Mag ik de wifi van de buren met een legale zender offline halen?

| AE 10575 | Security | 20 reacties

Een lezer vroeg me:

Recent kwam ik bij een netwerkapparaat de Air Marshal techniek tegen. Deze blokkeert actief SSIDs van netwerken in de buurt vanuit veiligheidsoverwegingen. Ik zie dat het apparaat legaal te krijgen is, maar zou het legaal zijn dat ik dit apparaat aanzet om zo de buren van hun wifi te beroven?

De hier beschreven techniek uit het Cisco-apparaat is de Wi-Fi deauthentication attack, waarbij je een randapparaat een bericht stuurt dat de verbinding wordt verbroken. Daarmee kun je dus heel effectief een netwerk om zeep helpen, want zo zal geen apparaat lang in de lucht blijven op dat netwerk.

Dit kan legale doelen hebben, zoals voorkomen dat je personeel per ongeluk een rogue netwerk uitkiest (GratisWifiXXX) in plaats van het bedrijfsnetwerk. Maar je kunt het ook voor meer malafide doeleinden gebruiken, zoals alle netwerken saboteren behalve je eigen dure hotelinternet. En je kunt natuurlijk ook, zoals de vraagsteller voorstelt, de buren flink dwarszitten. Wellicht om zo zelf meer bandbreedte te krijgen?

In ieder geval, het feit dat een apparaat legaal te verkrijgen of zelfs te gebruiken is, betekent niet automatisch dat álle toepassingen ook legaal zijn. Het lijkt me zonder twijfel een vorm van denial of service om apparaten de toegang tot andermans netwerk te ontzeggen met genepte “uw verbinding wordt verbroken” berichten. En het aanrichten van een denial of service is strafbaar, ook als je daarbij niet binnendringt in iemands computer en ook als je geen illegale frequenties of gekaapte systemen gebruikt.

Arnoud

Is wifi op de camping standaard of een aparte dienst?

| AE 10511 | Ondernemingsvrijheid | 17 reacties

Hoort het aanbieden van wifi op de camping aan gasten bij de dienst van verblijf zelf, of is het een aparte dienst? Met die vraag zag de rechtbank Gelderland zich recent geconfronteerd in een belastingzaak. Ja, dit is relevant voor de belasting omdat er verschillende btw-tarieven gelden voor losse diensten bovenop logies en voor de logies zelf. Het maakt daarbij niet uit of je het apart verkoopt, als het immers eigenlijk bij de dienst inbegrepen zit dan moet hetzelfde btw tarief daarop gelden. TL;DR: wifi is een essentieel en niet van vakantieverblijf los te ziene dienst bij een vakantiepark.

De gedaagde in deze zaak exploiteert een vakantiepark met woningen en plekken voor tenten en stacaravans. Wie toegang tot het internet wilde, moest apart betalen en kreeg vervolgens een wificode. In de praktijk bleek zo’n 70 à 80% van de mensen deze code af te nemen, en de eigenaar deed dan ook aangifte btw tegen het lage tarief voor deze aparte dienst. De Belastingdienst zag dat anders, internet is gewoon deel van de dienst van het verblijven in het park en daarom had er gewoon 21% btw op moeten zitten.Update: Pardon, zoals in de comments gezegd: “De belastingdienst vond het een losse dienst en vond dat het daarom belast moest worden met 21% BTW en niet met 6% BTW die over de verhuur van de huisjes werd geheven.”

Niet verbazingwekkend zijn er stapels jurisprudentie over de vraag wanneer iets een los extraatje is en wanneer deel van het origineel. De stand van zaken is kortweg als volgt:

Er is onder meer sprake van één prestatie indien een of meer elementen moeten worden geacht de hoofdprestatie te vormen, terwijl een of meer andere elementen moeten worden beschouwd als een of meer bijkomende prestaties, die het fiscale lot van de hoofdprestatie delen. Een prestatie moet in het bijzonder als bijkomend bij een hoofdprestatie worden beschouwd, wanneer zij voor de klanten geen doel op zich is, maar een middel om optimaal gebruik te kunnen maken van de hoofdprestatie van de dienstverrichter.

Heel gechargeerd is de vraag dus, hoe belangrijk is internet op de camping. Ik vermoed dat een aantal lezers nu gelijk wil roepen dat “je naar de camping gaat voor je rust” of “je hebt toch een 4g dongel bij je”, maar er blijkt zowaar onderzoek te zijn op dit gebied (van de ANWB) waaruit:

blijkt dat 99% van de kampeerders online gaat en 82% zelfs dagelijks. Drie op de vier ondervraagden vinden internet op de camping net zo vanzelfsprekend als een goed elektriciteitsnet.

En dat gaat dan over mensen in tenten, caravans én huisjes. De rechtbank in deze zaak vindt het daarmee nog zwaarder wegen voor huisjeshuurders, omdat die immers meer luxe verwachten dan tentkampeerders.

Naar het oordeel van de rechtbank moet geconcludeerd worden dat wifi inmiddels zo gewoon en algemeen is geworden, en ook in de jaren 2014 en 2015 al was, dat niet gezegd kan worden dat de wifi voor de klant een doel op zich is, zo min als andere bijkomende diensten als stromend water, elektriciteit en een televisie dat zijn. Aannemelijk is dat het ontbreken van de mogelijkheid van wifi zal leiden tot minder boekingen en dat spiegelbeeldig de aanwezigheid van wifi eraan bijdraagt dat optimaal gebruik kan worden gemaakt van het verblijf in de vakantiewoning.

Vanuit die conclusie is het dan ook onvermijdelijk dat de kosten voor wifi onder hetzelfde tarief vallen als het vakantieverblijf zelf. Belastingtechnisch is wifi op vakantie dus essentieel. U mag nu gaan mopperen dat in uw tijd je al blij mocht zijn met stromend water en/of een gat in de grond als wc.

Arnoud

Kan ik wat claimen bij een telefoon met WPA2-kwetsbaarheid?

| AE 9752 | Ondernemingsvrijheid, Security | 23 reacties

Een lezer vroeg me: Recent werd de Krack-aanval gepubliceerd.

Deze is met name zeer schadelijk voor tablets en smartphones die Android 6.0 draaien, wat 32% van alle Android apparaten zijn. Als ik nu zo’n apparaat heb, kan ik dan wat claimen bij de verkoper?

De recente attack van Mathy Vanhoef van de KU Leuven en Frank Piessens van imec-DistriNet maakt het mogelijk om de WPA2-beveiliging van wifi-netwerken aan te vallen. Kort gezegd wordt een key reinstallation attack uitgevoerd, waarbij een aanvaller het slachtoffer dezelfde encryptiesleutel laat gebruiken met nonce-waarden die al in het verleden zijn gebruikt.

De aanval gaf veel ophef door het breed gebruik van WPA2, maar met name bij Android 6 is het een probleem: daar kan een aanvaller de client een voorspelbare “all-zero” encryptiesleutel laten gebruiken, waardoor al het verkeer voor de aanvaller eigenlijk onversleuteld is. Heb je dus een telefoon of ander apparaat met Android 6, dan heb je nu een serieus probleem.

Helaas is er nog steeds geen duidelijke wetgeving over de vraag of een apparaat securitytechnisch goed in orde moet zijn. Er zijn wel regels over productveiligheid, maar dat gaat in principe over fysieke veiligheid zoals ontploffingen en giftige stoffen.

De wet is formeel breder: een produkt is gebrekkig, indien het niet de veiligheid biedt die men daarvan mag verwachten, zo staat in art. 6:186 BW. Uiteraard in alle redelijkheid en met de presentatie en te verwachten gebruik van het product in het achterhoofd, plus kijkend naar de stand der techniek van toen het product uitkwam. Is een product dan toch fysiek onveilig, dan is de producent aansprakelijk – en dat is naast de feitelijk producent ook de Europese importeur. Je zou dat in theorie ook kunnen toepassen op ICT-veiligheid, maar het is nog nooit geprobeerd.

Daarnaast is er nog de algemene regel van conformiteit: een product moet aan de redelijkerwijs gewekte verwachtingen voldoen, en zo niet dan moet de winkelier dat gratis oplossen of een vervangend apparaat verzorgen. Je moet dan verdedigen dat een onveilige WPA2-implementatie die verwachtingen schendt. Ik zie dat wel een heel eind: WPA2 werd altijd als de veiligste optie geadverteerd in de media, dus zou je als consument mogen verwachten dat je toestel veilig is als je dat gebruikt.

Dat de aanval zeer geavanceerd is en onverwacht voor iedereen, is daarbij niet relevant. Het risico dat zoiets gebeurt, ligt bij de winkel die het product verkoopt. (En die kan het verhalen op die importeur of fabrikant.)

Het enige tegenargument dat ik kan bedenken is dat je moet weten dat ieder ICT-product tot op zekere hoge onbetrouwbaar is, omdat aanvallen in de toekomst niet uit te sluiten zijn. Dan is het dus niet redelijk om te verwachten dat je apparaat onhackbaar/onkwetsbaar is. Maar ik vind dat argument specifiek bij deze aanval niet opgaan, juist omdat WPA2 als veilig werd geadverteerd.

Amazon-patent moet prijsvergelijken via wifi van winkel tegenhouden

| AE 9493 | Intellectuele rechten | 10 reacties

Amazon heeft onlangs goedkeuring ontvangen voor een patent, waarin een methode is beschreven om het vergelijken van prijzen via de wifi-verbinding van fysieke winkels tegen te gaan. Dat meldde Tweakers vorige week. Doel van die methode is te zorgen dat je niet snel online bestelt wat je zojuist in de winkel hebt gezien. Maar het… Lees verder

Huh, in alle grote steden word je via je telefoon gevolgd?!

| AE 8725 | Innovatie, Privacy | 53 reacties

Mensen die in grote steden winkelen, worden gevolgd via het wifi- en bluetoothsignaal van hun telefoon. Dat las ik bij RTL Z. Het bedrijf Citytraffic werkt samen met dertig gemeenten, waaronder Amsterdam, Rotterdam en Den Haag, en verzamelt gegevens van winkelend publiek in de stadscentra. Die gegevens worden gehasht en dan zou het geen overtreding… Lees verder

Mag je gratis betaald internetten met een covert channel?

| AE 8598 | Security | 15 reacties

Een lezer vroeg me: Als ik in een hotel wil internetten, moet ik betalen. Maar met tools zoals Iodine of PingTunnel kun je via een oneigenlijke weg alsnog gratis internet op. Is dat computervredebreuk? Van computervredebreuk is sprake als je binnendringt in een computer. Het is strikt gesproken niet nodig dat je een beveiliging omzeilt,… Lees verder

Marriott wil hotspots van gasten in vergaderruimtes blokkeren

| AE 7282 | Ondernemingsvrijheid | 12 reacties

De Marriott-keten van hotels is niet van plan eigen wifi-netwerken van gasten te blokkeren, maar “vanwege de veiligheid(!!1!)” wil men wel hotspots van gasten in vergaderruimtes blokkeren. Dat verklaart de keten tegenover de Amerikaanse toezichthouder FCC naar aanleiding van een onderzoek naar haar blokkeerpraktijken een half jaartje terug. Uiteraard heeft die spin op het blokkeerplan… Lees verder

Amerikaans hotel krijgt boete voor blokkeren wifi-hotspots

| AE 7034 | Ondernemingsvrijheid, Security | 14 reacties

Het Marriott Hotel in Nashville heeft een schikking van 600.000 dollar getroffen met de Amerikaanse telecomwaakhond FCC voor het verstoren van de persoonlijke wifi-hotspots van klanten, meldde Nu.nl onlangs. Met deze truc wilde men voorkomen dat huurders van conferentiezalen eigen tijdelijke netwerken zouden aanleggen tegen lagere prijzen dan het hotelnetwerk. Maar de verstoring trof ook… Lees verder