Mag ik een NS-treinsleutel 3d printen?

treinsleutel-3d-printenEen lezer vroeg me:

De NS gebruikt een driekantsleutel (zie plaatje) om treindeuren te openen en sluiten. Volgens mij is het hebben van zon sleutel niet strafbaar. Maar mag ik nu voor geïnteresseerden een 3d cad bestand maken zodat ze voor hun privébezit zo’n sleutel mogen printen? Of ben ik dan aansprakelijk voor strafbare zaken die zij uithalen? Kan ik dat oplossen door bijvoorbeeld het bestand onder GPL vrij te geven? Daar staat immers een beperking van aansprakelijkheid in.

Een sleutel hebben (echt of nagemaakt) is inderdaad niet strafbaar. Het gebruiken van zo’n sleutel om ergens binnen te gaan wel, dat is lokaalvredebreuk en dat is een strafbaar feit. Specifiek een regel tegen het onbevoegd sluiten van treindeuren weet ik zo niet.

Een sleutel namaken is op zich niet strafbaar, tenzij je weet (of moet weten) dat de opdrachtgever met die sleutel strafbare feiten wil gaan plegen. Dan ben je immers medeplichtig.

Met een disclaimer of licentie met aansprakelijkheidsbeperking kom je er niet in die situatie. Of dat nu een opensourcelicentie is of een maatwerktekst. Net zo min als je vingers in je oren doen en heel hard LALALA zingen als de opdrachtgever uitlegt wat hij er mee gaat doen. De tekst uit de GPL zegt alleen dat de maker niet aansprakelijk is naar de gebruiker van de software, dus als iemands 3d printer oververhit en ontploft door dit model dan ben je beschermd via de licentie. Maar de NS heeft niets te maken met die tekst.

Als de sleutel ook een legitiem doel heeft (bv. verwarmingsradiatoren openen) en dat is serieus vol te houden, dan kun je het op die grond gooien. Maar zet er dan niet bij “Uiteraard niet bedoeld om de trein snel uit te komen ;)” of zo. Dan sta je wellicht toch weer strafbare feiten uit te lokken.

Kortom, het gaat niet per se om de sleutel of het 3d cad bestand waarmee de sleutel te printen is. Minstens zo belangrijk is hoe je dit presenteert, waartoe je mensen aanzet of uitlokt.

Arnoud

Mag ik een vals access point opzetten?

t-mobile-akkoor.pngOp Twitter kreeg ik de intrigerende vraag:

Is het illegaal om in de trein de wifi hotspot van m’n telefoon ’tmobile’ te noemen? En het verkeer te bekijken?

Op zich mag je natuurlijk je hotspot noemen wat je wilt, maar met specifiek die naam doe je alsof dit een hotspot is van het bedrijf T-Mobile. En dat is precies de hotspot die veel treinen tegenwoordig aanbieden.

Er is geen wetsartikel dat je specifiek verbiedt die naam te gebruiken (hoewel, het merkenrecht maar dat lijkt me nogal gezocht). Maar het gaat in het recht niet alleen om acties als zodanig, maar ook om de intenties. En vanwege de intentie hier (het meekijken met verkeer dat mensen op die hotspot gaan genereren) zou ik zeggen dat dit toch strafbaar is, en wel als poging tot aftappen van datacommunicatie.

Het opzettelijk en wederrechtelijk met een technisch hulpmiddel aftappen of opnemen van gegevens die voor iemand anders bedoeld zijn, is een strafbaar feit (art. 139c lid 1 Strafrecht). Zo’n telefoon/hotspot is een technisch hulpmiddel, en de gegevens die mensen daar overheen sturen zijn niet voor jou bedoeld. En de wederrechtelijkheid zit hem er hier dan in dat je het doet voorkomen dat je T-Mobile bent, de vertrouwde provider in de trein. Jezelf vals voordoen is eigenlijk altijd wel wederrechtelijk in zo’n context.

Het enkele áán hebben staan van die hotspot levert nog geen aftappen op, want er is dan nog geen data over je netwerk gegaan. Maar daarvoor kent het strafrecht de constructie van de “poging”: als je begonnen bent met een misdrijf te plegen maar dat misdrijf is nog niet daadwerkelijk gepleegd, dan is dat een strafbare poging tot plegen van dat misdrijf. Vereist is dat “het voornemen van de dader zich door een begin van uitvoering heeft geopenbaard”.

Alleen maar dit als gedachtenexperiment bespreken op Twitter is niet strafbaar, want dan heb je nog niets aan voorbereidende handelingen gedáán. Maar die hotspot daadwerkelijk activeren lijkt me wel een begin van uitvoering.

Interessant wordt het nog als die hotspot beveiligd is, met een raadbaar wachtwoord dat echter niet publiek is (en niet “t-mobile”) of zo. Want als mensen zelf gaan raden wat je wachtwoord is, plegen ze computervredebreuk op je netwerk. En het sniffen van verkeer van inbrekers lijkt me niet verboden. Of ben je in zo’n situatie mensen aan het uitlokken om in te breken bij jou?

Arnoud

Waarom denken mensen dat dit vinkje zin heeft?

t-mobile-akkoor.pngWie net als ik wel eens in de trein ziet, zal het schermpje hiernaast vast voorbij hebben zien komen. Internet in de trein, maar u moet wel even akkoord gaan met de voorwaarden. En T-Mobile is niet de enige. Maar het is puur juridische cargoculterij.

Een cargo cult is de gedachte dat als je bepaald gedrag imiteert, je hetzelfde resultaat krijgt als de originele acteur. Het begrip komt uit Melanesië, waar de lokale bevolking vliegtuigen met geweldige goederen zag landen tijdens de Tweede Wereldoorlog. Na de oorlog hield dat op, waarop men besloot deze vliegtuigen dan zelf te gaan lokken door landingsbanen en vliegvelden te bouwen.

Iets dergelijks bespeur ik ook bij dit soort dienstverlening. Oei, we hebben een dienst, daar moeten we dan even voorwaarden op zetten. Oh en dan moet er wel akkoord op gevraagd worden natuurlijk. En vergeet de disclaimer niet! Als je mensen vraagt waarom ze dat willen, dan komt het antwoord niet verder dan “dat heeft iedereen” of “dat hoort toch zo”. Soms wordt geschermd met een bedrijfsjurist, die bij nadere inspectie een googelende IT-er blijkt te zijn.

Net als die Melanesiërs hebben wij dat gedoe met disclaimers en vinkjes afgekeken van de Amerikanen. Bij hun is akkoord nodig op voorwaarden, en dat moet blijken uit een actieve handeling. Maar bij ons hoeft dat niet, je kunt ook prima volstaan met gewoon melden dat je voorwaarden van toepassing zijn. Volgens de wet is dat genoeg. Niet dat iemand dat checkt of zo, welnee.

Het feit alleen al dat mijn disclaimergenerator sinds oktober 2010 zo’n drie disclaimers per dag produceert, laat zien hoe wijdverbreid dit fenomeen is. Ja, we moeten een disclaimer, nee ik heb ook geen idee wat erin moet, goh dan genereren we er even eentje en dan zal het wel goed zijn.

Wat iedereen dan weer keihard vergeet, is dat bij ons in de wet staat dat je de voorwaarden op moet kunnen slaan (of printen) om ze rechtsgeldig van toepassing te laten zijn. Dat hoeft dan weer niet in Amerika, dus dat doen wij dan ook niet. Of zoiets. Maar het betekent wel dat 90% van al deze voorwaarden volslagen irrelevant zijn, hoe veel vinkjes je ook moet aanvinken. Probeer maar eens simpel die voorwaarden op te slaan bij T-Mobile – nee, de HTML afvangen met een pipe vanuit netcat telt niet.

Ook inhoudelijk kun je vraagtekens zetten bij dergelijke voorwaarden. Vaak komen ze neer op “u dient zich fatsoenlijk te gedragen”, “wij garanderen niet dat het internet altijd werkt” en “bij misbruik kunnen we u afsluiten”. (En soms ook “van tijd tot tijd kunnen wij de dienstverlening veranderen”, joh, echt.) Waarom schrijven juristen dit op? Het spreekt toch voor zich dat de klant zich fatsoenlijk moet gedragen, dat anders het contract mag worden opgezegd en dat internet niet altijd werkt.

Natuurlijk, soms zijn er specifieke voorwaarden nodig om gekke dingen te regelen. Zo blijken soms alle poorten behalve 80 (http/www) dichtgezet, of worden pornosites of niet-werkgerelateerde sites geblokkeerd. Maar juist díe zie ik dan weer niet terug. Want dat hoeft niet in Amerika. Of de voorwaardenschrijvende jurist heeft geen idee wat de techneut bedenkt dat juridisch moet (“als we porno niet blokkeren zijn we aansprakelijk als kinderen porno kijken”). Of men denkt dat dat niet hoeft. Ik weet het niet maar het irriteert me mateloos.

Arnoud

Gratis internet in de trein hacken, mag dat?

ns-kpn-onlineindetrein-binnendringen.pngDe draadloze internettoegang, die momenteel als proef gratis wordt aangeboden in de trein tussen Groningen en Leeuwarden, blijkt slecht beveiligd te zijn, las ik bij Tweakers. De verbindingen zijn standaard niet versleuteld, waardoor iedereen mee kan lezen met het netwerkverkeer. Ook blijkt de router gewoon de fabriekswachtwoorden te gebruiken. Dit ontdekte NOS Headlines dat “met de internettrein” reisde.

Dankzij dit aftappen wist de NOS ook het wachtwoord van een e-mailaccount te achterhalen, waarna men op het account inlogde en de eigenaar benaderde. Bij Security.nl werd al gemeld dat dit computervredebreuk zou zijn. Bij het aftappen van de verbindingen wordt het juridisch interessanter. Hoewel het “opzettelijk en wederrechtelijk opnemen of aftappen van gegevens die niet voor hem bestemd zijn” strafbaar is (art. 139c Strafrecht), is er een uitzondering voor “door middel van een radio-ontvangapparaat ontvangen gegevens”. Op grond van de informatievrijheid (art. 10 EVRM) is het namelijk toegestaan om radiosignalen op te vangen en te gebruiken, zolang je daarbij geen ‘bijzondere inspanning’ hoeft te verrichten.

De NOS heeft dus computervredebreuk gepleegd toen men op dat e-mailaccount inlogde. Haar rechtvaardiging zal zijn dat sprake was van nieuwsgaring: men wilde aantonen dat draadloos internet in de trein veel onveiliger was dan mensen dachten. Het plegen van misdrijven in het kader van vrije nieuwsgaring is een dubieuze kwestie. Zoals ik al bij de hack van staatssecretaris Jack de Vries schreef, ook journalisten mogen de wet niet breken, zelfs niet om aan te tonen dat sprake is van een misstand. (Hier was het strikt gesproken een derde die voor de camera liet zien hoe hij het systeem hackte.)

Er moet wel een bijzonder zwaar nieuwsbelang zitten aan zo’n wetsovertreding wil je ermee weg kunnen komen. Bij de hack van Jack kon ik die niet bedenken, en ook hier heb ik er moeite mee. Draadloos internet is onveilig want mensen kunnen meelezen. Is dat nieuws? Voor mij niet echt, maar voor veel gebruikers waarschijnlijk wel – zoals blijkt uit de ophef over dit stukje. Het stond trouwens wel keurig in de voorwaarden maar ja, wie leest die nou?

Trouwens, het nut van aparte internetvoorzieningen in de trein snap ik nog steeds niet. Er is toch HSDPA dat landelijke dekking zou moeten leveren? Zorg er dan liever voor dat die dekking ook echt landelijk is, want onder ‘landelijk’ versta ik ook “buiten de ring A10” en dus ook “op het spoor tussen Best en Geldermalsen”. Oh ja, en hang stopcontacten in alle treinen. Wat jullie?

Arnoud