Twee Nederlandse jongens van 17 jaar zijn aangehouden op verdenking van spionage voor Rusland middels een ‘wifisniffer’. Dat meldde RTL Nieuws vorige week. De aanhoudingen zijn het gevolg van een tip van de AIVD. Het gaf vele vragen over wat er dan strafbaar is aan wifisniffing.
Het plaatje bij de post (opklikken voor groot) is een willekeurige wifi sniffer tool. Technisch is het niet zo heel spannend: wifi is een vorm van radio, zodat je alle signalen kunt opvangen als je binnen bereik van een zender bent. Aan de pakketjes kun je aardig wat informatie zien, zoals je op het plaatje ziet.
Veel netwerken maken gebruik van encryptie, zoals WPA3 of voorheen WPA2. In zo’n geval kun je nog steeds wel de signalen opvangen, maar heb je alleen een versleutelde brij aan data. Daar kun je verder niets mee, tenzij misschien je de capaciteiten hebt van een staatsveiligheidsdienst zoals onze AIVD – of de Russische FSB of GRU natuurlijk.
Dat is relevant, want het nieuwsbericht noemt ‘spionage’, en dat zien we in artikel 98 Wetboek van Strafrecht:
Hij die een inlichting waarvan de geheimhouding door het belang van de staat of van zijn bondgenoten wordt geboden, een voorwerp waaraan een zodanige inlichting kan worden ontleend, of zodanige gegevens opzettelijk verstrekt aan of ter beschikking stelt van een tot kennisneming daarvan niet gerechtigd persoon of lichaam, wordt, indien hij weet of redelijkerwijs moet vermoeden dat het een zodanige inlichting, een zodanig voorwerp of zodanige gegevens betreft, gestraft met gevangenisstraf van ten hoogste acht jaren of geldboete van de vijfde categorie.
Een datadump van een netwerk kan daar onder vallen, al is natuurlijk de vraag waaruit blijkt dat daarvan “de geheimhouding door het belang van de staat of van zijn bondgenoten wordt geboden”. Dat het versleuteld is of
zelfs te herleiden is tot de ambassade van Canada, politiedienst Europol en Eurojust, is volgens mij wat weinig daarvoor. Aan de andere kant is ook weer niet vereist dat de informatie formeel gerubriceerd is als staatsgeheim.
Sinds afgelopen mei is daar nog een extra artikel bijgekomen, artikel 98d:
Met gevangenisstraf van ten hoogste acht jaren of geldboete van de vijfde categorie wordt gestraft hij die, wetende dat daarvan gevaar is te duchten voor de veiligheid van de staat, van zijn bondgenoten of van een volkenrechtelijke organisatie, voor de vitale infrastructuur, voor de integriteit en exclusiviteit van hoogwaardige technologieën, of voor de veiligheid van een of meer personen, opzettelijk in heimelijke betrokkenheid met een buitenlandse mogendheid …
2°.aan die buitenlandse mogendheid onmiddellijk of middellijk inlichtingen, een voorwerp of gegevens verstrekt.
Dit artikel vereist dus enige samenwerking of aansturing door een buitenland, maar hier is dan weer niet vereist dat het gaat om geheimen zoals in artikel 98. De eis is nu of het gevaar voor de staat oplevert, of voor specifieke personen, of voor vitale infrastructuur. Dus: wat onthult die getapte data?
Een suggestie die ik her en der lees is dat de jongens wellicht met een evil twin aanval bezig waren. Daarbij doet hun kastje zich voor als een accesspoint van de organisatie zoals Europol. Werknemers van die organisatie zien dan dat accesspoint eerder (want sterker signaal) en hun laptop of telefoon probeert daar dan verbinding mee te maken. Afhankelijk van de configuratie kán het dan zijn dat het kastje wachtwoorden of certificaten toegezonden krijgt. Ook leuk voor de Russen natuurlijk.
Gezien de aard van het delict ben ik benieuwd of dit werkelijk tot vervolging zal leiden. Bovendien zal het waarschijnlijk dan het jeugdstrafrecht worden, waarbij het vonnis in principe vertrouwelijk is.
Arnoud
