Twee Nederlandse jongens van 17 jaar zijn aangehouden op verdenking van spionage voor Rusland middels een ‘wifisniffer’. Dat meldde RTL Nieuws vorige week. De aanhoudingen zijn het gevolg van een tip van de AIVD. Het gaf vele vragen over wat er dan strafbaar is aan wifisniffing.
Het plaatje bij de post (opklikken voor groot) is een willekeurige wifi sniffer tool. Technisch is het niet zo heel spannend: wifi is een vorm van radio, zodat je alle signalen kunt opvangen als je binnen bereik van een zender bent. Aan de pakketjes kun je aardig wat informatie zien, zoals je op het plaatje ziet.
Veel netwerken maken gebruik van encryptie, zoals WPA3 of voorheen WPA2. In zo’n geval kun je nog steeds wel de signalen opvangen, maar heb je alleen een versleutelde brij aan data. Daar kun je verder niets mee, tenzij misschien je de capaciteiten hebt van een staatsveiligheidsdienst zoals onze AIVD – of de Russische FSB of GRU natuurlijk.
Dat is relevant, want het nieuwsbericht noemt ‘spionage’, en dat zien we in artikel 98 Wetboek van Strafrecht:
Hij die een inlichting waarvan de geheimhouding door het belang van de staat of van zijn bondgenoten wordt geboden, een voorwerp waaraan een zodanige inlichting kan worden ontleend, of zodanige gegevens opzettelijk verstrekt aan of ter beschikking stelt van een tot kennisneming daarvan niet gerechtigd persoon of lichaam, wordt, indien hij weet of redelijkerwijs moet vermoeden dat het een zodanige inlichting, een zodanig voorwerp of zodanige gegevens betreft, gestraft met gevangenisstraf van ten hoogste acht jaren of geldboete van de vijfde categorie.Een datadump van een netwerk kan daar onder vallen, al is natuurlijk de vraag waaruit blijkt dat daarvan “de geheimhouding door het belang van de staat of van zijn bondgenoten wordt geboden”. Dat het versleuteld is of zelfs te herleiden is tot de ambassade van Canada, politiedienst Europol en Eurojust, is volgens mij wat weinig daarvoor. Aan de andere kant is ook weer niet vereist dat de informatie formeel gerubriceerd is als staatsgeheim.
Sinds afgelopen mei is daar nog een extra artikel bijgekomen, artikel 98d:
Met gevangenisstraf van ten hoogste acht jaren of geldboete van de vijfde categorie wordt gestraft hij die, wetende dat daarvan gevaar is te duchten voor de veiligheid van de staat, van zijn bondgenoten of van een volkenrechtelijke organisatie, voor de vitale infrastructuur, voor de integriteit en exclusiviteit van hoogwaardige technologieën, of voor de veiligheid van een of meer personen, opzettelijk in heimelijke betrokkenheid met een buitenlandse mogendheid … 2°.aan die buitenlandse mogendheid onmiddellijk of middellijk inlichtingen, een voorwerp of gegevens verstrekt.Dit artikel vereist dus enige samenwerking of aansturing door een buitenland, maar hier is dan weer niet vereist dat het gaat om geheimen zoals in artikel 98. De eis is nu of het gevaar voor de staat oplevert, of voor specifieke personen, of voor vitale infrastructuur. Dus: wat onthult die getapte data?
Een suggestie die ik her en der lees is dat de jongens wellicht met een evil twin aanval bezig waren. Daarbij doet hun kastje zich voor als een accesspoint van de organisatie zoals Europol. Werknemers van die organisatie zien dan dat accesspoint eerder (want sterker signaal) en hun laptop of telefoon probeert daar dan verbinding mee te maken. Afhankelijk van de configuratie kán het dan zijn dat het kastje wachtwoorden of certificaten toegezonden krijgt. Ook leuk voor de Russen natuurlijk.
Gezien de aard van het delict ben ik benieuwd of dit werkelijk tot vervolging zal leiden. Bovendien zal het waarschijnlijk dan het jeugdstrafrecht worden, waarbij het vonnis in principe vertrouwelijk is.
Arnoud
Dit klinkt wel een beetje als met hagel schieten door het begrip van ‘spionage’ te breed op te vatten, misschien zelfs als een juridisch proefballonnetje. Als ze alleen de versleutelde data dumpen zonder een poging te doen om de encryptie te kraken, dan weet ik niet of je van spionage kan spreken, want je kan nooit weten wélke data er is opgeslagen.
Als je dat al als (breed opgevatte) spionage interpreteert dan zou mijn gelogde SSL-verkeer via Wireshark dat ook zijn, want tot je het ontsleutelt kán het data zijn die in belang is van de staat. Daarvoor weet je het niet, en ik mag hopen dat we nu niet gaan proberen om de bewijslast om te draaien. Want dat zou de eerste stap zijn naar een breed encryptieverbod.
SSL is inmiddels toch al heel lang TSL? Maar gewoonte slijt langzaam. Een beetje als de schaal van Richter.
TLS. en ja inderdaad, in mijn ervaring noemt iedereen het nog SSL, zelfs in configuratieschermen en -bestanden. Ik heb het allang opgegeven.
Valt dit niet gewoon onder vrije ontvangst van radiosignalen? Ik zie het verschil niet helemaal tussen een telefoon of laptop die het wifi signaal ontvangt (om te kijken of er een bij zit die bekend is zodat er verbonden kan worden) en het vervolgens negeert, en een laptop die het wifi signaal ontvangt en in een applicatie laat zien wat er zoal ontvangen is. Als je het niet mag ontvangen dan zouden ze bij Europol of waar ze ook stonden te ontvangen niet al die signalen moeten versturen. Het voelt alsof ze in de tuin met een megafoon staatsgeheimen staan rond te schreeuwen, en dan mensen gaan aanhouden die langslopen en er naar luisteren.
Of de signalen vrij ontvangen zijn, staat los van de vraag of je spioneert. Ik wil nog wel meegaan met het gegeven dat enkel opvangen van staatsgevoelige informatie nog geen spionage is, maar als je het verzamelt en doorgeeft aan een FSB-officier dan vind ik “het is vrij uit de ether te halen” een zwak verweer.
Maar moet het dan niet zo zijn dat er sprake is van én staatsgevoelige informatie én bewijs dat het doorgespeeld is aan de FSB?
Ik bedoel, als ik de FSB een paar terabyte van mijn (versleutelde) Blu-Ray collectie stuur puur en alleen om ze bezig te houden, of voor mijn part een block-dump van mijn lege harddisk waar alleen ruis op staat (veel succes met decrypten, sukkels!), dan kun je echt moeilijk spreken van spionage.
Op dezelfde manier als dat je lastig van spionage zou kunnen spreken als je (passief) random data van een WiFi netwerk opvangt maar je geen enkele manier hebt om dat te ontsleutelen, en je dus nooit kan spreken van een intentie om staatsgevoelige informatie op te willen vangen, want je wist immers niet dat die werd verstuurd.
In het artikel van RTL kan ik weinig aanwijzingen vinden dat het om beide zou gaan. Alleen dat ze zouden zijn “benaderd” op Telegram, dat zou net zo goed een ongevraagde scammer kunnen zijn.
En je vergeet nog dat de vermeende spion ook moet weten of vermoeden dat het staatsgevoelige informatie is.
Dat zal nog een hele bewijsklus worden bij informatie die vrij op straat wordt uitgezonden. Hoe moet iemand in hemelsnaam redelijkerwijs vermoeden dat dergelijke informatie wel eens gevoelige informatie zou kunnen zijn?
Omdat iemand (via Telegram) ze erop uitstuurt – rondom een gevoelige locatie (ukrainsche amassade in Den haag of zo) om die data te halen en – voor geld – door te spelen misschien ?
Als er aanleiding is om dat te verdenken dan zou dat in de Telegram-logs terug te vinden moeten zijn.
Puur en alleen de ontvangen data is daar geen direct bewijs van.
Is het dan ook spionage als ik bij de kiosk op de hoek een stapel kranten koop en die doorgeef aan een FSB officier?
Ik begrijp gewoon niet hoe het spionage kan zijn als ik iets dat iedereen vrij kan ontvangen doorgeef aan de FSB. Als het doorgeven spionage is, dan moeten die signalen die ik vrij heb ontvangen toch van zichzelf staatsgeheim zijn? En als dat dan zo is, waarom is Europol dan staatsgeheimen aan het uitzenden op zo’n manier dat elke willekeurige passant het vrij kan ontvangen? Sterker nog, elke passant die wifi aan heeft staan op de telefoon ontvangt het, alleen bekijkt het vervolgens niet.
Spionage is het aan de vijand geven van inlichtingen of dingen waarmee diegene ons land (of bondgenoten) kan benadelen. Dit is volgens mij niet controversieel of raar.
Er zal een reden zijn dat die FSB-agent die kranten van jou wil hebben. Kennelijk iets dat hij niet zelf kan? Of risico loopt? Dus jij helpt dan de vijand iets dat die niet zelf kon, of jij helpt ze een risico te ontlopen.
Niet noodzakelijk. Ook een FSB agent kan wel een schoonmaker in dienst hebben en laat een loodgieter komen als de verwarming niet werkt. En ook een FSB agent bakt niet zijn eigen volkorenbrood maar koopt dat gewoon bij de bakker.
Het feit dat een FSB agent een activiteit uitbesteed, maakt die activiteit niet per se verdacht, en al helemaal niet als je niet wist dat het een FSB agent was.
Er zijn veel mensen die dingen door anderen laten doen die ze best zelf kunnen doen. Maar ze kiezen ervoor die dingen door een ander te laten doen omdat tijd die ze daarmee winnen voor hen meer waard is dan het geld dat het kost. Daar is helemaal niets verdacht aan, ook niet als een FSB agent dat doet.
Nu ga je al uit van de situatie dat een FSB-agent specifieke informatie van iemand vraagt, waarbij het bij de gevraagde al duidelijk is dat het om een FSB agent gaat. Dat is iets anders dan wanneer ik die FSB agent ongevraagd bombardeer met nutteloze informatie, of wanneer ik (naar goede eer en geweten) antwoord geef op een vraag die niet staatsrelevant is zonder te weten dat het om een FSB agent gaat.
Ga je aan 1 van die 2 voorwaarden sleutelen, dan is dat een enorme mogelijkheid voor politie of inlichtingendiensten om spoken te gaan zien en van iedereen te gaan eisen dat ze hun anonimiteit en privacy opgeven, want jouw gesprekspartner kan altijd een FSB agent zijn zonder dat je dat weet, of wat je aan jouw gesprekspartner vertelt, zou zo maar eens relevant kunnen zijn voor staatsaangelegenheden zonder dat je dat weet. Of ga jij al je gesprekspartners lopen doorspitten om er 100% zeker van te zijn dat die kans er niet in zit?
Wanneer ik aan Nikolaj vertel dat buslijn 11 om 7:45 vanaf de halte vertrekt, dan is dat een antwoord dat ik hem te goeder trouw vertel en waarvan ik niet kan weten of dat de staat in gevaar kan brengen. Een stukje “willens en wetens” is hier nog altijd wel van toepassing.
Nee dat is ook niet raar inderdaad. Dus er is ook geen onduidelijkheid als iemand de blauwdrukken van een nieuwe straaljager aan een FSB officer geeft, dat lijkt me duidelijke zaak. Evenzo vertrouwelijke notulen of beleidsdocumenten of wat ook. Verschil is, die worden niet uitgezonden waar iedereen ze kan horen.
Mijn vraag dus is, hoe kan je ons land of bondgenoten benadelen als het gewoon vrij verkrijgbare informatie is? Zoals in 98d staat “wetende dat daarvan gevaar is te duchten voor de veiligheid van de staat”. Hoe is dat het geval bij vrij verkrijgbare informatie? Is het spionage als ik op Youtube de krant voorlees en iemand van de FSB bekijkt mijn kanaal? Als mijn manager zegt “Als je toch gaat wandelen tijdens de lunch, kan je dan voor mij de krant kopen bij de kiosk”, moet ik dan eerst vragen of zhij misschien een FSB-officier is voordat ik een krant mag overhandigen?
Volgens mij is het verschil vooral dat het hier op versleuteld WiFi verkeer gaat, waarvan je dus als sniffer niet direct weet wat er in zit. En dan is er dus een kans dat het om staatsgevoelige informatie kán gaan – maar ik verwacht niet dat dat te bewijzen valt, want als dat al voldoende is om iemand op te veroordelen, dan draai je bijna de bewijslast om: Toon maar eens aan dat je alles gedaan hebt om uit te sluiten dat je staatsgevoelige informatie hebt verzonden.
Met andere woorden: Ga jij maar eens bewijzen dat de krant die jij gekocht hebt voor die FSB’er geen geheimtaal bevat.
Ik denk niet dat we juridisch gezien in die situatie terecht willen komen.
Het gaat mij om situaties waarin je weet dat je dit doet voor een buitenlandse inlichtingendienst. De vervolgvraag is dan: waarom doet die persoon dat niet zelf, die krant kopen? Kennelijk is dat een probleem, een risico. Jij helpt hem dan dat risico te omzeilen. Dát is de spionage, niet dat de krant staatsgeheimen bevat. Je helpt de vijand inlichtingen te vergaren.
Zoals ik het in het RTL artikel lees is daar alleen geen sprake van. Alleen een regeltje vernoemd dat ze “benaderd zijn op Telegram”, maar niet dat ze daar zelf op zijn ingegaan.
Daarom heb ik het idee dat de politie het sniffen op zichzelf al als spionage probeert te vervolgen (wat een gevaarlijk precedent kan scheppen), niet het doorspelen van de opgeslagen data.
Robin, bij de politie werken in 2025 ook gewoon hackers, hoor.
Het precedent dat hier geschept wordt is enkel gevaarlijk voor de doelgroep voor wie dat gevaarlijk /moet/ zijn: jonge scriptkiddies die een zakcentje willen verdienen. Ofwel hun ouders letten beter op. Het is een andere (belangrijke) discussie hoe je dat ronselen van kwetsbaren in de samenleving (jongeren, autisten, armen, enz.) door zware criminelen tegen kunt gaan.
Ja, er is grijs gebied. In geval van Telegram opdrachtgever is het duidelijk niet zuiver op de graat. Professionele hackers / pentesters hebben een bedrijf, kennen hun opdrachtgever (die ontmoeten ze niet via Telegram; maar via hun netwerk, hun bedrijf heeft ook een eigen website zoals de figuren achter bijv. security.nl dat ook hebben), hebben een contract met de opdrachtgever (inclusief legal waiver), scope & boundaries, lezen het responsible disclosure beleid, enz. Dat onschuldige hackers in NL vast komen te zitten, is in 2025 gelukkig niet meer aan de orde. De laatste die ik me kan herinneren was Brenno de Winter, en dat was een sepot. Dus wil Rusland met groot succes spioneren, zullen ze die profs moeten ronselen (en dat zal ze naar alle waarschijnlijk niet lukken; al zitten er ook hier en daar wappies in het NL hacker wereldje). Dat lukt ze niet, dus vandaar dit laaghangende fruit. In die zin positief.
In theorie kun je met ieder WiFi apparaat waarbij je WLAN in AP modus kunt zetten sniffen maar een ‘WiFi sniffer’ suggereert dat het gaat om hardware die dat specifiek als doel heeft. Denk hierbij aan een Pineapple i.p.v. een laptop met Kali plus een Alfa WLAN. Die eerste variant kun je zo kant-en-klaar kopen en je handige neefje kan de rest doen vanaf z’n telefoon of laptop. Zoals de Russische zgn. diplomaten die in 2018 zijn opgepakt in Den Haag met zo’n ding. Of het exact zo’n geval betreft weten we vooralsnog niet. Ik zou er in ieder geval wel van uit gaan.
Het signaal (pun intended) dat van dit bericht uitgaat, is dat de pakkans niet nul is. Dat zie ik als positief, niet als gevaarlijk precedent. Dat men niet zegt welke hardware het betreft, is ook positief: dat voorkomt copycats.
Waar het om gaat is dat hier alleen maar vage begrippen worden genoemd, en op vage begrippen kun je geen bewijslast baseren. Die ‘WiFi sniffer’ kan net zo goed een Wireshark zijn die toevallig op die laptop draaide, en het ‘benaderd via Telegram’ kan ook een bot of een scammer zijn die de jongens ongevraagd een bericht stuurde.
Zou je op de combinatie van die 2 iemand gaan veroordelen voor ‘spionage’ dan wordt dat wel een heel erg gevaarlijk precedent. Dan kun je wel zeggen dat dat een waarschuwing is dat de pakkans niet nul is, maar ik vind het juist een voorteken dat mensen straks voor dingen gepakt gaan worden die volledig onschuldig kunnen zijn, maar waarin een OM op basis van publieke opinie allerlei spookverhalen gaat zien.
Ja ik zie wel wat je bedoelt, maar ik zie niet in hoe die vrij vergaarbare informatie gevaar op kan leveren voor de staat of de bondgenoten (of die andere dingen uit 98d), en dus denk ik dat dat hele artikel niet speelt. Het is toch de essentie van vrije informatie dat iedereen die zou mogen hebben. De ambassade van Rusland kan ook een abbonement nemen op de krant, dan krijgen ze die elke ochtend gewoon in de brievenbus, dat maakt de krantenbezorger ook geen spion. Ik denk dat we gewoon een verschil van inzicht hebben over de aard van vrij verkrijgbare informatie. Ik vind dat, zelfs als je weet dat degene die het vraagt een vertegenwoordiger van een buitenlandse mogendheid is, het legaal moet zijn om aan die persoon de krant voor te lezen.