image

Juridische vraag: hoe waarschuw je eigenaar van lek systeem?

woensdag 13 november 2013, 10:36 door Arnoud Engelfriet, 24 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.

Vraag: Regelmatig kom ik netwerkschijven of draadloze netwerken tegen die niet goed beveiligd zijn. Je kunt met enkele simpele muisklikken gegevens zien van mensen die zelf denken dat ze goed voor de buitenwereld beveiligd zijn. Graag wil ik deze mensen helpen en ze vertellen dat ze een beveiligingsprobleem hebben. Aan de andere kant wil ik niet in de problemen komen en voorkomen dat een dag later de politie op de stoep staat. Wat zegt de wet hierover?

Antwoord: Het is helaas een feit dat veel mensen niet weten hoe zich te beveiligen, en voor mensen die dat wél weten ligt het dan nog wel eens voor de hand om die mensen dan maar even een handje te helpen. En die hulp varieert van een .txt bestandje achterlaten met "Dit is niet slim" of het SSID aanpassen tot proactief een wachtwoord op iemands netwerk zetten.

Formeel is het strafbaar om op iemand anders netwerk binnen te gaan, ook als je goede bedoelingen hebt. De wet noemt het "binnendringen" (art. 138ab Strafrecht) als je jezelf toegang verschaft tot een computer of netwerk terwijl je weet dat je daar niet mag zijn. Of de computer/het netwerk beveiligd zijn, is daarbij sinds 2008 niet meer van belang.

Heel misschien kan er hier toch een rechtvaardiging bestaan. De wet noemt namelijk in het algemeen het principe van 'zaakwaarneming' (art. 6:198 BW). Je mag andermans problemen gaan oplossen als daar een goede reden voor is en die persoon dat niet zelf kan doen. Als je buren op vakantie zijn en de kat zit hongerig alleen thuis, dan mag je de deur forceren en het dier naar een dierenarts of asiel brengen. (En de rekening is dan voor je buren.) Dat is dan geen inbraak maar een gerechtvaardigd binnentreden op grond van zaakwaarneming.

Als je dan zegt, het onbeveiligd zijn van het netwerk is net zo erg als het hongerig zijn van de kat, dan kun je daarmee rechtvaardigen dat je binnendringt in het onbeveiligde netwerk en dit gaat oplossen. Wel moet je dan zo min mogelijk schade toebrengen en de buurman informeren dat jij dit hebt gedaan. Ja, met je naam en 06 erbij dus want je bent geen crimineel maar een buurman met een beveiligingstip. Toch?

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (24)
13-11-2013, 11:31 door schele
Die laatste twee zinnen geven een foute insteek weer: als je iets anoniem wil doen zul je wel criminele intenties hebben.

In Nederland is de kans veel te groot dat een overijverige diender of rechter je veroordeelt terwijl je niets hebt beschadigd of vernield maar een regeltje overtreedt waar je alleen iets goeds mee wilt doen. Nee dank je, ik doe precies de dingen die je noemt (SSID aanpassen, screen saver, lock screen) ihkv awareness zonder iets te stelen of beschadigen en ik zal nooit mijn naam achterlaten.

Sowieso is het jammer dat, in een tijd waarin het eenvoudigweg geen goed idee is om in welke context dan ook te koop te lopen met je personsgegevens, anoniem altijd geassocieerd wordt met crimineel. Zal Anonymous ook wel voor iets tussen zitten.
13-11-2013, 11:43 door Anoniem
Ik denk dat je met SSID aanpassen al schade aanricht. Onwetende buurman heeft ineens geen internet meer want de laptop probeert met het oude SSID te verbinden. Onwetende buurman schakeld een duur betaalde monteur in om de boel weer te configureren zodat er weer een werkende situatie ontstaat. Zo is er dus financiele schade en zo zijn er nog wel meer zaken zoals bijvoorbeeld niet thuis kunnen werken en daarom een vrije dag op moeten nemen want kinderen etc...
En wat dacht je van de rekening die via internetbankieren ineens niet betaald kan worden en dus een verhoging er op krijgt?
Configuratie moet je dus gewoon van af blijven.
13-11-2013, 11:46 door Anoniem
Dat heet dus zaakwaarneming. Ik wist toevallig dat zoiets in Duitsland bestond, maar hier dus ook.

Lijkt me wellicht handig om netjes een log bij te houden van wat je precies doet (en van wanneer tot wanneer precies enzo) en dat achter de hand houdt (niet mee gaan zwaaien, natuurlijk) om eventeel gedonder snel de kop in te kunnen drukken. Het is namelijk niet denkbeeldig dat als je niet de eerste bent die zich al toegang verschaft heeft dat eventuele schade daarvan dan ineens op jouw conto geduwd worden.

De lijn tussen een goede daad verrichten en verontwaardigd beschuldigd worden van misdaad is maar dun hier, en kan makkelijk en op flinterdunne argumenten anders liggen dan je dacht. Zoals we hebben gezien met die recent wegens poging tot aandekaakstelling van gebrekkige informatiebeveiliging veroordeelde politicus.
13-11-2013, 13:15 door Anoniem
Door schele: Die laatste twee zinnen geven een foute insteek weer: als je iets anoniem wil doen zul je wel criminele intenties hebben.
Ja en nee.

Ja, je wordt te veel, te vaak, en te makkelijk geacht overal maar je hele identiteit aan te hangen, of dat nou nuttig is of niet. En daar moet inderdaad wat aan veranderen.

In dit geval, nee, je geeft je uit voor (ongevraagd!) zaakwaarnemer van een ander, en dan is het niet helemaal onredelijk dat die ander weet wie zich ongevraagd over zijn zaakjes ontfermd heeft. Zeker als daar een rekening van gemaakte kosten overheenkomt.

Dat dit in de praktijk risicos met zich meebrengt, onder andere wegens overijverende maar dysfunctionele en nauwlijks ter zake kundige overheid, doet aan het principe niet af.
13-11-2013, 13:26 door Anoniem
Je kunt ook gewoon de eigenaar mondeling van het manco in kennis stellen.
Heel simpel. Je kunt aangeven dat je het op kunt lossen.

Voordeel is dat de eigenaar je niet kan betichten van hinderlijke ongevraagde bemoeizucht.
En nog belangrijker een vervelende procedure tegen je beginnen en/of je nooit meer aankijken.
13-11-2013, 13:56 door Anoniem
@schele :

"Die laatste twee zinnen geven een foute insteek weer: als je iets anoniem wil doen zul je wel criminele intenties hebben. "

Heel simpel, je bent op dat moment ook de wet aan het overtreden. Wil jij mensen kunnen overtuigen van jouw goede bedoelingen, dan is het verbergen van je anonimiteit erg contraproductief. Ben je gewend verantwoording te nemen voor je eigen daden ? Probeer het eens te bekijken vanuit het oogpunt van de andere partij, van de politie of van een rechter.
13-11-2013, 13:59 door Anoniem
"Sowieso is het jammer dat, in een tijd waarin het eenvoudigweg geen goed idee is om in welke context dan ook te koop te lopen met je personsgegevens, anoniem altijd geassocieerd wordt met crimineel."

Je negeert wel voor het gemak dat het gaat om je identiteit te verbergen terwijl je daden aan het plegen bent die strikt genomen illegaal zijn. Indien jij je goede bedoelingen duidelijk wil maken, hoe denk je dat dan in hemelsnaam te kunnen doen indien je niet eens bereid bent je masker af te doen, en identificeerbaar te zijn ?
13-11-2013, 19:44 door Anoniem
Hoe zit dat dan met een 'public' directory op bijvoorbeeld een laptop danwel desktop die publiek benaderbaar is.

Zit je op een terras of elders en zie je dat de public directory van die andere laptop benaderbaar is en dat er bestanden in staan die de gebruiker daar waarschijnlijk niet heeft opgeslagen met het idee deze publiek toegankelijk te maken.
Pleeg je dan met het plaatsen van een waarschuwingstekstje in die public benaderbare directory ook computervredebreuk?
Mag je überhaupt de bestanden die daarin staan lezen op kopiëren?

Wat is de juridische status (no-go-area, publiek of publiek alleen met toestemming) van een public directory van iemand anders zijn laptop, desktop, netwerkschijf of zelfs bij de online opslagruimte die iemand krijgt van zijn provider ?
13-11-2013, 20:21 door schele - Bijgewerkt: 13-11-2013, 20:25
Kwestie van actie reactie: mensen die met open vizier strijden (lees: iedere klokkenluiders ooit, niet dat ik dit soort acties op dat niveau plaats, slechts als voorbeeld) zijn altijd de lul. Als ik ooit besluit met kennis naar buiten te treden of uit wanhoop zelf een systeem dan maar te beveiligen zal ik dat anoniem doen. Hoeveel white hatters die iets melden worden vervolgens zelf aangepakt?

Ik wou dat het open en transparant kon, maar er zijn te veel voorbeelden van mensen die dat bekopen met een veroordeling of zelfs celstraf. Nee dank je.
14-11-2013, 07:28 door SPlid - Bijgewerkt: 14-11-2013, 07:30
Arnoud,
zou je zelfs niet verplicht zijn om actie te ondernemen als er bij iemand zulke grote veiligheidsrisico's aanwezig zijn.

Ik zie dat dan analoog aan een openstaande deur, sleutels aan de buitenkant in een slot, een bank die het internetbankieren op een onjuiste manier heeft beveiligd. Iemand die in het water is gevallen en dreigt te verdrinken. Staat er in de wet dan niet dat je min of meer verplicht bent om dan in te grijpen ?

George
14-11-2013, 07:34 door Anoniem
"Zit je op een terras of elders en zie je dat de public directory van die andere laptop benaderbaar is en dat er bestanden in staan die de gebruiker daar waarschijnlijk niet heeft opgeslagen met het idee deze publiek toegankelijk te maken.
Pleeg je dan met het plaatsen van een waarschuwingstekstje in die public benaderbare directory ook computervredebreuk?"

De meeste proportionele werkwijze lijkt mij eerder om gewoon tegen die person te zeggen dat zijn spullen publiekelijk benaderbaar zijn. Waarom zou je die (legale) weg niet kiezen ?

"Mag je überhaupt de bestanden die daarin staan lezen op kopiëren? "

Nee natuurlijk niet. Draai de situatie eens om, indien het zou gaan om jouw (prive) bestanden. Denk jij dat een ander die willens en wetens mag lezen en kopieren wetende dat dit niet de bedoeling is ?

Of mag iemand jouw huis leegstelen, enkel omdat jij vergeten bent de voordeur achter je dicht te trekken ?
14-11-2013, 07:36 door Anoniem
"Ik zie dat dan analoog aan een openstaande deur, sleutels aan de buitenkant in een slot, een bank die het internetbankieren op een onjuiste manier heeft beveiligd. Iemand die in het water is gevallen en dreigt te verdrinken. Staat er in de wet dan niet dat je min of meer verplicht bent om dan in te grijpen ? "

Daarbij pleeg je geen illegale handeling; indien je lockpicking gaat doen om te kijken hoe sterk het slot is, dan is het een ander verhaal. En ingrijpen; ja. Maar insluipen is een heel ander verhaal. Je mag wel de politie bellen, of aanbellen om de bewoners te waarschuwen, maar je mag niet zomaar het huis inlopen.

Denk dus even goed na over hetgeen jij hier verstaat onder 'ingrijpen' en over de vraag hoe actief/passief jij bent bij het constateren van een probleem.
14-11-2013, 07:37 door Anoniem
"Kwestie van actie reactie: mensen die met open vizier strijden (lees: iedere klokkenluiders ooit, niet dat ik dit soort acties op dat niveau plaats, slechts als voorbeeld) zijn altijd de lul."

Lol, alsof je altijd wanneer je met open vizier strijdt wetten moet overtreden ?
14-11-2013, 09:48 door fvandillen
Heb ik laatst nog gehad, een openstaande iOmega schijf die alles op het internet liet zien. Stonden onwijs veel documenten op, inclusief belasting, financiële gegevens, wachtwoorden voor internetbankieren en meer. Heb toen bewust gezocht naar informatie die mij naar de eigenaar kon leiden. Deze heb ik vrij snel gevonden in de vorm van een mobiel nummer en een naam. Binnen 5 minuten had ik de beste man aan de lijn die erg opgelucht was dat iemand hem daarvan op de hoogte stelde.

Natuurlijk ben ik in principe strafbaar geweest, echter gezien de aard van de zichtbare gegevens vond ik de noodzaak om de eigenaar te waarschuwen en zijn belang daarbij zwaarder wegen dan mijn wetsovertreding.
14-11-2013, 09:55 door Anoniem
@fvandillen: Goed gedaan, en de meeste mensen stellen dat soort zaken ook erg op prijs.
14-11-2013, 10:00 door Anoniem
"Hoeveel white hatters die iets melden worden vervolgens zelf aangepakt?"

Een whitehatter is iemand die hackt met toestemming van de eigenaar van een systeem. Ongevraagd hacken is per definitie geen whitehat activiteit, eerder grayhat. Verder speelt de vraag in hoeverre je zelf te goeder trouw handelt in het kader van responsible disclosure ook een grote rol.

Het is iets heel anders indien je een bedrijf vertrouwelijk informeert over een probleem, en verder de verantwoording om daar al dan niet wat mee te doen bij hen laat liggen, of wanneer je bijvoorbeeld publiciteit zoekt, danwel een bedrijf daarmee onder druk probeert te zetten, of wanneer je geld gaat vragen voor je bevindingen waardoor het snel al lijkt op een poging tot chantage.

Vraag jezelf dus niet alleen hoe bedrijven om gaan met dit soort zaken, maar ook hoe ethisch jij zelf te werk gaat. Er zijn meer en meer bedrijven die goed om gaan met meldingen van mensen die zich houden aan de principes van responsible disclosure, en ook de overheid wil in dat geval veel minder snel overgaan tot vervolging.
14-11-2013, 10:34 door Anoniem
Door Anoniem 07:34 :
De meeste proportionele werkwijze lijkt mij eerder om gewoon tegen die person te zeggen dat zijn spullen publiekelijk benaderbaar zijn. Waarom zou je die (legale) weg niet kiezen ?"

Omdat het wat onpraktisch is op een openbare plek alle aanwezige mobiele werkers met een luchtig werk bookje te benaderen met vragen als of hij zij degene is met computernaam ..' , netwerknaam '..' en een Public directory met daarin '..' en '..' bestanden.
'Lichte' kans op een 'legale grote mond' en dito 'legale rel'.
Leuke (?) versiertruuk (?), doe maar niet, ietwat omzichtig en vervelend.

Mag je überhaupt de bestanden die daarin staan lezen op kopiëren?

Nee natuurlijk niet. Draai de situatie eens om, indien het zou gaan om jouw (prive) bestanden. Denk jij dat een ander die willens en wetens mag lezen en kopiëren wetende dat dit niet de bedoeling is ?

Een Public directory is om te 'sharen' ofwel bestanden te delen, wanneer die niet gelimiteerd is tot bepaalde gebruikers of met een wachtwoord beveiligd, zijn bestanden publiek zichtbaar en benaderbaar.
Mag je klagen dat iedereen online je 'smoelen verzameling' heeft bekeken omdat je je social account in zijn geheel voor al het publiek beschikbaar maakte?
De vraag is nogmaals wat de juridische status is van een publieke directory op een computer die enthousiast met wifi en (gevaarlijker nog) bluetooth zendend laat weten dat het met een publieke bestandenmap in de buurt is.

Of mag iemand jouw huis leegstelen, enkel omdat jij vergeten bent de voordeur achter je dicht te trekken ?

Mag je wel naar binnen als er op de voordeur een bord hangt; "Vrij toegankelijk voor publiek", of "Publieke ruimte", of kortweg "Publiek'? Zoek de verschillen met een map die Publiek heet en vrij benaderbaar is.

Mag iemand de spullen bekijken die jij op de stoep voor je huis of bovenop de heg van je tuin hebt uitgestald terwijl jij binnen zit? Wanneer besluit je aan te bellen met een controle vraag of het klopt dat spullen van x-waarde buiten staan uitgestald om te waarschuwen voor het risico van meenemen door derden?
Of denk je; "het staat er dus het is bedoeld voor wie er interesse in heeft"?

Met een waarschuwingsbriefje door de brievenbus zou niemand problemen hebben, al betreedt je het privé domein van het tuinpad en deponeer je 'een voorwerp' in privé-binnen-ruimte.
Een waarschuwings bestandje in een publieke directory op de computer van die ander zou ineens heel anders kunnen worden opgevat (schande, inbraak, hacking). Wat eigenlijk nogal onlogisch voorkomt als je het vergelijkt met een briefje door de brievenbus.

Een stapje verder in de mogelijke jurisprudentie van de 'ja'-consequentie hierbij, zou de vraag kunnen zijn in hoeverre 'blauwe mannetjes' al dan niet (nog) niet het recht hebben op jouw computer zaken te 'veranderen' of bestanden te plaatsen, ook al is het een (goedbedoelde ..) waarschuwing.
Een Public directory zit daar tussenin en biedt daarmee mogelijkheden, want zij is 'Public' en er zit een impliciete toestemming in, alleen al door de naamgeving en de benaderbaarheid (gebrek aan limitering).
Mag je daar zonder juridische schroom een bestand in plaatsen om te waarschuwen?
Ik vind ergens van wel, maar heb het liever niet (ik koop geen vuurwerk, dat scheelt al weer; welke waarschuwing mag wel/ is wel gewenst en welke niet? ).

Niet toegestaan natuurlijk, het plaatsen van malware of spyware in een Public directory van een ander, misschien wordt dat nog eens een inefficiënte of efficiënt gerichte (social engineering) hit.

Tot die tijd, In ieder geval monitoren die sharing voorkeuren en je Public directory.
14-11-2013, 15:05 door Anoniem
"Mag je wel naar binnen als er op de voordeur een bord hangt; "Vrij toegankelijk voor publiek", of "Publieke ruimte", of kortweg "Publiek'? Zoek de verschillen met een map die Publiek heet en vrij benaderbaar is."

In de situatie die jij omschrijft is het inderdaad niet erg duidelijk. Indien je een open wireless access point hebt, en prive bestanden hebt staan in een gedeelde public folder, dan kan je inderdaad beargumenteren dat het er op leek dat het de bedoeling was om de bestanden met de hele wereld te delen.

De juridische status is mij dan niet geheel duidelijk. Officieren van justitie hebben weleens de neiging om ervan uit te gaan dat een open access point per ongeluk open staat, en dat je dus per definitie ervan uit moet gaan dat je daar niet welkom bent. Echter zijn er nog altijd genoeg mensen die bewust en vrijwillig hun AP open zetten.
14-11-2013, 16:23 door maboc
Persoonlijk denk ik dat een textbestandje LEESMIJ.TXT wel terecht is (niet anonym). Als ik de mensen ken zal ik daar nooit toe over gaan, dan zal ik de mensen gewoon inlichten.

Dat dat textbestandje plaatsen niet volgens de wet is, realiseer ik mij maar al te goed. Maar ik zie de eerder genoemde politionele acties niet zo snel plaatsvinden. De meeste mensen vinden het fijn als ze geholpen worden. (Ik althans wel)

Het aanpassen van SSID of plaatsen van een screensaver of screenlocker gaat in mijn ogen zeker een brug te ver. Ik denk hierbij aan bv. mijn ouders of schoonouders. Wanneer deze niet meer op hun wireless kunnen, zijn zij echt niet in staat om op een modem in te loggen en te ontdekken dat de SSID is veranderd. Dat wordt wel degelijk een monteur die voor moet rijden.
En leren ze er dan wat van, NEE, want de techniek staat veel te ver van hun wereld af.

Bij voorbaat weet je niet op welk netwerk je terecht bent gekomen, dus enige voorzichtigheid met de te nemen acties lijkt mij op z'n plaats.
14-11-2013, 17:00 door Anoniem
Formeel is het strafbaar om op iemand anders netwerk binnen te gaan, ook als je goede bedoelingen hebt. De wet noemt het "binnendringen" (art. 138ab Strafrecht) als je jezelf toegang verschaft tot een computer of netwerk terwijl je weet dat je daar niet mag zijn. Of de computer/het netwerk beveiligd zijn, is daarbij sinds 2008 niet meer van belang.

Laat ik het zachtjes zeggen maar ik ben van de juridische kant.
Hou je aan het bovenstaande vast want zo gaat het werken.
Of ik nou m'n netwerk open heb staan of niet. Dat maak ik uit, U niet. Misschien doe ik het zelfs wel willens en wetens.
Waarschuwen zonder het systeem te benaderen mag altijd. Maar aankomen niet.
U bent in de wetenschap dat deze ruimte niet van u is. U mag daar dan ook niet komen. Punt.
Zie het als een soort art. 461 WBvSR.
15-11-2013, 10:05 door Anoniem
Je kunt eens kijken hoe verschillende organisaties met responsible disclosure omgaan:
https://www.ncsc.nl/dienstverlening/expertise-advies/kennisdeling/dossiers/responsible-disclosure

Als je bang bent dat de organisatie, waar je de lek van hebt gevonden, jou juridische problemen gaat veroorzaken, kun je het via NCSC doen:
https://www.ncsc.nl/security

Sommigen melden bij NCSC Microsoft kwetsbaarheden aan omdat ze Microsoft zelf niet vertrouwen.

Peter
16-11-2013, 10:10 door [Account Verwijderd]
[Verwijderd]
16-11-2013, 13:24 door Anoniem
Peter V. en jij denkt dat je nog steeds anoniem kunt zijn op internet?
Het aanwezig zijn op internet is al genoeg om je gegevens, traceerbaar, achter te laten.

Ook het ongevraagd toegang verschaffen tot een ander zijn netwerk kan als ongewenst ervaren worden en reden zijn voor een aangifte.
Die aangifte moet door Politie en vervolgens Justitie in behandeling worden genomen.
Dat is dus niet aan een, wat jij noemt een overijverige diender, maar aan de beheerder van het netwerk.
Die doet zo gewenst de aangifte, bij een tot daartoe bevoegd ambtenaar (Politie), waarop de zaak gaat draaien en jij in beeld komt.
Daarop volgt een aanklacht tegen jou door het O.M. en komt er een rechtzaak.
De rechter bepaald de strafmaat en/ of het een seponering wordt.
(Simpel uitgelegd)

Gewoon niet doen. Er zijn nog genoeg andere wegen te bewandelen. En dan zullen ze er waarschijnlijk blij mee zijn.
Je zegt zelf al dat het maar één regeltje is wat je overtreed. Dat regeltje is er niet voor niets en staat niet alléén. Dat regeltje bepaald ook jou vrijheid.en bescherming tegen andere individuen.

Maar goed ik begrijp uit je internet ijver dat je toch door zal gaan en dat is natuurlijk aan jou.
Maar zeg nooit dat je niet voldoende door anderen en mij gewaarschuwd bent.
23-03-2014, 16:52 door Anoniem
Ik vind het allemaal heel moeilijk. Ik wilde mijn NAS gaan verbinden met een FTP server, en ontdekte dat dit een behoorlijk achterhaald systeem is en zeer kwetsbaar. Via FTP zoekmachines kun je bijvoorbeeld open bestanden vinden (films, muziek) om te downloaden, maar je ontdekt ook privacy gevoelige zaken. Ik kom vakantiefoto's tegen, maar ook documenten en financiële gegevens. Het kan gewoon niet zo zijn dat mensen dit bewust met iedereen delen. Ik loop al weken met het vraagstuk rond hoe en of ik deze mensen moet informeren. Mijn omgeving zegt dan: 'doen ze toch zelf...'. Ik vind het moeilijk. Straks word ik veroordeeld. Ik weet niet wat ik doen moet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.