image

Juridische vraag: Is het opzetten van een vals access point strafbaar?

woensdag 18 maart 2009, 14:45 door Arnoud Engelfriet, 22 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem dan aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek "De wet op internet". Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. De Juridische vraag is een nieuwe rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Wij werken aan een project van school. We hebben gekozen voor het testen van de beveiliging: we gaan een eigen wireless access point opzetten met dezelfde naam als die van de school, maar dan onbeveiligd. Als je daarop aanmeldt, sluizen we alles door naar de echte access point maar uiteraard kijken we mee of mensen bijvoorbeeld creditcardgegevens of wachtwoorden voor Gmail of Hotmail invullen langs onze access point. We gaan die niet gebruiken natuurlijk, het is puur om te kunnen zeggen "we hebben zus-en-zo veel wachtwoorden gezien". Denk je dat dit toch strafbaar is?

Antwoord: Dit is een heel creatieve. Het opzetten van je eigen access point met dezelfde naam van een ander lijkt me op zich nog niet crimineel, zolang je het andere access point niet weg gaat drukken of fysiek stukmaakt of zo. Het is geen valsheid in geschrifte, want de naam van een access point is geen geschrift.

Afhankelijk van wat je gaat doen met de gegevens, zou het onderdeel van oplichting kunnen zijn (art. 326 Wetboek van Strafrecht).

Voor oplichting is een aantal zaken vereist:

1. Je moet een valse naam of valse hoedanigheid aannemen (dat doe je met die naam van het access point), of "listige kunstgrepen" dan wel "een samenweefsel
van verdichtsels" hanteren (mooi Nederlands voor social engineering).

2. Je moet het slachtoffer bewegen tot
* de afgifte van enig goed,
* het ter beschikking stellen van gegevens met geldswaarde in het handelsverkeer of
* het aangaan van een schuld / kwijtschelden van een inschuld.

Maar wat krijg je met deze truc? Creditcardgegevens en wachtwoorden. Dat zijn geen "goederen" zoals de strafwet dat bedoelt. Het zijn wel gegevens, maar ze hebben op zichzelf geen geldswaarde. Er is geen legale markt voor creditcardgegevens of voor wachtwoorden, en dat is toch echt noodzakelijk voor de wet om van "gegevens met geldswaarde" te spreken. Om die reden werd in 2006 een man in hoger beroep vrijgesproken: het aanvragen van een pincode onder valse voorwendselen is niet strafbaar.

Wanneer de creditcard gegevens gebruikt worden om ook werkelijk een rekening te plunderen, is wel sprake van oplichting, omdat je dan de bank beweegt tot het afgeven van (giraal) geld. Je licht dan wel de bank op en niet de rekeninghouder.

Het lijkt dus gek genoeg niet strafbaar om iemands creditcardgegevens af te tappen via zo'n access point. De kaart zelf namaken is wel strafbaar, art.232 Strafrecht, mits je maar de intentie hebt om die ook te gebruiken om daar voordeel uit te halen. Ook als hij nog niet werkelijk gebruikt is.

Wel is er nog het algemene verbod op het aftappen van telecommunicatie, art.139c Strafrecht.

Je tapt of neemt gegevens op die niet voor jou bestemd zijn en "die worden verwerkt of overgedragen door middel van telecommunicatie". Dit is strafbaar, tenzij je onder een van de twee relevante uitzonderingen valt (of je de AIVD bent, de derde uitzondering):

  1. Je ontvangt vrije radiosignalen zonder daarbij "een bijzondere inspanning" te leveren of een niet-toegestane ontvangstinrichting te gebruiken
  2. Je maakt als eigenaar van de apparatuur "kennelijk misbruik" van het apparaat

Dit lijkt me wel een bijzondere inspanning, dus met de eerste uitzondering kom je er niet. Dan blijft de vraag dus over of dit "kennelijk misbruik" is van je access point. Gezien het onschuldige doel zou ik zeggen van niet, maar als de school boos wordt, zouden ze hier een punt van kunnen maken.

Laat ik het eens in de groep gooien: wat vinden jullie? Moet dit kunnen?

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Heb jij ook een vraag voor Arnoud en wil jij kans op zijn boek maken? Stuur dan je vraag naar juridischevraag@security.nl

Reacties (22)
18-03-2009, 15:27 door Anoniem
Ik vind dat dit mist in goed overleg met school wel moet kunnen.
School weet wat er gebeurt op hun netwerk / binnen hun gebouw.
En jij geeft aan dat je niks met de verkregen data gaat doen.
Ofwel is er denk ik geen spraken van misbruik tenzij je het niet aan school verteld natuurlijk
18-03-2009, 15:40 door Anoniem
Ik vind dat dit moet kunnen. Maar de persoon of personen die zo'n actie ondernemen hebben wel een bepaalde verantwoordelijkheid dat de gegevens niet in de verkeerde handen vallen.

Verder vind ik het not done om zomaar de verzamelde gegevens te bewaren (het gaat hier ook om enkel de statistieken, dus dat is ook niet nodig). De bewaarde gegevens dienen dus volledig anoniem te zijn.
18-03-2009, 16:10 door Anoniem
Het lijkt mij dat dit heel goed te verdedigen is als vallend onder dezelfde regels als voor het uitvoeren van onderzoek naar beveiliging. Ik denk wel dat het verstandig is om van tevoren aanwijsbaar duidelijk te maken dat het hier een onderzoek betreft.
Dit kan je doen door van te voren een plan van aanpak te maken, en hiermee de school om toestemming vragen.
Ook is het slim om in het plan van aanpak op te nemen dat je contact opneemt met alle mensen waarvan je gegevens hebt bemachtigd, om hen op de hoogte te brengen van dit feit. Ter bescherming van de privacy zou ik ook geen verkeersgegevens opslaan.
18-03-2009, 16:13 door Anoniem
Je crieert hierdoor een onbeveiligd toegangspunt tot het netwerk. En dat is naar mijn idee wel strafbaar!.. Verzwakking van de beveiliging door een "wijziging" in de infrastuctuur te doen lijkt mij niet toegestaan.
18-03-2009, 16:24 door Anoniem
Moet dit kunnen? NEE.

Het is altijd onder het mom van "We willen effe kijken wat mensen voor een gegevens over een accespoint sturen" en de mooiste term is dan altijd.. "Wij doen niets met die gegevens". Yeah right... Maar ondertussen hebben ze wel alle login gegevens van iedereen die over dat draadloze ding surft.. Cursusje ethiek zou wel een goed project voor die schoolieren zijn...
18-03-2009, 16:38 door Kukel
Ik vind ook dat het niet kan om dezelfde reden als anoniem@16:24 noemt. Als dit uiteindelijk bekend wordt weet ik ook niet hoe andere studenten of zelfs docenten zouden reageren. Ikzelf zou 'not amused' zijn ('pissed' is denk ik de niet eufimistische variant) Daarnaast hoop ik dat een school de beveiliging zo geregeld heeft dat de gebruikers niet zonder meer naar dit anonieme punt overschakelen (meeste os'en zouden al een melding geven) maar daarnaast nog een vaste lijst accesspoints hebben (mac adressen) en b.v. WPA met TLS of zo gebruiken. ipv deze 'honeypot' oplossing zou ik op dit vlak een onderzoek doen en een gedegen advies uitbrengen. Zou bij mij iig een veel hoger cijfer opleveren.
18-03-2009, 18:03 door Anoniem
Hoe zit het eigenlijk met de aansprakelijkheid als de verzamelde gegevens (creditcards, passwords, ..) in verkeerde handen terecht komen?
18-03-2009, 18:32 door spatieman
hoe vaak gebeurd het niet, dat iemand met een laptop,in een restaurant zit, en zijn wireless zo configed, dat het een AP wordt.
en zo cr3d1t c/\rd gegevens te onderscheppen...
18-03-2009, 21:09 door Anoniem
Nee.

"met dezelfde naam" betekent dat er harde identiteitsfraude wordt gepleegd, nl. de goede naam van de school wordt gebruikt, -misbruikt-, voor het verzamelen van gegevens. De centrale vraag: zouden de gebruikers van het nieuwe netwerk X dat ook gebruiken als de naam "testomgeving verzamelen cc/login gegevens zonder dat u het weet" zou luiden. Desneen (althans, ik hoop dat het intellect van de leerlingen dat niveau tenminste wel haalt).

Aangezien de gebruikers dan "dus" in de omstandigheid verkeren iets te hebben afgegeven (gegevens) onder verdichtsels (naam) zou ik het een niet zo bijster slim dictum vinden de makers van het netwerk vrij te spreken.

Ik vrees dat Arnoud overigens iets vergeet te evalueren: cc-gegevens hebben wel degelijk een geldswaarde in het handelsverkeer op het Internet, legaal of niet. Derhalve staat ook op dat front een veroordeling niet in de weg.
19-03-2009, 09:51 door MAO2008
Het betreft hier een studieproject vanuit school dat waarschijnlijk gecoordineerd zal worden door een van de docenten en de school heeft ook toestemming voor dit project gegeven, tevens vindt het project plaats op het netwerk van de school. Dus zolang er geen misbruik van de gegevens kan worden gemaakt zie ik geen probleem, op welk netwerk staat er tegenwoordig geen monitoring aan?.

Wellicht wel verstandig even een bericht de school in te sturen dat er een security test op het netwerk zal worden uitgevoerd zonder de inhoudelijke zaak te noemen.
19-03-2009, 10:06 door Preddie
Ik moet zeggen dat ik het deze keer behoorlijk eens ben met Arnoud. Echter zit ik nog met de volgende vraag.....

Je tapt of neemt gegevens op die niet voor jou bestemd zijn en "die worden verwerkt of overgedragen door middel van telecommunicatie". Dit is strafbaar, tenzij je onder een van de twee relevante uitzonderingen valt (of je de AIVD bent, de derde uitzondering):

Lijkt me redelijk logisch, alleen in die geval zou een potentieel slachtoffer een netwerk betreden dat niet van hem is ( ook al heeft hij dezelfde naam noch een beveiliging aanwezig ) Het lijkt mij in dit geval dat het "slachtoffer" begonnen is met verkeerde handelingen. Vervolgens wil ik controle op mijn netwerk houden door de communicatie via het netwerk te monitoren. ( Achteraf haal ik hier dan gegevens van hem uit. Wie gaat er hier de fout in, na mijn idee nog steeds "het slachtoffer" ?

Mogelijk dat je daar wat meer helderheid in kan scheppen ...... goeie stelling btw
19-03-2009, 12:16 door Arnoud Engelfriet
@Predjuh: als iemand per abuis jouw netwerk betreedt en jij gaat hem monitoren uit veiligheidsoverwegingen, dan is dat geen "kennelijk misbruik" zou ik zo zeggen. De eigenaar van een netwerk mág met andere woorden monitoren zonder strafbaar te zijn onder dat wetsartikel, zolang hij maar geen misbruik maakt van de situatie. Hier wordt opzettelijk andermans netwerk geimiteerd en is het de bedoeling al het verkeer te monitoren, dat vind ik wel wat anders dan een buiten geparkeerde wardriver die op mijn open wifi meelift.
19-03-2009, 12:35 door Anoniem
Ik mis in deze discussie de vraag of er al dan niet vooraf overleg is gevoerd met de school, en of de school toestemming heeft gegeven. Indien de school dit doet, en er bijvoorbeeld een overeenkomst wordt opgesteld waarin wordt aangegeven wat het doel is, hoe men de beveiliging gaat testen, en wat men wel/niet mag doen, dan is er een stuk meer duidelijkheid. Bij penetration testing is dit standaard procedure (en zonder zo'n overeenkomst begint een pentester dus ook niet aan zijn werk i.v.m. juridische aansprakelijkheid).
19-03-2009, 14:03 door Anoniem
Dit lijkt mij een typische Man in the Middle setup. In dit geval dan met een rogue, unfriendly, access-point.
Een goed draadloos beheersysteem maakt hier melding van aan de beheerder, zodat die passende actie kan ondernemen.
Bovendien hoort aanloggen op een goed ontworpen draadloos netwerk gepaard te gaan met 3 weg authenticatie, dus een naam, wachtwoord en token. Wanneer die hele sequence niet voorbijkomt bij het aanloggen op dit, voor de gebruiker bekende netwerk, moeten bij de gebruiker alle alarmbellen gaan rinkelen.
Wanneer het netwerk compleet open is ontworpen, is het in mijn ogen in ieder geval geen veilig netwerk.
19-03-2009, 18:13 door Preddie
@Arnoud: bedankt voor je reactie. Nogmaals ik vind het een goeie stelling maar complex door de verschillende rollen die iemand kan hebben binnen deze stelling.
Het is goed om daar duidelijkheid over te scheppen. Als het goed heb zou ik ongeveer de volgende conclusie kunnen trekken; het inzien van informatie die over het eigen netwerk wordt gestuurd is wettelijk toegestaan echter vervolg handelingen met die informatie kunnen in strijd zijn met de wetgeving?
20-03-2009, 00:23 door Anoniem
1. Het zonder toestemming werken met de accesspoint " van de school" is een strafbaar feit.
2. Het afluisteren van verkeer daarna is niet strafbaar omdat het de eigenaar vrij staat om alle verkeer op en door de accesspoint te bekijken. Alle radioverkeer die dan " toevallig" opgevangen word is vrij te ontvangen. Je mag met de inhoud echter niets doen. Dit word trouwens anders indien de gebruiker van het netwerk een leraar of student van de school is. Dan in theorie andere scenario's ontstaan...
3. Credit card gegevens is wel degelijk een informatie goed waarin gehandeld wordt. Dit verhandelen is op basis van verscheidene wetten nationaal en internationaal strafbaar.
4. Draadloos netwerkverkeer is makkelijk te vervalsen. Slechts met behulp van zeer dure apparatuur die de eindversterker van een zender uniek kan identificeren tijdens "het misbruik" zou enig geloofwaardig wetenschappelijk bewijs kunnen opleveren.
5. De juridische orde, rechters en advocaten, geloven verklaringen van forensisch " experts " terwijl het bijzonder simpel aan te tonen is dat verklaringen van hen in strict wetenschappelijk zin volledig waardeloos zijn. Hier komt men vaak mee weg omdat verdedigende advocaten en hun clienten vaak niet de kennis hebben om de aannames en veronderstellingen van de " experts" te weerleggen.
6. Anti-forensics, de "studie" van het in de maling nemen van forensische technieken en experts geeft duidelijke voorbeelden hoe je iemand van iets de schuld in de schoenen kunt schuiven of juist het tegenover gestelde...

My two cents....
20-03-2009, 13:10 door Arnoud Engelfriet
@Predjuh: lijkt me een prima samenvatting. In dit geval <I>zou</I> je nog kunnen zeggen dat dit een uitzondering is omdat je je opzettelijk voor doet als andermans netwerk zodat de vrijstelling voor eigenaren om hun eigen netwerk te monitoren niet opgaat.
20-03-2009, 13:39 door Anoniem
Ethisch onverantwoord.
20-03-2009, 14:31 door Preddie
@Arnoud: Ik zat ook al te twijfelen of het "faken" van de netwerknaam een rol van betekenis zou spelen binnen deze situatie.

Je hebt namelijk een aantal mogelijkheden tot het faken van de SSID (netwerknaam) je kunt namelijk je SSID laten faken aan de hand van probes(packetjes met informatie) die het "slachtoffer" zelf verstuurt en daar automatisch je netwerknaam op aan laten passen. Echter is het mac-adres van het valse access point dan anders dan originele netwerk. Het is voor het slachtoffer dus te zien dat hij verbonden is met een verkeerde netwerk.
(dit is natuurlijk ook afhankelijk van de client software die je gebruikt om verbinding te maken met draadloze netwerk, Windows Wireless Zero Configuratie laat standaard de mac-adressen van de Access Points niet zien, veel andere software daar in tegen wel)

In de tweede situatie zet ik het zelfde access point op met een zelfde SSID als waar één van mijn slachtoffers gebruik van maakt en zorg ik ervoor dat het mac-adres van het access point exact hetzelfde is. Op deze manier kan het slachtoffer zeer moeilijk zien dat hij/zij verbonden is met het verkeerde netwerk.

Zou er juridisch een verschil zitten tussen beiden situaties? Wordt er gekeken welke configuratie er gebruikt is om vast te stellen welke partij fout is? Als ik er namelijk met een technische visie naar kijk vind ik het twee verschillende situaties maar hoe wordt hier juridisch mee omgegaan?


Door Anoniem.....
5. De juridische orde, rechters en advocaten, geloven verklaringen van forensisch " experts " terwijl het bijzonder simpel aan te tonen is dat verklaringen van hen in strict wetenschappelijk zin volledig waardeloos zijn. Hier komt men vaak mee weg omdat verdedigende advocaten en hun clienten vaak niet de kennis hebben om de aannames en veronderstellingen van de " experts" te weerleggen.....

Dit roept ook een groot vraag teken bij me, dit omdat ik verschillende keren zogenoemde "experts" juridische verklaringen heb zien afleggen die bestaande uit totale onzin en onwaarheden. Maar op grond daarvan wel een verdachte hebben veroordeelt.

Misschien dat Arnoud daar ook wat meer over kan vertellen of misschien is het een leuk begin van een nieuwe stelling
23-03-2009, 15:54 door Patio
@Predjuh,

"ik verschillende keren zogenoemde "experts" juridische verklaringen heb zien afleggen die bestaande uit totale onzin en onwaarheden"

Deze zinsnede vraagt wat mij betreft verduidelijking (ik ben namelijk ook geen expert op netwerkgebied).

1. Als die mensen geen experts waren, op grond waarvan zijn ze dan als zodanig aangesteld?
2a. Waarom was de onzin "totaal" ?
2b. Wat is volgens u het verschil tussen "onzin" en "onwaarheid"?

Overigens vind ik het moreel onjuist wat die scholieren van plan zijn. Ze kunnen wel bij hoog en bij laag beweren dat ze niet kwaadwillend zijn, maar kunnen ze die belofte ook hard maken?
24-03-2009, 21:24 door Anoniem
Door Patio@Predjuh,

"ik verschillende keren zogenoemde "experts" juridische verklaringen heb zien afleggen die bestaande uit totale onzin en onwaarheden"

Deze zinsnede vraagt wat mij betreft verduidelijking (ik ben namelijk ook geen expert op netwerkgebied).

1. Als die mensen geen experts waren, op grond waarvan zijn ze dan als zodanig aangesteld?
2a. Waarom was de onzin "totaal" ?
2b. Wat is volgens u het verschil tussen "onzin" en "onwaarheid"?

Overigens vind ik het moreel onjuist wat die scholieren van plan zijn. Ze kunnen wel bij hoog en bij laag beweren dat ze niet kwaadwillend zijn, maar kunnen ze die belofte ook hard maken?

Sorry. ik meng me weer even in de thread met mijn inbreng.

1.
Een vakgebied zoals forensisch onderzoek op ICT software en apparatuur is geen exacte wetenschap maar een mix van vertrouwen in de keten van bewijsmateriaal verzameling en aannames door "experts" dat de verzamelde brondata betrouwbaar is. Syslog via UDP is niet betrouwbaar. Storage dozen met NT4 erop als mini-OS voor het beheren van grote SAN omgevingen (Storage Area Networks) zijn niet betrouwbaar. Er zijn te veel mogelijkheden om data te vervalsen en wachtwoorden van personen af te luisteren. Waarna injecteren van dergelijke data op een verbinding of netwerk kinderspel is voor iemand met kennis. Als ik mijn buurman in de problemen zou willen brengen als ik hem niet zou mogen kan ik met de huidige stand van de techniek vermoedelijk hem wel veroordeeld krijgen voor het bezit van kinderporno op zijn PC. Dit wordt helemaal kinderspel als hij een draadloze muis / toetsenbord heeft. Het probleem is dat forensische ICT-ers geen rechercheurs of natuurkundigen zijn. Als ze het wel zijn is er een redelijk risico dat men bepaalde mogelijkheden weg redeneert om te kunnen scoren. Uiteraard willen we allemaal dat bepaalde types achter slot en grendel verdwijnen. Maar om alle wetenschappelijke redelijkheid, al gaat het maar om de verre mogelijkheid dat iemand onschuldig is, deur uit te doen schept een zeer gevaarlijk precedent. Het voorzichtigheidsbeginsel in de bewijsvoering gaat zo langzamerhand de deur uit omdat "experts" iets beweren. Waarvan elke natuurkundige of HF electronica expert je kan vertellen dat het aannames zijn die wetenschappelijk niet waterdicht te staven zijn.

2a. Natuurkundig niet waterdicht en dus feitelijk aannames. Wegens gebrek aan kennis realiseren de "experts"het vaak zaelf werkelijk niet. En als ze het weten is het de vraag of men over voldoende ethiek beschikt omdat ook aan te geven in rapporten.

2b. Onzin, men roept maar wat niet gehinderd door werkelijke kennis ter zake. Onwaarheid, men weet dat men niet de waarheid vertelt maar geeft een verdraaide of incomplete versie van de werkelijkheid weer in het voordeel van een bepaald gesteld doel.

My two cents...
02-04-2009, 17:00 door Anoniem
Volgens de link is de derde uitzondering:

'ten behoeve van goede werking van openbaar telecommunicatienetwerk,[...]'

Is het niet verdedigbaar dat het onderzoek een bijdrage levert aan de goede werking van het openbare netwerk? De uitzondering lijkt niet alleen bedoeld voor de AIVD, maar ook voor de telefoonmaatschappij, zodat die verbindingen kan testen. Als deze mensen hun access point wagenwijd openzetten ontstaat er ook een soort openbaar netwerk.

De tweede uitzondering is een beetje dubieus;

'door of in opdracht van gerechtigde tot een voor de telecommunicatie gebezigde aansluiting, behoudens in geval van kennelijk misbruik;'

Als je je eigen internetverbinding deelt op een bepaald access point, dan lijkt het me dat je zelf de gerechtigde bent, het is immers jouw verbinding en ook nog jouw access point. Aan de andere kant is de verbinding vanuit de laptop naar het access point misschien weer niet van jou.

De omschrijving van de tweede uitzondering in dit artikel is erg vreemd:
Dit is strafbaar, tenzij[...]
2. Je maakt als eigenaar van de apparatuur "kennelijk misbruik" van het apparaat

In het wetsartikel is het precies andersom beschreven, daar staat dat eerste lid, waarin het aftappen strafbaar wordt gesteld, niet van toepassing is, als je voldoet aan een van de voorwaarden. Voorwaarde twee stelt dan weer dat de voorwaarde niet geldt (dus dat het nog steeds strafbaar is) als er sprake is van 'kennelijk misbruik'.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.