image

Juridische vraag: is het draaien van een Tor exit-node strafbaar?

woensdag 9 oktober 2013, 11:58 door Arnoud Engelfriet, 24 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.

Vraag: In dit artikel loopt een discussie over de legaliteit van een Tor exit-node. Ben je strafbaar als iemand via jouw exit node strafbare feiten pleegt?

Antwoord: Het is op zich niet strafbaar om een Tor exit-node te draaien. Het zou kunnen dat je provider het verbiedt in hun voorwaarden, dus dan zou je contractbreuk plegen. Maar het moet er dan expliciet staan, bijvoorbeeld als "Verboden je verbinding te sharen met derden buiten je huisgenoten".

Het kan gebeuren dat iemand strafbare feiten pleegt via die exit-node. Dan komt de politie uit bij jouw IP-adres en dan heb jij wat uit te leggen. Je bent niet automatisch strafbaar voor al hetgeen er via jouw exit-node gebeurt. Voor strafbaarheid moet meestal sprake zijn van opzet, en anders minstens van (grove) nalatigheid. Zou iemand een smadelijk bericht posten via die exit node, dan ben jij daar niet voor vervolgbaar want jouw bedoeling was niet dat dat bericht geplaatst zou worden.

De wet kent echter ook het concept ‘voorwaardelijke opzet’. Kort gezegd “dat had je toch moeten weten dat dat kon gebeuren”, en in fraai juridisch “de aanmerkelijke kans aanvaardend dat”. Als je een exit node opzet die je zelf met firewallregels zo instelt dat hij alléén een Russische kinderpornosite kan bereiken, tja dan aanvaard je de aanmerkelijke kans dat mensen kinderporno gaan opvragen of plaatsen. Ook als je mee gaat kijken met het verkeer over je exit node, en je ziet opvallend veel verkeer naar zo’n site, dan kun je strafrechtelijk aansprakelijk worden. Je weet dan dat de node misbruikt wordt, en dan moet je ook iets doen met die kennis.

De vraag is natuurlijk waar die grens ligt. Heb je voorwaardelijke opzet als je géén spamfilter instelt als je uitgaand SMTP verkeer faciliteert? Was het je bedoeling dat er auteursrechtschendende films verspreid worden als je een exit node maakt die naar Youtube mag en verder niets?

Daarnaast is theoretisch nog verdedigbaar dat de partij die een exit node beheert, juridisch dezelfde rol heeft als een internetprovider als xs4all of KPN. Die zijn ook niet aansprakelijk voor wat er over hun verbinding gaat.

Er is nog nooit een rechtszaak geweest over iemand die alleen een Tor-node opereerde, en ik denk ook niet dat het snel zal gebeuren. Maar ja, je neemt een praktisch risico gearresteerd te worden en je pc's, laptops en telefoons voor lange tijd kwijt te raken. Plus wat zullen de buren zeggen.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (24)
09-10-2013, 12:17 door schele
Iets waar de TOR mensen zelf ook al op wijzen: https://www.torproject.org/eff/tor-legal-faq.html.en
09-10-2013, 12:24 door Anoniem
Met andere woorden: Wat niet weet, dat niet deert. Dus niet gaan koekeloeren, en niet filteren want dan had je kennelijk redenen om dat te doen, cq aanwijzingen dat er misbruik van gemaakt werd, cq je had dus gekeken. En merk op dat als je voor het ene filtert, waarom niet voor het andere? Je riskeert dan dat je op alles wat mogelijk niet goed is moet gaan filteren.

Zo ook met spamfilteren. Lijkt me niet dat je dat in je tor-doorgeefluik wil hebben. Als de uiteindelijke ontvanger dat doet is dat (kennelijk) in het belang van degene met de mailbox--vandaar ook dat xs4all je toelaat in te stellen hoe voor jouw inbox te filteren. Je houdt dan een keuze om alles door te laten... of helemaal niets. Je zegt gewoon "mail faciliteren we niet", poort 25 gaat dicht, en dat was het dan. Buiten dat je tor exit node binnen de kortste keren in allerlei spamblokkeerlijsten terecht gaat komen, als hij er al niet in stond wegens "residentieel adres".

Als bijopmerking, spamblokkeerlijsten zijn dan ook niet geschikt om ergens anders voor te gebruiken, zoals om forumspam te blokkeren, webchats op te schonen, dat soort dingen. Daar pak je een hele hoop legitieme gebruikers mee die wellicht geen alternatief hebben. Toch gebeurt het regelmatig.
09-10-2013, 13:05 door MartijnGrooten
Ja. Tor geeft ook als tip de politie van te voren te waarschuwen. Dat kan een hoop problemen voorkomen.
09-10-2013, 13:17 door schele
@martijn
oh? Van te voren bij de politie langsgaan als je een tor exit node wilt draaien/draait? En dat is nuttig want?
09-10-2013, 13:31 door Anoniem
Een regionale politieagente vertelde Dingledine dat de politie soms opzettelijk invallen doet bij Tor-gebruikers die een exit-node hebben draaien. Dit om mensen te ontmoedigen Tor te gebruiken, aldus de vrouw.
https://www.security.nl/posting/39959/Nederlandse+politie+worstelt+met+Tor
09-10-2013, 15:09 door Anoniem
"Was het je bedoeling dat er auteursrechtschendende films verspreid worden als je een exit node maakt die naar Youtube mag en verder niets? "

Vreemde vraag, immers staan op Youtube ontzettend veel niet auteursrechtschendende films. Daarnaast zou het de verantwoording moeten zijn van Google als eigenaar om de rechten fatsoenlijk te regelen, en niet van mensen die linken naar Youtube, of dat nou is d.m.v. een TOR exit node die enkel naar Youtube mag, of door het gebruik maken van embedded video.

Zou je er juridisch niet vanuit moeten kunnen gaan dat een multinational zoals Google haar zaken op orde heeft, en zou de verantwoordelijkheid voor eventuele schendingen van auteursrechten niet 100% bij Google moeten liggen, en niet bij consumenten die nietsvermoedend linken naar Youtube ?

Ik heb geen inzage in de vraag welke rechten Youtube (Google) wel/niet heeft op de content die zij aanbieden, en voor een consument zou die vraag ook irrelevant moeten zijn.
09-10-2013, 16:08 door Anoniem
Heb een tijdje een Tor-exit gedraaid, maar mijn ip-adres werd al snel door verschillende websites geblocked (heb maar 1 ip-adres). Ben er toen maar weer mee opgehouden..
09-10-2013, 20:45 door Anoniem
"Voor strafbaarheid moet meestal sprake zijn van opzet, en anders minstens van (grove) nalatigheid."

En het opzetten van een TOR exit node is geen opzet of grove nalatigheid?
Als je zo iets doet dan weet je toch dat er naast die ene nepalese activist die zich voor china verborgen moet houden
minstens 1000 hackers en andere vervelende jongetjes jouw systeem als uitvalsbasis voor hun malversaties gaan
gebruiken?

Ik vind het net zo iets als je auto met draaiende motor achterlaten naast een pleintje met hangende pubers.
Als er dan een in springt en iemand dood rijdt dan heb je ook een zware dobber voor de rechter, hoor...
09-10-2013, 21:52 door Anoniem
Door Anoniem:Zou je er juridisch niet vanuit moeten kunnen gaan dat een multinational zoals Google haar zaken op orde heeft, en zou de verantwoordelijkheid voor eventuele schendingen van auteursrechten niet 100% bij Google moeten liggen, en niet bij consumenten die nietsvermoedend linken naar YouTube?
Dat zouden copyrightmonopolisten graag willen, maar een dienstaanbieder is niet verantwoordelijk voor de acties van haar gebruikers. (Behalve bij 'voorwaardelijke opzet'.)
10-10-2013, 11:34 door Anoniem
"Ja. Tor geeft ook als tip de politie van te voren te waarschuwen. Dat kan een hoop problemen voorkomen."

Wat denk je dat de politie zegt wanneer je komt melden dat je een TOR exit node draait ? Ik denk toch niet dat ze iets gaan doen met die informatie. Het klinkt leuk, maar ik denk dat het nutteloos is om dit te proberen. Je melding zal nimmer terecht komen bij de mensen bij de politie die uiteindelijk mogelijk op kwaadaardig verkeer vanaf je IP reageren.
10-10-2013, 11:52 door Anoniem
"Dat zouden copyrightmonopolisten graag willen, maar een dienstaanbieder is niet verantwoordelijk voor de acties van haar gebruikers. (Behalve bij 'voorwaardelijke opzet'.)"

Youtube is wel degelijk verantwoordelijk voor de vraag of content die -zij- hosten, en waar jij en ik mogelijk naartoe linken, bijvoorbeeld door een embedded Youtube clip.

De copyrightmonopolisten waarover je het hebt proberen de gebruiker juist wel verantwoordelijk te stellen, zowel om deze juridisch aansprakelijk te stellen, als ook om te proberen geld te incasseren bij de eindgebruiker wegens het gebruik van Youtube's content, terwijl die gebruiker helemaal niet beschikt over de content; deze staat op de servers van Youtube (Google).

Zou je bij de consument niet uit kunnen gaan van een ''voorwaardelijke aanname'' dat indien een legitiem bedrijf als Google dit soort content biedt, zij dit op een legale wijze doen ?

Dat is een hele andere situatie in vergelijking met het zelf uploaden van materiaal naar Youtube, daarbij heb je natuurlijk wel een verantwoordelijkheid.
10-10-2013, 14:36 door Anoniem
Los van een TOR node kan je, je ook afvragen of je aansprakelijk bent wanneer je WiFi wordt misbruikt. Stel dat je die gewoon openbaar maakt en iemand misbruikt deze om iets "illegaals" te uploaden.

Komt toch een beetje op hetzelfde neer ?
10-10-2013, 15:03 door rsterenb
Door Anoniem (20:45):En het opzetten van een TOR exit node is geen opzet of grove nalatigheid?
Als je zo iets doet dan weet je toch dat er naast die ene nepalese activist die zich voor china verborgen moet houden
minstens 1000 hackers en andere vervelende jongetjes jouw systeem als uitvalsbasis voor hun malversaties gaan
gebruiken?

Goh. Kan je ook kwantificeren hoeveel mensen van Tor gebruik maken, geen vlieg kwaad doen en misschien wel een hele goede reden hebben om het te gebruiken, en hoeveel er zijn die Tor op welke manier dan ook misbruiken? Ik vind het nogal wat om er zomaar vanuit te gaan dat het merendeel van de Tor gebruikers het netwerk misbruikt.
Ik ken de getallen niet, en er zal zeker misbruik van Tor worden gemaakt, maar misschien ligt de verhouding iets anders dan je denkt.
11-10-2013, 03:12 door [Account Verwijderd]
Door Arnoud Engelfriet:Was het je bedoeling dat er auteursrechtschendende films verspreid worden als je een exit node maakt die naar Youtube mag en verder niets?

Daar moest ik wel even om glimlachen.
11-10-2013, 08:26 door Anoniem
In de praktijk wordt je (vanwege dubieuze activiteiten vanaf jouw ip adres) door je ISP gewoon in een beveiligde omgeving geknald, waar je niks kan. Vervolgens moet je aantonen dat het niet zal gebeuren, waarna je weer op interpret mag.
11-10-2013, 13:26 door SecOff
Ik heb net weer een abuse melding gekregen van Ziggo vanwege verkeer via mijn TOR exit node. Ben nu bezig om te proberen te voorkomen dat ik de volgende keer wordt afgesloten. Via standaard helpdesk naar service+ naar standaard helpdesk, naar abuseteam gestuurt maar nog geen uitsluitsel gehad. En ja, ik weet dat het beter is een separate verbinding te gebruiken voor een exit node.
11-10-2013, 14:20 door Anoniem
Ik heb net weer een abuse melding gekregen van Ziggo vanwege verkeer via mijn TOR exit node. Ben nu bezig om te proberen te voorkomen dat ik de volgende keer wordt afgesloten"

Tja, en waarom denk je dat je volgende keer niet afgesloten zou moeten worden ? Jij draagt zelf wel verantwoordelijkheid voor hetgeen gebeurt vanaf jouw IP (wat los staat van juridische aansprakelijkheid).

Zou jij verbaast zijn indien je bijvoorbeeld niet meer kan internetbankieren vanaf een IP dat tevens dient als TOR exit node, of buitengesloten wordt van andere diensten, vanwege het feit dat derden jouw IP gebruiken t.b.v. hacking activiteiten ?

Zou je het onterecht vinden indien jouw IP op blacklists terecht komt door activiteiten van derden, waar jij uiteindelijk met de gevolgen zit ?

TOR heeft heel veel goede kanten, zoals het faciliteren van communicatie van mensenrechten activisten en dissident. Het zal echter ook ter kwader trouw gebruikt blijven worden, en als beheerder van een exit node heb je wel te maken met de gevolgen die dergelijke activiteiten kunnen hebben.
12-10-2013, 07:31 door Anoniem
Door Anoniem:Als je zo iets doet dan weet je toch dat er naast die ene nepalese activist die zich voor china verborgen moet houden minstens 1000 hackers en andere vervelende jongetjes jouw systeem als uitvalsbasis voor hun malversaties gaan
gebruiken?

Zoals bijvoorbeeld het misdrijf van groepsbelediging van TOR-gebruikers?

Door Anoniem:TOR heeft heel veel goede kanten, zoals het faciliteren van communicatie van mensenrechten activisten en dissident. Het zal echter ook ter kwader trouw gebruikt blijven worden, en als beheerder van een exit node heb je wel te maken met de gevolgen die dergelijke activiteiten kunnen hebben.

Veel beter.
14-10-2013, 04:21 door lucb1e - Bijgewerkt: 14-10-2013, 04:23
Ik heb een paar weken een exit node gedraaid, toen gooide Versio het eruit omdat het tegen hun regels is. Regels nagelezen, staat niks in. Ben er niet op ingegaan omdat ik toch al meer dan 2x over het datalimiet heen zat (bewust), maargoed het is dus onbekend wat Versio ervan vind. Ik heb er in ieder geval geen boete of ander gezeur mee gekregen. Zolang je een interne node draait en onder eventuele datalimieten blijft heb je sowieso ook nooit problemen. Enkel sommige stasi-achtige diensten zoals Quaknet IRC bannen je voor het draaien van interne relays, dus het is wel aan te raden een ander IP-adres te gebruiken ongeacht of je node een exit node is.
14-10-2013, 14:53 door Eric-Jan H te D
"Ja. Tor geeft ook als tip de politie van te voren te waarschuwen. Dat kan een hoop problemen voorkomen."

Reactie van de politie:
"Jah do iest de Tor, oent jets exit"
14-10-2013, 23:04 door Anoniem
Door Anoniem:Youtube is wel degelijk verantwoordelijk voor de vraag of content die -zij- hosten, en waar jij en ik mogelijk naartoe linken, bijvoorbeeld door een embedded Youtube clip.
YouTube is alleen verantwoordelijk als ze het hadden kunnen weten, bijvoorbeeld als er een correct geformatteerde DCMA-takedown verstuurd zou zijn of als ze zelf auteursrechten zouden schenden in filmpjes die ze uploaden.
15-10-2013, 10:50 door Anoniem
"YouTube is alleen verantwoordelijk als ze het hadden kunnen weten, bijvoorbeeld als er een correct geformatteerde DCMA-takedown verstuurd zou zijn of als ze zelf auteursrechten zouden schenden in filmpjes die ze uploaden."

Wat heeft dat te maken met de vraag of jij als gebruiker verantwoordelijk bent indien je linkt naar content die jij niet host, maar Google. Ik stel nergens dat je als uploader van content geen aansprakelijkheid hebt, maar dat is een geheel andere discussie.
15-10-2013, 21:19 door TD-er
Mede om dit soort redenen snap ik niet dat er eigenlijk nog geen Apache-plugins zijn die TOR-exit-node zijn voor de eigen site die geserveerd wordt.
Dan kunnen mensen toch op jouw site komen via het tor-netwerk en je hebt minimale kans op misbruik via de exit-node.
Bijkomend voordeel is dat het volledige pad van het tor-verkeer niet te onderscheppen is, danwel te ondermijnen via man-in-the-middle achtige attacks.

Of zie ik iets over het hoofd?
28-10-2013, 22:29 door 0101
@TD-er zo is het Tor netwerk niet opgebouwd. Een exit node kan alleen worden ingesteld om bepaalde poorten (bijvoorbeeld 80 = HTTP, 443 = HTTPS) open of dicht te laten, maar niet om alleen bepaalde websites toegankelijk te maken. Natuurlijk kun je het verkeer van een exit node wel filteren en iedereen doorsturen naar jouw website, maar daar worden de mensen ook niet echt blij mee denk ik.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.