Een open draadloos netwerk als bewijs van onschuld

De grote beveiligingsgoeroe Bruce Schneier heeft een volledig open draadloosnetwerk thuis, zo schreef hij in een recente column bij Wired. Iets dat veel van zijn bezoekers verbaast: weet hij dan niet dat er allerlei onfrisse types zijn die daar misbruik van maken, waarna de politie hem zal komen arresteren omdat alles vanaf zijn IP-adres gedaan lijkt te zijn?

While this is technically true, I don’t think it’s much of a risk. I can count five open wireless networks in coffee shops within a mile of my house, and any potential spammer is far more likely to sit in a warm room with a cup of coffee and a scone than in a cold car outside my house. And yes, if someone did commit a crime using my network the police might visit, but what better defense is there than the fact that I have an open wireless network? If I enabled wireless security on my network and someone hacked it, I would have a far harder time proving my innocence.

Dat laatste is intrigerend: als Schneier zijn netwerk goed beveiligt, is het dus onmogelijk dat een ander er op ingebroken is. Dus alles wat dan vanaf zijn IP-adres is gebeurd, moet hij zelf gedaan hebben. Daar zit wat in.

Je zou dat kunnen omkeren: als je je netwerk dus openzet voor iedereen, valt nooit te bewijzen dat jij iets gedaan hebt. Je kunt dan altijd die langsrijdende hacker de schuld geven. Maar dat is ook weer iets te makkelijk.

Bij een strafzaak moet de rechter ‘overtuigd’ zijn van de schuld van de verdachte (artikel 338 Strafvordering). Heeft de verdachte een redelijk klinkende alternatieve verklaring voor het gebeurde, dan kan hij worden vrijgesproken. Maar een enkele theoretische mogelijkheid is meestal niet genoeg. Pas als het bewijs een redelijke twijfel oproept, kan vrijspraak volgen.

In dit geval zal het bewijs vrijwel altijd een verklaring van een getuige-deskundige zijn. Een getuigenverklaring is “wettig bewijs” (art. 339 Strafvordering). Logfiles en andere aanwijzingen zijn op zichzelf meestal niet duidelijk genoeg om meteen als bewijs te dienen. De getuige-deskundige moet dan uitleggen wat voor elektronische aanwijzingen hij heeft gevonden op de PC en het thuisnetwerk van de verdachte, en of daaruit redelijkerwijs blijkt dat er sprake was van een indringer van buitenaf.

Uit het hebben van een onbeveiligd draadloos netwerk volgt niet dat elke activiteit door een wardrivende hacker gepleegd is. Er zullen op zijn minst concrete aanwijzingen in bijvoorbeeld de logfiles moeten zijn dat iemand zich heeft aangemeld met een MAC-adres dat nooit eerder is gebruikt.

In een arrest van de Hoge Raad afgelopen juni over bedreiging per e-mail voerde de verdachte aan dat hij de mails niet gestuurd had:

dat uit de stukken niet kan worden afgeleid dat de verdachte de berichten heeft verzonden, dat de mogelijkheid bestaat dat de berichten vanuit een andere computer zijn verzonden en dat uit de bewijsmiddelen niet duidelijk is geworden of het [gebruikte] IP-adres een statisch of dynamisch IP-adres is, hetgeen zou meebrengen dat meer mensen van dit IP-adres gebruik hebben kunnen maken, terwijl verder de verzending van e-mail vanaf een bepaald hotmail-adres niet zonder impliceert dat de houder van dat adres die e-mail ook verzonden heeft.

Het IP-adres bleek echter al bijna twee jaar uitsluitend bij de verdachte in gebruik. Dit is bij de provider eenvoudig na te gaan.

Dat de andere berichten verzonden zouden kunnen zijn van een andere computer – hetgeen inderdaad bij een hotmail-adres mogelijk is – is een mogelijkheid die het Hof als hoogst onwaarschijnlijk buiten beschouwing heeft kunnen laten, mede in aanmerking genomen wat het Hof over het IP-adres, zoals hiervoor vermeld en de verhouding tussen verdachte en [het slachtoffer] heeft vastgesteld. Dan zou een derde zich onbevoegd het wachtwoord en het e-mailadres hebben moeten verschaffen. Daarbij komt nog dat uit bewijsmiddel 9 kan worden afgeleid dat het desbetreffende e-mailadres “[e-mailadres 1]” 168 keer is aangetroffen op de computer van de verdachte.

Oftewel: het IP-adres was twee jaar lang aan u toegekend, niemand anders kon op de tijdstippen vanaf uw PC mails versturen en gezien de inhoud is het zeer aannemelijk dat u ze geschreven heeft. Dus u was het.

Nu is het theoretisch mogelijk dat iemand die PC op afstand gekraakt heeft, en zo vanaf die PC alles kon doen waar hij zin in had. Inclusief dus bedreigende mails sturen naar de collega van de verdachte die de aangifte van bedreiging had gedaan. Ook voor dat geval heb je een getuige-deskundige nodig, die sporenonderzoek gaat doen om te kijken of er b.v. een Trojaans paard of rootkit op de PC aanwezig is.

In dit vonnis gaf de rechtbank mooi weer hoe zulk bewijs wordt toeepast:

Tegen het feit dat [een tweede deskundige] ter terechtzitting in hoger beroep, sprekend over de theoretische mogelijkheid dat hem sporen van hacking zouden zijn ontgaan, heeft opgemerkt dat hacken niet uit te sluiten is, weegt op dat hij voor het feit dat dat zou zijn gebeurd (te weten dat die computers wèl gehackt zouden kunnen zijn geweest) geen enkele aanwijzing heeft gevonden en dat de aangetroffen sporen op de computers dermate in elkaar grijpen en interne consistentie vertonen dat het onwaarschijnlijk is dat de sporen anders dan door normaal gebruik van de computers – en dus niet door manipulatie van buitenaf – op die computers terecht zijn gekomen.

Je kunt dus niet zonder meer zeggen “er kan gehackt zijn, dus ik was het niet”. Wat er precies gebeurd is, moet meespelen bij de inschatting of de verdachte het gedaan heeft. Een geavanceerde computerinbraak bij Defensie vanaf het thuisnetwerk van Jan en Petra van 83 die vorige week voor het eerst “internet hebben gekocht”, zal waarschijnlijk door een langsrijdende hacker gepleegd zijn. Een ruzie op school die vervolgens leidt tot anonieme scheldmails zal echter waarschijnlijk door de ruziemaker gestart zijn.

Arnoud

14 reacties

  1. Dit is allemaal leuk in theorie maar:

    “And yes, if someone did commit a crime using my network the police might visit, but what better defense is there than the fact that I have an open wireless network?”

    klinkt makkelijker dan het is. Fijn dat je een sterke verdediging hebt maar ondertussen heb je wel een politie-inval gehad, krijg je niets van te horen van de politie, kan je weken wachten voor je uberhaupt iets kan doen (juridisch gezien) en kan je maanden wachten tot de politie klaar is met hun (over het algemeen behoorlijk incompetente) onderzoek. Daarna, na die maanden met stress, ergernis en grote problemen als je geen off-site backups hebt kan je, als je idd onschuldig bent, met een beetje geluk vrij eenvoudig aantonen dat je onschuldig bent. Bovenstaande is een leuk gedachten-experiment maar in de praktijk IMO veel te riskant. Zelfde geldt overigens voor het draaien van een open proxy of b.v. TOR.

    Bottomline: denk eerst 3x heel goed na voor je over gaat tot dit soort lovenswaardig (in het geval van TOR) maar riskant gedrag.

  2. In beide aangehaalde zaken waren behoorlijke aanwijzingen die al wezen op de verdachte. Zeker in het arrest van de Hoge Raad sluit verdachte zelf al zo ongeveer uit dat iemand anders de mails verstuurd zou kunnen hebben. De eigenlijke vraag: Sta je sterker als je je netwerk open laat of als je het beveiligd, wordt hiermee niet beantwoord. Uitgaande van een situatie waarin iemand daadwerkelijk zelf niets heeft gedaan, maar een ander het netwerk heeft gebruikt om bijvoorbeeld ergens te hacken, bij gelijkblijvende overige omstandigheden (logfiles van routers die geen uitsluitsel bieden etc.), denk ik dat je kunt stellen dat de bewijskracht van het feit dat de hack vanuit jouw netwerk kwam afneemt op het moment dat het netwerk open en onbeveiligd was.

  3. Ik ga een heel eind met Schneier mee. Als je een open netwerk hebt, maakt dat het argument “het was een hacker” in ieder geval theoretisch mogelijk. Afhankelijk van de andere feiten wordt dat argument alleen maar sterker. Heel ander MAC-adres, sites die ik zelf nooit bezoek, ik was op dat tijdstip ergens anders, enzovoorts.

    Zit je netwerk potdicht, dan ben je het argument “het was een hacker” zo goed als kwijt. Zeker bij iemand als Schneier: niemand gelooft hem als hij zegt dat hij gehackt is. Ook al is het waar.

    Verder ziet hij een open netwerk als een stukje beleefdheid naar bezoekers en langsrijdende mensen toe. Daar valt wat voor te zeggen, zeker als je met de trein een uur stilstaat naast een boerderij met een open wifi ben je daar erg blij mee.

    Het argument dat je je PC maanden kwijt bent, ook al ben je onschuldig, is natuurlijk ook weer waar.

    Misschien is het dan nog maar het slimste om een bedraad netwerk te hebben?

    Arnoud

  4. Ik had het stukje van Schneier al gelezen maar miste de optie om te reageren. Zijn logica is enorm krom: omdat je iets niet helemaal goed kan doen, kan je het net zo goed niet doen. Dat is dezelfde redeneren als: omdat het extra hangslot op mijn deur kapot is, kan ik ‘m net zo goed open laten staan (ongeacht wat Schneier daar zelf over zegt).

    Wat een uilebal is die Schneier zeg! Als jury (want V.S.) zou ik iemand die zijn netwerk niet beveiligt heeft eerder schuldig bevinden dan iemand die het wel beveiligd heeft en “gehackt” is. Zelfs in de V.S. hoef je (in theorie, want daar gaat het hier over) je eigen onschuld niet te bewijzen.

    En dan zijn loze opmerking over Fon! “Wat een goed idee!” zegt hij, maar verder laat hij het links liggen en geeft hij de voorkeur aan niet beveiligen. Fon lost al zijn problemen in ??n keer op: je netwerk is beveiligd voor priv?gebruik, open voor gastgebruik, beveiligd tegen overgebruik en de gasten worden gelogd en zijn bekend bij Fon. Nou, gebruik dat dan.

    Dit is echt het belachelijkste artikel dat deze zogenaamde beveiligingsexpert ooit geschreven heeft. W?t een charlatan zeg.

    In reactie op jouw laatste (retorische?) vraag: volgens Schneier is een bedraad netwerk nog gevaarlijker omdat het dan nog moeilijker is om te bewijzen dat je de duistere zaken niet zelf hebt uitgevoerd. Een draadloos netwerk is prima te beveiligen en als je je dan nog steeds zorgen maakt, kan je een OSI-stapje hoger gaan en IPSec toepassen op je netwerkverkeer (al dan niet via een vpn). Verder is het een kwestie van goeie logfiles bijhouden (meer dan alleen mac-adressen).

  5. Schneier redeneert dat systemen zo goed zijn als ze falen. Elk systeem faalt en er bestaat niet zoiets als een potdicht draadloos netwerk. De algorithmen en implementaties zijn vrijwel allemaal matig en de fabrikanten zitten angstvallig op hun firmware, vaak omdat die slecht geschreven en kwetsbaar voor aanvallen is.

    Het is niet alleen beleefdheid, maar iedereen die ergens open WiFi heeft gevonden toen hij het nodig had, kan zich het goede gevoel voorstellen wat je anderen bezorgt (ik tik dit zelf op een open accesspunt van de buren).

    Draadloze software is spectaculair ongebruikersvriendelijk wat leidt tot onveilige situaties. De meeste mensen zijn blij als het werkt. Al die truukjes om de boel te beveiligen zijn voor experts al lastig en nauwelijks de moeite waard, laat staan voor jan en mien op de hoek.

    @Merijn: Het lijkt me na?ef om de politie overmatig te vertrouwen in dit soort dingen.

  6. Twee vraagjes: 1) Ben je in Nederland eigenlijk verplicht om je draadloze router te beveiligen tegen misbruik? 2) Als je je draadloze router hebt laten installeren door je ISP, kun je dan je ISP verantwoordelijk houden als later blijkt dat de beveiliging niet goed was ingesteld?

    Vraag twee is vooral van belang voor mensen die zelf geen technische kennis hebben maar wel thuis willen internetten vanaf hun WII of Pleestation.

  7. 1) Formeel niet, maar als er schade optreedt die je gemakkelijk had kunnen voorkomen door zo’n beveiliging dan ben jij daar aansprakelijk voor. Zeg maar het equivalent van een hekje plaatsen rond een gat in de grond. 2) Dat denk ik wel, zij zijn de professionals en moeten dus weten hoe ze afdoende beveiliging realiseren. Natuurlijk geldt dat niet bij beveiligingsfouten die de ISP niet had moeten kennen bij installatie.

  8. Ik heb zelf een onbeveiligd draadloos netwerk, en gebruik daarnaast met enige regelmaat TOR. Stel dat iemand registreert dat er iets strafbaars gebeurt vanaf mijn IP-adres, kan het mij dan helpen om te redeneren dat, als ik iets strafbaars zou doen, dat ik daar TOR wel voor zou gebruiken, dus als iets strafbaars zonder TOR gebeurt op mijn IP-adres, dat dat waarschijnlijk niet van mij afkomstig is?

    Als je onbeveiligd wireless internet aanbiedt aan iedereen in de buurt, ben je dan een internetprovider? Moet je je zelf dan ook registreren bij de OPTA, meewerken aan aftappen door de StaSi politie en zo?

    Ik zie een toekomst voor me waarin openbare wireless mesh netwerken een grote rol gaan spelen. Een toekomst waarin iedere internetgebruiker ook internetaanbieder is, en grote gecentraliseerde internetproviders een beperkte rol krijgen. Ik hoop dat de overheid zal inzien dat de huidige aftap-wetgeving volkomen waanzin zou zijn in zo’n scenario. Dat wireless communicatie niet fundamenteel anders is dan mensen die op straat met elkaar praten. Ik hoop dat politici hun expliciete steun zullen uitspreken voor de volgende rechten:

    1) Het recht om te communiceren met elke partij die in stemt met deze communicatie 2) Het recht om bij communicatie je identiteit verborgen te houden voor de andere partij, indien de andere partij daarmee in stemt 3) Het recht om bij communicatie je identiteit verborgen te houden voor derden, zodat derden niet zonder jouw instemming kunnen achterhalen dat je hebt gecommuniceerd met de andere partij 4) Het recht om bij communicatie de uitgewisselde informatie verborgen te houden voor derden 5) Het recht om informatie waar je over beschikt verborgen te houden voor anderen

    Dit zijn niet de belangrijkste rechten die er zijn (het recht op leven is bijvoorbeeld belangrijker), maar voor zover ik kan zien zijn deze rechten nooit in strijd met belangrijkere rechten. Ik vind dus dat de bovenstaande rechten zonder uitzondering van toepassing zijn.

  9. Hoi Arnoud,

    Het vraagstuk van cybercrime via IP-adres interesseert me, voornamelijk de bewijsvraag.

    Ik schets dan meteen casus waarbij bijv. 5 mensen in een huis zitten en er één computer wordt gebruikt. Vanaf deze computer wordt een dreigtweet verstuurd. Ik ben toch erg benieuwd hoe ooit kan worden bewezen welke van deze 5 mensen schuldig is aan het strafbare feit. Hoe kan men bewijzen wie op dat moment achter de computer zat? Het lijkt erop alsof dit -via IP traceren- vooral gebaseerd is op aannames.

    Daarnaast lijkt erop dat bij individueel geval geldt: dreigement vanaf computer A, computer A is van persoon A, dus dreigement van persoon A. Hierbij wordt een belangrijke schakel overgeslagen –> zat persoon A wel achter zijn computer? M.a.w. ik vind het allemaal maar discutabel, misschien dat u er meer opheldering over heeft.

    1. Bewijs werkt in het recht anders dan in de natuurkunde. Er mogen best vermoedens of aannames in zitten, zolang die maar met andere bewijsmiddelen kunnen worden aangevuld of ondersteund. Als van A bekend is dat hij een hekel heeft aan de bedreigde persoon en dat al vaker uitte ook, dan ligt het voor de hand A als verdachte aan te merken. Natuurlijk kán het huisgenoot B zijn die ‘m een loer wilde draaien f huisgenoot C die stiekem óók die hekel had maar dat is toch speculatiever.

      Uiteindelijk moet de rechter overtuigd zijn van de schuld en dat vereist meer dan een IP-adres. Maar de politie kan wel in die situatie de PC van A onderzoeken. Staan daar in de Prullenbak drie conceptteksten van de dreigtekst dan heeft Justitie toch wel een zaak denk ik. En wellicht zijn er logs op de pc van online activiteit op dat moment (in de browsercache staat het wachtwoord van twitter.com en diverse oproepen naar de “schrijf een tweet” pagina) plus negatief bewijs bij de huisgenoten. DIe optelsom kan leiden tot een overtuiging ook al is op elk stukje in theorie prima in te hakken.

      1. Beste Arnoud, Om te beginnen bedankt voor uw antwoord! Aangezien het artikel al redelijk lang geleden gepubliceerd is had ik niet verwacht zo snel antwoord te krijgen.

        De vermoedens of aannamens in het geval van dreigtweets zijn in mijn ogen toch wel vrij groot en met grote impact. U schetst een situatie waarbij bekend is dat iemand al een hekel heeft aan een ander. In de andere situatie is er aanvullend materiaal op computer van verdachte te vinden. Doch kan ik mij de situatie voorstellen waarin het enige bewijs is dat het dreigement is verstuurd vanaf de computer van persoon A. Ondersteunend materiaal ontbreekt.

        Ik heb sterk het idee dat er gewoonweg wordt gedacht als in: dreigement van computer A, dus dreigement van A. Ergens klopt deze gedachtegang voor mijn gevoel niet. Het onderwerp blijft me in ieder geval boeien.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.