Let op: deze tekst dateert uit 1997!
Hoofdstuk 3: Criminaliteit
Up-to-date informatie over computercriminaliteit: |
Hacken en computer-criminaliteit
Het woord "hacken" verwees oorspronkelijk naar activiteiten die een grote hoeveelheid expertise en kennis van computersystemen vereisen. Tegenwoordig is het vrijwel een synoniem geworden voor illegale activiteiten. »»
|
De Wet Computercriminaliteit
Opzettelijk en wederrechtelijk binnendringen in computersystemen is strafbaar als computervredebreuk. Daarnaast verbiedt deze wet vernieling van gegevens, verstikkingsaanvallen en andere vormen van cybercrime. »»
|
Inleiding
De vele mogelijkheden die een account bij Stack biedt, kunnen
ook misbruikt worden. Gebruikers kunnen auteursrechten schenden,
illegale informatie aanbieden, de privacy van andere gebruikers schenden
of andere gebruikers lastigvallen. Een groot gedeelte van deze vormen
van misbruik is in de wet strafbaar gesteld. Aangezien Stack
medeplichtig gehouden kan worden aan wetsovertredingen begaan op haar
computersystemen, is het noodzakelijk te bepalen wat wel en niet
toegestaan is.
3.1 De wet computercriminaliteit
De Wet Computercriminaliteit (1993) had een aantal aanpassingen
in onder andere het Wetboek van Strafrecht tot gevolg.
Het accent bij de ingevoerde wetsartikelen ligt op het
onbruikbaar of ontoegankelijk maken van gegevens en op het zonder
toestemming gebruiken van computersystemen. Voor Stack zijn vooral
de artikelen betreffende computervredebreuk, vernielen van gegevens en
verboden programma's/gegevens (De wet kent het begrip
"programma" niet. Artikel 80quinquies van het Wetboek van Strafrecht
definieert gegevens zodanig dat ook programma's hier onder vallen)
van belang.
3.1.1 Computervredebreuk
Analoog aan "huisvredebreuk" wordt het begrip "Computervredebreuk"
geïntroduceerd. Ingevolge artikel 138a, lid 1, van het Wetboek van Strafrecht
is het een misdrijf om opzettelijk en wederrechtelijk in een computersysteem
binnen te dringen, indien men
- daarbij enige beveiliging doorbreekt, of
- via een technische ingreep, met behulp van valse signalen,
een valse sleutel (dit kan o.a. een wachtwoord zijn)
of door het aannemen van een valse hoedanigheid, toegang verwerft.
Dit betekent dus dat bijvoorbeeld het gebruiken van een geraden password om
van andermans account gebruik te maken in strijd is met de wet. Er is hier
immers
sprake van het aannemen van een valse hoedanigheid. Je zou ook kunnen
denken aan netwerksniffers, of technieken als IP spoofing, waarbij je je
voor een andere computer kunt uitgeven om zo gebruik te maken van de
privileges van die computer.
Belangrijk element in dit wetsartikel is beveiliging. Het inloggen
op een systeem zonder dat daar een beveiliging op zit, hoe miniem ook, valt
niet onder dit wetsartikel. Dit impliceert dus dat Stack al haar
computersystemen van beveiligingen dient te voorzien, voorzover dat
mogelijk is. Gelukkig is dit dankzij het systeembeheer al het geval.
Er kunnen drie gevallen worden onderscheiden.
- Inbraken bij Stack door buitenstaanders. Hier is weinig tegen
te doen, gezien het vaak internationale karakter
dat dit soort zaken zullen hebben.
De gebruikelijke procedure in dit soort gevallen is het verwijderen van de
indringer, het (tijdelijk) afsluiten van de gecompromitteerde
account(s) en het dichten van het lek, indien nodig.
- Inbraken bij Stack door eigen gebruikers. Het is gebruikelijk om dit
soort gevallen intern af te handelen. Het account van de gebruiker
wordt, na een waarschuwing, tijdelijk dichtgezet en bij herhaling
permanent.
- Inbraken bij derden vanaf de Stack systemen. Hiervoor wordt op
dit moment dezelfde procedure gehanteerd als bij geval 2.
In het laatste geval kan Stack aansprakelijk gesteld worden voor de
schade die voortvloeit uit de inbraak. Het is dus aan te bevelen dat hiertegen
hard wordt opgetreden.
3.1.2 Vernielen van gegevens
Het Wetboek van Strafrecht, artikel 350a lid 1, stelt dat het opzettelijk en
wederrechtelijk vernielen,
veranderen, wissen of het onbruikbaar/ontoegankelijk maken van andermans
gegevens strafbaar is. Artikel 350b stelt voorts dat een persoon aan wiens
schuld het te wijten is dat bovengenoemde schade aangericht wordt ook
strafbaar is.
Dit laatste artikel heeft niet direct betrekking op Stack. Het gaat hier
om situaties waarin iemand bijvoorbeeld een programma gebruikt dat
schade aanricht. Natuurlijk is Stack wel aansprakelijk wanneer een
bestuurs- of commissielid schade aanricht (Zie hiervoor ook
hoofdstuk 2).
Wij bevelen daarom aan dat een clausule in de akkoordverklaring op wordt
genomen waarin het lid verklaart Stack niet aansprakelijk te zullen stellen
voor verlies of beschadiging van gegevens die op haar systemen worden
opgeslagen. Tevens moet worden vastgelegd dat het lid zelf alle
veroorzaakte schade zal vergoeden.
Natuurlijk neemt dit niet weg, dat disciplinaire maatregelen op zijn plaats
zijn wanneer de vernielingen worden aangericht door een Stack lid.
De risico's die leden lopen door gebruik te maken van de Stack systemen
dient duidelijk aangegeven te worden, bijvoorbeeld via
het Stack Informatie Systeem, SIS.
3.1.3 Verboden programma's
Volgens artikel 32a van de Auteurswet 1912 is het niet toegestaan
programma's die speciaal bedoeld zijn om kopieerbeveiligingen te doorbreken
of het ontwijken van zulke beveiligingen te vergemakkelijken
- openlijk ter verspreiding aan te bieden,
- voor verspreiding of import in Nederland voorhanden te hebben, of
- te bewaren uit winstbejag.
Het gaat hier expliciet niet om wachtwoord-kraakprogramma's, maar
enkel om programma's om kopieerbeveiligingen in programmatuur, of andere
beveiligingen in een programma te verwijderen of te ontwijken.
Voor wat betreft het kraken van wachtwoorden of het verspreiden van
manieren om systemen te hacken, is artikel 326c van het Wetboek van Strafrecht
van toepassing. Dit stelt dat het openlijk ter verspreiding aanbieden of
op voorraad hebben, of het uit winstbejag maken of bewaren van gegevens
die zijn bedoeld om onrechtmatig binnen te dringen in publieke systemen
strafbaar is.
Artikel 350a van het Wetboek van Strafrecht, lid 3 stelt dat het ter
beschikking stellen of verspreiden van computervirussen strafbaar is,
tenzij de verspreider dit doet om de schade door de virussen te beperken.
Denk hierbij aan virus-onderzoekers.
Natuurlijk kan ook het in bezit hebben van commerciële software strafbaar
zijn. Dit is echter meer een auteursrechtenkwestie (zie ook paragraaf
3.2).
Gebaseerd op het bovenstaande bevelen wij aan het bewaren van de
volgende soorten programma's/gegevensdragers op de systemen van Stack
te verbieden.
- Programma's om kopieerbeveiligingen te verwijderen of minder effectief
te maken, alsmede lijsten/programma's met wachtwoorden voor beveiligingen
in programma's.
- Programma's die wachtwoorden voor computersystemen kunnen kraken, zoals
Crack en Cops en programma's die het binnendringen in computersystemen
kunnen vergemakkelijken, zoals Satan.
- Programma's die zijn bedoeld om schade aan te richten binnen systemen,
zoals computervirussen of wormen.
- Commerciële software, tenzij er sprake is van "shareware" of er
toestemming is van de maker om de software te verspreiden.
- Programma's, documenten of andere gegevensdragers waarop auteursrecht
rust, tenzij de eigenaar van het auteursrecht hiervoor toestemming heeft
gegeven, of er sprake is van een uitzonderingssituatie zoals in de wet
is aangegeven.
De aan te bevelen procedure voor dit soort gevallen is het ontoegankelijk maken
van de gegevens/programmatuur tot de eigenaar langs is gekomen voor een
gesprek met het systeembeheer. Kan het lid bij dit gesprek niet aannemelijk
maken dat de gegevens/programmatuur legitiem zijn en niet onder de
bovenstaande regels vallen, dan dient het lid deze
per direct te verwijderen.
3.2 Auteursrechten
Zoals in paragraaf 3.1 al is opgemerkt, is het zonder toestemming
van de rechthebbende in bezit hebben van commerciële software illegaal.
Dit geldt natuurlijk ook voor andere gegevensdragers waarop auteursrechten
rusten.
Er bestaat echter wel een uitzonderingsregel hierop. Deze regel staat
bekend als "citaatrecht" (Fair Use in het Engels). Het komt er kortweg
op neer dat delen uit beschermde werken mogen worden gebruikt wanneer
dit gebeurt met het doel het te bespreken of te bekritiseren. Zo kun
je bijvoorbeeld een plaatje uit een spel gebruiken als illustratie bij
een bespreking van dat spel, of een citaat uit een document om aan te
tonen dat dat document onzin bevat.
Helaas is het in de praktijk erg lastig om algemeen vast te stellen waar
de grenzen liggen bij citeren en ander gebruik volgens het citaatrecht.
Dit kan eigenlijk alleen
maar van geval tot geval worden bekeken. Om die reden is het dan ook
niet mogelijk om hier precies aan te geven wat wel en niet toegestaan
kan worden op de Stack computersystemen.
De enige praktisch haalbare regel is dan ook, dat in geval van twijfel
de desbetreffende documenten direct ontoegankelijk worden gemaakt, totdat
de zaak verder uitgezocht is. Stack dient dus geen officiële regels
of richtlijnen te hebben over wat nu precies onder "citaatrecht" valt.
Gebruikers dienen in een verklaring akkoord te gaan met de eis om
geen auteursrechten van derden te schenden. Doen zij dit toch en
wordt Stack hiervan op de hoogte gesteld, dan dienen de
materialen direct ontoegankelijk gemaakt te worden. Zolang de
rechthebbende zelf geen aktie onderneemt tegen schendingen van haar
auteursrecht, hoeft Stack dat ook niet te doen.
3.3 Eisen van systeembeheer
De in paragraaf 3.1 beschreven aktiviteiten en programmatuur zijn simpelweg verboden in
de Nederlandse wet. Echter, het systeembeheer van Stack heeft ook diverse
eisen voor wat betreft "criminaliteit" op onze computersystemen. Deze
eisen zijn voornamelijk gericht op het principe dat gebruikers elkaar niet
lastig mogen vallen en het systeem niet nodeloos mogen belasten.
Deze eisen zijn onveranderd overgenomen. De naleving zou geen problemen
op moeten leveren.
- Het is niet toegestaan het account door anderen te laten gebruiken.
- Het is niet toegestaan e-mail te versturen of op Usenet te posten
met een niet bestaande loginnaam, e-mail adres of echte naam, of onder
de loginnaam, e-mail adres of echte naam van iemand anders.
- Het is niet toegestaan andere gebruikers lastig te vallen, bijvoorbeeld
door het sturen van een groot aantal talk requests, of het verzenden
van "mail bombs" (in omvang en/of aantal grote e-mail berichten).
Conclusies en aanbevelingen
Hoewel Stack er niet op uit is handelingen van haar leden aktief
te controleren op rechtmatigheid, dient er bij constatering van handelingen
in strijd met de wet en/of regelingen van Stack en de TUE
wel ingegrepen te worden.
Aangezien Stack verantwoordelijk gehouden kan worden voor
misdragingen van haar leden op haar computersystemen, dienen er
disciplinaire maatregelen genomen te worden wanneer dit voorkomt.
In geval van twijfel over de legaliteit van een bestand dat op de
Stack systemen aangetroffen wordt, dient het bestand ontoegankelijk
gemaakt te worden, totdat de zaak uitgezocht is.
Wij bevelen aan dat Stack in de akkoordverklaring voor gebruik
van accounts op de verenigingscomputers de volgende eisen opneemt:
- Het is niet toegestaan informatie aan te bieden of op te slaan, dan wel
handelingen te verrichten die in strijd zijn met de wet of de rechten
van derden.
- Het is niet toegestaan het account door anderen te laten gebruiken.
- Het is niet toegestaan e-mail te versturen of op Usenet te posten
met een niet bestaande loginnaam, e-mail adres of echte naam, of onder
de loginnaam, e-mail adres of echte naam van iemand anders.
- Het is niet toegestaan andere gebruikers lastig te vallen, bijvoorbeeld
door het verzenden van ``mail bombs'' (in omvang en/of aantal grote
e-mail berichten). Het is ook niet toegestaan de systemen te beschadigen of
processen te draaien die de overige gebruikers hinderen bij het gebruiken
van de systemen.
- Aanwijzingen van het systeembeheer t.a.v. het gebruik van de systemen dienen
terstond opgevolgd te worden.
Aangezien de in dit hoofdstuk gepresenteerde regels nogal complex zijn en de
ruimte in een akkoordverklaring beperkt, is in de bovenstaande lijst gekozen
voor een ietwat ingekorte versie. De volledige regels dienen natuurlijk ook
beschikbaar gesteld te worden. Wij bevelen daarom
aan dat deze in het Stack Informatie Systeem worden
op te nemen.
Aansprakelijkheid ~
Privacy
Inhoudsopgave Voorwoord
1 - Inleiding 2 - Aansprakelijkheid
3 - Computercriminaliteit 4 - Privacy
5 - Commercie 6 - Conclusies en aanbevelingen