Wat zegt een A-klasse IP-adres over stalking?

class-a-ip-address.pngWat heeft een A-klasse IP-adres te maken met cyberstalking? Ik dacht dat IP-adresklassen waren afgeschaft, maar de term dook ineens op in een recent arrest waarbij de vraag was of vanaf een bepaald IP-adres mails waren verstuurd.

Het ging om een geval van cyberstalking, via sms en e-mail, waarbij op zeker moment werd gedreigd naaktfoto’s op internet te zetten van het slachtoffer. Ook werd het bedrijf van het slachtoffer negatief gerecenseerd op diverse sites en werd op Kinky een seksadvertentie (seksuele massages) gezet met haar telefoonnummer erbij. Maar het was niet alleen cyber: ook het raam van haar woning werd op zeker moment beklad met teksten.

De verdachte werd veroordeeld maar ging in hoger beroep, onder meer met de klacht dat de rechtbank ten onrechte had bepaald dat de berichten door de verdachte waren geplaatst, omdat alleen van het afzenderipadres was uitgegaan. En dat zou nog eens van Hotmailservers zijn geweest en niet de PC van de verdachte.

In het arrest reageert het Hof daar als volgt op:

De rechtbank is er terecht van uitgegaan dat het een feit van algemene bekendheid is dat IP-adressen unieke adressen zijn, die zijn te herleiden tot individuele computers of routers. Dat geldt ook als een IP-adres behoort tot de zogenaamde A-klasse (waarvoor slechts de eerste cijfers indicatief zijn) en (met name) als sprake is van een statisch IP-adres. Feitelijk onjuist is dus de bewering dat een statisch IP-adres dat tot de A-klasse behoort in zijn geheel slechts naar een mailserver of provider kan worden herleid.

Hoe dit nu precies op de klacht ingaat, begrijp ik niet. Sterker nog, ik begrijp niet goed wat A-klassen te maken hebben met de vraag of het IP-adres van de verdachte was, of beter gezegd of de verdachte achter de PC zat en de mails verstuurde. Misschien dat men hier wat details uit de exacte klacht wegliet. In ieder geval is het lastig dat het IP-adres is geanonimiseerd in het vonnis.

Wel juist is het volgende:

vormen de negatieve berichten waar [geïntimeerde] zich op beroept in onderling verband gelezen – en met name ook gelezen in het licht van de onbestreden mails die [appellant] in ieder geval zelf heeft gestuurd – naar het oordeel van het hof sterke aanwijzingen voor het gelijk van [geïntimeerde]. Elke redelijke twijfel daarover is in dit hoger beroep inmiddels weggenomen door de berichten die na het bestreden vonnis zijn verstuurd onder de naam [naam 4]. Zowel het taalgebruik als de inhoud van die berichten rechtvaardigt voorshands de conclusie dat deze van [appellant] afkomstig zijn.

De inhoud en aard van de berichten zijn natuurlijk ook prima bewijs dat het de verdachte moet zijn geweest die ze verstuurde. Natuurlijk, in theorie is er van alles denkbaar met überhackers die iemand te grazen willen nemen, maar dat is bepaald onwaarschijnlijk. En uiterst onwaarschijnlijke opties mag een rechtbank buiten beschouwing laten.

Iemand enig idee waar de verdachte heen zou hebben gewild met het klasse-A-argument?

Arnoud

20 reacties

  1. Wat hij bedoelde staat er wel een beetje.

    Feitelijk onjuist is dus de bewering dat een statisch IP-adres dat tot de A-klasse behoort in zijn geheel slechts naar een mailserver of provider kan worden herleid.
    verdachte heeft dus die bewering gedaan.

    Ik stel me voor dat dat als volgt ging. Dit is mijn theorie:

    • we hebben een mailtje A waarvan wordt beweerd dat het afkomstig is van verdachte
    • we hebben een mailtje B wat afkomstig is van verdachte
    • beide mailtjes bevatten een header in de trant van “X-Originating-IP: 65.54.190.199”
    • beschuldiging: dat IP adres is gelijk, mailtje B is van jou, dus mailtje A ook.

    Verdachte heeft (waarschijnlijk terecht) opgemerkt dat alle mailtjes die via de Hotmail webinterface worden gestuurd een X-Originating-IP header bevatten van een Microsoft Hotmail webserver. Feit dat deze IP adressen gelijk zijn zegt niets: deze pool van IP adressen wordt gedeeld door alle Hotmail-klanten ter wereld.

    De bewering dat een IP adres te herleiden is tot een individuele router of computer (juist) moet niet worden verward met de bewering dat een IP adres te herleiden is tot een aan een individu behorende router of computer (onjuist).

    Punt van de verweerder was dat er eigenlijk twee soorten IP-adressen zijn: IP adressen die toebehoren aan wat we vroeger Internet Service Providers (“hosters”) noemden, en IP adressen die toebehoren aan wat we vroeger Internet Access Providers (“providers”) noemden. En dat je bij een IP-adres uit de eerste categorie niet zomaar twee mailtjes met dezelfde X-Originating-IP mag nemen en zeggen ‘die zijn dus allebei van jou’.

    Helaas heeft hij de IP-adressen uit de eerste categorie verwoord als “statische klasse A-adressen”. Nu zijn IP adressen uit de eerste categorie wel vaak statische klasse A-adressen, maar niet per definitie, en ook niet andersom: niet alle statische klasse-A adressen behoren tot de eerste categorie.

  2. Maar tegenwoordig werken we toch niet meer met klassegebaseerde IP-adressen? Sterker nog, worden niet IP-adressen uit oude class A-blokken hergebruikt nu IPv4 bijna (helemaal?) op is.

    Het punt “dit IP-adres is van Hotmail, niet van mij” is op zich valide maar ik snap de link met de klasse van het IP-adres niet. Het lijkt me dat de IP-ranges van Hotmail eenvoudig op te vragen zijn.

    Of, omgekeerd: waarom is niet op basis van dat IP-adres een verzoek aan de provider gedaan de NAW-gegevens van de abonnee te verstrekken? Dat zou het sterkste bewijs zijn geweest.

  3. @Richard: het hof reageerd anders wel met

    Dat geldt ook als een IP-adres behoort tot de zogenaamde A-klasse (waarvoor slechts de eerste cijfers indicatief zijn)

    Oftewel haal ik hier uit dat hij/zij het wel over een klasse A IP adres hebben (0-127.x.x.x) Voor de rest geeft die 1e reaktie na de 1e zin aan dat het hof ook verstand van bazelen heeft 😉

    Wat als nu de verdachte een gmail account zou gebruiken? Dan is het mailtje geschreven van een 10.x.x.x adres oftewel een private non internet routeerbaar adres? Ik kan thuis ook gewoon 10.x.x.x gebruiken als ik wil…

    Bottom line vanuit mijn punt gezien snijd het hof alleen hout met de laatste alinea die Arnoud aanhaalt.

  4. @Arnoud, @Sjoerd, mijn vermoeden is dat de verweerder zijn punt gewoon incorrect verwoord heeft en dat nu dus in zijn gezicht terugkreeg. Niet verder zoeken naar logica wanneer die er gewoon niet is 🙂

    Ik snap de link met de klasse wel een beetje. Natuurlijk moet je gewoon met whois kijken wie de eigenaar van het blok is, maar in de regel(!!!) is het wel zo dat een klasse-A adres eerder aan een groot en Amerikaans bedrijf toebehoort dan aan een Nederlandse consument. Laat ik het zo zeggen dat indien deze rechtszaak 15 jaar eerder had gediend, het punt van de verweerder volkomen valide geformuleerd was geweest. “Je hoeft niet eens whois te doen, want je ziet al aan het eerste cijfer van het IP adres dat dit nooit aan een in Nederland woonachtige persoon kan behoren”.

    Oei, mijn punt zelf even onderuit schoffelen: ik weet nog dat ik in die tijd een collega had die bij Compuserve.com zat, en die kreeg dan als NL consument zo’n statisch klasse-A adres. Groot respect kreeg die, maar hij betaalde er dan ook fors voor. Hij was dan wel weer de uitzondering die de regel bevestigde.

  5. De klassen zijn alleen maar een indicatie van in welke grootte de blokken IP-adressen zijn uitgedeeld. Als je een IP-adres uit een A-blok aantreft dan was het er eentje uit de oorspronkelijk uitgedeelde enorme blokken. Over statisch of dynamisch zegt dat niets, het waren vooral grote bedrijven die deze blokken kregen (en Microsoft was daar trouwens niet bij).

    In het quadrant linksboven staan de A-adressen:

    http://xkcd.com/195/

  6. Ik denk dat degene die met dat klasse verhaal aangekomen is een gevalletje klok en klepel heeft gehad. Lijkt me dat dat totaal lost staat van waar het werkelijk omgaat. Als het IP adres van een hotmailserver is kan dat inderdaad niet als bewijs gebruikt worden. Wellicht zouden de relevante gegevens bij hotmail opgevraagd kunnen worden.

  7. @Richrd: Als ik wikipedia goed interpreteer, dan geeft X-Originating-IP juist het IP adres aan van de browser die verbinding maakt met hotmail, niet van een hotmail server. Dan is het dus wel degelijk (met de bekende mitsen en maren) mogelijk om er een verzendende computer mee te identificeren.

    Wat betreft het klasse A verhaal: Ik volg die logica ook niet echt. Er zijn wel nog steeds klasse A (eigenlijk tegenwoordig /8) adressen in z’n geheel toegewezen aan allerlei organisaties, maar andere /8’s zijn intussen opgedeeld en toegewezen aan diverse clubs (ik heb via XS4All een IP adres in wat vroeger een klasse A range was, ik denk niet dat XS4All ooit de volledige /8 toegewezen heeft gekregen 🙂 )

    Ik gok dat verdachte hoopte de rechter met wat technische mumbojumbo op een dwaalspoor te brengen en zo onder z’n veroordeling uit te komen.

  8. Als ik wikipedia goed interpreteer, dan geeft X-Originating-IP juist het IP adres aan van de browser die verbinding maakt met hotmail, niet van een hotmail server. Dan is het dus wel degelijk (met de bekende mitsen en maren) mogelijk om er een verzendende computer mee te identificeren.

    In de praktijk zijn er aardig wat webmail-providers die als client adres niet het IP adres van de browser registreren maar het IP adres van de server van de webmail-applicatie (die feitelijk client is naar de echte mailserver). Ik weet overigens niet of het hier werkelijk Hotmail betreft en of mijn voorbeeld voor Hotmail opgaat, ik heb gewoon even een IP opgeduikeld en Hotmail als aanname gedaan.

    Voor GMail werkt het zeker zoals ik hier beschrijf (dat merkt Sjoerd ook al op in post 3)

    EDIT ik trek even een mailtje uit mijn mailbox, een kerstkaart (geen spam) vanaf Skydrive gestuurd.

    X-Originating-IP: [64.4.37.167] X-Originating-Email: [xxxxxxxxxxxxx@hotmail.com]

    [~]$ whois 64.4.37.167 [Querying whois.arin.net]

    NetRange: 64.4.0.0 – 64.4.63.255 CIDR: 64.4.0.0/18 OriginAS:
    NetName: HOTMAIL

  9. @Andre, Dat laatste denk ik ook. Er wordt me soms toch een potje onzin verkocht op internet… 😉

    Bedrijven die oorspronkelijk een A-blok hadden hebben later, toen de IP-adressen begonnen op te raken, vaak ingezien dat dat toch wat unfair was en de ongebruikte stukken weer teruggegeven.

  10. @Richard

    Inderdaad bij Gmail werkt het niet zo. Maar het schijnt dat Hotmail die X-Originating-IP header speciaal toevoegt om het adres weer te geven waarvan de mail verstuurd is (dus niet de webmail server). Het is een anti-spam maatregel. Zie ook de twee voetnoten in de wikipediapagina waarnaar Andre verwijst.

    Het enige wat nog wel zou kunnen is dat beide mails ’toevallig’ vanaf eenzelfde computer in een internetcafe of zo verstuurd zijn. Maar dat zou wel heel toevallig zijn, en dan zou dat het verweer moeten zijn. Maar het zou toch zeker mogelijk moeten zijn om op basis van het ip-adres te achterhalen waar deze staat. Een whois IP query zou al een hoop op moeten kunnen lossen. En dan inderdaad gegevens opvragen bij de provider.

  11. Hotmail voegt inderdaad het IP-adres van de verstuurder toe in de X-Originating-IP. Ik heb het net nog even getest. Wel voegt Hotmail in de headers ook nog een tweede X-Originating-IP die dan wel weer van hotmail zelf is.

  12. Even over het technische gedeelte van het ip-adres (wat de verdachte probeerde te bereiken zou ik niet weten)

    Maar tegenwoordig werken we toch niet meer met klassegebaseerde IP-adressen?

    Alle adressen hebben nog steeds een klasse, maar door het gebrek aan IPv4-adressen worden de adressen gesubnet en gesupernet.

    Ik kan thuis ook gewoon 10.x.x.x gebruiken als ik wil???

    dat komt omdat een 10.x.x.x adres een prive adres is net als 172.16.x.x t/m 172.31.x.x en 192.168.1.x prive adressen zijn

    Wat als nu de verdachte een gmail account zou gebruiken? Dan is het mailtje geschreven van een 10.x.x.x adres

    Gezien bovenstaande opmerking zou dat ook niet moeten kunnen

  13. Om nog even op de klassen terug te komen: De klassen A,B,C en D (multicast) en E (gereserveerd) bestaan nog steeds. Vroeg hoorde standaard bij een klasse A netwerk een /8 subnet masker, voor B een /16 subnet masker, voor C een /24 subnet masker, etc… Als je het bijvoorbeeld over een klasse A adres hebt, heb je het nog steeds over een adres dat loopt van 0.0.0.0 tot 127.255.255.255 (/8). Tegenwoordig is het wel zo dat er klasseloos (classless) wordt gerouteerd (Classless InterDomain Routing oftewel CIDR)

  14. Google gebruikt inderdaad 10.* adressen. Misschien het interne netwerk?

    Received: by 10.42.150.130 with SMTP id a2mr10558109icw.43.1324549536610; Thu, 22 Dec 2011 02:25:36 -0800 (PST) Received: by 10.231.203.83 with HTTP; Thu, 22 Dec 2011 02:25:36 -0800 (PST)

    Test van een mail vanuit Gmail naar mezelf.

  15. De schrijver heeft duidelijk niet begrepen wat een klasse-A-adres is.

    Gokje: men heeft http://en.wikipedia.org/wiki/Classful_network gelezen, dat verwijst naar http://oreilly.com/catalog/coreprot/chapter/appb.html#22511, en iemand heeft zoiets gezegd als: ja maar als je computer een IP-adres in de range 0.*.*.*-127.*.*.* heeft dat zit je waarschijnlijk achter een NAT-router en is dat niet je echte IP-adres, en toen heeft iemand anders dat verward met het verschil tussen dynamische en statische DHCP, en gezegd: elk statisch publiek IP-adres identificeert een machine en lokatie. Dan kun je vervolgens zeggen: de meeste mail, ook voor mensen achter NAT, wordt van zulke adressen verstuurd, dus je weet in welke maillog je moet kijken om het versturen op te sporen.

    Wat er staat kan een poging zijn om zo’n soort redenering samen te vatten door iemand die het niet begrijpt.

    Tot zover mijn gokje. Wat meer details zouden nuttig zijn om deze uitspraak te ontwarren.

  16. @ Ben

    Dat moet of het interne netwerk van google zijn (kan ook nog een loadbalancer zijn) of het is jou interne adres.

    Zal wel intern van Google zijn aangezien ik op een 62.* adres zit. Er staat ook nog een extern adres van een Google mailserver bij. Gmail zet (in tegenstelling tot Hotmail dus) de adressen van de zender er niet bij (in ieder geval niet als het via webmail verstuurd is).

  17. Hotmail verstuurt meerdere X-originating-IP’s. De eerste zijn van zijn eigen servers, de tweede van de tussenliggende servers, en de derde van de originele verzender. Gmail is waarschijnlijk de enige emailprovider die geen IP-adres meestuurt van de originele verzender, alleen van zijn eigen servers en tussenliggende servers. Ik gebruik dan ook Gmail. Een Gmail account is alleen te maken met een mobiele werkende nummer dus de stalker kan sowieso door Gmail geidentificeerd worden.

  18. Een Gmail account is alleen te maken met een mobiele werkende nummer…

    Dat geldt dan alleen voor nieuwe accounts. Ik krijg bij mijn oudere account (welke ik nauwelijks nog gebruik sinds ik een eigen (mail)server heb ook regelmatig de vraag om een mobiel nummer. Maar kan gewoon door zonder die op te geven. Google tracked al genoeg. Hoeven niet ook nog eens mijn mobiele nummer te hebben. Zodra dat verplicht wordt verwijder ik mijn gmail account helemaal.

  19. Een Gmail account is alleen te maken met een mobiele werkende nummer dus de stalker kan sowieso door Gmail geidentificeerd worden.
    Eh ja, want ik kan niet volledig anoniem een prepaid SIM kaart bij de supermarkt kopen?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.