Is het verboden om (via Tor of proxies) je IP-adres te verbergen?

| AE 7165 | Beveiliging, Strafrecht | 22 reacties

Een lezer vroeg me:

Met het anonieme netwerk TOR maar ook met allerhande proxies kun je je IP-adres verbergen. Nu hoorde ik laatst dat dat illegaal zou zijn omdat de politie je dan niet kan opsporen. Lijkt me sterk, maar is dat misschien toch zo?

Er is geen algemene regel in het recht die je verplicht opspoorbaar te zijn. In specifieke situaties soms wel: zo moet je als automobilist een nummerbord op je auto hebben zodat verkeersovertredingen op te sporen zijn naar de eigenaar van het voertuig.

Hoewel een IP-adres soort van dezelfde identificerende functie heeft als een nummerbord (en bij ICT vergelijkingen met auto’s wettelijk verplicht zijn), is er geen regel die je verplicht op internet je IP-adres zichtbaar te laten zijn. Het is dus legaal om met het Tor-netwerk te werken, een proxy te gebruiken of iets anders te doen waardoor je IP-adres niet zichtbaar is. Dat mensen dat wantrouwig kunnen bekijken of zelfs je kunnen weren omdat ze je IP-adres niet weten, is hun (ook weer legale) keuze.

Een risico bij zulke netwerken en diensten is dat wie ze aanbiedt, ineens aansprakelijk gesteld kan worden voor rare dingen via de proxy of Tor exit node. Of hij krijgt de politie aan de deur omdat het IP-adres van de proxy of exit node opdook bij een misdrijf. Strikt gesproken ben je niet aansprakelijk (straf noch civiel) als je enkel een doorgeefluik bent, maar praktisch gezien heb je dan best wel een probleem. En hoe dát op te lossen, daar ben ik nog niet uit.

Arnoud

Deel dit artikel

  1. …maar praktisch gezien heb je dan best wel een probleem. En hoe dát op te lossen, daar ben ik nog niet uit.

    Ik geloof dat sommige exit node beheerders preventief de politie inlichten dat ze een exit node draaien. Maar goed: de politie zou dat ook zelf kunnen zien: volgens mij is de lijst van exit nodes openbaar. Als de politie een hekel heeft aan TOR, dan kunnen ze je nog steeds gaan pesten.

    Kunnen we trouwens ook niet de nummerborden afschaffen? Met al die camera’s boven de weg zijn nummerborden een veel grotere privacyschending dan vroeger. Daarnaast zou ik ook graag de legitimatieplicht weer zien worden afgeschaft.

    Als je misdaden wilt aanpakken, dan doe je dat maar op heterdaad.

    Ik voel me niet echt goed bij de ondertoon van de vraag. Het is een beetje de mentaliteit van een slaaf: als ik me niet helemaal onderwerp aan het toezicht van mijn meester, dan zal dat wel niet goed zijn.

      • En hoe zie je dat voor je op heterdaad bij criminaliteit die langs de electronische weg wordt gepleegd?

        Ik heb een probleem met het idee “criminaliteit die langs de electronische weg wordt gepleegd”; wat mij betreft is criminaliteit vooral iets van de fysieke wereld. Voor zover de politie iets op het internet te zoeken heeft, is het vooral bewijsmateriaal voor criminaliteit in de fysieke wereld.

        In extreme gevallen kunnen handelingen op het Internet fysieke gevolgen hebben, bijv. bij een hack-aanval op een kerncentrale, op gemalen+sluizen en dergelijke. Mochten er voldoende bewijzen zijn voor de schuld van iemand, dan mag dat best tot een veroordeling leiden, maar dit soort problemen moet vooral met technische preventie aangepakt worden, en niet met juridische vervolging, en al helemaal niet met massaal monitoren van iedereen. Dus, bijvoorbeeld: sluit zulke kritieke systemen niet op het Internet aan.

        • mij betreft is criminaliteit vooral iets van de fysieke wereld.

          Oplichting en creditcardfraude over het internet zijn al lang groter dan in de fysiek wereld. Bijvoorbeeld creditcard fraude in alleen de EU is al zo’n 1,5 mijard euro per jaar. Dat kost de vaak duizenden kleine webbedrijven gigantisch veel geld.
          Maar creditcardfraude is nog maar een klein visje vergeleken met internetoplichting. Alleen in Nederland in alleen 2013 zijn er zo’n 450.000 mensen via het internet opgelicht (bron CBS). Dat is echt megacriminaliteit qua aantal slachtoffers.

          Zaken als gegevensdiefstal, identiteitsdiefstal, malware verspreiding, ransomware en verspreiding van kinderporno zijn ook grotendeels internetgebaseerd. Inmiddels zijn sinds de introductie van de bitcoin en union netwerk ook de drugs en wapenhandel prominent op het internet.

          Je hebt wel erg je hoofd in het zand zitten als je niet ziet dat het internet een plek is waar enorm schade wordt aangericht door criminaliteit en waar ontzettend veel mensen slachtoffer zijn van criminelen

    • Hèhè, eindelijk iemand die de vergelijking trekt tussen nummerborden en persoonsidentificatie. Als ik op straat met mijn BSN op mijn voorhoofd moet lopen, zouden we dat allemaal terecht een inbreuk van onze privacy vinden, maar met auto’s is het plots normaal. Alle argumenten in de richting `anders zouden we de wet nooit kunnen handhaven in het verkeer’ gaan ook op voor persoonsidentificatie.

      • Die vergelijking gaat mank, omdat je als automobilist met weinig moeite de wet kunt overtreden. Veel personen doen dat ook. Kentekens zijn vervolgens nodig om die overtreders te kunnen pakken, en deels als middel om mensen er bewust van te maken dat ze geflitst kunnen worden.

        Als voetganger in de binnenstad moet je veel meer je best doen om een overtreding of misdrijf te begaan dan wanneer je een gaspedaal onder je rechtervoet hebt.

        Daarbij vergeet je ook dat het gezicht van een persoon, veel meer unieke kenmerken bevat dan welk kenteken dan ook. Je bent als persoon dus al herkenbaarder dan je auto. De reden dat we kentekens op auto’s plakken is dat je geen boete kunt sturen aan de donkergrijze renault megane, want daar rijden er 600.000 van rond in Nederland. Jouw gezicht op een beveiligingscamera is prima te matchen aan de foto op je paspoort.

    • Om zo toegang te krijgen tot materiaal waartoe je eigenlijk geen toegang hebt?

      Zou je kunnen vallen onder 138ab Sr (computervredebreuk)?

      Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven: a. door het doorbreken van een beveiliging, b. door een technische ingreep, c. met behulp van valse signalen of een valse sleutel, of d. door het aannemen van een valse hoedanigheid.
      Denk eens met mij mee als je wilt. Ik denk namelijk dat je daar wel eens een vervelende discussie zou kunnen krijgen. Het minste of geringste aan handigheidjes (aanpassen URL) kan al voldoende zijn om hiervan te spreken. Dus als je op deze manier een (deel) van een systeem binnen weet te dringen, dan kun je nat gaan.

      Wel moet opzet (zwaarder dan schuld) bewezen kunnen worden.

  2. en bij ICT vergelijkingen met auto’s wettelijk verplicht zijn

    Wettelijk verplicht? Jokkebrok 😀 😀

    Ontopic: Het verbaast me wel dat deze vraag serieus gesteld en beantwoord moet worden. Kennelijk loopt het “TOR is crimineel”-propagandamachien toch een heel stuk gesmeerder dan ik had verwacht…

    • Één ding dat met toegenomen TOR gebruik wel duidelijk zou moeten worden voor de rechter is dat de claim IP adres = persoon niet op gaat. In het kader van de verplichte auto vergelijking: nummerplaat bestuurder.

      Bij autos hebben ze dat opgelost door de eigenaar gewoon altijd aansprakelijk te stellen. In ieder geval voor het begaan van overtredingen met de auto. Maar daar loopt het mank op het internet, aangezien je op het internet geen ‘eigenaar’ van je IP adres bent, dat is je provider. En het in tegenstelling tot autos heel normaal is dat je een IP adres deelt met iemand die je niet kent.

      Zo heeft mijn modem naast het gesloten netwerk een open WIFI netwerk voor voorbijgangers. (wel afgeknepen in snelheid, maar alles wat voor mij open staat bij de provider staat ook op dit netwerk ter beschikking ). Mijn AP logt wel MAC adressen van verbindingen round robin, dus tijdelijk heb ik een lijst met verbonden MAC adressen. Ervaring is dat deze na ongeveer een maand klokje rond is, dus info ouder dan een maand heb ik niet. Eigenlijk niet anders dan een TOR exit node aangezien je via mijn AP anoniem op het internet kunt.

      • Hoewel jij niet altijd hetzelfde IP hebt is het voor de ISP wel mogelijk om te achter welk abbonement op een bepaald moment gebruik maakte van een bepaald IP. Het is dus mogelijk om een overtreding te linken aan een persoon, net zoals bij een auto. Het zou dus prima moeten kunnen om die persoon verantwoordelijk te stellen. En die persoon kan vervolgens proberen de echte dader te achterhalen en de schade op hem te verhalen. Dat werkte (helaas) prima toen ik te hard reed met de auto van mijn moeder.

      • Al of niet dankzij dat zelfde NOS journaal bestaat het TOR netwerk dan ook voornamelijk uit deelnemers die iets willen verbergen. Hetzij hun lokatie, hetzij hun identiteit. Dat zal meestal niet gaan om geheim te houden dat je je rookworst on-line bij de Hema besteld… Aangezien het in NL verboden is om met een masker over straat te lopen (behoudens de gedoogperiode genaamd carnaval), zie ik eigenlijk niet in waarom dat op internet wel zou mogen. Ik ben heel erg vóór privacy, en vóór het uiten van je mening. Maar ik zie niet in waarom dat anoniem zou moeten kunnen. Vandaar ook mijn echte naam boven dit stukje 😉 Ik heb in elk geval niet het idee dat ik bepaalde dingen zou willen roepen maar dat niet durf omdat mijn eigen naam erboven staat. Ik vind wel dat crimineel gedrag opspoorbaar moet blijven. Internet is al teveel een vrijstaat geworden. Natuurlijk wil dat niet zeggen dat er een continu controle moet plaatsvinden.

        • Ah, daar is ie weer. Ik heb toch niets te verbergen.

          Ik heb voldoende te verbergen (vandaar ook dat ik niet mijn volledige naam boven dit stukje zet ;)). De dingen die ik te verbergen heb gaan niet heel veel verder dan het equivalent van het kopen van een rookworst bij de Hema. Ik wil echter niet dat de hele wereld kan zien wanneer ik die worsten koop puur omdat ze dat niet aan gaat.

          De meningen die ik hier verkondig zijn over het algemeen netjes maar ik zou niet weten waarom dat niet anoniem zou mogen. Zolang je je houdt aan ethische normen is er helemaal niets mis met anonimiteit.

          • Waar staat dat ik niets te verbergen heb? Zoals ik al aangeef vind ik de privacy overwegingen zéér belangrijk. Ik sta echter achter mijn mening, en hoef die daarom ook niet te verbergen achter een fake name. Het spijt me, maar meningen achter een fake name kan ik onmogelijk net zo serieus nemen als mensen die recht door zee voor hun mening durven uitkomen. Met jouw reactie is niks mis, maar ik zie tegenwoordig dusdanig veel ongefundeerde, racistische, en anderszins onacceptabele posts ( niet op deze site hoor ;-)) dat ik denk dat het beter zou zijn als niemand zich meer kan verschuilen achter fake identiteiten. Het feit dat je je mening mag verkondigen, en het feit dat dat anoniem kan, zorgt er voor dat grenzen van fatsoen en menselijkheid worden overschreden. Dat vind ik bepaald geen voordeel, en is een groot maatschappelijk probleem aan het worden.

            • Ik sta ook achter mijn mening maar waarom moet ik dat met mijn volledige naam doen? Mijn baas (of toekomstige baas) hoeft niet te weten wat ik allemaal vindt als het niet te maken heeft met mijn werk.

              Ik beoordeel reacties dan ook op de inhoud en argumentatie en niet op de naam die er bovenstaat. Misschien ligt NP wel dichter bij mijn echte naam dan Con Hennekens bij jouw echte naam. Als je gaat beoordelen op hoe echt een naam er uit ziet dan doe je voornamelijk jezelf te kort.

              Het feit dat er heel vaak fatsoensnormen overschreden worden op internet is absoluut een probleem maar de oplossing daarvoor is goede moderatie en geverifieerde accounts maar niet het verbieden van anonimiteit op internet.

  3. Niet vergeten: vele service providers verbieden het gebruik van TOR (en dergelijke) door middel van de EULA (of een IP block van alle exit nodes). Strafbaar is het dan misschien niet, maar wellicht wel reden voor (bijvoorbeeld) een ban? Bij zo’n ban kan ik me natuurlijk leuke juridische voorbeelden uitdenken, vooral bij betaaldiensten.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS