Meesurfen met internet van de buren toch wél computervredebreuk

| AE 5258 | Security | 29 reacties

Oké dus toch. Meeliften bij het internet van de buren is wel degelijk computervredebreuk, bepaalde de Hoge Raad gisteren. In 2011 had het Gerechtshof nog bepaald dat hiervan geen sprake is omdat een router geen “geautomatiseerd werk” is in de zin van de strafwet. Maar het was toch echt de bedoeling van de wetgever om inbreken op netwerken onder computervredebreuk te rangschikken.

In deze strafzaak had een jongen via het netwerk van de buren op het NSFL-imageboard 4chan een dreigende tekst geplaatst (“I”ll go and kill some peeps from my old school”). In het hoger beroep had het Gerechtshof bepaald dat dat meeliften bij dat netwerk niet strafbaar was (het dreigen zelf wel), want de wet (art. 80sexies Strafrecht) definieert een ‘geautomatiseerd werk’ als

een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen.

Het Hof interpreteerde die “en” als een AND: een apparaat moet alle drie die dingen doen met (een gegeven set) gegevens. En een router doet dat niet, want die slaat de gegevens die hij routeert niet op. Derhalve is het onmogelijk computervredebreuk op een router te plegen.

De Hoge Raad raadpleegde de wetsgeschiedenis en ontdekte dat de wetgever toch echt bedóeld had om ook inbraak op netwerken onder computervredebreuk te rekenen:

Artikel 80sexies Sr, zoals dit wordt aangevuld door het onderhavige wetsvoorstel, definieert geautomatiseerd werk als een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen. Met dit begrip worden op zichzelf staande computers aangeduid, maar ook netwerken van computers en geautomatiseerde inrichtingen voor telecommunicatie. Van belang is wel dat de inrichting zowel gegevens kan opslaan als deze verwerken én overdragen.” (Kamerstukken II, 2004-2005, 26 671, nr. 10, blz. 31)

Het hoeft dus niet per se om één apparaat te gaan waar je alle drie die functies mee kunt uitvoeren. Een netwerk met apparaten dat in zijn totaliteit in staat is tot zenden, ontvangen en opslaan is ook goed. Daarmee was dat netwerk van de buren van de /b/tard wel degelijk een ‘geautomatiseerd werk’ waar hij op binnengedrongen was.

Een rechter is dus een DWIM compiler van het recht. Wetten moet je niet alleen letterlijk lezen, de bedoeling is soms belangrijker dan de tekst.

Arnoud

Deel dit artikel

  1. Huh, maar je quote zelf:

    Van belang is wel dat de inrichting zowel gegevens kan opslaan als deze verwerken én overdragen.
    Het hoeft dus niet per se om één apparaat te gaan waar je alle drie die functies mee kunt uitvoeren. Een netwerk met apparaten dat in zijn totaliteit in staat is tot zenden, ontvangen en opslaan is ook goed.
    Maar hij heeft alleen via dat ding verbinding gemaakt met het internet en die router ‘slaat niks op’. Dat er ook PC’s achter zitten (dat zou niet eens hoeven. En wat als ze – op dat moment – uit staan?) zou toch niet uit moeten maken. Want waar houdt dat netwerk van apparaten op?

    • Hij heeft verbinding gemaakt met een netwerk dat (via de overige apparaten) in staat is tot zenden, ontvangen en opslaan van gegevens. Het maakt niet uit of hij de individuele componenten ook echt raakte, dus of hij werkelijk op de NAS of een aangesloten laptop rondsnuffelde. Dat is de redenering.

      Volgens mij loop je pas tegen de grens aan als die router géén apparaten in een aangesloten netwerk bedient. Een puur internet access point dus.

      • Volgens mij loop je pas tegen de grens aan als die router géén apparaten in een aangesloten netwerk bedient. Een puur internet access point dus.

        Maar dat kun je dus niet weten totdat je, nadat je ‘op de router/AP zit’ verder zou rondkijken. Als je juist geen rare dingen wil doen en alleen maar internet wil gebruiken zou je dat dus nooit zien. Een beetje Schrödingers kat dus.

        • Met één simpele leefregel kun je een heleboel problemen mbt. computervredebreuk besparen: Als er een wachtwoord op zit en je hebt er geen van een bevoegd persoon gekregen, blijf er verder van af!

          In dit geval vraag ik me af of de Hoge Raad het strafrecht niet te ver oprekt door het doorbreken van een beveiliging op een deelsysteem waar geen gegevens bewerkt worden, zonder intentie om in te breken op deelsystemen waar gegevens verwerkt of opgeslagen worden en zonder intentie tot afluisteren of netwerkscans te doen te willen behandelen als een inbraak in een computer pur sang. (Extrapoleer: het met een hack verkrijgen van Internettoegang is computervredebreuk, want ergens op het Internet worden gegevens verwerkt.)

          Waar m.i. wel over gediscussieerd mag worden is of het zich verschaffen van toegang tot een beveiligd privé-netwerk onder computervredebreuk gerekend mag worden, Sommige netwerken verbinden zulke gatenkaas-systemen dat met een netwerkpakket een halve industrietak onderuitgehaald kan worden.

          • In dit geval vraag ik me af of de Hoge Raad het strafrecht niet te ver oprekt door het doorbreken van een beveiliging op een deelsysteem waar geen gegevens bewerkt worden, zonder intentie om in te breken op deelsystemen waar gegevens verwerkt of opgeslagen worden en zonder intentie tot afluisteren of netwerkscans te doen te willen behandelen als een inbraak in een computer pur sang. (Extrapoleer: het met een hack verkrijgen van Internettoegang is computervredebreuk, want ergens op het Internet worden gegevens verwerkt.)

            Dat bedoelde ik ja, alleen zei ik het een stuk omslachtiger :).

            • Ter verduidelijking: Ik ben er niet op tegen om inbreken op beveiligde computernetwerken strafbaar te stellen, maar wat mij tegen staat is dat een wetsartikel dat in letterlijke en redelijke uitleg in dit geval tot vrijspraak moet leiden, door onze opperrechters wordt geherinterpreteerd tot een opdracht tot vervolging. Dat is zagen aan een van de pijlers van de rechtsstaat, dat strafrecht voldoende kenbaar moet zijn; onduidelijkheid in de wetstekst hoort niet in het nadeel van een verdachte uitgelegd te worden.

              Als de politiek inbreken op beveiligde computernetwerken wil verbieden, dan moet dat zo in de wet staan.

              • MathFox 27 maart 2013 @ 20:32 Ter vrddljkng: Ik ben er niet op tgn om inbreken op beveiligde computernetwerken strafbaar te stellen, maar wat mij tegen staat is […]

                Arnoud, 1 april is al weer twintig minuten voorbij; hierbij ben ik de eerste die gaat zeuren over “verminking” (Art.25 lid 1d) van mijn bijdragen aan deze blog!

  2. Is er een bepaalde reden waarom je “niet” als “neit” hebt geschreven? 🙂 Zie ook dit plaatje… 🙂

    Goed, hoe zit het eigenlijk met als het alleen een opslag-apparaat betreft? Denk aan een USB stick of een memory card van een telefoon? Niet dat het erg verstandig is, maar veel mensen die zo’n ding vinden gaan altijd wel even kijken wat er op staat en zijn zo dus aan het “hacken”. Is het strafbaar om zo’n gevonden apparaat te bekijken, voor de lol? Is ook dit computervredebreuk?

  3. Ook wel interessant: ik moest gisteren op een paar plaatsen in Amsterdam zijn en had daarbij mijn telefoon gebruikt als routeplanner. Best handig, maar naast de mobiele dataverbinding staat WiFi ook aan op mijn telefoon. En terwijl ik door de stad reed kreeg ik met enige regelmaat te zien dat er een open WiFi verbinding was, en mijn telefoon dus kon gaan internetten op de verbinding van een willekeurig persoon… Tja, Wardriving… Er is zelfs software waarmee men access points kan uittesten of ze volgens de standaasd instellingen zijn geconfigureerd en zo ja, of in die gevallen dan ook gewoon toegang verkregen kan worden. Op zich lijkt wardriving mij niet illegaal omdat men alleen zoekt naar open WiFi verbindingen, zonder daar ook direct gebruik van te maken. Eigenlijk deed ik dat onbewust ook, omdat mijn telefoon automatisch open access points probeert op te sporen. Maar nu mijn vraag: gezien deze uitspraak, kan wardriving in sommige gevallen strafbaar worden? Ik denk hierbij vooral aan personen die bij het vinden van een open access point meteen een verbinding openen om online “kattekwaad” uit te halen…

  4. Prachtig, dat uitleggen aan de hand van de wetsgeschiedenis. Iets wat juristen standaard leren.

    Het maakt het er in dit geval echter niet duidelijker op. Als de wetgever bedoeld had A en (B of C) oid dan moet hij dat maar zo opschrijven. Zo niet, dan maar een reparatiewet. Zoals het nu is gegaan lijkt het me teveel op bijbelinterpretaties: blijkbaar wordt er niet bedoeld wat er in de tekst staat – leuk voor de gewone sterveling!

  5. Van belang is wel dat de Hoge Raad bepaalde dat het een Router was die met een wachtwoord was beveiligd. Het is de vraag of het oordeel anders zou zijn bij een router zonder wachtwoord. Daar biedt misschien de volgende uitspraak uitkomst, waar een computer via de achterdeur was binnengedrongen, maar ik denk uiteindelijk van niet. http://zoeken.rechtspraak.nl/resultpage.aspx?snelzoeken=true&searchtype=ljn&ljn=BN9287&vrije_tekst=computervredebreuk Het oude artikel van de computervredebreuk vereiste dat enige beveiliging is doorbroken (of omzeild). Een open netwerkrouter heeft niet een dergelijke beveiliging, denk ik.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS