Een open draadloos netwerk als bewijs van onschuld
De grote beveiligingsgoeroe Bruce Schneier heeft een volledig open draadloosnetwerk thuis, zo schreef hij in een recente column bij Wired. Iets dat veel van zijn bezoekers verbaast: weet hij dan niet dat er allerlei onfrisse types zijn die daar misbruik van maken, waarna de politie hem zal komen arresteren omdat alles vanaf zijn IP-adres gedaan lijkt te zijn?
While this is technically true, I don’t think it’s much of a risk. I can count five open wireless networks in coffee shops within a mile of my house, and any potential spammer is far more likely to sit in a warm room with a cup of coffee and a scone than in a cold car outside my house. And yes, if someone did commit a crime using my network the police might visit, but what better defense is there than the fact that I have an open wireless network? If I enabled wireless security on my network and someone hacked it, I would have a far harder time proving my innocence.
Dat laatste is intrigerend: als Schneier zijn netwerk goed beveiligt, is het dus onmogelijk dat een ander er op ingebroken is. Dus alles wat dan vanaf zijn IP-adres is gebeurd, moet hij zelf gedaan hebben. Daar zit wat in.
Je zou dat kunnen omkeren: als je je netwerk dus openzet voor iedereen, valt nooit te bewijzen dat jij iets gedaan hebt. Je kunt dan altijd die langsrijdende hacker de schuld geven. Maar dat is ook weer iets te makkelijk.
Bij een strafzaak moet de rechter ‘overtuigd’ zijn van de schuld van de verdachte (artikel 338 Strafvordering). Heeft de verdachte een redelijk klinkende alternatieve verklaring voor het gebeurde, dan kan hij worden vrijgesproken. Maar een enkele theoretische mogelijkheid is meestal niet genoeg. Pas als het bewijs een redelijke twijfel oproept, kan vrijspraak volgen.
In dit geval zal het bewijs vrijwel altijd een verklaring van een getuige-deskundige zijn. Een getuigenverklaring is “wettig bewijs” (art. 339 Strafvordering). Logfiles en andere aanwijzingen zijn op zichzelf meestal niet duidelijk genoeg om meteen als bewijs te dienen. De getuige-deskundige moet dan uitleggen wat voor elektronische aanwijzingen hij heeft gevonden op de PC en het thuisnetwerk van de verdachte, en of daaruit redelijkerwijs blijkt dat er sprake was van een indringer van buitenaf.
Uit het hebben van een onbeveiligd draadloos netwerk volgt niet dat elke activiteit door een wardrivende hacker gepleegd is. Er zullen op zijn minst concrete aanwijzingen in bijvoorbeeld de logfiles moeten zijn dat iemand zich heeft aangemeld met een MAC-adres dat nooit eerder is gebruikt.
In een arrest van de Hoge Raad afgelopen juni over bedreiging per e-mail voerde de verdachte aan dat hij de mails niet gestuurd had:
dat uit de stukken niet kan worden afgeleid dat de verdachte de berichten heeft verzonden, dat de mogelijkheid bestaat dat de berichten vanuit een andere computer zijn verzonden en dat uit de bewijsmiddelen niet duidelijk is geworden of het [gebruikte] IP-adres een statisch of dynamisch IP-adres is, hetgeen zou meebrengen dat meer mensen van dit IP-adres gebruik hebben kunnen maken, terwijl verder de verzending van e-mail vanaf een bepaald hotmail-adres niet zonder impliceert dat de houder van dat adres die e-mail ook verzonden heeft.
Het IP-adres bleek echter al bijna twee jaar uitsluitend bij de verdachte in gebruik. Dit is bij de provider eenvoudig na te gaan.
Dat de andere berichten verzonden zouden kunnen zijn van een andere computer - hetgeen inderdaad bij een hotmail-adres mogelijk is - is een mogelijkheid die het Hof als hoogst onwaarschijnlijk buiten beschouwing heeft kunnen laten, mede in aanmerking genomen wat het Hof over het IP-adres, zoals hiervoor vermeld en de verhouding tussen verdachte en [het slachtoffer] heeft vastgesteld. Dan zou een derde zich onbevoegd het wachtwoord en het e-mailadres hebben moeten verschaffen. Daarbij komt nog dat uit bewijsmiddel 9 kan worden afgeleid dat het desbetreffende e-mailadres “[e-mailadres 1]” 168 keer is aangetroffen op de computer van de verdachte.
Oftewel: het IP-adres was twee jaar lang aan u toegekend, niemand anders kon op de tijdstippen vanaf uw PC mails versturen en gezien de inhoud is het zeer aannemelijk dat u ze geschreven heeft. Dus u was het.
Nu is het theoretisch mogelijk dat iemand die PC op afstand gekraakt heeft, en zo vanaf die PC alles kon doen waar hij zin in had. Inclusief dus bedreigende mails sturen naar de collega van de verdachte die de aangifte van bedreiging had gedaan. Ook voor dat geval heb je een getuige-deskundige nodig, die sporenonderzoek gaat doen om te kijken of er b.v. een Trojaans paard of rootkit op de PC aanwezig is.
In dit vonnis gaf de rechtbank mooi weer hoe zulk bewijs wordt toeepast:
Tegen het feit dat [een tweede deskundige] ter terechtzitting in hoger beroep, sprekend over de theoretische mogelijkheid dat hem sporen van hacking zouden zijn ontgaan, heeft opgemerkt dat hacken niet uit te sluiten is, weegt op dat hij voor het feit dat dat zou zijn gebeurd (te weten dat die computers wèl gehackt zouden kunnen zijn geweest) geen enkele aanwijzing heeft gevonden en dat de aangetroffen sporen op de computers dermate in elkaar grijpen en interne consistentie vertonen dat het onwaarschijnlijk is dat de sporen anders dan door normaal gebruik van de computers – en dus niet door manipulatie van buitenaf – op die computers terecht zijn gekomen.
Je kunt dus niet zonder meer zeggen “er kan gehackt zijn, dus ik was het niet”. Wat er precies gebeurd is, moet meespelen bij de inschatting of de verdachte het gedaan heeft. Een geavanceerde computerinbraak bij Defensie vanaf het thuisnetwerk van Jan en Petra van 83 die vorige week voor het eerst “internet hebben gekocht”, zal waarschijnlijk door een langsrijdende hacker gepleegd zijn. Een ruzie op school die vervolgens leidt tot anonieme scheldmails zal echter waarschijnlijk door de ruziemaker gestart zijn.
Arnoud
Tags:
Dit is allemaal leuk in theorie maar:
“And yes, if someone did commit a crime using my network the police might visit, but what better defense is there than the fact that I have an open wireless network?”
klinkt makkelijker dan het is. Fijn dat je een sterke verdediging hebt maar ondertussen heb je wel een politie-inval gehad, krijg je niets van te horen van de politie, kan je weken wachten voor je uberhaupt iets kan doen (juridisch gezien) en kan je maanden wachten tot de politie klaar is met hun (over het algemeen behoorlijk incompetente) onderzoek. Daarna, na die maanden met stress, ergernis en grote problemen als je geen off-site backups hebt kan je, als je idd onschuldig bent, met een beetje geluk vrij eenvoudig aantonen dat je onschuldig bent. Bovenstaande is een leuk gedachten-experiment maar in de praktijk IMO veel te riskant. Zelfde geldt overigens voor het draaien van een open proxy of b.v. TOR.
Bottomline: denk eerst 3x heel goed na voor je over gaat tot dit soort lovenswaardig (in het geval van TOR) maar riskant gedrag.
Reactie door - — 20 januari 2008 @ 14:25
In beide aangehaalde zaken waren behoorlijke aanwijzingen die al wezen op de verdachte. Zeker in het arrest van de Hoge Raad sluit verdachte zelf al zo ongeveer uit dat iemand anders de mails verstuurd zou kunnen hebben. De eigenlijke vraag: Sta je sterker als je je netwerk open laat of als je het beveiligd, wordt hiermee niet beantwoord. Uitgaande van een situatie waarin iemand daadwerkelijk zelf niets heeft gedaan, maar een ander het netwerk heeft gebruikt om bijvoorbeeld ergens te hacken, bij gelijkblijvende overige omstandigheden (logfiles van routers die geen uitsluitsel bieden etc.), denk ik dat je kunt stellen dat de bewijskracht van het feit dat de hack vanuit jouw netwerk kwam afneemt op het moment dat het netwerk open en onbeveiligd was.
Reactie door Joost van der borg — 20 januari 2008 @ 14:29
Het lijkt me sterk dat de politie ergens binnenvalt enkel en alleen omdat er een IP-adres opduikt bij een opsporingsactiviteit.
Reactie door Merijn de Weerd — 20 januari 2008 @ 14:57
Ik ga een heel eind met Schneier mee. Als je een open netwerk hebt, maakt dat het argument “het was een hacker” in ieder geval theoretisch mogelijk. Afhankelijk van de andere feiten wordt dat argument alleen maar sterker. Heel ander MAC-adres, sites die ik zelf nooit bezoek, ik was op dat tijdstip ergens anders, enzovoorts.
Zit je netwerk potdicht, dan ben je het argument “het was een hacker” zo goed als kwijt. Zeker bij iemand als Schneier: niemand gelooft hem als hij zegt dat hij gehackt is. Ook al is het waar.
Verder ziet hij een open netwerk als een stukje beleefdheid naar bezoekers en langsrijdende mensen toe. Daar valt wat voor te zeggen, zeker als je met de trein een uur stilstaat naast een boerderij met een open wifi ben je daar erg blij mee.
Het argument dat je je PC maanden kwijt bent, ook al ben je onschuldig, is natuurlijk ook weer waar.
Misschien is het dan nog maar het slimste om een bedraad netwerk te hebben?
Arnoud
Reactie door Arnoud Engelfriet — 20 januari 2008 @ 15:13
Ik had het stukje van Schneier al gelezen maar miste de optie om te reageren. Zijn logica is enorm krom: omdat je iets niet helemaal goed kan doen, kan je het net zo goed niet doen. Dat is dezelfde redeneren als: omdat het extra hangslot op mijn deur kapot is, kan ik ‘m net zo goed open laten staan (ongeacht wat Schneier daar zelf over zegt).
Wat een uilebal is die Schneier zeg! Als jury (want V.S.) zou ik iemand die zijn netwerk niet beveiligt heeft eerder schuldig bevinden dan iemand die het wel beveiligd heeft en “gehackt” is. Zelfs in de V.S. hoef je (in theorie, want daar gaat het hier over) je eigen onschuld niet te bewijzen.
En dan zijn loze opmerking over Fon! “Wat een goed idee!” zegt hij, maar verder laat hij het links liggen en geeft hij de voorkeur aan niet beveiligen. Fon lost al zijn problemen in één keer op: je netwerk is beveiligd voor privégebruik, open voor gastgebruik, beveiligd tegen overgebruik en de gasten worden gelogd en zijn bekend bij Fon. Nou, gebruik dat dan.
Dit is echt het belachelijkste artikel dat deze zogenaamde beveiligingsexpert ooit geschreven heeft. Wát een charlatan zeg.
In reactie op jouw laatste (retorische?) vraag: volgens Schneier is een bedraad netwerk nog gevaarlijker omdat het dan nog moeilijker is om te bewijzen dat je de duistere zaken niet zelf hebt uitgevoerd. Een draadloos netwerk is prima te beveiligen en als je je dan nog steeds zorgen maakt, kan je een OSI-stapje hoger gaan en IPSec toepassen op je netwerkverkeer (al dan niet via een vpn). Verder is het een kwestie van goeie logfiles bijhouden (meer dan alleen mac-adressen).
Reactie door Vorkbaard — 21 januari 2008 @ 10:54
Schneier redeneert dat systemen zo goed zijn als ze falen. Elk systeem faalt en er bestaat niet zoiets als een potdicht draadloos netwerk. De algorithmen en implementaties zijn vrijwel allemaal matig en de fabrikanten zitten angstvallig op hun firmware, vaak omdat die slecht geschreven en kwetsbaar voor aanvallen is.
Het is niet alleen beleefdheid, maar iedereen die ergens open WiFi heeft gevonden toen hij het nodig had, kan zich het goede gevoel voorstellen wat je anderen bezorgt (ik tik dit zelf op een open accesspunt van de buren).
Draadloze software is spectaculair ongebruikersvriendelijk wat leidt tot onveilige situaties. De meeste mensen zijn blij als het werkt. Al die truukjes om de boel te beveiligen zijn voor experts al lastig en nauwelijks de moeite waard, laat staan voor jan en mien op de hoek.
@Merijn: Het lijkt me naïef om de politie overmatig te vertrouwen in dit soort dingen.
Reactie door Alper — 16 februari 2008 @ 1:41