Mag een journalist 14.000 pc’s infecteren om ze mee te laten doen aan een aanval op de privé mailbox van een politicus?
De zaak. De hoofdredacteur van het weekblad De Nieuwe Revue geeft een hacker opdracht om de privé-mailbox van de staatssecretaris van Defensie te kraken. Hij vraagt een freelance journalist daar een artikel bij te schrijven. Het blad wil aantonen dat emailboxen van bestuurders slecht beveiligd zijn en dat er zo ook zakelijke correspondentie op straat kan komen.
De methode en de resultaten
Om het wachtwoord van de staatssecretaris te achterhalen weet de hacker via de populaire netwerksite Hyves 14.000 computers te infecteren met een zogeheten botnet. Daarmee wordt, zonder dat de eigenaren dat weten, een massale hoeveelheid inlogpogingen gedaan op de betreffende mailbox. Als deze zogeheten ‘brute force’ aanval succes heeft wordt op de pc van de staatssecretaris een back-upprogramma geïnstalleerd dat alle binnenkomende post ook naar de hacker stuurt. Zo komen ‘een aantal’ mails van de staatssecretaris, waaronder twee privé boodschappen in handen van de hacker. Nieuwe Revue publiceert in het eindejaarsnummer een artikel onder de kop ‘Yes, we’re in’. De staatssecretaris doet aangifte wegens computervredebreuk.
Wat is de rechtsvraag?
Pleegde de hoofdredacteur computervredebreuk? Was er sprake van een zodanig ‘bewuste’ en ‘nauwe’ samenwerking met de hacker dat er sprake was van ‘medeplegen’. Mag een tijdschrift om een journalistiek belang te dienen de wet overtreden, zodat in dit geval computervredebreuk niet strafbaar is?
Wat zegt het openbaar ministerie daarover?
Nee, dat mag niet. Een journalist die het maatschappelijke probleem van slecht beveiligde mailboxen wil aankaarten, kon dat ook op een ‘andere, minder ingrijpende wijze’ doen. „Bijvoorbeeld [door] het aanmaken van een fictief e-mailaccount ten name van een bewindspersoon en een hacker opdragen het wachtwoord van dit account te kraken.”
Wat zegt de verdachte hoofdredacteur?
Het gaat niet om fictie maar om feiten. Wat was het ‘daadwerkelijke’ beveiligingsrisico? Was er feitelijk zakelijke correspondentie in de privé mailbox van De Vries aanwezig? De mailbox is verder maar heel kort gekraakt, waarbij geen schade is berokkend. Er zijn geen grapjes met de mailbox uitgehaald: e-mails uit zijn naam verzenden of mededelingen doen namens hem. Ook is er met de informatie uit de privé mails niets gedaan. En de staatssecretaris is voor publicatie op de hoogte gesteld. Een veroordeling is dus in strijd met het recht op vrijheid van meningsuiting.
Hoe oordeelt de politierechter?
Beveiliging van emailboxen van bewindslieden is een algemeen belang. Dat zakelijk email verkeer ook naar privé adressen wordt verstuurd „mag algemeen bekend worden versteld”. Dat zoiets moet worden onderbouwd door een mailbox feitelijk te kraken wil de rechter ‘wel aannemen’. Een verhaal over het binnendringen van een fictief email account „heeft beduidend minder journalistieke waarde [...] dan wanneer het daadwerkelijk gaat om de privé emailbox van een bewindspersoon.” Het louter binnendringen in de mailbox door het tijdschrift vindt de rechter daarom niet strafbaar. Maar in die mailbox kijken, lezen en mails doorsturen is dat wel. Alleen daarvoor krijgt de hoofdredacteur een boete van 450 euro.
Lees hier de uitspraak van de rechter, hier een kritisch commentaar op iusmentis.com van Arnoud Engelfriet en hier het artikel uit Nieuwe Revue dat aanleiding tot de aangifte was.
Er kan ook worden gereageerd op Recht en Bestuur. Reacties verschijnen op beide sites.
Bron afbeelding: makabere
{ 13 reacties }
{ 13 reacties… lees hieronder of reageer }
De Politierechter stond voor een moeilijke taak. Zou hij de journalist die met een nep-pistool een soldaat die bij de kluis van de minister op wacht staat de toegangscode tot de kluis ontfutselt, ook ontslaan van rechtsvervolging als die journalist daarmee wil wijzen op de niet adequate bewaking? Natuurlijk niet. Maar zou hij de wetenschapper die de OV-chip kraakt en dat bewijst door het openstaande bedrag op diens chipcard met 1 eurocent te verhogen, wel veroordelen? Dat is even onaannemelijk.
Het verschil kunnen we tonen aan de hand van twee juridische criteria. Het eerste betreft de proportionaliteit van het op zich verboden optreden. Het gaat dan om de vraag of de zwaarte van het gebruikte middel opweegt tegen het gediende belang. Nu is het aantonen van de onveiligheid van de e-mailbox van de minister van defensie inderdaad een zo zwaarwegend belang dat er wel enig ‘geschut’ mag worden gebruikt. Maar het opzetten van een botnet komt m.i. wel in de buurt van het inzetten van een journalist met een pistool.
Vervolgens kijkt de rechter naar de subsidiariteit. Dat gaat het om de vraag of een minder zwaar middel mogelijk was geweest. Op dit criterium gaat de verdachte nat. De Politierechter was realistisch met zijn oordeel dat een stuk dat louter was gebaseerd op een fictief binnendringen weinig journalistieke waarde zou hebben, maar weigerde te aanvaarden dat de hacker ook kennis nam van de inhoud van de e-mailbox. De journalist had kennelijk net zoiets moeten doen als de wetenschapper die het bedrag met slechts 1 Eurocent verhoogde. Op dit punt vind ik de Politierechter wel erg streng.
Misschien had ikzelf de waardering van de proportionaliteit en de subsidiariteit net anders laten uitpakken, maar het oordeel van de Politierechter dat de vrije nieuwsgaring hier toch over de grens is gegaan vind ik wel begrijpelijk. Er zijn grenzen – zelfs voor journalisten. Gelukkig trekken ze zich daar niet altijd iets van aan.
Ybo Buruma is hoogleraar strafrecht in Nijmegen en redacteur van het NJB.
Zo goed als alle beveiligingen zijn te kraken, dat geldt voor huizen en bedrijfspanden, maar zeker ook voor websites, de OV-chipkaart, het kastje voor het rekeningrijden, en uiteraard dus ook de privé-mailbox van staatssecretaris Jack de Vries. Toch vond Revu het nodig het laatste aan te tonen, en wel in het landsbelang!
Nu is het soms wel nieuwswaardig dat iets te kraken is, maar daarbij dient men wel in het oog te houden wat, met welke mate van geweld/computerkracht en wat de eventuele gevolgen kunnen zijn. Immers, niet alles zal met behulp van de meest zware middelen beveiligd behoeven te worden. Zo ligt het voor de hand dat de privé-mailbox van de staatssecretaris een stuk minder goed beveiligd is dan de mailbox die hij gebruikt in het kader van zijn werk als staatssecretaris. Dat dat inderdaad zo is, heeft Revu aangetoond door met behulp van een ingeschakelde hacker binnen te dringen in de mailbox van De Vries. Mooi, maar dat is geen nieuws. En dat de staatssecretaris zo integer is dat hij zijn privé-mailbox niet gebruikt voor Defensie-zaken dat is mooi om te weten, maar niet anders dan te verwachten in het huidige informatietijdperk en dus ook niet de moeite van een artikel waard. Het laatste was overigens ook niet het doel van de kraak. Het ging Revu in eerste instantie puur om de beveiliging.
De kraak is dus niet nieuwswaardig, bevestigt hetgeen iedereen kon verwachten en dient daarmee zeker niet het landsbelang.
Dit gezegd hebbend, is het toch op zijn minst vreemd te noemen dat de Haagse politierechter november vorig jaar bepaalde dat de kraak niet strafbaar was omdat er wel degelijk sprake zou zijn van een algemeen belang als we het hebben over de beveiliging van privé-mailboxen van bewindslieden en dat er geen alternatieven voorhanden waren om dit aan te tonen. Vooral ook omdat de rechter er daarbij wel heel gemakkelijk aan voorbij ging dat er 14.000 computers misbruikt moesten worden om dit “nieuws” aan te tonen!
Naar mijn mening toont deze uitspraak vooral aan dat het werk voor rechters in de huidige informatiemaatschappij zeer complex is. Het is voor een rechter, niet zijnde een IT-specialist, lastig te beoordelen of er in deze kwestie sprake is van een landsbelang en wat het ingezette middel heeft behelsd. Dat zijn afweging tussen het veroordelen van de kraak met behulp van 14.000 computers en de vrijheid van meningsuiting in het voordeel van de journalistiek uitvalt, kan men hem misschien niet eens kwalijk nemen. Zoals ICT-jurist Arnoud Engelfriet in zijn blog over deze kwestie stelt, als de journalist de beveiliging van het huis van de staatssecretaris had willen testen door de voordeur met een bulldozer te forceren, dan zou het oordeel ongetwijfeld anders zijn geweest.
Leo van der Wees is onderzoeker aan het Tilburg Institute for Law, Technology and Society en medewerker van het NJB.
Een overheid die de burger opscheept met lekke EPD’s, een makkelijk hackbaar kastje in de auto wil en nog veel meer van die slecht beveiligde en privacy ondermijnende actie, alleen maar om de mensen nog meer van hun geld te ontdoen, is te allen tijde onbetrouwbaar. Zo’n overheid moet door de burger op alle manieren gecontroleerd worden en waar mogelijk tegengewerkt.
Dat is in het belang van de veiligheid van de burger.
Te meer daar onze regentjes alle informatie gewetenloos doorspelen naar onze agressief imperialistische vrinden in de politiestaat Amerika.
Mogelijk gaat de overheid dan beter nadenken waar ze mee bezig is.
Het werkelijke probleem is dan ook niet dat de beveiliging onkraakbaar is, maar dat het zo gemakkelik is om aan een bulldozer te komen.
In voorkomende fysieke gevallen reageert de staat daarop direct door extra beveiligingsmaatregelen te nemen, maar als het om ICT gaat is het opeens “normaal”?
Dat lijkt mij nieuwswaardig.
De politierechter stond voor een zeer eenvoudige taak. Men moet niet zonder toestemming mailboxen binnendringen. Er is geen verschil in correspondentie, of die nu in zwarte lettertjes op wit papier staat dan wel in nullen en enen is gecodeerd. Het maakt niet uit of de mailbox een wachtwoord had of niet; vreemden hebben er niets te zoeken. Er is sprake van schending van de privé sfeer van de heer De Vries.
De bewuste hoofdredacteur heeft zich opgesteld als een ambtenaar met opsporingsbevoegdheid. Die bevoegdheden zijn nogal ruim opgevat want het OM is er niet aan te pas gekomen. Bovendien werd de heer De Vries niet verdacht van betrokkenheid bij enig misdrijf. Aan de ene kant dienen journalisten een hoge mate van vrijheid in hun berichtgeving te hebben, maar aan de andere kant moet justitie de burger beschermen tegen stuntjes, zoals deze, voor hogere oplagecijfers.
Het argument van de hoofdredacteur dat er geen zakelijke correspondentie in de mailbox werd aangetroffen en dat er dus niets aan de hand was, snijdt geen hout. Een inbreker die niets in een woning van zijn gading vindt, heeft toch een misdrijf gepleegd.
Twee juristen reageerden. Hoe vaak viel het woord ¨fatsoen?¨ Zoiets doe je niet. Vroeger hadden we het briefgeheim, waarvan mij ooit geleerd is het te allen tijde te respecteren. Waarom zou dat niet gelden voor mail? Ik vind deze handelwijze in ieder geval schandelijk en zal de HP zeker niet kopen. Verder moet mij van het hart dat ik mij iedere keer meer verbaas over de redeneringen van juristen. Het idee dat hier een psychiater nodig is, komt wel erg gemakkelijk op.
Zoals nummer 2 ook al meldt, er zijn dus nog eens 14000 slachtoffers.
Mensen die zomaar misbruikt zijn om de zin van de redactie door te drijven.
Omdat er 14000 nodig zijn, is de methode fout.
Als het een 1 op 1 aanval was, met hetzelfde resultaat, zonder ook maar een pc van iemand te misbruiken, zou ik het iets van geheel ander nivo vinden.
Dat is net het zelfde als met 14000 man een zwaar beveiligd terrein binnendringen.
Dan slaag je ook altijd, want je hebt domweg geen bewakers genoeg om dat tegen te houden.
Zullen we de beveiliging van de woning van de journalist eens op dezelfde manier onder de loep nemen?
Ik schat zo in dat ik met 250 man, binnen 2 minuten iemand binnen heb die de deur voor anderen opendoet.
En weer 5 minuten later heb ik al zijn prive informatie te pakken.
Dat zoiets niet hoort, begrijpt ieder mens met enig verstand.
Maar dat er 14000 computers gekraakt moeten worden, om ergens binnen te komen, wordt zomaar aan voorbij gegaan.
Niks recht van vrije meningsuiting.
Als je met een kanon gaat schieten in de binnenstad, raak je altijd wel wat.
Dat hoef je niet aan te tonen.
Het misbruik van 14000 niet wetenden is op zich al een strafbaar feit. Je hackt dan 14001 maal om info van 1 te verzamelen. Op zich is hacken strafbaar, de overheid echter meet met 2 maten en laat de providers de mail hacken en bewaren voor de periode van 1,5 jaar. Het recht van vrije meningsuiting zoals in de grondwet omschreven wordt aan alle kanten geschonden. Blijkbaar gelden er voor het gebruik van email geen beleefdheidsregels, ook voor de overheid niet.
Wanneer een hoogleraar strafrecht al vindt dat dit moet kunnen, begin ik beter te begrijpen waarom dit land afglijdt naar een volledig gebrek aan fatsoen. Dit is voor mij een schending van het briefgeheim ; een van de belangrijkste peilers van de privacy. Dat 14000 andere mensen het slachtoffer moeten worden om te bewijzen dat je een mailbox kan kraken lijkt op het schieten op een mug met een kanon. Iedere hacker kan inbreken in een computer. Daar was dit onderzoek totaal niet voor nodig, want het is algemeen bekend. Lees de artikelen maar over gekraakte systemen bij Defensie in de USA.
Vrije nieuwsgaring is prima maar hier viel niets te bewijzen het was al algemeen bekend. Evenals het feit dat een aantal journalisten tegenwoordig vindt dat ALLE middelen geoorloofd zijn als zij maar nieuws kunnen brengen. En dit keer gesteund door een politierechter een een hoogleraar strafrecht.
En je nu maar afvragen waarom niemand tegenwoordig meer rekening met een ander houdt.
Ipv dankjewel te zeggen voor het ontdekken van een veiligheidslek, klaagt men tegenwoordig meteen de welgezinde hacker aan.
De vijandige hacker gaat echt niet vertellen dat hij ingebroken heeft.
Er zijn hier meer gedupeerden dan een enkele staats secretaris… De 14.000 mensen wiens computer is besmet via Hyves. 3,2 euro cent per computer is in dit kader een lichte straf.
Het is duidelijk dat het verspreiden van een virus om aan de gewenste informatie te komen toegestaan is. Als het een hacker geoorloofd is om in opdracht van de vrije nieuwsgaring (Nieuwe Revu in dit geval)14 000 computers te besmetten dan mag vanaf nu iedereen vrij in brievenbussen graaien.
Sinds wanneer is de Nieuwe Revu plaatsvervangend onderzoeksrechter en heeft de organisatie de bevoegdheid om inbreuk te (laten) plegen op prive informatie?
Welk landsbelang dient Nieuwe Revu? Volgens mij alleen het eigen belang en de sensatie. Dit heeft weinig te maken met vrije nieuwsgaring maar alles met een digitale vorm van paparazzi.
Wat vooral opvalt is dat men twee zaken als “bekend” veronderstelt:
e-mail valt te hacken
bewindspersonen sturen zakelijk mail door naar hun prive-adres.
Opvallend, omdat wordt gesuggereerd dat dit oud nieuws is, “we wisten het al”, laat maar zitten dus. Heel gemakkelijk wordt voorbijgegaan aan het simpele feit dat de bewindspersoon onveilige e-mail gebruikt: 14.000 pc’s proberen vele malen in te loggen met foutieve wachtwoorden, en de e-mail box staat nog steeds open!
Waarom niet een simpele beveiliging dat na 5 foutieve pogingen je een bepaalde tijd (bijv. 24 uur) moet wachten voordat je het opnieuw kunt proberen? Dat maakt hacken vrijwel onmogelijk.
In plaats van met zinnige oplossingen te komen, beperken de “experts” zich tot te zeggen dat ze het allemaal allang wisten. Jammer dan toch dat met hun “kennis” zo verdraaid weinig wordt gedaan.