Juridische vraag: Mag KPN op mijn Experia-box inloggen?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".
Vraag: Bij een storing bij mijn internetverbinding kon de medewerker van KPN op afstand en zonder aparte toestemming of wachtwoord inloggen in de Experia-box (de modem) in mijn huis. Deze box heb ik in bruikleen, maar ik vind het toch vreemd dat men zomaar zonder het te melden in mijn modem zou kunnen binnendringen. Als de eigenaar van de CV-ketel of elektriciteitsmeter (ook in bruikleen) bij deze apparaten wil, moeten ze toch ook mijn toestemming vragen alvorens naar binnen te mogen?
Antwoord: Het klopt dat de CV-monteur en de meteropnemer niet zomaar je huis binnen mogen gaan om deze apparaten te bekijken of aan te passen. Maar dat heeft te maken met het feit dat er een duidelijke grens is: de voordeur. Die zit dicht en die gaat niet zomaar open. Bij een Experia-box is die grens er niet.
Ook speelt bij de CV en de meter mee dat er dan fysiek iemand in je huis komt, wat wordt gezien als een toch vrij ernstige inbreuk op de privacy. Daarom kan de meteropnemer niet zomaar naar binnen, en kan het elektriciteitsbedrijf niet eisen dat je een sleutel aan ze geeft. Maar wél kan men afspreken in de algemene voorwaarden dat je binnen redelijke grenzen verplicht bent eens in de drie jaar die opnemer binnen te laten. Dit is bijvoorbeeld in de Elektriciteitswet geregeld, zie artikel 16 en 26na. Het moment is dan in overleg en de inspectie mag alleen de meter betreffen maar je zult redelijkerwijs moeten toestaan dat er een meteropnemer naar binnen gaat.
Voor modems zijn er geen direct toepasbare regels. Je valt dan terug op algemene principes: in hoeverre is hier sprake van een privacyschending of ander onredelijk handelen en hoe kunnen we daarmee omgaan?
Persoonlijk zie ik de privacyschending niet echt. In het modem gebeurt weinig dat je als persoonlijk of privé zou kunnen betitelen. Natuurlijk stromen er privégegevens door het modem, en daar mag de provider alleen bij komen met een wettig bevel of als dat noodzakelijk is voor een goede levering van de dienst. Bovendien heeft hij geheimhouding bij alle privégegevens die hij tegenkomt. Zolang men dus alleen op het modem inlogt voor onderhoud zie ik geen juridisch probleem.
Het is natuurlijk wel zo netjes dat een provider eerst vráágt of men dit mag doen, maar dat maakt het nog geen verplichting om te vragen.
De regels over bruikleen uit de wet zeggen hier verder niets over. Niet gek, want die zijn nog van de oude spelling.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Hoe zit het dan?
Als ik een vergelijking trek met alarmsystemen, dan moet de gebruiker eerst een code intoetsen, voordat een monteur op afstand in kan loggen. Maar goed de monteur kan dan ook het hele alarmsysteem uitschakelen e.d.
Natuurlijk hebben de providers hun zaakjes goed op orde en kan er niet iemand anders inloggen.
De Experia-box - of welke modem/router dan ook - bevindt zich op het grensvlak van de infrastructuur van de provider en mijn eigen infrastructuur. Wanneer je een beetje rondsnuffelt in de administratie en logging kan je echt heel veel te weten komen over wat er voor spullen in huis zijn, wanneer die gebruikt worden etc.
Ik zou daarom altijd willen weten of en wanneer de provider in mijn router kijkt. En dan liefst op zo'n manier dat de provider daar geen invloed op heeft.
Mag de meter-opnemer wel zonder mijn toestemming in die meterkast komen?
Dat doen ze expres,dit vanwege de internet downloadsnelheid waar je een abonnement op hebt.
De provider regeld namelijk de up en download snelheid waarvoor je betaald.
Als je zelf een modem hebt gekocht en aangesloten op dat signaal,dan heb je altijd de hoogste snelheid.
Ja en dat wil een provider juist niet hebben.
Ik kan ook niet bij mijn UPC modem zelf alles instellen,ik kan dat alleen bij mijn eigen router hoe of wat er binnen mijn netwerk gebeurd.
Upc kan alleen bij mijn modem komen op afstand en niet inloggen op mijn router zomaar.
Mag de meter-opnemer wel zonder mijn toestemming in die meterkast komen?
Ja.. Hij KAN inderdaad afluisteren door software te installeren. Ik denk alleen dat Art 139 daar een stokje voor steekt. Een provider maakt zichzelf onmogelijk als ie het doet.
Wantrouwen is goed, maar kan ook te ver gaan.
De provider regeld namelijk de up en download snelheid waarvoor je betaald.
Als je zelf een modem hebt gekocht en aangesloten op dat signaal,dan heb je altijd de hoogste snelheid.
Ja en dat wil een provider juist niet hebben.
Ook bij het huidige DOCSIS (kabel internet) wordt de snelheid aan de provider kant geregeld, niet aan de client kant.
Er vanuit gaan dat deze modems toch een bepaalt OS (linux) draaien, bestaat de mogelijkheid om malware te draaien op deze modems en als een MITM te functioneren.
Weet iemand hoe het met de beveiliging van deze modems zit?
Eigen modem kan inderdaad met ADSL en alleen internet. Wel moet dan de vci en vpi juist worden ingesteld. Met Docsis heb ik geen ervaring met een eigen modem. In combinatie met telefonie is het echter wel lastig aangezien dit in het modem van de provider wordt geregeld. Een eigen router met firewall koppelen aan het modem is technisch gezien een goede oplossing.
Ik heb voor een ander oplossing gekozen: De computers communiceren allen met het internet en hebben onderling geen relaties met elkaar. Alle netwerkverkeer gaat dan toch al langs de provider. Hiervoor heb ik de computers in Windows 7 alle netwerkconfiguraties op 'openbaar netwerk' gezet.
Aan de andere kan is het ook goed om vertrouwen te hebben in de leverancier. Helaas is de wetgeving nog blijkbaar een grijs gebied.
Dat deed ik laatst ook men toen werkte ie niet meer....
Ik gebeld naar upc en netjes is alles op afstand weer in orde gemaakt.....
Wel zo handig op afstand...en geen monteur meer over de vloer....en wat is er nu privé in mijn modem.
Er vanuit gaan dat deze modems toch een bepaalt OS (linux) draaien, bestaat de mogelijkheid om malware te draaien op deze modems en als een MITM te functioneren.
Weet iemand hoe het met de beveiliging van deze modems zit?
1. KPN logt niet in op het modem, KPN verandert instellingen in het modem met behulp van het TR-069 protocol via een server (het modem krijgt dan gewoon commando's vanaf het netwerk die het uitvoert) er logt dus niemand rechtstreeks in op het modem.
Je kan trouwens ook niet inloggen op de experiabos van buitenaf omdat de firewall in het modem dat niet toelaat.
Er vanuit gaan dat deze modems toch een bepaalt OS (linux) draaien, bestaat de mogelijkheid om malware te draaien op deze modems en als een MITM te functioneren.
Weet iemand hoe het met de beveiliging van deze modems zit?
Omdat de meeste login "software" webbased is en alles wat de medewerkers doen gelogd wordt, tevens kan een medewerker niet zijn eigen variant van het modem software uploaden omdat het domweg niet zo werkt, een medewerker kan alleen opdracht geven aan het modem om nieuwe software op te halen maar dat haalt het modem dan zelf op vanaf een vooraf ingestelde server van de provider en daar kan maar een heel select aantal medewerkers bij en op die server kan je niet zomaar je eigen firmware op zetten.
De medewerker logt trouwens ook niet in op je modem maar verstuurt een commando naar een TR-069 server en die geeft de opdracht aan het modem.
Was het niet een draadloos modem?
@Brammel: In een modem is niets prive, deze communiceert toch al naar buiten. Het probleem is, dat deze wordt gecombineerd met een router (al dan niet met wifi) en firewall. De router routeert ook al het interne netwerkverkeer. De firewall zou kunnen worden aangepast en ......(misschien heeft iemand anders nog verder ideeën).
Momenteel opgelost door het poortnummer te wijzigen naar iets wat niet door de standaard nmap scan wordt geanalyseerd.
De topic starter maakt zich druk over het feit dat een engineer of helpdesk medewerker op een device kan inloggen dat van de provider is, maar bij hem thuis staat. Dat dezelfde medewerker op de DSLAM in kan loggen en daar exact hetzelfde verkeer van de topic starter kan zien vindt iedereen eigenlijk wel prima....
Het probleem zit dus in het feit dat de modem bij je thuis staat ipv ergens bij de provider - niet dat iemand je internet verkeer mogelijk kan bekijken. En eigenlijk is dat laatste veel verontrustender dan dat eerste. De voorbeelden zijn al voorbij gekomen van de slimme meter die op afstand is uit te lezen (technisch ook een vorm van aanloggen), en ook de postbode stapt op jouw privé terrein om de post in de brievenbus te doen en kan dus zien wat er min of meer gebeurt...
Het bekijken van het internet verkeer lijkt mij niet het probleem. Volgens artikel 139c mag een provider dat analyseren. Vroeger hadden we een ISRA-punt, wat een duidelijke scheiding was. Momenteel is het onduidelijk wat de scheiding is. Aan de ene kant is het extra service, aan de andere kant brengt het wat risico's met zich mee.
Hmm... in hoeverre onduidelijk dan? De topic-starter weet dat het modem niet van hem is, maar van de provider. Een router achter de modem is van de klant - daar kan de provider duidelijk niet bij.
In de meterkast speelt min of meer hetzelfde: een deel van de meterkast is 'beveiligd' met een loodje en daar mag je dus als gebruiker niet bij. Staat wel in jouw huis maar is niet door jou te benaderen...
Het lijkt erop dat de topic-starter voornamelijk een probleem heeft met het feit dat er iets van een leverancier op zijn eigendom staat - iets waar hij zelf niets over te zeggen heeft. Dat wringt - en dat zou niet zo hoeven zijn...
Hiermee kun je alleen instellingen van het modem configutreren.
Denk hierbij aan SIP accounts, Radius login ed.
De snelheid word op meerdere plekken geregeld.
1. Door het profiel op de DSLAM poort.
2. Door een administratief profiel. (deze word automatisch gecheckt).
Er kan bijvoorbeeld wel tussen de DSLAM en het modem een hogere snelheid gestuurd worden maar dit krijgt de DSLAM poort niet aangeleverd.
Bij KPN is het ook niet mogelijk een eigen modem te gebruiken omdat dan je VOIP niet meer werkt.
de SIP profielen worden namelijk automatisch via TSM naar het modem gepompt.
Ik heb er geen problemen mee, dat er apparatuur van een leverancier op mijn eigendom staat. Waar het mij om gaat is wat de wetgever van het beheer op afstand vindt en wat wij als consumenten daarvan vinden.
Ook wil ik mensen erop attenderen, dat er met een thuis-netwerk gegevens van het interne netwerk door de router van de leverancier stromen. Een vergelijk met gas, water en elektra zie ik niet direct.
Ik heb er geen problemen mee, dat er apparatuur van een leverancier op mijn eigendom staat. Waar het mij om gaat is wat de wetgever van het beheer op afstand vindt en wat wij als consumenten daarvan vinden.
Ook wil ik mensen erop attenderen, dat er met een thuis-netwerk gegevens van het interne netwerk door de router van de leverancier stromen. Een vergelijk met gas, water en elektra zie ik niet direct.
Inderdaad. Wat er tussen het open internet en je modem gebeurt ziet alleen je provider en dan alleen a;s deze toevallig op dat moment kijkt. Als je het direct lokaal opslaat en het bericht wist door je modem uit en aan te zetten is het weg tenzij de zender het heeft bewaard. zoals Arnoud aangeeft: De provider kon erbij, maar moet dat voor zichzelf houden en kan er juridisch echt niets mee. Moet zich eigenlijk van de domme houden ook als er vragen over komen. De provider zou eventueel in een ethisch/moreel dilemma komen als iets illegaals wordt geconstateerd.
Gas, water en licht zijn verbruiksartikelen. Gegevens zijn in wezen een dienst die weliswaar wat waarde kan hebben in bepaalde gevallen, maar je kunt deze niet of heel moeilijk hard maken d.w.z. in geld uitdrukken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
