image

Juridische vraag: KPN maakt van mijn router een hotspot

woensdag 30 januari 2013, 10:49 door Arnoud Engelfriet, 36 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"Security: Deskundig en praktisch juridisch advies".

Vraag: Alle KPN breedband abonnees worden hotspot voor andere gebruikers van het FON-netwerk. Maar waar sta je dan als particulier als er over jouw verbinding activiteiten worden ontplooid die niet door de beugel kunnen?

Antwoord: Fon-enabled routers hebben twee gescheiden netwerken, één voor de klant zelf en één netwerk voor de hotspot. Alleen al daarmee zouden alle bewijsproblemen over wie wat deed, vermeden moeten worden.

Er zijn geen specifieke regels over aansprakelijkheid bij gebruik van andermans internetverbinding. De enige die in de buurt komt, is de regel dat een internet access provider niet aansprakelijk is voor wat er over de lijn gaat, zolang hij niet zelf actief filtert, monitort of ingrijpt op de inhoud. Spamfilters zijn oké, malwarefilters op het randje maar bijvoorbeeld zelf besluiten Youtube te blokkeren maakt ze aansprakelijk.

Het lijkt me alleen niet dat een particulier die zijn verbinding deelt, een "internet access provider" is zoals de wet dat bedoelt. Daarvoor moet er sprake zijn van "dienstverlening gewoonlijk tegen betaling", en hoewel "gratis met advertenties" ook een vorm van betaling is, moet er dus wel iets van een commerciële, structurele insteek zijn.

Er zijn nog nooit rechtszaken geweest waarbij een particulier aansprakelijk werd gesteld voor wat een ander over die lijn deed. Het verweer "ik was het niet, iemand zat op mijn netwerk" zag ik in een paar strafzaken wél voorbij komen. Het werd daar meestal gepasseerd omdat het té onwaarschijnlijk voorkwam. Als jij geschorst wordt op het werk, en er 's avonds vanaf jouw IP-adres een dreigmail naar je manager gaat, dan
is het compleet ongeloofwaardig dat een hacker dat zou doen om jou een loer te draaien.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (36)
30-01-2013, 11:07 door Spiff has left the building
Vraag: Alle KPN breedband abonnees worden hotspot voor andere gebruikers van het FON-netwerk. Maar waar sta je dan als particulier als er over jouw verbinding activiteiten worden ontplooid die niet door de beugel kunnen?
Dat "alle" mag wel enige relativering.
Want het betreft alle nieuwe KPN-breedbandklanten
en Fon wordt standaard, maar de klant kan zich afmelden.
30-01-2013, 11:28 door Anoniem
Door Spiff:
Vraag: Alle KPN breedband abonnees worden hotspot voor andere gebruikers van het
en Fon wordt standaard, maar de klant kan zich afmelden.



Eigenlijk ook fout, waarom opt-out en geen opt-in
30-01-2013, 11:45 door Anoniem
Bovendien, wanneer dit wifi verkeer over een KPN/FON netwerk gaat en als zodanig dus herkenbaar is, dan lijkt het mij voor de abonnee geen issue. Wat via door KPN beheerde netwerken loopt, is niet zijn probleem.... Sterker nog, wanneer hij het handig speelt, kan hij mogelijk hiervan misbruik maken, door ongewenst gedrag vanaf een ander systeem via dit WiFi netwerk te doen. Dat maakt het voor opsporingsdiensten alleen maar moeilijker lijkt mij.
30-01-2013, 11:51 door Arnoud Engelfriet
Oeps, goed punt.
30-01-2013, 12:00 door Spiff has left the building
Arnoud,
Oeps, zeg je.
Ik weet niet of de vraagsteller de vraag had geformuleerd zoals in het artikel, of dat je de vraag had samengevat.
Was het de vraagsteller die die genoemde nuances had weggelaten, dan hoef jij daar geen oeps voor te zeggen, denk ik :-)
30-01-2013, 12:15 door Spiff has left the building
Door Spiff, 11:07 uur:
[...] de klant kan zich afmelden.
Door Anoniem, 11:28 uur:
Eigenlijk ook fout, waarom opt-out en geen opt-in
Uiteraard, opt-out zou beslist veel beter zijn.
Het zou voorkomen dat gebruikers onbewust en ongewenst hun router aanbieden als Fon hotspot.
30-01-2013, 12:18 door Anoniem
Helaas is er zo te zien geen technische info te vinden over hoe dit nou werkt.
Een aparte WiFi SSID en daarmee een apart logisch netwerk op WiFi dat is leuk, en voorkomt dat men rechtstreeks op je eigen apparatuur kan aanvallen via een FON aansluiting, maar wat gebeurt er verder met het verkeer van de FON klanten?
Wordt dat rechtstreeks geNAT naar je eigen publieke adres?
Of heeft zo'n FON router een VPN naar een centrale server waar de boel geNAT wordt naar een FON publiek adres?
Dat lijkt me toch wel van cruciaal belang.
Als het je eigen publieke adres is dan zou ik er in ieder geval niet aan beginnen...
30-01-2013, 12:26 door Anoniem
Bij Ziggo krijgen de hotspot inloggers een ander IP dan de modem eigenaar. (in de 10.x.x.x range) Ik neem aan dat KPN hetzelfde doet en dus altijd duidelijk is dat het een hotspot verbinding was. Overigens heeft ziggo wel een bewaarplicht van die verbindingsdata zodat blijkbaar altijd nog te achterhalen is welk MAC nummer (of ander identificerend nummer) op welke hotspot ingelogd was.

Zie: http://www.technischweekblad.nl/hotspot-groningen.297341.lynkx
30-01-2013, 12:48 door Anoniem
"Als jij geschorst wordt op het werk, en er 's avonds vanaf jouw IP-adres een dreigmail naar je manager gaat, dan
is het compleet ongeloofwaardig dat een hacker dat zou doen om jou een loer te draaien. "

Tja, dat is slechts een voorbeeld waarbij het niet geloofwaardig was. Er zijn ook mensen onterecht aangeklaagd voor activiteiten van derden door een open wireless access point, of doordat ze een TOR exit node beheerden.

"Er zijn nog nooit rechtszaken geweest waarbij een particulier aansprakelijk werd gesteld voor wat een ander over die lijn deed."

Dat lijkt mij heel onwaarschijnlijk.
30-01-2013, 13:12 door Anoniem
Afgezien van het juridisch aspect zou ik me meer zorgen maken over politie-invallen, want die kijken alleen naar het ip-adres (en de daarmee verbonden gebruiker van de internet provider). Als dus eventuele misdrijven gepleegd zijn via het FON netwerk komen ze bij jou 's morgens de deur in rammen en jou uit je bed te lichten als een zware crimineel...

Maar daar hoor je KPN ook niet over, alleen hoe geweldig het is dat je van FON gebruik kunt maken (dat is op zich ook wel een leuk din)...
30-01-2013, 13:18 door Arnoud Engelfriet
Er zijn ook mensen onterecht aangeklaagd voor activiteiten van derden door een open wireless access point, of doordat ze een TOR exit node beheerden.
Ik ken geen Nederlandse rechtszaken daarover, heb je een vindplaats?
30-01-2013, 14:53 door yobi
Wat meer info over FON:
http://www.oeioei.nl/fon/index.php
30-01-2013, 15:06 door Anoniem
Door Anoniem: Bij Ziggo krijgen de hotspot inloggers een ander IP dan de modem eigenaar. (in de 10.x.x.x range)

Ja dat geloof ik graag.
Maar waar het om gaat is: als deze gebruikers internet op gaan, en hun adres dus geNAT wordt naar een routable adres, wat voor adres krijgen ze DAN? Het adres van de modem eigenaar, of een ander adres?

Dat is dus ook de vraag bij de FON. Helaas zijn al die FON info pagina's niet gedetailleerd genoeg om dat aan te geven.
(en die van Ziggo ook niet)

Wat we nodig hebben is een gebruiker die dit al heeft, en die even een laptopje aan zo'n open access wil hangen en "whatismyipaddress" ofzo wil doen.
30-01-2013, 15:42 door Jan Slot
Zoals anoniem eerder ook zei, war het om gaat is met welk adres je daadwerkelijk het Internet op gaat. Dat moet een op het Internet routeerbaar adres zijn. Dat de verbinding tussen het FON-punt en de eindgebruiker een of andere private range is zoals 10.0.0.x geloof ik wel.
Wat veel interessanter is, is de vraag welke NAW gegevens er in de CIOT-database komen te staan bij dat routeerbare IP-adres. Dit nog afgezien van de vraag wat voor adres ze krijgen, een nieuwe of die van de abbonee.
Het probleem hiermee is namelijk dat als in de CIOT-database staat dat adres X hoort bij meneer A, de hermandad bij meneer A verhaal komt halen als iemand anders via zijn FON-punt stoute dingen heeft gedaan, met alle nare gevolgen van dien.
30-01-2013, 16:25 door Security Scene Team
moetje dit wel willen is mijn vraag eigenlijk.. persoonlijk zelf moet ik er niet aandenken dat mijn modem een hotspot heeft voor onbekenden. goed lees voer en zeer goede reacties, bedankt voor de info allen.
30-01-2013, 17:42 door Valheru
Bij Ziggo word het via een hun eigen lijnen naar een centrale proxy met publiek IP geleid, de mensen die op de hotspot zitten krijgen NOOIT het publieke IP van het modem.
Ze houden de connecties compleet gescheiden en ze reserveren extra bandbreedte voor het gebruik van de hotspot zodat je daar op je privé connectie in principe nooit last van zult hebben.

Ik wou natuurlijk direct weten of ik hier risico mee liep toen ze dit aan gingen zetten in mijn modem en ben dus direct gaan mailen. Ze hebben mij toen bovenstaande verteld en gegarandeerd dat ik nooit last hier mee zou krijgen en het niet zou moeten merken.
Enige nadeel aan Ziggo is dat ze je eigen Wifi ook gewoon weer enablen ook al stond dit uit voor dat je modem een hotspot werd, maar goed, niet netjes maar ook niet onoverkomelijk.

Mijn gok is dat KPN een soortgelijke implementatie zal gebruiken want er zitten gewoon teveel juridische haken en ogen aan hotspot gebruik op iemands privé connectie en ze kunnen alleen met een complete scheiding garanderen dat jouw netwerk veilig blijft.
30-01-2013, 17:44 door Valheru
Nog detail, bij Ziggo kun je niet je eigen hotspot gebruiken, alleen die van andere mensen.
Dit ook weer om misbruik te voorkomen.
Ze slaan inderdaad op wie op welk moment op welke hotspot connected is.
30-01-2013, 18:39 door Anoniem
Maak je niet druk over FON.
Ik heb al 5 jaar zo'n ding en er is tot nu toe slechts 1 onbekende op geweest.
De FON heeft 2 SSID's, een "openbaar" en een publiek.
Er is allleen toegang mogelijk naar internet en niet naar mijn netwerk.
Ik kan via FON niet eens printen op een van mijn 3 netwerkprinters
30-01-2013, 20:59 door Preddie
Door Arnoud Engelfriet:
Er zijn ook mensen onterecht aangeklaagd voor activiteiten van derden door een open wireless access point, of doordat ze een TOR exit node beheerden.
Ik ken geen Nederlandse rechtszaken daarover, heb je een vindplaats?

Ik ben ook geinterresseeerd, persoonlijk ken ik alleen artikelen over buitenlandse zaken:

http://webwereld.nl/nieuws/112622/oostenrijker-aangeklaagd-voor-beheren-exit-node-tor.html
30-01-2013, 21:17 door spatieman
uhm..
en wat als een FON user nu opeens je komplete lijn dicht trekt met downloads of wat dan ook.
en je weet niet dat je FON actief hebt.
30-01-2013, 21:43 door Security Scene Team
Als jij geschorst wordt op het werk, en er 's avonds vanaf jouw IP-adres een dreigmail naar je manager gaat, dan
is het compleet ongeloofwaardig dat een hacker dat zou doen om jou een loer te draaien.

én toch bestaan er mensen die dit doen cq gedaan hebben. zo onwaarschijnlijk vind ik dit niet als ik eerlijk ben.. maar goed wat verwacht je van rechters? dat het een Pro ITer is en zich hier 'n voorstelling van zou kunnen maken?

toch moeten ze de wetjes en regeltjes eens wat upgraden.
31-01-2013, 00:21 door Anoniem
Je zal maar in Groningen wonen, Ziggo zet de "magnetron" weer een standje hoger... Hoe zat dat ook alweer met die kikker in die bak warm water?
31-01-2013, 10:59 door SecuritySander
@Arnoud: "De enige die in de buurt komt, is de regel dat een internet access provider niet aansprakelijk is voor wat er over de lijn gaat, zolang hij niet zelf actief filtert, monitort of ingrijpt op de inhoud."

Meer riep de aanpassing op de telecommunicatiewet niet iets over netneutraliteit dat filteren niet (zomaar) mag? Hoe zit dat precies in relatie tot deze uitspraak?
31-01-2013, 11:19 door Anoniem
Door Anoniem: Je zal maar in Groningen wonen, Ziggo zet de "magnetron" weer een standje hoger... Hoe zat dat ook alweer met die kikker in die bak warm water?

Handig verlengsnoertje met schakelaar, gewoon ouderwets stroom er af als je zelf niet internet. Of misschien toch maar je woning inpakken met wifi werende folie.
31-01-2013, 11:28 door Mysterio
Door spatieman: uhm..
en wat als een FON user nu opeens je komplete lijn dicht trekt met downloads of wat dan ook.
en je weet niet dat je FON actief hebt.
In theorie kan dit niet gebeuren vanwege de datalimiet en de beperkte bandbreedte. De abonnee krijgt aangeboden waar voor wordt betaald en de bandbreedte van bv FON zou dat niet moeten raken.
31-01-2013, 12:08 door Anoniem
Mogelijk een iets off-topic issue, maar wel gerelateerd aan de onderstaande quotes uit dit draadje;

Door Arnoud Engelfriet
Spamfilters zijn oké, malwarefilters op het randje

Door SecuritySander
Meer riep de aanpassing op de telecommunicatiewet niet iets over netneutraliteit dat filteren niet (zomaar) mag? Hoe zit dat precies in relatie tot deze uitspraak?

Ik ben vanuit mijn professie ook zeer benieuwd naar het onderscheid tussen spamfilters en malwarefilters. Beiden moeten de inhoud van communicatie onderzoeken om een zinnig besluit te kunnen nemen of iets spam danwel malware betreft. Waarom een spamfilter dan oké is en een malwarefilter niet snap ik in die optiek niet en ik ben dan ook benieuwd naar het juridisch kader wat wordt gebruikt om het één wel toe te staan en het ander niet (mogelijk onder voorbehoud van opt-inn door individuele klanten etc.)

Mocht dit in dit draadje niet beantwoord kunnen worden, dan hoop ik dat hier een apart draadje aan gewijd kan worden.
31-01-2013, 12:54 door Anoniem
Waarom nemen goed geinformeerde advocaten die ook nog technisch behoorlijk goed zijn geinformeerd nooit een laptop mee naar de rechtbank en doen de ogen van rechtbank en eiser eens open? QED? Het zou goed zijn dat men dergelijke zaken gewoon eens laat zien. Dan piept het recht waarschijnlijk heel anders..... En volgens mij kan dat ook gewoon al heb ik het nog niet gezien.


Groet,

Thaddy
31-01-2013, 13:50 door Anoniem
Er zijn geen specifieke regels over aansprakelijkheid bij gebruik van andermans internetverbinding. De enige die in de buurt komt, is de regel dat een internet access provider niet aansprakelijk is voor wat er over de lijn gaat, zolang hij niet zelf actief filtert, monitort of ingrijpt op de inhoud. Spamfilters zijn oké, malwarefilters op het randje maar bijvoorbeeld zelf besluiten Youtube te blokkeren maakt ze aansprakelijk.
Aangezien heel veel providers "The Piratebay" blokkeren, zouden deze dus wel degelijk aansprakelijk zijn?
Of lees ik dat verkeerd?
31-01-2013, 14:25 door Anoniem
Door Anoniem: Mogelijk een iets off-topic issue, maar wel gerelateerd aan de onderstaande quotes uit dit draadje;

Door Arnoud Engelfriet
Ik ben vanuit mijn professie ook zeer benieuwd naar het onderscheid tussen spamfilters en malwarefilters. Beiden moeten de inhoud van communicatie onderzoeken om een zinnig besluit te kunnen nemen of iets spam danwel malware betreft. Waarom een spamfilter dan oké is en een malwarefilter niet snap ik in die optiek niet en ik ben dan ook benieuwd naar het juridisch kader wat wordt gebruikt om het één wel toe te staan en het ander niet (mogelijk onder voorbehoud van opt-inn door individuele klanten etc.)

Mocht dit in dit draadje niet beantwoord kunnen worden, dan hoop ik dat hier een apart draadje aan gewijd kan worden.

In mijn ervaring zijn spamfilters redelijk geevolueerd om alleen spam aan te pakken. Bij malware filters is dat nog lang niet het geval. Ik zie daar veel meer false positives al is het alleen maar omdat bepaalde virusscanners standaard ook keygenerators als malware aanmerken (krijgen ze daar geld voor, of zo). Misschien dat ik er vanwege mijn werk meer last van heb, maar gemailde scripts blijken ook nog al eens in een virusscanner achter te blijven.

Peter
31-01-2013, 15:00 door Anoniem
"Ik ken geen Nederlandse rechtszaken daarover, heb je een vindplaats?"

Nee, maar mijn reactie was ook niet expliciet m.b.t. Nederland.
01-02-2013, 13:39 door yobi
Misschien dat KPN naast het signaal voor internet en VoIP nog een apart kanaal opzet. Vroeger met de experia-box opende het apparaat volgens de logs een ATM1 voor internet en een ATM10 (met 10.x.x.x adres) voor VoIP.

Waarschijnlijk geeft KPN hierover verder geen openheid van zaken.
01-02-2013, 15:19 door User2048
Doorgaans is de router eigendom van je provider, en ook de kabel die je huis in komt is tot en met het aansluitpunt in de meterkast van je telefoon- of kabelboer. Volgens mij kun je het dus niet hebben over "Ziggo gebruikt mijn aansluiting voor anderen." Ze gebruiken gewoon hun eigen infrastructuur en apparatuur.
01-02-2013, 18:09 door SirDice
Door Anoniem:
Er zijn geen specifieke regels over aansprakelijkheid bij gebruik van andermans internetverbinding. De enige die in de buurt komt, is de regel dat een internet access provider niet aansprakelijk is voor wat er over de lijn gaat, zolang hij niet zelf actief filtert, monitort of ingrijpt op de inhoud. Spamfilters zijn oké, malwarefilters op het randje maar bijvoorbeeld zelf besluiten Youtube te blokkeren maakt ze aansprakelijk.
Aangezien heel veel providers "The Piratebay" blokkeren, zouden deze dus wel degelijk aansprakelijk zijn?
Of lees ik dat verkeerd?
Alleen als ze dit zelf beslist zouden hebben. Maar aangezien het door een rechter is opgedragen is dat geen probleem. Voor dergelijke zaken zijn uitzonderingen opgenomen. Helaas. Je kunt dus niet je provider aanklagen voor het blokkeren van TPB.
01-02-2013, 18:23 door Anoniem
Door User2048: Doorgaans is de router eigendom van je provider, en ook de kabel die je huis in komt is tot en met het aansluitpunt in de meterkast van je telefoon- of kabelboer. Volgens mij kun je het dus niet hebben over "Ziggo gebruikt mijn aansluiting voor anderen." Ze gebruiken gewoon hun eigen infrastructuur en apparatuur.



Ze gebruiken wel mijn stroom.
04-02-2013, 13:54 door Patio
Door Spiff:
Door Spiff, 11:07 uur:
[...] de klant kan zich afmelden.
Door Anoniem, 11:28 uur:
Eigenlijk ook fout, waarom opt-out en geen opt-in
Uiteraard, opt-out zou beslist veel beter zijn.
Het zou voorkomen dat gebruikers onbewust en ongewenst hun router aanbieden als Fon hotspot.


Zet je er bewust geen wachtwoordbeveiliging op? Dat maakt je sowieso een beetje verdacht. Uitlokking van 'diefstal' is niet in de haak.
22-08-2014, 08:04 door Anoniem
FON is deel van de hardware en gemakkelijk te kraken ook al zeggen ze dat het volkomen veilig is. FON is al jaren populair in Amerika en er is nog geen enkele FON netwerk geweest die niet geïnfiltreerd is.

Genoeg informatie beschikbaar waaronder bij SANS.

Zelf heb ik de huidige Firmware van KPN onder de loep genomen en het lijkt mijzelf een aantal uren tijd om hier een Exploit voor te schrijven.

Indien je FON uitzet op de Experiabox, zet je alleen de broadcast uit (Hotspot FON blijft aan staan).

Wanneer je echt geen gezeik meer wilt hebben, gebruik dan goede hardware en schaf je eigen aan.
Hiermee bedoel ik niet een router in de winkel kopen en DMZ aanzetten, aangezien je dan alsnog de troep van KPN gebruikt en alleen maar nadelen i.p.v. voordelen heeft.

Gewoon een eigen Router of UTM bouwen en de VLAN's 4, 6 & 7 doorzetten.

1. Geen dubbel NAT.
2. Geen instabiele slechte hardware (tenzij je dit zelf aanschaft).
3. Volledig beheer over de hardware.
4. Volledige bandbreedte, waar voor betaald word.
5. Goede beveiliging zonder dat dit ten koste gaat van de resources.

Bij verschillende mensen heb ik dit al gerealiseerd.
Handleidingen zijn beschikbaar op het internet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.