Meesurfen met internet van de buren toch wél computervredebreuk

Oké dus toch. Meeliften bij het internet van de buren is wel degelijk computervredebreuk, bepaalde de Hoge Raad gisteren. In 2011 had het Gerechtshof nog bepaald dat hiervan geen sprake is omdat een router geen “geautomatiseerd werk” is in de zin van de strafwet. Maar het was toch echt de bedoeling van de wetgever om inbreken op netwerken onder computervredebreuk te rangschikken.

In deze strafzaak had een jongen via het netwerk van de buren op het NSFL-imageboard 4chan een dreigende tekst geplaatst (“I”ll go and kill some peeps from my old school”). In het hoger beroep had het Gerechtshof bepaald dat dat meeliften bij dat netwerk niet strafbaar was (het dreigen zelf wel), want de wet (art. 80sexies Strafrecht) definieert een ‘geautomatiseerd werk’ als

een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.

Het Hof interpreteerde die “en” als een AND: een apparaat moet alle drie die dingen doen met (een gegeven set) gegevens. En een router doet dat niet, want die slaat de gegevens die hij routeert niet op. Derhalve is het onmogelijk computervredebreuk op een router te plegen.

De Hoge Raad raadpleegde de wetsgeschiedenis en ontdekte dat de wetgever toch echt bedóeld had om ook inbraak op netwerken onder computervredebreuk te rekenen:

Artikel 80sexies Sr, zoals dit wordt aangevuld door het onderhavige wetsvoorstel, definieert geautomatiseerd werk als een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen. Met dit begrip worden op zichzelf staande computers aangeduid, maar ook netwerken van computers en geautomatiseerde inrichtingen voor telecommunicatie. Van belang is wel dat de inrichting zowel gegevens kan opslaan als deze verwerken én overdragen.” (Kamerstukken II, 2004-2005, 26 671, nr. 10, blz. 31)

Het hoeft dus niet per se om één apparaat te gaan waar je alle drie die functies mee kunt uitvoeren. Een netwerk met apparaten dat in zijn totaliteit in staat is tot zenden, ontvangen en opslaan is ook goed. Daarmee was dat netwerk van de buren van de /b/tard wel degelijk een ‘geautomatiseerd werk’ waar hij op binnengedrongen was.

Een rechter is dus een DWIM compiler van het recht. Wetten moet je niet alleen letterlijk lezen, de bedoeling is soms belangrijker dan de tekst.

Arnoud

29 reacties

  1. En een router doet dat niet, want die slaat de gegevens die hij routeert niet op

    Een router slaat overigens wel gegevens op met betrekking tot configuratie en beveiliging. Zaken waar het mede ook om gaat als je inbreekt op een router

        1. Hmm. Nee, als je zegt dat een router an sich niet voldoet aan de definitie dan kun je er niet op inbreken. Je moet het dan gooien op vernielen of denial-of-service, wat ook kan zonder computervredebreuk maar het moet dan wel tot een storing leiden. Een extra MAC adres toevoegen aan de whitelist lijkt me geen vernieling, het omleiden van de DNS wellicht wel.

          De HR zegt hier echter dat het netwerk in zijn totaliteit als “geautomatiseerd werk” te zien is, dus tegen de tijd dat jij de router aan het hacken bent heb je al ingebroken op het netwerk. Oké, dat sluit uit de optie dat je fysiek naast de router gaat staan en met een USB stick de settings aanpast, dat zou dan niet strafbaar zijn.

      1. Hoe zit het dan met de wat duurdere routers waar je ook een USB-hdd aan kunt koppelen, en soms zelfs via de router automatisch backups op kunt laten plaatsen/zaken naartoe laten downloaden? Of het opslaan van logfiles van inkomend – en uitgaand verkeer, en veiligheidsmeldingen? Dat soort meldingen slaat mijn router namelijk wel degelijk op, en dat lijkt me toch ook wel voldoen aan het “opslaan en verwerken”-gedeelte.

        Overigens zou je ook kunnen beargumenteren dat een router er ook aan voldoet want zonder router wordt de inkomende en uitgaande data niet verspreid over meerdere apparaten. Dat zou je dan weer middels iets anders moeten doen, en ook dan ben je in feite data aan het routeren.

  2. Huh, maar je quote zelf:

    Van belang is wel dat de inrichting zowel gegevens kan opslaan als deze verwerken én overdragen.
    Het hoeft dus niet per se om één apparaat te gaan waar je alle drie die functies mee kunt uitvoeren. Een netwerk met apparaten dat in zijn totaliteit in staat is tot zenden, ontvangen en opslaan is ook goed.
    Maar hij heeft alleen via dat ding verbinding gemaakt met het internet en die router ‘slaat niks op’. Dat er ook PC’s achter zitten (dat zou niet eens hoeven. En wat als ze – op dat moment – uit staan?) zou toch niet uit moeten maken. Want waar houdt dat netwerk van apparaten op?

    1. Hij heeft verbinding gemaakt met een netwerk dat (via de overige apparaten) in staat is tot zenden, ontvangen en opslaan van gegevens. Het maakt niet uit of hij de individuele componenten ook echt raakte, dus of hij werkelijk op de NAS of een aangesloten laptop rondsnuffelde. Dat is de redenering.

      Volgens mij loop je pas tegen de grens aan als die router géén apparaten in een aangesloten netwerk bedient. Een puur internet access point dus.

      1. Volgens mij loop je pas tegen de grens aan als die router géén apparaten in een aangesloten netwerk bedient. Een puur internet access point dus.

        Maar dat kun je dus niet weten totdat je, nadat je ‘op de router/AP zit’ verder zou rondkijken. Als je juist geen rare dingen wil doen en alleen maar internet wil gebruiken zou je dat dus nooit zien. Een beetje Schrödingers kat dus.

        1. Met één simpele leefregel kun je een heleboel problemen mbt. computervredebreuk besparen: Als er een wachtwoord op zit en je hebt er geen van een bevoegd persoon gekregen, blijf er verder van af!

          In dit geval vraag ik me af of de Hoge Raad het strafrecht niet te ver oprekt door het doorbreken van een beveiliging op een deelsysteem waar geen gegevens bewerkt worden, zonder intentie om in te breken op deelsystemen waar gegevens verwerkt of opgeslagen worden en zonder intentie tot afluisteren of netwerkscans te doen te willen behandelen als een inbraak in een computer pur sang. (Extrapoleer: het met een hack verkrijgen van Internettoegang is computervredebreuk, want ergens op het Internet worden gegevens verwerkt.)

          Waar m.i. wel over gediscussieerd mag worden is of het zich verschaffen van toegang tot een beveiligd privé-netwerk onder computervredebreuk gerekend mag worden, Sommige netwerken verbinden zulke gatenkaas-systemen dat met een netwerkpakket een halve industrietak onderuitgehaald kan worden.

          1. In dit geval vraag ik me af of de Hoge Raad het strafrecht niet te ver oprekt door het doorbreken van een beveiliging op een deelsysteem waar geen gegevens bewerkt worden, zonder intentie om in te breken op deelsystemen waar gegevens verwerkt of opgeslagen worden en zonder intentie tot afluisteren of netwerkscans te doen te willen behandelen als een inbraak in een computer pur sang. (Extrapoleer: het met een hack verkrijgen van Internettoegang is computervredebreuk, want ergens op het Internet worden gegevens verwerkt.)

            Dat bedoelde ik ja, alleen zei ik het een stuk omslachtiger :).

            1. Ter verduidelijking: Ik ben er niet op tegen om inbreken op beveiligde computernetwerken strafbaar te stellen, maar wat mij tegen staat is dat een wetsartikel dat in letterlijke en redelijke uitleg in dit geval tot vrijspraak moet leiden, door onze opperrechters wordt geherinterpreteerd tot een opdracht tot vervolging. Dat is zagen aan een van de pijlers van de rechtsstaat, dat strafrecht voldoende kenbaar moet zijn; onduidelijkheid in de wetstekst hoort niet in het nadeel van een verdachte uitgelegd te worden.

              Als de politiek inbreken op beveiligde computernetwerken wil verbieden, dan moet dat zo in de wet staan.

              1. MathFox 27 maart 2013 @ 20:32 Ter vrddljkng: Ik ben er niet op tgn om inbreken op beveiligde computernetwerken strafbaar te stellen, maar wat mij tegen staat is […]

                Arnoud, 1 april is al weer twintig minuten voorbij; hierbij ben ik de eerste die gaat zeuren over “verminking” (Art.25 lid 1d) van mijn bijdragen aan deze blog!

  3. Is er een bepaalde reden waarom je “niet” als “neit” hebt geschreven? 🙂 Zie ook dit plaatje… 🙂

    Goed, hoe zit het eigenlijk met als het alleen een opslag-apparaat betreft? Denk aan een USB stick of een memory card van een telefoon? Niet dat het erg verstandig is, maar veel mensen die zo’n ding vinden gaan altijd wel even kijken wat er op staat en zijn zo dus aan het “hacken”. Is het strafbaar om zo’n gevonden apparaat te bekijken, voor de lol? Is ook dit computervredebreuk?

    1. Zolang je geen beveiliging doorbreekt is het bekijken van een gevonden opslagmedium legaal. (Het aansluiten van jouw computer op een ander systeem om daar data uit te lezen is m.i. een “technische ingreep” en een opstap naar strafbaarheid.)

  4. Ook wel interessant: ik moest gisteren op een paar plaatsen in Amsterdam zijn en had daarbij mijn telefoon gebruikt als routeplanner. Best handig, maar naast de mobiele dataverbinding staat WiFi ook aan op mijn telefoon. En terwijl ik door de stad reed kreeg ik met enige regelmaat te zien dat er een open WiFi verbinding was, en mijn telefoon dus kon gaan internetten op de verbinding van een willekeurig persoon… Tja, Wardriving… Er is zelfs software waarmee men access points kan uittesten of ze volgens de standaasd instellingen zijn geconfigureerd en zo ja, of in die gevallen dan ook gewoon toegang verkregen kan worden. Op zich lijkt wardriving mij niet illegaal omdat men alleen zoekt naar open WiFi verbindingen, zonder daar ook direct gebruik van te maken. Eigenlijk deed ik dat onbewust ook, omdat mijn telefoon automatisch open access points probeert op te sporen. Maar nu mijn vraag: gezien deze uitspraak, kan wardriving in sommige gevallen strafbaar worden? Ik denk hierbij vooral aan personen die bij het vinden van een open access point meteen een verbinding openen om online “kattekwaad” uit te halen…

  5. Prachtig, dat uitleggen aan de hand van de wetsgeschiedenis. Iets wat juristen standaard leren.

    Het maakt het er in dit geval echter niet duidelijker op. Als de wetgever bedoeld had A en (B of C) oid dan moet hij dat maar zo opschrijven. Zo niet, dan maar een reparatiewet. Zoals het nu is gegaan lijkt het me teveel op bijbelinterpretaties: blijkbaar wordt er niet bedoeld wat er in de tekst staat – leuk voor de gewone sterveling!

  6. Van belang is wel dat de Hoge Raad bepaalde dat het een Router was die met een wachtwoord was beveiligd. Het is de vraag of het oordeel anders zou zijn bij een router zonder wachtwoord. Daar biedt misschien de volgende uitspraak uitkomst, waar een computer via de achterdeur was binnengedrongen, maar ik denk uiteindelijk van niet. http://zoeken.rechtspraak.nl/resultpage.aspx?snelzoeken=true&searchtype=ljn&ljn=BN9287&vrije_tekst=computervredebreuk Het oude artikel van de computervredebreuk vereiste dat enige beveiliging is doorbroken (of omzeild). Een open netwerkrouter heeft niet een dergelijke beveiliging, denk ik.

      1. Even gekeken in de webshop van Ziggo en de router is gewoon te koop. Het is meer de kabelmodem die je in bruikleen krijgt, omdat Ziggo deze op afstand moet kunnen aansturen. Het is een klein verschil in nuance maar Ziggo heeft niet de beschikking tot jouw router, alleen tot jouw modem. En deze modem kan extra functionaliteit bevatten om tevens dienst te doen als open hotspot, wat eigenlijk betekent dat Ziggo twee verbindingen maakt naar jouw huis. Eentje voor jouw internet-verbinding en eentje voor de open hotspot. Als de hardware goed werkt zijn dit ook twee gescheiden netwerken. Het verschil tussen router en modem is meer genuanceerd dan wie de eigenaar is van de router. In geval van een aparte router is deze meestal van de klant. De modem (die router-functies kan bevatten) is echter van Ziggo.

      1. WiFi uitzetten maakt mogelijk geen verschil omdat de modem mogelijk met twee WiFi aansluitingen werkt. De ene aansluiting is voor de klant waarop hij zelf het Internet op kan. De ander is voor het open hotspot en alleen Ziggo kan deze uitzetten. (Maar daar zal vast wel een hack voor uitkomen, waarna Ziggo de hack gaat bestrijden, waarop een nieuwe hack uitkomt, enzovoorts…)

        1. Àls Ziggo de opt-in negeert en toch jouw modem wil gebruiken als hotspot en àls Ziggo zorgt voor custom firmware op de router waardoor die niet meer (zoals nu) volledig te configureren is, dan maakt het mogelijk geen verschil nee. Tot die tijd is het een kwestie van één vinkje in de instellingen – geen kooien-van-Faraday, hacks of aluminium-hoedjes nodig verder.

              1. Ja en nee. Die andere post geeft aan dat het afhangt van hoe Ziggo deze functionaliteit gaat implementeren. De aanname is gewoon dat het wel zou mogen, maar als het hotspot hetzelfde IP adres zou geven aan de voorbijgangers als aan jou dan ontstaan er mogelijk toch problemen. Verder gebruikt die modem natuurlijk stroom wat betekent dat die hotspot jou uiteindelijk een heel klein bedrag per jaar kost aan stroom. Ziggo moet hierdoor dus wel duidelijk aangeven dat jouw modem een hotspot is of niet. Zoniet, dan kan het “stelen” van stroom een probleem zijn. Ook is het van belang of de modem als hotspot mogelijk informatie gaat doorgeven over zichzelf, zoals b.v. de locatie waar deze staat of de naam van de klant. Als dat ding ook maar 1 persoonsgegeven zou versturen als deze is ingesteld als hotspot dan zit Ziggo alweer fout. Is wel vergezocht, zeker omdat WiFi routers sowieso gegevens over zichzelf in de omgeving verspreiden, maar daar heeft de klant zelf toestemming voor gegeven. Maar wat de hotspot verstuurt is alleen onder controle van Ziggo en de klant kan daar verder niets over zeggen. Ja, het zal vast mogen, maar het blijft twijfelachtig…

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.