Internetrecht door Arnoud Engelfriet

De Revu wordt niet gestraft voor het infecteren van 14.000 computers en het hacken van de mailbox van de geanonimiseerde Staatssecretaris van Defensie, zo las ik gisteren bij Security.nl. De politierechter vond dat het nieuwsfeit dat de mailbox te kraken was, belangrijk genoeg is om de hoofdredacteur vrij te spreken van het strafbare feit. De auteur van het artikel werd ook vrijgesproken, omdat hij niet betrokken was bij het daadwerkelijke inbreken. Hij kreeg de informatie achteraf en maakte daar een artikel van.

Ik heb hier grote moeite mee. Journalisten staan niet boven de wet en hebben niet het recht om 14.000 pc’s te infecteren om daarmee aan te tonen dat een wachtwoord te raden is door die pc’s er lekker veel te laten proberen. Ik heb sterk het vermoeden dat de politierechter onvoldoende rekenschap heeft gegeven van wat er nu feitelijk is gedaan. Als het nieuwsfeit was geweest “Voordeur huis staatssecretaris blijkt met bulldozer te forceren”, dan was het vonnis volgens mij heel anders uitgevallen.

De overwegingen uit het vonnis wijzen er namelijk sterk op dat de rechter zich heeft laten overtuigen door het beveiligingsaspect van de zaak. Immers, zo staat in het vonnis:

Hierbij wordt voorop gesteld dat de vraag of de privé emailboxen van bewindslieden voldoende beveiligd zijn tegen inbraken van buitenaf, op zichzelf een zaak is die het algemeen belang raakt. … Verdachte heeft betoogd dat het plegen van de onderhavige strafbare feiten noodzakelijk was voor de onderbouwing van de stelling in het artikel dat het schortte aan die beveiliging.

Nu wil ik best geloven dat beveiliging van zulke mailboxen op zich een belangwekkend iets is voor journalisten, maar dat betekent nog niet dat elk hackje daarmee nieuwswaardig is. Zeker niet als het hackje gewoon een lompe brute force aanval is. Iedereen weet dat je met genoeg proberen elk wachtwoord weet te raden.

Bovendien -en dit is een juridische blog- lijkt het vonnis me in strijd met wat de Hoge Raad tot nu toe steeds zegt over dit soort “nieuwsmaak”-acties. Zoals ik vorig jaar december blogde, in 1995 luidde het oordeel nog dat een vervalste aanvraag voor een rijbewijs niet onder de vrije nieuwsgaring valt, ook niet als je wilde aantonen dat aanvragen voor een rijbewijs onder valse naam mogelijk zijn (27 juni 1995, NJ 1995/711, niet online). En in december 2006 oordeelde de Hoge Raad hetzelfde in een zaak over een ‘gat’ in het bancaire systeem van automatische incasso.

In die laatste zaak citeerde men instemmend het Gerechtshof, dat had bepaald:

Nu het aan de verdachte ten laste gelegde het doel van zijn onderzoek (publiekelijk bewijs te vergaren voor zijn stellingen) voorbij is geschoten en hem andere, minder verstrekkende methodes ten dienste stonden, oordeelt het hof de jegens verdachte ingezette strafvervolging ter voorkoming van (soortgelijke) strafbare feiten en ter bescherming van de rechten van anderen, meer in het bijzonder van die van bovenaangegeven (rechts)personen, zowel passend als geboden.

Bij de incassozaak had de journalist een groot aantal incasso-opdrachten verstuurd voor soms substantiële bedragen van rekeningen van volslagen onbekenden. Hij had ook kunnen volstaan, aldus het Hof, met 1 grote incasso van een betrokken partij (bv. de directeur van de betrokken bank). En die analogie kun je zonder moeite doortrekken naar hier: was het nu echt nodig om 14.000 pc’s te infecteren om aan te tonen dat je met genoeg pc’s een wachtwoord kunt kraken?

En feit blijft (zoals Brenno de Winter al schreef) dat Revu het echte nieuws gemist heeft.

Anders nieuwswaardig feit is dat Hyves kennelijk goed functioneert als distributieplatform voor het verspreiden van virussen die een botnet bouwen. Gebruikers vertrouwen de website, terwijl nu blijkt dat er zeer kwaadaardige content op kan staan. Ook dit werd niet als nieuwswaardig feit gesignaleerd.

Waar ik nu heel bang voor ben, is dat al die scriptkiddies die eerst riepen “ik bewijs mensen een dienst door de beveiliging te checken” nu gaan roepen “oh ik ben journalist want ik onderzoek maatschappelijke misstanden door onvoldoende beveiliging”.

Arnoud
Afbeelding afkomstig van Revu.

Honderden studenten hebben maandenlang bijna gratis pizza’s kunnen bestellen via de website Justeat.nl, meldde Nu.nl vrijdag. Er bleek een fout in de website te zitten waardoor je eenvoudig de prijs kon manipuleren net voordat de betaalprocedure bij een externe partij in gang werd gezet. Tweakers meldt:

De kwetsbaarheid bleek ontstellend simpel te misbruiken, blijkt uit een test van Tweakers.net: het aanpassen van de html-code bleek genoeg om goedkoop pizza of shoarma te bestellen. Het lek zat bij Just-Eat op de pagina, waar de bestellingsmethode gekozen kon worden. Daar werden in verborgen input-velden de parameters voor de betaling doorgegeven, waaronder het bedrag in centen.

De reacties die ik her en der lees, zijn allemaal in de trant van “dom bedrijf, hadden ze dat lek maar moeten fiksen”. Zeker nu bekend is dat het lek al een jaar open ligt. Maar ligt dat nu aan mij of is dit gewoon crimineel?

Als je zo’n fout ontdekt en het dan meldt, dan ben je keurig bezig. Wil je het een keertje testen om zeker te weten dat die fout er (nog) in zit, nou vooruit. Maar voor 30.000 euro aan pizza’s bestellen, dat heeft toch niets meer met white-hat hacken te maken? Dat is gewoon profiteren van een domme fout.

Ik begrijp dit echt niet. Stel de supermarkt laat een prijstang onbeheerd liggen in het schap. Dan zullen er heus mensen proberen om wat goedkope prijsjes op dure producten te plakken en die te gaan afrekenen? Maar het lijkt me evident dat dat gewoon oplichting is. Waarom zou het voor hidden input fields anders zijn dan voor prijsstickers?

(Overigens heb ik nul komma nul sympathie voor directeur Laurens Groenendijk van Just-Eat die meende laatdunkend te moeten spreken van “slimste jongetjes van de klas”, terwijl het een fout die ie zelf een jaar lang heeft laten liggen. Ik hoop dat z’n rechtsbijstandsverzekeraar niet uitkeert.)

Arnoud

Een bezorgde ouder mailde me:

Mijn zoon is vorig schooljaar afgestudeerd. Als onderdeel van de traditionele examenstunt heeft hij samen met een paar medescholieren de wachtwoorden achterhaald van enkele leraren, en vervolgens rondgemaild uit hun naam dat er die dag geen school zou zijn. Hoewel ze er enkele hints in hadden gestopt waaruit bleek dat het een grap was (zo tekende de docenten met hun bijnaam), bleven er toch aardig wat leerlingen thuis. Nu was de directie daar erg boos over en men heeft aangifte gedaan van computervredebreuk. Mijn zoon is hiervoor destijds ondervraagd door de politie, maar nu ligt het al een tijd stil. Kunt u vertellen waar wij aan toe zijn?

De actie was als grap bedoeld, maar zo te lezen zitten er toch inderdaad wel juridische aspecten aan. Het raden van andermans wachtwoord kan worden gezien als computerinbraak.

In feite is de grap vergelijkbaar met de sleutel van het schoolgebouw namaken of het slot openpeuteren om zo bv. tienduizend ballonnen in de hal te leggen. Ook dat is strikt gesproken strafbaar, het is inbraak. Maar om daar nu zo’n juridisch punt van te maken vind ik ook weer overdreven.

In ieder geval, als het duidelijk als grap bedoeld is, dan lijkt het me sterk dat men werkelijk gaat vervolgen. Maar nadeel is wel dat er hier schade is, er zijn mensen echt ingetrapt. Dat zou zeker juridische gevolgen kunnen hebben.

Het vervelende is wel, je kunt weinig doen zolang het “op de stapel” ligt. Die stapels zijn hoog en het kan rustig enkele maanden duren voor je wat hoort. Nabellen kan natuurlijk, alleen dan maak je mogelijk een slapende hond wakker.

Ik zit me nu af te vragen wat mijn eindexamenstunt was, maar eerlijk gezegd weet ik het niet meer. Lezen er oud-klasgenoten (EPL, 1993) mee?

Arnoud

Een Amerikaans Hof van Beroep heeft geoordeeld dat een werknemer die met kwade bedoelingen toegang zoekt tot een bedrijfscomputer, hierdoor nog niet automatisch schuldig is aan overtreding van de anti-hackwet. Dat meldde Tweakers afgelopen zondag. (En ja, Tweakers kwam met het woord “hackers” dus de discussie over cracker versus hacker mag u daar voeren.) Belangrijk ook voor de Nederlandse praktijk; ik ken een paar gevallen waar Nederlandse werkgevers dezelfde claim legden.

Wat was er precies gebeurd? Een werknemer van het bedrijf LVRC had op zijn laatste werkdag allerlei bestanden met bedrijfsinformatie naar zichzelf gemaild. Volgens Ars Technica wilde hij die gegevens hebben omdat hij LVRC wilde opkopen, en dan zijn gegevens zoals de jaarcijfers wel erg handig in de onderhandelingen.

Niet netjes, en waarschijnlijk wel strafbaar onder diverse wetten (diefstal van bedrijfsgeheimen bijvoorbeeld), maar het bedrijf vond dit een overtreding van de federale Computer Fraud and Abuse Act, zeg maar de Wet Computercriminaliteit, en eiste schadevergoeding in een civiele procedure omdat zij hierdoor benadeeld werd. Het argument daarbij was dat de werknemer niet geautoriseerd was om die gegevens naar zichzelf te mailen (ook al kon hij erbij) zodat hij “without authorization” handelde.

De CFAA stelt strafbaar om “without authorization” oftewel “zonder toestemming” binnen te dringen in een computersysteem, waar bij ons “wederrechtelijk” in de wet staat. Ons begrip is daarmee iets breder, maar voor deze discussie maakt dat niet uit. Want het argument van dit Amerikaanse Hof gaat bij ons ook prima op: een werkgever geeft zijn werknemers toestemming om de werk-PC te gebruiken en op het netwerk te gaan om daar bestanden in te zien. Daarmee heeft die werknemer een recht om daar te zijn. Mooie analogie op Tweakers: als je de sleutel hebt dan kun je niet bestraft worden voor inbreken.

Hier maakte de werknemer oneigenlijk gebruik van het recht, maar daarmee is dat recht nog niet vervallen. Hij mag bestanden inzien, en daarmee is de toestemming gegeven. Pas als je je toestemming te buiten gaat, oftewel ergens komt waar je niet mag zijn, is sprake van “without authorization”. Dus bijvoorbeeld als je het wachtwoord van je secretaresse gebruikt om bij haar bestanden te komen, of een netwerkshare opent die de naam van een andere afdeling draagt. Daar hoor je niet te zijn, en dat moet je weten gezien de omstandigheden.

In hun arrest schreven de rechters:

we hold that a person uses a computer “without authorization” under §§ 1030(a)(2) and (4) when the person has not received per- mission to use the computer for any purpose (such as when a hacker accesses someone’s computer without any permis- sion), or when the employer has rescinded permission to access the computer and the defendant uses the computer any- way.

Mijns inziens zou dit in Nederland ook op moeten gaan. Werknemers die gegevens naar zichzelf mailen of andere ongewenste zaken daarmee uithalen, kun je dus niet via de Wet Computercriminaliteit aanpakken. Het is ongetwijfeld grond voor ontslag op staande voet (slecht werknemerschap, overtreding ICT-reglement) en afhankelijk van wat hij doet met de gegevens kan het ook een schending van geheimhouding (art. 273 Strafrecht) zijn. Maar computervredebreuk? Nee.

Arnoud

Een lezer vroeg zich af:

Is het rechtsgeldig in Nederland om in een EULA reverse engineering van een softwarepakketgeheel te verbieden, ook voor toepassingen als het maken van interoperable software?

Reverse engineering, in goed Nederlands decompilatie, is volgens artikel 6 van de Software-richtlijn een handeling die geen inbreuk op het auteursrecht oplevert.

Desondanks zie je regelmatig in EULAs een tekst als “reverse engineering is forbidden”, maar dat heeft geen juridische waarde. Artikel 9 lid 1 van diezelfde Richtlijn bepaalt dat “elk contractueel beding dat strijdig is met artikel 6″ nietig is. Oftewel, de rechthebbende kan zich op zo’n beding niet beroepen, en doet hij het toch dan hoef je alleen maar naar deze artikelen uit de richtlijn te verwijzen.

Een goed geschreven EULA of softwarelicentie bevat dan ook een tekst als “reverse engineering is verboden voor zover dat juridisch toegestaan is”. Niet alle vormen van reverse engineering zijn namelijk toegestaan onder de Richtlijn. Alleen die vormen waarmee je compatibiliteit met zelfgeschreven software wilt bewerkstelligen, of waarmee je alleen de achterliggende ideeën, concepten en principes achterhaalt zijn legaal. Met name is het niet legaal om de informatie te gebruiken om een kloon van de software te maken.

Arnoud

Met andermans (geraden of afgetroggeld) wachtwoord inloggen op Habbo Hotel is computervredebreuk. En haal je dan die ander zijn meubels naar je eigen account, dan pleeg je heel ouderwets diefstal. Dat bepaalde de rechtbank Amsterdam gisteren in twee grotendeels eensluidende vonnissen (LJN BH9789 en LJN BH9791, via Boek9.nl).

Dit is de Habbo-zaak waarover ik in november 2007(!) berichtte. Twee (veertienjarige) verdachten hadden wachtwoorden van Habbo-gebruikers bemachtigd en vervolgens de meubi’s die bij die accounts hoorden naar hun eigen kamer overgezet. En dat kwalificeert de rechtbank als computervredebreuk (het achterhalen en gebruiken van de wachtwoorden) en diefstal (het overzetten van de virtuele goederen).

De wachtwoorden werden achterhaald middels een fake-site (phishing) waarbij het slachtoffer dacht bij Hotmail in te loggen. Vervolgens werden die Hotmail-inloggegevens gebruikt om de mailbox van de slachtoffers in te zien. Handig, want daar was in de tussentijd net het “u was uw wachtwoord vergeten”-mailtje binnengekomen. En zo kwamen ze dan bij Habbo terecht. Het vonnis noemt nog keyloggers, maar ik zie even niet waar dat is gebruikt. “Hij heeft daartoe zelfs een speciaal programma gedownload waarmee hij op professionele wijze aan de inloggegevens van een ander kon komen” maar een fake-site is toch geen programma?

Vervolgens had men “met het oogmerk van wederrechtelijke toe-eigening” de virtuele meubelen uit deze speelwereld weggenomen uit de macht van de eigenaar. En dat is, zoals ook in het Runescape-vonnis van afgelopen oktober werd bepaald, een standaard gevalletje diefstal.

Het verweer dat het er bij Habbo toch om gaat “om zoveel mogelijk meubels te verzamelen”, wordt verworpen. Veel meubels verzamelen ok, maar dat rechtvaardigt niet dat je andermans meubels afneemt door hun wachtwoorden te raden. Dit heeft “niets meer te maken met de spelregels van het Habbohotel” zoals de rechtbank het terecht formuleert.

Kortom, weinig verrassend wat mij betreft maar wel goed dat deze lijn wordt aangehouden. Want: “Het internet dient daarom gevrijwaard te blijven van het zogenaamde ‘hacken’.” zoals de rechtbank fijntjes opmerkt.

Arnoud

In 2006 brak een Nederlander in bij de computernetwerken van onder andere Activision en maakte daar een kopie van het computerspel ‘Enemy Territory: Quake Wars’, dat toen nog in ontwikkeling was. Ook zou hij op de systemen van Valve zijn binnengedrongen Voor deze computervredebreuk kreeg de 21-jarige Maastrichtenaar zes maanden voorwaardelijk en een werkstraf van 240 uur, meldde Security.nl gisteren.

De zaak is opvallend, omdat de inbreker (MaddoxX) zelf op internet meldde dat hij dit gedaan had. En dat woog de rechter mee in het vonnis: “Verdachte heeft deze schade nog vergroot door aan het plegen van deze strafbare feiten uitvoerig ruchtbaarheid te geven via het internet.”

Verder werden de bedrijven opgeroepen om T-shirts en gadgets op te sturen, alles onder het dreigement dat hij vertrouwelijke klantgegevens (zoals creditcarddetails) zou publiceren wanneer zij niet aan zijn eisen zouden voldoen. In fraai rechtbankproza: “met het oogmerk om zichzelf en (een) ander(en) wederrechtelijk te bevoordelen door bedreiging met openbaring van een geheim [bedrijf 4] heeft gedwongen tot de afgifte van een of meer T-shirts en gadgets, in elk geval van enig goed.”

Alles bij elkaar vind ik de straf nogal laag gezien de feiten. In augustus 2007 kreeg een andere “gamehacker” (TM Bright) nog 12 maanden cel, waarvan acht voorwaardelijk, plus 50 uur taakstraf.

Bij Fok! doen ze nogal laatdunkend over de technische kant van de zaak. Ik ben daar nog niet helemaal uit: het vonnis noemt toch een aantal technisch complexe trucs:

• gebruikmakend van kwetsbaarheden in genoemde geautomatiseerde werken(o.a. in de PHP bulletin-board software op de website van [bedrijf 2] d.m.v. van een SQL-injectie) en van valse hoedanigheden en van inloggegevens (tot onder meer een FTP-server) van een of meer medewerker(s) van [bedrijf 1] en [bedrijf 3]
• gebruikmakend van kwestbaarheden in genoemde geautomatiseerde werk (te weten o.a. een bug in een php-script op de sign-up pagina van [bedrijf 4] cybercafé systeem) en (vervolgens) gebruikmakend van een broncode en vertrouwelijke inloggegevens het systeem server van bovengenoemde [bedrijf 4] binnen te dringen

Of valt dit toch onder het kopje “scriptkiddie”?

Arnoud

De draadloze internettoegang, die momenteel als proef gratis wordt aangeboden in de trein tussen Groningen en Leeuwarden, blijkt slecht beveiligd te zijn, las ik bij Tweakers. De verbindingen zijn standaard niet versleuteld, waardoor iedereen mee kan lezen met het netwerkverkeer. Ook blijkt de router gewoon de fabriekswachtwoorden te gebruiken. Dit ontdekte NOS Headlines dat “met de internettrein” reisde.

Dankzij dit aftappen wist de NOS ook het wachtwoord van een e-mailaccount te achterhalen, waarna men op het account inlogde en de eigenaar benaderde. Bij Security.nl werd al gemeld dat dit computervredebreuk zou zijn. Bij het aftappen van de verbindingen wordt het juridisch interessanter. Hoewel het “opzettelijk en wederrechtelijk opnemen of aftappen van gegevens die niet voor hem bestemd zijn” strafbaar is (art. 139c Strafrecht), is er een uitzondering voor “door middel van een radio-ontvangapparaat ontvangen gegevens”. Op grond van de informatievrijheid (art. 10 EVRM) is het namelijk toegestaan om radiosignalen op te vangen en te gebruiken, zolang je daarbij geen ‘bijzondere inspanning’ hoeft te verrichten.

De NOS heeft dus computervredebreuk gepleegd toen men op dat e-mailaccount inlogde. Haar rechtvaardiging zal zijn dat sprake was van nieuwsgaring: men wilde aantonen dat draadloos internet in de trein veel onveiliger was dan mensen dachten. Het plegen van misdrijven in het kader van vrije nieuwsgaring is een dubieuze kwestie. Zoals ik al bij de hack van staatssecretaris Jack de Vries schreef, ook journalisten mogen de wet niet breken, zelfs niet om aan te tonen dat sprake is van een misstand. (Hier was het strikt gesproken een derde die voor de camera liet zien hoe hij het systeem hackte.)

Er moet wel een bijzonder zwaar nieuwsbelang zitten aan zo’n wetsovertreding wil je ermee weg kunnen komen. Bij de hack van Jack kon ik die niet bedenken, en ook hier heb ik er moeite mee. Draadloos internet is onveilig want mensen kunnen meelezen. Is dat nieuws? Voor mij niet echt, maar voor veel gebruikers waarschijnlijk wel - zoals blijkt uit de ophef over dit stukje. Het stond trouwens wel keurig in de voorwaarden maar ja, wie leest die nou?

Trouwens, het nut van aparte internetvoorzieningen in de trein snap ik nog steeds niet. Er is toch HSDPA dat landelijke dekking zou moeten leveren? Zorg er dan liever voor dat die dekking ook echt landelijk is, want onder ‘landelijk’ versta ik ook “buiten de ring A10″ en dus ook “op het spoor tussen Best en Geldermalsen”. Oh ja, en hang stopcontacten in alle treinen. Wat jullie?

Arnoud

Mag je je iPhone nou wel of niet unlocken? Over die vraag is veel speculatie, maar Apple heeft zich er altijd over in stilzwijgen gehuld. Althans, tot vorig jaar december toen Apple een commentaar op de DMCA indiende bij het US Copyright Office. De oplettende lezers bij de EFF spotten daarin deze opmerking:

Current jailbreak techniques now in widespread use utilize unauthorized modifications to the copyrighted bootloader and OS, resulting in infringement of the copyrights in those programs. … Jailbreaking () involves infringing uses of the bootloader and OS, the copyrighted works that are protected by the TPMs being circumvented. Unauthorized derivative versions of the bootloader and OS have been created. Copies of those infringing works have been stored on web sites, and infringing reproductions of those works are created each time they are downloaded through Pwnage Tool and loaded onto the iPhone.

Op zich heeft Apple daar een punt. Bij jailbreaks moet de firmware aangepast worden. Hiervoor moet je deze uit de iPhone vissen, door een tooltje halen en in aangepaste vorm terugzetten. Ik begrijp niet helemaal waar Apple de stelling op baseert dat mensen die firmware op internet zet, maar het lijkt me duidelijk dat dat niet toegestaan is. Andermans software verspreiden vereist een licentie, en die is er niet voor software.

Maar mag je voor jezelf de firmware uit apparaten aanpassen? De EFF vindt van wel, en kwam met dit briljante argument:

But the courts have long recognized that copying software while reverse engineering is a fair use when done for purposes of fostering interoperability with independently created software, a body of law that Apple conveniently fails to mention.

Een recht dat wij in Nederland kennen in artikel 45m Auteurswet. Het maken van een kopie van een stuk software en het “vertalen van de codevorm daarvan” (ik vermoed dat men compileren bedoelt) is toegestaan als

deze handelingen onmisbaar zijn om de informatie te verkrijgen die nodig is om de interoperabiliteit van een onafhankelijk vervaardigd computerprogramma met andere computerprogramma’s tot stand te brengen

In de Richtlijn waar dit wetsartikel uit komt, staat dat “deze uitzondering onder meer ten doel heeft het mogelijk te maken alle componenten van een computersysteem, ook die van verschillende fabrikanten, aan elkaar te koppelen, zodat die systemen samen kunnen functioneren”.

En laat dat nou precies het doel zijn van jailbreaken: applicaties te laten werken op het OS van Apple, ook als ze niet door Apple zijn goedgekeurd.

Slim gevonden, nietwaar?

Arnoud
Foto via Crunchgear.

In de VS is een man aangeklaagd wegens het verkopen van gekraakte docsis-kabelmodems van Motorola, meldde Tweakers dinsdag. De man verkocht kabelmodems die voorzien waren van gemanipuleerde firmware, waardoor gebruikers de maximale upload- en downloadsnelheid vrijelijk konden instellen of een mac-adres konden klonen. Wired wist dat dit illegaal was, maar een echt duidelijke grond zag ik niet. Zou het in Nederland mogen?

Het meest relevante artikel lijkt me het verbod op het kraken van betaaldiensten (art. 326c Strafrecht): wie “met het oogmerk daarvoor niet volledig te betalen” gebruik maakt van een telecommunicatiedienst, pleegt een misdrijf. Daarvoor moet je wel een technische ingreep plegen of valse signalen genereren - en dat doe je met zo’n opgevoerd modem. Wie middelen voor die technische ingreep ter verspreiding aanbiedt, kan tot twee jaar cel krijgen. \

Hoewel dit artikel voor betaaltelevisie is geschreven, zou het ook best kunnen opgaan bij internet via de kabel. Alleen: dan moet er wel per megabyte worden afgerekend, en niet zoals bij de meeste providers een vast bedrag per maand. Want zolang je je abonnementsgeld betaalt, is niet voldaan aan het “niet volledig betalen” uit het wetsartikel.

Computervredebreuk dan? Je zou kunnen zeggen dat je binnendringt in het modem. Maar dat gaat niet op: het is een zelf gekocht modem. En ook bij een modem in bruikleen (de Nederlandse situatie) lijkt het me niet wederrechtelijk om het apparaat aan te passen, zolang het maar in originele staat terugkomt.

Binnendringen in het kabelnetwerk dan? Dat is geen computervredebreuk in de zin van de wet, je kunt alleen binnendringen in een geautomatiseerd werk oftewel een computer. En om nou te zeggen dat je binnendringt op de router bij de kabelboer gaat misschien ook weer wat ver.

Wel lijkt het me dat je hiermee wanprestatie pleegt: je doet iets dat tegen de afspraak met de provider is. En op die grond mag de provider je abonnement opzeggen. Vaak staat in algemene voorwaarden expliciet dat je alleen hun apparatuur mag gebruiken en deze niet mag modificeren. Maar zelfs als het er niet staat, lijkt me dit toch zodanig onredelijk dat de provider je nog steeds mag afsluiten.

Arnoud