Categorie Nieuwsberichten

Cybercrime jurisprudentieoverzicht – augustus 2018

jjoerlemans Een reactie plaatsen

Posted on 16/08/2018 op Oerlemansblog

Zoals ik al vaker heb aangegeven blijf ik het bijzondere interpretatie en principieel onjuist vinden dat het bekijken van foto’s in een smartphone een ‘beperkte inbreuk op het recht op privacy’ zou opleveren. Onderstaand arrest bevestigd dat nog eens. Daarnaast zijn er enkele spraakmakende cybercrimezaken met een veroordeling voor het hacken van iCloud-accounts, een milde veroordeling voor het hacken van computers in de Rotterdamse haven en een veroordeling voor deelname aan een terroristische organisatie (het ‘United Cyber Caliphate’) en de verspreiding van zorgwekkende video’s.

HR: Het bekijken van foto’s is een ‘beperkte inbreuk op de persoonlijke levenssfeer’

Op 10 juli 2018 heeft de Hoge Raad een arrest gewezen ECLI:NL:HR:2018:1121 over de rechtmatigheid van onderzoek in een smartphone. Naar aanleiding van een verkeerscontrole is er verdenking ontstaan van overtreding van de Wegenverkeerswet en Opiumwet, waarna op grond van art. 94 Sv zijn smartphone in beslag is genomen en onderzocht. Daarbij zijn foto’s in de fotogalerij in de smartphone bekeken. De Hoge Raad herhaalt relevante overwegingen uit ECLI:NL:HR:2017:592 m.b.t. onderzoek aan inbeslaggenomen elektronische gegevensdragers en geautomatiseerde werken. Het onderzoek aan de telefoon is niet alleen noodzakelijk als proportioneel te noemen, volgens het Hof. Dit oordeel acht de Hoge Raad niet onjuist en is niet onbegrijpelijk. Het bericht bekijken van foto’s in de fotogalerij op een smartphone levert niet een meer dan beperkte inbreuk op de persoonlijke levenssfeer in de zin van art. 8 EVRM op.

Veroordeling voor hacken meer dan 500 iCloud-accounts

De rechtbank Amsterdam heeft op 8 augustus een verdachte veroordeeld (ECLI:NL:RBAMS:2018:5745) voor computervredebreuk, afdreiging en het bezit van kinderpornografie.

De verdachte heeft door het raden van antwoorden op beveiligingsvragen binnengedrongen in de iCloud-accounts van 524 slachtoffers. Daarna heeft de verdachte wachtwoorden op de iCloud account gewijzigd, zodat deze tijdelijk ontoegankelijk waren en vervolgens de backups van deze iCloud accounts gedownload. Uit gesprekken op KIK op de inbeslaggenomen computer van de verdachte volgt op welke wijze de verdachte de iCloudbackups heeft gehackt.

De motivatie van de verdachte was gelegen in het vinden “pikante” foto’s en video’s, bij voorkeur meisjes tussen de 12 en 15 jaar, die hij ‘wins’ noemde. In de iCloudbackups van slachtoffers stonden foto’s, Whatsapp historie, inloggegevens van ene e-mailaccount, dropbox-, DigiD- en ING-accounts. In andere back-up bevonden zich ook Snapchat gegevens. Dit laat zien wat voor een rijkdom aan gegevens hackers van iCloudaccount kunnen binnenhalen.

De verdachte is vrijgesproken voor voorhanden hebben van ‘Elcomsoft Phone Breaker’, omdat het programma niet is ontworpen (hoofdzakelijk geschikt is gemaakt) met het oogmerk computervredebreuk te plegen. Het programma kan ook voor legale doeleinden worden gebruikt. Wel is duidelijk dat het programma gebruikt om de iCloud-backups van slachtoffers te downloaden.

Één van de slachtoffers werd gedreigd naaktfoto’s van haar en haar vriend openbaar te maken, als zij niet aan het verzoek van de dader zou voldoen nog meer pikante foto’s en video’s te sturen. Het slachtoffer zag dat de laatste logins op haar e-mail account waren gedaan op het IP-adres in gebruik bij verdachte. In de map op de computer van de verdachte werden de foto’s teruggevonden, waarmee de afdreiging kon worden bewezen. In de woning van verdachte hebben twee doorzoekingen plaatsgevonden. Daarbij zijn op gegevensdragers in totaal 130.000 afbeeldingen met kinderpornografie aangetroffen.

De verdachte is veroordeeld voor 3 jaar gevangenisstraf, waarvan een jaar voorwaardelijk met een proeftijd van drie jaar. Ook moet de verdachte worden opgenomen in een kliniek om voor de duur van maximaal tien weken voor behandeling.

Veroordeling ‘Rotterdamse havenhacker’

De rechtbank Rotterdam heeft op 3 mei 2018 een verdachte veroordeeld (ECLI:NL:RBROT:2018:5141) voor computervredebreuk. De verdachte hackte zogenoemde ‘containerlijsten’ van de Rotterdamse haven en gaf deze door aan drugscriminelen. Deze lijsten werden gebruikt voor de invoer van verdovende middelen in de haven. De verdachte is veroordeeld voor 176 uur taakstraf. Ik vermoed dat dit nieuwsbericht ook over deze zaak gaat.

De verdachte is vrijgesproken van een technisch hulpmiddel (de programma’s ‘Metasploit’ en ‘Zenmap’) met het oogmerk computervredebreuk te plegen. Deze software worden als ‘penetration testing’ tools gebruikt. Naar het oordeel van de rechtbank biedt het dossier ‘slechts aanwijzingen’ dat de software is gebruikt bij het plegen van de misdrijven. Niet kan worden vastgesteld dat zij voor dit doeleinde ‘hoofdzakelijk geschikt zijn gemaakt of ontworpen’, zoals art. 139d lid 2 sub a Sr vereist. Wel is hij veroordeelt voor het voorhanden hebben van het programma Medusa, Hydra en RWW Attack, waarmee hij het netwerkverkeer van het draadloze toegangspunt heeft afgeluisterd en opgenomen, waardoor een beveiligingswachtwoord kon worden achterhaald.

De inbeslaggenomen Macbook Pro van de verdachte was versleuteld, maar kon met behulp van ‘recovery key’ op de iPhone van de verdachte worden ontsleuteld. Gegevens op de Macbook en weinig verhullende Whatsapp gesprekken (zoals “Heb de login server van [naam bedrijf 3] gevonden” en “Nu nog gebruikersnamen en wachtwoorden vinden”) leverden het benodigde bewijs op voor computervredebreuk (art. 138ab Sr).

Veroordeling voor maken en verspreiden van terroristische video’s

De Rechtbank Rotterdam heeft op 13 maart 2018 een minderjarige verdachte veroordeeld (ECLI:NL:RBROT:2018:5367) voor deelname aan een terroristische organisatie en het maken en verspreiden van ernstige opruiende video’s. Het onderzoek ‘26Brookhaven’ ving aan met (i) informatie uit de opsporingsautoriteiten in de Verenigde Staten, (ii) een ambtsbericht van de AIVD van 9 juni 2017 en (iii) een digitale melding bij de politie Midden Nederland op 8 mei 2017. De verdachte is op 15 juni 2017 aangehouden, waarbij het bewijs van bovenstaande video’s op zijn laptop werd gevonden, alsmede contact met een hoge leidinggevende bij IS en het ‘United Cyber Caliphate’.

De video’s bestonden uit gewelddadige IS films, maar ook ander materiaal zoals een videoclip over een aanslag op Utrecht Centraal en een brandende Domtoren ‘met begeleidende onheilspellende teksten’. Ook heeft de verdachte een video gemaakt, waarin executies te zien zijn en waarin een zogenaamde kill-list wordt gedeeld: het betreft een lijst van 8000 mensen, met daarbij een oproep mensen te doden. De verdachte heeft deze video via Telegram gedeeld met United Cyber Caliphate, maar ook op YouTube geplaatst. De verdachte heeft verder samen met een persoon in Zweden een video gemaakt waarin de ‘Counter Terrorism’-directeur werd bedreigd, ook in deze video was een executie te zien, welke video op de computer van verdachte werd aangetroffen.

Op de verdachte is het jeugdstrafrecht toegepast. Hij is veroordeeld voor 181 dagen jeugddetentie en een voorwaardelijke gevangenisstraf van zes maanden met bijzondere voorwaarden.

Voorhanden hebben van software met het oogmerk computervredebreuk te plegen

De Rotterdamse hackerzaak en iCloudaccount hacks laten zien dat ook het voorhanden hebben van programma’s met het oogmerk computervredebreuk te plegen strafbaar kan zijn. IT-beveiligingsonderzoekers zijn soms bezorgd over de vraag of hun normale pentest-tools zoals Metasploit ook illegaal zijn, maar die worden gebruikt om volgens afspraak (waardoor de strafbaarheid (‘wederrechtelijkheid’) vervalt) computers binnen te dringen. Er is dan geen oogmerk computervredebreuk te plegen en dus niet strafbaar.

Art. 139d lid 2 sub a Sr schrijft ook voor het moet gaan om software dat ‘hoofdzakelijk geschikt is gemaakt’ om (o.a.) computervredebreuk te plegen. Op dit punt waren de rechtbanken er niet van overtuigd, voor zover de software (in deze zaken Metasploit, Zenmap en Elcomsoft Phone Breaker) ook voor legale doeleinden kan worden gebruikt. Wel is de Rotterdamse havenhacker veroordeeld voor het bezit (‘voorhanden hebben’) van de programma’s Medusa, Hydra en RWW Attack, waarbij de rechtbank de overtuiging had dat die wel hoofdzakelijk geschikt zijn gemaakt om strafbare feiten te plegen (namelijk het aftappen van netwerkverkeer teneinde een beveiligingswachtwoord te achterhalen).

Er is niet zoveel jurisprudentie over dit delict en deze zaken zijn alleen daarom al interessant. Ik vraag mij ook af hoe het zich verhoudt (en of dat er überhaupt een relatie heeft) met bijvoorbeeld het voorhanden hebben van versnijdingsmiddelen bij drugs die ook voor legale doeleinden kunnen worden gebruikt. Suggesties of gedachtes hierover per e-mail zijn uiteraard welkom!

Wet computercriminaliteit III aangenomen

jjoerlemans Een reactie plaatsen

Posted on 26/06/2018 op Oerlemansblog

De Wet computercriminaliteit III is vandaag (26 juni 2018) ook door de Eerste Kamer aangenomen! De wet is op 21 september 2018 in het Staatsblad gepubliceerd (Stb. 2018, nr. 322) en treed op 1 maart 2019 in werking (Stb. 2019, nr. 67).

In mei 2013 berichtte ik voor het eerst over de conceptversie van de Wet computercriminaliteit III en in het najaar van 2017 schreef ik een overzichtsartikel (.pdf) over het wetsvoorstel. Sindsdien is het wetsvoorstel slechts op detailpunten gewijzigd. Deze wet is – zoals zoveel wetten – niet perfect. Toch ben ik blij dat de wet is aangenomen en een noodzakelijke update van het Wetboek van Strafrecht en Strafvordering wordt doorgevoerd.

Toezeggingen op het laatste moment

In het nadere memorie van antwoord voor de Eerste Kamer bevestigt minister Grapperhaus dat de Wet computercriminaliteit III na twee jaar wordt geëvalueerd. Jaarlijks zullen statistieken van het gebruik van binnendringingssoftware openbaar gemaakt worden. De vele regels die nu van toepassing zijn op het gebruik van ‘binnendringingssoftware’ noopt ook tot de vraag of de wetgeving nog wel werkbaar is. Ook deze vraag wordt in de evaluatie meegenomen.

Een wijziging aan het wetsvoorstel dat wordt meegenomen is dat de logginsplicht in het besluit met betrekking tot de uitvoering van de hackbevoegdheid is uitgebreid naar voorbereidende fase van het onderzoek: het binnendringen in het geautomatiseerde werk. De logging bestaat onder meer uit het (automatisch) vastleggen van het beeldscherm en de toetsaanslagen van de opsporingsambtenaar van een technisch team, de communicatie tussen de technische infrastructuur van de politie en het geautomatiseerde werk, de gebruikte scripts, softwareversies en het journaal van de opsporingsambtenaar.

Toezicht achteraf

Tijdens het wetstraject is door diverse auteurs en maatschappelijke organisaties kritiek geuit op de toezicht achteraf op de uitvoering van de nieuwe hackbevoegdheid. Grapperhaus legt uit dat ondanks deze kritiek het toezicht belegd blijft bij de Inspectie Justitie en Veiligheid. Dit toezicht ziet vooral op het nakomen van de vele voorgeschreven procedures van de hackbevoegdheid, maar niet op de rechtmatigheid van de inzet, waaronder de proportionaliteit van de inzet van het middel. “Magistratelijk toezicht”, naast het toezicht vooraf, wordt niet als nodig en als ‘passend in het systeem’ gezien. Toch heeft de minister tijdens de behandeling van de wet in de Eerste Kamer toegezegd in de evaluatie te toetsen of het stelsel van systeemtoezicht op de hackbevoegdheid voldoende is.

Cybersecuritybeeld 2018

jjoerlemans Een reactie plaatsen

Op 13 juni 2018 heeft het Nationaal Cyber Security Centrum (NCSC) het Cybersecuritybeeld Nederland gepubliceerd. In het cybersecuritybeeld wordt elk jaar een overzicht gegeven van de belangrijkste dreigingen voor Nederland. Ook worden de belangrijkste incidenten van afgelopen jaar besproken en trends weergegeven.

Nieuw is dat dit jaar een cyberaanval van een ‘kwaadwillend’ land als grootste digitale gevaar voor Nederland wordt genoemd. Gesteld wordt dat er nauwelijks nog conflicten op de wereld zijn waar bij géén digitale wapens worden ingezet. De technieken en kwaadaardige software die daarvoor worden gebruikt komen echter vervolgens in handen van criminelen die daarvoor gebruik maken. Een voorbeeld hiervan – en het grootste cybersecurityincident voor Nederland in 2017, vormde de aanval met ‘Not-Petya malware’ op 27 juni 2017. NotPetya was gebaseerd op de kwetsbaarheid ‘Eternalblue’ die toegeschreven is aan de NSA.  Daar was in maart 2017 al een patch voor beschikbaar, maar werd door veel computergebruikers niet geïnstalleerd. De verspreiding van de malware (hoofdzakelijk in Oekraïne) zorgde voor grote schade. Het bleek geen ransomware te zijn, maar ‘wiperware’. Dat wil zeggen dat de gegevens op besmette computers gewist worden. Het containerbedrijf Maersk, onder andere gevestigd in de haven van Rotterdam, ondervond zo’n 300 miljoen euro schade en moest ongeveer 45000 computers herinstalleren. De NotPetya-aanval is door onder andere de Verenigde Staten, Denemarken en het Verenigd Koninkrijk geattribueerd aan Rusland.

Cyberaanvallen zijn ‘profijtelijk, laagdrempelig en weinig riskant’, aldus het rapport. Daarom waarschuwen de auteurs van het rapport dat ‘in de context van recente geopolitieke ontwikkelingen staten digitale aanvallen instrumenteel blijven inzetten en mogelijk op grotere schaal toepassen’. In combinatie met de toenemende digitalisering van de samenleving neemt het risico op maatschappelijke ontwrichting toe. In 2017 zijn bij digitale inbraken bij diverse Europese multinationals en onderzoeksinstellingen in de energie-, hightech- en chemische sector, terabytes aan vertrouwelijke gegevens zijn gestolen.

Toch kunnen ook eenlingen nog steeds ernstige schade veroorzaken. Als voorbeeld worden de ddos-aanvallen op De Belastingdienst, DigiD en enkele banken genoemd. Hiervoor werd een 18-jarige jongeman gearresteerd die naar verluid de aanvallen kon uitvoeren met een ‘webstresser’ van 40 euro. Wellicht is niet geheel toevallig op 25 april 2018 door het Openbaar Ministerie de website ‘webstresser.org’ uit de lucht gehaald. Nieuwe, populaire vormen van cybercrime zijn ‘cryptomining’ en ‘cryptojacking’. Daarbij wordt met malware of via websites cryptografische munten aangemaakt door gebruikmaking van de rekenkracht van computers.  In het Smominru-botnet waren bijvoorbeeld meer dan 526.000 Windows-machines besmet met cryptominingmalware, waarmee naar verluid 2 miljoen dollar is verdiend.

Ten slotte is de scherpte stijging van meldingen van beveiligingslekken bij het NCSC opvallend. Tussen mei 2017 en april 2018 waren dat er 1140 meldingen, terwijl in het jaar daarvoor slechts 294 meldingen waren. De sterke stijging van meldingen zijn vooral uit India afkomstig.

Publicatie tapstatistieken

jjoerlemans Een reactie plaatsen

Publicatie tapstatistieken AIVD en MIVD

Op 13 maart 2018 hebben de ministers van Binnenlandse Zaken en Koninkrijksrelaties en Defensie via een Kamerbrief de tapstatistieken van de AIVD en MIVD geopenbaard. De cijfers gaan over de inzet van de bevoegdheid in art. 25 Wiv 2002. Het gaat daarbij niet alleen over het plaatsen van een telefoontap en internettap, maar ook over het plaatsen van een microfoons bij een target.

De statistieken zijn daarmee anders samengesteld dan de statistieken over de inzet van de telecommunicatietap door politie en justitie (in 2016 nog bijna 25.000). Daar gaan de cijfers namelijk over de inzet van de telefoon- en/of internettap per uniek nummer.

JaartalAantal AIVDAantal MIVD
20025590
20036910
200477519
200599021
20061.32421
20071.25230
20081.24639
20091.29877
20101.40555
20111.81470
20122.06064
20132.23085
20142.40465
20152.544138
20163.095382
20173.20534

De tapstatistieken zijn geopenbaard na ene jarenlange een procedure van Bits of Freedom. De Raad van State oordeelde in december dat de minister geheimhouding van de tapstatistieken beter moest onderbouwen (Raad van State 20 december 2017, ECLI:NL:RVS:2017:3508). Al eerder vond de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) de statistieken niet staatsgeheim.

Uit de cijfers komt een duidelijke stijging van de inzet van de bijzondere bevoegdheid van art. 25 Wiv 2002 naar voren. In de brief wordt dit verklaard door het veranderende dreigingslandschap, onder andere op het gebied van terrorisme en cybersecurity.

Digitaal bewijs in moordzaken II

jjoerlemans Een reactie plaatsen

Posted on 16/04/2018 on Oerlemansblog

Ook in niet-cybercrime zaken kan digitaal bewijs een cruciale rol spelen. Neem bijvoorbeeld deze zaak van de rechtbank Limburg op 28 maart 2018.

In deze zaak is de verdachte veroordeeld tot 18 jaar gevangenisstraf voor moord op zijn vrouw. De rechtbank verhaald dat “terwijl zij nietsvermoedend in haar keuken een sigaret draaide, de verdachte haar van achteren heeft vastgegrepen en door een verwurging/nekklem om het leven heeft gebracht”. In deze zaak heeft digitaal bewijs op de telefoon van de verdachte een prominente rol gespeeld bij het bewijzen van de vereiste voorbedachte rade bij moord. Ook speelde DNA-bewijs een belangrijke rol bij de veroordeling.

Uit het digitaal forensisch onderzoek op apparaten van van de verdachte is gebleken dat de verdachte onder andere op de volgende veelzeggende zoektermen heeft gezocht:

“- dodelijk gif op 29 september 2015 (20:58 uur);

– nek breken op 4 oktober 2015 (21:33 uur);

– overlijden voor definitieve echtscheiding op 4 oktober 2015 (22:17 uur);

– dodelijke kruiden op 7 oktober 2015 (01:17 uur);

– vergiften op 7 oktober 2015 (02:02 uur);

– dodelijke wurggreep op 13 oktober 2015 (23:45 uur);

– wurggreep politie op 25 oktober 2015 (01:26 uur);

– wurggreep op 26 oktober 2015 (00:24 uur);

– nekklem op 6 november 2015 (14:32 uur)”

Ook heeft de politie door onderzoek te doen op de router van de verdachte vastgesteld dat de verdachte op 4 oktober heeft gezocht op de zoekterm ‘gebroken-nek-opslag-dood (om 19.38.20 uur)’. De verdachte heeft bekend dat hij op die zoektermen heeft gezocht (zij het met volgens hem een andere reden).

De rechtbank neemt de zoektermen mee in de bewijsvoering, omdat het slachtoffer kort na de zoekopdrachten is overleden. De rechtbank achtte de verklaringen van de verdachte niet aannemelijk.

In een heel ander soort zaak speelde digitaal bewijs ook een opzienbarende rol. Op 13 maart 2018 is een verdachte door de rechtbank Limburg veroordeeld voor brandstichting, woninginbraken en diefstal  in Maastricht.

In dit geval speelde de telefoon van de verdachte een cruciale rol. Naar eigen zeggen had de verdachte deze telefoon altijd bij zich. Kort na de brandstichting, op 23 juni 2016 om 01.56 uur, maakte de telefoon die de verdachte verbinding met een WiFi-netwerk van een woning in de buurt. Dit plaatst de verdachte vlakbij de locatie en tijd van de brandstichting. Samen met ander bewijs waren de rechters overtuigd van de schuld van de verdachte.

Deze laatste zaak deed mij denken aan het aangehaalde voorbeeld van Hans Henseler over potentiële rol van digitaal bewijs (zie ook dit artikel ‘Verraden door je iPhone’ in Trouw) in bijvoorbeeld inbraakzaken. Henseler heeft overigens laatst een interessante inaugurele rede van zijn lectoraat aan de Hogeschool Leiden over de digitale revolutie! Ik ben benieuwd welke voorbeelden van digitaal bewijs in nabije toekomst de revue zullen passeren! Ik houd het in ieder geval in de gaten!

U.S. Cloud Act gepubliceerd

jjoerlemans Een reactie plaatsen

Op 23 maart 2018 heeft het Amerikaanse Congres de ‘Clarifying Overseas Use of Data Act’ (CLOUD Act) aangenomen. Het wetsvoorstel was slechts een onderdeel van een 2.323 pagina-tellend budgetplan, maar heeft grote gevolgen voor de toegang tot gegevens door opsporingsinstanties bij Amerikaanse internetdienstverleners, zoals Microsoft, Facebook en Google.

De CLOUD Act past enkele bepalingen in de ‘Stored Communications Act’ aan dat gaat over de toegang tot gegevens bij Amerikaanse elektronische communicatiedienstverleners in opsporingsonderzoeken. Deze wet maakt ten eerste mogelijk dat opsporingsinstanties in de Verenigde Staten toegang krijgen tot gegevens die buiten de VS zijn opgeslagen. Ten tweede maakt de CLOUD Act het mogelijk dat niet-VS opsporingsautoriteiten toegang kunnen krijgen tot gegevens van Amerikaanse dienstverleners als aan bepaalde voorwaarden wordt voldaan.

De eerste aanpassing kan worden gezien als een gevolg van de Microsoft t. Ierland-zaak, waarbij een Amerikaanse rechtbank had besloten dat de FBI geen toegang kreeg tot gegevens van Microsoft in Ierland. Deze zaak ligt nu bij het Amerikaans Hooggerechtshof. De CLOUD Act maakt duidelijk dat in het vervolg Microsoft de FBI toegang moet geven tot haar gegevens op basis van de Stored Communications Act, óók als deze buiten de VS ligt opgeslagen.

De tweede aanpassing heet tot gevolg dat andere staten met de Verenigde Staten afspraken moeten maken als zij direct toegang willen krijgen tot gegevens van Amerikaanse elektronische communicatieaanbieders. Het gaat daarbij om populaire diensten zoals Facebook, en de webmaildiensten van Microsoft en Facebook. Deze afspraken moeten worden gemaakt in een zogenoemde ‘executive agreement’. Het ziet er naar uit dat individuele staten zoals Nederland in zo’n agreement kunnen treden, maar ook een EU-VS overeenkomst in denkbaar.

De staat die met de VS deze afspraken wilt maken moet wel aan bepaalde criteria met betrekking tot fundamentele rechten voldoen. Als een ‘executive agreement’ van kracht is, kunnen niet-VS opsporingsdiensten gegevens vorderen van Amerikaanse dienstverleners onder hun eigen regelgeving voor zover de gegevens niet van Amerikaanse burgers zijn. De vordering moet verder betrekking hebben op ernstige criminaliteit, door een onafhankelijke autoriteit (kunnen) worden getoetst, voldoende specifiek zijn en voldoen aan de nationale regelgeving van de betreffende staat. Als onderdeel van het principe van reciprociteit, krijgen ook Amerikaanse dienstverleners de mogelijkheid tot direct toegang tot de gegevens van internetdienstverleners op het grondgebied van de andere desbetreffende staat.

Internetdienstverleners krijgen de mogelijkheid protest aan te tekenen als zij denken dat de verstrekking van gegevens van een niet-Amerikaan of persoon die zich buiten de VS bevindt in strijd is met de regelgeving van een ander land. Een Amerikaanse rechtbank besluit dan op basis van ‘balanceertest’ of de gegevens moeten worden afgegeven.

CLOUD-Act: H.R.1625 – 115th Congress, 23 maart 2018

Richtlijn voor strafvordering cybercrime

jjoerlemans Een reactie plaatsen

Op 1 februari 2018 is de ‘Richtlijn voor strafvordering cybercrime’ gepubliceerd (Stcrt. 2018, 3271). Deze richtlijn cybercrime biedt handvaten voor de op zitting te eisen straffen.

De richtlijn ziet op de verschillende verschijningsvormen van cybercrime (o.a. computervredebreuk (artikel 138ab Sr), de DDoS aanval (artikel 138b Sr), ransomware (artikel 139d Sr), malware (artikel 350a Sr) en defacing (artikel 138ab Sr) en bevat criteria aan de hand waarvan in individuele zaken een strafeis geformuleerd kan worden.

De richtlijn onderscheidt daarnaast de volgende categorieën:

  • Cybercrime in de relatiesfeer (ex-partners, ex-werknemers, etc.)
  • Cybercrime met als oogmerk diefstal van vermogen (diefstal internetbankieren, art. 139d Sr, crypto/ransomware)
  • Cybercrime met als oogmerk het overnemen van gegevens ((bedrijfs)spionage, tentamenfraude, etc)
  • Cybercrime met een ideologisch (niet zijnde terroristisch) oogmerk (DDos, art. 350a Sr, defacing)

In de richtlijn worden hoofdzakelijk taakstraffen met een voorwaardelijke gevangenisstraf voorgeschreven. Er is een tabel voor cybercrime eenmaal gepleegd en een tabel voor meermalen gepleegd. Het is overigens opvallend dat geen richting wordt gegeven met betrekking tot de toepassing van bijzondere opsporingsbevoegdheid op internet, waar in de praktijk veel onduidelijkheid over staat.

De richtlijn lijkt hard nodig te zijn nu tijdens de behandeling van de begroting van het ministerie van Justitie en Veiligheid naar voren kwam dat het oplossingspercentage 6% en het ophelderingspercentage slechts 8% bedraagt (peilmaand oktober 2017. Het oplossingspercentage wil zeggen het aantal verdachten dat wordt doorgeleid naar het Openbaar Ministerie, afgezet tegen de geregistreerde criminaliteit. Het ophelderingspercentage wil zeggen het aantal misdrijven waarbij de politie een verdachte aan een zaak heeft gerelateerd, afgezet tegen het aantal geregistreerde misdrijven.

Publicatie ENISA rapport over cybercrime

jjoerlemans Een reactie plaatsen

Op 15 januari 2018 heeft het Europese cybersecurityagentschap ENISA een interessant rapport  gepubliceerd over cybersecuritydreigingen. In het rapport worden de bevindingen van een grote hoeveelheid andere rapporten van cybersecuritybedrijven geanalyseerd en de resultaten daarvan gepresenteerd. Het rapport biedt ook enige technische diepgang.

In het rapport wordt er op gewezen dat in 2017 cybercriminelen de grootste bedreiging op het gebied van cybersecurity vormen. Twee derde van de aanvallen zijn van deze actor afkomstig. Hierbij wordt opgemerkt dat in plaats dat zij zeer massale meer ongerichte malware-aanvallen uitvoeren, cybercriminelen nu vaker op zoek gaan naar (financieel) aantrekkelijke doelwitten en daar gerichte aanvallen op uitvoeren. Cybercriminelen verdienen daarnaast volgens ENISA veel geld met advertentiefraude (clicks genereren en daarmee geld verdienen) en het leveren van diensten voor andere cybercriminelen (cybercrime-as-a-service). Volgens ENISA is er een toenemende interactie tussen cybercriminelen en statelijke actoren bij het uitvoeren van aanvallen. De ‘insider-dreiging’ (medewerkers van bedrijven of instellingen) worden als tweede grootste bedreiging geïdentificeerd. ENISA zegt dat het motief bij deze interne actoren in de regel financieel van aard is.

Statelijke actoren worden als derde grootste bedreiging gesignaleerd. Staten maken van computers en internet gebruik voor bijvoorbeeld economische spionage en om aan (politieke) beïnvloeding te doen. ENISA wijst er op dat steeds meer staten investeren in de “cybercapaciteiten” van overheidsinstanties en dit leidt tot een grotere cybersecuritybedreiging leidt. Ook wordt ondersteuning gevonden voor de claim dat deze statelijke actoren vaker dan andere actoren gebruik maken van zero day-kwetsbaarheden bij hun aanvallen. Het lekken van deze zero days kan op zijn beurt grote gevolgen hebben, zoals de WannaCry-aanval laat zien.

De meest in het oog springende resultaten met betrekking tot cybercrime zou ik als volgt samenvatten:

  1. Toename in ernst en complexiteit van aanvallen

In het algemeen wordt er op gewezen dat cybercrime in enge zin – kort gezegd (1) computervredebreuk (hacken), (2) de verspreiding van malware en (3) ddos-aanvallen – in ernst en complexiteit stijgt. Interessant is bijvoorbeeld de stijging in ‘clickless’ malware, waarbij geen interactie (zoals een klik op een knop of bestand) is vereist ten behoeve van de installatie van malware en de verdere verspreiding ervan. In het rapport wordt ook gewezen op het gebruik van kwetsbaarheden in webbrowsers (incl. plugins) en kwaadaardige linkjes via phishingmails als populaire infectiemethode.

In het rapport uiteraard ook gewezen op de stevige stijging van malware-incidenten en zeer zware ddos-aanvallen die zijn uitgevoerd met behulp van het Mirai-botnet (dat misbruik maakt van kwetsbare IoT-apparaten). De dos-aanval op DNS-provider Dyn leidde tot grote en merkbare schade door het tijdelijk uitvallen van populaire diensten zoals Netflix.

ENISA komt tot de zorglijke conclusie het opsporen van de daders achter aanvallen (zoals criminelen en statelijke actoren) “welhaast onmogelijk” is en de acties en motieven van de aanvallen achteraf vaak onduidelijk blijven. Dat maakt het op zijn beurt volgens het agentschap bijzonder moeilijk de actoren achter cyberaanvallen en werkwijze te profileren.

De Nederlandse politie krijgt nog een “eervolle vermelding”  (afhankelijk hoe je het bekijkt) van een ‘sophisticated, yet risky way to prosecute cyber-criminal offences’ in het kader van het overnemen van de Hansa-marktplaats op het darkweb.

  1. Ransomware

Ransomware wordt een ‘prominent threat’ genoemd. In het rapport wordt mooi weergegeven wat de tijdlijn is geweest met betrekking tot de WannaCry-aanval die in Nederland tot uitval van (onder andere) de Tweede Maasvlakte heeft geleid.

Ten slotte werd een interessant nieuwe trend genoemd waarbij gespecialiseerde ransomware zich richt op medische apparaten. Als deze onbruikbaar worden kan dit natuurlijk ook (meestal indirect) de gezondheid van mensen in gevaar brengen. Dit past in de genoemde trend in het rapport waarbij meer gerichte ransomware aanvallen plaatsvinden om geld af te persen van bedrijven of overheidsinstellingen.

ENISA rapport over cybersecurity dreigingen

jjoerlemans Een reactie plaatsen

Posted on 04/02/2018 op Oerlemansblog

Op 15 januari 2018 heeft het Europese cybersecurityagentschap ENISA een interessant rapport gepubliceerd over cybersecuritydreigingen. In het rapport worden de bevindingen van een grote hoeveelheid andere rapporten van cybersecuritybedrijven geanalyseerd en de resultaten daarvan gepresenteerd. Het rapport biedt ook enige technische diepgang. In deze blog post deel ik de zaken die mij uit het rapport opvielen.

Algemeen

In het rapport wordt er op gewezen dat in 2017 cybercriminelen de grootste bedreiging op het gebied van cybersecurity vormen. Twee derde van de aanvallen zijn van deze actor afkomstig. Hierbij wordt opgemerkt dat in plaats dat zij zeer massale meer ongerichte malware-aanvallen uitvoeren, cybercriminelen nu vaker op zoek gaan naar (financieel) aantrekkelijke doelwitten en daar hier gerichte aanvallen op uitvoeren. Cybercriminelen verdienen daarnaast volgens ENISA veel geld met advertentiefraude (clicks genereren en daarmee geld verdienen) en het leveren van diensten voor andere cybercriminelen (cybercrime-as-a-service). Volgens ENISA is er een toenemende interactie tussen cybercriminelen en statelijke actoren bij het uitvoeren van aanvallen.

De ‘insider-dreiging’ (medewerkers van bedrijven of instellingen) worden als tweede grootste bedreiging geïdentificeerd. ENISA zegt dat het motief bij deze interne actoren in de regel financieel van aard is.

Statelijke actoren worden als derde grootste bedreiging gesignaleerd. Staten maken van computers en internet gebruik voor bijvoorbeeld economische spionage en om aan (politieke) beïnvloeding te doen. ENISA wijst er op dat steeds meer staten investeren in de “cybercapaciteiten” van overheidsinstanties en dit leidt tot een grotere cybersecurity leidt. Ook wordt ondersteuning gevonden voor de claim dat deze statelijke actoren vaker dan andere actoren gebruik maken van zero day-kwetsbaarheden bij hun aanvallen. Het lekken van deze zero days kan op zijn beurt grote gevolgen hebben, zoals de WannaCry-aanval laat zien.

Op p. 98 van het rapport is een mooi overzicht van de betrokken actoren en hun manier van werken te vinden.

Cybercrime-specifiek

De meest in het oog springende resultaten met betrekking tot cybercrime zou ik als volgt samenvatten:

  1. Toename in ernst en complexiteit van aanvallen

In het algemeen wordt er op gewezen dat cybercrime in enge zin – kort gezegd (1) computervredebreuk (hacken), (2) de verspreiding van malware en (3) ddos-aanvallen – in ernst en complexiteit stijgt. Interessant is bijvoorbeeld de stijging in ‘clickless’ malware, waarbij geen interactie (zoals een klik op een knop of bestand) is vereist ten behoeve van de installatie van malware en de verdere verspreiding ervan. In het rapport wordt ook gewezen op het gebruik van kwetsbaarheden in webbrowsers (incl. plugins) en kwaadaardige linkjes via phishingmails als populaire infectiemethode.

In het rapport uiteraard ook gewezen op de stevige stijging van malware-incidenten en zeer zware ddos-aanvallen die zijn uitgevoerd met behulp van het Mirai-botnet (dat misbruik maakt van kwetsbare IoT-apparaten). De dos-aanval op DNS-provider Dyn leidde tot grote en merkbare schade door het tijdelijk uitvallen van populaire diensten zoals Netflix.

ENISA komt tot de zorglijke conclusie het opsporen van de daders achter aanvallen (zoals criminelen en statelijke actoren) “welhaast onmogelijk” is en de acties en motieven van de aanvallen achteraf vaak onduidelijk blijven. Dat maakt het op zijn beurt volgens het agentschap bijzonder moeilijk de actoren achter cyberaanvallen en werkwijze te profileren.

De Nederlandse politie krijgt nog een “eervolle vermelding”  (afhankelijk hoe je het bekijkt) van een ‘sophisticated, yet risky way to prosecute cyber-criminal offences’ in het kader van het overnemen van de Hansa-marktplaats op het darkweb.

  1. Ransomware

Ransomware wordt een ‘prominent threat’ genoemd. In het rapport wordt mooi weergegeven wat de tijdlijn is geweest met betrekking tot de WannaCry-aanval die in Nederland tot uitval van (onder andere) de Tweede Maasvlakte heeft geleid. Het verwonderd mij overigens dat de regering in een Kamerbrief laat weten dat deze aanval niet ‘maatschappelijk ontwrichtend’ is geweest. Welke aanvallen zijn dat dan wel, vraag ik mij af. En wat voor een rol speelt het NCSC hierbij nu precies? Is deze enigszins effectief?

Ten slotte werd een interessant nieuwe trend genoemd waarbij gespecialiseerde ransomware zich richt op medische apparaten. Als deze onbruikbaar worden kan dit natuurlijk ook (meestal indirect) de gezondheid van mensen in gevaar brengen. Dit past in de genoemde trend in het rapport waarbij meer gerichte ransomware aanvallen plaatsvinden om geld af te persen van bedrijven of overheidsinstellingen.

Leidraad sexting

jjoerlemans Een reactie plaatsen

Sinds 1 november 2017 is de leidraad sexting (.pdf) gepubliceerd. De leidraad is noemenswaardig, omdat de politie en het Openbaar Ministerie steeds vaker worden geconfronteerd met sextingzaken. Sexting is eenvoudig gesteld het vervaardigen en verspreiden van seksueel getint materiaal.

Als bij sexting een minderjarige betrokken is, is sprake van het vervaardigen, verspreiden of bezitten van kinderpornografie (art. 240b Sr). Er is echter een grote variatie in de ernst van deze sextingzaken, die onder andere gerelateerd is aan de mate van vrijwilligheid waarmee het beeldmateriaal tot stand is gekomen, de aard van het beeldmateriaal, de wijze en mate van verspreiding en de relatie tussen de betrokkenen. Daardoor valt de gedraging juridisch vaak tevens onder andere strafbaarstellingen. De leidraad maakt inzichtelijk op basis van welke criteria bepaald kan worden wat de mate en wijze van onderzoek en vervolgens de afdoening van deze zaken door politie en OM kan zijn.

In de leidraad staat onder andere dat een strafrechtelijke vervolging niet opportuun is in het geval alles op basis van vrijwilligheid tussen twee minderjarigen gebeurt. Strafrechtelijke vervolging ligt daarentegen meer voor de hand als er sprake is van bedreiging, afpersing, misleiding of intimidatie.  De gedraging kan dan eventueel worden gekwalificeerd als belediging (artikel 266 Sr) of smaad (artikel 261 Sr).

Bij een minderjarige verdachte dienen ook de gevolgen van een vervolging te worden meegewogen bij het nemen van een vervolgingsbeslissing, zoals  een aantekening als zedendelinquent op de justitiële documentatie. Als gevolg daarvan kan een Verklaring Omtrent Gedrag (VOG) in de toekomst worden geweigerd. In minder ernstige gevallen kan ook worden volstaan met de nieuwe HALT interventie ‘Sexting: Respect Online’.