Een lezer vroeg me:
Ik heb het wachtwoord van mijn Wifi gedeeld met mijn buren. Ben ik nu ook verantwoordelijk voor wat zij op het internet uitspoken?De Digital Services Act (DSA, voorheen de Ecommercerichtlijn) beschermt partijen die aan anderen de dienst internettoegang verlenen. Zo’n partij is niet aansprakelijk voor wat die ander er mee doet. En de bewoordingen zijn breed genoeg om ook niet-professionele partijen hier onder te rekenen, zoals het delen van je internetverbinding met de buren.
Als de buurman stelselmatig auteursrechten gaat schenden, bv. door illegaal downloaden, dan mogen rechthebbenden of hun vertegenwoordiger stichting BREIN bij jou eisen dat jij maatregelen neemt om daar een einde aan te nemen. Verder ben je niet echt tot maatregelen verplicht. Schadeclaims hoef je niet te vergoeden.
Het lastige is natuurlijk dat van buitenaf het erop lijkt dat jij al die acties begaat. Dat kan lastig uit te leggen zijn als de politie aanklopt vanwege een verdenking van strafbaar gedrag online, want “de buren hebben het wifi wachtwoord” is natuurlijk een veelgehoorde smoes. Waarmee niet gezegd is dat jij dus veroordeeld gaat worden, maar een hoop gedoe geeft het wel.
Verstandig is dus een manier te zoeken waarmee jouw netwerkverkeer en dat van de buren gescheiden is. (Misschien ook zodat ze niet per abuis printen op jouw netwerkprinter of je NAS als eigen opslag gebruiken.) Dat zou dan in ieder geval aanwijzingen geven dat er op dat tijdstip alleen vanaf het gastennetwerk is gewerkt, en dat kan in jouw voordeel werken als je wilt aantonen dat de buren het waren.
Sluitend is dat natuurlijk niet – je kunt zelf het gastennetwerk hebben gebruikt voor je snode activiteiten – maar het is beter dan niets. En voel je je hier niet senang bij, dan kun je verdergaande maatregelen nemen. Iemand suggesties?
Arnoud
Een makkelijke implementatie voor niet-ITers is bijvoorbeeld het aanleggen van 2 thuisnetwerken elk met hun eigen wifi-toegangpunt (prive / publiek).
Je printer,scanner,nas,etc. zitten allemaal op prive, je IOT-dingen zoals smarthome lampen en die vage chinese weegschaal op publiek wifi. Daarna ontzeg je publieke netwerk alle resources van je prive-netwerk , maar andersom kan wel.
Buren zitten dan uiteraard ook op het publieke netwerk.
Ik doe dit zelf al jaren zo, nu is mijn publieke netwerk ook compleet ‘free’ geworden voor onbekenden in de straat waar ik woon, omdat internet toch belangrijk is als basis dienst voor het leven ondertussen.
Wat goed. Mag ik vragen wat voor logging je doet op het gastennetwerk? Of hoe zou jij desgevraagd aantonen dat bepaald verkeer dat volgens je ISP “van jou” is, afkomstig is van je gastennetwerk?
Logging beperk ik vanwege het volume toch tot de basis gegevens.
“Apparaat” vraagt ipadres van mijn router in prive / publiek netwerk. “ipadres” vraagt deze internet addressen op (niet het verkeer, alleen ipadres noteren)
Aangezien de netwerken gescheiden zijn kan ik zo aantonen dat een bepaald ip opgevraagd is van mijn prive of mijn publieke wifi, want deze zijn niet aan elkaar gelijk. Stichting brein kan dan wel bij mij het aanmeld apparaat (mac-adres) met datum/tijd krijgen, waarop de site bezocht is, maar dat laatste hadden ze zelf natuurlijk al. Bovendien kan ik dan laten zien dat geen van mijn laptops/smartphone’s/etc, thuis het bewuste mac-adres hebben en dus niet (bewijsbaar) hebben gedownload.
Na de logging met de hand ook af en toe nalezen, kwam ik er toch op om zowiezo al mijn smarthome apparaten niet meer op mijn prive netwerk toe te laten.
Mark.
Dat is geen waterdicht bewijs. Je kan niet echt bewijzen dat er nog ergens een laptop oid staat waarmee je je illegale downloads doet.
Waterdicht bewijs is niet nodig, het gaat er in een civiele zaak om om jouw verhaal aannemelijk te maken. Een rechter zal wanneer de tegenpartij met een verhaal over een laptop komt vragen waar zij dat op baseert.
@Mark: MAC-adressen worden alleen op een LAN actief gebruikt en zitten niet in de IP headers voor standaard Internet verkeer. Voorbij je router is niet meer (direct) te zien vanaf welk device een verzoek komt.
Standaard wordt er veel te weinig mogelijkheden gegeven om te loggen inderdaad.
Ik heb daarom mijn provider-device vervangen door een ubiquity edgerouter welke veel meer mogelijkheden heeft. Natuurlijk hebben niet-IT mensen daar niet zoveel zin in, dus ik had wat details weggelaten omdat dit geen technisch blog is maar een Juridisch blog.
mac-adressen loggen doe ik dus wel, maar dit stukje is best lastig voor niet-ITers omdat daar vaak een vervanging van provider apparatuur bij hoort. Het is voor mij al een tijdje geleden dat ik een Fritzbox/zyxel gebruikt heb, maar beiden vond ik toendertijd ondermaats voor mogelijkheden tot logging.
Mocht de edgerouter straks kapot zijn, ga ik overigens voor een ubiquity dreammachine, das weer een stapje omhoog maar ook weer duurder (ruim 400 euro op het moment van schrijven)
Je zei: “Na de logging met de hand ook af en toe nalezen, kwam ik er toch op om zowiezo al mijn smarthome apparaten niet meer op mijn prive netwerk toe te laten.”
Vind je het handig om al je smarthome apparaten op een publiek netwerk te laten draaien???
Goed punt, tijd voor een apart IOT netwerk.
Zou het niet voldoende zijn om op het guest netwerk ‘device isolation’ in te schakelen? Of moeten sommige IOT apparaten elkaar kunnen zien?
Voor een typische “smarthome” oplossing communiceren de individuele apparaten met elkaar. (De sensor detecteert beweging en duisternis en stuurt een signaal naar de lamp(schakelaar) om het licht in de badkamer aan te doen.)
Idealiter draai je alles op een lokaal LAN met een open-source controller, maar veel IOT fabrikanten willen verkeer via hun server laten lopen (voor extra kans op storingen en om jouw data te verpatsen.)
Ik zou de vraag omdraaien: waarom zou uberhaupt van mij verwacht moeten worden dat ik dat aantoon? Waarom is default positie van de ISP ‘het is de abonnee die het doet’ overtuigender dan mijn default positie ‘ik deed het niet’.
Uiteindelijk is de abonnee slechts degene die het abonnement betaalt, en die misschien daar woont, maar so what, wat zegt dat?
Zoals je stelt ‘Het lastige is natuurlijk dat van buitenaf het erop lijkt dat jij al die acties begaat’. Misschien moeten we proberen een maatschappelijke verandering teweeg te brengen zodat niemand zal aannemen, en het dus ook niet lijkt, dat ik al die acties bega.
Potverdorie, ik ben zelf slachtoffer (wel niet zoveel als BREIN, maar toch) van de buurman, waarom wordt ik dan als dader aangemerkt? Als ik mijn fiets uitleen, en daar wordt vervolgens iemand mee het ziekenhuis in gereden en de fiets is kapot, dan ziet toch ook niemand mij als mededader, maar als slachtoffer. Waarom zou dat bij WIFI misbruik anders zijn?
De zaak is dat een of andere “vertegenwoordiger” met “bewijs” naar jouw ISP stapt waaruit blijkt dat door een bepaald IP adres op een bepaalde tijd illegaal informatie gedeeld is. De ISP herleidt dat IP adres naar jouw aansluiting. Op dat moment is het goed dat jij op een of andere manier kunt aantonen dat het waarschijnlijk een ander is die op jouw aansluiting heeft meegelift.
Anders krijg je verhalen als “Wat doet dat zakje hennep in je auto?”, “Achtergelaten door de vorige bestuurder.” “En die boksbeugel?”, “Achtergelaten door de vorige bestuurder.” “Wie was de vorige bestuurder?” “De broer van mijn zus”. “Ik zie dat jouw moeder maar twee kinderen heeft.”
In de vorige blogpost schrijf je
Geldt dat nog steeds; kan BREIN de persoonsgegevens van de buurman eisen?Zeker wel, dat is jurisprudentie van het Hof van Justitie.
Een beetje router heeft een gastnetwerk-functie waar met een vinkje of twee een separaat netwerk ontstaan met verkeer alleen naar buiten.
Ik meen het verhaal te herinneren van een security specialist die bewust zijn wifi had open gezet voor iedereen, omdat hij het anders niet kon uitleggen als er ooit ‘fout’ verkeer vanaf zijn IP zou komen. Ook: dit gebeurt natuurlijk ook bij Tor exit nodes. Beide maken het aannemelijk dat derden het netwerk (kunnen) gebruiken.
Logging: bij mijn weten is een privepersoon niet verplicht te loggen. En er is, tenzij je thuis iets als Radius gaat inrichten en iedereen een persoonlijke username/pass geeft, hooguit te zien in logs dat IP1 verbond met IP2 en dat IP1 is uitgegeven aan een bepaald MAC-adres. Niet dat dat MAC-adres de laptop is van de overburen. Logs gaan alleen zinvol zijn resp. voor de bewoner een probleem zijn als het aantoont dat de hele tijd dezelfde MAC-adressen zijn gebruikt, maar kunnen geen onschuld aantonen.
Je bent ook niet verplicht om te loggen. Loggen doe je om iets van een verhaal te hebben als jij wordt aangesproken op handelingen van gasten. Dan moet je meer hebben dan “ja nee dat was iemand op mijn netwerk” zonder welke onderbouwing dan ook.
Ook al heb je een manier om het uit te leggen, is mijn schrikbeeld toch nog steeds dat er iemand met politiebadge om 6 uur ’s nachts met een stormram je huis binnentreedt omdat men ‘illegaal’ internetverkeer vanaf jouw ip gezien heeft. Ook al kun je het dan wel uitleggen, dan ben je toch een huiszoeking + aantal weken zonder apparatuur verder (waarvan je maar moet afwachten in welke staat je die terugkrijgt).