De computer heeft het gedaan

Herbert Blankesteijn

Een paar jaar geleden fietste ik tijdens het spitsuur op mijn gemakje over een brede ventweg waar alleen fietsers reden. Opeens maakte zich uit de tegenliggende stroom een fietser los. Hij zwaaide in een keer de straat over - terwijl er geen zijweg, geen inrit of niks was, alleen een vangrail. Ik kon hem niet meer ontwijken en we botsten vrijwel frontaal.

De tegenpartij was een knul van een jaar of zeventien, een bekende van de politie. Hij was uiteraard schuldig; waarschijnlijk had hij zonder handen gereden en had hij zich in het gedrag van zijn fiets vergist. Het meest bizarre moment kwam toen hij zich op het politiebureau verdedigde met de stelling: 'Ik deed helemaal niks. Dat deed mijn fiets!'

Een dergelijke verdediging is met succes gevoerd door Aaron Caffrey, wiens computer op 20 september een DDoS-aanval heeft geleid op de computer van de haven van Houston. Verweer van Caffrey: ik heb niks gedaan, dat was mijn computer. Een Trojaans paard zou iemand van buiten in staat hebben gesteld via zijn computer de havencomputer plat te leggen. De jury trapte erin. In Groot-Brittannië is het eerder dit jaar al twee keer voorgekomen dat iemand met kinderporno op zijn computer beweerde dat een Trojaans paard daarvoor verantwoordelijk was.

Caffrey geloof ik niet. Hij was lid van een hackersclub. Hij had een lijst van 11.000 hackbare servers op zijn harddisk. Er waren belastende logfiles op zijn pc die volgens een getuige-deskundige na de aanval niet waren veranderd. Er was geen spoor van een Trojaans paard. Zijn bewering was dat het paard de logfiles zou hebben gecreëerd en daarna zichzelf spoorloos zou hebben gewist. Allemaal heel ongeloofwaardig, waar bijkomt dat iemand met de kennis van Caffrey makkelijk een Trojaan buiten de deur kan houden. Het lijkt erop dat de jury, zoals gebruikelijk bestaande uit leken, het niet meer volgen kon en zich heeft laten leiden door Caffreys nette pak en blonde haren [http://zdnet.com.com/2100-1107-5096128.html].

Minstens één van de Britse kinderpornoverdachten geloof ik wel. Op zijn pc is een Trojaans paard aangetroffen, enfin, de omstandigheden waren daar aanzienlijk minder verdacht [http://news.zdnet.co.uk/internet/security/0,39020375,39115422,00.htm].

En toch vind ik dat een dergelijke verdediging niet kan. Als je met je fiets iemand ramt kun je niet volhouden dat de fiets dat deed. Als de remmen van je auto niet werken, kun je niet komen met het verweer dat iemand de zaak heeft gesaboteerd. Je bent verantwoordelijk voor de goede staat van je auto. Als je auto wordt geflitst ben je de lul, tenzij je zelf aantoont dat het iemand anders was die op dat moment erin reed. In de hier genoemde rechtszaken bleek het als verdediging voldoende dat er iemand anders 'achter het stuur' had kunnen zitten.

Dat is niet acceptabel. 'Nee edelachtbare, ik sluit mijn auto nooit af en ik laat altijd de sleutels erin, dus het kan best iemand anders zijn geweest die dat oude dametje heeft doodgereden. Bovendien doe ik niets aan onderhoud, dus als ik het al was kan ik het niet helpen dat de remmen weigerden. Maar ik weet er niets meer van, ik ben namelijk altijd dronken. Hoe denkt het OM eigenlijk te bewijzen dat ik wél achter het stuur zat?' Het is even krankzinnig als rokers die de tabaksindustrie aansprakelijk stellen.

Het is te hopen dat de Nederlandse rechter hier niet intuint. Computerbezitters moeten zelf verantwoordelijk zijn voor de staat van onderhoud van hun pc. Het is goed te voorkomen dat er Trojaanse paarden, wormen of virussen op je pc terechtkomen. Wanneer iedereen aan spoken en kabouters de schuld kan geven, gaat vanaf nu iedere computermisdadiger vrijuit, of het nu een virussschrijver is, een spammer of een ellendeling die websites platlegt. Dergelijke figuren kunnen zonodig zelf een Trojaans paard installeren, zodat ze een aanwijsbaar excuus hebben.

Het kan maar beter in de wet staan: elke burger is verplicht zijn computer zo te beheren en te onderhouden dat deze niet door derden kan worden gebruikt voor illegale activiteiten. Anders is vanaf nu iedere wet tegen computercriminaliteit een dode letter.