Het Marriott Hotel in Nashville heeft een schikking van 600.000 dollar getroffen met de Amerikaanse telecomwaakhond FCC voor het verstoren van de persoonlijke wifi-hotspots van klanten, meldde Nu.nl onlangs. Met deze truc wilde men voorkomen dat huurders van conferentiezalen eigen tijdelijke netwerken zouden aanleggen tegen lagere prijzen dan het hotelnetwerk. Maar de verstoring trof ook privénetwerken zoals een hotspot op je telefoon. Wat voor mij de vraag oproept: waarom mág dat eigenlijk niet, stel dat het een Nederlands hotel was?
In de VS hebben ze een specifiek artikel dat hierover gaat (Section 333 of the Communications Act):
No person shall willfully or maliciously interfere with or cause interference to any radio communications of any station licensed or authorized by or under this Act or operated by the United States Government.
Een dergelijk artikel specifiek over storingen in radio-uitzendingen verzorgen, ken ik niet. We zullen dus op zoek moeten naar een generieker artikel en zien hoe dat ‘past’ op deze vorm van verstoring.
Het ging hier niet om een wifi-jammer of ander radiostation dat gewoon de frequenties voor 802.11-radioverkeer blokkeert. Hoewel die frequentiebanden vrij gebruikt mogen worden, gelden voor apparatuur wel eisen zoals dat deze niet te hard of ongecontroleerd mogen zenden. En apparatuur die stoorverkeer genereert, zou dus tegen dit verbod aanlopen.
De apparatuur van het hotel gebruikte een specifiekere techniek, deauth geheten. Kort gezegd stuurt de apparatuur een commando dat randapparatuur meldt dat ze niet meer geauthenticeerd (deauthenticated) zijn en of ze zich opnieuw willen aanmelden bij het netwerk. En dat dan zo veel keer per seconde, zodat je effectief het netwerk niet meer op kunt. Dan wil je van ellende wel op het Marriott wifi uiteindelijk.
Een dergelijke aanval zou ik strafbaar vinden als denial-of-service aanval, art. 138b Strafrecht:
Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden.
(Hee Arnoud, maar één jaar cel, dat was toch veel hoger? Nee, alleen bij zware aanvallen die infrastructuur van algemeen nut verstoren.)
Ik zit een klein beetje met dat “daaraan”, dat impliceert dat het alleen opgaat als je één specifiek apparaat op de korrel neemt. En deze aanval kan ook ongericht worden uitgevoerd, oftewel op alle apparaten op het netwerk tegelijk. Maar ik denk dat daaraan (haha) wel een mouw te passen is: iets broadcasten dat bij apparaat X aankomt en mede bedoeld is voor apparaat X, lijkt me wel “daaraan toezenden”.
Weet iemand eigenlijk hoe je detecteert dát men zo’n apparaat gebruikt, ter onderscheid van dat het gewoon een brak netwerk is (zoals in menig hotel)? En wat doe je ertegen?
Arnoud
De vraag die het bij mij eigenlijk oproept is: hoe kan ik deze techniek gebruiken om alle andere gebruikers van het netwerk te stoten en zelf alle bandbreedte gebruiken? Handig, in zo’n hotel met brakke Wi-Fi! Is het geen gevaar dat mensen dit gaan doen en het lastig te detecteren is waar deze ellende precies vandaan komt?
Op het juiste OSI niveau is alles een broadcast. Ethernet frames worden door alle apparaten ontvangen en op de netwerkkaart gefilterd, waarbij het device alleen pakketten doorgeeft aan het OS die matchen met of zijn eigen MAC adres, of met het broadcast adres. Maar ik zou niet weten waarom ‘ontvangen’ wel betekent dat het OS het pakket ontvangt en niet dat de netwerkkaart het pakket ontvangt.
Stel dat er een attack bestond waarbij je een buffer overflow zou kunnen veroorzaken in de code die het pakket accepteert of verwerkt. Niet realistisch want die code is veel te simpel, maar als die er toch zou zijn dan zou deze ineens buiten deze wetgeving vallen?
De section 333 wordt hier een beetje uit z’n verband gehaald. Vrijwel alle Amerikaanse wetten beschrijven in 1 of twee zinnen de kern van de wet. De rest van de wet tekst is bedoeld om de wet juridisch te verankeren en uitzonderingen op te nemen. Nederlandse wetten kennen dat formaat niet, maar in de wegen- en een verkeerswet zou dan een sectie als ‘Niemand mag door rood rijden’ kunnen worden opgenomen als basis van de wet. In de volledige wettekst neemt men dan een uitzondering op voor voertuigen van hulpdiensten met optische en geluidssignalen. Bijvoorbeeld Amerikaanse bioscopen en theaters mogen wel GSM en WiFi frequenties blokkeren, maar alleen als zij dit duidelijk maken voordat je het pand, danwel de zaal betreed. Overigens mag de ‘jammer’ nooit 911 (112 in EU) blokkeren.
In Nederland zijn wetten vaak zeer onduidelijk. In het verleden heb ik aan schietsport gedaan. De Wet wapens en munitie (wwm) is zo onduidelijk dat men ook nog een Regeling Wapens en Munutie (rwm) en Circulaire Wapens en Munitie (cwm) hebben moeten schrijven om te verduidelijken wat de wet nou precies wil.
In het geval van Marriott kregen zij de boete om twee redenen: 1 zij hebben niet vooraf kenbaar gemaakt dat zij actief WiFi blokkeren. Indien dit duidelijk wordt gemaakt is dit gewoon toegestaan. 2. Wat echter nooit, ook niet me aankondiging is toegestaan, is vervolgens een alternatief WiFi netwerk aanbieden tegen kosten. Wat onderstreept wordt door de volgende quote uit de uitspraak:
‘klemtoon’ is hier ‘while’ wat eigenlijk door vrijwel alle media niet wordt opgepikt. Het gaat om de combinatie welke niet is toegestaan. Had het Hotel Wifi gratis geweest dan was er waarschijnlijk nog nieteens een onderzoek gekomen..
Mag een hotel gasten verbieden om een eigen wifi netwerk op te zetten en bij overtreding een boete geven wegens “activiteiten die de betrouwbaarheid van het hotelnetwerk in gevaar brengen” of iets dergelijk.
Geen idee of het mag. Deze techniek wordt wel legitiem gebruikt door meer geavanceerde wifi controllers, die dit gebruiker om bepaalde apparaten van een access point te krijgen, en zo te zorgen dat die apparaten dan op een ander access point inloggen, om zo een betere spreiding van gebruikers krijgen. In de controller die we op ons werk hebben worden daarnaast access points (AP) die niet onder controle staan van de controller, gedecteerd, en vervolgnes geclassifisseerd: ofwel als ‘naburig’ AP, ofwel als ‘rogue’ AP. Volgens mijn kan de controller dan ook dit soort trucs gebruiken om een ‘rogue’ AP ‘uit te schakelen’. Waarschijnlijk op dezelfde wijze als hier bij Marriot gedaan werd.
In een reactie op een andere website las ik de suggestie om het wlan van het hotel op dezelfde manier te storen om het hotel ertoe over te halen hiermee te stoppen. In eerste instantie lijkt dat net zo (il)legaal. Maar als het hotel wlan als een betaalde dienst aanbied, is het verstoren daarvan dan geen onrechtmatige daad?
Het aanleggen, het geheel of gedeeltelijk aangelegd aanwezig hebben en/of het gebruik van blokkeerzenders die GSM, UMTS of GPS signalen opzettelijk storen (“jammers”) is -volgens mij- een overtreding van de Telecommunicatiewet. Het is strafbaar gesteld in art. 10.9, eerste lid Tw jo. art. 1, sub 1° WED. Het is ook een overtreding van artikel 161 sexies van het Wetboek van Strafrecht, dat stelt het vernielen, beschadigen of onbruikbaar maken, of het storen van de gang of de werking van telecommunicatienetwerken en het verijdelen van een veiligheidsmaatregel strafbaar. Het geheel of gedeeltelijk aangelegd aanwezig hebben en het gebruik van een jammer en de handel erin is te allen tijde illegaal en wordt in alle gevallen strafrechtelijk behandeld. Ook is het niet mogelijk een vergunning voor gebruik van frequentieruimte ex art. 3.3, eerste lid Tw te verkrijgen voor dergelijke apparaten.
Deze bepalingen zijn o.a. bedoelt om te voorkomen dat er black spots optreden waar men in geval van nood niet meer om hulp kan bellen (niet alleen 112). Maar hoe zit het met bv. ruimtes die bekleed zijn met signaalwerende folies of als kooi van faraday werken? Mag dat wel?
Je kan het wifi verkeer afluisteren en “zien” dat er constant deauth packets worden verstuurd. Je kan er alleen niets tegen doen: het is niet mogelijk het verschil te zien tussen de echte en de neppe packets. Je zou een custom driver kunnen schrijven die dat complete packet type negeert natuurlijk… maar dat is niet echt te doen voor de normale gebruiker.
Moet je ‘daaraan’ niet lezen als ‘aan het geautomatiseerde werk dat toegang aanbiedt’? Zeg maar het onderscheid tussen het ddossen van deze blog, en het ddossen van elke bezoeker van deze blog; het eerste is strafbaar gesteld via bovenstaand artikel en het tweede niet. Normaal kom ik wel met een bronvermelding, maar hierover specifiek kan ik niets vinden; ddos’en van individuele gebruikers is schijnbaar niet populair genoeg dat erover is geschreven of geprocedeerd.
Misschien totaal off-topic maar waarom maakt de wetgever het zichzelf zo moeilijk om de manier waarop iets gebeurt er bij te betrekken. Wat is het nut van het laatste stukje
door daaraan gegevens aan te bieden of toe te zenden.
?Als ik de toegang kan belemmeren op een andere manier dan is dit artikel toch niet van toepassing op mij?
Hoe stop je een hotel in de gevangenis? (Zijn dit nieuwe Monopoly-regels?)
Ik dacht dat er “zes jaar” stond. Mijn hersenen assembleren uit “een jaar” en “opzettelijk” er vlak onder kennelijk ‘zes’. Slim want storingsongevoelig maar ook scary, zo’n manier van lezen.
Mag/kan een hotel in Nederland wel verbieden dat gasten of de buurman alternatieve netwerken aanbieden (via een WiFi hotspot)? Mag je toegang via je WiFi hotspot overal aanbieden?
Geldt de ether niet als infrastructuur van algemeen nut? Die zijn zij immers aan het verstoren.