Hoge Raad: Toxbot-hacker opnieuw naar het Gerechtshof

De uitspraak van het Gerechtshof tegen de Nederlandse hacker die enkele jaren geleden werd veroordeeld voor het verspreiden van het W32.Toxbot-virus om zo een botnet te bouwen, is door de Hoge Raad vernietigd. De zaak moet opnieuw bij het Gerechtshof in Den Haag voorkomen en de hacker krijgt strafvermindering.

De hacker, Sjoerd B. (24), uit Loon op Zand infecteerde in 2005 meer dan 30.000 computers met Windows XP, die niet waren voorzien van Service Pack 2, met het Toxbot virus en het Trojaanse paard Wayphisher. In augustus 2005 had hij op die manier een botnet gevormd van meer dan 50.000 pc’s.

“De hacker heeft geen gebruik gemaakt van toegangscodes om Windows-pc’s binnen te dringen. Het programma tox.exe bleek een nieuw uitvoerbaar programma met de naam mapi32.exe aan te maken. Het bestand bleek te zijn versleuteld en gecomprimeerd (…) om herkenning door virusscanners te voorkomen. Na het scannen van dit bestand met een antivirusprogramma werd de bot geïdentificeerd als de W32.Toxbot”, zo staat in de uitspraak.

De Hoge Raad acht bewezen dat de hacker deze computers is binnengedrongen door de beveiliging te doorbreken (computervredebreuk) en door middel van een technische ingreep malware heeft geïnstalleerd. Hij probeerde met het virus inloggegevens van betaalaccounts van PayPal en eBay te stelen, bankgegevens te ontfutselen en bedrijven af te persen. Op twee andere punten heeft de Hoge Raad het Gerechtshof op de vingers getikt.

Doorbreken van beveiliging
De Hoge Raad heeft onder meer kritiek op de uitleg van het Gerechtshof over wat wordt bedoeld met het ‘doorbreken van de beveiliging’. “Aangevoerd wordt dat het Hof, door in aanmerking te nemen dat een standaard Windows XP installatie is beveiligd tegen inloggen van buitenaf, een verkeerde maatstaf heeft aangelegd. Dit omdat de verdachte juist niet heeft ingelogd, maar de computer op andere wijze is binnengegaan. Die klacht berust op een onjuiste rechtsopvatting. Juist het feit dat de computer is beveiligd tegen inloggen van buitenaf, maakt dat het op andere wijze binnendringen van die computer als het doorbreken van een beveiliging moet worden aangemerkt.”

Volgens het hoogste rechtsorgaan is een pc met Windows XP, Service Pack 0, ook beveiligd. “Als alle deuren en ramen van een huis openstaan, is het huis inderdaad op geen enkele wijze beveiligd. Maar als de deur (de normale toegang tot het huis) dicht zit en alle ramen staan open, is er wel enige beveiliging. De ongenode gast die door het raam naar binnengaat, maakt zich schuldig aan inklimming, hetgeen hem even zwaar wordt aangerekend als braak of verbreking.” Met andere woorden: Als Service Pack 1 en 2 ontbreken, wil dat niet zeggen dat criminelen straffeloos hun gang kunnen gaan.

Eerdere veroordeling
Sjoerd B. werd in januari 2007 al veroordeeld tot een gevangenisstraf van twee jaar, waarvan 13 maanden voorwaardelijk voor het runnen van een botnet, afpersing en oplichting. Zijn straf had hij echter al in voorarrest uitgezeten, waardoor hij na het vonnis vrijkwam.

In september 2008 handhaafde het Gerechtshof in hoger beroep de celstraf van twee jaar. Alleen de eerder opgelegde boete van 4000 euro werd ingetrokken. Zowel het Openbaar Ministerie als de advocaat van de veroordeelde hacker gingen hiertegen in cassatie.

De Hoge Raad heeft het arrest dinsdag vernietigd en heeft geoordeeld dat de zaak opnieuw door het Gerechtshof moet worden behandeld. De Hoge Raad vindt echter wel dat de hacker recht heeft op strafvermindering omdat hij, na het beroep in cassatie, meer dan twee jaar heeft moeten wachten.