ECLI:NL:PHR:2019:4

Conclusie

Nr. 17/00643

Zitting: 8 januari 2019 (bij vervroeging)

Mr. P.C. Vegter

Conclusie inzake:

[verdachte]

De verdachte is bij arrest van 22 november 2016 door het hof Den Haag wegens 1. “computervredebreuk en computervredebreuk, terwijl de dader vervolgens gegevens die zijn opgeslagen door middel van het geautomatiseerde werk waarin hij zich wederrechtelijk bevindt, voor zichzelf overneemt”, 2. primair “computervredebreuk”, 4, 5, 6, 7 en 11 telkens “oplichting, meermalen gepleegd” en 9. “poging tot oplichting”, veroordeeld tot een gevangenisstraf voor de duur van 782 dagen, waarvan 360 dagen voorwaardelijk, met een proeftijd van 3 jaren en met toepassing van art. 27(a) Sr, alsmede tot een taakstraf voor de duur van 180 uren, subsidiair 90 dagen hechtenis. Voorts heeft het hof twee inbeslaggenomen voorwerpen verbeurd verklaard en de teruggave gelast aan de verdachte van de overige inbeslaggenomen en nog niet teruggegeven voorwerpen. Daarnaast heeft het hof beslissingen genomen omtrent de vorderingen tot schadevergoeding van benadeelde partijen en aan de verdachte schadevergoedingsmaatregelen opgelegd, een en ander zoals nader in het arrest vermeld. Zowel de verdachte als de officier van justitie zijn niet-ontvankelijk verklaard in het hoger beroep, voor zover gericht tegen de beslissing ter zake van het onder 3 en 10 primair, subsidiair en meer subsidiair tenlastegelegde.

Het cassatieberoep is ingesteld namens de verdachte en mr. R.J. Baumgardt en P. van Dongen, beiden advocaat te Rotterdam, hebben twee middelen van cassatie voorgesteld.

Het
eerste middelklaagt over de motivering van de bewezenverklaring van feit 2 (primair).

Ten laste van de verdachte is onder 2 (primair^[1]) bewezenverklaard dat:

“hij in de periode van 12 december 2011 tot en met 14 december 2011 te Rotterdam en/of Moordrecht, althans in Nederland, opzettelijk en wederrechtelijk in een geautomatiseerd werk voor opslag of verwerking van gegevens,

van het bedrijf [B] , althans in een deel daarvan, is binnen gedrongen,

waarbij hij, verdachte, de toegang heeft verworven door een technische ingreep, door (onder meer) gebruik te maken van een software programma;”

5. De aanvulling met bewijsmiddelen houdt voor zover het feit 2 (primair) betreft het volgende in:

“Het hof neemt uit het vernietigde vonnis over de inhoud van de daarin onder 1 (behoudens de daarin opgenomen zin: “Maar ik heb alleen maar aan de deur gerammeld, om het zo maar te zeggen”), 2, 3, 4, 5, 6, 7, 8, 9, 10 en 11 vermelde bewijsmiddelen.

11.

De verklaring van de verdachte.

De verdachte heeft ter terechtzitting in hoger beroep van 8 november 2016 verklaard - zakelijk weergegeven - :
Acunetix geeft aan of en zo ja, welke zwakheden er zijn geconstateerd. Daarna kun je met Acunetix handelingen verrichten om daadwerkelijk binnen te dringen.”

6. De uit het vonnis van de rechtbank overgenomen bewijsmiddelen zijn de volgende:

“1. Het proces-verbaal van verhoor, nummer 1203061630.V01, pagina’s 174 t/m 178 in zaakdossier [B] van politie Rotterdam-Rijnmond, inhoudende als
verklaring van de verdachte:

Ik studeer informatica op de Hogeschool aan [a straat] .

Ik heb net mijn stage afgerond bij [A] . Ik woon met mijn moeder op het adres [b-straat 1] . Mijn kamer is op de eerste verdieping, tweede links. U zegt dat u daar een HP-computer heeft aangetroffen. Die is van mij. U zegt dat onder meer mijn telefoon en nog een laptop in beslag zijn genomen.

U vraagt voor software ik heb geïnstalleerd op mijn HP-computer. Ik heb Web cruiser, een web vulnerability scanner. Ik heb ook Backtrack 5, een penetratietestprogramma. Ik heb Nmap, die scant naar open poorten van een IP-adres.

Ik gebruik webcruiser om te kijken of de beveiliging van websites goed is.

Ik ga het internet op om te kijken of er kwetsbare sites zijn

U houdt voor dat er aangifte is gedaan door [B] van hacking, gepleegd tussen 12 en 14 december 2011.

Het zou best kunnen dat ik Webcruiser heb losgelaten daarop, misschien was het Acunetix. Dat heb ik ook op mijn computer staan. Maar ik heb alleen maar aan de deur gerammeld, om het zo maar te zeggen. Wij hebben een draadloos netwerk in huis. Ik maak dan verbinding met de router. Die is van UPC en staat op naam van mijn moeder. De router is beveiligd met WPA2.

2. Het proces-verbaal van verhoor, nummer 1204031000.G03, pagina’s 168 t/m 173 in zaakdossier [B] van politie Rotterdam-Rijnmond, inhoudende als
verklaring van getuige [getuige]:

Ik ben docent op de [C] . Ik geef informaticavakken met als specialiteit networking, besturingssystemen en security. Ik heb lesgegeven aan [verdachte] . Ik kan u zeggen dat [verdachte] interesse heeft getoond in security en hacking. Wij geven geen opdrachten met betrekking tot het scannen van websites van bedrijven. We waarschuwen studenten daar ook voor. Toen ik de security module nog gaf, vertelde ik de studenten dat hacking strafbaar is. Studenten begrijpen het onderscheid maken tussen het scannen en het daadwerkelijk binnendringen van een server.

V: Als [verdachte] zou verklaren dat hij per ongeluk via het internet gebruikersnamen en wachtwoorden van een server heeft gehaald doordat hij met beveiligingssoftware een website heeft gescand op kwetsbaarheden en vervolgens per ongeluk deze site is binnengedrongen, wat zou u dan van die uitspraak vinden?

A: Per ongeluk, dat lijkt me sterk. Zo'n vulnerability scanner laat zien wat de kwetsbaarheden zijn, bijvoorbeeld dat het patch-niveau van een server niet op orde is. Vervolgens moet je als hacker dan die kwetsbaarheden zien uit te buiten.

V: Er zijn ook tools die na een scan ook bijvoorbeeld SQL-injection gaan uitvoeren. Als iemand verklaart dat hij per ongeluk een SQL-injection heeft uitgevoerd, wat vindt u daar dan van?

A: Dat is een verhaal dat geen stand houdt. Met welk doel ga je een site van anderen scannen? Als je iets met die tools wil, dan richt je een testomgeving in, een eigen website dus, en dan laatje zo’n tool daar op los.

3. Het proces-verbaal van aangifte nummer 2012204021-1, pagina’s 1 t/m 4 in het proces-verbaal zaakdossier [B] , van politie Rotterdam-Rijnmond, inhoudende als
verklaring van aangever [aangever] , namens [B]:

Mijn functie binnen [B] is Information Security Officer en als zodanig ben ik belast met de netwerkbeveiliging van de [B] . Binnen de netwerk topologie van de [B] is een server aanwezig genaamd [… ] . Op deze server draait een web-applicatie. Deze webapplicatie is vanaf het internet te bereiken op het adres [website 1] en staat binnen het [B] domein in een [… ] ([… ]).

Genoemde web-applicatie wordt gemonitord door een bedrijf genaamd Secode. Dit bedrijf monitort de website door middel van een intrusion protection system. Het bedrijf Secode heeft op 12 december 2011 een mail verstuurd dat er een aanval op de website [website 1] werd uitgevoerd. Tevens werd door Secode een log bestand aangeleverd die de gegevens van de uitgevoerde aanval bevatte. In dit log bestand van Secode was te zien dat er gebruik is gemaakt van de web vulnerability scanner genaamd Acunetix. Ik zag dat er door middel van de tool Acunetix naar verschillende kwetsbaarheden in de website waren gezocht waarvan er een aantal werden geblokkeerd. Verder zag ik dat er sommige aanvallen voorzien waren van de actie Permit. In verband met deze toestemming is het niet ondenkbaar dat er een geslaagde aanval heeft plaatsgevonden. De aanval zou zijn uitgevoerd vanaf het statische IP-adres:
[IP adres 1]. De tijdsduur van deze aanval uitgevoerd vanaf dit IP-adres op 12-12-2011 was gelegen tussen de tijdstippen 13:10 CET tot 13:14 CET en 16:35 CET tot 16:41 CET. CET staat voor Central European Time.

Op 14 december 2011 werd ik telefonisch door Secode op de hoogte gesteld van een langdurige aanval op de website [website 1] . Door Secode werd een log bestand aangeleverd waarop te zien is dat er middels cross site scripting en directory traversal aanvallen op de website zijn uitgevoerd. Verder is er op de log te zien dat er diverse pogingen met betrekking tot Cross Site Scripting worden geblokkeerd. Ook is te zien dat door middel van Directory Traversal werd getracht in de root van de server te komen. In hoeverre deze aanval geslaagd is, is tot op heden bij ons niet bekend. Echter aangezien er diverse aanvallen zijn die zijn voorzien van de actie Permit is het niet ondenkbaar dat er een geslaagde aanval heeft plaatsgevonden.

Deze aanval is uitgevoerd vanaf het dynamische IP-adres:
[IP adres 2]. De tijdsduur van de aanval vanaf dit IP-adres uitgevoerd op 12-12-2011 was gelegen tussen de tijdstippen 23:01 CET en 23:03 CET.
De tijdsduur van de tweede aanval vanaf dit IP-adres uitgevoerd op 14-12-2011 was gelegen tussen de tijdstippen 18:53 CET en 19:52 uur.

In verband met deze aanvallen is door de [B] een analyse van de loggegevens aanwezig op de server [… ] uitgevoerd.

4. Het proces-verbaal van bevindingen nummer 1201261244.AMB, pagina’s 5 t/m 7 in het proces-verbaal zaakdossier [B] van politie Rotterdam-Rijnmond, inhoudende als
relaas van de verbalisant:

Op 5 januari 2012 heeft de opsporingsambtenaar de aanbieder UPC Nederland op grond van art. 126na Wetboek van Strafvordering, gevorderd gegevens te verstrekken van de gebruiker IP-adres [IP adres 2] .

Door UPC Nederland zijn de volgende gegevens verstrekt:

[D] , [b-straat 1] te [woonplaats]
UPCnr: [… ] Accountnaam [… ]

E-mailadres: [e-mailadres 1] (Mailbox is niet in gebruik)

5. Het proces-verbaal van bevindingen nummer 202051700.AMB, pagina’s 8 t/m 10 in het proces-verbaal zaakdossier [B] van politie Rotterdam-Rijnmond, inhoudende als
relaas van de verbalisant:

Op 5 januari 2012 heeft de opsporingsambtenaar de aanbieder [E] , gevorderd gegevens te verstrekken van de gebruiker van het IP-adres [IP adres 1] .

Door [E] zijn de volgende gegevens verstrekt:

IP-adres: [IP adres 1]
IP type: statisch

Periode 10 december 2011 t/m 17 december 2011
Naam: [A]

Contactpersoon: [betrokkene 2] . Adres: [c-straat 1] , [plaats] .

6. Het proces-verbaal van bevindingen nummer 1203031400.AMB, pagina’s 11 t/m 13 in het proces-verbaal zaakdossier [B] Van politie Rotterdam-Rijnmond, inhoudende als
relaas van de verbalisant:

Het IP-adres [IP adres 2] , bij aanbieder UPC bekend onder klantnummer [… ] staat op naam van [betrokkene 1] , [F] , [b-straat 1] te [woonplaats] . Ik, verbalisant, heb deze opgenomen communicatie onderzocht met behulp van een daartoe bestemd computerprogramma.

De volgende feiten wijzen erop dat het IP-adres [IP adres 2] in gebruik is bij verdachte [verdachte] , eveneens woonachtig op het adres [b-straat 1] te [woonplaats] .

Ik zag dat op 24 februari 2012 om 18.02 uur op het genoemde IP-adres een webpagina werd gedownload van de website www.google.nl. Ik zag op deze pagina dat de gebruikersnaam van degene die kennelijk ingelogd was op deze website luidde: ‘ [e-mailadres 2] ’.
Ik zag dat op 26 februari 2012 om 20.05 uur op het genoemde IP-adres een e-mail werd gedownload van webmail site Yahoo. Ik zag dat deze e-mail was gericht aan ' [e-mailadres 3] '. Ik zag dat op verschillende dagen op het genoemde IP-adres e-mails werden gedownload welke waren gericht aan ' [e-mailadres 3] '.

7.De verklaring van de verdachteter terechtzitting, voorzover inhoudende:

De politie heeft drie computers bij mij opgehaald. Een Toshiba, een HP en later nog een HP die ik bij [A] gebruikt heb.

8. Het proces-verbaal van bevindingen nummer 1202061317.0IG, pagina’s 18 t/m 20 in het proces-verbaal zaakdossier [B] van politie Rotterdam-Rijnmond, inhoudende als
relaas van de verbalisant:

Op 6 februari 2012 heb ik, verbalisant een onderzoek ingesteld in de gegevens die zijn overgenomen van een personal computer, 2x harddisk. Het door aanvrager voornoemd ingestelde onderzoek betreft een onderzoek in verband met de aanval op de website [website 1] , waarbij [verdachte] als verdachte is aangemerkt.

Aanleiding onderzoek

Op donderdag 12 januari 2012 werd door [aangever] werkzaam bij het bedrijf [B] gevestigd aan de [d-straat 1] te [vestigingsplaats] aangifte gedaan van twee aanvallen op de website [website 1] .

Uit de, door de aangever ter beschikking gestelde loggegevens van een bedrijf genaamd "SECODE", bleek dat er op 12 december 2011 en 14 december 2011 vanaf twee afzonderlijke IP-adressen een aanval was uitgevoerd op de website [website 1] . De bij de aanval gebruikte IP-adressen waren:

IP-adres:

Datum:

Tijd:

Naamstelling:

[IP adres 1]

12-12-2011

13:10 - 16:41

[E]

[IP adres 2]

12-12-2011

23-01 - 23-03

UPC.NL

[IP adres 2]

14-12-2011

18:53 - 19:52

UPC.NL

Ik zag dat op de gegevensdrager het programma "Acunetix" was geïnstalleerd. Ik zag namelijk dat in de map: \Program Files (x86)\Acunetix\ de programma's "Web Vulnerability Scanner 6" en "Web Vulnerability Scanner 7" waren geïnstalleerd.

Opmerking verbalisant: Het programma "Acunetix Web Vulnerability Scanner" is bedoeld voor het opsporen van kwetsbaarheden in een eigen website, maar kan door hackers worden gebruikt om aanvallen uit te voeren op websites van derden.

9. Het proces-verbaal van bevindingen nummer 1202061317.OIG, pagina’s 21 t/m 25 in het proces-verbaal zaakdossier [B] van politie Rotterdam-Rijnmond, inhoudende als
relaas van de verbalisant:

[verdachte] werd op 6 maart 2012 aangehouden. Aansluitend vond een doorzoeking ter inbeslagneming plaats, in de woning van de verdachte waarbij onder andere een laptop van het merk HP werd inbeslaggenomen.
Ik heb een onderzoek ingesteld naar de gegevens in de laptop.

Ik trof in de map \Users\D\Documents en de daarin aanwezige mappen, diverse documenten aan die betrekking hadden op de persoon [verdachte] , waaronder belastingaangiften, documenten met betrekking tot zijn opleiding, een Curriculum Vitae, een Portfolio, en sollicitatiebrieven.

In de map \Users\D\Documents\extern\ [A] \Product_versIag+Iogboek zag ik een aantal documenten staan waarin een journaal werd bijgehouden over de werkzaamheden tijdens de stageperiode van [verdachte] bij [A] .

Onderzoek [B]

Ik trof in de gebruikersomgeving van "D" het volgende bestand aan: "urlhistory.pkl. dit bestand bevond zich op de locatie D\Users\D\.w3af. Ik zag daarin de volgende URL(uniform resouce locater) staan: [website 1] .

Verder zag ik nog de volgende URL's in dit bestand
[website 2][website 3][website 4]

.w3af is een framewerk van softwarecomponenten. Het is mij bekend dat deze applicatie wordt gebruikt om de beveiligingen van websites te controleren. Dit gebeurd door middel van het uitvoeren van scans op een website. Ik zag in de map D\Users\D\.w3af\sessions, gegevens staan van een aantal uitgevoerde scans. Ik zag in de map:
db_defaultSession-2012- Feb-14 18-05-05_traceseen database staan met de gelogde gegevens van een scan op de webapplicatie van [website 1] . Ik zag dit bestand was aangemaakt op 14/februari/2012 18:05:08.

Ik zag dat de gebruiker door middel van de internetbrowser "Mozilla Firefox" op 14 februari 2012 diverse keren de website van de [B] had bezocht, waaronder de pagina
loging for e-services. Vanuit deze pagina kan men zich als klant aanmelden (inloggen).

Ik zag in de map
D\Users\D\Documents\extern\ [A] \Acunetix\Web Vulnerability Scanner 7\Data\Databasehet volgende bestand:
vulnscanresults.mdbIk zag dat dit een database betrof met scan gegevens van websites. Nadat ik deze database inzichtelijk had gemaakt trof ik een tabel aan genaamd: WVS_scans. Ik zag dat deze tabel gegevens bevatte van 41 uitgevoerde scans op verschillende websites.

Opmerking verbalisant: het programma Acunetics Vulnerability Scanner 7 kan gebruikt worden voor het opsporen van kwetsbaarheden in websites. Tevens kan het worden gebruikt als ondersteuning bij het hacken van de gescande website.

Ik zag in de genoemde tabel
WVS_scans, dat op 12 december 2011 om 13:12 uur een scan was uitgevoerd op de website van de [B] . De URL die werd gescand bleek de inlog-pagina van de [B] te zijn.

10. Het proces-verbaal van bevindingen nummer 012204021, pagina 103 in het proces-verbaal zaaksdossier [B] van politie Rotterdam-Rijnmond, inhoudende als
relaas van de verbalisant:

Op 7 maart 2012 sprak ik telefonisch een man, genaamd [betrokkene 2] , als IT Manager werkzaam bij [A] gevestigd aan de [c-straat 1] te [plaats] . Hij verklaarde dat [verdachte] in de periode van september 2011 tot eind december 2011 praktijkstage heeft gelopen bij voornoemd bedrijf en de beschikking had gekregen van een laptop van het bedrijf.
Op 8 maart 2012 ontving ik uit handen van [betrokkene 3] , werknemer bij de Interne Automatisering van [A] een laptop als nader omschreven:

Merk : Hewlet Packard

Type : NX7400

Serienummer : [serienummer]

11. Het proces-verbaal van bevindingen nummer 1204250900.0IG, pagina’s 54 t/m 58 (met bijlagen) in het proces-verbaal zaakdossier [B] van politie Rotterdam-Rijnmond, inhoudende als
relaas van de verbalisant:

De bij [A] inbeslaggenomen laptop computer was tijdens dit onderzoek nog voorzien van de image die door [verdachte] werd gebruikt ten tijde van zijn stageperiode bij [A] .

In de vrije diskruimte werden door mij sporen aangetroffen van de volgende software:

1 .WebCruiser.Enterprise.2.5.0
2.Acunetix Web Vulnerability Scanner 7

Ik zag dat voordat het programma Webcruiser en Acunetix werden verwijderd deze respectievelijk op de volgende locaties op de harde schijf hadden gestaan: C:\Documents and Settings\ [verdachte] \Mijn documenten\Downloads\WebCruiser C:\Program Files\Acunetix\Web Vulnerability Scanner 7

lk trof op de locatie C\RECYCLER\S-1-5-21-42367538-451129802-613649775- 35344\Dc2\Web Vulnerability Scanner 71DatalDatabase\ een bestand aan voorzien van de naam vulnscanresults.mdb. lk zag dat dit bestand afkomstig was uit een verwijderde map voorzien van de naam Web Vulnerability Scanner 7. Het bestand vulnscanresults.mdb is een door het software programma Acunetix aangemaakte database. In deze database werd door mij onder andere een verwijzing naar de websites [website 1] en [website 5] aangetroffen.”

7. De tenlastelegging is toegesneden op art. 138ab, eerste lid, Sr. In de periode waarop de tenlastelegging betrekking heeft, luidde art. 138ab, eerste lid, Sr:

“Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:

a. door het doorbreken van een beveiliging,

b. door een technische ingreep,

c. met behulp van valse signalen of een valse sleutel, of

d. door het aannemen van een valse hoedanigheid.”

8. Het in de tenlastelegging voorkomende begrip ‘binnendringen’ moet worden geacht te zijn gebezigd in dezelfde betekenis als daaraan in deze strafbepaling toekomt.

9. Ik stel voorop dat computervredebreuk – zoals onder feit 2 bewezenverklaard –bestaat uit het wederrechtelijk binnendringen in een geautomatiseerd werk of een deel daarvan. De wetgever heeft, zoals uit de wetsgeschiedenis blijkt, met artikel 138a, eerste lid, (oud) Sr^[2]diegene willen beschermen ‘die blijkens feitelijke beveiliging heeft duidelijk gemaakt dat hij zijn gegevens heeft willen afschermen tegen nieuwsgierige blikken’.^[3]Zoals nog zal blijken, geldt het vereiste van de feitelijke beveiliging niet meer.

10. Het gaat om (onder meer op een wijze zoals in art. 138ab, eerste lid onder a t/m d, Sr omschreven wijze) bewerkstelligen van de toegang tot een geautomatiseerd werk, waartoe men niet gerechtigd is.^[4]Die toegang zal in het algemeen worden bewerkstelligd teneinde te kunnen kennisnemen van gegevens, terwijl die kennisneming door derden kennelijk door de rechthebbende niet gewenst wordt geacht.^[5]De beoogde kennisneming is echter niet bepalend. Of de binnendringer de beschikking heeft weten te krijgen over bepaalde gegevens of gegevens inziet, wijzigt of kopieert is niet relevant.^[6]Het gaat om de strafrechtelijke bescherming van de ‘huls’.^[7]

11. Bij de strafbaarstelling van computervredebreuk is nauw aansluiting gezocht bij de in art. 138 Sr strafbaar gestelde huisvredebreuk.^[8]De in het kader van de toepassing van art. 138 Sr geldende eis dat wordt betreden tegen de onmiskenbare wil van de bewoner of gebruiker, werd in art. 138ab Sr aanvankelijk (onder meer) vorm gegeven door het vereiste inzake de beveiliging. Tot september 2006^[9]was voor binnentreden vereist dat de beveiliging van een systeem werd doorbroken.^[10]Thans resteert slechts een niet-limitatieve opsomming van de gevallen (methoden) waarin (in ieder geval) sprake is van binnendringen.^[11]Onder binnendringen valt aldus mede het binnendringen in een systeem waarbij geen beveiliging wordt doorbroken, maar waarvoor wel een technische ingreep wordt aangewend.^[12]Ik wijs er nog op dat thans^[13]in art. 138ab, eerste lid, Sr tussen de woorden opzettelijk en wederrechtelijk het voegwoord ‘en’ is geplaatst. Opzet op de wederrechtelijkheid is dus niet vereist.

12. Als gezegd gelden de onderdelen a t/m d voor computervredebreuk sinds september 2006. De tweede Nota van wijziging vermeldt over het begrip “technische ingreep”:^[14]

“Toegespitst op artikel 138a betekent dit het volgende. Het verwerven van toegang tot een geautomatiseerd werk door een technische ingreep veronderstelt een ingreep in c.q. het manipuleren van het technisch functioneren van het geautomatiseerde werk. Het louter intoetsen van een (al of niet vals) wachtwoord zal aldus niet als een technische ingreep kunnen worden beschouwd, omdat de afhandeling daarvan de functionaliteit van het systeem intact laat. Maar het intoetsen van een combinatie van tekens die als doel heeft het technisch functioneren van het geautomatiseerde werk zodanig te veranderen dat, ondanks het ontbreken van het juiste wachtwoord, toegang verworven kan worden, kan onder omstandigheden wel als technische ingreep worden beschouwd. In een dergelijk geval zal ook sprake kunnen zijn van het doorbreken van een beveiliging en/of van het gebruik van valse signalen of een «valse sleutel». Een nauw omlijnde interpretatie van deze begrippen is echter, zeker in de nieuwe opzet van artikel 138a, van beperkte betekenis, aangezien de rechter de vrijheid wordt gelaten om ook in andere gevallen vast te stellen dat sprake is van «binnendringen» in de zin van die

bepaling.”

13. Bij binnendringen kan het aldus gaan om het intoetsen van een combinatie van tekens waarmee, ondanks het ontbreken van het juiste wachtwoord, het werk een instructie uitvoert waardoor de toegang kan worden verworven tot een geautomatiseerd werk (een computer of een server) dat bepaalde gegevens bevat.^[15]

14. Het enkele gegeven dat een voor de rechthebbende ongewenste wijziging wordt aangebracht in de werking van een geautomatiseerd werk kan reeds tot de conclusie leiden dat sprake is van binnendringen in een geautomatiseerd werk in de zin van artikel 138ab, eerste lid, Sr. Vgl. bijvoorbeeld de volgende overweging van de rechtbank Rotterdam^[16]:

“De rechtbank is van oordeel dat de verdachte daarmee een door de gemeente ongewenste wijziging heeft aangebracht in de werking van de netwerkapparatuur (tezamen een geautomatiseerd werk) van de gemeente. Dat enkele gegeven leidt al tot de conclusie dat sprake is van binnendringen van een geautomatiseerd werk in de zin van artikel 138ab, eerste lid, van het Wetboek van Strafrecht (Sr), nu is komen vast te staan dat de verdachte zich de toegang tot een computer van de gemeente heeft verschaft. Dit binnendringen was wederrechtelijk (de verdachte had geen toestemming) en opzettelijk (hij wist heel goed wat hij deed). Het aan de verdachte onder 2 ten laste gelegde feit kan derhalve bewezen worden geacht.

De rechtbank kan niet vaststellen welke software of instructies de verdachte precies heeft gebruikt; daarvoor is onvoldoende informatie beschikbaar. Daarom kan niet worden vastgesteld van welke van de tenlastelegging opgesomde middelen gebruik is gemaakt. Dat doet echter niet af aan de conclusie dat sprake is van binnendringen in de zin van de wet, nu de wet slechts een niet-limitatieve opsomming geeft van de gevallen waarin (in ieder geval) sprake is van binnendringen. Het gegeven dat de router zodanig was geconfigureerd dat de verdachte deze handeling kon verrichten, zoals door de verdachte ter zitting nog naar voren gebracht, doet aan de bewezenverklaring van het wederrechtelijk binnendringen evenmin af. Weten of en hoe een deur geopend kan worden, geeft nog niet het recht de deur te openen, ook al is deze niet op slot gedraaid.”

15. Ik keer terug naar de onderhavige zaak. Het middel klaagt als gezegd over de motivering van de bewezenverklaring en bevat twee klachten. Ik citeer: “In het arrest heeft het hof in het geheel niet gemotiveerd op grond waarvan het hof tot een andere bewezenverklaring komt dan de rechtbank, terwijl wel gebruik wordt gemaakt van nagenoeg dezelfde bewijsmiddelen, en uit de door het hof naast die bewijsmiddelen gehanteerde andere bewijsmiddel ook niet (zonder meer) kan volgen dat er sprake is geweest van een voltooide computervredebreuk, zodat de bewezenverklaring onbegrijpelijk is althans onvoldoende met redenen is omkleed.” Daaraan wordt naar ik meen te begrijpen als tweede klacht toegevoegd: “Dit klemt te meer nu door en namens verdachte uitvoerig is betoogd dat geen sprake is geweest van (poging tot) computervredebreuk, terwijl het hof niet op dit door de verdediging gevoerde verweer heeft gereageerd.”

16. Het is juist dat het hof weliswaar op grond van vrijwel dezelfde bewijsmiddelen als de rechtbank, maar anders dan de rechtbank, niet de onder 2 subsidiair tenlastegelegde poging tot binnendringen bewezen heeft verklaard, maar kiest voor bewezenverklaring van het primair tenlastegelegde voltooide delict. De vrijspraak van de rechtbank was slechts gemotiveerd met de algemene formule dat het onder 2 primair tenlastegelegde niet wettig en overtuigend is bewezen. De rechtbank overweegt dat de vrijspraak niet nader wordt gemotiveerd nu de officier van justitie vrijspraak heeft gevorderd en de raadsvrouw vrijspraak heeft bepleit. Voor zover de klacht inhoudt dat nadere motivering is vereist ingeval van bewezenverklaring door het hof van een voltooid delict op grond van (vrijwel) dezelfde bewijsmiddelen als door de rechtbank gebruikt voor bewezenverklaring van een poging, vindt die klacht geen steun in het recht.

17. Voor zover de klacht inhoudt dat de motivering van de bewezenverklaring ontoereikend dan wel onbegrijpelijk is, gaat het – naar ik uit de toelichting begrijp – er om dat uit de bewijsmiddelen niet blijkt dat sprake is van een voltooid delict: de bewijsmiddelen leveren geen (voltooid) binnendringen in het geautomatiseerd werk op. Ik begrijp dat er ook volgens de stellers van het middel wel van uit kan worden gegaan dat de verdachte op een bij hem in gebruik zijnde laptop (een) scanprogramma(’s) heeft geïnstalleerd en deze eveneens heeft gebruikt onder meer bij het bewerkstelligen van toegang tot een geautomatiseerd werk van [B] .^[17]De vraag is echter of uit de bewijsmiddelen blijkt dat het gebruik van de scanprogramma’s (voltooid) binnendringen in een geautomatiseerd werk als bedoeld in art. 138ab Sr oplevert.

18. Bewijsmiddel 1 houdt onder meer als verklaring van de verdachte in dat het best zou kunnen dat hij Webcruiser heeft losgelaten op (de website van) [B] , misschien was het Acunetix. Webcruiser is volgens de verdachte een web vulnerability scanner. Hij beschikt ook over Nmap, die scant naar open poorten van een IP-adres. Getuige [getuige] (bewijsmiddel 2) verklaart dat een vulnerability scanner laat zien wat de kwetsbaarheden zijn, bijvoorbeeld dat het patch-niveau van een server niet op orde is. De verdachte heeft onder meer de inlogpagina van [B] gescand (bewijsmiddel 9). Uit de aangifte (bewijsmiddel 3) komt naar voren dat er gebruik is gemaakt van de web vulnerability scanner Acunetix. Hiermee is op 12 december 2011 naar kwetsbaarheden in de website gezocht waarvan er een aantal werden geblokkeerd. Op 14 december 2011 zijn er door middel van Cross site scripting en Directory traversal aanvallen op de website van [B] uitgevoerd en is er te zien dat er verschillende pogingen met betrekking tot Cross site scripting werden geblokkeerd. Ook is te zien dat door middel van Directory traversal werd getracht in de root van de server te komen.

19. Het hof heeft kennelijk geoordeeld dat de vraag of het scannen binnendringen in een geautomatiseerd werk oplevert, afhankelijk is van het type scan dat wordt gedaan.^[18]De verdachte beschikt over Nmap die scant naar open poorten, maar bij het scannen van open poorten is het niet gebleven. De verdachte heeft meer gedaan dan een poortscan omdat er na de verkenning van de vraag of er een poort open stond of actief was niet is gestopt. Daarbij doet het er volgens de huidige en destijds geldende wetgeving niet meer toe of de poort al dan niet is beveiligd. Uit de aangifte blijkt dat er
inde website is gezocht, dat er gezocht is naar kwetsbaarheden waarop door het geautomatiseerd werk in gevallen is gereageerd met blokkering. Naar ik meen is het niet onjuist of onbegrijpelijk dat het hof heeft geoordeeld dat hetgeen op 12 december 2011 heeft plaatsgevonden al binnendringen van de website (het geautomatiseerde werk) oplevert. Met de kwetsbaarheidsscan is immers actief (via een automatische systematiek^[19]) gezocht naar gegevens op de server en getracht deze te wijzigen om toegang te verkrijgen. Uit de blokkering blijkt zelfs dat op het binnendringen is gereageerd. Of de gegevens uiteindelijk voor de verdachte beschikbaar zijn gekomen doet, zoals hierboven reeds tot uitdrukking kwam, niet ter zake. Ter vergelijking: na inklimming in een woning is het binnendringen voltooid en is pas de volgende vraag of er een voor wegneming geschikt voorwerp aanwezig is. Of het wegnemen volledig achterwege is gebleven, slechts is voorbereid dan wel of het is geraakt tot een poging of een voltooid wegnemen, is niet relevant voor het binnendringen.

20. Het hof heeft verder nog in aanmerking genomen dat er op 14 december 2011 een langdurige aanval door Cross site scripting en Directory traversel heeft plaatsgevonden. Dat dit gericht was op de toegang tot (en/of kennisneming en/of wijziging van) gegevens in bestandsystemen wordt geacht van algemene bekendheid te zijn onder meer omdat het valt te ontlenen aan een openbare bron te weten een beschrijving van beide (aanvals)technieken op Wikipedia. Cross-site scripting (XSS) is de naam van een fout in de beveiliging van een webapplicatie. Het probleem wordt veroorzaakt doordat de invoer die de webapplicatie ontvangt (zoals cookie, url, request parameters) niet juist wordt verwerkt en hierdoor in de uitvoer terechtkomt naar de eindgebruiker. Een Directory traversal (of Path traversal) bestaat uit het exploiteren van onvoldoende beveiligingsvalidatie/-desinfectie van door de gebruiker geleverde invoerbestandsnamen, zodat tekens die “traverse to parent directory” vertegenwoordigen worden doorgegeven aan de bestands-API's. Het doel van deze aanval is om een getroffen applicatie te gebruiken om ongeautoriseerde toegang te krijgen tot het bestandssysteem. Deze aanval maakt gebruik van een gebrek aan beveiliging (de software handelt precies zoals het hoort) in plaats van het misbruiken van een bug in de code.

21. Voor zover wordt geklaagd dat het hof niet op ‘dit’ door de verdediging gevoerde verweer heeft gereageerd, merk ik allereerst op dat in de schriftuur een aan de wet of rechtspraak ontleende grondslag voor de verplichting tot enige reactie door het hof op ‘dit’ (naar ik aanneem bewijs)verweer ontbreekt. Daar komt bij dat ik ook in het licht van de toelichting (zie met name onder 1.7 van de schriftuur voor hetgeen door de raadsvrouw in hoger beroep is aangevoerd) niet begrijp wat met ‘dit’ verweer is bedoeld. De verdediging heeft zich in hoger beroep op het standpunt gesteld dat niet bewezen kan worden dat van een (subsidiair tenlastegelegde) poging tot binnendringen sprake is en ik neem aan dat ook de stellers van het middel niet van het hof verwachten dat het hof reageert op een ‘verweer’ inzake het subsidiair tenlastegelegde feit, indien wordt veroordeeld voor het primair tenlastegelegde feit.

22.Het eerstemiddel faalt in beide onderdelen.

23. Het
tweede middelklaagt over de schending van de redelijke termijn in de cassatiefase. Op 6 december 2016 is cassatie ingesteld en het dossier is eerst op 2 maart 2018 ter administratie van de Hoge Raad ontvangen. Dit brengt mee dat de door de Hoge Raad op acht maanden gestelde inzendtermijn^[20]met 6 maanden en 24 dagen is overschreden. Het middel is dan ook terecht voorgesteld.

24. Ambtshalve merk ik op dat de Hoge Raad uitspraak zal doen op een tijdstip waarop meer dan twee jaren zijn verstreken nadat beroep in cassatie is ingesteld. Ook dit is een schending van de redelijke termijn als bedoeld in art. 6 EVRM.

25. Het eerste middel faalt en het tweede slaagt. Ambtshalve heb ik geen gronden aangetroffen die tot vernietiging van de bestreden uitspraak aanleiding behoren te geven.

26. Deze conclusie strekt tot vernietiging van het bestreden arrest, maar uitsluitend voor wat betreft de hoogte van de opgelegde straf. De Hoge Raad kan de hoogte daarvan verminderen naar de gebruikelijke maatstaf. Voor het overige strekt deze conclusie tot verwerping van het beroep.

De Procureur-Generaal

bij de Hoge Raad der Nederlanden