Mijn school neust rond op mijn server, mag dat?

terminal-screen-computer-ssh-loginEen lezer vroeg me:

Laatst zat ik op een schoolcomputer te internetten en ondertussen op mijn eigen server wat te doen (via ssh ingelogd). Ineens kreeg ik computerproblemen omdat een vriendje me een “grappige site” toe had gestuurd. Ik kwam er niet meer uit en moest de systeembeheerders erbij halen. Die gingen echter ook rondneuzen op mijn PC, want ze dachten dat ik aan het hacken was (“wat voor raar zwart/wit schermpje is dat”). Ook lazen ze mijn Gmail mail die nog openstond. Ik heb ze erop gewezen dat dat computervredebreuk was, maar ze gingen gewoon door. Wat kan ik nu het beste doen?

Dit is natuurlijk nogal ongepast, maar of het strafbaar is durf ik zo niet te zeggen. Volgens de wet is er pas sprake van computervredebreuk als je willens en wetens ergens binnendringt waarvan je weet dat je er niet mag zijn. Het gaat er niet (meer) om of je een beveiliging doorbreekt, maar of je op verboden terrein bent.

Wanneer een systeembeheerder gevraagd wordt om een probleem te herstellen, dan heeft hij daarmee impliciet toestemming om overal te komen waar hij redelijkerwijs zou moeten zijn om het probleem te detecteren of op te lossen. Heb je bijvoorbeeld een probleem met je mailbox waar een veel te grote bijlage in zit, dan mag de systeembeheerder in je mailbox om die bijlage eruit te vissen. Hij kan en mag dan mails doorkijken om te zien waar de bijlage zit. Natuurlijk heeft hij dan wel een geheimhoudingsplicht over wat hij aantreft (zie ook hier).

Je zou zeggen dat een beetje systeembeheerder zo’n “grappige” site wel herkent en snapt dat je dan de browser via taakbeheer moet afschieten. Maar als niet duidelijk is wat er precies gebeurt, dan lijkt het me logisch dat je even alle venstertjes afloopt om te zien of er iets draait dat de problemen kan veroorzaken. Lezen van Gmail lijkt me niet echt nodig. Dat hij de pagina bekijkt die toevallig open staat, zal onvermijdelijk zijn maar doorbladeren in de mailbox is echt niet toegestaan. Tenminste, tenzij daar een hele goede reden voor is – en die kan ik bij deze vraag zo niet bedenken.

Een openstaand ssh schermpje lijkt me ook niet direct relevant, maar ik kan me voorstellen dat je even wilt weten of dat niet een systeem van de school is. En nee, de titelbalk van het venster zegt daar niets over want die is eenvoudig aan te passen. Dus ook hier ben ik geneigd tot op zekere hoogte het systeembeheer gelijk te geven. Maar op het moment dat hij daar servers gaat herstarten of rootkits gaat installeren, zou ik denk ik wel tot arrestatie op staande voet overgaan.

Arnoud

22 reacties

  1. De computer is ten alle tijde toch eigendom van de school, wellicht heeft de klager de voorwaarden van de school ook niet gevolgd: ‘grappige’ sites bezoeken mag namelijk vaak niet. Dus om vervolgens te gaan klagen dat, doordat je zelf de huisregels hebt gebroken, iemand jouw e-mails (kan) lezen die open staan: een beetje hypocriet.

  2. Persoon is zelf niet ‘geslaagd’ als systeembeheerder (wat hij/zij pretendeert te zijn vanwege het SSH-en naar de eigen server). Wat je in ‘onduidelijke’ situaties doet is alles tot het minimum te beperken. Dus alle onbenodigde programma’s afsluiten en proberen te achterhalen waarom het specifieke probleem zich voordoet.

    Het is niet duidelijk wat het probleem was (en ook niet waarom hij/zij dit zelf niet op kon lossen). Maar het lijkt mij dat de browser half vast liep vanwege de ‘grappige site’. Dat de systeembeheerder dan rondklikt in een tab/window die wel werkt lijkt me dan enigszins gerechtvaardigt, puur om te kijken of/in hoeverre de browser nog werkt.

    Maar goed, hij/zij had zelf dat SSH venster nog open staan. Dan moet je niet gaan zeuren dat ze even rond gaan kijken.

  3. Deze situatie voelt wel raar aan. Je zou zeggen dat een beetje computernerd zelf wel een browser kan afschieten, of een computer resetten. Echter zou het natuurlijk kunnen dat deze school gebruik maakt van een Terminal Server en/of Takenbeheer geblokkeerd heeft. Dat maakt dit soort problemen lastiger op te lossen.

    Maar dan nog lijkt me dat, als de systeembeheerder het weer werkend krijgt, waarom kon je dat zelf niet doen?

    Hoe dan ook, de systeembeheerder heeft de “leuke site” weten af te sluiten, Job Well Done zou ik dan zeggen, geen reden om verder te neuzen. SSH venster misschien een schoolserver? Wellicht, maar waarom zou je dat vermoeden? Afblijven dus. Zelfde voor mailinhoud; heb je ook niks te zoeken in deze situatie.

    1. Het terminal vensters kan door de hack (“leuke site”) geopend zijn en informatie leveren over welk beveiligingslek nu precies gebruikt is. Na afloop nog even een snelle controle doen of de rotzooi echt weg is kan betekenen dat je even alle applicatievensters nagaat op zooi…

      1. Snel alle vensters doorlopen is geen probleem. Mail lezen gaat echter wel wat verder dan “een snelle controle doen”. Dit geldt ook voor “rondneuzen op mijn PC”, zoals de vraagsteller het verwoordt. Dit suggereert namelijk dat de betreffende systeembeheerder de sessie ging nalezen of zelfs actief commando’s ging geven. Dat lijkt mij niet de bedoeling.

        Het zou kunnen dat de systeembeheerder het zwart/witte schermpje niet herkende als SSH sessie, maar in dat geval zou hij zijn leesactiviteit alsnog moeten staken op het moment dat de eigenaar van de server zegt dat de beste man er niets te zoeken heeft.

  4. Je moet wel een hele goede reden hebben om in iemands lopende sessie te neuzen. En al helemaal als die persoon je vertelt dat je niet welkom bent daar. Dat hij maar jong of cursist is, doet daar niks aan af. Ik weet niet hoe het zit, maar ik zou hopen dat algemene voorwaarden hieromtrent zelfs op de zwarte lijst behoren.

    In een supermarkt wordt toch ook niet alle damestassen even doorzocht zonder dat daarvoor het alarm af ging. Een ‘citizens arrest?’

    Maar Arnoud, wat is nou een arrestatie op staande voet? Google weet het niet.

        1. Waarom zou ik een tas niet mogen doorzoeken als bij het betreden van de winkel is afgesproken dat ik dat wel mag? Die huisregels zijn als algemene voorwaarden deel van de overeenkomst tot mogen bezoeken van de winkel.

          Wat niet mag, is de tas afpakken en zelf gaan doorzoeken.

          1. Exact.

            Men mag nakomst van de privaatrechtelijke verbintenis die ontstaat door uit vrije wil een winkel met duidelijk kenbaar gemaakte huisregels binnen te gaan pogen af te dwingen door al dan niet vriendelijk vragen (waarna je medewerking al dan niet beleefd kunt weigeren), of door je bij weigering al dan niet onder dreiging van lokaalvredebreuk te vorderen het pand te verlaten, of door bv. tussenkomst van de politie, die inderdaad in je tas mag kijken, maar zo plomp als het hierboven stond (‘supermarkten controleren iedere tas’) mag het niet.

            1. Mja, zó vrijblijvend lijkt het me nu ook weer niet. Als je weigert, hoeft de winkel niet te volstaan met “ach oké dan laat maar, even goeie vrienden, fijne dag nog” en je de winkel uit sturen. Afspraak is afspraak, dus nu zál die tas open en zál erin gezocht. Net zoals een winkel je niet hoeft te laten gaan als je weigert je betalingsverplichting na te komen.

              Dus hm ja. Je tas fysiek afpakken lijkt me nog steeds een brug te ver maar ik denk bij nader inzien dat je toch een flink eind in de buurt van die brug mag komen als winkel. Dus iemand weigeren te laten vertrekken totdat de doorzoeking is verricht, kan denk ik wel.

              (De politie bellen en die het laten doen gaat niet; het is een civielrechtelijke kwestie.)

              1. Als je weigert, hoeft de winkel niet te volstaan met “ach oké dan laat maar, even goeie vrienden, fijne dag nog” en je de winkel uit sturen. Afspraak is afspraak, dus nu zál die tas open en zál erin gezocht.

                Maar moet zo’n afspraak niet heeel erg duidelijk gemaakt worden met de klant. Dus niet alleen een stickertje op het raam? Daarbij lijkt het me toch raar als een winkel je tegen je wil vast mag houden omdat je niet in je tas wil laten kijken. Het geven van je adres gegevens zou al voldoende moeten zijn zodat zij civielrechterlijke stappen kunnen ondernemen om de schade te verhalen.

                Wat nu als ik in mijn voorwaarden opneem dat je alleen de winkel uit mag lopen met een rode pruik op (toevallig verkoop ik die ook in de winkel). Mag ik dan mensen vast houden totdat ze een rode pruik gekocht hebben?

                1. Aan algemene voorwaarden worden geen hoge eisen gesteld m.b.t. het akkoord gaan daarmee. Je moet erop zijn gewezen en dan iets hebben gedaan om daarmee in te stemmen. Een bordje op een niet te missen plek is dus in principe genoeg. Net als wanneer ik naast dit reactieformulier zou zetten “Ik mag je reactie op t-shirts printen en verkopen”. Daar ga je mee akkoord als je een reactie plaatst.

                  Als tegenhanger daarvan mogen algemene voorwaarden niet onredelijk bezwarend zijn. Bij een gewone afspraak kun je immers onderhandelen, dus dan ligt de lat over redelijkheid van een afspraak hoger (“redelijkerwijs onaanvaardbaar”, art. 6:248BW). We kunnen afspreken dat jij je auteursrecht op je reactie aan mij geeft. Maar als ik dát in een voorwaarde hier rechts opeis, dan zou ik dat toch onredelijk bezwarend vinden.

                  Eisen dat men iets koopt als men naar binnen gaat, lijkt me bij een gewone winkel onredelijk bezwarend want dat is volstrekt in strijd met het normale verwachtingspatroon. Maar bij een restaurant/café mag je denk ik wél zeggen “Zitten = consumptie afnemen” of “Toiletgebruik = consumptie kopen”.

                  1. Eisen dat men iets koopt als men naar binnen gaat, lijkt me bij een gewone winkel onredelijk bezwarend want dat is volstrekt in strijd met het normale verwachtingspatroon.

                    Maar is dat in iemands tas kijken niet óók? Als ik net een sexspeeltje heb gekocht, vind ik het niet prettig als iemand in mijn tas gaat kijken. Zeker als daar geen enkele aanleiding voor is. Aangezien dit bij mij nog nooit gebeurd is, valt het niet onder een normaal verwachtingspatroon.

                    Maar interessanter vond ik Dus iemand weigeren te laten vertrekken totdat de doorzoeking is verricht, kan denk ik wel.. Je kan toch niet iemand vasthouden omdat hij een contract niet nakomt? Bij het weigeren om te betalen volgt een strafbaar feit (diefstal) en mag je iemand staande houden en de politie bellen. Maar bij zo’n overeenkomst? En als je echt vindt dat het mag en ik blijf weigeren, hoe lang dan? Een uur? Eind van de dag? Een week (je krijgt eten en drinken)? Tot in de eeuwigheid?

                    Je mag me aanklagen omdat ik de overeenkomst niet na kom (succes!) maar tegen mijn wil vasthouden lijkt me onmogelijk.

                    Ze kunnen uiteraard de politie bellen als ze vermoeden dat ik iets gestolen heb maar na 10 valse meldingen zal de politie ook niet meer komen.

                    1. Volgens mij is die regel “Wij mogen in uw tas kijken” gebruikelijk in de winkelbranche, dus enkel met “dat mocht ik niet verwachten” kom je er denk ik niet.

                      En tsja. Goed punt maar het lijkt me óók weer onwenselijk dat je met duidelijk vooraf gestelde regels akkoord gaat en op het moment zelf lachend medewerking weigert en dan vrijuit zou mogen gaan. Natuurlijk, je kunt iemand aanklagen maar a) dat sop is de kool niet waard en b) je weet hem niet te vinden want dwingen een ID-bewijs te laten zien kun je óók niet.

                      Beide partijen moeten redelijk naar elkaar zijn (art. 6:2 BW). Ik zou dus zeggen dat daaruit voortvloeit dat je je tas opendoet als dat afgesproken is en er een eerlijke reden is om jouw tas te doorzoeken. Dat kan een vermoeden van diefstal zijn, maar ook “de computer heeft u willekeurig uitgekozen”. (Maar “uw gezicht staat me niet aan, open die tas” vind ik niet redelijk.) Ga jij je dan onredelijk gedragen, wat dan?

                      Eerlijk gezegd zou ik liever hebben dat een winkel random tassencontrole doet dan dat ik bij de ingang mijn NAW moet achterlaten (en paspoort laten zien) en de tas in een kluisje doen.

                      1. Dat laatste zou aan een aantal kritiekpunten tegemoetkomen (is er wel/geen verdenking, is die terecht, ‘u doet dit alleen omdat ik blond ben’, etc.). Maar het doorzoeken van een tas blijft een aanzienlijke aantasting van de persoonlijke levenssfeer. Het grondrecht op eerbiediging daarvan kan niet zonder meer geneutraliseerd worden door algemene voorwaarden. Daarenbuiten, of beter: juist daarom zijn doorzoeken, fouilleren en dergelijke dwangmaatregelen op grond van art. 1 Sv voorbehouden aan opsporingsambtenaren.

                        Als een klant tasdoorzoeking weigert, heeft de winkelier echt geen andere keuzen dan: – laten gaan – wegsturen – aanhouden om politie/BOA te laten doorzoeken

                        In het laatste geval mag geen geweld gebruikt worden, mag de klant niet onnodig in negatieve aandacht van overig publiek komen te staan, moet voorzien worden in basisbehoeften van de klant (drinken bv., toiletbezoek, medicijngebruik). Als er niets aan de hand blijkt is er bij ontstentenis van redelijk vermoeden van schuld bovendien misschien sprake geweest van (het misdrijf) wederrechtelijke vrijheidsberoving. Schadevergoeding samenhangend met gemiste afspraken etc. behoort ook tot de mogelijkheden.

                        De winkelier staat formeel kortom erg zwak. In de praktijk blijken beveiligers heel goed in staat af te wegen wanneer zij die formele kaders wel en wanneer zij die bewust niet zullen respecteren…

    1. Wel, bekijk het vanuit de andere hoek. Je bent systeembeheerder en een leerling meldt problemen met zijn computer. Dan zoek je naar aanwijzingen wat daar de oorzaak van kan zijn en dat zwart/witte schermpje valt enorm op! Is de leerling sites aan het hacken of zo? Je kijkt nog even naar de browser om te zien of er aanwijzingen staan hoe je kunt hacken en zo. Maar de leerling legt uit dat hij met zijn eigen server bezig was dus het schermpje wordt verklaard. En ik neem aan dat de webbrowser verder niets verdachts weergaf dus de beheerder hoeft niet verder te bladeren. De vraag is alleen hoe flink de beheerder door de email heen ging bladeren. Hij mag kijken naar wat er zichtbaar is, want dat is onvermijdelijk. Maar andere posts openen mag niet, want privacy weegt zwaarder.

    2. “Nee meneer dat is echt niet relevant voor die vast gelopen sessie, ik ben echt niet aan het hacken hoor, uw systeem is helemaal veilig!”

      “En daar mag u niet naar kijken!!”

      Kan me voor stellen dat je als systeembeheerder van een school daar na verloop van tijd niet meer in trapt.

  5. Na mijn mening zou een systeem beheer een check mogen doen, na het vragen of jij wist wat dit venster was . EN als jji daar met ja op had geantwoord en had gezegt dit is mijn thuis server. Dan had tegen jouw moeten zeggen van oke, maar ik moet controleren of het geen school server is en er geen rottigheid naar school is geweest.

    En als hierom een ifconfig en history command had gedraait had ik dat redelijk gevonden. Maar veder had naar mijn mening geen rechten om in jouw gmail of ssh sessie te zitten

  6. Na mijn mening zou een systeem beheer een check mogen doen, na het vragen of jij wist wat dit venster was . EN als jji daar met ja op had geantwoord en had gezegt dit is mijn thuis server. Dan had tegen jouw moeten zeggen van oke, maar ik moet controleren of het geen school server is en er geen rottigheid naar school is geweest.

    En als hierom een ifconfig en history command had gedraait had ik dat redelijk gevonden. Maar veder had naar mijn mening geen rechten om in jouw gmail of ssh sessie te zitten

  7. Ik denk dat je als school (of bedrijf) gewoon duidelijke regels moet stellen aan het privé gebruik van computers. Op mijn universiteit kon men vanaf de IT-afdeling alle schermen uitlezen. Bij een aantal bedrijven werd al het verkeer gelogd en de bezochte websites opgeslagen, mocht dit later nodig zijn voor oplossen problematiek (of reden voor ontslag). Het lijkt mij niet de bedoeling dat je op een schoolcomputer je privé mail gaat checken of gaat inbellen op je eigen server. Dat doe je als je aan het vervelen bent, de computer bezet houd voor onzin, het filter wil omzeilen, niet als je de PC gebruikt waar deze voor bedoeld is: huiswerk en digitale bibliotheek. Zeker nu iedereen een telefoon met internet heeft, is privé-gebruik van schooleigendom helemaal niet nodig en vragen om problemen.

    Daarom denk ik ook dat de “grappige” site via de VPN sessie kwam. Een beetje school blokkeerd websites als “Last Measure” (http://www.urbandictionary.com/define.php?term=last%20measure https://www.youtube.com/watch?v=D-oBvRN2yHY [NSFW depending on where you work]). En ja, als je malware problematiek probeert op te lossen dan valt een VPN sessie erg op. En dat je eventjes kijkt naar dat scherm met Gmail subject lines? Of zouden ze elke mail daadwerkelijk gelezen hebben?

    Werkgevers moeten accepteren dat werknemers privézaken regelen en hun persoonlijke netwerk onderhouden onder werktijd. Net zo goed als werknemers moeten accepteren dat het werk niet altijd om vijf uur klaar is en dat ze ook buiten kantoor worden aangekeken op hun positie. Dit betekent dat een werkgever niet zomaar privégebruik van ICT-middelen volledig kan verbieden. Werknemers mogen een ‘redelijk niveau’ van privacy verwachten op de werkplek, zo blijkt uit de rechtspraak.
    https://securityrecht.nl/diensten/juridisch-advies/monitoren-van-ict-en-internetgebruik-op-het-werk/

    Eigenlijk vind ik dit wel raar en ongewenst, maar het zal wel pragmatisch zijn. Als we nu eens alle middelen gelijk trekken: Een fabrieksmedewerker mag ook niet zomaar de digitale machine gebruiken om z’n eigen koekjes te bakken. En dat werknemers in meerdere mate worden aangekeken op hun positie als ze in de vrije tijd een foto voor vrienden op een sociaal netwerk plaatsen is ook best kwalijk te noemen.

    Het zou voor mij veel problematiek oplossen als je mag verwachten wat iedereen mag verwachten: Privé-gebruik van eigendom van anderen is een kadootje, geen recht. Van je werknemers moet je niet verwachten dat ze in het weekend onbetaald doorwerken of willen dat ze hun gezicht afwenden als er op een wild feestje een foto wordt genomen.

    En schoolcomputers waar leerlingen eigen software kunnen en mogen installeren? Op universiteiten zijn ze hier al huiverig voor.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.