Juridische vraag: Mag ik internet in de trein aftappen?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".
Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Voor mijn afstudeeropdracht (studie informatica) wil ik graag de beveiliging en privacy van internet in de trein gaan onderzoeken. Ik had het plan om met een sniffer al het verkeer dat ik kan opvangen, te registreren. Daarna wil ik daar op geanonimiseerde basis gegevens uit halen en conclusies trekken. Bijvoorbeeld dat 80% van de mensen geen https gebruikt om hun mail te lezen, of dat ik creditcardgegevens kon detecteren. Mag dat?
Antwoord: Het is strafbaar (art. 139c Wetboek van Strafrecht) om gegevens af te tappen of op te nemen die via telecommunicatie worden overgedragen en niet voor jou bestemd zijn. Het maakt daarbij in principe niet uit of je een beveiliging moet kraken of dat de gegevens 'zomaar' langs je sniffer liepen. Als jij niet de afzender, ontvanger of netwerkbeheerder bent, dan heb je een groot probleem.
Echter, het opvangen van "vrije signalen uit de ether" (zoals dat heet bij juristen) is een onderdeel van de uitingsvrijheid die als grondrecht is vastgelegd in artikel 10 EVRM. Er staat dan ook een uitzondering in artikel 139c specifiek voor deze situatie: het aftapverbod geldt niet voor het aftappen of opnemen van "door middel van een radio-ontvangapparaat ontvangen gegevens". Wel moet het gaan om gegevens waar voor mensen begrijpelijke informatie uit te halen is. De Hoge Raad oordeelde in 2008 dat het gebruik van een snelheidsradardetector niet via dit artikel 10 EVRM gerechtvaardigd kon worden, omdat radargolven "geen kennis, gedachten, enz. overbrengen". Daarentegen was het luisteren naar de onversleutelde politieradio weer wel toegestaan (Hoge Raad 16 januari 2004).
Op deze uitzondering geldt zelf ook weer een uitzondering: als "om de ontvangst mogelijk te maken een bijzondere inspanning is geleverd of een niet toegestane ontvanginrichting is gebruikt", dan kun je je niet beroepen op artikel 10 EVRM en blijft het gewoon strafbaar om die gegevens te ontvangen (en te gebruiken natuurlijk). Maar een wifi-sniffer is bij mijn weten geen verboden ontvangstinrichting of een 'bijzondere' inspanning. Het is gewoon een radio-ontvanger die pakketgebaseerde informatie analyseert, geen speciaal geconstrueerd decodeerapparaat. Het lijkt me dus dat het sniffen van wifi als zodanig valt onder de uitzondering van vrije signalen.
Daarnaast zou je bij onderzoeken als deze ook kunnen stellen dat je bezig bent met journalistiek onderzoek, omdat je je resultaten publiceert om zo het publiek te informeren over een actueel maatschappelijk debat. En dan mag je ook best de grenzen van de strafwet opzoeken, zolang je maar niet verder gaat dan strikt nodig. Moet je bijvoorbeeld écht naar creditcards zoeken en die gegevens ook opslaan?
Google ligt met de Streetview-snifferauto's onder vuur. Of zij artikel 139c Strafrecht overtreden is nog niet duidelijk (ik heb niet gehoord dat er een strafzaak is aangespannen) maar het College bescherming persoonsgegevens heeft Google wel een last onder dwangsom opgelegd voor het verzamelen van privégegevens. Dat was in strijd met de Wet bescherming persoonsgegevens (Wbp). Daarbij speelde wel mee dat Google geen duidelijk doel kon aanwijzen voor haar gegevensverzameling. Een journalist die gegevens verzamelt voor een artikel en ze daarna weggooit, zou geen problemen onder de Wbp moeten verwachten.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
duszz. zelf even je netwerk kaart in master mode zetten, gateway en dhcp instellen en ap "gratis internet" noemen oid.
paar postrouting en forward rules in je firewall en men internet door jouw laptop heen en alles is te loggen.
is dit legaal?
uiteraard, men kiest er zelf voor om gebruik te maken van jouw netwerk faciliteit en het loggen van verkeer is als '(mini) provider' is zelfs verplicht bij wet ;)
Ik zal je zeggen dat de kans dat iemand dit merkt EN zelf slachtoffer is EN dan ook nog fysiek aggresief wordt wel een vreemd persoon is, meestal zou je het niet merken als je er kwetsbaar voor bent en meestal zijn de intelligenten onder ons ook niet zo aggresief.
gegevens zullen binnen stromen ^_^ :$
"Stel: Student zit te sniffen in trein. Stel: Ik zie het en ik zie ook dat mijn verkeer er tussen zit. Resultaat: Student met laptop die die nooit meer zal gebruiken en arbeidsongeschikt voor de rest van zijn leven. Ergo: We lossen dit niet juridisch op want dat duurt te lang in dit land."
Dat is wel juridisch op te lossen; jij draait voor jarenlang de bak in wegens zware lichamelijke mishandeling. Immers is jouw "oplossing" een zeer zwaar misdrijf (al denk jij zelf misschien dat je voor eigen rechter mag spelen, en dat de wet op jouzelf niet van toepassing is).
In de meeste gevallen heb je alleen dan het internetsignaal zelf.
Het is pas strafbaar volgens mij als je ook bij die gene van wie je het draadloze signaal ontvangt, ook bij zijn gegevens kan komen.
"Stel: Student zit te sniffen in trein. Stel: Ik zie het en ik zie ook dat mijn verkeer er tussen zit. Resultaat: Student met laptop die die nooit meer zal gebruiken en arbeidsongeschikt voor de rest van zijn leven. Ergo: We lossen dit niet juridisch op want dat duurt te lang in dit land."
Dat is wel juridisch op te lossen; jij draait voor jarenlang de bak in wegens zware lichamelijke mishandeling. Immers is jouw "oplossing" een zeer zwaar misdrijf (al denk jij zelf misschien dat je voor eigen rechter mag spelen, en dat de wet op jouzelf niet van toepassing is).
Hoe dan ook.... Als je pretendeert een 'mini' provider te zijn en dus het verkeer moet monitoren en opslaan, zal je ook aan de andere voorwaarden moeten voldoen. Het idee is leuk, maar een eigen weg aanleggen, mensen lokken om jouw weg te gebruiken en vervolgens de gegevens en statistieken gebruiken voor Joost-mag-weten-wat, zonder enige vorm van waarschuwing, overeenkomsten of wat dan ook, is vragen om problemen.
Ik vind het een bijzonder interessant onderzoek naar de beveiliging en privacy in de trein. Ik denk wel dat het handig is om van te voren het één en ander te overleggen met de NS. Je wilt dit verhaal niet uitleggen aan een boze conducteur die klachten krijgt van de mensen om je heen.
Tevens hoef je niet te gaan ARPspoofen (ookal kan dit wel), passief meeluisteren is fijner en minder intrusive. Arpspoofen en routeren is enkel voor de mensen die niet om kunnen gaan met draadloze netwerkkaartjes en monitoring :)
De meeste intercities zijn voorzien van meerdere wireless networks dus moet je gaan zitten waar de meeste mensen zitten. Het kwam tot een punt dat ik de krant of iets dergelijks erbij wou halen omdat het zo onveilig is maar heb nooit de moeite genomen.
Hier vind je een leuk scriptje wat ettercap, ssl strip en urlsnarf combineerd: http://pastebin.com/jrrdwij8
Ik hoop dat je met je onderzoek een statement kunt maken naar NS toe.
gl hf
Indien een mobiel apparaat van de werkgever; hopelijk hebben ze gedacht aan de beveiliging, https en 2-factor. Want anders ben je al binnen voordat de tunnel is opgezet en ga je gewoon lekker mee....(klopt dat dit wel wat meer werk is)
Als het apparaat prive is en je bent digibeet; bad luck als er iemand is die jouw machine wil verkloten of in het algemeen geen respect heeft voor eigendom (digitaal of fysiek)
Heb je wel - wat - verstand van beveiliging (of je doet wat er in veel computer bladen staat) dan spijker je je mobiele apparaat dicht, draait een sandbox, gebruik een proxy en tunnel je via een door jou beheerd pad.
En toch bekruipt mij het gevoel dat we zoveel vergeten; McD spoofed het mac wijdverbreid zodat de klant eenvoudig overal kan internetten, een xtra toegangspunt is zo opgezet...keyloggertje er tussen....
Nee, of internetten veilig in de trein kan is wel mijn minste zorg. Dreiging en risico zijn zo veel groter via al die andere (niet)officiele 'opstappunten'....Ergo; je zult beveiligen van je mobiele apparatuur (yep ook iPad, MAc, Android, MS, ios, symbian, etc.) zelf moeten doen als je van vrij beschikbaar internet gebruik wilt (blijven) maken...
Als provider hoef je verkeer niet te monitoren en al helemaal niet op te slaan. In feite ben je zelfs illegaal bezig als je dat doet terwijl je provider bent. Ja, het is toegestaan in bepaalde uitzonderingssituaties, zoals voor het oplossen van storingen, verkeer te bekijken, maar dan moet je maatregelen nemen om inbreuk op privacy te voorkomen. En opslaan is al helemaal problematisch.
En je vergelijking met een weg klopt wel. Er zijn bedrijven die wegen aanleggen, mensen er naartoe lokken, geld vragen en ook nog bijhouden hoeveel van wel soort verkeer er gebruik van maakt.
Peter
http://www.hak5.org/w/index.php/Jasager
http://www.hak5.org/w/index.php/Jasager
Dat gaat over de situatie in de VS, beste anoniem. Zie http://hakshop.com/pages/store-faq
Zelfs kan het verhaal wel anders liggen als ik het zou doen hier in Italië. Of het voordeliger is of nadeliger, geen idee.
Wat vindt Arnoud hiervan ?
De EU is namelijk juridisch nog niet zo goed georganiseerd als je zou wensen.
Zelfs binnen de Benelux is chaos meer regel dan uitzondering...
Als provider hoef je verkeer niet te monitoren en al helemaal niet op te slaan. In feite ben je zelfs illegaal bezig als je dat doet terwijl je provider bent. Ja, het is toegestaan in bepaalde uitzonderingssituaties, zoals voor het oplossen van storingen, verkeer te bekijken, maar dan moet je maatregelen nemen om inbreuk op privacy te voorkomen. En opslaan is al helemaal problematisch.
En je vergelijking met een weg klopt wel. Er zijn bedrijven die wegen aanleggen, mensen er naartoe lokken, geld vragen en ook nog bijhouden hoeveel van wel soort verkeer er gebruik van maakt.
Peter
Volgens mij is de bewaarplicht (06/24/EG) wel degelijk van kracht, die dus het loggen voorschijft.
André
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
