Ben ik strafbaar als ik een TOR exit node draai?

tor-on.pngEen lezer vroeg me:

Ben ik in Nederland strafbaar, of zou ik er problemen mee kunnen krijgen als, ik een Tor relay/bridge/exit-point opzet vanuit mijn flat? Mag dit van de wet?

TOR is een open netwerk voor anonieme communicatie, die werkt volgens het principe van Onion Routing. Heel in het kort: een berichtje wordt niet via één maar via meerdere tussenliggende servers doorgegeven. Elke server kan de buitenste laag lezen van het bericht dat hij ontvangt, en “pelt” deze eraf om het resultaat door te sturen. Het echte bericht zit dus helemaal diep in de kern verstopt, en tegen de tijd dat die kern is afgepeld, is alle informatie over de afzender wel verdwenen. Daarmee is in theorie haast volstrekt anonieme communicatie mogelijk.

De server die het TOR netwerk verbindt met het internet, heet de exit node. Dit zou een mailserver kunnen zijn die dan verbinding legt met ‘echte’ mailservers, of een server die pagina’s ophaalt van het worldwideweb, of juist informatie naar een website stuurt.

Het is op zich niet strafbaar om een TOR exit node te draaien. Het zou kunnen dat je provider het verbiedt in hun voorwaarden, dus dan zou je contractbreuk plegen. Maar het moet er dan expliciet staan, bv. als “Verboden je verbinding te sharen met derden buiten je huisgenoten”.

Het kan gebeuren dat iemand strafbare feiten pleegt via die exit node. Dan komt de politie uit bij jouw IP-adres en dan heb jij wat uit te leggen. Je bent niet automatisch strafbaar voor al hetgeen er via jouw exit node gebeurt. Voor strafbaarheid moet meestal sprake zijn van opzet, en anders minstens van (grove) nalatigheid. Zou iemand een smadelijk bericht posten via die exit node, dan ben jij daar niet voor vervolgbaar want jouw bedoeling was niet dat dat bericht geplaatst zou worden.

De wet kent echter ook het concept ‘voorwaardelijke opzet’. Kort gezegd “dat had je toch moeten weten dat dat kon gebeuren”, en in fraai juridisch “de aanmerkelijke kans aanvaardend dat”. Als je een exit node opzet die je zelf met firewallregels zo instelt dat hij alléén een Russische kinderpornosite kan bereiken, tsja dan aanvaard je de kans dat mensen kinderporno gaan opvragen of plaatsen. Ook als je mee gaat kijken met het verkeer over je exit node, en je ziet opvallend veel verkeer naar zo’n site, dan kun je strafrechtelijk aansprakelijk worden. Je weet dan dat de node misbruikt wordt, en dan moet je ook iets doen met die kennis.

De vraag is natuurlijk waar die grens ligt. Heb je voorwaardelijke opzet als je géén spamfilter instelt als je uitgaand SMTP verkeer faciliteert? Was het je bedoeling dat er auteursrechtschendende films verspreid worden als je een exit node maakt die naar Youtube mag en verder niets?

Er is nog nooit een rechtszaak geweest over iemand die alleen een TOR node opereerde, en ik denk ook niet dat het snel zal gebeuren. Maar ja, je neemt een risico.

Arnoud

27 reacties

  1. Als je een TOR exit node draait weet je vantevoren dat er kinderporno en hack-aanvallen gaan plaatsvinden. Iedereen die weet wat TOR is weet dat dit waarschijnlijk is. Het lijkt me dan ook (helaas) dat je zeker kan spreken van voorwaardelijke opzet zoals jij die defineert.

  2. @Markje: Ja, dat lijkt me wel. Die bepaling geldt niet alleen voor professionele partijen.

    @Rens: Als ik een café open dan weet ik van tevoren ook dat mensen illegale dealtjes gaan maken aan tafel of na afloop dronken achter ’t stuur gaan kruipen. Maar heb ik daar dan voorwaardelijke opzet op?

  3. @2: Wat dan wel weer jammer is, is dat iedereen het bij TOR het alleen maar over kinderporno en auteursrechten heeft. Waar iedereen aan voorbij gaat is de heel belangrijke functie die anonieme meningsuiting heeft.

    Dan heb ik het over dissidenten die anoniem moeten publiceren omdat ze anders (nog meer) gevaar lopen te worden opgepakt. Over klokkenluiders die helaas hebben moeten constateren dat de bescherming van klokkenluiders een wassen neus is en dit dus toch anoniem moeten doen. Dan heb ik het over mensen die een impopulaire mening willen uiten zonder meteen bedreigd te worden.

    Ik kan nog wel even doorgaan met redenen waarom TOR bestaansrecht heeft en waarom het draaien van een TOR exit node niet meteen betekent dat je als doel hebt illegale activiteiten te ontplooien.

    Dat overheden hier niet blij mee zijn moge duidelijk zijn. Maar wij zijn er niet om de overheid blij te maken, maar juist andersom. Dat vergeten ze wel eens in Den Haag. En met TOR weet de overheid dat als ze niet eerlijk zijn tegen de burger een ambtenaar met rechtsgevoel anoniem de openbaarheid kan zoeken.

  4. in Duitsland hebben ze al een keer TOR-servers in beslag genomen, al in 2006. http://webwereld.nl/nieuws/42819/duitse-politie-neemt-tor-servers-in-beslag.html http://tweakers.net/nieuws/44344/duitse-politie-neemt-tor-servers-in-beslag.html

    Volgens mij verschilt de Nederlandse wet niet zo erg met de Duitse wet. Dus in theorie zou de KLPD ook jouw exit node in beslag kunnen nemen. (wat natuurlijk niet wil zeggen dat je hier voor strafbaar bent, maar goed, als op die server ook al jouw persoonlijke documenten staan, dan is het misschien minder leuk..)

  5. @2: Wat dan wel weer jammer is, is dat iedereen het bij TOR het alleen maar over kinderporno en auteursrechten heeft. Waar iedereen aan voorbij gaat is de heel belangrijke functie die anonieme meningsuiting heeft. Dan heb ik het over dissidenten die anoniem moeten publiceren omdat ze anders (nog meer) gevaar lopen te worden opgepakt. Over klokkenluiders die helaas hebben moeten constateren dat de bescherming van klokkenluiders een wassen neus is en dit dus toch anoniem moeten doen. Dan heb ik het over mensen die een impopulaire mening willen uiten zonder meteen bedreigd te worden. Ik kan nog wel even doorgaan met redenen waarom TOR bestaansrecht heeft en waarom het draaien van een TOR exit node niet meteen betekent dat je als doel hebt illegale activiteiten te ontplooien.

    De vrijmeningsuiting in niet vrij landen zou ook gediend kunnen worden met een netwerk dat je niet kan misbruiken voor kinderporno. Zo zouden tor exitodes gebruik kunnen maken van publieke whitelists. Daar kun iedereen dan bijvoorbeeld alle nieuwssites, blogs en forums en andere legale bronnen van informatie en plaatsen waar je je mening kan uitten aan toe voegen zodat die altijd volledig toegankelijk zijn via het Tor netwerk en de rest niet.

    Nu is het netwerk vooral een middel voor illegale activitetien en wordt het doel mbt de vrijheid van meningsuitng telkens ondergesneeuwd in discussies over die illegale activiteiten.

  6. @8: Maar krijg je dan niet dezelfde discussie als voor het filteren van internet in het algemeen?

    Bijvoorbeeld, wie bepaald wat er op een whitelist komt? En als je iets op een whitelist zet en het blijkt later dat daar toch illegale zaken plaatsvinden, ben je dan aansprakelijk? J efiltert immers actief met whitelisten en bent geen passief doorgeef luik.

    En om maar meteen de knuppel in het hoenderhok te gooien. Filteren is geen oplossing voor kp of auteursrechten bescherming, het is een struisvogel tactiek. Als je het echt wil aanpakken moet je naar de bron gaan en dat zal uiteindelijk toch via het beeldmateriaal moeten gebeuren.

    Vooral inzake kp zie ik meer in meer resources voor de aanpak, veel harder straffen en landen die dwars liggen en niet mee willen werken economisch boycotten en hun inwoners de toegang tot de EU ontzeggen.

    Wat dat betreft heeft de VS wel laten zien hoe je anderen hun wil op legt. Gewoon zorgen dat ze een economisch belangrijke markt anders kwijt raken voor zaken (zie FATCA voor het voorbeeld). Als we kp met zijn allen zo belangrijk vinden, waarom tolereren we dan landen die hier niets tegen doen? We maken wel wetten dat als nederlanders in dat soort landen zich aan kinderen vergrijpen we ze hier kunnen vervolgen, maat tegen de landen zelf doen we vrijwel niets.

  7. @4 Dat de overheid hier niet blij van wordt lijkt me een heel goed argument om dit te doen. En hoe meer Tor nodes er zijn hoe meer kans dat ze ook voor andere zaken als de meest beruchte gebruikt gaan worden.

  8. @11: Dat is een probleem, want hoe doe je dat? Buiten het feit dat ik niet op kp zit te wachten, heb je nogal een probleem als je er actief naar gaat zoeken om te kijken hoe veel het voorkomt.

    Hoe doe je dat? Ik kan me voorstellen dat je een vrijwaring wil voor je onderzoek. Kan je die krijgen als je een enigzins reputabele wetenschapper/journalist bent en eerst even bij justitie langs gaat om je onderzoek duidelijk te maken?

  9. Een vrijwaring krijg je niet als journalist. Dat hoeft ook niet (gelukkig) want het zou impliceren dat alleen goedgekeurde journalisten hun werk mogen doen.

    Als je als journalist onderzoek doet en je daarbij zorgvuldig handelt, dan loop je in principe vrij onder de strafwet. Ja, ook bij kinderporno. In die situatie betekent “zorgvuldig” dat je onder meer alles meteen weggooit na het bekijken, dat je het liefst met een collega erbij dit doet (als getuige) en dat je duidelijk documenteert wat je zocht en waarom.

    Het is geen kwestie van “ik schreef voor de krant dus het is legaal” maar het kán wel.

  10. Bijvoorbeeld, wie bepaald wat er op een whitelist komt? En als je iets op een whitelist zet en het blijkt later dat daar toch illegale zaken plaatsvinden, ben je dan aansprakelijk? Je filtert immers actief met whitelisten en bent geen passief doorgeef luik.

    Je krijgt vast geen 100% optimale lijst maar de vrije meninguiting in landen waar de meningsuitng wordt onderdrukt heeft over het algemeen ook geen 100% ideale lijst nodig. als er op zo’n whitelist honderduizenden sites staan waar mensen hun informatie op halen kunnen en anoniem hun mening kunnen uitten dan zal dat voor vrijwel elk legitiem doel voldoende zijn.

  11. Als je een whitelist gebruikt ga je alleen van de ene naar de andere censuur. En waar iedereen met TOR aan voorbij gaat is dat TOR het bezoek aan diensten op het openbare internet anonimiseert. Je kan anoniem up en downloaden, maar de illegale zaken staan uiteindelijk op een server die niet anoniem is! Je kan dus gewoon achter de eigenaar van de server aan en de betalingen daarvoor volgen.

    TOR is dus geen oplossing als je TheNextPirateBay.com wil hosten, aangezien je server gewoon te traceren is. Net zoals een server vol kp gewoon te traceren is. De uploaders niet, maar denk je werkelijk dat die niet een andere oplossing kunnen vinden in deze wereld met overal open netwerken?

    Nee kijk dan naar Freenet, een onion routing darknet, waar je ook informatie anoniem in kan hosten. En anoniem files sharen? Met WASTE kon je jaren terug al een encrypted virtueel netwerk met een groep vrienden opbouwen om bestanden uit te wisselen.

    TLDR Voor illegale zaken zijn er betere ‘oplossingen’, dus TOR filteren is nutteloos.

  12. de illegale zaken staan uiteindelijk op een server die niet anoniem is

    Je gaat daarbij voorbij aan het bestaan van TOR “hidden services”. Deze services (meestal websites) zijn alleen via .onion URLs op het TOR-netwerk bereikbaar, en doordat ze niet te herleiden zijn tot een IP-adres, kan niemand zien wie de hidden service beheert. Bijvoorbeeld, op de Silk Road website zijn openlijk wapens en drugs te koop. De FBI zit er bovenop, maar kan er niets aan doen.

    Het filteren van een exit node (of wat voor verbinding dan ook) is nooit bevorderlijk voor de vrije meningsuiting: als een filter waterdicht is, dan kan niemand controleren of het filter terecht is toegepast. Het filteren, zelfs met de beste bedoelingen, creëert een niet te controleren macht, waar misbruik van gemaakt kan en zal worden. Het blokkeren van de Pirate Bay, zoals kort geleden verplicht is gesteld door een rechter, is daarom ook een (kleine) stap die een belangrijke grens heeft overschreden.

    Gelukkig zijn filters niet makkelijk waterdicht te krijgen. Specifiek voor het maken van een gefilterde exit node heb je de volgende problemen: * als je een blacklist gebruikt, dan zal je blacklist nooit volledig zijn * als je een grote whitelist gebruikt, dan zullen er altijd sites onterecht op je whitelist staan * een kleine whitelist (bijv. alleen naar websites die je zelf beheert) kan je eigenlijk geen internetverbinding noemen * zelfs als een website of service met goede bedoelingen beheerd wordt, kan die misbruikt worden als die service gebruikers in staat stelt om onderling te communiceren. * TOR-gebruikers kunnen zelf aangeven welke exit nodes ze willen gebruiken. Ze kunnen daarbij bijvoorbeeld op land selecteren. Als jij gaat filteren, dan wordt je exit node gewoon genegeerd. * en dan zijn er nog altijd die TOR hidden services.

  13. de illegale zaken staan uiteindelijk op een server die niet anoniem is

    Je gaat daarbij voorbij aan het bestaan van TOR “hidden services”. Deze services (meestal websites) zijn alleen via .onion URLs op het TOR-netwerk bereikbaar, en doordat ze niet te herleiden zijn tot een IP-adres, kan niemand zien wie de hidden service beheert. Bijvoorbeeld, op de Silk Road website zijn openlijk wapens en drugs te koop. De FBI zit er bovenop, maar kan er niets aan doen.

    Het filteren van een exit node (of wat voor verbinding dan ook) is nooit bevorderlijk voor de vrije meningsuiting: als een filter waterdicht is, dan kan niemand controleren of het filter terecht is toegepast. Het filteren, zelfs met de beste bedoelingen, creëert een niet te controleren macht, waar misbruik van gemaakt kan en zal worden. Het blokkeren van de Pirate Bay, zoals kort geleden verplicht is gesteld door een rechter, is daarom ook een (kleine) stap die een belangrijke grens heeft overschreden.

    Gelukkig zijn filters niet makkelijk waterdicht te krijgen. Specifiek voor het maken van een gefilterde exit node heb je de volgende problemen: * als je een blacklist gebruikt, dan zal je blacklist nooit volledig zijn * als je een grote whitelist gebruikt, dan zullen er altijd sites onterecht op je whitelist staan * een kleine whitelist (bijv. alleen naar websites die je zelf beheert) kan je eigenlijk geen internetverbinding noemen * zelfs als een website of service met goede bedoelingen beheerd wordt, kan die misbruikt worden als die service gebruikers in staat stelt om onderling te communiceren. * TOR-gebruikers kunnen zelf aangeven welke exit nodes ze willen gebruiken. Ze kunnen daarbij bijvoorbeeld op land selecteren. Als jij gaat filteren, dan wordt je exit node gewoon genegeerd. * en dan zijn er nog altijd die TOR hidden services.

  14. Mijn ervaring met TOR is dat het een stuk trager is dan gewoon internet. Vooral hidden services zijn traag, en werken ook niet altijd. Maar misschien wordt aan dat laatste nog gewerkt: TOR is immers nog maar “0.x” software.

    Ik heb geen ervaring met andere anonimiteitsnetwerken, maar als ik het goed begrijp heeft TOR 1 groot voordeel: je kunt het in combinatie met willekeurige internet-software gebruiken via een normale SOCKS proxy-interface.

    Hoe werkt dat met Freenet? Is het een beetje snel? Voor zover ik de werking ervan begrijp, is het vooral geschikt voor verspreiding van statische content: documenten, films e.d.. Toch schijnen er ook forum- en chat-applicaties te bestaan, dus dynamische content lijkt ook mogelijk.

  15. Mijn ervaring met TOR is dat het een stuk trager is dan gewoon internet. Vooral hidden services zijn traag, en werken ook niet altijd. Maar misschien wordt aan dat laatste nog gewerkt: TOR is immers nog maar “0.x” software.

    Ik heb geen ervaring met andere anonimiteitsnetwerken, maar als ik het goed begrijp heeft TOR 1 groot voordeel: je kunt het in combinatie met willekeurige internet-software gebruiken via een normale SOCKS proxy-interface.

    Hoe werkt dat met Freenet? Is het een beetje snel? Voor zover ik de werking ervan begrijp, is het vooral geschikt voor verspreiding van statische content: documenten, films e.d.. Toch schijnen er ook forum- en chat-applicaties te bestaan, dus dynamische content lijkt ook mogelijk.

  16. @Corné: “als je een blacklist gebruikt, dan zal je blacklist nooit volledig zijn”

    In zo’n geval is het misschien nog het handigste om je eigen verbinding via een filtering proxy te laten lopen die malware en andere illegale sites blokkeert. Dan hoef je zelf geen blacklist bij te houden en kan je naar justitie (indien nodig) aangeven dat je je best gedaan hebt en van goed wil bent door die proxy te gebruiken.

  17. Gezien de huidige situatie zou het misschien een goede actie zijn indien alle internet service providers in Nederland die zeggen de vrijheid van het internet hoog in het vaandel te hebben ieder bijvoorbeeld 100 TOR-exitnodes toe te voegen aan het internet. Daarmee kunnen ze hun uitspraken kracht bijzetten en dragen ze bij aan het vrije woord op het internet.

  18. 21: Dat klinkt als een goed idee! Maar, moeten ze dan ook de in Nederland verplichte censuur (tot nu toe: de Pirate Bay blokkeren) toepassen op hun TOR exit nodes?

    Misschien zouden ze ook voor hun klanten TOR “entry nodes” kunnen maken, in de zelfde lijn als tor2web.org, om de minder technisch onderlegde abonnees toegang tot TOR te geven. Hoe zit het trouwens met de juridische aspecten van zo’n entry node? Je geeft daarmee mensen wel toegang tot een heel ondergronds deel van het internet, waar een heleboel illegale dingen gebeuren.

  19. 21: Dat klinkt als een goed idee! Maar, moeten ze dan ook de in Nederland verplichte censuur (tot nu toe: de Pirate Bay blokkeren) toepassen op hun TOR exit nodes?

    Misschien zouden ze ook voor hun klanten TOR “entry nodes” kunnen maken, in de zelfde lijn als tor2web.org, om de minder technisch onderlegde abonnees toegang tot TOR te geven. Hoe zit het trouwens met de juridische aspecten van zo’n entry node? Je geeft daarmee mensen wel toegang tot een heel ondergronds deel van het internet, waar een heleboel illegale dingen gebeuren.

  20. Eh, de whitelist van de tor exit nodes wordt dan toch binnen 1 seconde de blacklist van zo???n oppressief regime

    Niet zo logisch omdat je een enorme whitelist kan gebruiken met uiteindelijke rustig een miljoen of meer nieuws/blog/forum sites daarop. Dus ook gewoon van alle nieuwsmedia in in landen met een oppressief regiems.

    Zou wel handig zijn als ze die zelf gingen blocken in zo’n land.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.