Juridische vraag: mag je pc met welkomsttekst hacken?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: Bij een loginprompt zie je vaak "Verboden toegang voor onbevoegden" of iets
dergelijks. Nu hoorde ik dat als je daar "Welkom" neerzet, het legaal zou zijn om bijvoorbeeld via wachtwoord raden binnen te dringen. Immers wie welkom is, is niet illegaal. Klopt dat?
Antwoord: Nee, dat klopt niet. Een deurmat met "Welkom" geeft inbrekers ook geen bevoegdheid mijn deur open te breken met een koevoet.
Als de deur ópen zou staan en er hangt een bordje "Welkom", ja dan zou je misschien kunnen denken dat iedereen uitgenodigd is op een buurtfeestje of open barbecue. Het digitale equivalent daarvan zou dan een "Welkom"-banner met een gast/gast logincombinatie.
De wet stelt 'binnendringen' in een computersysteem strafbaar. Het is daarbij nodig dat op een of andere manier blijkt dat je op verboden terrein bent. (Vroegâh had je zelfs een beveiliging nodig die moest worden doorbroken, nu niet meer.) Zo'n loginbanner is dus het digitale equivalent van het art. 461 Strafrecht-bordje. Meer dan “verboden toegang voor onbevoegden”* als tekst zou niet nodig moeten zijn.
Is er een gastaccount, dan ben je niet onbevoegd als je daarop inlogt. Misschien als er duidelijk is gezegd wíe er als gast naar binnen mag, maar dat heb ik eerlijk gezegd nog nooit gezien. Een beetje beheerder timmert een gastaccount ook zodanig dicht dat een ongewenste gast toch niets geks uit kan halen, dus waarom zou je ook?
Zie ook mijn Juridische Vraag uit 2012. over de rechtsgeldigheid van de Message of the Day.
*En volgens mij zelfs dat niet want het spreekt voor zich dat ONbevoegden niet naar binnen mogen. Vlakbij mijn kantoor staat een geel verkeersbord met de tekst "Te hard rijden is verboden". Joh.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Ironisch genoeg komt vervolgens een collega aan met "ik wil op ons wifi netwerk een algemene voorwaarden scherm neerzetten". Volgensmij was mijn reactie van "nee hè" niet helemaal politiek correct, maar hij snapte het wel :P
Haha inderdaad, maar toch zie je dat ontzettend veel. Kijk bijvoorbeeld ook naar de algemene voorwaarden die op websites gelden, waar je meer akkoord moet gaan wanneer je een contract afsluit bij een telco, waar je mee akkoord moet gaan wanneer je een of andere hotspot gebruikt (zelfs wanneer je ervoor betaalt vaak), enz.
Ironisch genoeg komt vervolgens een collega aan met "ik wil op ons wifi netwerk een algemene voorwaarden scherm neerzetten". Volgensmij was mijn reactie van "nee hè" niet helemaal politiek correct, maar hij snapte het wel :P
Wat ik bedoelde is dat je heel vaak in die voorwaarden ziet staan wat er in de wet al lang is vastgelegd. Dingen als het systeem niet platleggen, andere gebruikers niet hacken, enz. De overeenkomst tussen wat Arnoud zei en wat ik zei is dat in beide gevallen herhaald wordt wat gewoon in de wet staat.
Het is zelden dat in algemene voorwaarden iets staat dat een echte toegevoegde waarde heeft ten opzichte van wat in de wet al is vastgelegd, of wat je redelijkerwijs kunt verwachten van een dienst om te leveren.
Wat heeft ''welkom'' te maken met de vraag of jij een account van iemand anders zou mogen hacken ? De vraag is redelijk bizar te noemen. Indien er welkom staat, waarbij je als guest/anoniem in mag loggen, dan wil dat nog niet zeggen dat je een account mag gaan hacken.
Indien er bij een bioscoop ''welkom'' op de voordeur staat, dan mag je in het gebouw toch ook geen sloten van deuren gaan openbreken, of andere illegale handelingen in dat gebouw plegen ?
Diezelfde mails hebben e-maildisclaimers van drie kilometer dus wellicht zijn die twee dingen op hetzelfde gebaseerd.
Hoe ga juridisch gezien om met websites die open en bloot toegankelijk zijn, maar waarvan je 'morele kompas' zegt: "Deze website slecht/niet beveiligd en eigenlijk is de informatie niet voor mij bedoeld"
Er hangt dus geen digitaal welkombord, maar ook geen - verboden-toegangbord.
Voorbeelden zijn.
Printer status informatie sites, soms is het mogelijk om gescande documenten nog op te halen.
Media Centres. Je kunt eenvoudig zien wat er allemaal voor films 'verkregen' zijn.
Webcams.
NAS apparatuur.
Meetapparatuur
(Voor insiders is het een peuleschil om dit soort websites te achterhalen!)
Juridisch gezien ben je niet 'binnengedrongen', je hebt niets vernield, geen 'gevoelige' informatie gedownload en geen aanpassingen gemaakt. Kortom: alleen gekeken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
