Juridische vraag: Hoe ver mag je gaan met WiFi-meeliften?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Naar aanleiding van het nieuws dat je best mag meeliften op het WiFi-netwerk van de buren, ook al moet je daarvoor beveiliging te omzeilen/kraken, even de volgende vraag:
Stel, ik heb het netwerk van de buren gekraakt om te kunnen internet, maar ik kom op dat netwerk ook een computer tegen, bijvoorbeeld een NAS, waar ik geen wachtwoord voor nodig heb; maak ik me dan schuldig aan "computervredebreuk"?
Antwoord: Meeliften bij het internet van de buren is geen computervredebreuk, oordeelde het Hof Den Haag vorige week. Ook als je daarbij de router kraakt. Een router is namelijk geen “geautomatiseerd werk” in de zin van de wet, en je kunt alleen computervredebreuk plegen als je binnendringt in een geautomatiseerd werk. Dit is het hoger beroep van de 4chan-zaak.
In deze strafzaak had een jongen via het netwerk van de buren op het NSFL-imageboard een dreigende tekst geplaatst (”I’ll go and kill some peeps from my old school”). In eerste instantie oordeelde de rechtbank dat deze bedreiging niet serieus te nemen was omdat het motto van 4chan was “only a fool would take anything posted here as fact”. Daar komt het Hof op terug: gezien de context van enkele andere school shootings mocht je die bedreiging wel degelijk serieus opvatten, ook als deze niet daadwerkelijk zo bedoeld was.
Het oordeel dat er geen computervredebreuk bij de buren werd gepleegd, blijft in stand. Het Hof neemt de redenering van de rechtbank over dat er pas sprake kan zijn van een computerinbraak als je daadwerkelijk iets doorbreekt (wat dus niet klopt gezien de huidige wet). Maar belangrijker, het Hof stelt dat je op een router niet kunt inbreken omdat een router geen “geautomatiseerd werk” is. Artikel 80sexies Strafrecht definieert dat namelijk als
een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.
Het Hof interpreteert die “en” nu netjes als een AND: een apparaat moet alle drie die dingen doen met (een gegeven set) gegevens. En een router doet dat niet, want die slaat niets op.
Het hof stelt vast dat een router een schakelapparaat op de knooppunten van een netwerk zoals het internet is. Een router houdt een wachtwoord of gebruikerscode opgeslagen en zorgt, in opdracht van de gebruiker van die router alleen voor de verzending van gegevens naar de juiste bestemming.
Net als ik heeft ook ict-jurist Jan-Jaap Oerlemans grote moeite met dit arrest.
Ik denk dat artikel 80sexies Sr verkeerd wordt geïnterpreteerd en dit onwenselijke effecten met zich meebrengt. Wat als mensen spam of kinderpornografie over je beveiligde wifi-netwerk verspreiden? De onderhavige zaak illustreert overduidelijk een ander onwenselijk effect. Als via een ander wifi-netwerk misdrijven worden gepleegd en op basis van het IP-adres wordt getracht een verdachte te identificeren komen opsporingsdiensten bij de verkeerde persoon uit!
Het lijkt mij ook dat dit niet de bedoeling is geweest van de wetgever. Maar het staat er wel, en ik vrees dat we niet heel ver komen met dat een router een geheugen heeft voor firmware of dat er een buffer is die 0,1 seconde alle data vasthoudt. Echter, ik vond een sprankje hoop in de memorie van toelichting uit 1993:
een “geautomatiseerd werk”. Hieronder wordt verstaan elke inrichting die met technische middelen geschikt is gemaakt voor de opslag, verwerking of overdracht van gegevens. … Hieronder vallen dus computers, netwerken van aan elkaar verbonden computers en geautomatiseerde inrichtingen voor telecommunicatie (mijn cursivering)
Echter, bij de Eerste Kamer werd het “op te slaan en te verwerken”. En in 2006 werd het het huidige “op te slaan, te verwerken en over te dragen”, waarbij werd opgemerkt
Daarmee vallen niet alleen computers in de meer gangbare betekenis onder het begrip geautomatiseerd werk, maar ook computernetwerken en geautomatiseerde inrichtingen voor telecommunicatie, zoals telefoon en telefax.
In het Cybercrime-verdrag vond ik nog een definitie van “computer system” die hoopvoller klinkt:
any device or a group of interconnected or related devices, one or more of which, pursuant to a program, performs automatic processing of data
Onze wet moet immers passen binnen het Cybercrime-verdrag, dus daar kan de Hoge Raad wellicht nog wat mee in eventuele cassatie. Dat zal wel lastig worden, want tegen de letterlijke tekst van een wetsartikel ingaan met je interpretatie is heel erg moeilijk.
Ook kun je zoals mijn collega Paul Pols betoogt, verdedigen dat niet ingebroken is op de router maar op het netwerk, en dat slaat wel gegevens op naast ze te verwerken en versturen. Maar ik vrees dat dat niet gaat werken.
Een wetswijziging lijkt me dan ook nodig. Daarvoor nu gaan pushen vind ik eng, want dat gebeurt dan in het wetsvoorstel dat ook het OM de bevoegdheid zou geven websites te sluiten zonder gerechtelijk bevel.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Ik mis alleen de NAS in het antwoord, welke in de vraag wel genoemd is.
1KMH te hard rijden,en je wordt zwaar afgestraft.
Maar computer inbraak en co, mag gewoon.
Wel, ik kan het niet nalaten daaraan terug te denken bij een casus waarbij een jochie binnenbreekt in een router. Die doet op een of andere manier aan dataprocessing, en daar moet een ander van af blijven, denk ik zo. Tenzij die onbeveiligd is, maar in mijn huis staat mijn achterdeur voor de kat op een kier, mag iedereen dan zomaar binnen?
1KMH te hard rijden,en je wordt zwaar afgestraft.
Maar computer inbraak en co, mag gewoon.
Wat is dat nou weer voor een onzinnige opmerking. Ten eerste wordt je voor 1 km/uur boven de limiet helemaal niet gestraft (er gaat altijd een correctie af van 3 km/u). Ten tweede wordt je niet 'zwaar' gestraft, maar met een boete op basis van de wet Mulder, dus dat de vergelijking met een rechtszaak voor het Hof slaat helemaal nergens op in deze.
Volgens de huidige uitspraak van het Hof is dat zo, inderdaad. Ik (en anderen, gezien de reacties hierboven) kan me niet voorstellen dat dit zo zal blijven, maar een wetswijziging is in het Nederlandse wetgevingssysteem een proces van de lange adem, dus daar zal nog even op gewacht moeten worden. Ondertussen dus nog weer een goede reden om je wireless router GOED te beveiligen (en niet op het standaard wachtwoord van de leverancier te laten staan).
De router slaat niet de data van de gebruiker op alleen het tijdstip (+ wat protocol gerelateerde zaken) dat er een hoeveelheid data is gepasseerd. (dus niets inhoudelijks).
Op het moment dat er daadwerkelijk data (informatie) op een hardeschijf of andere data-drager wordt opgeslagen (lees gekopieerd) wordt het computer (in de zin des woord hier).
Omgekeerd kan je er dan voor zorgen dat inbreken op een draadloze netwerk strafbaar is door op de router de NAS functionaliteit aan te zetten en er opslag aan te koppelen.
Klopt dat??
Dat zal ook wel niet, immers met deze uitspraak kan de complete auteurs- en telecomwet om zeep geholpen worden. Ik doel dan o.a. op de conclusie dat data geen bron van diefstal kan zijn en kennelijk ook het gebruik van andermans bandbreedte niet strafbaar is. Terwijl er in eerdere arresten juist sprake was dat je wel degelijk diefstal pleegt van 'bandbreedte' door gebruik te maken van iemands anders betaalde netwerk door daar 'data' over te transporteren. of bijvoorbeeld het illegaal aftappen van een tv, internet of electriciteitsverbinding.
ik krijg ook sterk de indruk dat deze rechter alleen heeft gekeken naar de term router en wifi, en niet het hele gebeuren eromheen zoals data gebruik, internet verbinding etc. Iets waar rechters als het gaat om internet wel vaker last van lijken te hebben.
Ik ben benieuwd, het gaat naar de hoge raad.
syzygy schreef:
De router slaat niet de data van de gebruiker op alleen het tijdstip (+ wat protocol gerelateerde zaken) dat er een hoeveelheid data is gepasseerd. (dus niets inhoudelijks).
--
“geautomatiseerd werk” is volgens het artikel:
een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.
Een router is wel degelijk bedoeld om loggegevens op te slaan. Dit kan ook nog eens zeer belangrijke en in sommige gevallen gevoelige informatie zijn. In mijn ogen is dit nog wel een punt om te onderzoeken.
Ik breng in herinnering het geval waarbij een onschuldige Indier een aantal maanden in de gevangenis heeft gezeten omdat zijn internet-provider verkeerde NAW-gegevens had verstrekt die bij een IP-adres zouden horen. Dan betreft dit nog een geval waar een fout is gemaakt (waarvoor de politie zich overigens niet verantwoordelijk achtte), maar sowieso denk ik dat IP-adressen niet teveel gewicht moet worden toegekend. Ik ben ook niet verantwoordelijk voor een bommelding als iemand anders die bommelding via mijn telefoon heeft gedaan.
Overigens betekent deze uitspraak - zoals ook toegelicht in het arrest - natuurlijk niet dat je ineens *mag* kraken. Door bandbreedte te gebruiken benadeel je wel degelijk de eigenaar van de verbinding, en ik denk dan ook dat die een civiele zaak zou hebben. Het is alleen niet strafbaar.
syzygy schreef:
De router slaat niet de data van de gebruiker op alleen het tijdstip (+ wat protocol gerelateerde zaken) dat er een hoeveelheid data is gepasseerd. (dus niets inhoudelijks).
--
“geautomatiseerd werk” is volgens het artikel:
een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.
Een router is wel degelijk bedoeld om loggegevens op te slaan. Dit kan ook nog eens zeer belangrijke en in sommige gevallen gevoelige informatie zijn. In mijn ogen is dit nog wel een punt om te onderzoeken.
Maar de wet heeft het over de data en niet de loggegevens
Alleen is "mijn" (als "bezittelijk" voornaamwoord) router toevallig eigendom van mijn provider. Nu wordt het dus helemaal leuk.
Ik raad overigens iedereen aan om het niet te wagen om op "mijn" router in te breken, want ik sta niet in voor de gevolgen ;-)
syzygy schreef:
De router slaat niet de data van de gebruiker op alleen het tijdstip (+ wat protocol gerelateerde zaken) dat er een hoeveelheid data is gepasseerd. (dus niets inhoudelijks).
--
“geautomatiseerd werk” is volgens het artikel:
een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.
Een router is wel degelijk bedoeld om loggegevens op te slaan. Dit kan ook nog eens zeer belangrijke en in sommige gevallen gevoelige informatie zijn. In mijn ogen is dit nog wel een punt om te onderzoeken.
Een router zoals die staan bij de ISP moet toch zijn gegevens opslaan volgens de wet ?
Dan is er toch spraken van geautomatiseerd werk ?
Groet
Mathijs
Oftewel, als je vanwege je IPadres beschuldigd wordt van het verspreiden van kinderporno, kun je je dan verdedigen met een aanklacht tegen een onbekende wegens misbruik van je wifi-router?
Of is er civielrechterlijk gewoon niets mogelijk, tenzij je weet wie op je router is geweest? En als je dat kunt vaststellen, dan ben je ook slim genoeg om je router fatsoenlijk te kunnen beveiligen...
Je kan er zelfs een apache webserver van maken als je dat zou willen.. Of dingen als een looking glas op draaien..
Dit arrest kan geen stand houden imho.
Betekent dat het -strikt formeel gezien- wel strafbaar is als iemand bij mij op mijn wifi inbreekt?
@Anoniem 10:15 Het lijkt me wel de bedoeling dat het opslaan, verwerken en overdragen dezelfde gegevens betreft. Een gewone router slaat ook gegevens op (firmware) maar dat zijn andere gegevens dan die hij ontvangt en overdraagt. Hoewel ik niet helemaal inzie waarom er "en" moet staan. Het Cybercrimeverdrag spreekt van "verwerken van gegevens" en dat lijkt me een prima definitie - die sluit ongeveer alleen usb-sticks uit.
Houdt dit dan ook in dat je een firewall "mag" hacken ? En hoe ligt het wanneer je op een gekraakt network device vervolgens traffic gaat sniffen ?
Ik heb van een reguliere computer, die voldoet aan de definitie voor een geautomatiseerd werk, omgebouwd tot router. Hierbij is hij gestript van de harddisk, draait alles vanuit een ramdisk, maar draait een ftp servertje waarmee tijdelijk wat in ram opgeslagen kan worden.
Hoe zou dit geïnterpreteerd worden ? Is dit wel of geen geautomatiseerd werk ? (Met andere woorden: Als iemand op zo'n router inbreekt, pleegt hij dan wel computervredebreuk ?)
man man man wat een haken en ogen en een blunder IMHO
Om in het accesspoint te komen moet hij nog een paar extra stappen doen.
Als die persoon verder gaat door ook nog de user en password van het accesspoint te kraken is het wat anders.
syzygy schreef:
De router slaat niet de data van de gebruiker op alleen het tijdstip (+ wat protocol gerelateerde zaken) dat er een hoeveelheid data is gepasseerd. (dus niets inhoudelijks).
--
“geautomatiseerd werk” is volgens het artikel:
een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.
Een router is wel degelijk bedoeld om loggegevens op te slaan. Dit kan ook nog eens zeer belangrijke en in sommige gevallen gevoelige informatie zijn. In mijn ogen is dit nog wel een punt om te onderzoeken.
Om mijn gevoelens jegens de reactie even te illustreren speciaal voor jou dit filmpje:
http://www.youtube.com/watch?v=aJ4b7G3azss
Kijk hem even uit
;-)
Wat ik me dan wel weer afvraag is tot in hoeverre de Providers hier blij mee zijn. Ik vind dat ze sowieso meer moeten investeren in het aanbieden van veilige netwerken. Simpele handleidingen, zodat zelfs mijn oma snapt hoe het werkt. Want, hoe gaan de providers hun klanten beschermen tegen misbruik van de betaalde diensten?
Het is nog niet zo lang geleden dat we konden lezen:
Het zonder toestemming gebruik maken van andermans draadloos netwerk is strafbaar. Ook als dat netwerk niet beveiligd is. (bron: http://www.iusmentis.com/beveiliging/draadloosinternetten/ )
Uiteraard is dat net zo een vreemde uitspraak als iedereen mag op een willekeurig draadloos netwerk...\
driemaal recht is scheepsrecht...
Ik verwacht dat er uiteindelijk een bepaalde vorm ontstaat:
- wel op elk netwerk mag connecten,
- niet mag 'proberen' om in te loggen. (en we weten in principe allemaal welke wachtwoorden we wel en niet hebben voor de netwerken)
Uiteraard moet dat laatste zo geformuleerd worden dat ik wel bij de public netwerken mag aanmelden, dat ik wel mag zoeken naar netwerken (om mij eventueel aan te melden) en er ook gebruik van mag maken (als ik een geldige aanmelding kan doen).
Het beveiligen van netwerken op welke manier dan ook is altijd nodig. geen beveiliging? dan happy surfing.
Het uitvoeren van illegale handelingen zoals het gebruiken van een dergelijk open netwerk voor bijvoorbeeld kinderporno is, blijft en hoort altijd verboden te zijn. Politie en justitie moeten er voor zorgdragen dat ze voldoende kennis en kunde in huis hebben om vast te stellen dat een netwerk is misbruikt. Hier zijn naar mijn mening voldoende middelen voor te vinden.) Het zou zelfs een vorm van identiteit stelen kunnen zijn. Al den ik dat dit wel weer wat ver gezocht is .... maar tijden kunnen veranderen...
Dat komt omdat onze wifi routers, accesspoints, etc. voor de netwerkautenticatie sterke wachtwoorden (van minstens 12 charakters) gebruiken en allemaal WPA2 gebruiken. Toch? :-)
Knappe jongen die dan toch de netwerksleutel kraakt.
tweede punt: en als ik een HD aan mijn router hang en er een nas van maak? Dan voldoet ie volgens mij aan alle eisen. Vrijwel iedere consumer router draait tegenwoordig onderhuids linux, ook al kom je er niet altijd direct bij, en is dus wel degelijk een volledige computer. En als ik dd-wrt op m'n router zet (een custom linux distributie voor routers)? Dan is het gewoon een heel klein linux bakje met toevallig een paar verschillende lan interfaces waaronder een AP.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
