Investigating Cybercrime

Posted on 15/02/2017

On 10 January 2017, I successfully defended my PhD thesis ‘Investigating Cybercrime’. In this blog post, I would like the share my main research results.

Cybercrime investigations

My study shows that in cybercrime investigations, evidence is often gathered by following the two digital leads of IP-addresses and nicknames. I explain how evidence is gathered, based upon these leads. In cybercrime investigations, law enforcement officials often encounter the three challenges of anonymity, encryption and jurisdiction. These challenges can leave law enforcement officials empty-handed in certain circumstances.

However, law enforcement officials can use digital investigative methods to deal with these challenges. The following four investigative methods are identified and further analysed in the study: (1) gathering publicly available online information, (2) issuing data production orders to online service providers, (3) applying online undercover investigative methods, and (4) performing hacking as an investigative method.

Regulating digitale investigative methods on a national level

On a national level, my research shows that the identified digital investigative methods are not regulated in a foreseeable manner in the Netherlands. The reason is that the scope and manner in which investigative methods are applied are not sufficiently clear. In addition, I argue that the quality of the law for certain investigative methods is not adequate. The main and concrete results of my analysis are as follows:

  • The manual and automated gathering of publicly available online information should be regulated in detail, outside criminal procedural law. These regulations should indicate how data protection regulations should be applied in a concrete manner when these digital investigative methods are used.
  • The regulations for undercover investigative methods (both online and offline) should be improved by incorporating supervision by an investigative judge.
  • A warrant requirement should apply for obtaining traffic data and content data from online service providers. The category of ‘content data’ should be defined more clearly by the legislator or Public Prosecution Service.
  • Regulating hacking as an investigative power is necessary. The proposal to regulate this investigative method in the Computer Crime Act III is adequate. However, the investigative power is formulated in a rather broad manner and the legal consequences of its application to ‘disrupt cybercrime’ are uncertain.

Regulating digital investigative methods on an international level

On an international level, my research shows that the application of digital investigative methods are not sufficiently taken into consideration in mutual legal assistance treaties. States should realise and take into consideration that unilateral cross-border digital evidence-gathering activities already take place.

The application of digital investigative methods can endanger both State sovereignty and the legal certainty of individuals in certain circumstances. At the same time however, I argue that unilateral cross-border digital evidence-gathering activities should be permissible in certain circumstances. Ideally, States agree on what terms these evidence-gathering activities are allowed and protect the right and freedoms of the individuals involved in mutual legal-assistance treaties or on an ad-hoc basis. In the meantime, States should create a policy for their law enforcement authorities to determine under which circumstances unilateral cross-border digital evidence-gathering activities are allowed. I provide recommendations about these restrictions for the Dutch legislator.

Finally, I would like to say that it has been a pleasure performing research as a PhD Candidate at Leiden University. I will continue to do research in cybercrime, cybersecurity, digital investigations and privacy in the future.

This is a cross-post from LeidenLawBlog. My book is also commercially available at bol.com (among others).

Artikel Toxbot-zaak

Posted on 20/05/2011 op Oerlemansblog

Op 22 februari 2011 heeft de Hoge Raad een opmerkelijk arrest gewezen in de Toxbot-zaak. De meest opvallende aspecten uit het arrest is de gelijkstelling van het besmetten van computers met malware aan het delict computervredebreuk en de extensieve interpretatie van het delict
computersabotage. Samen met Bert-Jaap Koops heb ik hier artikel voor het Nederlands Juristenblad over geschreven. Het is artikel hier te downloaden. Eerder heb ik al een blogbericht over deze zaak geschreven.

In ons artikel stellen wij dat de Hoge Raad met het arrest de samenleving een slechte dienst heeft bewezen. Het besmetten van computers met malware, strafbaar gesteld in artikel 350a lid 3 Sr, wordt volgens ons onterecht gelijk gesteld aan het delict computervredebreuk zoals strafbaar gesteld in artikel 138ab Sr. Wel is er volgens ons sprake van computervredebreuk op het moment dat een de besmette computer contact maakt met een command-and-control server dat een botnet aanstuurt of via een ‘achterdeurtje’ toegang wordt verschaft tot de computer van de verdachte. In de praktijk zal dat meestal het geval zijn.

Misschien nog wel belangrijker is de interpretatie van de Hoge Raad van artikel van artikel 161sexies Sr (computersabotage). Op zich zijn wij het er mee eens dat internetbankieren en het verrichten van transacties via online betalingsdiensten als PayPal als een dienst van vitale infrastructuur kan worden aangemerkt. Wanneer internetbankieren door een DDoS-aanval wordt verstoord en mensen niet meer online transacties kunnen uitvoeren, kan artikel 161sexies Sr daarom van toepassing zijn. De mogelijkheid bestaat echter ook dat de vitale dienst door de aanval niet wordt verstoord, omdat bijvoorbeeld een voorlichtingswebsite wordt aangevallen. Volgens de Hoge Raad zou artikel 161sexies Sr in dat geval nog steeds van toepassing zijn. Onzes inziens is artikel 161sexies Sr alleen van toepassing wanneer een website van een dienst van algemene nutte wordt aangevallen waardoor gevaar ontstaat dat de vitale dienst niet meer kan worden verleend.

Sterker nog, volgens de Hoge Raad zou artikel 161sexies Sr niet alleen gaan om de dienstverlener die ernstige hinder van het misdrijf ondervindt, maar om een substantieel aantal gebruikers ervan. Wanneer een substantieel aantal mensen besmet zijn met een bepaalde variant van malware
dat zich bijvoorbeeld op banken richt en hierdoor niet meer veilig kunnen internetbankieren bij een bepaalde bank zou artikel 161sexies óók van toepassing kunnen zijn. Artikel 161sexies Sr beschermt volgens ons tegen de nadelige effecten die optreden indien de infrastructuur van de dienstverlener wordt vernield of beschadigd, en dient niet ter bescherming van de vertrouwelijkheid en integriteit van de computer van de dienstafnemers. Naar onze mening wordt het artikel in deze variant daarom veel te extensief geïnterpreteerd.

Het arrest komt de rechtszekerheid niet ten goede. De kans bestaat dat de vreemde redenatie van de Hoge Raad in de toekomst door rechters wordt omzeild of teruggedraaid, waardoor vervolgingen kunnen stuklopen. Het is belangrijk dat het OM en de rechterlijke macht precies zijn in de toepassing van de verschillende delicten op een feitencomplex zoals in de Toxbot-zaak. Door de extensieve interpretatie vindt een onwenselijke verwatering in het onderscheid tussen de verschillende typen delicten plaats.  

(Citeertitel: J.J. Oerlemans & E.J. Koops, ‘De Hoge Raad bewijst een slechte dienst in high-tech-crimezaak over botnets’, Nederlands Juristenblad 2011, vol. 86, nr. 18, pp. 1181-1185).

High Tech Crime in de polder

Posted on 23/02/2011 op Oerlemansblog

Op 22 februari 2011 is het arrest (ECLI:NL:HR:2011:BN9287) van de Hoge Raad uitgebracht inzake de ‘Toxbot-zaak’. De Hoge Raad vernietigd het vonnis van het Hof Den Haag en het gerechtshof zal opnieuw uitspraak moeten doen. De zaak is interessant omdat het ‘high tech crime’ gaat, duidelijkheid verschaft over de toepasselijkheid van het delict ‘computervredebreuk’ met betrekking tot de verspreiding van malware (artikel 138ab Wetboek van Strafrecht (hierna: Sr)) en duidelijkheid geeft over het delict ‘computersabotage’ (artikel 161sexies Sr).   

De feiten

De verdachte heeft tussen 1 juni 2005 tot en met 4 oktober 2005 een virus verspreid, bekend onder de naam ‘Toxbot’. Het virus kon zich over andere nog niet geïnfecteerde computers verspreiden (het was dus eigenlijk een worm, maar goed). Op een bepaald moment waren 50.095 computers besmet en deze vormden samen een botnet (een netwerk van besmette computers) die op afstand via een command-and-control server aangestuurd konden worden. De Toxbot-malware had bovendien een ‘keylogger-functionaliteit’ waarmee toetsaanslagen (en dus ook wachtwoorden) konden worden afgevangen.

De besmette computers konden tevens de opdracht gegeven worden een bepaalde Trojan (Wayphisher) te downloaden en installeren. Na besmetting met deze nieuwe malware werden de besmette computergebruikers omgeleid naar een andere website (phishing-site) omgeleid en hun financiële gegevens (rekeningnummer, wachtwoorden, etc.) doorgegeven aan de verdachte, in dit geval de bestuurder van de command-and-control server (ook wel ‘botnet herder’ genoemd). Tenslotte kunnen botnets de opdracht worden gegeven een bepaalde website aan te vallen waardoor een webserver overbelast raakt en offline gaat (een ‘Distributed Denial of Service aanval’ oftwel DDoS-aanval). Maar in de onderhavige zaak is niet duidelijk of die uitgevoerd zijn met het botnet.

Het arrest gaat tamelijk diep in op hoe de malware de computers besmette en de functionaliteiten daarvan. Zaken zoals het onderhavige komen niet vaak voor en dat is best leuk om eens te lezen. Ook wordt in het arrest duidelijk dat belangrijk bewijsmateriaal is verzameld via een internettap, wat nog een tamelijk nieuwe opsporingsmethode is. Met de tap zijn namelijk belastende chatgesprekken van de verdachte afgevangen.  

Het oordeel

De vraag die in het arrest wordt beantwoord is in essentie of bij het infecteren van computers met bepaalde malware ook eventueel het delict computervredebreuk van artikel 138ab Sr ten laste kan worden gelegd. Dat is niet vanzelfsprekend, want het kan gaan om enorm veel computers en er wordt niet heel bewust in één bepaalde computer bijvoorbeeld met gestolen inloggegevens ingebroken en vervolgens overgenomen om andere delicten te plegen. Het is daarom de vraag of opzettelijk en wederrechtelijk wordt ‘binnengedrongen in een geautomatiseerd werk’ en met welke ‘technische ingreep’ dat gebeurt. Daarnaast wordt de vraag beantwoord of bij het onbruikbaar maken van computers die een dienst van algemene nutte afnemen artikel 161sexies lid 1 onderdeel 2 Sr van toepassing is.  

De Hoge Raad oordeelt dat het plaatsen van malware op een computer computervredebreuk kan zijn. De computer maakt na besmetting onderdeel uit van een botnet en kan door de dader worden aangestuurd. Een ‘geautomatiseerd werk’ (de computer) wordt namelijk tegen de wil van de rechthebbende (de slachtoffers) binnengedrongen door middel van een technische ingreep die bestond ‘alle handelingen die nodig waren voor de verspreiding van het virus’. Daarmee maakt de verdachte zich schuldig aan computervredebreuk en de gekwalificeerde vorm daarvan als bedoeld in artikel 138ab lid 3 Sr.   

Het oordeel is in zoverre belangrijk dat nu duidelijk is dat het besmetten van computers met bepaalde malware en daarna het misbruiken van die computers via een botnet een gekwalificeerde vorm van computervredebreuk kan opleveren waar hoogstens 4 jaar gevangenisstraf op staat. Naast computervredebreuk is overigens ook gewoon artikel 350a (lid 1 of lid 3) Sr van toepassing (zie ook dit blogbericht over de (D)DoS-aanvallen van Anonymous).   

Ten tweede wordt door het arrest duidelijk dat een website van een bank, online betalingsdienst als PayPal, veilingwebsite als Ebay en creditcardmaatschappijen een ‘dienst van algemene nutte’ kunnen aanbieden. Het platleggen van een dergelijke website met een DDoS-aanval kan bijvoorbeeld het delict ‘computersabotage‘  uit artikel 161sexies Sr constitueren, maar ook het ontnemen van de mogelijkheid van een substantieel aantal afnemers om van deze diensten om van een dergelijke dienst (het internetbankieren) behoorlijk gebruik te maken kan artikel 161sexies lid 1 onderdeel 2 Sr constitueren. In dat opzicht wijkt het arrest van de Hoge Raad af van de conclusie van Advocaat-Generaal Knigge (zie paragraaf 35).  

In artikel 161sexies Sr wordt volgens de Hoge Raad namelijk geen onderscheid gemaakt tussen de computers van de afnemer van een dienst ten algemene nutte en de computers van de dienstverlener. Op dit punt heeft het Hof Den Haag dus verkeerd geoordeeld en zal dus nogmaals uitspraak moeten doen. De dader heeft zich dus waarschijnlijk schuldig gemaakt aan artikel 161sexies lid 1 onderdeel 2 Sr door computers te besmetten met de Wayphisher-trojan en het gebruikmaken van de keylogger-functionaliteit van de Toxbot-malware. De slachtoffers konden hierdoor namelijk niet meer op een behoorlijke manier gebruik maken van de diensten van de banken.  

Overigens is het met betrekking tot de (D)DoS-aanval interessant dat dit weekend blijkbaar een dergelijke aanval op de website van de Rabobank is uitgevoerd (zie dit bericht en dit bericht op Nu.nl). Het is nu in elk geval duidelijk dat de dader voor artikel 161sexies Sr vervolgd kunnen worden. Op artikel 161sexies lid 1 onderdeel 2 Sr staat een maximale gevangenisstraf van zes jaar. 

Conclusie

Het arrest is opvallend. Niet alleen omdat het om een zeldzame ‘high tech crime’-zaak gaat, maar ook omdat het duidelijkheid verschaft over welke gedragingen het delict computervredebreuk en computersabotage constitueren. Het aanvallen van een bankwebsite via een (D)DoS-aanval kan dus een behoorlijke straf opleveren ook al wordt de website van de dienstverlener zelf niet verstoord.