Nieuw op Iusmentis: Misbruik van een draadloos (Wifi) netwerk (in Beveiliging > Draadloos internetten @ iusmentis.com)

| AE 533 | Ondernemingsvrijheid, Security | 9 reacties

Draadloze netwerken zijn eenvoudiger te misbruiken dan traditionele, bedrade netwerken. Via wardriving is een draadloos 802.11 (“Wifi”) netwerk eenvoudig op te sporen, en als het netwerk onvoldoende beveiligd is, kan iedereen er gebruik van maken. De beheerder kan hierdoor schade lijden. Kan hij deze vergoed krijgen?

In deze paper gaat jurist Jaap Timmer in op het thuisgebruik van Wi-Fi en de gevaren die verbonden zijn aan draadloze netwerken waardoor misbruik van computersystemen kan ontstaan. Misbruik van het draadloze netwerk en eventueel daardoor van het computersysteem van een particulier veronderstelt dat er sprake is van schadelijk gedrag. Schadelijk gedrag veronderstelt op haar beurt weer “schade” en “slachtoffers”. Als deze veronderstellingen met betrekking tot misbruik van een draadloos netwerk blijken te kloppen, rijzen de vragen welke schade deze vormen veroorzaken en of de slachtoffers die computermisbruik ondervinden, op enigerlei wijze hun schade vergoed kunnen krijgen.

In de eerste plaats doet de vraag zich voor of op de dader een civielrechtelijke verplichting rust om de veroorzaakte schade te vergoeden. Een dergelijke verplichting bestaat op grond van artikel 6:162 BW voor de pleger van een onrechtmatige daad die schade heeft veroorzaakt. Om de dader daadwerkelijk te kunnen aanspreken, moet het slachtoffer over voldoende identificerende gegevens van de dader beschikken. Dit is zeker in het geval van computermisbruik door misbruik van een draadloos netwerk erg lastig.

Als de dader al aansprakelijk gesteld kan worden, is er dan nog plaats voor eigen schuld aan de zijde van het slachtoffer die heeft nagelaten gebruik te maken van bepaalde beveiligingsmogelijkheden door bijvoorbeeld encryptie? Wellicht zijn er nog alternatieve wegen om tot vergoeding van de schade te komen en misschien is het onder omstandigheden mogelijk de Internet Service Provider (ISP) voor de schade aansprakelijk te stellen.

Lees verder in Misbruik van een draadloos (Wifi) netwerk (in Beveiliging > Draadloos internetten @ iusmentis.com).

Arnoud

Deel dit artikel

  1. > Het is dus ook strafbaar om zich toegang te verschaffen tot onbeveiligde > netwerken tenzij er sprake is van een onbeveiligd netwerk die zich naar > buiten profileert als zijnde een publiek toegankelijk netwerk, zoals > bijvoorbeeld http://www.wirelessleiden.nl.

    Zoals de meeste artikelen over het misbruiken van draadloze netwerken houdt ook dit artikel geen rekening met het volgende probleem:

    Een volledig onbeveiligd draadloos netwerk profileert zich per definitie als een publiek toegankelijk netwerk!

    De technische specificaties van WLAN definieren een volledig onbeveiligd netwerk als een publiek toegankelijk netwerk. Als ik een verzoek rondstuur aan alle aanwezige netwerken om zich bij mij te melden zal een volledig onbeveiligd netwerk een open uitnodiging naar mij sturen met de melding dat ik vrij ben het netwerk in kwestie te gebruiken. Een van de beveiligingsmaatregelen die genomen dienen te worden is dan ook het uitschakelen van deze uitnodiging (richting vreemden althans).

    Een volledig onbeveiligd netwerk heeft dit dus niet uitgezet, stuurt mij een uitnodiging, waarmij het zich profileert als een publiek toegankelijk netwerk.

    Het punt is dus niet alleen dat ik als wardriver geen beveiliging aan het doorbreken ben, maar ik krijg bovendien een uitnodiging om het netwerk te gebruiken. De analogie met een open voordeur met een bordje “vrije inloop voor onbekenden” boven de deur dringt zich op, en ik vraag me dan ook af in hoeverre een wardriver strafbaar zou zijn bij het gebruik van zo’n netwerk. Ik ben echter geen jurist, en de mening van iemand die dat wel is zou welkom zijn.

  2. Zowel Jaap Timmer, die dit artikel schreef, als ikzelf zijn jurist.

    De wet heeft het over opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk. De oude eisen van het doorbreken van een beveiliging of gebruik van een valse sleutel (etc) zijn nu nog slechts voorbeelden van wat in ieder geval “binnendringen” is.

    Op mijn artikel over computervredebreuk schrijf ik daarover:

    De minister heeft in de Memorie van Toelichting echter aangegeven dat het voor de potenti?le dader wel kenbaar moet zijn dat hij zich op verboden terrein gaat begeven. Dat hoeft dus niet per se een beveiliging te zijn, een voor mensen zichtbare mededeling “Verboden voor onbevoegden” kan al genoeg zijn. Door een draadloos netwerk als naam “Priv?-netwerk, verboden toegang” te geven, weten derden die het netwerk toevallig zien dat het niet de bedoeling is dat ze daar gebruik van maken.

    Ik denk niet dat de technische specificaties van 802.11 daar heel veel aan kunnen veranderen. Het gaat er niet om hoe een systeem ontworpen is, maar hoe het gebruikt wordt. De gemiddelde gebruiker koopt een ADSL modem met een draadloos netwerk, en gaat er vanuit dat alleen hij (en zijn gezin) op dat netwerk zitten. Surft iemand anders dan mee, dan is dat tegen de wil van die gebruiker en dus al snel onrechtmatig.

    Om nu te zeggen “dan had je maar de beveiliging moeten instellen” is wel erg hard. Dat doen we met insluiping en huisvredebreuk ook niet. Je verzekeraar zal niet uitkeren als een dief door de open achterdeur binnenloopt en je TV meeneemt, maar de dief pleegt nog steeds een strafbaar feit door binnen te komen.

    Arnoud

  3. In de meeste gevallen hebben onbeveiligde netwerken een volstrekt nikszeggende beschrijving, zoals “belkin54g” (de in de fabriek opgegeven standaardbeschrijving). Als er wel een niet-standaard beschrijving staat ingesteld is dat zelden een “verboden voor onbevoegden”-melding, maar meer iets als “ruud” voor Ruud’s netwerk. Ik hoeverre tellen deze beschrijvingen als het “kenbaar maken dat hij zich op verboden terrein gaat begeven”?

    Verder is wifi ontworpen – in overeenstemming met hoe het in de praktijk gebruikt wordt, overigens – om volledig door de machine ingesteld en beheerd te worden. Menselijke bemoeienis is mogelijk, maar optioneel. Is een voor mensen zichtbare mededeling dan nog wel een voldoende aankondiging dat het een priv?-netwerk betreft? Dit wordt natuurlijk versterkt door het feit dat er een prima methode is om aan machines duidelijk te maken dat het netwerk niet voor publiek gebruik bedoeld is, namelijk het uitschakelen van het in mijn vorige reactie beschreven uitnodigingsbericht.

  4. Deze wet is zo nieuw dat ik daar nog geen antwoord op kan geven. Ik zou kijken naar wat de meeste mensen zouden verwachten: dat iedereen mee mag liften tenzij je aangeeft van niet, of dat niemand op jouw netwerk mag tenzij jij het open zet.

    Hoe het technisch werkt, kan daarbij relevant zijn. Je ziet bijna elke maand in computertijdschriften “hoe beveilig ik mijn netwerk”. Daar zou je uit kunnen concluderen dat je als gemiddelde consument moet weten dat dat belangrijk is. Laat je het na, dan is schade je eigen schuld. Je kunt ook zeggen, omdat ze het elke maand uitleggen, is het kennelijk nog geen feit van algemene bekendheid.

    Arnoud

  5. En in hoeverre is het recente artikel van Bruce Schneier van toepassing op de Nederlands wet? http://www.wired.com/politics/security/commentary/securitymatters/2008/01/securitymatters_0110

    Schneier’s redenering is dat je met een open draadloos netwerk minder aansprakelijk bent voor criminaliteit gepleegd via je netwerk omdat dat de norm is (niemand kan zijn WiFi goed instellen in het woud van opties). Terwijl als je WiFi (faux-)beveiligd hebt en iemand hackt daardoorheen en pleegt er een misdrijf mee, is je verhaal een stuk moeilijker.

    In dezelfde trans, pas in Denemarken een zaak waarbij een PC in beslag wordt genomen van iemand die een open draadloos netwerk heeft: http://www.boingboing.net/2008/02/06/funny-story-about-co.html Mag er op zo’n onwaarschijnlijke verdenking in Nederland ook zomaar je pc in beslag genomen worden?

  6. Alper, zie hierover mijn Een open draadloos netwerk als bewijs van onschuld waarin ik inga op dit artikel van Schneier.

    De politie mag elk voorwerp in beslag nemen als dat “ten behoeve van de strafvordering” is (art. 134 Wetboek van Strafvordering). Daaronder vallen met name “alle voorwerpen die kunnen dienen om de waarheid aan de dag te brengen” (art. 94 Sv). Zie dit boek voor juridische achtergrond.

    Als op de PC dus sporen te verwachten zijn van een misdrijf, mag de politie die meenemen voor sporenonderzoek. Ook als de eigenaar roept dat hij een open netwerk heeft: de politie zal toch moeten controleren of er niet stiekem toch iets vanaf zijn eigen PC is gebeurd.

    Het omgekeerde zou ik gekker vinden: de politie traceert een misdrijf tot mijn thuisnetwerk, komt hier binnen, ik zeg “ja maar ik heb een open netwerk” en zij zeggen “oh, in dat geval sorry voor het storen” en gaan weer weg.

    Arnoud

  7. In het Deense geval is de agent zodanig incompetent dat ik me afvraag in hoeverre die een beoordeling kan maken wat de waarheidsvinding ten goede komt en wat niet.

    Maar vandaag de dag valt toch niet echt meer goed te praten om iemands pc voor willekeurige tijd mee te nemen voor onderzoek. Bij verdenking van een misdaad mag men je het leven en werken onmogelijk maken? En wat moeten ze dan meenemen? Potentieel genoeg internet-capabale apparaten in huis: laptop, desktop, externe harde schijven, iPhone, N800, xBox, Wii, set-top box etc. Alles?

  8. Goed punt, Alper. Ik zou het vreselijk vinden als mijn laptop en andere apparatuur ineens verdween vanwege zoiets. Aan de andere kant: stel de politie laat een NAS met cruciaal bewijs staan omdat de verdachte anders zo zielig is, dan zijn de poppen pas echt aan het dansen.

    Ik ken verhalen uit de VS waar mensen hun CD-collectie is meegenomen. Want ja, CD’s kunnen stiekem data-cd’s met een mooie opdruk zijn.

    Op zich heb ik er niet zo’n moeite mee, mits je het maar snel weer terugkrijgt. En daar lijkt het nogal eens aan te schorten.

    Arnoud

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS