De grote beveiligingsgoeroe Bruce Schneier heeft een volledig open draadloosnetwerk thuis, zo schreef hij in een recente column bij Wired. Iets dat veel van zijn bezoekers verbaast: weet hij dan niet dat er allerlei onfrisse types zijn die daar misbruik van maken, waarna de politie hem zal komen arresteren omdat alles vanaf zijn IP-adres gedaan lijkt te zijn?
While this is technically true, I don’t think it’s much of a risk. I can count five open wireless networks in coffee shops within a mile of my house, and any potential spammer is far more likely to sit in a warm room with a cup of coffee and a scone than in a cold car outside my house. And yes, if someone did commit a crime using my network the police might visit, but what better defense is there than the fact that I have an open wireless network? If I enabled wireless security on my network and someone hacked it, I would have a far harder time proving my innocence.
Dat laatste is intrigerend: als Schneier zijn netwerk goed beveiligt, is het dus onmogelijk dat een ander er op ingebroken is. Dus alles wat dan vanaf zijn IP-adres is gebeurd, moet hij zelf gedaan hebben. Daar zit wat in.
Je zou dat kunnen omkeren: als je je netwerk dus openzet voor iedereen, valt nooit te bewijzen dat jij iets gedaan hebt. Je kunt dan altijd die langsrijdende hacker de schuld geven. Maar dat is ook weer iets te makkelijk.
Bij een strafzaak moet de rechter ‘overtuigd’ zijn van de schuld van de verdachte (artikel 338 Strafvordering). Heeft de verdachte een redelijk klinkende alternatieve verklaring voor het gebeurde, dan kan hij worden vrijgesproken. Maar een enkele theoretische mogelijkheid is meestal niet genoeg. Pas als het bewijs een redelijke twijfel oproept, kan vrijspraak volgen.
In dit geval zal het bewijs vrijwel altijd een verklaring van een getuige-deskundige zijn. Een getuigenverklaring is “wettig bewijs” (art. 339 Strafvordering). Logfiles en andere aanwijzingen zijn op zichzelf meestal niet duidelijk genoeg om meteen als bewijs te dienen. De getuige-deskundige moet dan uitleggen wat voor elektronische aanwijzingen hij heeft gevonden op de PC en het thuisnetwerk van de verdachte, en of daaruit redelijkerwijs blijkt dat er sprake was van een indringer van buitenaf.
Uit het hebben van een onbeveiligd draadloos netwerk volgt niet dat elke activiteit door een wardrivende hacker gepleegd is. Er zullen op zijn minst concrete aanwijzingen in bijvoorbeeld de logfiles moeten zijn dat iemand zich heeft aangemeld met een MAC-adres dat nooit eerder is gebruikt.
In een arrest van de Hoge Raad afgelopen juni over bedreiging per e-mail voerde de verdachte aan dat hij de mails niet gestuurd had:
dat uit de stukken niet kan worden afgeleid dat de verdachte de berichten heeft verzonden, dat de mogelijkheid bestaat dat de berichten vanuit een andere computer zijn verzonden en dat uit de bewijsmiddelen niet duidelijk is geworden of het [gebruikte] IP-adres een statisch of dynamisch IP-adres is, hetgeen zou meebrengen dat meer mensen van dit IP-adres gebruik hebben kunnen maken, terwijl verder de verzending van e-mail vanaf een bepaald hotmail-adres niet zonder impliceert dat de houder van dat adres die e-mail ook verzonden heeft.
Het IP-adres bleek echter al bijna twee jaar uitsluitend bij de verdachte in gebruik. Dit is bij de provider eenvoudig na te gaan.
Dat de andere berichten verzonden zouden kunnen zijn van een andere computer – hetgeen inderdaad bij een hotmail-adres mogelijk is – is een mogelijkheid die het Hof als hoogst onwaarschijnlijk buiten beschouwing heeft kunnen laten, mede in aanmerking genomen wat het Hof over het IP-adres, zoals hiervoor vermeld en de verhouding tussen verdachte en [het slachtoffer] heeft vastgesteld. Dan zou een derde zich onbevoegd het wachtwoord en het e-mailadres hebben moeten verschaffen. Daarbij komt nog dat uit bewijsmiddel 9 kan worden afgeleid dat het desbetreffende e-mailadres “[e-mailadres 1]” 168 keer is aangetroffen op de computer van de verdachte.
Oftewel: het IP-adres was twee jaar lang aan u toegekend, niemand anders kon op de tijdstippen vanaf uw PC mails versturen en gezien de inhoud is het zeer aannemelijk dat u ze geschreven heeft. Dus u was het.
Nu is het theoretisch mogelijk dat iemand die PC op afstand gekraakt heeft, en zo vanaf die PC alles kon doen waar hij zin in had. Inclusief dus bedreigende mails sturen naar de collega van de verdachte die de aangifte van bedreiging had gedaan. Ook voor dat geval heb je een getuige-deskundige nodig, die sporenonderzoek gaat doen om te kijken of er b.v. een Trojaans paard of rootkit op de PC aanwezig is.
In dit vonnis gaf de rechtbank mooi weer hoe zulk bewijs wordt toeepast:
Tegen het feit dat [een tweede deskundige] ter terechtzitting in hoger beroep, sprekend over de theoretische mogelijkheid dat hem sporen van hacking zouden zijn ontgaan, heeft opgemerkt dat hacken niet uit te sluiten is, weegt op dat hij voor het feit dat dat zou zijn gebeurd (te weten dat die computers wèl gehackt zouden kunnen zijn geweest) geen enkele aanwijzing heeft gevonden en dat de aangetroffen sporen op de computers dermate in elkaar grijpen en interne consistentie vertonen dat het onwaarschijnlijk is dat de sporen anders dan door normaal gebruik van de computers – en dus niet door manipulatie van buitenaf – op die computers terecht zijn gekomen.
Je kunt dus niet zonder meer zeggen “er kan gehackt zijn, dus ik was het niet”. Wat er precies gebeurd is, moet meespelen bij de inschatting of de verdachte het gedaan heeft. Een geavanceerde computerinbraak bij Defensie vanaf het thuisnetwerk van Jan en Petra van 83 die vorige week voor het eerst “internet hebben gekocht”, zal waarschijnlijk door een langsrijdende hacker gepleegd zijn. Een ruzie op school die vervolgens leidt tot anonieme scheldmails zal echter waarschijnlijk door de ruziemaker gestart zijn.
Arnoud