TkkrLab/NederlandseOMkwestie
From
Beste, ik weet dat ik niet vaak van mij laat horen, maar bij deze toch een oproep aan allen om zich even te informeren.
Het Nederlandse Openbare Ministerie wil mij, en mensen zoals ik* over een kammetje scheren en door onbegrip en vooroordelen strafbaar maken.
De achtergrond informatie staat inmiddels op verschillende plekken online, Artiekels: http://nos.nl/op3/artikel/691217-om-drukt-hackers-in-een-hoekje.html http://www.nu.nl/tech/3861122/hackers-boos-criminalisatie.html
De brief die we aan het OM hebben geschreven, samen met andere bestuursleden van hackerspaces in Nederland: http://computervrede.nl/2014-08-26-OpenbaarMinisterie/
Ik citeer even het OM in het artikel: Het OM legt de term "hacker" wel duidelijk genoeg uit, zegt een woordvoerder. Ze zijn niet van plan iets te veranderen: "We zullen de term hacker in de context van strafbare feiten blijven gebruiken." Volgens de woordvoerder probeert het OM niet te doen alsof hacken per definitie slecht is. "We hebben geen vooroordelen over hackers."
Als ik het goed lees staat daar "we hebben geen vooroordelen over hackers, maar ze zijn wel fout bezig en we willen het graag strafbaar stellen."
Het onderzoek staat hier:
https://www.om.nl/onderwerpen/mening/virtuele_map/mening-straffen-0/
Ik citeer: "Met onderstaande enquête wil het OM graag uw mening te weten komen over straffen voor hacken, dat is zonder toestemming inbreken in computers".
Zonder instemming inbreken op computer heet in het Nederlandse recht "Computervredebreuk". het OM kent kennelijk zijn eigen woorden niet.
De enige optie in het geschetste voorbeeld is dat de hacker strafbaar is... er wordt niets gezegd over het feit dat het slachtoffer beter had kunnen weten, of dat het juist door dit soort oplichtingspraktijken er bij banken speciale readers zijn, of sms controllers om na te gaan of de overboeking mag plaatsvinden.
Volgens wikipedia: Een hacker, ook wel kraker genoemd, is in het dagelijks spraakgebruik meestal iemand die inbreekt in computersystemen. Een hacker kan zich echter ook bezighouden met andere systemen dan computersystemen. Het uitgangspunt bij hacken is het op creatieve wijze naar de hand zetten van een bestaande technologie.
Met vriendelijke groet,
[naam]
tkkrlab
Waar we quadcopters, LED schermen, spelletjes, lego mindstorms, en andere dingen hacken. Onze eigen elektronica in elkaar zetten en mensen helpen met privacy cursussen.
- Die geïnteresseerd zijn in techniek, graag dingen open schroeven om te kijken hoe het in elkaar zit en er dan afstand bestuurbare koetrommels van bouwen.
P.S.: mijn excuses voor de sensationele kop. ---
Contents
Uitgebreide uitleg
http://www.catb.org/jargon/html/meaning-of-hack.html
De huidige hackers discussie.
In dit verhaal ga ik even de situatie toe lichten, waarom hackers belangrijk zijn, aan de hand van een paar voorbeelden en een paar voorwerpen die u in het alledaagse leven gebruikt.
Om "Hacken" even uit te leggen laten we even het verschil maken tussen wat in de volksmond "Hacken" wordt genoemd en wat "Hacken" eigenlijk is.
Nou gaan we dit doen aan de hand van een voorbeeld uit de jaren 90... of dit een waargebeurd verhaal is of niet, het geeft een goed voorbeeld van een situatie waarbij het strafrechtelijk vervolgen van een hacker(volksmond) enkel negatieve gevolgen heeft voor de maatschappij. Ook gaan we even mensen leren wat een vorm van computervredebreuk is, en waarom het OM hier geen grip op kan krijgen.
De situatie:
Een willekeurige persoon, een willekeurige bank.
Bij het inloggen op de rekening merkt iemand op dat het internet adres na het inloggen er als volgt uit ziet:
"Http:/www.mijnbank.nl/ingelogd/moeilijketekens[mijnrekneningnummer]"
De volgende dag probeerd deze persoon zonder in te loggen gewoon direct in de adres balk:
"Http:/www.mijnbank.nl/ingelogd/moeilijketekens[mijnrekneningnummer]"
en merkt dat hij gewoon vanuit dit adres zijn rekening kan beheren zonder te zijn ingelogd.
Een dag later op een andere computer probeert hij van geheugen uit:
"Http:/www.mijnbank.nl/ingelogd/moeilijketekens[mijnrekneningnummer]"
maar maakt bij het intikken van zijn eigen rekeningnummer en tikfout... en ontdekt dat
"Http:/www.mijnbank.nl/ingelogd/moeilijketekens[iemand'zn rekneningnummer]" ook werkt.
Vraagstelling:
Is deze persoon nu een hacker? daar komen we later op terug. Maar hij heeft nu wel toegang tot andermans rekening nummer zonder andermans toestemming.
Iedere beleefde persoon ( ja, u ook) zou nu denken "dat ging toch wel heel makkelijk", en stuurt even een beleefde brief naar de bank toe om aan te wijzen dat je makkelijk per ongeluk de rekening van iemand anders kan beheren...
Nu komen we op het moment waar de keuzes worden gemaakt door de maatschappij:
Na het sturen van de brief zijn er in het algemeen drie situaties die zich voordoen:
a) er gebeurd niets, want het management van de bank kan niet inzien hoe gevaarlijk de situatie is want die rare nerds bij die computers zeggen dingen maar het kost geld en moeite om het op te lossen.
b) de bank vervolgt de melder, onder het mom dat hij aan het hacken was. En handelt verder als a)
c) de bank past de website aan en nu is het inloggen niet meer te omzeilen.
En nu komen we bij de gevolgen van de situatie waarbij een crimineel of misdadiger zijn slag slaat, want zo noemen we dat soort mensen nu eenmaal al.
Nou is deze misdadiger iemand die toevallig weet hoe je een script (leggen we zo uit) kan schrijven en toevallig gezien heeft hoe makkelijk het is om
"Http:/www.mijnbank.nl/ingelogd/moeilijketekens[iemand'zn rekneningnummer]" te gebruiken.
Nou is de misdadiger slim genoeg om te zien dat alle pagina's van de bank hetzelfde zijn, en dat je dus het leegplunderen van alle rekeningen zou kunnen doen, dit gaat als volgt:
- ---script---
- 1 open "Http:/www.mijnbank.nl/ingelogd/moeilijketekens[iemand'zn rekneningnummer]"
- 3 TAB|TAB|TAB (SALDO) CTRL+C |TAB TAB TAB| (geld overmaken) ENTER|
- 4 CTRLV (SALDO)|ENTER|
- 5 (naar welk rekening nummer?) [bankrekening in Belize graag] | (weet u het zeker?) JA|
- 6 (iemand'zn rekneningnummer = iemand'zn rekneningnummer +1)
- 7 Begin opnieuw bij 1
- ---script---
Nou is dit geen perfecte script maar het geeft een goed idee over hoe makkelijk het zou kunnen zijn. Nu denkt u dat valt wel mee... echter een script uitvoeren op een computer komt flauw gezegd neer op het vertellen aan de computer dat hij het zo snel mogelijk mag uitvoeren... de computers van destijds gingen hooguit 200Mhz, dat is dus 2 000 000 Herz, er van uitgaande dat het uitvoeren van het scriptje 20 cyclussen nodig heeft, zijn dat 20 000 bankrekeningen PER SECONDE, die leeg gehaald kunnen worden...
Nu komen we terug op de reacties op de brief:
Situatie a):
De website is niet verbeterd, onze misdadiger slaat zijn slag, en plundert een berg rekeningen leeg door de script uit te voeren. De bankrekening in Belize is gekoppeld aan andere bank rekeningen in andere landen en het geld wordt lekker weg gesluisd naar een belastingparadijs waar het OM er niet bij kan. De bank belt het OM, het OM kan jammer genoeg niets doen want de misdadiger zit niet in Nederland, de bank gaat failliet, of de verzekeringskosten van de banken gaan omhoog.
Een misdadiger zit lekker op een eiland te genieten van een mooi pensioen, u zit een paar maanden zonder geld totdat de verzekering uitbetaald, of totdat de Nederlandse Bank uw bank komt redden.
Situatie b):
Het OM vervolgd de melder van de mogelijke slechte beveiliging. Echter heeft het OM geen technische kennis en vraagt een extern bedrijf om advies (meestal FOX-it). FOX-it probeert weliswaar uit te leggen dat "het toch wel heel makkelijk was om het systeem te "misbruiken", maar de rechter is enkel geïnteresseerd in een "ja of nee" antwoord. Fox-it geeft schoorvoetend toe dat het "ja" is, onze brave burger beland voor een aantal maanden (of jaren) in het gevang, krijgt een strafblad, als hij al niet zichzelf doodgeschrokken is toen hij rond 6 uur s'ochtends door de gewapende special forces der Nederlanden van zijn bed is gelicht. De bank past het technisch foutje niet aan, de misdadiger slaat zijn slag en geniet van het gestolen geld terwijl een (bijna)onschuldige persoon in het gevangenis zit.
Situatie c):
De misdadiger kan zijn slag niet slaan omdat de beveiliging verbeterd is, het OM hoeft geen over uren te maken vanwege zaken die ze inhoudelijk niet begrijpt, de burger hoeft niet op te draaien voor het inhuren van expertise door het OM.
Nou denken wij dat de verstandigste aanpak situatie c is... Echter wil het OM graag extra werk en willen zij graag situatie b. Aan u de keuze om als burger te kiezen voor een werkende oplossing.
En omdat dit mogelijk allemaal te technisch was zullen we een voorbeeld geven van een voorwerp dat door hacks (en dus hackers) ontstaan is:
- De magnetron.
Er liep ooit http://en.wikipedia.org/wiki/Percy_Spencer langs een radar en merkte dat de reep chocolade in zijn broek gesmolten was... http://en.wikipedia.org/wiki/Microwave_oven
Met vriendelijke groet,
Tkkrlab