5. De aanvulling met bewijsmiddelen houdt voor zover het feit 2 (primair) betreft het volgende in:
“Het hof neemt uit het vernietigde vonnis over de inhoud van de daarin onder 1 (behoudens de daarin opgenomen zin: “Maar ik heb alleen maar aan de deur gerammeld, om het zo maar te zeggen”), 2, 3, 4, 5, 6, 7, 8, 9, 10 en 11 vermelde bewijsmiddelen.
6. De uit het vonnis van de rechtbank overgenomen bewijsmiddelen zijn de volgende:
“1. Het proces-verbaal van verhoor, nummer 1203061630.V01, pagina’s 174 t/m 178 in zaakdossier [B] van politie Rotterdam-Rijnmond, inhoudende als verklaring van de verdachte:
Ik studeer informatica op de Hogeschool aan [a straat] .
Ik heb net mijn stage afgerond bij [A] . Ik woon met mijn moeder op het adres [b-straat 1] . Mijn kamer is op de eerste verdieping, tweede links. U zegt dat u daar een HP-computer heeft aangetroffen. Die is van mij. U zegt dat onder meer mijn telefoon en nog een laptop in beslag zijn genomen.
U vraagt voor software ik heb geïnstalleerd op mijn HP-computer. Ik heb Web cruiser, een web vulnerability scanner. Ik heb ook Backtrack 5, een penetratietestprogramma. Ik heb Nmap, die scant naar open poorten van een IP-adres.
Ik gebruik webcruiser om te kijken of de beveiliging van websites goed is.
Ik ga het internet op om te kijken of er kwetsbare sites zijn
U houdt voor dat er aangifte is gedaan door [B] van hacking, gepleegd tussen 12 en 14 december 2011.
Het zou best kunnen dat ik Webcruiser heb losgelaten daarop, misschien was het Acunetix. Dat heb ik ook op mijn computer staan. Maar ik heb alleen maar aan de deur gerammeld, om het zo maar te zeggen. Wij hebben een draadloos netwerk in huis. Ik maak dan verbinding met de router. Die is van UPC en staat op naam van mijn moeder. De router is beveiligd met WPA2.
2. Het proces-verbaal van verhoor, nummer 1204031000.G03, pagina’s 168 t/m 173 in zaakdossier [B] van politie Rotterdam-Rijnmond, inhoudende als verklaring van getuige [getuige]:
Ik ben docent op de [C] . Ik geef informaticavakken met als specialiteit networking, besturingssystemen en security. Ik heb lesgegeven aan [verdachte] . Ik kan u zeggen dat [verdachte] interesse heeft getoond in security en hacking. Wij geven geen opdrachten met betrekking tot het scannen van websites van bedrijven. We waarschuwen studenten daar ook voor. Toen ik de security module nog gaf, vertelde ik de studenten dat hacking strafbaar is. Studenten begrijpen het onderscheid maken tussen het scannen en het daadwerkelijk binnendringen van een server.
V: Als [verdachte] zou verklaren dat hij per ongeluk via het internet gebruikersnamen en wachtwoorden van een server heeft gehaald doordat hij met beveiligingssoftware een website heeft gescand op kwetsbaarheden en vervolgens per ongeluk deze site is binnengedrongen, wat zou u dan van die uitspraak vinden?
A: Per ongeluk, dat lijkt me sterk. Zo'n vulnerability scanner laat zien wat de kwetsbaarheden zijn, bijvoorbeeld dat het patch-niveau van een server niet op orde is. Vervolgens moet je als hacker dan die kwetsbaarheden zien uit te buiten.
V: Er zijn ook tools die na een scan ook bijvoorbeeld SQL-injection gaan uitvoeren. Als iemand verklaart dat hij per ongeluk een SQL-injection heeft uitgevoerd, wat vindt u daar dan van?
A: Dat is een verhaal dat geen stand houdt. Met welk doel ga je een site van anderen scannen? Als je iets met die tools wil, dan richt je een testomgeving in, een eigen website dus, en dan laatje zo’n tool daar op los.
4. Het proces-verbaal van bevindingen nummer 1201261244.AMB, pagina’s 5 t/m 7 in het proces-verbaal zaakdossier [B] van politie Rotterdam-Rijnmond, inhoudende als relaas van de verbalisant:
Op 5 januari 2012 heeft de opsporingsambtenaar de aanbieder UPC Nederland op grond van art. 126na Wetboek van Strafvordering, gevorderd gegevens te verstrekken van de gebruiker IP-adres [IP adres 2] .
Door UPC Nederland zijn de volgende gegevens verstrekt:
[D] , [b-straat 1] te [woonplaats]
UPCnr: [… ] Accountnaam [… ]
E-mailadres: [e-mailadres 1] (Mailbox is niet in gebruik)
5. Het proces-verbaal van bevindingen nummer 202051700.AMB, pagina’s 8 t/m 10 in het proces-verbaal zaakdossier [B] van politie Rotterdam-Rijnmond, inhoudende als relaas van de verbalisant:
Op 5 januari 2012 heeft de opsporingsambtenaar de aanbieder [E] , gevorderd gegevens te verstrekken van de gebruiker van het IP-adres [IP adres 1] .
Door [E] zijn de volgende gegevens verstrekt:
IP-adres: [IP adres 1]
IP type: statisch
Periode 10 december 2011 t/m 17 december 2011
Naam: [A]
Contactpersoon: [betrokkene 2] . Adres: [c-straat 1] , [plaats] .
7 De verklaring van de verdachteter terechtzitting, voorzover inhoudende:
De politie heeft drie computers bij mij opgehaald. Een Toshiba, een HP en later nog een HP die ik bij [A] gebruikt heb.
8. Het proces-verbaal van bevindingen nummer 1202061317.0IG, pagina’s 18 t/m 20 in het proces-verbaal zaakdossier [B] van politie Rotterdam-Rijnmond, inhoudende als relaas van de verbalisant:
Op 6 februari 2012 heb ik, verbalisant een onderzoek ingesteld in de gegevens die zijn overgenomen van een personal computer, 2x harddisk. Het door aanvrager voornoemd ingestelde onderzoek betreft een onderzoek in verband met de aanval op de website [website 1] , waarbij [verdachte] als verdachte is aangemerkt.
Aanleiding onderzoek
Op donderdag 12 januari 2012 werd door [aangever] werkzaam bij het bedrijf [B] gevestigd aan de [d-straat 1] te [vestigingsplaats] aangifte gedaan van twee aanvallen op de website [website 1] .
Uit de, door de aangever ter beschikking gestelde loggegevens van een bedrijf genaamd "SECODE", bleek dat er op 12 december 2011 en 14 december 2011 vanaf twee afzonderlijke IP-adressen een aanval was uitgevoerd op de website [website 1] . De bij de aanval gebruikte IP-adressen waren:
|
IP-adres:
|
Datum:
|
Tijd:
|
Naamstelling:
|
|
[IP adres 1]
|
12-12-2011
|
13:10 - 16:41
|
[E]
|
|
[IP adres 2]
|
12-12-2011
|
23-01 - 23-03
|
UPC.NL
|
|
[IP adres 2]
|
14-12-2011
|
18:53 - 19:52
|
UPC.NL
|
Ik zag dat op de gegevensdrager het programma "Acunetix" was geïnstalleerd. Ik zag namelijk dat in de map: \Program Files (x86)\Acunetix\ de programma's "Web Vulnerability Scanner 6" en "Web Vulnerability Scanner 7" waren geïnstalleerd.
Opmerking verbalisant: Het programma "Acunetix Web Vulnerability Scanner" is bedoeld voor het opsporen van kwetsbaarheden in een eigen website, maar kan door hackers worden gebruikt om aanvallen uit te voeren op websites van derden.
9. Het proces-verbaal van bevindingen nummer 1202061317.OIG, pagina’s 21 t/m 25 in het proces-verbaal zaakdossier [B] van politie Rotterdam-Rijnmond, inhoudende als relaas van de verbalisant:
[verdachte] werd op 6 maart 2012 aangehouden. Aansluitend vond een doorzoeking ter inbeslagneming plaats, in de woning van de verdachte waarbij onder andere een laptop van het merk HP werd inbeslaggenomen.
Ik heb een onderzoek ingesteld naar de gegevens in de laptop.
Ik trof in de map \Users\D\Documents en de daarin aanwezige mappen, diverse documenten aan die betrekking hadden op de persoon [verdachte] , waaronder belastingaangiften, documenten met betrekking tot zijn opleiding, een Curriculum Vitae, een Portfolio, en sollicitatiebrieven.
In de map \Users\D\Documents\extern\ [A] \Product_versIag+Iogboek zag ik een aantal documenten staan waarin een journaal werd bijgehouden over de werkzaamheden tijdens de stageperiode van [verdachte] bij [A] .
Onderzoek [B]
Ik trof in de gebruikersomgeving van "D" het volgende bestand aan: "urlhistory.pkl. dit bestand bevond zich op de locatie D\Users\D\.w3af. Ik zag daarin de volgende URL(uniform resouce locater) staan: [website 1] .
Verder zag ik nog de volgende URL's in dit bestand
[website 2]
[website 3]
[website 4]
.w3af is een framewerk van softwarecomponenten. Het is mij bekend dat deze applicatie wordt gebruikt om de beveiligingen van websites te controleren. Dit gebeurd door middel van het uitvoeren van scans op een website. Ik zag in de map D\Users\D\.w3af\sessions, gegevens staan van een aantal uitgevoerde scans. Ik zag in de map: db_defaultSession-2012- Feb-14 18-05-05_traces een database staan met de gelogde gegevens van een scan op de webapplicatie van [website 1] . Ik zag dit bestand was aangemaakt op 14/februari/2012 18:05:08.
Ik zag dat de gebruiker door middel van de internetbrowser "Mozilla Firefox" op 14 februari 2012 diverse keren de website van de [B] had bezocht, waaronder de pagina loging for e-services. Vanuit deze pagina kan men zich als klant aanmelden (inloggen).
Ik zag in de map D\Users\D\Documents\extern\ [A] \Acunetix\Web Vulnerability Scanner 7\Data\Database het volgende bestand: vulnscanresults.mdb
Ik zag dat dit een database betrof met scan gegevens van websites. Nadat ik deze database inzichtelijk had gemaakt trof ik een tabel aan genaamd: WVS_scans. Ik zag dat deze tabel gegevens bevatte van 41 uitgevoerde scans op verschillende websites.
Opmerking verbalisant: het programma Acunetics Vulnerability Scanner 7 kan gebruikt worden voor het opsporen van kwetsbaarheden in websites. Tevens kan het worden gebruikt als ondersteuning bij het hacken van de gescande website.
Ik zag in de genoemde tabel WVS_scans, dat op 12 december 2011 om 13:12 uur een scan was uitgevoerd op de website van de [B] . De URL die werd gescand bleek de inlog-pagina van de [B] te zijn.
10. Het proces-verbaal van bevindingen nummer 012204021, pagina 103 in het proces-verbaal zaaksdossier [B] van politie Rotterdam-Rijnmond, inhoudende als relaas van de verbalisant:
Op 7 maart 2012 sprak ik telefonisch een man, genaamd [betrokkene 2] , als IT Manager werkzaam bij [A] gevestigd aan de [c-straat 1] te [plaats] . Hij verklaarde dat [verdachte] in de periode van september 2011 tot eind december 2011 praktijkstage heeft gelopen bij voornoemd bedrijf en de beschikking had gekregen van een laptop van het bedrijf.
Op 8 maart 2012 ontving ik uit handen van [betrokkene 3] , werknemer bij de Interne Automatisering van [A] een laptop als nader omschreven:
Merk : Hewlet Packard
Type : NX7400
Serienummer : [serienummer]
11. Het proces-verbaal van bevindingen nummer 1204250900.0IG, pagina’s 54 t/m 58 (met bijlagen) in het proces-verbaal zaakdossier [B] van politie Rotterdam-Rijnmond, inhoudende als relaas van de verbalisant:
De bij [A] inbeslaggenomen laptop computer was tijdens dit onderzoek nog voorzien van de image die door [verdachte] werd gebruikt ten tijde van zijn stageperiode bij [A] .
In de vrije diskruimte werden door mij sporen aangetroffen van de volgende software:
1 .WebCruiser.Enterprise.2.5.0
2.Acunetix Web Vulnerability Scanner 7
Ik zag dat voordat het programma Webcruiser en Acunetix werden verwijderd deze respectievelijk op de volgende locaties op de harde schijf hadden gestaan: C:\Documents and Settings\ [verdachte] \Mijn documenten\Downloads\WebCruiser C:\Program Files\Acunetix\Web Vulnerability Scanner 7
lk trof op de locatie C\RECYCLER\S-1-5-21-42367538-451129802-613649775- 35344\Dc2\Web Vulnerability Scanner 71DatalDatabase\ een bestand aan voorzien van de naam vulnscanresults.mdb. lk zag dat dit bestand afkomstig was uit een verwijderde map voorzien van de naam Web Vulnerability Scanner 7. Het bestand vulnscanresults.mdb is een door het software programma Acunetix aangemaakte database. In deze database werd door mij onder andere een verwijzing naar de websites [website 1] en [website 5] aangetroffen.”
7. De tenlastelegging is toegesneden op art. 138ab, eerste lid, Sr. In de periode waarop de tenlastelegging betrekking heeft, luidde art. 138ab, eerste lid, Sr:
“Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
a. door het doorbreken van een beveiliging,
b. door een technische ingreep,
c. met behulp van valse signalen of een valse sleutel, of
d. door het aannemen van een valse hoedanigheid.”
8. Het in de tenlastelegging voorkomende begrip ‘binnendringen’ moet worden geacht te zijn gebezigd in dezelfde betekenis als daaraan in deze strafbepaling toekomt.
9. Ik stel voorop dat computervredebreuk – zoals onder feit 2 bewezenverklaard –bestaat uit het wederrechtelijk binnendringen in een geautomatiseerd werk of een deel daarvan. De wetgever heeft, zoals uit de wetsgeschiedenis blijkt, met artikel 138a, eerste lid, (oud) Sr2 diegene willen beschermen ‘die blijkens feitelijke beveiliging heeft duidelijk gemaakt dat hij zijn gegevens heeft willen afschermen tegen nieuwsgierige blikken’.3 Zoals nog zal blijken, geldt het vereiste van de feitelijke beveiliging niet meer.
10. Het gaat om (onder meer op een wijze zoals in art. 138ab, eerste lid onder a t/m d, Sr omschreven wijze) bewerkstelligen van de toegang tot een geautomatiseerd werk, waartoe men niet gerechtigd is.4 Die toegang zal in het algemeen worden bewerkstelligd teneinde te kunnen kennisnemen van gegevens, terwijl die kennisneming door derden kennelijk door de rechthebbende niet gewenst wordt geacht.5 De beoogde kennisneming is echter niet bepalend. Of de binnendringer de beschikking heeft weten te krijgen over bepaalde gegevens of gegevens inziet, wijzigt of kopieert is niet relevant.6 Het gaat om de strafrechtelijke bescherming van de ‘huls’.7
11. Bij de strafbaarstelling van computervredebreuk is nauw aansluiting gezocht bij de in art. 138 Sr strafbaar gestelde huisvredebreuk.8 De in het kader van de toepassing van art. 138 Sr geldende eis dat wordt betreden tegen de onmiskenbare wil van de bewoner of gebruiker, werd in art. 138ab Sr aanvankelijk (onder meer) vorm gegeven door het vereiste inzake de beveiliging. Tot september 20069 was voor binnentreden vereist dat de beveiliging van een systeem werd doorbroken.10 Thans resteert slechts een niet-limitatieve opsomming van de gevallen (methoden) waarin (in ieder geval) sprake is van binnendringen.11 Onder binnendringen valt aldus mede het binnendringen in een systeem waarbij geen beveiliging wordt doorbroken, maar waarvoor wel een technische ingreep wordt aangewend.12 Ik wijs er nog op dat thans13 in art. 138ab, eerste lid, Sr tussen de woorden opzettelijk en wederrechtelijk het voegwoord ‘en’ is geplaatst. Opzet op de wederrechtelijkheid is dus niet vereist.
12. Als gezegd gelden de onderdelen a t/m d voor computervredebreuk sinds september 2006. De tweede Nota van wijziging vermeldt over het begrip “technische ingreep”:14
“Toegespitst op artikel 138a betekent dit het volgende. Het verwerven van toegang tot een geautomatiseerd werk door een technische ingreep veronderstelt een ingreep in c.q. het manipuleren van het technisch functioneren van het geautomatiseerde werk. Het louter intoetsen van een (al of niet vals) wachtwoord zal aldus niet als een technische ingreep kunnen worden beschouwd, omdat de afhandeling daarvan de functionaliteit van het systeem intact laat. Maar het intoetsen van een combinatie van tekens die als doel heeft het technisch functioneren van het geautomatiseerde werk zodanig te veranderen dat, ondanks het ontbreken van het juiste wachtwoord, toegang verworven kan worden, kan onder omstandigheden wel als technische ingreep worden beschouwd. In een dergelijk geval zal ook sprake kunnen zijn van het doorbreken van een beveiliging en/of van het gebruik van valse signalen of een «valse sleutel». Een nauw omlijnde interpretatie van deze begrippen is echter, zeker in de nieuwe opzet van artikel 138a, van beperkte betekenis, aangezien de rechter de vrijheid wordt gelaten om ook in andere gevallen vast te stellen dat sprake is van «binnendringen» in de zin van die
bepaling.”
13. Bij binnendringen kan het aldus gaan om het intoetsen van een combinatie van tekens waarmee, ondanks het ontbreken van het juiste wachtwoord, het werk een instructie uitvoert waardoor de toegang kan worden verworven tot een geautomatiseerd werk (een computer of een server) dat bepaalde gegevens bevat.15
14. Het enkele gegeven dat een voor de rechthebbende ongewenste wijziging wordt aangebracht in de werking van een geautomatiseerd werk kan reeds tot de conclusie leiden dat sprake is van binnendringen in een geautomatiseerd werk in de zin van artikel 138ab, eerste lid, Sr. Vgl. bijvoorbeeld de volgende overweging van de rechtbank Rotterdam16:
“De rechtbank is van oordeel dat de verdachte daarmee een door de gemeente ongewenste wijziging heeft aangebracht in de werking van de netwerkapparatuur (tezamen een geautomatiseerd werk) van de gemeente. Dat enkele gegeven leidt al tot de conclusie dat sprake is van binnendringen van een geautomatiseerd werk in de zin van artikel 138ab, eerste lid, van het Wetboek van Strafrecht (Sr), nu is komen vast te staan dat de verdachte zich de toegang tot een computer van de gemeente heeft verschaft. Dit binnendringen was wederrechtelijk (de verdachte had geen toestemming) en opzettelijk (hij wist heel goed wat hij deed). Het aan de verdachte onder 2 ten laste gelegde feit kan derhalve bewezen worden geacht.
De rechtbank kan niet vaststellen welke software of instructies de verdachte precies heeft gebruikt; daarvoor is onvoldoende informatie beschikbaar. Daarom kan niet worden vastgesteld van welke van de tenlastelegging opgesomde middelen gebruik is gemaakt. Dat doet echter niet af aan de conclusie dat sprake is van binnendringen in de zin van de wet, nu de wet slechts een niet-limitatieve opsomming geeft van de gevallen waarin (in ieder geval) sprake is van binnendringen. Het gegeven dat de router zodanig was geconfigureerd dat de verdachte deze handeling kon verrichten, zoals door de verdachte ter zitting nog naar voren gebracht, doet aan de bewezenverklaring van het wederrechtelijk binnendringen evenmin af. Weten of en hoe een deur geopend kan worden, geeft nog niet het recht de deur te openen, ook al is deze niet op slot gedraaid.”
15. Ik keer terug naar de onderhavige zaak. Het middel klaagt als gezegd over de motivering van de bewezenverklaring en bevat twee klachten. Ik citeer: “In het arrest heeft het hof in het geheel niet gemotiveerd op grond waarvan het hof tot een andere bewezenverklaring komt dan de rechtbank, terwijl wel gebruik wordt gemaakt van nagenoeg dezelfde bewijsmiddelen, en uit de door het hof naast die bewijsmiddelen gehanteerde andere bewijsmiddel ook niet (zonder meer) kan volgen dat er sprake is geweest van een voltooide computervredebreuk, zodat de bewezenverklaring onbegrijpelijk is althans onvoldoende met redenen is omkleed.” Daaraan wordt naar ik meen te begrijpen als tweede klacht toegevoegd: “Dit klemt te meer nu door en namens verdachte uitvoerig is betoogd dat geen sprake is geweest van (poging tot) computervredebreuk, terwijl het hof niet op dit door de verdediging gevoerde verweer heeft gereageerd.”
16. Het is juist dat het hof weliswaar op grond van vrijwel dezelfde bewijsmiddelen als de rechtbank, maar anders dan de rechtbank, niet de onder 2 subsidiair tenlastegelegde poging tot binnendringen bewezen heeft verklaard, maar kiest voor bewezenverklaring van het primair tenlastegelegde voltooide delict. De vrijspraak van de rechtbank was slechts gemotiveerd met de algemene formule dat het onder 2 primair tenlastegelegde niet wettig en overtuigend is bewezen. De rechtbank overweegt dat de vrijspraak niet nader wordt gemotiveerd nu de officier van justitie vrijspraak heeft gevorderd en de raadsvrouw vrijspraak heeft bepleit. Voor zover de klacht inhoudt dat nadere motivering is vereist ingeval van bewezenverklaring door het hof van een voltooid delict op grond van (vrijwel) dezelfde bewijsmiddelen als door de rechtbank gebruikt voor bewezenverklaring van een poging, vindt die klacht geen steun in het recht.
17. Voor zover de klacht inhoudt dat de motivering van de bewezenverklaring ontoereikend dan wel onbegrijpelijk is, gaat het – naar ik uit de toelichting begrijp – er om dat uit de bewijsmiddelen niet blijkt dat sprake is van een voltooid delict: de bewijsmiddelen leveren geen (voltooid) binnendringen in het geautomatiseerd werk op. Ik begrijp dat er ook volgens de stellers van het middel wel van uit kan worden gegaan dat de verdachte op een bij hem in gebruik zijnde laptop (een) scanprogramma(’s) heeft geïnstalleerd en deze eveneens heeft gebruikt onder meer bij het bewerkstelligen van toegang tot een geautomatiseerd werk van [B] .17 De vraag is echter of uit de bewijsmiddelen blijkt dat het gebruik van de scanprogramma’s (voltooid) binnendringen in een geautomatiseerd werk als bedoeld in art. 138ab Sr oplevert.
18. Bewijsmiddel 1 houdt onder meer als verklaring van de verdachte in dat het best zou kunnen dat hij Webcruiser heeft losgelaten op (de website van) [B] , misschien was het Acunetix. Webcruiser is volgens de verdachte een web vulnerability scanner. Hij beschikt ook over Nmap, die scant naar open poorten van een IP-adres. Getuige [getuige] (bewijsmiddel 2) verklaart dat een vulnerability scanner laat zien wat de kwetsbaarheden zijn, bijvoorbeeld dat het patch-niveau van een server niet op orde is. De verdachte heeft onder meer de inlogpagina van [B] gescand (bewijsmiddel 9). Uit de aangifte (bewijsmiddel 3) komt naar voren dat er gebruik is gemaakt van de web vulnerability scanner Acunetix. Hiermee is op 12 december 2011 naar kwetsbaarheden in de website gezocht waarvan er een aantal werden geblokkeerd. Op 14 december 2011 zijn er door middel van Cross site scripting en Directory traversal aanvallen op de website van [B] uitgevoerd en is er te zien dat er verschillende pogingen met betrekking tot Cross site scripting werden geblokkeerd. Ook is te zien dat door middel van Directory traversal werd getracht in de root van de server te komen.
19. Het hof heeft kennelijk geoordeeld dat de vraag of het scannen binnendringen in een geautomatiseerd werk oplevert, afhankelijk is van het type scan dat wordt gedaan.18 De verdachte beschikt over Nmap die scant naar open poorten, maar bij het scannen van open poorten is het niet gebleven. De verdachte heeft meer gedaan dan een poortscan omdat er na de verkenning van de vraag of er een poort open stond of actief was niet is gestopt. Daarbij doet het er volgens de huidige en destijds geldende wetgeving niet meer toe of de poort al dan niet is beveiligd. Uit de aangifte blijkt dat er in de website is gezocht, dat er gezocht is naar kwetsbaarheden waarop door het geautomatiseerd werk in gevallen is gereageerd met blokkering. Naar ik meen is het niet onjuist of onbegrijpelijk dat het hof heeft geoordeeld dat hetgeen op 12 december 2011 heeft plaatsgevonden al binnendringen van de website (het geautomatiseerde werk) oplevert. Met de kwetsbaarheidsscan is immers actief (via een automatische systematiek19) gezocht naar gegevens op de server en getracht deze te wijzigen om toegang te verkrijgen. Uit de blokkering blijkt zelfs dat op het binnendringen is gereageerd. Of de gegevens uiteindelijk voor de verdachte beschikbaar zijn gekomen doet, zoals hierboven reeds tot uitdrukking kwam, niet ter zake. Ter vergelijking: na inklimming in een woning is het binnendringen voltooid en is pas de volgende vraag of er een voor wegneming geschikt voorwerp aanwezig is. Of het wegnemen volledig achterwege is gebleven, slechts is voorbereid dan wel of het is geraakt tot een poging of een voltooid wegnemen, is niet relevant voor het binnendringen.
20. Het hof heeft verder nog in aanmerking genomen dat er op 14 december 2011 een langdurige aanval door Cross site scripting en Directory traversel heeft plaatsgevonden. Dat dit gericht was op de toegang tot (en/of kennisneming en/of wijziging van) gegevens in bestandsystemen wordt geacht van algemene bekendheid te zijn onder meer omdat het valt te ontlenen aan een openbare bron te weten een beschrijving van beide (aanvals)technieken op Wikipedia. Cross-site scripting (XSS) is de naam van een fout in de beveiliging van een webapplicatie. Het probleem wordt veroorzaakt doordat de invoer die de webapplicatie ontvangt (zoals cookie, url, request parameters) niet juist wordt verwerkt en hierdoor in de uitvoer terechtkomt naar de eindgebruiker. Een Directory traversal (of Path traversal) bestaat uit het exploiteren van onvoldoende beveiligingsvalidatie/-desinfectie van door de gebruiker geleverde invoerbestandsnamen, zodat tekens die “traverse to parent directory” vertegenwoordigen worden doorgegeven aan de bestands-API's. Het doel van deze aanval is om een getroffen applicatie te gebruiken om ongeautoriseerde toegang te krijgen tot het bestandssysteem. Deze aanval maakt gebruik van een gebrek aan beveiliging (de software handelt precies zoals het hoort) in plaats van het misbruiken van een bug in de code.
21. Voor zover wordt geklaagd dat het hof niet op ‘dit’ door de verdediging gevoerde verweer heeft gereageerd, merk ik allereerst op dat in de schriftuur een aan de wet of rechtspraak ontleende grondslag voor de verplichting tot enige reactie door het hof op ‘dit’ (naar ik aanneem bewijs)verweer ontbreekt. Daar komt bij dat ik ook in het licht van de toelichting (zie met name onder 1.7 van de schriftuur voor hetgeen door de raadsvrouw in hoger beroep is aangevoerd) niet begrijp wat met ‘dit’ verweer is bedoeld. De verdediging heeft zich in hoger beroep op het standpunt gesteld dat niet bewezen kan worden dat van een (subsidiair tenlastegelegde) poging tot binnendringen sprake is en ik neem aan dat ook de stellers van het middel niet van het hof verwachten dat het hof reageert op een ‘verweer’ inzake het subsidiair tenlastegelegde feit, indien wordt veroordeeld voor het primair tenlastegelegde feit.
.jpg?width=50&height=55)
.jpg?width=50&height=55)
