Berichten geplaatst onder 'Cybercrime'
09-10-2008
Vandaag heeft staatssecretaris Heemskerk van Economische Zaken de Notice and Take Down (NTD) gedragscode officieel in ontvangst genomen. De code is onder de vlag van de Nationale Infrastructuur Cybercrime (EZ) door marktpartijen zoals KPN, XS4ALL, ISPConnect, Dutch Hosting Provider Association, NLKabel, Ziggo, UPC, CAIW, Zeelandnet en SIDN opgesteld. Notice and takedown is de wettelijke procedure waarbij een webhoster of andere internetdienstverlener op basis van een klacht (notice) moet onderzoek of via hem aangeboden materiaal illegaal is. Als dit evident is, moet hij het verwijderen (takedown). Laat hij dit na, dan wordt hij zelf aansprakelijk voor het materiaal.
Hoewel dit eenvoudig lijkt, blijkt de praktijk vaak weerbarstig. Klagers weten vaak niet goed bij wie ze terecht kunnen, of krijgen onvoldoende inzicht in de afhandeling van hun klacht. Hosters grijpen te snel in, of juist niet snel genoeg. En in sommige gevallen wil de klager niet alleen het materiaal verwijderd hebben, maar ook de naam en adresgegevens van de plaatser om deze voor de rechter te kunnen dagen voor bijvoorbeeld smaad of laster. De wet voorziet hier niet in. In de code zijn door de bedrijven nu heldere afspraken gemaakt over wie welke rol heeft.
De code voorziet in een duidelijke procedure en is daarmee erg nuttig voor elke internetdienstverlener. Aan de inhoud van het wettelijk regime verandert de code (natuurlijk) niets. Hosters en andere dienstverleners moeten zelf inschatten of materiaal “evident onrechtmatig” is. Dat is en blijft een lastige zaak. ICTRecht biedt daarom een adviesdienst die u snel en deskundig kan vertellen of u het materiaal moet weghalen, adresgegevens van de gebruiker moet afgeven of niet. Tevens adviseren wij bij het implementeren van de NTD gedragscode.
08-05-2007
Banken zijn de laatste tijd steeds vaker het slachtoffer van phishing. De cybercriminelen sloegen onlangs nog toe bij ABN Amro, maar ook de Postbank is lange tijd slachtoffer geweest van zogenoemde “phishingmail”?. Een nieuwe domeinextensie “.bank’ zou volgens Mikko Hyppönen (beveiligingsexpert bij antivirusbedrijf F-Secure) een einde kunnen maken aan de praktijken van de cybercriminelen, alsdus het bericht op Nu.nl. Overigens is de berichtgeving op NU.nl niet helemaal nieuw. Arnout Veenman van ISPam berichtte al eerder over de nieuwe extensie.
Het “.bank”? domein zou uitsluiteind aan erkende banken mogen worden toegewezen. Daarnaast moet het domein zo’n 50.000 dollar gaan kosten. Dit zou een volgens Hyppönen een drempel voor de cybercriminelen kunnen zijn. Nu is het nog maar de vraag of het bedrag überhaupt als drempel dient, aangezien er met de phishingaanvallen bij ABN Amro al tienduizenden euro’s zijn gestolen.
Heeft de “.bank”? domeinextensie wel zin?
Het uitgifteproces van de domeinnamen moet goed geregeld zijn. Het zou moeten gaan om een onafhankelijke derde partij, die alleen erkende banken aansluit.
Waarschijnlijk kan zelfs bij een goed uitgifteproces nog misbruik worden gemaakt van de “.bank”? extensie. Denk hierbij aan het feit dat cybercriminelen een eigen domein naam server (DNS) kunnen opzetten. Een commercieel bedrijf als UnifiedRoot maakt al diverse extensies mogelijk, bijvoorbeeld “.ictrecht”?. Waarom zouden cybercriminelen dat niet kunnen?
Niet alleen banken hebben te maken met het phishing-probleem. Daarom zou je voor allerlei bedrijven een aparte domeinextensie moeten gaan hanteren.
Misschien is het EV SSL certificaat een betere of aanvullende oplossing voor de banken en andere bedrijven die te maken hebben met het phishing-probleem.
Het uitgifteproces van het EV SSL certificaat is in tegenstelling tot het gewone SSL certificaat streng. Bij de uitgifte worden onder andere de bedrijfsgegevens gecontroleerd, het mag alleen om een BV of NV gaan en er wordt telefonisch contact opgenomen met het bedrijf (download vereisten uitgifteproces).
Als gebruik wordt gemaakt van het EV SSL certificaat laat Internet Explorer 7 een groene adresbalk zien. Op deze wijze garandeert het bedrijf op gecontroleerde en voor de bezoeker herkenbare manier de identiteit van de website.
Tevens zullen Firefox en Opera aan de ontwikkelingen van EV SSL meewerken.
Zie www.cabforum.org voor meer informatie.
DigiNotar zal de eerste Nederlandse websites voorzien van een EV SSL certificaat.
04-11-2006
Na de opheffing van het National High-Tech Crime Center (NHTCC) is het Korps Landelijke Politiediensten (KLPD) belast met de bestrijding van Cybercrime. ICTRecht krijgt met enige regelmaat de vraag of het überhaupt nog zinvol is om aangifte te doen van Cybercrime, want de politie zou er toch weinig mee doen. Bedrijven worden in sommige gevallen zelfs weggestuurd met de mededeling dat het niet onder het strafrecht zou vallen.
Desondanks blijkt uit een onderzoek van het Centrum voor Criminaliteitspreventie en Veiligheid (onderzoek dateert uit 2005) dat de bereidheid tot aangifte bij politie of justitie in geval van Cybercrime toeneemt. Maar slechts een kleine groep (6 procent) doet daadwerkelijk aangifte. Het gaat hier voornamelijk om de grotere organisaties.
ICTRecht is van mening dat bedrijven altijd aangifte moeten doen van Cybercrime. Als de aangifte goed is voorbereid, wordt er zeker werk van gemaakt.
In dit artikel wordt ingegaan op het doen van aangifte wegens Cybercrime waarvoor een specifieke strafbaarstelling in het Wetboek van Strafrecht is opgenomen. Voorbeelden zijn het uitvoeren (D)DoS-aanvallen, computervredebreuk, het vernielen van gegevens en het verspreiden van virussen.
Er kan aangifte worden gedaan op grond van de onderstaande artikelen (een selectie):
Misdrijven tegen de openbare orde (Wetboek van Strafrecht):
- Artikel 138a: computervredebreuk/hacken
- Artikel 138b: (D)dos aanvallen, verspreiding van virussen
Misdrijven waardoor de algemene veiligheid van personen of goederen wordt in gevaar gebracht (Wetboek van Strafrecht):
- Artikel 161sexies: het opzettelijk vernielen van een geautomatiseerd werk
- Artikel 161septies: schuld aan het vernielen van een geautomatiseerd werk
Vernieling of beschadiging (Wetboek van Strafrecht):
- Artikel 350a: het opzettelijk vernielen van computergegevens
- Artikel 350b: schuld aan het vernielen van computergegevens
De wetteksten van bovengenoemde artikelen zijn te vinden op: http://wetten.overheid.nl
Als u aangifte doet op grond van één of meer van de bovengenoemde artikelen, zorg dan voor een goed dossier met daarin alle gegevens over bijvoorbeeld het hacken van een server. Stel een begeleidende brief op met daarin een verwijzingen naar diverse bijlagen. Denk hierbij aan e-mails, logfiles etc.
Het paar zaken die uiteindelijk voor de rechter zijn gekomen:
- Hof ’s-Gravenhage 8 juni 2004 (hacken site ex-vriendin), LJN-nummer AP7974.
- Hoge Raad 28 september 2004 (Kournikova), LJN-nummer AO7009.
- Hof ’s-Gravenhage 10 februari 2006 (DDoS aanvallen tegen overheid), LJN-nummer AV1449, AV1451 en AV1452.
