Gratis internet in de trein hacken, mag dat?

| AE 1493 | Security | 9 reacties

ns-kpn-onlineindetrein-binnendringen.pngDe draadloze internettoegang, die momenteel als proef gratis wordt aangeboden in de trein tussen Groningen en Leeuwarden, blijkt slecht beveiligd te zijn, las ik bij Tweakers. De verbindingen zijn standaard niet versleuteld, waardoor iedereen mee kan lezen met het netwerkverkeer. Ook blijkt de router gewoon de fabriekswachtwoorden te gebruiken. Dit ontdekte NOS Headlines dat “met de internettrein” reisde.

Dankzij dit aftappen wist de NOS ook het wachtwoord van een e-mailaccount te achterhalen, waarna men op het account inlogde en de eigenaar benaderde. Bij Security.nl werd al gemeld dat dit computervredebreuk zou zijn. Bij het aftappen van de verbindingen wordt het juridisch interessanter. Hoewel het “opzettelijk en wederrechtelijk opnemen of aftappen van gegevens die niet voor hem bestemd zijn” strafbaar is (art. 139c Strafrecht), is er een uitzondering voor “door middel van een radio-ontvangapparaat ontvangen gegevens”. Op grond van de informatievrijheid (art. 10 EVRM) is het namelijk toegestaan om radiosignalen op te vangen en te gebruiken, zolang je daarbij geen ‘bijzondere inspanning’ hoeft te verrichten.

De NOS heeft dus computervredebreuk gepleegd toen men op dat e-mailaccount inlogde. Haar rechtvaardiging zal zijn dat sprake was van nieuwsgaring: men wilde aantonen dat draadloos internet in de trein veel onveiliger was dan mensen dachten. Het plegen van misdrijven in het kader van vrije nieuwsgaring is een dubieuze kwestie. Zoals ik al bij de hack van staatssecretaris Jack de Vries schreef, ook journalisten mogen de wet niet breken, zelfs niet om aan te tonen dat sprake is van een misstand. (Hier was het strikt gesproken een derde die voor de camera liet zien hoe hij het systeem hackte.)

Er moet wel een bijzonder zwaar nieuwsbelang zitten aan zo’n wetsovertreding wil je ermee weg kunnen komen. Bij de hack van Jack kon ik die niet bedenken, en ook hier heb ik er moeite mee. Draadloos internet is onveilig want mensen kunnen meelezen. Is dat nieuws? Voor mij niet echt, maar voor veel gebruikers waarschijnlijk wel – zoals blijkt uit de ophef over dit stukje. Het stond trouwens wel keurig in de voorwaarden maar ja, wie leest die nou?

Trouwens, het nut van aparte internetvoorzieningen in de trein snap ik nog steeds niet. Er is toch HSDPA dat landelijke dekking zou moeten leveren? Zorg er dan liever voor dat die dekking ook echt landelijk is, want onder ‘landelijk’ versta ik ook “buiten de ring A10” en dus ook “op het spoor tussen Best en Geldermalsen”. Oh ja, en hang stopcontacten in alle treinen. Wat jullie?

Arnoud

Deel dit artikel

  1. Het is allemaal too little, too late. Tegenwoordig is mobiel internet via UMTS/GPRS/HSDPA prima betaalbaar. 220v zou ik een jaar geleden nog heel belangrijk hebben gevonden, maar nederland is klein en met de accu in m’n netbook is groningen->vlissingen bijna te overbruggen (niet dat ik ooit van groningen naar vlissingen reis :). In grotere landen stel ik de 220v wel op prijs.

  2. Ikzelf heb geen umts/hdspa, dus dat is voor mij geen optie.

    Regelmatig maak ik gebruik van ‘het kippelijntje’ (Ede Amersfoort), waar al jaar en dag GRATIS wifi beschikbaar is. En of het nodig is? tjah… Het is in ieder geval makkelijk om even met je mobiel je mail te kunnen checken, etc. Wel frapand vind ik het dat de NS zo lang nodig heeft aan experimenteren vanwege de ‘innovativiteit’, terwijl aanbieders als Connexxion het al lang doen.

  3. De lijn Groningen-Leeuwarden wordt door Arriva geexploiteerd Freeaqingme, maar je hebt denk ik wel gelijk met wat je zegt over dat het vreemd is dat ze er zo lang over doen voordat ze iets dergelijks beschikbaar stellen. Overigens rijdt Arriva met betrekkelijk nieuwe treinen, maar afgelopen december verscheen er een bericht in de krant dat de toiletten niet gebruikt konden worden door het koude weer. Persoonlijk vind ik dat belangrijker dan draadloos internet in diezelfde treinstellen.

    Dan even over de vraag of dit ‘hacken’ mag. Naar mijn persoonlijke mening dus niet. Je bent misschien wel vrij om signalen te ontvangen, maar meeliften met een draadloos netwerk van je buurman thuis mag ook niet. Of het ‘hacken’ in de trein moreel fout is daar laat ik me niet over uit, maar ik denk wel dat de wetgever in dit soort gevallen een lijn zou moeten trekken. De wet loopt natuurlijk wel hopeloos achter op deze toch al gedateerde technologie.

  4. AHans: Waarom zou het ontvangen van radio-communicatie niet mogen? Het is in kringen van computerprofessionals al lang bekend dat bij Wifi triviaal meegeluisterd kan worden, tenzij je encryptie (WPA/SSL) toepast. Ik zou graag zien dat ISPs daaruit de conclusie trekken en webmail (en andere “login” websites) ALLEEN als “Secure” website aanbieden. (Helpt ook tegen “hotel-sniffers” die het bedrade netwerk aftappen.)

    Een tweede punt is het “meeliften” op andermans Wifi netwerk. Er zijn tal van aanbieders van “publiek Wifi”; hoe kan een willekeurige computergebruiker weten of hij met het hotelnetwerk verbinding maakt of met het onbeschermde netwerk van de buurman? De simpele regel: een netwerk zonder wachtwoord is openbaar, een netwerk met wachtwoord vereist toestemming maakt de opinie over “meeliften” simpel (en plaatst het in de juiste handen: bij de netwerkbeheerder.)

  5. Eigenlijk kan iedere gebruiker nagaan dat het internet in de trein niet versleuteld is. Als je inlogt op het netwerk hoef je immers geen WPA-key in te voeren. Voor andere openbare WiFi-diensten zoals HotSpots van KPN geldt hetzelfde. Dus de nieuwswaarde ontgaat mij. Overigens wijst KPN er wel op dat de verbinding via HotSpots niet versleuteld is (en niet alleen in de algemene voorwaarden). Als je via een versleutelde verbinding wilt internetten raadt KPN je aan om een VPN-verbinding op te zetten naar een bedrijfsnetwerk (bijv. van je werkgever). Ook is het mogelijk om een VPN-verbinding op te zetten naar het HotSpots-netwerk zelf als je een bepaald programma (Secure Access) installeert.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS