Waarom is het gebruik van een wifi-wachtwoord voor een ander doel computervredebreuk?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Een 51-jarige man die als schoonmaker een verborgen camera plaatste en die koppelde met het wifi-netwerk van zijn slachtoffer heeft zich onder andere schuldig gemaakt aan computervredebreuk, meldde Security.nl onlangs. Maar hij had het wachtwoord gekregen van het slachtoffer (voor muziek onder het werk). Ik snap de verdere veroordelingen maar hoezo computervredebreuk?
Antwoord: De rechtbank Amsterdam veroordeelde de man eind augustus tot 10 maanden cel (4 voorwaardelijk) voor binnendringen op het netwerk van het slachtoffer, plus met een verborgen camera intieme beelden maken in de slaapkamer. Wederrechtelijk binnendringen in iemands netwerk is sinds een jaar of tien computervredebreuk (voor die tijd was er nog wel eens discussie of een netwerk een "geautomatiseerd werk" is in de zin van de wet).
De verborgen camera was aan het wifi-netwerk van het huis gekoppeld; de man had het wachtwoord gekregen zodat hij tijdens het werk naar muziek kon luisteren. Je zou dus zeggen dat hij legaal op het netwerk mocht zijn, maar dat ligt in Nederland subtieler:
Nu verdachte het wifi-wachtwoord heeft gebruikt met een ander doel dan waarvoor deze aan hem was verstrekt is de rechtbank van oordeel dat verdachte opzettelijk wederrechtelijk is binnengedrongen in een geautomatiseerd werk (de router dan wel het wifi-netwerk), door middel van een valse sleutel.
In Nederland kijken we namelijk naar het doel van je geautoriseerd gebruik. In 2019 hadden we bijvoorbeeld wijkagent Jan die mensen natrok, wat de grenzen van zijn autorisatie ver te buiten ging en daarom computervredebreuk opleverde. In een oudere zaak werd het aanbieden van vervalste opdrachten aan een bank géén computervredebreuk genoemd: de aanbieder was bevoegd om opdrachten aan te bieden, en dat die inhoudelijk vals waren, is dan niet meer relevant.
Het wil dus niet zeggen dat wanneer je autorisatie tot X hebt, dat dan ieder gebruik dat de letter van X te buiten gaat, automatisch computervredebreuk is. Had de man het wifi-wachtwoord gebruikt om ook te kunnen internetten (even Buienradar bekijken of googelen hoe je balpen van een houten tafel krijgt) dan zou ik er zeer veel moeite mee hebben gehad als dat computervredebreuk zou opleveren.
Hier zou ik het ook zeker wel "vér te buiten" vinden gaan, de sprong van "mag ik muziek luisteren via je netwerk" naar stiekem een ip-camera via dat netwerk laten werken die met een bewegingssensor geactiveerd wordt is hoe dan ook te groot.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Het enige wat de gebruiker weet is dat er connectivity is. Heeft een device, zoals een mobiel, ook nog 3-4-5G toegang, dan is er bijna altijd connectivity. Van de gebruiker uit gezien: Hij doet het gewoon.
Er bevinden zich wachtwoorden die soms al jaren gelden gegeven zijn. Een device vraagt doorgaans eenmalig een wachtwoord, maar opslaan met welk doel deze wifi gebruikt kan worden zit nooit in de user interface. Een wachtwoord vervalt daarnaast niet als de verbinding verbreekt. De device bewaart hem gewoon en gebruikt hem ongevraagd wanneer het device dat beslist. Niet de gebruiker.
Je moet dus maar zien te onthouden waarvoor je 2 jaar geleden een wifi wachtwoord kreeg. Van een immer groeiende lijst. En daarnaast vaardig zijn om dynamisch te kunnen monitoren waar je nu weer verbonden bent met internet.
Tot zover de mij bekende feiten. Mijn mening: Je kunt van de gebruiker niet verwachten alle toestemmingen uit zijn hoofd te kennen, en ook niet eisen dat de gebruiker over systeembeheerderskwaliteiten beschikt. Je kunt van de gebruiker niet verwachten dat wifigebruiksvoorwaarden worden opgevolgd. Een wifi aanbieder mag daarom zijn wachtwoord niet geven onder condities, of moet anders maar erbij blijven en erop toezien dat na gebruik (bijvoorbeeld het muziek luisteren) het wachtwoord weer wordt gewist. Over het vonnis boven geen idee, want ik ken de details niet. De precedentwerking voor de jurisprudentie is echter zorgelijk te noemen en is het gevolg van een onzorgvuldige rechter die onvoldoende heeft doorgevraagd.
Het enige wat de gebruiker weet is dat er connectivity is. Heeft een device, zoals een mobiel, ook nog 3-4-5G toegang, dan is er bijna altijd connectivity. Van de gebruiker uit gezien: Hij doet het gewoon.
Er bevinden zich wachtwoorden die soms al jaren gelden gegeven zijn. Een device vraagt doorgaans eenmalig een wachtwoord, maar opslaan met welk doel deze wifi gebruikt kan worden zit nooit in de user interface. Een wachtwoord vervalt daarnaast niet als de verbinding verbreekt. De device bewaart hem gewoon en gebruikt hem ongevraagd wanneer het device dat beslist. Niet de gebruiker.
Je moet dus maar zien te onthouden waarvoor je 2 jaar geleden een wifi wachtwoord kreeg. Van een immer groeiende lijst. En daarnaast vaardig zijn om dynamisch te kunnen monitoren waar je nu weer verbonden bent met internet.
Tot zover de mij bekende feiten. Mijn mening: Je kunt van de gebruiker niet verwachten alle toestemmingen uit zijn hoofd te kennen, en ook niet eisen dat de gebruiker over systeembeheerderskwaliteiten beschikt. Je kunt van de gebruiker niet verwachten dat wifigebruiksvoorwaarden worden opgevolgd. Een wifi aanbieder mag daarom zijn wachtwoord niet geven onder condities, of moet anders maar erbij blijven en erop toezien dat na gebruik (bijvoorbeeld het muziek luisteren) het wachtwoord weer wordt gewist. Over het vonnis boven geen idee, want ik ken de details niet. De precedentwerking voor de jurisprudentie is echter zorgelijk te noemen en is het gevolg van een onzorgvuldige rechter die onvoldoende heeft doorgevraagd.
Er bevinden zich wachtwoorden die soms al jaren gelden gegeven zijn. Een device vraagt doorgaans eenmalig een wachtwoord, maar opslaan met welk doel deze wifi gebruikt kan worden zit nooit in de user interface. Een wachtwoord vervalt daarnaast niet als de verbinding verbreekt. De device bewaart hem gewoon en gebruikt hem ongevraagd wanneer het device dat beslist. Niet de gebruiker.
Je moet dus maar zien te onthouden waarvoor je 2 jaar geleden een wifi wachtwoord kreeg. Van een immer groeiende lijst. En daarnaast vaardig zijn om dynamisch te kunnen monitoren waar je nu weer verbonden bent met internet.
Hierover wil ik twee dingen opmerken:
1. ja het zuigt inderdaad dat je in veel "beheer" omgevingen helemaal geen plek hebt om te noteren voor welk doel of met
welke achtergrond een item is toegevoegd. en een einddatum of geldigheidsduur, zodat je zaken automatisch kunt
laten verwijderen als ze niet meer relevant zijn. je voegt het wifi netwerk van de camping toe voor 2 weken en als je
weg bent verdwijnt dat gewoon weer. of je zet ergens op een bestand extra toegangsrechten voor iemand die er bij
moet kunnen tijdens vervanging wegens ziekte en je noteert daarbij die reden en een voorlopige einddatum. het zou in
deze tijd waarin niet meer ieder byte goud waard is tijd worden dat dit soort mogelijkheden altijd en overal worden
toegevoegd aan beheeromgevingen!
2. je moet niet alles direct als IT'er zien. stel jouw buren geven jou de sleutel van hun huis, zodat je de planten water
kunt geven terwijl ze op vakantie zijn. je mag de sleutel na de vakantie houden voor bijzondere situaties, bijvoorbeeld
ze hebben zichzelf buitengesloten of er is iets aan de hand terwijl ze niet thuis zijn waarvoor het handig is als er iemand
naar binnen kan. ga jij je nu na 2 jaar afvragen waarom je die sleutel eigenlijk hebt, en ga je als ze er een keer niet
zijn naar binnen om er iets te stelen of om een camera te monteren in hun slaapkamer? want je wist niet meer waarvoor
je die sleutel had dus misschien was het wel daarvoor?
nee, natuurlijk niet. je denkt na als een redelijk mens. je snapt waarvoor die sleutel is en dat ie daar niet voor is.
Inderaad.
Hoezo wifi nodig voor muziek? Zet je de flac bestanden maar op je telefoon zou ik zeggen. Hebben we het over het milieu, blijven we bezig onnodig energie te verspillen door continu te gaan streamen wanneer het niet eens noodzakelijk is.
Ook gaar als je al niet eens je schoonmaker kunt vertrouwen tegenwoordig.
in een slaapkamer" en is die wifi er alleen zijdelings bij betrokken. Als zijn camera via een 4G kaartje werkte dan was
het ook niet toelaatbaar geweest.
in een slaapkamer" en is die wifi er alleen zijdelings bij betrokken. Als zijn camera via een 4G kaartje werkte dan was
het ook niet toelaatbaar geweest.
Dat kan impliceren dat de rechter er minder relevante zaken bij heeft verzwaard met het wegen voor vonnis en strafmaat. En dat is onzorgvuldig omdat het doorwerkt in het recht. Want nu kan jan en alleman veroordeeld worden wegens computervredebreuk wegen niet voldoen aan wifi user conditions. Voor 10 maanden.
in een slaapkamer" en is die wifi er alleen zijdelings bij betrokken. Als zijn camera via een 4G kaartje werkte dan was
het ook niet toelaatbaar geweest.
Dat kan impliceren dat de rechter er minder relevante zaken bij heeft verzwaard met het wegen voor vonnis en strafmaat. En dat is onzorgvuldig omdat het doorwerkt in het recht. Want nu kan jan en alleman veroordeeld worden wegens computervredebreuk wegen niet voldoen aan wifi user conditions. Voor 10 maanden.
Welnee, een rechter is geen IT nerd die wat google'd en zonder naar de context te kijken meteen het antwoord weet!
Ik meen dat dit niet klopt. De sleutel is niet vals (verkregen). De crux zit hem hier in wederrechtelijk. De sleutel is in je beheer voor een bepaald afgesproken doel; wordt hiervan afgeweken dan is het gebruik ervan wederrechtelijk (niet vlgs de afspraken cq wet)
Kijk dan. Eén zo een vonnis is het burgert al in als "wifi overtreding".
Kijk dan. Eén zo een vonnis is het burgert al in als "wifi overtreding".
Ik probeer je te begrijpen, naar snap niet wat er staat....
het meteen veel breder te trekken en er andere dingen bij te halen?
Het wetboek van strafrecht definieert (art. 90) een valse sleutel als "een tot opening van een bepaald slot niet bestemd werktuig". Het gaat dus om bestemming, doel. Dus als je afwijkt van het afgesproken doel dan is de sleutel in het juridisch jargon "vals". Negeer dus de Van Dale betekenis of het jargon onder sleutelmakers. Een sleutel die je voor een niet bedoeld gebruik inzet, noemen we bij de rechter een valse sleutel. Ook al is ie echt, ook al mocht je hem voor andere doelen wel inzetten en ook al is het slechts een ijzerdraadje of een lockpickset.
Dat staat los van de vraag of je wederrechtelijk naar binnen gaat. Als ik jouw voordeursleutel heb om de plantjes water te geven, en ik ga naar binnen om een brand te blussen, dan gebruik ik een valse sleutel maar ben ik er niet wederrechtelijk.
Het enige wat de gebruiker weet is dat er connectivity is. Heeft een device, zoals een mobiel, ook nog 3-4-5G toegang, dan is er bijna altijd connectivity. Van de gebruiker uit gezien: Hij doet het gewoon.
Er bevinden zich wachtwoorden die soms al jaren gelden gegeven zijn. Een device vraagt doorgaans eenmalig een wachtwoord, maar opslaan met welk doel deze wifi gebruikt kan worden zit nooit in de user interface. Een wachtwoord vervalt daarnaast niet als de verbinding verbreekt. De device bewaart hem gewoon en gebruikt hem ongevraagd wanneer het device dat beslist. Niet de gebruiker.
Je moet dus maar zien te onthouden waarvoor je 2 jaar geleden een wifi wachtwoord kreeg. Van een immer groeiende lijst. En daarnaast vaardig zijn om dynamisch te kunnen monitoren waar je nu weer verbonden bent met internet.
Tot zover de mij bekende feiten. Mijn mening: Je kunt van de gebruiker niet verwachten alle toestemmingen uit zijn hoofd te kennen, en ook niet eisen dat de gebruiker over systeembeheerderskwaliteiten beschikt. Je kunt van de gebruiker niet verwachten dat wifigebruiksvoorwaarden worden opgevolgd. Een wifi aanbieder mag daarom zijn wachtwoord niet geven onder condities, of moet anders maar erbij blijven en erop toezien dat na gebruik (bijvoorbeeld het muziek luisteren) het wachtwoord weer wordt gewist. Over het vonnis boven geen idee, want ik ken de details niet. De precedentwerking voor de jurisprudentie is echter zorgelijk te noemen en is het gevolg van een onzorgvuldige rechter die onvoldoende heeft doorgevraagd.
Hallo. even bij de les blijven aub.....
die IP camera heeft niets te maken met muziek luisteren. Wel met proberen video te zien/ op te nemen van iemand in zijn/haar slaapkamer, waar natuurlijk geen toestemming voor is gegeven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?