Mag je gratis betaald internetten met een covert channel?

| AE 8598 | Beveiliging, Hacken | 9 reacties

wifi-hotel.pngEen lezer vroeg me:

Als ik in een hotel wil internetten, moet ik betalen. Maar met tools zoals Iodine of PingTunnel kun je via een oneigenlijke weg alsnog gratis internet op. Is dat computervredebreuk?

Van computervredebreuk is sprake als je binnendringt in een computer. Het is strikt gesproken niet nodig dat je een beveiliging omzeilt, maar in de praktijk komt het daar vaak wel op neer. Het gaat er juridisch om of je ‘wederrechtelijk’ in die computer actief bent, oftewel dingen doet die niet mogen.

Meesurfen met andermans internetverbinding wordt gezien als binnendringen in de router, en daarmee als computervredebreuk. Dat bepaalde de Hoge Raad in 2013. Het binnendringen zit hem hier in het versturen en ontvangen van gegevens op een manier waar je niet toe geautoriseerd bent.

Los daarvan is het strafbaar om hulpmiddelen of gegevens om gratis toegang te krijgen tot betaaldiensten te gebruiken. Hetzelfde geldt voor het aanbieden of bewaren van dergelijke middelen, alleen moet dat dan wel uit winstbejag gebeuren. Een betaalde internetdienst gratis gebruiken lijkt me ook onder dit artikel strafbaar.

Natuurlijk is het maar zeer de vraag of je wordt betrapt met dergelijke diensten. Vrij weinig partijen loggen ICMP of DNS verkeer met het doel om dit soort meeliftdiensten op te sporen. Maar als men het doet én aangifte doorzet, dan heb je een serieus probleem.

Arnoud

Is het eigendomsrecht een probleem op internet? #VrijMoReFi

| AE 8608 | Internetrecht | 21 reacties

internetrechtHeel lang geleden, toen bits nog van hout waren, kwam hackervereniging Hack-Tic met De Digitale Stad. DDS streefde naar een laagdrempelig internet met toegang voor iedereen. De opzet was die van een stad: je bezocht cafés om te kletsen of een bibliotheek om wat te lezen, op pleinen ging je met elkaar in discussie en bij het postkantoor ontving en verzond je digitale post. Een hele logische analogie om het concept ‘internet’ te verkopen. De analogie zie je nog steeds terugkomen bij allerlei internet(recht-)discussies: internet is een openbare ruimte of een global village. Alleen met een belangrijk verschil: internet is vrijwel volledig in private handen, in tegenstelling tot de meeste steden. Wat doet dat met het recht?

Recht reguleert in principe alle interacties in de samenleving. Juristen maken dan onderscheid tussen het recht tussen burgers onderling (het civiel of burgerlijk recht) en het recht tussen burger en overheid (bestuursrecht en strafrecht). Een belangrijk deel daarvan is het reguleren van eigendom en wat anderen daarmee mogen. Eigendom is het meest veelomvattende recht dat mensen op zaken kunnen uitoefenen, zo staat in de wet. En dat recht gaat heel ver: je hoeft niets te tolereren met je eigendom, en je hoeft geen reden op te geven waarom niet. Je mag niet voetballen in mijn tuin, gewoon omdat het mijn tuin is. Ksst. Ga weg.

Daarnaast is er de openbare ruimte. Die is van ons allemaal, en de regels die daarvoor gelden zijn die van de overheid. Verkeersregels bijvoorbeeld, maar ook regels over privacy, vrijheid van meningsuiting en gewoon fatsoenlijk gedrag. Allemaal met als doel te zorgen dat we allemaal in die openbare ruimte kunnen zijn met een minimum aan overlast voor elkaar. In de gewone wereld is er natuurlijk veel eigendom – huizen, bedrijfspanden, winkels, ga zo maar door. Maar in de basis is dat allemaal aangesloten op de openbare ruimte. Zonder al te zeer je best te doen, kun je heel lang in uitsluitend openbare ruimte verkeren.

Vroeger had je nog wel het concept van de company town, een dorp dat in eigendom was van een bedrijf. Meestal omdat alle bewoners werkten bij dat bedrijf, en het bedrijf dan als vanzelf ook zorgde voor aanvullende faciliteiten zoals een supermarkt, scholen, kerkgebouwen of recreatie. Volgens mij hebben we dat in Nederland nooit gehad; verder dan het Philipsdorp dat na 1910 in Eindhoven werd gebouwd voor de vele nieuwe werknemers van de gloeilampenfabriek, kom ik niet.

Bedrijfsdorpen waren controversieel omdat een bedrijf ineens gigantische macht krijgt over haar personeel. Om eens wat te noemen: je kunt de huur (inclusief verhoging) gewoon inhouden van mensen hun loon, of je betaalt het loon uit in natura in je café of met bonnen voor je eigen supermarkt. En je kunt mensen aanspreken op onfatsoenlijk of onzedelijk gedrag bij hen thuis, met als machtsmiddel dat je wordt ontslagen op je werk. Natuurlijk, een verhuurder heeft tot op zekere hoogte óók die macht, maar het is voor mensen vaak iets makkelijker om een ander huis te vinden als ze hun werk behouden.

Internet doet me denken aan zo’n bedrijfsdorp, maar dan op nóg grotere schaal. Neem Facebook: je kunt er alles dat je ‘gewoon’ op internet ook kunt, alleen is alles uiteindelijk onder controle en toezicht van één bedrijf. Maar zij zijn natuurlijk niet de enige: eigenlijk is elk forum, elke sociale netwerksite, misschien wel elke website een bedrijfsdorp.

Of is dat overdreven? Een café op de hoek heeft ook huisregels, maar dat noemen we dan nog geen eh cafédorp. Dat zit hem er denk ik in dat er concurrentie is, je kunt naar een ander café. Je gaat niet zomaar naar een andere stad, zeker niet als je dan óók van werkgever moet veranderen. En de arbeidsovereenkomst met zo’n internetbedrijfsdorp is dan het netwerkeffect, waar ik in de vrijmorefi eind maart over schreef. Je kunt niet weg omdat je afhankelijk bent van die plek voor de contacten met anderen.

Waarom is dat erg trouwens, een bedrijfsdorp? Volgens mij zit dat hem in de afhankelijkheidsrelatie die je hebt met een werkgever/verhuurder/supermarktbaas/dominee. Je hele leven staat onder toezicht en controle en op elk punt van je leven kun je door iemand met macht worden aangesproken. Of straf opgelegd krijgen: boete ingehouden op je salaris, teruggezet in functie, privileges ontzegd krijgen of ontslag (en dus verbanning).

Het lijkt de staat wel. Ook daar sta je eigenlijk altijd onder toezicht, en je kunt altijd worden aangesproken door oom agent of tante handhaver. Klopt, maar een verschil is dat de overheid dat doet (althans, zou moeten doen) vanuit het algemeen belang. Als er bijvoorbeeld verkiezingen komen, zorgt de overheid er voor dat iedere partij posters kan aanplakken en kan flyeren in de openbare ruimte. Een werkgever, of meer algemeen de eigenaar van een gebouw of grond, hoeft dat niet. Die kan geplak en geflyer verbieden, of alleen zijn favoriete partij daar ruimte voor geven.

Dat vinden we prima, want er is altijd wel een stuk openbare ruimte te vinden waarin je als concurrerende partij wél jezelf kunt uiten. In een normaal dorp dan – op internet valt dat niet mee. (Wie kent er een blogruimte of forum gehost door een nationale of lokale overheid?) Internet is immers (vrijwel) altijd privaat eigendom, dus je hebt je altijd te houden aan de regels van de eigenaar. Op Facebook is bloot ongewenst. Bij Geenstijl mag je geen privégegevens posten en op weer een ander forum krijg je een ban als je het beheer afzeikt.

Het is die eenzijdigheid die volgens mij het fundamentele probleem is bij bedrijfsdorpen. Je moet leven volgens de moraal van een ander, en je moet diens regels volgen ook al wil jij een andere kant op. Uit het (gewone) recht hebben we die regels vrijwel allemaal geschrapt. Je kunt aardig immoreel en asociaal leven als je wilt. Maar op internet moet je goed zoeken om dáárvoor een plekje te vinden. Wordt het niet eens tijd om dáár wat aan te doen? Om de neutrale regels van de openbare ruimte ook te laten gelden voor internet?

Arnoud

Onder de 16 geen Facebook, geen Twitter, geen Instagram?

| AE 8617 | Privacy | 7 reacties

kinderen-oppassen-bord-verkeersbord-waarschuwing.pngWie jonger is dan 16 jaar, mag zonder toestemming van zijn ouders geen sociale media gebruiken, meldde het AD maandag. De nieuwe Privacyverordening stelt strenge regels over persoonsgegevens van minderjarigen, en als gevolg daarvan mogen die straks (2018) niet meer op sociale media. Alleen, hoe is dat nieuws?

Het AD denkt van wel, want: “[t]ot op vandaag bestaat er geen aparte wet over de leeftijd waarop je als kind een account mag hebben op sociale media zoals Facebook, Twitter of Instagram.” Maar dat klopt eenvoudigweg niet. Al sinds 2001 bestaat er een wet, namelijk de Wet bescherming persoonsgegevens die precies dat zegt. (Ja, of ze bedoelen dat er geen Wet op de Sociale Media is die letterlijk wat over accounts zegt. Maar, eh, kom nou.)

De Wbp regelt in het algemeen hoe om te gaan met persoonsgegevens, en in artikel 5 staat dat bij personen onder de 16 toestemming van hun ouders nodig is om die gegevens te mogen gebruiken. Om een of andere reden is dat een gekke regel die periodiek nieuws is: in 2007 bleken Hyves en Sugababes illegaal, en sindsdien zie ik het bij elk nieuw social netwerk weer opduiken als nieuwtje. Maar goed, dat zal aan mij liggen.

De Verordening verruimt eigenlijk juist de mogelijkheden. Lidstaten mogen een lagere grens instellen dan zestien, mits die grens maar minimaal dertien is. Een grens die wij overigens niet hebben, wederom in tegenstelling tot wat het AD schrijft. Toegegeven, de regel wordt totaal niet gehandhaafd dus als je wilt spreken van gedoogbeleid dan is dat prima, maar het stáát nergens.

Arnoud

Detectie van adblockers volgens Europese Commissie illegaal

| AE 8606 | Privacy | 61 reacties

Volgens Europese wetgeving is het illegaal dat websites zonder toestemming scripts draaien op apparaten van gebruikers om te achterhalen of bezoekers gebruik maken van adblockers, las ik bij Tweakers. De Europese Commissie had dat gesteld in een brief aan privacyactivist Alexander Hanff. Je mag immers geen informatie opslaan op mensen hun computers zonder toestemming, en… Lees verder

Google onder vuur vanwege bundeling apps

| AE 8596 | Innovatie | 20 reacties

De Europese Commissie heeft een ‘mededeling van punten van bezwaar’ aan Google en moederbedrijf Alphabet gezonden. Het bedrijf zou zijn dominante marktpositie voor zoekdiensten hebben misbruikt door beperkingen aan fabrikanten van Android-apparaten op te leggen. Dat las ik bij Tweakers. Het misbruik zou hem erin zitten dat fabrikanten van Android-apparatuur verplicht Google-apps, zoals Search en… Lees verder

Moet ransomware apart strafbaar worden gesteld?

| AE 8589 | Beveiliging | 21 reacties

Californië wordt zeer waarschijnlijk de eerste Amerikaanse staat die een aparte wet tegen ransomware krijgt, las ik bij Security.nl. Het wetsvoorstel verbiedt het infecteren van computers met ransomware en stelt dit gelijk aan afpersing. Er komt maximaal vier jaar cel op te staan. Dat voelt wat overdreven; afpersing is toch al lang strafbaar? Het probleem… Lees verder

Mag je het netwerkprotocol van een online game uitpluizen?

| AE 8580 | Beveiliging | 15 reacties

Een tijd geleden ontdekte ontwikkelaar Rink Springer het spel Runes of Magic. En zoals dat gaat bij hackers: je raakt op het spel zelf uitgekeken, dus dan ga je kijken hoe het op de achtergrond werkt. In dit geval door het netwerkprotocol van het spel uit elkaar te trekken en te documenteren. Hetgeen uiteindelijk leidde… Lees verder

Wanneer mag je een auteursrechtelijk beschermde standaard toepassen?

| AE 8577 | Auteursrecht, Innovatie, Octrooien | 12 reacties

Een lezer vroeg me: Hoe zit het nu met auteursrecht en patent op standaarden? Ik had altijd begrepen dat het vrij simpel is; je hebt auteursrecht op de tekst van de standaard, en daarnaast heb je eventueel octrooi op de implementatie. Maar nu hoor ik dat er daarnaast ook nog het intellectueel eigendom is, het… Lees verder

Wbp move over: de Europese Privacyverordening is hier!

| AE 8592 | Privacy | 26 reacties

Na buitengewoon veel gelobby, gesteggel en geharrewar over toestemming geven, profiling, toezicht en boetes zijn we er dan eindelijk uit: de Europese Privacyverordening is definitief aangenomen in het Europees Parlement. De nieuwe regels zullen de huidige nationale privacywetten, zoals onze Wet bescherming persoonsgegevens, gaan vervangen en zo een éénvormige privacyregulering bieden voor alle Europese burgers…. Lees verder