Marriott wil hotspots van gasten in vergaderruimtes blokkeren

| AE 7282 | Ondernemingsvrijheid | 12 reacties

De Marriott-keten van hotels is niet van plan eigen wifi-netwerken van gasten te blokkeren, maar “vanwege de veiligheid(!!1!)” wil men wel hotspots van gasten in vergaderruimtes blokkeren. Dat verklaart de keten tegenover de Amerikaanse toezichthouder FCC naar aanleiding van een onderzoek naar haar blokkeerpraktijken een half jaartje terug. Uiteraard heeft die spin op het blokkeerplan niets te maken met de ophef die anders zou ontstaan.

Het Marriott Hotel in Nashville werd vorig jaar door de toezichthouder FCC op de vingers getikt voor “willfully or maliciously interfering with any radio communications”. Men had een apparaatje in gebruik dat deauth-commando’s stuurde om zo wifi-netwerken middels hotspots van klanten te verstoren. Dat is weliswaar niet het jammen in klassieke zin, maar het effect is hetzelfde: geen werkende eigen hotspot, dus dan maar het (dure) hotel-wifi. En dat mag dus niet in de VS.

Bij ons zou dit denk ik vallen onder de denial-of-service aanval (art. 138b Strafrecht):

Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden.

Marriott geeft nu toe dat haar plannen breder zijn dan die ene stagiairhotelmanager maar gooit er de nuancering tegenaan dat het voor de veiligheid is:

The question at hand is what measures a network operator can take to detect and contain rogue and imposter Wi-Fi hotspots used in our meeting and conference spaces that pose a security threat to meeting or conference attendees or cause interference to the conference guest wireless network.

Ik kan me echter niet aan de indruk onttrekken dat dit een redelijkmakend sausje is dat bedoeld is om iets los te weken uit de strenge regel van de FCC, zodat er vervolgens een haakje gevonden kan worden om de “gebruikerservaring” erin te fietsen (wacht, in de saus fietsen?) en dan gewoon op de oude voet verder te gaan.

Althans in vergaderzalen dan – in kamers en in de lobby wil men sowieso niets blokkeren. Logisch, want die mensen gaan geïrriteerd ergens anders heen en mensen die een dag een seminar hebben met 300 man die kopen de upgrade naar het hotelwifi voor 300 man. Oh sorry, ik doe cynisch.

Arnoud

Amerikaans hotel krijgt boete voor blokkeren wifi-hotspots

| AE 7034 | Ondernemingsvrijheid, Security | 14 reacties

wifi-hotel.pngHet Marriott Hotel in Nashville heeft een schikking van 600.000 dollar getroffen met de Amerikaanse telecomwaakhond FCC voor het verstoren van de persoonlijke wifi-hotspots van klanten, meldde Nu.nl onlangs. Met deze truc wilde men voorkomen dat huurders van conferentiezalen eigen tijdelijke netwerken zouden aanleggen tegen lagere prijzen dan het hotelnetwerk. Maar de verstoring trof ook privénetwerken zoals een hotspot op je telefoon. Wat voor mij de vraag oproept: waarom mág dat eigenlijk niet, stel dat het een Nederlands hotel was?

In de VS hebben ze een specifiek artikel dat hierover gaat (Section 333 of the Communications Act):

No person shall willfully or maliciously interfere with or cause interference to any radio communications of any station licensed or authorized by or under this Act or operated by the United States Government.

Een dergelijk artikel specifiek over storingen in radio-uitzendingen verzorgen, ken ik niet. We zullen dus op zoek moeten naar een generieker artikel en zien hoe dat ‘past’ op deze vorm van verstoring.

Het ging hier niet om een wifi-jammer of ander radiostation dat gewoon de frequenties voor 802.11-radioverkeer blokkeert. Hoewel die frequentiebanden vrij gebruikt mogen worden, gelden voor apparatuur wel eisen zoals dat deze niet te hard of ongecontroleerd mogen zenden. En apparatuur die stoorverkeer genereert, zou dus tegen dit verbod aanlopen.

De apparatuur van het hotel gebruikte een specifiekere techniek, deauth geheten. Kort gezegd stuurt de apparatuur een commando dat randapparatuur meldt dat ze niet meer geauthenticeerd (deauthenticated) zijn en of ze zich opnieuw willen aanmelden bij het netwerk. En dat dan zo veel keer per seconde, zodat je effectief het netwerk niet meer op kunt. Dan wil je van ellende wel op het Marriott wifi uiteindelijk.

Een dergelijke aanval zou ik strafbaar vinden als denial-of-service aanval, art. 138b Strafrecht:

Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden.

(Hee Arnoud, maar één jaar cel, dat was toch veel hoger? Nee, alleen bij zware aanvallen die infrastructuur van algemeen nut verstoren.)

Ik zit een klein beetje met dat “daaraan”, dat impliceert dat het alleen opgaat als je één specifiek apparaat op de korrel neemt. En deze aanval kan ook ongericht worden uitgevoerd, oftewel op alle apparaten op het netwerk tegelijk. Maar ik denk dat daaraan (haha) wel een mouw te passen is: iets broadcasten dat bij apparaat X aankomt en mede bedoeld is voor apparaat X, lijkt me wel “daaraan toezenden”.

Weet iemand eigenlijk hoe je detecteert dát men zo’n apparaat gebruikt, ter onderscheid van dat het gewoon een brak netwerk is (zoals in menig hotel)? En wat doe je ertegen?

Arnoud

“Voor je het weet ruil je je kind voor gratis wifi”

| AE 7025 | Informatiemaatschappij | 11 reacties

wifi-hotel.pngJe leest de voorwaarden niet en voor je het weet ruil je je kind voor gratis wifi, las ik bij NRC. In een experiment van het Cyber Security Research Institute in Londen in samenwerking met het bedrijf F-Secure werd gratis wifi aangeboden met “the recipient agrees to assign their first born child to us for the duration of eternity” verstopt in de algemene voorwaarden. En dat is dan “legally binding” aldus een geraadpleegde Engelse advocaat. Ehm, ja, nou, eh, nee.

EULA’s, TOS’sen en andere dergelijke juridische documenten zijn in beginsel snel juridisch bindend. Maar je moet wel altijd uitkijken met wat men bedoelt met die term.

‘Bindend’ betekent meestal “je bent ermee akkoord gegaan dus nu moet je doen wat er staat”. Maar dat is niet per se de hele juridische waarheid. Vaak zijn clausules uit contracten of algemene voorwaarden eenzijdig opgesteld en is er geen onderhandelingsruimte. Zeker op internet – er is niet eens een fatsoenlijk communicatiekanaal met iemand met wie je zou kunnen onderhandelen over die voorwaarden. Vandaar dat de wet daar een paar waarborgen tegen ingebouwd heeft.

Bij algemene voorwaarden hebben we allereerst de norm van “onredelijk bezwarend” zijn (art. 6:232 BW). Dat wil zeggen dat ze toch best wel vervelend eenzijdig zijn. Als de wederpartij daar last van heeft, en dat hard kan maken, dan mag hij ze ongeldig (proberen te) verklaren. Dit heet juridisch ‘vernietigen’, en het resultaat is dat we dan doen of de clausule nooit heeft bestaan. Maar vindt de wederpartij het prima, dan geldt de clausule gewoon.

Stel bijvoorbeeld in algemene voorwaarden staat een opzegtermijn van 3 maanden voor een consument. Dat mag niet van de Wet Van Dam, dus een consument kan deze clausule vernietigen en daarmee geldt er géén opzegtermijn meer. (Ook niet de standaard éénmaandstermijn uit de wet.) De consument kan dan per direct van het contract af. Maar vindt die consument het prima om drie maanden van tevoren even op te zeggen, dan is dat rechtsgeldig.

In het algemeen is er nog de norm dat contractuele afspraken niet “naar redelijkheid en billijkheid onaanvaardbaar” mogen zijn (art. 6:248 BW). Dit komt ongeveer op hetzelfde neer als “onredelijk bezwarend” bij algemene voorwaarden (Wessels et al. p. 129), maar die norm uit 6:248 BW mag bij élke afspraak worden ingezet, ook bij specifieke op maat gemaakte en uitonderhandelde clausules. En de toets bij een algemene voorwaarde wordt wat abstracter uitgevoerd – is de clausule onredelijk bezwarend – dan de algemene norm – is in déze situatie het uitoefenen van de clausule onaanvaardbaar.

Als een contractuele afspraak leidt tot een oneerlijke handelspraktijk, dan kan daarmee de gehele overeenkomst worden vernietigd (art. 6:193j lid 3 BW). Die sanctie is er niet bij een beroep op onredelijkbezwarendheid of 6:248 BW; als dat beroep slaagt dan gaat de clausule van tafel maar staat de rest van het contract nog wel. Je abonnementskosten uit het voorbeeld hierboven moeten worden betaald tot aan de opzegging.

Sommige dingen vinden we zó erg dat je ze niet eens mág afspreken. Je kind afstaan aan een ander voor geld bijvoorbeeld, of een huurmoord. Dergelijke zaken zijn per definitie nietig; hoe hard je het allebei ook wilt, er is geen rechtsgeldige afspraak op dat punt. Juristen hebben het dan over “strijd met de openbare orde of goede zeden”. Hier kom je niet vaak aan maar je kind in ruil voor wifi voldoet er toch echt aan.

Het lastige is: de meeste clausules zijn niet zo evident te vernietigen. Zo zie je vaak dat er in algemene voorwaarden staat “wij mogen deze aanpassen en als je het niet bevalt dan hoepel je maar op”. Een sterk argument waarom dat onredelijk bezwarend zou zijn, heb ik nog niet. Maar het vóelt niet eerlijk, zeker niet als het elke dag kan gebeuren en je daardoor een prettige dienst moet verlaten en aldus met een hoop ongemak komt te zitten. Tijd voor een Wet op de clouddienstverlening.

Arnoud

Mag UPC mijn internetverbinding delen via WifiSpots?

| AE 6480 | Innovatie | 65 reacties

Als internetklant van UPC beschikt u over WifiSpots van UPC, juichte de nieuwsbrief van mijn internetprovider onlangs. WifiSpots is UPC’s naam voor een nieuwe dienst waarbij je overal in Nederland gratis draadloos internet krijgt als je in de buurt bent van een andere UPC-modem. Die staan sinds kort standaard de internetverbinding te delen. Weliswaar op… Lees verder

BeWifi bundelt bandbreedte bij buren

| AE 6338 | Innovatie, Ondernemingsvrijheid | 9 reacties

Het Spaanse telecombedrijf Telefonica heeft onder de naam BeWifi een technologie ontwikkeld die het mogelijk maakt om extra bandbreedte van naburige modems te ‘lenen’ via wifi, meldde Tweakers zondag. Modems met BeWifi aan boord werken met elkaar samen; als een modem capaciteit over heeft, deelt hij die met een ander modem dat net hevig staat… Lees verder

Wifi-tracking: winkels volgen je voetsporen

| AE 6325 | Innovatie, Privacy | 67 reacties

Steeds meer Nederlandse winkels volgen klanten via unieke signalen uit hun smartphone, meldde Nu.nl gisteren. Dit op basis van een mooie longread bij Tweakers over het onderwerp: “Winkels die dat willen, kunnen precies zien waar je loopt en hoe lang je stilstaat. Het wordt mogelijk gemaakt door een technologie die sinds de afgelopen anderhalf à… Lees verder

Meesurfen met internet van de buren toch wél computervredebreuk

| AE 5258 | Security | 29 reacties

Oké dus toch. Meeliften bij het internet van de buren is wel degelijk computervredebreuk, bepaalde de Hoge Raad gisteren. In 2011 had het Gerechtshof nog bepaald dat hiervan geen sprake is omdat een router geen “geautomatiseerd werk” is in de zin van de strafwet. Maar het was toch echt de bedoeling van de wetgever om… Lees verder

Gearresteerd voor meeliften op wifi, maar hoe weten ze dat?

| AE 1354 | Security | 14 reacties

Twee mannen zijn afgelopen maandag aangehouden voor illegaal draadloos internetten, meldde de politie afgelopen maandag. De twee zaten in een auto en waren met hun laptop aan het chatten met hun thuisfront. Ze hadden daarvoor ingelogd op een draadloos netwerk van een bewoner aan de Veldbloemweg. Die bewoner ondervond problemen en belde de politie, kennelijk… Lees verder