Oostenrijkse providers blokkeren Cloudflare-IP’s na gerechtelijk bevel

aitoff / Pixabay

In Oostenrijk zijn IP-adressen van Cloudflare geblokkeerd bij meerdere providers omdat websites die illegale software en media aanbieden daar gebruik van maken. Dat meldde Tweakers vorige week. Een foutje, een auteursrechtwaakhond had die IP-adressen per ongeluk opgenomen in een blokkadelijst die gericht was tegen de downloadsite Newalbumreleases punt net. Pijnlijk, want Cloudflare hergebruikt IP-adressen zeer regelmatig en legitieme websites waren dus uit de lucht hierdoor. Het gaf veel ophef, want hoezo had die rechter niet even gecontroleerd dat die IP-adressen echt bij die downloadsite hoorden? Nou ja: omdat dat de taak is van de partijen, niet van de rechter. Als die beiden zeggen, dit zijn de IP-adressen en die gaan jullie/wij wel/niet blokkeren, waarom moet de rechter dan apart gaan nakijken of die adressen correct zijn?

Op een lijst van ISP Liwest staat Newalbumreleases met diverse extensies genoemd. Ook staan er IP-adressen op die lijst, en daarvan behoorden een aantal toe aan proxynetwerk (CDN) Cloudflare. Door die te blokkeren, werden dus diensten van Cloudflare gehinderd waardoor een deel van haar klanten onbereikbaar werden. Cloudflare werd dus niet zelf aangemerkt als mede-inbreukmaker, iemand heeft zitten slapen bij het maken van die lijst en de verkeerde IP-adressen erop gezet. Waarschijnlijk omdat Newalbumreleases ook via Cloudflare werkte, zodat wanneer je diens IP-adressen opzoekt je ook Cloudflare-adressen krijgt.

De eerste berichtgeving had het allemaal over “court orders” die de ISPs zouden verplichten dit te doen. Ik kan alleen nergens een Oostenrijks vonnis vinden waaruit dit blijkt. Volgens provider Kabelplus zijn er wel zaken geweest, maar dit klinkt alsof men op basis daarvan overgestapt is naar die vrijwillige regeling. Als ik dan verder zoek, dan lijkt het erop dat dit een semi-vrijwillige afspraak is op basis van een strenge Oostenrijkse wettelijke regeling: als een rechthebbende een evident juiste klacht heeft dat een site structureel auteursrechten schendt, dan moet de provider deze blokkeren.

Provider RTR legt uit:

In the area of ??copyright, there is a special provision in Section 81 (1a) UrhG , according to which providers of Internet access services can also be obliged to refrain from providing access to structurally infringing websites if they have previously been duly warned by a rights holder. A structurally infringing website exists if exclusion rights within the meaning of the Copyright Act (UrhG) are violated not only in individual cases, but systematically and regularly. … According to § 7b VBKG, such measures are to be ordered in accordance with Art. 9 Para. 4 Letter g VBKVO due to a violation of the Consumer Authority Cooperation Ordinance, which the providers of internet access services, hosting services according to § 16 of the E-Commerce Act, services caching), search engines or registration offices for domain names, appointed the Telekom Control Commission. For this purpose, the authority responsible for the implementation of the VBKG can submit an application to the Telekom-Control Commission as another authority in accordance with Article 10 Paragraph 1 lit. b VBKVO. 
Zoals ik het dus begrijp. Uit de Oostenrijkse Auteurswet volgt dus dat een provider zo’n structureel inbreukmakende website op verzoek van een rechthebbende moet blokkeren. Een hele rechtszaak is daarvoor niet nodig. Wel kan een controle door de Oostenrijkse Consumentenautoriteit (de Telekom-Control-Kommission) worden verlangd, die dan nagaat of de Netneutraliteitsverordening wordt geschonden. Een voorbeeld is deze zaak over Kinox.to. Het idee is dan dat blokkades onder de Nnvo alleen mogen als ze een strikt beperkte uitzondering geven die gerechtvaardigd wordt door de auteursrechtinbreuk. Op die manier is er dus geen rechtszaak nodig maar wel een toetsing van een externe autoriteit.

Mij is alleen niet duidelijk of hier ook een uitspraak van die toezichthouder is geweest, want die lijkt nog nergens te vinden. Het is dus goed mogelijk dat de providers gewoon direct op het verzoek acteerden. Dat zou wel opmerkelijk zijn omdat er eerder nooit IP-adressen op zulke lijsten zijn gezet. Maar het zou verklaren waarom de ISPs niet hebben gecontroleerd van wie die IP-adressen zijn.

Arnoud

 

Niet-loggend Protonmail blijkt op bevel toch te loggen, hoe raar is dat?

mohamedhassan / Pixabay

Het Zwitserse Protonmail, een bekende voorvechter van privacyvriendelijk mailen, blijkt op bevel van de Zwitserse autoriteiten IP-adressen te loggen. Dit terwijl ze zeggen dat niet te doen. Dat meldde TechCrunch onlangs, op gezag van Etienne – Tek op Twitter. Het bevel is gegeven op gezag van Europol, naar aanleiding van een Frans onderzoek naar klimaatactivisten die in Parijs ophef creëren rond gentrificatie. Oei, wat nu?

Het mailadres van Protonmail werd gebruikt door de activisten om met elkaar te communiceren. Een niet onbekende truc: log allemaal in en typ drafts die de rest dan kan lezen, dat is effectiever dan mails naar elkaar sturen. Maar het staat of valt natuurlijk met de toegang tot die ene mailprovider.

Protonmail zegt “Standaard houden wij geen IP-logboeken bij die gekoppeld kunnen worden aan uw anonieme e-mailaccount. Uw privacy staat voorop.” Dus dat klinkt goed. Alleen, dan zegt de CEO naar aanleiding van deze zaak:

“Proton must comply with Swiss law. As soon as a crime is committed, privacy protections can be suspended and we’re required by Swiss law to answer requests from Swiss authorities.”
Dit gaf veel ophef, want hoezo kan Proton ineens IP-adressen geven aan de autoriteiten als ze die niet loggen? Wordt er stiekem dan toch gelogd? Dat zou in strijd zijn met het privacybeleid dat men hanteert. Daarin staat namelijk niet “wij houden wel IP-adressen bij voor het geval Justitie langskomt”.

Als ik het goed lees, dan gaat het echter niet om afgeven van reeds gelogde IP-adressen, maar om het actief loggen op bevel. Uit het transparency report:

In addition to the items listed in our privacy policy, in extreme criminal cases, ProtonMail may also be obligated to monitor the IP addresses which are being used to access the ProtonMail accounts which are engaged in criminal activities.
Dit lijkt de motivatie te zijn geweest voor deze keuze, maar ik zie dan gelijk een hoop vraagtekens bij “extreme criminal case”. Wat wordt daaronder verstaan? Proton vult die term niet zelf in, dus ik zie dan twee mogelijkheden: 1) het is PR-taal voor “heel uitzonderlijke gevallen” om te verhullen hoe vaak dit speelt of 2) het is half-begrepen juridisch jargon uit het Zwitsers strafrecht.

Vrijwel elk land kent namelijk categorieën van strafrechtelijke overtredingen. Niet alleen overtredingen en misdrijven, maar ook subcategorieën. Bijvoorbeeld bij ons misdrijven waar vier jaar of meer op staat – art. 67 Strafvordering. En dat lijstje noemt er nog veel meer, waaronder het kraakverbod (art. 138a Strafrecht). Dit terwijl daar maar één jaar cel op staat, maar toch is het “ernstig” onder Nederlands recht.

En dat is opmerkelijk, want die Franse zaak gaat dus over kraken en gezien de vele berichten over de nieuwe strenge Franse anti-kraakwetgeving zou het me dus niets verbazen als er in de Franse strafwet ook een wat hogere categorie aan dit delict is gegeven. Dat zou dan het internationale bevel verklaren en de reden dat de Zwitsers er aan meewerken. Dat is dan juridisch gezien volkomen logisch en in het geheel niet opmerkelijk.

Arnoud

Gaan providers e-mail van Brein aan torrentgebruikers doorsturen?

Ziggo en KPN hebben nog geen duidelijk standpunt ingenomen over het plan van Brein om torrentgebruikers te waarschuwen, meldde Tweakers onlangs. Brein wil vanaf 15 december beginnen met het versturen van waarschuwingsberichten van torrentgebruiker, door IP-adressen te monitoren van mensen die BitTorrent of sites als Popcorn Time gebruiken en dan internetproviders te vragen een e-mail door te sturen.

Het moet gezegd, de voorbeeld-email van Brein klinkt erg neutraal. Bepaald geen blafbrief zoals menig auteursrechtjager uit de pen trekt. Er wordt zelfs rekening gehouden met het geval dat de houder van het IP-adres (het internetabonnement) van niets weet of zelfs de wifi gekaapt kan zijn. Wel dreigt men indirect met de gang naar de rechter als er niets gebeurt, maar op een wijze die ik niet heel onredelijk vind.

Maar goed, dat is fase twee. Eerst maar eens zien wat deze brieven doen. Alleen is daarvoor natuurlijk de medewerking van de providers nodig, en dat is nu dus de discussie. Er is geen directe wettelijke plicht voor zo’n doorstuuractie, hoewel het in het verleden wel bepleit is. Wel is er natuurlijk de plicht tot afgifte persoonsgegevens, maar de providers verzetten zich daar heftig tegen. Dit voelt dus als een stukje de-escalatie, Brein krijgt zo immers geen namen bij IP-adressen dus het privacy-argument vervalt daarmee voor een groot deel.

Desondanks geven de meeste providers aan dat ze niet al te happig zijn om hier aan mee te werken. Het zet natuurlijk een precedent, als je deze mails stuurt dan kun je tegen dreigbrief 2 geen nee meer zeggen, en de stap naar “en geef na brief 3 maar gewoon de NAW gegevens” wordt ook weer een stukje kleiner. Ik zie dus hoe dan ook de gang naar de rechter wel weer hangen.

Brein denkt dat het voorlichtingsprogramma het gebruik van illegaal aanbod zal verminderen. Met marktonderzoek gaat de stichting onderzoeken of dat ook echt zo is. Blijkt het toch tegen te vallen, dan sluit men handhaving tegen deze structurele seeders niet uit.

Arnoud

Een auteursrechthebbende mag van Youtube alleen je postadres vragen (moehaha)

Wanneer een film illegaal is geüpload op een onlineplatform zoals YouTube, kan de rechthebbende krachtens de richtlijn betreffende de handhaving van intellectuele eigendomsrechten bij de exploitant uitsluitend het postadres van de betrokken gebruiker opvragen, maar niet zijn e-mailadres, IP-adres of telefoonnummer. Dat las ik bij ITenRecht. Het Hof van Justitie bepaalde dat onlangs in een procedure tussen Constantin Film Verleih GmbH, een in Duitsland gevestigde distributeur van films en YouTube. En ja, ik weet dat je weinig hebt aan die informatie.

Al lange tijd proberen filmproducenten en handhavers zoals BREIN informatie te krijgen van Youtube over uploaders van illegaal materiaal. Youtube werkt daar niet aan mee (dat is namelijk niet handig voor het businessmodel, pardon Youtube staat voor de grondwettelijk vastgelegde privacy van haar gebruikers).

In 2004 verscheen een Europese Richtlijn (de Handhavingsrichtlijn) waarmee rechthebbenden een bevoegdheid kregen om bij platforms en andere tussenpersonen gegevens van uploaders te krijgen. Iets preciezer (artikel 8 lid 2): “de naam en het adres van de producenten, fabrikanten, distributeurs, leveranciers en andere eerdere bezitters”. Dat is vrij logisch voor de situatie waarin handelaren ergens gevestigd zijn en dingen in- en wederverkopen.

Bij Youtube is dit iets minder logisch. Dat bedrijf heeft alleen e-mailadressen, IP-adressen en mogelijk een telefoonnummer (bijvoorbeeld vanwege tweefactorauthenticatie). Is dat een “adres”? Dat is een lastige, want de Handhavingsrichtlijn specificeert dat niet en het staat ook niet in eerdere Europese regels als gedefinieerde term. Het Hof trekt dan de ietwat verrassende conclusie dat dit niét het geval is: als je zegt “naam en adres” van iemand, dan bedoel je een woon- of vestigingsadres, niet een IP-adres (het plaatje rechtsboven is dus een grapje).

Dat botst wel met het idee dat dit artikel van de Handhavingsrichtlijn bedoeld is om rechthebbenden te helpen handhaven door informatie op te vragen van platforms. En u weet het, als je rechten hebt en auteursrechten, dan winnen de auteursrechten. Alleen nu niet, en ik ben daar oprecht door verbaasd: het Hof concludeert dat de Europese wetgever het simpel wilde houden en (nog) niet wilde nadenken over IP-adressen en e-mail. (Of, denk ik, dat de lidstaten het daar niet over eens konden worden.) En dan kun je dus niet later uit die wet halen dat je alsnog die elektronische gegevens mag hebben.

Het is wel toegestaan dat lidstaten nadere regels maken die strenger zijn. Zo hebben we bij ons het Lycos/Pessers arrest, op grond waarvan je wél IP-adressen en e-mailadressen kunt opeisen van een dienstverlener. Dat arrest blijft gewoon overeind.

Arnoud

Waarom is een IP-adres een persoonsgegeven en een kenteken niet?

Een lezer vroeg me:

Regelmatig lees ik dat IP-adressen als persoonsgegevens worden gezien, omdat ze tot een persoon (de gebruiker van de computer waar dat adres aan toegekend is) herleidbaar zijn. Dat klopt in theorie, maar je hebt daar de internetprovider voor nodig en die zal zonder gerechtelijk bevel niet meewerken, toch? Maar bij kentekens is de situatie hetzelfde en daarvan zegt de toezichthouder dat het géén persoonsgegevens zijn voor jou of mij, alleen voor de RDW. Waarom dat onderscheid?
Dit onderscheid is inderdaad lastig uit te leggen, maar gelukkig verdwijnt het met de AVG: beide gegevens zijn vanaf 25 mei gewoon keihard persoonsgegevens voor iedereen, punt.

Ik denk dat het onderscheid vooral om historische redenen zo gegroeid zijn. Bij invoering van de Wbp is gezegd dat kentekens alleen voor de RDW persoonsgegevens zijn. Dit was namelijk de klassieke opvatting: een gegeven is alleen persoonsgegeven voor wie de persoon kan identificeren, en gewone mensen kunnen dat niet. Omdat juristen graag de wet en dit soort parlementaire stukken overschrijven in leerboeken, is de opvatting “kenteken alleen voor RDW persoonsgegeven” gemeengoed geworden. (Zei hij cynisch.)

De discussie over IP-adressen is van recenter datum en veel meer een open vraag gebleven. Onze toezichthouder was er altijd stellig in: ja, in principe wel. Daar was de nodige kritiek op, met terechte vraagtekens overigens. Pas zeer recent (oktober 2016) is er een definitieve uitspraak gekomen: ja, in principe wel. Er is immers een mogelijkheid tot identificatie van de gebruiker, en dat daarvoor een gerechtelijk bevel nodig is, is een praktijkdetail maar theoretisch niet relevant. Voor iedereen die IP-adressen verwerkt, geldt dus dat ze persoonsgegevens zijn. En ook voor kentekens dus.

Maar zoals gezegd, eigenlijk is de discussie achterhaald want de AVG (of GDPR) kent een nieuwe definitie van het begrip ‘identificeerbaar’ bij persoonsgegevens:

als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
Die ‘online identificator’ kan natuurlijk prima het IP-adres van de persoon zijn. En het nieuwe is dan dat de AVG zegt dat je iemand geïdentificeerd hébt. Dus niet “deze persoon is te herkennen door NAW-gegevens op te vragen voor het IP-adres 192.168.1.1” maar “deze persoon héét 192.168.1.1”. Het doet er dan dus niet meer toe of je ook nog andere identificerende gegevens te pakken kunt krijgen en hoe moeilijk dat is. (Update 2 maart 2023: behalve natuurlijk de datum en tijd waarop het aan jou toegekend is, want morgen kan een IP-adres naar iemand andes wijzen.)

Arnoud

Dynamische ip-adressen zijn ook persoonsgegevens voor websitehouders

shirt-127-0-0-1-ip-adresHet Europese Hof van Justitie heeft bepaald dat dynamische ip-adressen persoonsgegevens kunnen zijn, zo meldde Tweakers vorige week. Daar schijn je over te kunnen twijfelen, dus goed dat er nu een uitspraak (zaaknr. C-582/14) over is.

De zaak werd aangespannen door een Duitse burger die constateerde dat overheidswebsites zijn IP-adres logden. Hij maakte daartegen bezwaar: als hij zich op de website had geïdentificeerd (bijvoorbeeld door in te loggen) dan zou na de bezoeksessie er geen reden meer zijn om zijn IP-adres te bewaren. En wat niet nodig is, moet weg onder de privacywet. Nee, aldus de instantie: dat IP-adres is geen persoonsgegeven als u niet inlogt want wij weten niet dan wie u bent. Dus niks privacywet.

Dit lijkt een wat gezocht argument en dat is het natuurlijk ook, maar het raakt wel aan een heel fundamenteel punt. Namelijk, hoe ver ga je met iets persoonsgegeven verklaren? De literatuur is daarover verdeeld in de objectieven en de relatieven, zeg maar de preciezen en de rekkelijken. De objectieven/preciezen vinden dat een gegeven een persoonsgegeven is als de koppeling naar de betrokkene met redelijke moeite te maken is, ook als je daarvoor een derde (zoals de isp, in dit geval) nodig hebt en ook als die daar niet perse aan mee werkt. De relatieven/rekkelijken vinden dat iets alleen een persoonsgegeven is voor wie de koppeling kan maken, in dit geval dus alleen de isp.

Het Hof pakt de wet er nog eens bij en constateert dat de objectieven gelijk hebben: de wet spreekt ook van “indirect identificeerbaar” zijn, dus iets is niet alleen maar een persoonsgegeven voor wie zélf de koppeling kan leggen. Dus de vraag is alleen nog, hoe moeilijk is het om de identificatie ui te voeren, oftewel hoe moeilijk is het die isp’s mee te krijgen?

Redelijk moeilijk, want in Duitsland gaat het opvragen van NAW-gegevens bij een IP-adres altijd via Justitie. Maar dat is genoeg:

Hoewel de verwijzende rechter in zijn verwijzingsbeslissing preciseert dat de internetprovider de extra informatie die noodzakelijk is voor de identificatie van de betrokken persoon, naar Duits recht niet rechtstreeks mag doorgeven aan de aanbieder van onlinemediadiensten, lijken er – onder voorbehoud van de door de verwijzende rechter in dit verband te verrichten verificaties – voor de aanbieder van onlinemediadiensten juridische mogelijkheden te bestaan om zich, met name in geval van cyberaanvallen, te wenden tot de bevoegde autoriteit opdat deze de nodige stappen onderneemt om die informatie van de internetprovider te verkrijgen en om strafvervolging in te stellen. … De aanbieder van onlinemediadiensten lijkt dan ook te beschikken over middelen waarvan mag worden aangenomen dat zij redelijkerwijs kunnen worden ingezet om de betrokken persoon met behulp van derden, te weten de bevoegde autoriteit en de internetprovider, te identificeren aan de hand van de bewaarde IP-adressen.

Als dát al genoeg is, dan zijn we er. In Nederland ligt de lat lager dankzij het Lycos/Pessers-arrest, zodat ik er geen enkele twijfel over heb dat in Nederland aan het vereiste is voldaan dat het Hof hier oplegt.

Gelukkig voor de Duitse overheidssites mogen zij wel gewoon doorgaan met loggen. Dit is namelijk te rechtvaardigen onder een “eigen dringende noodzaak” (bij ons art. 8 sub f Wbp), zonder ip-adressen is het lastig aanvallen en dergelijke te herkennen. Maar dat is dus wel het kader waarbinnen élk gebruik van een IP-adres zal moeten worden bekeken vanaf nu. Hoe groot is de noodzaak dat gegeven te gebruiken, en hoe groot is het privacybelang van de websitebezoeker?

Arnoud

Mijn provider blokkeert IP-adressen van schurkenstaten, mag dat?

shirt-127-0-0-1-ip-adresEen lezer vroeg me:

Wij zijn klant bij het Amerikaanse cloudbedrijf SoftLayer. Nu lezen wij dat SoftLayer network-wide blocking implementeert van IP-adressen uit Cuba, Iran, North Korea, Soedan en Syrië. Dit in verband met Amerikaanse handelssancties. Kan dat zomaar?

Inderdaad zijn er al diverse jaren allerlei zware handelssancties tegen de genoemde landen. President Bush noemde ze destijds de Axis of Evil, ook wel “schurkenstaten” (wat ik dan iets meer Donald Duck vind, maar goed). Interessant stukje achtergrond hier.

Sancties gaan primair over het niet mogen leveren van goederen, maar soms vallen diensten er ook onder. En routering van IP-pakketten is nu eenmaal een dienst, zodat naar de letter van het verbod je er zomaar onder kunt vallen als toegangsprovider of hoster.

Of de sancties tegen deze landen zó ver gaan dat ook deze vorm van dienstverlening eronder valt, betwijfel ik. Ik kan in ieder geval nergens ontdekken dat internetconnectiviteit een dienst is die verboden is om te leveren. Zo lees ik in het handelsverbod met Sudan toch echt een uitzondering voor:

• transactions with respect to telecommunications in Sudan;

Vergelijkbare uitzonderingen staan bij de andere landen. Misschien dat SoftLayer meer informatie heeft, of op safe wil spelen.

Mag dat? Ja, in principe wel. Internetproviders en hosters zijn ‘gewoon’ private bedrijven, en als die naar aanleiding van een wet eigen regels willen stellen die verder gaan, dan mag dat. Zeker omdat het hier gaat om business-to-business transacties. De enige vraag is eigenlijk of ze de bevoegdheid hebben het contract aan te passen, en natuurlijk is dat zo, in typisch Amerikaans-lompe stijl:

SoftLayer may modify the terms and conditions of this MSA by notifying You through the Customer Portal and all modifications will be effective upon such notice. It is Your responsibility to review the Customer Portal for such notices. Your use of the Services following any such notice will be deemed acceptance of such modifications.

Lees: het contract is wat wij vandaag online zetten, en als u dat niet leest dan is dat jammer maar helaas. Dus zelfs als de sancties van de VS IP-access toestaan van en naar schurkenstaten, dan mag SoftLayer nog steeds weigeren daarheen te routeren.

Deze actie van SoftLayer verbaasde me een tikje, maar nog meer verbaasde me het dat er vrijwel niets over te lezen is. Is het geen nieuws?

Arnoud

In één nacht het internet scannen, hoe strafbaar is dat?

telnetHet begon als grap, las ik in De Correspondent. Een onderzoeker wilde kijken hoeveel apparaten Telnet gebruikten. Op heel internet dus. “Hij bedacht daarom een list en liet een botnet het vuile werk opknappen.” Ook goeiemorgen. Een botnet van 30.000 computers die uiteindelijk concludeerden dat van 1,3 miljard IP-adressen een reactie kwam en van 2,3 miljard niet. Lachen? Strafbaar?

Het scannen van al die IP-adressen lijkt me op zich niet strafbaar. Dat is niet meer dan een groots opgezette portscan, en ik blijf erbij dat die alleen strafbaar zijn als je ze doet met als bedoeling vervolgens binnen te dringen. Dit onderzoekje had dat oogmerk niet.

Echter, mijn juridische broek zakt af van dit stukje in de onderzoeksopzet:

Als de onderzoeker een computer aantrof met Telnet en daar met root:root kon inloggen, installeerde hij er een Nmap-scanner. Die ging dan weer op zoek naar andere kwetsbare computers waar ook weer een Nmap-scanner geïnstalleerd kon worden.

Hier wordt dus wél binnengedrongen. En niet alleen dat: dag, uit naam van de wetenschap kom ik even uw computer inzetten. Oké, heel ethisch allemaal want het botje draait op de achtergrond en wist zichzelf bij het resetten van de computer. Maar toch. Zit er niet iets van “vraag consent voor je mensen mee laat doen” in deze tak van onderzoek?

De zaak deed me denken aan de hack van Nieuwe Revu, waarbij het wachtwoord van de Hotmailbox van toenmalid staatssecretaris Jack de Vries werd gebruteforced “om te zien of die wel voldoende beveiligd waren”. Nu kun je je afvragen hoe nieuwswaardig het is dat je met een bulldozer door mensen hun voordeur komt, net zoals je je hier kunt afvragen hoe nieuwswaardig het is dat 1,3 miljard IP-adressen syn-ack zeggen als je op poort 23 syn zegt. Maar ook in die zaak verbaasde het mij meer dat men achteloos 14.000 computers infecteerde met een botnet om ze zo op de achtergrond mee te laten bruteforcen.

Heb ik iets gemist? Is het zwaaien met de vlag ‘wetenschap’ een rechtvaardiging om botnetsoftware te installeren zolang de software maar ethisch afgesteld is? Mag ik even een wetenschappelijk hapje van uw lunch, zoiets?

Arnoud

IP-adressen ministerie gekaapt door Bulgaren, mag dat?

class-a-ip-address.pngIP-adressen van het ministerie van Buitenlandse Zaken zijn vorig jaar een week lang in handen gekomen van Bulgaarse criminelen, meldde de Volkskrant vorige week. Middels een BGP Hijack wist men internetverkeer van en naar deze IP-adressen te kapen, waarmee men in theorie in staat zou zijn geweest malware of phishingmails te versturen die niet te onderscheiden zouden zijn van echte. Volgens het ministerie zijn er ‘geen signalen van daadwerkelijk misbruik’. Tentamenvraag: welk strafrechtartikel wordt hier overtreden?

Wat er gebeurt bij een BGP hijack is dat een aanvaller hard gaat roepen dat hij een snellere route weet voor IP-verkeer naar een aantal specifieke IP-adressen. Dat is op zich een standaardfeature uit het Border Gateway Protocol (BGP): iedereen vertelt elkaar voor welke IP-adressen hij verkeer kan routeren, en zo kan iedereen snel bepalen waar pakketjes het beste heen kunnen.

Zo’n route-advertentie kan per ongeluk gebeuren, maar een slimme aanvaller kan het ook met opzet uitvoeren. Het kan zelfs zodanig dat het slachtoffer het niet merkt: de aanvaller stuurt dan het verkeer (eventueel licht gemanipuleerd) door naar de IP-adressen van het slachtoffer. Hij kan dan bijvoorbeeld meelezen of heel specifieke data manipuleren.

Dit voelt strafbaar, maar noem eens een wetsartikel dat hiervoor geschreven is? Computervredebreuk is dit niet, want er wordt niet binnengedrongen in een computer van Buitenlandse Zaken. Een denial-of-service aanval is het ook niet echt te noemen, de computers van het ministerie hadden nergens last van en draaiden geen millihertz harder door deze aanval.

Op Twitter noemt cyberofficier Lodewijk van Swieten artikel 161sexies als een mogelijke optie, en dat lijkt mij ook het beste passen:

Hij die opzettelijk enig geautomatiseerd werk of enig werk voor telecommunicatie vernielt, beschadigt of onbruikbaar maakt, stoornis in de gang of in de werking van zodanig werk veroorzaakt, of een ten opzichte van zodanig werk genomen veiligheidsmaatregel verijdelt, wordt gestraft: …

De computers van BuZa zijn niet vernield, beschadigd of onbruikbaar. De discussie moet dus gaan over de vraag of er sprake is van een “stoornis” in de gang of werking van die computer. Ik blijf zitten met datzelfde argument: die computers gaan niet stuk. Het netwerk er rondom ook niet. Dan blijft over dat je spreekt van verstoren van de BGP route-tabellen of internetrouters richting de BuZa-computers. Oftewel, als je met opzet valselijk zegt “ik weet een snellere route naar 127.0.0.1” dan verstoor je de werking van de ‘echte’ routers daarheen en dan kun je dus een celstraf krijgen.

Zelf dacht ik nog aan art. 139c Strafrecht:

Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.

Hiermee zeg je in feite: een BGP hijack laat jou luisteren naar verkeer/datacommunicatie dat eigenlijk voor BuZa bestemd is, en dat is aftappen van verkeer. Even los nog van of je dat doet enkel om mee te luisteren (MITM) of om mensen op te lichten (met een nepserver). Maar volgens mij gaat dat niet op wanneer je die IP-adressen alleen als afzender gebruikt, bijvoorbeeld voor een spamrun of om phishingmails te sturen die je vervolgens naar een andere server doorsturen. En zelfs als je het laat sturen naar een server met een BuZa-IP: tap je dan verkeer van BuZa af? Je initieert het zelf immers.

Meer algemeen zit je met het probleem dat die BGP routers zich in allerlei landen bevinden, zodat je niet weet wie er jurisdictie heeft. En trouwens: wordt het niet eens tijd om BGP te voorzien van een beveiliging zodat dit soort trucs niet meer mogelijk zijn?

Arnoud

Mag een bedrijf me weigeren omdat ik een Tor exit node draai?

tor-on.pngEen lezer vroeg me:

Als ik de supportpagina’s van Apple (support.apple.com en discussions.apple.com) probeer te benaderen, krijg ik een “Access Denied” foutmelding. Ik vermoed dat dit is omdat ik een Tor exit node draai (zie https://trac.torproject.org/projects/tor/wiki/org/doc/ListOfServicesBlockingTor). Maar mag Apple me nu zomaar support ontzeggen? Ik heb toch een dure iPhone bij ze gekocht!

Ik kan me goed voorstellen dat organisaties de toegang vanaf het Tor-netwerk blokkeren, omdat daar de kans groter is dat er malafide verkeer langs komt.

De vraagsteller is natuurlijk niet malafide en komt bovendien niet eens via het Tor netwerk: hij heeft hetzelfde IP-adres als iemand die via net Tor netwerk zou komen. Dat zou hem dan niet aangerekend moeten worden zou je zeggen, alleen in dit geval heeft hij er zelf voor gekozen om die Tor exit node te draaien.

De discussie wordt dan: mag je tegen meneer zeggen, wij kunnen niet zien of u het bent dan wel een potentiële malafide persoon via uw IP-adres, dus wij weigeren het IP-adres?

Juridisch is hier geen eenduidig antwoord op. Natuurlijk heeft meneer recht op service, maar dat is geen absoluut recht waar men ongeacht omstandigheden altijd aan mee moet werken. Als hij bijvoorbeeld naakt de Apple-winkel binnengaat mogen ze hem echt weigeren service te geven tot hij zich fatsoenlijk aankleedt. Hetzelfde geldt als iemand zich zeer onbeleefd opstelt.

Is het draaien van een Tor exit node hetzelfde als onbeleefd naaktlopen? Dat denk ik niet, maar de redenering gaat wel via dezelfde lijn. Het juridische criterium is of je je redelijk opstelt, omdat je alleen dan mag verwachten dat je wederpartij met je meewerkt.

Hoewel ik weet dat Tor zeer zeker nuttige toepassingen heeft, is het een feit dat er óók misbruik van wordt gemaakt. De keuze voor een bedrijf om dan Tor te weren, is dan ook een begrijpelijke. De consequentie voor de vraagsteller is dan vervelend maar onvermijdelijk. Hij mag geweigerd worden.

Hoewel ik weet dat er misbruik van Tor wordt gemaakt, heeft Tor óók zeker nuttige toepassingen. De keuze voor een bedrijf om Tor dan te weren, is dan ook onbegrijpelijk. De vraagsteller mag dan ook niet geweigerd worden.

(Leuk hè, juridische vragen?)

Arnoud