Achtergrond

Juridische vraag: Mag je een open WiFi-netwerk hebben?

woensdag 24 juni 2009, 11:49 door Arnoud Engelfriet, 10 reacties

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Laatst sprak ik iemand die zijn netwerk opzettelijk had opengezet voor iedereen. Volgens eigen zeggen had hij netwerk goed beveiligd: een firewall, een VPN voor zijn eigen privehandelingen, een apart SSID voor het open WiFi-netwerk en hij paste QoS toe om ervoor te zorgen dat zijn bandbreedte niet helemaal opgeslokt werd door langsrijdende downloaders. Hij had zelfs een portal gemaakt waarin hij duidelijk maakte dat zijn netwerk vrij te gebruiken was. Hij zou zijn buren etc. vertrouwen en zou te hoog in een flat wonen voor voorbijgangers op straat om het signaal op te vangen.

Maar wat nu als een kwaadwillende het netwerk ontdekt, en daar allerlei onwettige dingen mee doen gaat. Kinderporno downloaden of verspreiden om maar eens wat te noemen. Dan heeft deze goedwillende 'mini-ISP' toch heel wat uit te leggen als hij voor de rechter wordt gesleept? Het is tenslotte zijn IP adres dat opduikt in de logs bij zijn eigen internetprovider.

Antwoord: Meeliften op andermans WLAN is in principe strafbaar, maar als iemand zijn eigen netwerk openzet, en dat ook expliciet aankondigt of zelfs mensen uitnodigt, dan kan van inbraak geen sprake meer zijn.

Je loopt inderdaad wel het risico dat opsporingsdiensten bij jou uitkomen op basis van het gebruikte IP-adres. Als je dit wilt doen, is het dus van het grootste belang dat je goede logs bijhoudt zodat je in ieder geval kunt aantonen dat er sprake was van een langsrijdende downloader. Log dan ook bijvoorbeeld het MAC-adres van de computer van die downloader. Hoewel dat in theorie te vervalsen is, vergeten de meeste mensen dat te doen nadat ze iemands draadloos netwerk gebruikt hebben. (Mag dat? Ja, dat mag, mits je het aankondigt op die portalpagina.)

Stel nu dat de politie het verhaal van het open netwerk niet gelooft en de zaak voor laat komen. Bij een strafzaak moet de rechter ‘overtuigd’ zijn van de schuld van de verdachte (artikel 338 Strafvordering).

Heeft de verdachte een redelijk klinkende alternatieve verklaring voor het gebeurde, dan kan hij worden vrijgesproken. Maar een enkele theoretische mogelijkheid is meestal niet genoeg. Pas als het bewijs een redelijke twijfel oproept, kan vrijspraak volgen. In dit geval zal het bewijs vrijwel altijd een verklaring van een getuige-deskundige zijn. Logfiles en andere aanwijzingen zijn op zichzelf namelijk meestal niet duidelijk genoeg om meteen als bewijs te dienen. De getuige-deskundige moet dan uitleggen wat voor elektronische aanwijzingen hij heeft gevonden op de PC en het thuisnetwerk van de verdachte, en of daaruit redelijkerwijs blijkt dat er sprake was van een indringer van buitenaf.

Hoe ver kom je nu met "jamaar er zat iemand op mijn draadloos netwerk?" Dat is nog niet aan de orde geweest in de rechtspraak. Wel is er een aantal zaken geweest waarin mensen claimden dat op hun computers ingebroken was. In een arrest van de Hoge Raad van juni 2007 ging het over bedreigingen per e-mail. De verdachte verdedigde zich door te zeggen dat het mogelijk was dat iemand anders toegang had gekregen tot zijn systeem en zo de mails had verstuurd. De HR zei daarover echter:

"Dat de andere berichten verzonden zouden kunnen zijn van een andere computer - hetgeen inderdaad bij een hotmail-adres mogelijk is - is een mogelijkheid die het Hof als hoogst onwaarschijnlijk buiten beschouwing heeft kunnen laten, mede in aanmerking genomen wat het Hof over het IP-adres, zoals hiervoor vermeld en de verhouding tussen verdachte en [het slachtoffer] heeft vastgesteld. Dan zou een derde zich onbevoegd het wachtwoord en het e-mailadres hebben moeten verschaffen. Daarbij komt nog dat uit bewijsmiddel 9 kan worden afgeleid dat het desbetreffende e-mailadres “[e-mailadres 1]” 168 keer is aangetroffen op de computer van de verdachte."

De rechter neemt dus ook andere omstandigheden mee, zoals in dit geval het feit dat de twee elkaar kenden en de verdachte een hekel aan het slachtoffer had. Het kan dan natuurlijk nog steeds dat een derde in feite verantwoordelijk was, maar in dit vonnis gaf de rechtbank mooi weer hoe men met die mogelijkheid omgaat:

"Tegen het feit dat [een tweede deskundige] ter terechtzitting in hoger beroep, sprekend over de theoretische mogelijkheid dat hem sporen van hacking zouden zijn ontgaan, heeft opgemerkt dat hacken niet uit te sluiten is, weegt op dat hij voor het feit dat dat zou zijn gebeurd (te weten dat die computers wèl gehackt zouden kunnen zijn geweest) geen enkele aanwijzing heeft gevonden en dat de aangetroffen sporen op de computers dermate in elkaar grijpen en interne consistentie vertonen dat het onwaarschijnlijk is dat de sporen anders dan door normaal gebruik van de computers – en dus niet door manipulatie van buitenaf – op die computers terecht zijn gekomen."

Je kunt dus niet zonder meer zeggen “er kan gehackt zijn, dus ik was het niet”. Kortom, zorg voor goede logfiles en maak duidelijk dat het netwerk open is en ook bedoeld is voor anderen. De vraagsteller heeft trouwens medestanders van formaat; ook Bruce Schneier doet dit ook. En wel om een heel bijzondere reden: stel hij beveiligt zijn netwerk wel maar het wordt toch gekraakt, wie zou hem dan ooit geloven?

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Juridische vraag: Domme sysadmins met open proxy

Column: Pas toe of leg uit

Reacties (10)

24-06-2009, 11:59 door Anoniem

@ Arnoud :

"Antwoord: Meeliften op andermans WLAN is in principe strafbaar, maar als iemand zijn eigen netwerk openzet, en dat ook expliciet aankondigt of zelfs mensen uitnodigt, dan kan van inbraak geen sprake meer zijn. "

Mijn netwerk staat ook open. Wat mij betreft mag eenieder hier gebruik van maken, ook al kondig ik dit -niet- expliciet aan. Is iemand die gebruik maakt van mijn WLAN dan alsnog strafbaar ? En in hoeverre controleert men bij vermeend ongeoorloofd gebruik van open draadloze netwerken, bijvoorbeeld doordat de politie iemand aantreft die meelift op een wireless netwerk met zijn laptop, of de eigenaar al dan niet bezwaar had ?

24-06-2009, 12:10 door 44RT

Hmm...ok. Dus als ik bij mij thuis:
- mijn netwerk openzet
- vervolgens een melding geef over het feit dat mijn netwerk open staat voor gebruik voor derden
- en een waarschuwing geef over het feit dat ik bezoekers (MAC adres) log (in mijn portalpagina)
Dan kan ik met mijn laptoppie en een fake MAC adres doen op internet wat ik wil? Zolang ik er maar voor zorg dat het niet persoonlijk naar mij terug te leiden valt (dus ik moet niet mijn aartsvijand gaan lastig vallen)?

24-06-2009, 12:19 door d.lemckert

Door 44RT: Hmm...ok. Dus als ik bij mij thuis:
- mijn netwerk openzet
- vervolgens een melding geef over het feit dat mijn netwerk open staat voor gebruik voor derden
- en een waarschuwing geef over het feit dat ik bezoekers (MAC adres) log (in mijn portalpagina)
Dan kan ik met mijn laptoppie en een fake MAC adres doen op internet wat ik wil? Zolang ik er maar voor zorg dat het niet persoonlijk naar mij terug te leiden valt (dus ik moet niet mijn aartsvijand gaan lastig vallen)?

Feitelijk wel ja.. Maar zorg er dan wel voor, dat je die nieuwste film niet op DVD parkeert en in je PC met groot scherm afspeelt, want dan hang je alsnog aan de hoogste boom.
Geloof me: je gaat ergens een fout maken en daar kun je op aangepakt worden.

24-06-2009, 12:38 door 44RT

Door d.lemckert:

Het lastigste punt is inderdaad om er voor te zorgen dat het niet terug te leiden is naar jouw persoon. En ik geloof je meteen dat je vroeg of laat een steek laat vallen en alsnog hangt. Maar in theorie is het dus mogelijk. En dat vind ik bespottelijk. Ik bedoel daarmee dat ik het bespottelijk vind dat een log met MAC adressen geldig is terwijl het algemeen bekend is dat MAC adressen te spoofen zijn. En dat dat erg makkelijk is.

Een vervolg vraag dan maar:
Indien er dus illegaal materiaal (bijvoorbeeld de nieuwste film) gedownload is via mijn open netwerk en men belt bij mij aan om verhaal te halen. Ik vertel dat mijn netwerk open staat en dat ik die film niet heb gedownload. En ik laat een log file zien met daarin het MAC adres van de pc die het wel heeft gedownload en ik laat zien dat dit MAC adres niet van mijn pc is. Wat zijn dan de rechten van de politie? Mogen ze inzicht vragen in mijn pc (de data die op mijn pc staat) en mijn externe opslag? Om te kijken of ik stiekem toch die film ergens heb opgeslagen?

24-06-2009, 12:44 door Anoniem

Wat te denken over het systeem van Fon, die en een privé en een openbaar gedeelte ter beschikking stelt. De logging wordt bijgehouden en kan door de eigenaar van de Fon opgevraagd worden.

24-06-2009, 13:00 door Anoniem

Maar hoe zit het dan met het ter beschikking stellen van bandbreedte aan derden? In principe betekent dat dat je een soort van ISP wordt, en ik kan me heel goed voorstellen dat de ISP bij wie je de dienst afneemt dit niet een heel fijn idee vindt.

24-06-2009, 14:49 door Anoniem

Door Anoniem: Maar hoe zit het dan met het ter beschikking stellen van bandbreedte aan derden? In principe betekent dat dat je een soort van ISP wordt, en ik kan me heel goed voorstellen dat de ISP bij wie je de dienst afneemt dit niet een heel fijn idee vindt.

Negen van de 10 ISP's heeft ook een bepaling opgenomen dat je de verbinding niet aan derdn ter beschikking mag stellen, en al helemaal niet tegen betaling (niet dat daar in deze discussie sprake van is).

24-06-2009, 15:24 door Arnoud Engelfriet

@44RT: bewijs is niet zo "hard" als jij het doet voorstellen. Je kunt alles aanvechten en tegenbewijs overleggen. Logfiles helpen maar zijn niet gegarandeerd juist. Hetzelfde geldt voor elk ander soort bewijs, van getuigenverklaringen tot notariële akten (al moet je bij die laatsten wel van heel goede huize komen). Heb jij stapels logs en ziet dat er allemaal consistent en echt uit, en is er ook geen bewijs van wangedrag van jou, dan is de kans groot dat je wordt vrijgesproken.

Staan er typefouten in de log, of kloppen er IP- en macadressen niet met elkaar in twee verschillende logs, dan heb je wat uit te leggen. Evenzo als er vanaf dat MAC-adres niet alleen ergens is ingebroken maar ook een film is gedownload die bitwise identiek in jouw kast op een DVD'tje ligt.

Het woord "bewijs" moet je dus niet lezen in de wiskundige betekenis van onweerlegbare waarheid maar in de juridische betekenis van aanwijzing richting een bepaald feit.

@Anoniem 13:00: als dat in je contract staat, dan pleeg je contractbreuk. Dat is echter jouw probleem, derden hebben niets te maken met contracten die jij sluit met je ISP.

24-06-2009, 16:09 door 44RT

Door Arnoud Engelfriet: @44RT: bewijs is niet zo "hard" als jij het doet voorstellen...Het woord "bewijs" moet je dus niet lezen in de wiskundige betekenis van onweerlegbare waarheid maar in de juridische betekenis van aanwijzing richting een bepaald feit.

Aah. Daar ging ik dus de mist in. Ik was even voorbij gegaan aan het feit dat jurisprudentie geen exacte wetenschap is ;-) Dank voor de verheldering!

26-06-2009, 11:00 door Anoniem

Zij die weten hoe ze hun eigen omgeving beperkt weten open te zetten, weten daarna ook hoe ze kunnen doen hoe ze zelf voor de 'vreemde' worden aangezien.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer