minst ingrijpende effectieve middel – minder ingrijpend is overdragen aan de politie – maar bereikt dat het doel, als de politie er niets mee doet? – eigenrichting?  alleen subsidiair om zelf een botnet neer te halen als de overheid aanmerkelijk nalatig is om in te grijpen bij meldingen, en in noodgevallen NB subsidiariteit is ook relevant bij vraag of je op afstand geïnfecteerde computers (zonder toestemming) mag desinfecteren

•

14

Overige bepalingen: heling van gegevens Artikel 139e (huidig recht) Met gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde categorie wordt gestraft: 1°. hij die de beschikking heeft over een voorwerp waarop, naar hij weet of redelijkerwijs moet vermoeden, gegevens zijn vastgelegd die door wederrechtelijk afluisteren, aftappen of opnemen van een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd werk zijn verkregen; 2°. hij die gegevens die hij door wederrechtelijk afluisteren, aftappen of opnemen van een gesprek, telecommunicatie of andere gegevensoverdracht of andere gegevensverwerking door een geautomatiseerd werk heeft verkregen of die, naar hij weet of redelijkerwijs moet vermoeden, ten gevolge van zulk afluisteren, aftappen of opnemen te zijner kennis zijn gekomen, opzettelijk aan een ander bekend maakt; 3°. hij die een voorwerp als omschreven onder 1° opzettelijk ter beschikking stelt van een ander.

15

Overige bepalingen: heling van gegevens (2) Artikel 139f (Wetsontwerp computercriminaliteit III) 1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens: a. verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen; b. ter beschikking van een ander stelt, aan een ander bekend maakt of uit winstbejag voorhanden heeft of gebruikt, terwijl hij weet of redelijkerwijs moet vermoeden dat het door misdrijf verkregen gegevens betreft. 2. Niet strafbaar is degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang bekendmaking van de gegevens vereiste.

16

Strafbepalingen die pleiten vóór anti-botnetacties Artikel 350b 1. Hij aan wiens schuld te wijten is dat gegevens die door middel van een geautomatiseerd werk of door middel van telecommunicatie zijn opgeslagen, worden verwerkt of overgedragen, wederrechtelijk worden veranderd, gewist, onbruikbaar of ontoegankelijk gemaakt, dan wel dat andere gegevens daaraan worden toegevoegd, wordt, indien daardoor ernstige schade met betrekking tot die gegevens wordt veroorzaakt, gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie. 2. Hij aan wiens schuld te wijten is dat gegevens wederrechtelijk ter beschikking gesteld of verspreid worden die zijn bestemd om schade aan te richten in een geautomatiseerd werk, wordt gestraft met gevangenisstraf of hechtenis van ten hoogste een maand of geldboete van de tweede categorie.

 inspanningsverplichting voor systeembeheerders om ernstige gegevensschade te voorkomen

17

Algemene overwegingen

Juridische leerstukken •

maken goede bedoelingen uit? – niet voor de strafbaarheid, evt. wel voor strafoplegging

•

noodweer – ‘Niet strafbaar is hij die een feit begaat, geboden door de noodzakelijke verdediging van eigen of eens anders lijf, eerbaarheid of goed tegen ogenblikkelijke, wederrechtelijke aanranding’ (art. 41 lid 1 Sr)

•

hebben burgers (opsporings)bevoegdheden? – aanhouden en inbeslagnemen bij heterdaad – wellicht zou de wetgever ook digitale ‘inbeslagneming’ bij ‘heterdaad’ moeten introduceren

19

Hamvraag: wat is wederrechtelijk? (1) •

wederrechtelijkheid is kernelement in strafbepalingen

bij contractuele relaties: •

•

tussen SURFnet en aangesloten instellingen – bepaling over DPI? – bepaling over op afstand desinfecteren van bot? tussen aangesloten instellingen en eindgebruikers – bepalingen over monitoren van netwerkverkeer Leidraad voor het opstellen van een Acceptable Use Policy (versie 2005) van SURF-IBO: Artikel 11: Controle Misbruik en incidenten melden • met inachtneming van de WBP worden ter voorkoming van beheer- en capaciteitsproblemen evenals ter voorkoming van misbruik door de beheerder de ICT-faciliteiten via geautomatiseerde processen gecontroleerd en wordt het netwerkverkeer gevolgd; hierbij zijn de gegevens niet tot personen te herleiden (…).

 te overwegen om contracten en gedragscodes aan te passen om bepaalde anti-botnetacties mogelijk te maken

20

Hamvraag: wat is wederrechtelijk? (2) bij niet-contractuele relaties: • open maatschappelijke normen • art. 6:162 BW: onrechtmatige daad = doen of nalaten in strijd met (…) hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt, een en ander behoudens de aanwezigheid van een rechtvaardigingsgrond. • beginselen van subsidiariteit en proportionaliteit • invulling hiervan is sterk context-afhankelijk, en verschuift in tijd • •

bij anti-botnetacties zijn maatschappelijke normen nog niet uitgekristalliseerd partijen kunnen zelf ontwikkeling bijsturen  zorgvuldige praktijkacties  ontwikkelen gedragscodes

21

Conclusies en aanbevelingen •

• • •

•

bijna alle anti-botnethandelingen vallen onder gedragingen beschreven in strafbepalingen maar zijn ze wederrechtelijk? wanneer zorgvuldig wordt gehandeld (subsidiair en proportioneel), is veel mogelijk maatschappelijke norm kan worden bijgestuurd door private initiatieven neem een voorbeeld aan officier van justitie Lodewijk van Zwieten: de grens opzoeken, discussie uitlokken en kijken waar het schip strandt

22

Deel II. Privacy

Anti-botnetacties en dataprotectie •

•

Ronald Leenes, Acties tegen botnets door SURFnet en bij SURFnet aangesloten instellingen: privacy & data protectie aspecten. Een expert opinion, onderzoek i.o.v. SURF, http://www.surf.nl/binaries/content/assets/surf/nl/kennisban k/2013/expert_opinion_botnets_leenes_oktober_2013.pdf belangrijkste punten: – rechtvaardigingsgrond: artikel 8 onder f Wbp (zwaarderwegend belang) – doelspecificatie en doelbinding – wat te doen met botnetdata? • waarschuwen SURF-gebruikers • overdragen dataset aan politie i.h.k.v. algemeen belang? – opstellen gedragscode

24

Privacy in de 21e eeuw

bron: persbericht NWO, 27 januari 2014

25

VICI proposal 2013

No Place in Legal Protection Finding a new paradigm to protect citizens in the age of ubiquitous data

Prof. Bert-Jaap Koops [email protected]

TILT Tilburg Institute for Law, Technology, and Society

An everyday example

source: http://www.graflaw.com/2011/09/1 7/search-seizure-search-incidentto-a-valid-arrest/

source: http://www.lasisblog.com/tag/ search-cell-phone-incident-toarrest/

TILT Tilburg Institute for Law, Technology, and Society

Searching a smartphone •

contacts

•

email addresses

•

Internet links

•

photos, videos

•

GPS info

•

personal information

•

passwords

•

diaries

•

agendas

•

locations

•

relations

•

criminal networks

• • • • • • • • • • •

routes last used Facebook images Internet banking Bluetooth Wifi fingerprint (iPhone) DNA live video call history message history

• • •

• • •

payment which apps how often and when the phone is used malware viruses cookies

source: Dutch police, Head of Digital Investigations, showing how much police officers can get out of a smartphone

TILT Tilburg Institute for Law, Technology, and Society

Current legal protection focuses on place ‘my home is my castle’

underlying assumption most private activities take place in the home

TILT Tilburg Institute for Law, Technology, and Society

The home evaporates

source: http://www.techcrates.com/control-your-home-from-the-cloud/

TILT

Tilburg Institute for Law, Technology, and Society

Public space becomes privacy-sensitive

source: http://www.dailymail.co.uk/news/article-2488468/Stretch-roadSIXTY-CCTV-cameras.html

source: http://www.theverge.com/2012/7/5/3139586/apple-patent-googleproject-glass

source: http://http://www.zeit.de/digital/datenschutz/2011-03/dataprotection-malte-spitz

source: http://getrealphilippines.com/blog/2012/06/facebook-com-acquiresfacial-recognition-startup-face-com/

TILT

Tilburg Institute for Law, Technology, and Society

‘place’ no longer suffices to distinguish between major and minor private-life intrusions

TILT Tilburg Institute for Law, Technology, and Society

we need new concepts to mark the boundary between major and minor private-life intrusions

How can legal protection of citizens against private-life intrusions be consistently and robustly shaped in the age of ubiquitous data? TILT Tilburg Institute for Law, Technology, and Society

Onderzoeksvragen •

•

wat is de kern van privacy, in een wereld waar je je privéleven altijd bij je draagt en je overal traceerbaar bent? – ‘huisrecht 2.0’ kunnen online privacy (persoonsgegevens) en fysieke privacy geïntegreerd worden geregeld? – maakt de Grondwet nog een zinnig onderscheid in: • • • • •

•

persoonlijke levenssfeer bescherming persoonsgegevens lichamelijke integriteit huisrecht vertrouwelijkheid van communicatie

hoe moet wetgeving worden aangepast om de burger te beschermen? enkele ideeën – ‘extended self’ – mozaïektheorie: kijk naar het cumulatief effect – contextuele integriteit: zoek niet buiten de context van het onderzoek

34

Vragen en discussie

? meer vragen? [email protected]

35