Wederrechtelijk draadloos internetten

Twee lezers hadden ruzie over de regels rond draadloos internetten:

Ik had altijd begrepen dat de insteek over draadloze netwerken is, “mag je alleen gebruiken als het open staat en de SSID duidelijk aangeeft dat je binnen mag”. Maar mijn discussiepartner zegt nu juist dat de regel is, “Als er geen ‘foei ten strengste verboden’ in de SSID staat dan mag het”. Wat is het nu?

Je gebruikt andermans netwerk illegaal als dat opzettelijk en wederrechtelijk gebeurt (art. 138a lid 1 Strafrecht). Ook als daarbij geen beveiliging wordt omzeild of misleid.

De nuance daarbij is dat je wel moet weten (of had moeten weten) dat je niet op dat netwerk mocht zijn. Bij een netwerk met “boe ga weg” als netwerknaam lijkt me dat vrij duidelijk. Een netwerk met “Open WIFI, kom binnen” mag je gewoon gebruiken. De vraag is dan wat je mag bij een netwerk met “linksys” of “default” als SSID. Kun je daar iets uit afleiden over het al of niet binnen mogen komen?

Een ander punt is dat ‘opzettelijk’. Hoe actief moet dat zijn? Veel laptops en PDA’s zijn ingesteld om zich automatisch op alle netwerken in de buurt aan te melden. Meld je je dan opzettelijk aan op zo’n netwerk? Ik zou denken van niet, maar een uitgemaakte zaak is het niet.

Dat maakt het heel lastig voor de politie om een zaak rond te krijgen. Zij moeten bewijzen dat jij had moeten weten dat je niet op dat netwerk had mogen zitten. En natuurlijk moeten ze eerst zien dat jij op andermans wifi zit. Dat zal niet meevallen. Er zijn een paar arrestaties geweest, maar die hebben nooit tot een veroordeling geleid.

Staat jullie netwerk open of dicht?

Arnoud

Een open draadloos netwerk als bewijs van onschuld

De grote beveiligingsgoeroe Bruce Schneier heeft een volledig open draadloosnetwerk thuis, zo schreef hij in een recente column bij Wired. Iets dat veel van zijn bezoekers verbaast: weet hij dan niet dat er allerlei onfrisse types zijn die daar misbruik van maken, waarna de politie hem zal komen arresteren omdat alles vanaf zijn IP-adres gedaan lijkt te zijn?

While this is technically true, I don’t think it’s much of a risk. I can count five open wireless networks in coffee shops within a mile of my house, and any potential spammer is far more likely to sit in a warm room with a cup of coffee and a scone than in a cold car outside my house. And yes, if someone did commit a crime using my network the police might visit, but what better defense is there than the fact that I have an open wireless network? If I enabled wireless security on my network and someone hacked it, I would have a far harder time proving my innocence.

Dat laatste is intrigerend: als Schneier zijn netwerk goed beveiligt, is het dus onmogelijk dat een ander er op ingebroken is. Dus alles wat dan vanaf zijn IP-adres is gebeurd, moet hij zelf gedaan hebben. Daar zit wat in.

Je zou dat kunnen omkeren: als je je netwerk dus openzet voor iedereen, valt nooit te bewijzen dat jij iets gedaan hebt. Je kunt dan altijd die langsrijdende hacker de schuld geven. Maar dat is ook weer iets te makkelijk.

Bij een strafzaak moet de rechter ‘overtuigd’ zijn van de schuld van de verdachte (artikel 338 Strafvordering). Heeft de verdachte een redelijk klinkende alternatieve verklaring voor het gebeurde, dan kan hij worden vrijgesproken. Maar een enkele theoretische mogelijkheid is meestal niet genoeg. Pas als het bewijs een redelijke twijfel oproept, kan vrijspraak volgen.

In dit geval zal het bewijs vrijwel altijd een verklaring van een getuige-deskundige zijn. Een getuigenverklaring is “wettig bewijs” (art. 339 Strafvordering). Logfiles en andere aanwijzingen zijn op zichzelf meestal niet duidelijk genoeg om meteen als bewijs te dienen. De getuige-deskundige moet dan uitleggen wat voor elektronische aanwijzingen hij heeft gevonden op de PC en het thuisnetwerk van de verdachte, en of daaruit redelijkerwijs blijkt dat er sprake was van een indringer van buitenaf.

Uit het hebben van een onbeveiligd draadloos netwerk volgt niet dat elke activiteit door een wardrivende hacker gepleegd is. Er zullen op zijn minst concrete aanwijzingen in bijvoorbeeld de logfiles moeten zijn dat iemand zich heeft aangemeld met een MAC-adres dat nooit eerder is gebruikt.

In een arrest van de Hoge Raad afgelopen juni over bedreiging per e-mail voerde de verdachte aan dat hij de mails niet gestuurd had:

dat uit de stukken niet kan worden afgeleid dat de verdachte de berichten heeft verzonden, dat de mogelijkheid bestaat dat de berichten vanuit een andere computer zijn verzonden en dat uit de bewijsmiddelen niet duidelijk is geworden of het [gebruikte] IP-adres een statisch of dynamisch IP-adres is, hetgeen zou meebrengen dat meer mensen van dit IP-adres gebruik hebben kunnen maken, terwijl verder de verzending van e-mail vanaf een bepaald hotmail-adres niet zonder impliceert dat de houder van dat adres die e-mail ook verzonden heeft.

Het IP-adres bleek echter al bijna twee jaar uitsluitend bij de verdachte in gebruik. Dit is bij de provider eenvoudig na te gaan.

Dat de andere berichten verzonden zouden kunnen zijn van een andere computer – hetgeen inderdaad bij een hotmail-adres mogelijk is – is een mogelijkheid die het Hof als hoogst onwaarschijnlijk buiten beschouwing heeft kunnen laten, mede in aanmerking genomen wat het Hof over het IP-adres, zoals hiervoor vermeld en de verhouding tussen verdachte en [het slachtoffer] heeft vastgesteld. Dan zou een derde zich onbevoegd het wachtwoord en het e-mailadres hebben moeten verschaffen. Daarbij komt nog dat uit bewijsmiddel 9 kan worden afgeleid dat het desbetreffende e-mailadres “[e-mailadres 1]” 168 keer is aangetroffen op de computer van de verdachte.

Oftewel: het IP-adres was twee jaar lang aan u toegekend, niemand anders kon op de tijdstippen vanaf uw PC mails versturen en gezien de inhoud is het zeer aannemelijk dat u ze geschreven heeft. Dus u was het.

Nu is het theoretisch mogelijk dat iemand die PC op afstand gekraakt heeft, en zo vanaf die PC alles kon doen waar hij zin in had. Inclusief dus bedreigende mails sturen naar de collega van de verdachte die de aangifte van bedreiging had gedaan. Ook voor dat geval heb je een getuige-deskundige nodig, die sporenonderzoek gaat doen om te kijken of er b.v. een Trojaans paard of rootkit op de PC aanwezig is.

In dit vonnis gaf de rechtbank mooi weer hoe zulk bewijs wordt toeepast:

Tegen het feit dat [een tweede deskundige] ter terechtzitting in hoger beroep, sprekend over de theoretische mogelijkheid dat hem sporen van hacking zouden zijn ontgaan, heeft opgemerkt dat hacken niet uit te sluiten is, weegt op dat hij voor het feit dat dat zou zijn gebeurd (te weten dat die computers wèl gehackt zouden kunnen zijn geweest) geen enkele aanwijzing heeft gevonden en dat de aangetroffen sporen op de computers dermate in elkaar grijpen en interne consistentie vertonen dat het onwaarschijnlijk is dat de sporen anders dan door normaal gebruik van de computers – en dus niet door manipulatie van buitenaf – op die computers terecht zijn gekomen.

Je kunt dus niet zonder meer zeggen “er kan gehackt zijn, dus ik was het niet”. Wat er precies gebeurd is, moet meespelen bij de inschatting of de verdachte het gedaan heeft. Een geavanceerde computerinbraak bij Defensie vanaf het thuisnetwerk van Jan en Petra van 83 die vorige week voor het eerst “internet hebben gekocht”, zal waarschijnlijk door een langsrijdende hacker gepleegd zijn. Een ruzie op school die vervolgens leidt tot anonieme scheldmails zal echter waarschijnlijk door de ruziemaker gestart zijn.

Arnoud

Arrestatie voor illegaal gebruik draadloos netwerk (wifi)

In Engeland is een man gearresteerd vanwege het feit dat hij zonder toestemming gebruik maakte van een draadloze internetverbinding, meldt Techzine.

De 39-jarige man werd dinsdag gearresteerd door twee politieagenten in West-Londen. Deze werden achterdochtig nadat zij de man buitenshuis zijn laptop zagen gebruiken, in de wijk Prebend Gardens. Tijdens ondervraging van de agenten gaf hij toe de onbeveiligde draadloze internetverbinding van iemand anders te gebruiken. Hij is op borg vrijgelaten terwijl de politie de zaak verder onderzoekt.
Niet de eerste keer trouwens.

Zowel in Nederland als in Engeland is het strafbaar om gebruik te maken van andermans draadloos netwerk wanneer het opzettelijk en wederrechtelijk gebeurt. Ook als daarbij geen beveiliging wordt omzeild of misleid. Wel moet het voor de ‘meesurfer’ kenbaar zijn dat hij op verboden terrein zit, bijvoorbeeld doordat een netwerknaam met daarin ‘verboden toegang’ wordt gebruikt.

Het is natuurlijk voor de politie erg lastig om te zien of iemand illegaal meesurft. Zonder aangifte door de eigenaar van het netwerk zou ik niet verwachten dat de politie optreedt. Maar je weet nooit wat het OM bedenkt natuurlijk als ze klaar zijn met downloaden aanpakken.

UPDATE: ik ben “juristen” volgens NU.nl.

Arnoud

Innovatie in draadloos breedband: Nederland versus VS

In Nederland zal het nog wel even duren voor we landelijk draadloos breedband hebben. Het laatste nieuws hier is dat we een “proeftuin voor digitale diensten” gaan beginnen dit najaar. Zo kan bijvoorbeeld een rederij in de haven een kleine FM-zender neerzetten om wachtende passagiers via de autoradio te informeren. Hoe innoverend.

Nee, dan de VS. Daar komt het 700 MHz spectrum vrij omdat alle Amerikaanse televisie in 2009 digitaal moet zijn. De FCC organiseert een veiling voor bedrijven die draadloze breedbandnetwerken op deze frequenties willen aanbieden. Traditioneel zitten in de VS draadloze netwerken meestal stevig op slot, en de apparaten zijn beperkt in hun mogelijkheden. Dankzij lobbywerk van Google gelden voor dit spectrum nu andere regels.

Die netwerken moeten open zijn: klanten mogen op zo’n netwerk willekeurige applicaties gebruiken, zoals bijvoorbeeld Skype, en het moet werken met elk apparaat op het draadloos netwerk. Het belangrijkste doel van de veiling lijkt daarmee gedeeltelijk gehaald: met zo’n open netwerk ontstaat een derde manier van toegang tot Internet, naast kabel en (ADSL)-telefoon.

In een kritisch artikel in Fortune maakt Brent Schlender zich nog zorgen over de marktmacht van Google die blijkt uit dit lobbywerk en wat Google van plan is met die bandbreedte. Google is een advertentiefirma die zo veel mogelijk kanalen wil openstellen om advertenties aan gebruikers van hun diensten te kunnen tonen:

Google wants to take its breathtakingly profitable targeted advertising beyond PCs and inject it into any other medium it can find, whether it be radio or TV or even newspapers and magazines. But the biggest prize of all may be cellphones. Why? Because there are so damn many of them, and they’re behaving more and more like pocket-sized, full-blown computers (e.g. the iPhone).

Ik hoef geen iPhone, maar ik wil wel landelijk dekkend draadloos breedband. Dan zoek ik op de site wel op wanneer de veerboot vertrekt.

Arnoud

Utah wil porno via draadloze netwerken verbieden

Meeliften op andermans netwerk is strafbaar als computervredebreuk. Sinds 1 september 2006 ook als daarbij geen beveiliging wordt doorbroken. Computercriminelen zijn zo dus makkelijker aan te pakken.

Maar wat moeten we met de omgekeerde situatie: iemand zet zijn netwerk open, en allerlei onfrisse derden plegen misdrijven via dat netwerk? Moet je strafbaar zijn als je geen wachtwoord instelt? Dan houden nuttige diensten als FON snel op natuurlijk.

In de Amerikaanse staat Utah wordt gepleit voor het volledig verantwoordelijk houden van netwerkbeheerders voor wat er via hun draadloos netwerk gebeurt, zo meldt Security.NL:

“Als je voor een draadloos netwerk kiest, en iedereen maar toestaat om het te gebruiken, dan ben je daar verantwoordelijk voor, en moet je maatregelen nemen om te voorkomen dat minderjarigen van je dienst gebruik maken”, aldus Preston.

Het idee is dat netwerkbeheerders niet zomaar ongecontroleerd iedereen toegang mogen verschaffen, maar of een wachtwoord, of een filter moeten installeren op wat er gedaan kan worden met het netwerk. Ik heb het altijd raar gevonden dat de eis van een beveiliging werd afgeschaft in de Wet Computercriminaliteit, maar ja dat moest van Europa heet het dan. Mij lijkt een wachtwoord dan wel het minste.

Arnoud