Mag je de verlichting van de Erasmusbrug op paars zetten?

Het systeem om de verlichting van de Erasmusbrug in Rotterdam te veranderen was ruim een jaar via internet toegankelijk, meldde Tweakers onlangs. RTL Nieuws-reporter Daniël Verlaan kreeg een tip over het lek en wist de brugverlichting paars te maken. De brug zelf was verder niet te bedienen, maar de interface van dit systeem bleek zonder beveiliging toegankelijk als je wist wat de netwerkpoort was van de server. Die laatste was via zwakhedenzoekmachine Shodan te vinden. Dat riep dus weer de bekende vraag op, mag dat dan?

Je mag niet binnendringen in andermans computersysteem. Of dat systeem beveiligd is, doet niet ter zake. Enige vraag is of je wist dan wel moest weten dat je daar niet mocht zijn. Het lijkt me evident dat je als Shodan-surfende derde weet dat je niet de verlichting van de Erasmusbrug mag bedienen, dus dat noem je binnendringen.

Natuurlijk kun je per abuis op zo’n server belanden. Je klikte wat rond, iemand deelde een onschuldige server en oeps die brug werd paars. Kan. Maar ik zou zeggen dat het bewijs van jouw bewustzijn een heel eind rond is als jij zegt, ik zat op Shodan te kijken en zag daar de admin van de Erasmusbrug. Je wéét dat Shodan geen rechtmatig gepubliceerde interfaces bevat en je wéét dat jij niet welkom bent in de admin van de Erasmusbrug.

Dit is dus tevens waarom je niet aan de politie gaat uitleggen wat je deed of waarom je dacht dat dat mocht. Gewoon niet. Echt niet. Nee, ook niet vanwege die reden die jij nu in je hoofd hebt. Niet. “Ik wil graag eerst met een advocaat overleggen” is het énige dat je zegt. Serieus. Alsjeblieft.

En ja, het is een vrij onschuldig verhaal want er is niets kapot gegaan, niets bediend en niets ernstigs gebeurd. Maar toch, wees voorzichtig als je geen professioneel journalist bent. Ik benadruk dit omdat in de sfeer van “cybercrime” Justitie vaak overspannen reageert vergeleken met real-life situaties. Als je de controlekamer van deze verlichting was binnengelopen, dan had de portier op z’n kop gehad en was jij eruit gejaagd. Maar nu heb je een cyberhack gedaan. In theorie had je zelfs antiterrorismewetgeving kunnen triggeren met zo’n actie.

In dit specifieke geval betreft het een journalist die een opmerkelijke misstand aan de kaak stelt, en daarvoor het enige middel gebruikt om aan te tonen dat de misstand waar is. De maatschappelijke of persoonlijke schade is nihil en het slachtoffer is geïnformeerd en kreeg de kans de misstand op te heffen voordat dit nieuws werd. Dan en specifiek dan wordt de strafbaarheid opgeheven.

En natuurlijk, journalist is geen beschermde titel, maar journalist ben je pas als je journalistieke activiteiten ontplooit. Dus enkel zeggen “ik wilde erover publiceren” is niet genoeg. Je moet een track record hebben (zoals Daniël, koop dat boek) of daadwerkelijk een journalistieke uiting hebben gedáán. Wilde je nu eindelijk eens journalist worden en was dit je eerste geplande publicatie maar werd je gepakt voordat het online stond, dan vrees ik dat je niet wordt geloofd.

Arnoud

23 reacties

  1. Je wéét dat Shodan geen rechtmatig gepubliceerde interfaces bevat en je wéét dat jij niet welkom bent in de admin van de Erasmusbrug.

    Dit is onjuist, je weet dat shodan zowel legitiem gepubliceerde services bevat als onbedoeld gepubliceerde services. En je kan alleen vermoeden dat het niet de bedoeling was dat de admin interface van de brug zo gepubliceerd was.

    Shodan is een lijst van publieke netwerk diensten die bereikbaar zijn, of je daar wel of geen gebruik van mag maken is dan weer afhankelijk van de bedoeling van degene die het publiceerde en de wetten van zowel de plek waar het gepubliceerd werd als de wetten waar de gebruiker onder viel.

    Er zijn genoeg voorbeelden te vinden van mensen die daadwerkelijk dit soort interfaces bewust openzetten, als vorm van vermaak of als kunst object.

    1. Ik vind dat geen reële voorstelling van zaken van Shodan. Natuurlijk staan er dingen in die zonder hindernis te bereiken zijn, maar de primaire bedoeling is niet een verzamelplek te zijn van geinige diensten die mensen bewust open zetten. Op zijn minst zit er een forse component onbedoeld open diensten in. Ze crawlen IoT-infrastructuur zonder te vragen, dan is er een serieus risico dat je dergelijke diensten meeneemt.

      Ik wil best “geen” nuanceren tot “een klein deel”, maar ik krijg sterk het gevoel dat ik ook krijg bij “op ThePirateBay vind je ook legale torrents zoals Linux en ebooks van auteurs die zo groot willen worden”.

      1. Het verschil met ThePirateBay is in mijn ogen toch wel relevant: Bij ThePirateBay is het meerendeel van het materiaal daar bewust neergezet door de uploader. Bij Shodan is het meerendeel vindbaar van wat onbewust is opengelaten.

        1. Door de uploader, ja, maar niet door de eigenaar/beheerder/rechthebbende. In dat opzicht zijn Shodan en TPB gewoon gelijk, in beide gevallen hebben de uiteindelijke eigenaren (van de content/server/brug) geen toestemming gegeven voor publicatie.

  2. Hoi Arnoud, goede uitleg (en waarschuwing voor sommigen) over de grens van aantonen en misbruiken in de wet. Vraag me wel af of dit klopt “ Je wéét dat Shodan geen rechtmatig gepubliceerde interfaces bevat”

    Shodan maakt toch helemaal geen onderscheid in wat het scant. Zowel de onjuiste als de juist geconfigureerde poorten worden gevonden lijkt me. Ze hebben een service om je eigen IP (reeks) in de gaten te houden en een seintje te krijgen bij afwijking. Het vinden van ‘een poort/toegang op shodan’ is dus niet per definitie onrechtmatige toegang.

    Je kan wel stellen dat: als je daar iets vind dat niet van jou zelf is, of een partij die je opdracht heeft gegeven voor controles, en je dat benaderd, dat je dan de door jouw genoemde ‘grens’ bewust overgaat.

  3. Waarom staan we eigenlijk zoveel stil bij de mensen die misstanden aantonen, inplaats van dat we meer stilstaan bij de misstanden zelf? Dat dit via Shodan te vinden was, betekent juist dat het al erg is. Wie waren er verantwoordelijk voor het open laten staan van de bediening van de bruglichten? Wat gaat er met hen gebeuren? En hoe voorkomen we dat het nog een keer gebeurt?

    Klinkt voor mij niet erg onschuldig trouwens. Als je het licht paars kan maken, kun je het ook uitzetten, wat een gevaar kan betekenen. Of kan men politieke uitingen doen, wat niet wenselijk is met dit wereldwijd bekend symbool.

    1. Omdat de juridisch gevolgen zijn voor de mensen die misstanden aantonen. En met name omdat ik veel mensen tegenkom die denken dat ze dit zomaar mogen, bijvoorbeeld “omdat Shodan openbare IP-adressen indexeert” en je dus niet strafbaar bent als je die uitprobeert. Ik vind dat een risico voor mensen die ik hoog heb zitten.

      Helaas is vergeetachtigheid en slordigheid bij ICT-beveiliging nog steeds niet strafbaar.

      1. Helaas is vergeetachtigheid en slordigheid bij ICT-beveiliging nog steeds niet strafbaar.

        Zou het dan ook verboden moeten worden om een fiets niet op slot te zetten? Of verboden worden om je voordeur gedurende enige tijd onbewaakt open te laten staan? Of wanneer je een bordje met ‘verboden toegang’ ophangt, maar er staat geen hek van minimaal 2 meter hoog rond het terrein, geldt het bordje dan niet meer?

        1. In veel gemeenten is het al strafbaar (onder de APV, categorie overlast veroorzaken) om een fiets zonder deugdelijk slot achter te laten.

          Gezien de impact van cybercrime en met name datalekken vind ik zeker in de ICT het goed verdedigbaar dat er een beveiligingsplicht komt. Die is er natuurlijk al onder de AVG, internetproviders hebben er ook eentje onder de Telecomwet, vitale infrastructuur-leveranciers hebben in ieder geval een meldplicht voor wat er mis gaat en er zijn vast nog meer voorbeelden.

          1. Ik ben het met je eens Arnoud; er zou zoiets moeten zijn als een onderhouds- en beveiligingsplicht in de ICT. Iets met “redelijke, marktconforme inspanning”. Niet dat iedereen alles op hetzelfde niveau hoeft te hebben als een bank of zo, maar enige inspanning is wel op z’n plek. We eisen ook van mensen dat hun auto in een redelijke staat van onderhoud is om er mee de weg op te mogen.

          2. Klinkt wel heel erg als “victim blaming” Als in dezelfde APV stond dat het vrouwen verboden is ’s nachts over straat te gaan omdat aanranders zoveel overlast veroorzaken, zou het land te klein zijn — maar een fundamenteel verschil is er niet.

            1. Dat gaat me te ver. De inbreuk op je persoonlijke vrijheid door een fietsafsluitplicht is onvergelijkbaar veel kleiner dan een gebiedsverbod voor vrouwen in de nacht. Ik vind een fietsafsluitplicht in een grote stad aanvaardbaar, de moeite is klein, het levert jezelf geen overlast op (en voordeel, je fiets is niet weg) en het bespaart een hoop mensen gedoe en overlast.

              1. Maar de schade van een gestolen fiets is ook relatief klein. Ordegrootte een paar honderd euro max (ja er zijn ook fietsen van 1000-2000€, maar die zullen mensen wel vrijwillig op slot zetten, daarvoor hoef je dat niet in de APV te zetten).

                Wat je eigenlijk moet afwegen is de ‘opbrengst’ (vermeden schade/leed) in verhouding tot de mate van inbreuk op je persoonlijke vrijheid.

                Ik denk dan ook niet dat jouw redenering (alleen kijken naar de inbreuk) voldoende is om een fundamenteel onderscheid tussen een slotverplichting en een gebiedsverbod te maken

                De inbreuk zal bij die fiets-op-slot-regel kleiner zijn, maar de opbrengst ook.

                Ik ben het dus eens met Jeroen: Ik zie nog niet meteen het fundamentele verschil. Wat mij betreft zouden ze er beide niet moeten zijn.

                  1. Het lijkt me dat dan juist onrechtmatig gestalde fietsen dan juist het probleem zijn, en dat wordt dan “opgelost” door mensen die ze wegnemen. Als het gaat om vandalisme of (in Utrecht veel voorkomend) fietsen die in de gracht gegooid worden, daar helpt een slot niet veel tegen — als ik mijn fiets daar al neerzet, dan gaat hij altijd vast aan iets met een zeer stevige ketting, zodat je echt een slijptol nodig hebt om hem zonder sleutel los te krijgen.

                  2. Sorry, maar dat zie ik niet. Het is nog steeds jouw fiets die gestolen wordt. Hoe is het overlast voor de samenleving dat er op plekken waar veel fiesters aankomen en vertrekken mensen rondhangen. Daar zijn toch altijd al relatief veel mensen (aankomende, vertrekkende en op elkaar wachtende fietsers).

                    Potentiele dieven hangen toch wel rond, slotplicht of niet, en is het niet bij de fietsenstaling, dan hangen ze wel ergens anders rond waar ze buit vermoeden.

                    Dus ik zie niet in hoe je overlast voor de samenleving vermindert door een slotplicht. Op zijn best verplaats je de overlast.

        2. Of wanneer je een bordje met ‘verboden toegang’ ophangt, maar er staat geen hek van minimaal 2 meter hoog rond het terrein, geldt het bordje dan niet meer?

          Is dat niet sowieso al het geval? Daar heeft Arnoud 7 jaar geleden al over gezegd dat het nogal tautologisch is. Om iets af te sluiten heb je een feitelijke afsluiting (zoals een hek) nodig, je kunt niet boos worden als iemand een terrein op loopt dat niet te onderscheiden is van openbare ruimte. Dan hoeft het hek overigens niet op slot, maar het moet wel enigszins duidelijk zijn dat je er niet zomaar mag komen. Zelfde geldt online.

          1. Zelf altijd groot voorstander geweest van zoiets als het Zweedse allemansrecht, waarbij land alleen met een heel goede reden afgesloten mag worden voor het publiek — maar dat terzijde: een eenvoudig hekje van een gespannen draadje tusen paaltjes van een halve meter hoog en een bordje “prive” zou genoeg moeten zijn.

  4. Even ongeacht of Shodan een bron voor legale dan wel illegale toegangen is, als ik vanuit Bremen via het internet, zonder hiertoe formeel berechtigt te zijn de belichting van de brug op paars zet, weet ik, dat ik iets doe, waarvan ik geacht wordt het niet te doen. De discussie over Shodan komt voor mij op de achtergrond te staan. Dat een journalist dit in het kader van zijn onderzoek voor publicatie doet, maakt het in eerste aanleg niet minder strafbaar. Slechts het feit, dat er na de daad wordt gewaarschuwd en dat er dan een publicatie volgt bespaard de journalist (meestal) voor vervolging. Pietje P. die het doet om tegenover zijn kameraden op school te kunnen opscheppen wat hij kan, krijgt terecht op zijn vingers getikt.

  5. Als ik dat soort dingen tegenkom – en dat gebeurt best nog vaak stel ik meteen de verantwoordelijke partij op de hoogte. En uiteraard klik ik niet op het knopje “Maak de brug paars”. Overigens heeft de Gemeente Rotterdam in hun responsible disclosure policy staan :

    “een kwetsbaarheid verder uit te nutten dan noodzakelijk is om de kwetsbaarheid vast te stellen”.

    Maar juridisch gezien ben je al fout als je ook maar een blik werpt op die interface. Je weet al dat je daar niet hoort te zijn. Hoe strookt dat trouwens met een responsible disclosure policy? Volgens de wet mag het niet maar volgens de disclosure policy wel? 🙂

    1. Volgens de wet mag het niet als het wederrechtelijk is. Als de RD policy aangeeft wanneer men het niet erg vindt, dan is het dus niet wederrechtelijk in die gevallen. Zie het als een onderbord bij “Verboden toegang voor onbevoegden”, zoals hier het park “Toegang vrij dagelijks zonsopgang-zonsondergang”.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.