Juridische vraag: is het draaien van een Tor exit-node strafbaar?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: In dit artikel loopt een discussie over de legaliteit van een Tor exit-node. Ben je strafbaar als iemand via jouw exit node strafbare feiten pleegt?
Antwoord: Het is op zich niet strafbaar om een Tor exit-node te draaien. Het zou kunnen dat je provider het verbiedt in hun voorwaarden, dus dan zou je contractbreuk plegen. Maar het moet er dan expliciet staan, bijvoorbeeld als "Verboden je verbinding te sharen met derden buiten je huisgenoten".
Het kan gebeuren dat iemand strafbare feiten pleegt via die exit-node. Dan komt de politie uit bij jouw IP-adres en dan heb jij wat uit te leggen. Je bent niet automatisch strafbaar voor al hetgeen er via jouw exit-node gebeurt. Voor strafbaarheid moet meestal sprake zijn van opzet, en anders minstens van (grove) nalatigheid. Zou iemand een smadelijk bericht posten via die exit node, dan ben jij daar niet voor vervolgbaar want jouw bedoeling was niet dat dat bericht geplaatst zou worden.
De wet kent echter ook het concept ‘voorwaardelijke opzet’. Kort gezegd “dat had je toch moeten weten dat dat kon gebeuren”, en in fraai juridisch “de aanmerkelijke kans aanvaardend dat”. Als je een exit node opzet die je zelf met firewallregels zo instelt dat hij alléén een Russische kinderpornosite kan bereiken, tja dan aanvaard je de aanmerkelijke kans dat mensen kinderporno gaan opvragen of plaatsen. Ook als je mee gaat kijken met het verkeer over je exit node, en je ziet opvallend veel verkeer naar zo’n site, dan kun je strafrechtelijk aansprakelijk worden. Je weet dan dat de node misbruikt wordt, en dan moet je ook iets doen met die kennis.
De vraag is natuurlijk waar die grens ligt. Heb je voorwaardelijke opzet als je géén spamfilter instelt als je uitgaand SMTP verkeer faciliteert? Was het je bedoeling dat er auteursrechtschendende films verspreid worden als je een exit node maakt die naar Youtube mag en verder niets?
Daarnaast is theoretisch nog verdedigbaar dat de partij die een exit node beheert, juridisch dezelfde rol heeft als een internetprovider als xs4all of KPN. Die zijn ook niet aansprakelijk voor wat er over hun verbinding gaat.
Er is nog nooit een rechtszaak geweest over iemand die alleen een Tor-node opereerde, en ik denk ook niet dat het snel zal gebeuren. Maar ja, je neemt een praktisch risico gearresteerd te worden en je pc's, laptops en telefoons voor lange tijd kwijt te raken. Plus wat zullen de buren zeggen.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Zo ook met spamfilteren. Lijkt me niet dat je dat in je tor-doorgeefluik wil hebben. Als de uiteindelijke ontvanger dat doet is dat (kennelijk) in het belang van degene met de mailbox--vandaar ook dat xs4all je toelaat in te stellen hoe voor jouw inbox te filteren. Je houdt dan een keuze om alles door te laten... of helemaal niets. Je zegt gewoon "mail faciliteren we niet", poort 25 gaat dicht, en dat was het dan. Buiten dat je tor exit node binnen de kortste keren in allerlei spamblokkeerlijsten terecht gaat komen, als hij er al niet in stond wegens "residentieel adres".
Als bijopmerking, spamblokkeerlijsten zijn dan ook niet geschikt om ergens anders voor te gebruiken, zoals om forumspam te blokkeren, webchats op te schonen, dat soort dingen. Daar pak je een hele hoop legitieme gebruikers mee die wellicht geen alternatief hebben. Toch gebeurt het regelmatig.
oh? Van te voren bij de politie langsgaan als je een tor exit node wilt draaien/draait? En dat is nuttig want?
Vreemde vraag, immers staan op Youtube ontzettend veel niet auteursrechtschendende films. Daarnaast zou het de verantwoording moeten zijn van Google als eigenaar om de rechten fatsoenlijk te regelen, en niet van mensen die linken naar Youtube, of dat nou is d.m.v. een TOR exit node die enkel naar Youtube mag, of door het gebruik maken van embedded video.
Zou je er juridisch niet vanuit moeten kunnen gaan dat een multinational zoals Google haar zaken op orde heeft, en zou de verantwoordelijkheid voor eventuele schendingen van auteursrechten niet 100% bij Google moeten liggen, en niet bij consumenten die nietsvermoedend linken naar Youtube ?
Ik heb geen inzage in de vraag welke rechten Youtube (Google) wel/niet heeft op de content die zij aanbieden, en voor een consument zou die vraag ook irrelevant moeten zijn.
En het opzetten van een TOR exit node is geen opzet of grove nalatigheid?
Als je zo iets doet dan weet je toch dat er naast die ene nepalese activist die zich voor china verborgen moet houden
minstens 1000 hackers en andere vervelende jongetjes jouw systeem als uitvalsbasis voor hun malversaties gaan
gebruiken?
Ik vind het net zo iets als je auto met draaiende motor achterlaten naast een pleintje met hangende pubers.
Als er dan een in springt en iemand dood rijdt dan heb je ook een zware dobber voor de rechter, hoor...
Wat denk je dat de politie zegt wanneer je komt melden dat je een TOR exit node draait ? Ik denk toch niet dat ze iets gaan doen met die informatie. Het klinkt leuk, maar ik denk dat het nutteloos is om dit te proberen. Je melding zal nimmer terecht komen bij de mensen bij de politie die uiteindelijk mogelijk op kwaadaardig verkeer vanaf je IP reageren.
Youtube is wel degelijk verantwoordelijk voor de vraag of content die -zij- hosten, en waar jij en ik mogelijk naartoe linken, bijvoorbeeld door een embedded Youtube clip.
De copyrightmonopolisten waarover je het hebt proberen de gebruiker juist wel verantwoordelijk te stellen, zowel om deze juridisch aansprakelijk te stellen, als ook om te proberen geld te incasseren bij de eindgebruiker wegens het gebruik van Youtube's content, terwijl die gebruiker helemaal niet beschikt over de content; deze staat op de servers van Youtube (Google).
Zou je bij de consument niet uit kunnen gaan van een ''voorwaardelijke aanname'' dat indien een legitiem bedrijf als Google dit soort content biedt, zij dit op een legale wijze doen ?
Dat is een hele andere situatie in vergelijking met het zelf uploaden van materiaal naar Youtube, daarbij heb je natuurlijk wel een verantwoordelijkheid.
Komt toch een beetje op hetzelfde neer ?
Als je zo iets doet dan weet je toch dat er naast die ene nepalese activist die zich voor china verborgen moet houden
minstens 1000 hackers en andere vervelende jongetjes jouw systeem als uitvalsbasis voor hun malversaties gaan
gebruiken?
Goh. Kan je ook kwantificeren hoeveel mensen van Tor gebruik maken, geen vlieg kwaad doen en misschien wel een hele goede reden hebben om het te gebruiken, en hoeveel er zijn die Tor op welke manier dan ook misbruiken? Ik vind het nogal wat om er zomaar vanuit te gaan dat het merendeel van de Tor gebruikers het netwerk misbruikt.
Ik ken de getallen niet, en er zal zeker misbruik van Tor worden gemaakt, maar misschien ligt de verhouding iets anders dan je denkt.
Daar moest ik wel even om glimlachen.
Tja, en waarom denk je dat je volgende keer niet afgesloten zou moeten worden ? Jij draagt zelf wel verantwoordelijkheid voor hetgeen gebeurt vanaf jouw IP (wat los staat van juridische aansprakelijkheid).
Zou jij verbaast zijn indien je bijvoorbeeld niet meer kan internetbankieren vanaf een IP dat tevens dient als TOR exit node, of buitengesloten wordt van andere diensten, vanwege het feit dat derden jouw IP gebruiken t.b.v. hacking activiteiten ?
Zou je het onterecht vinden indien jouw IP op blacklists terecht komt door activiteiten van derden, waar jij uiteindelijk met de gevolgen zit ?
TOR heeft heel veel goede kanten, zoals het faciliteren van communicatie van mensenrechten activisten en dissident. Het zal echter ook ter kwader trouw gebruikt blijven worden, en als beheerder van een exit node heb je wel te maken met de gevolgen die dergelijke activiteiten kunnen hebben.
gebruiken?
Zoals bijvoorbeeld het misdrijf van groepsbelediging van TOR-gebruikers?
Veel beter.
Reactie van de politie:
"Jah do iest de Tor, oent jets exit"
Wat heeft dat te maken met de vraag of jij als gebruiker verantwoordelijk bent indien je linkt naar content die jij niet host, maar Google. Ik stel nergens dat je als uploader van content geen aansprakelijkheid hebt, maar dat is een geheel andere discussie.
Dan kunnen mensen toch op jouw site komen via het tor-netwerk en je hebt minimale kans op misbruik via de exit-node.
Bijkomend voordeel is dat het volledige pad van het tor-verkeer niet te onderscheppen is, danwel te ondermijnen via man-in-the-middle achtige attacks.
Of zie ik iets over het hoofd?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
