image

Waarom is het gebruik van een wifi-wachtwoord voor een ander doel computervredebreuk?

woensdag 8 september 2021, 10:53 door Arnoud Engelfriet, 17 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Een 51-jarige man die als schoonmaker een verborgen camera plaatste en die koppelde met het wifi-netwerk van zijn slachtoffer heeft zich onder andere schuldig gemaakt aan computervredebreuk, meldde Security.nl onlangs. Maar hij had het wachtwoord gekregen van het slachtoffer (voor muziek onder het werk). Ik snap de verdere veroordelingen maar hoezo computervredebreuk?

Antwoord: De rechtbank Amsterdam veroordeelde de man eind augustus tot 10 maanden cel (4 voorwaardelijk) voor binnendringen op het netwerk van het slachtoffer, plus met een verborgen camera intieme beelden maken in de slaapkamer. Wederrechtelijk binnendringen in iemands netwerk is sinds een jaar of tien computervredebreuk (voor die tijd was er nog wel eens discussie of een netwerk een "geautomatiseerd werk" is in de zin van de wet).

De verborgen camera was aan het wifi-netwerk van het huis gekoppeld; de man had het wachtwoord gekregen zodat hij tijdens het werk naar muziek kon luisteren. Je zou dus zeggen dat hij legaal op het netwerk mocht zijn, maar dat ligt in Nederland subtieler:

Nu verdachte het wifi-wachtwoord heeft gebruikt met een ander doel dan waarvoor deze aan hem was verstrekt is de rechtbank van oordeel dat verdachte opzettelijk wederrechtelijk is binnengedrongen in een geautomatiseerd werk (de router dan wel het wifi-netwerk), door middel van een valse sleutel.

In Nederland kijken we namelijk naar het doel van je geautoriseerd gebruik. In 2019 hadden we bijvoorbeeld wijkagent Jan die mensen natrok, wat de grenzen van zijn autorisatie ver te buiten ging en daarom computervredebreuk opleverde. In een oudere zaak werd het aanbieden van vervalste opdrachten aan een bank géén computervredebreuk genoemd: de aanbieder was bevoegd om opdrachten aan te bieden, en dat die inhoudelijk vals waren, is dan niet meer relevant.

Het wil dus niet zeggen dat wanneer je autorisatie tot X hebt, dat dan ieder gebruik dat de letter van X te buiten gaat, automatisch computervredebreuk is. Had de man het wifi-wachtwoord gebruikt om ook te kunnen internetten (even Buienradar bekijken of googelen hoe je balpen van een houten tafel krijgt) dan zou ik er zeer veel moeite mee hebben gehad als dat computervredebreuk zou opleveren.

Hier zou ik het ook zeker wel "vér te buiten" vinden gaan, de sprong van "mag ik muziek luisteren via je netwerk" naar stiekem een ip-camera via dat netwerk laten werken die met een bewegingssensor geactiveerd wordt is hoe dan ook te groot.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (17)
08-09-2021, 12:36 door Anoniem
De meeste devices die ik ken slaan het wachtwoord op en connecten daarna automatisch. Zijn er meerdere wifi netwerken, dan pakt het device doorgaans die met het beste signaal en verbindt automatisch.

Het enige wat de gebruiker weet is dat er connectivity is. Heeft een device, zoals een mobiel, ook nog 3-4-5G toegang, dan is er bijna altijd connectivity. Van de gebruiker uit gezien: Hij doet het gewoon.

Er bevinden zich wachtwoorden die soms al jaren gelden gegeven zijn. Een device vraagt doorgaans eenmalig een wachtwoord, maar opslaan met welk doel deze wifi gebruikt kan worden zit nooit in de user interface. Een wachtwoord vervalt daarnaast niet als de verbinding verbreekt. De device bewaart hem gewoon en gebruikt hem ongevraagd wanneer het device dat beslist. Niet de gebruiker.

Je moet dus maar zien te onthouden waarvoor je 2 jaar geleden een wifi wachtwoord kreeg. Van een immer groeiende lijst. En daarnaast vaardig zijn om dynamisch te kunnen monitoren waar je nu weer verbonden bent met internet.

Tot zover de mij bekende feiten. Mijn mening: Je kunt van de gebruiker niet verwachten alle toestemmingen uit zijn hoofd te kennen, en ook niet eisen dat de gebruiker over systeembeheerderskwaliteiten beschikt. Je kunt van de gebruiker niet verwachten dat wifigebruiksvoorwaarden worden opgevolgd. Een wifi aanbieder mag daarom zijn wachtwoord niet geven onder condities, of moet anders maar erbij blijven en erop toezien dat na gebruik (bijvoorbeeld het muziek luisteren) het wachtwoord weer wordt gewist. Over het vonnis boven geen idee, want ik ken de details niet. De precedentwerking voor de jurisprudentie is echter zorgelijk te noemen en is het gevolg van een onzorgvuldige rechter die onvoldoende heeft doorgevraagd.
08-09-2021, 13:41 door Anoniem
Door Anoniem: De meeste devices die ik ken slaan het wachtwoord op en connecten daarna automatisch. Zijn er meerdere wifi netwerken, dan pakt het device doorgaans die met het beste signaal en verbindt automatisch.

Het enige wat de gebruiker weet is dat er connectivity is. Heeft een device, zoals een mobiel, ook nog 3-4-5G toegang, dan is er bijna altijd connectivity. Van de gebruiker uit gezien: Hij doet het gewoon.

Er bevinden zich wachtwoorden die soms al jaren gelden gegeven zijn. Een device vraagt doorgaans eenmalig een wachtwoord, maar opslaan met welk doel deze wifi gebruikt kan worden zit nooit in de user interface. Een wachtwoord vervalt daarnaast niet als de verbinding verbreekt. De device bewaart hem gewoon en gebruikt hem ongevraagd wanneer het device dat beslist. Niet de gebruiker.

Je moet dus maar zien te onthouden waarvoor je 2 jaar geleden een wifi wachtwoord kreeg. Van een immer groeiende lijst. En daarnaast vaardig zijn om dynamisch te kunnen monitoren waar je nu weer verbonden bent met internet.

Tot zover de mij bekende feiten. Mijn mening: Je kunt van de gebruiker niet verwachten alle toestemmingen uit zijn hoofd te kennen, en ook niet eisen dat de gebruiker over systeembeheerderskwaliteiten beschikt. Je kunt van de gebruiker niet verwachten dat wifigebruiksvoorwaarden worden opgevolgd. Een wifi aanbieder mag daarom zijn wachtwoord niet geven onder condities, of moet anders maar erbij blijven en erop toezien dat na gebruik (bijvoorbeeld het muziek luisteren) het wachtwoord weer wordt gewist. Over het vonnis boven geen idee, want ik ken de details niet. De precedentwerking voor de jurisprudentie is echter zorgelijk te noemen en is het gevolg van een onzorgvuldige rechter die onvoldoende heeft doorgevraagd.
Dit verhaal klopt in de basis. Maar je krijgt dan het WiFi wachtwoord voor het gebruik van dat device. In deze casus is de wachtwoord gebruikt om een ander device aan te sluiten, dat in zijn functie ook nog eens afwijkt. Het lijkt me duidelijk, dat je weet, dat iemand niet standaard toestemming geeft om spionerende apparaten aan WiFi te koppelen. Voor de mensen op deze site zal het ook nog eens logisch zijn, om regelmatig te kijken, welke devices binnen WiFi bekend zijn en daar de permissies eventueel van aan te passen. Wanneer dat hier ook gebeurd zou zijn, was de camera eerder ontdekt en op had die simpele wijze onbruikbaar gemaakt kunnen worden.
08-09-2021, 14:44 door Anoniem
Door Anoniem:
Er bevinden zich wachtwoorden die soms al jaren gelden gegeven zijn. Een device vraagt doorgaans eenmalig een wachtwoord, maar opslaan met welk doel deze wifi gebruikt kan worden zit nooit in de user interface. Een wachtwoord vervalt daarnaast niet als de verbinding verbreekt. De device bewaart hem gewoon en gebruikt hem ongevraagd wanneer het device dat beslist. Niet de gebruiker.

Je moet dus maar zien te onthouden waarvoor je 2 jaar geleden een wifi wachtwoord kreeg. Van een immer groeiende lijst. En daarnaast vaardig zijn om dynamisch te kunnen monitoren waar je nu weer verbonden bent met internet.

Hierover wil ik twee dingen opmerken:
1. ja het zuigt inderdaad dat je in veel "beheer" omgevingen helemaal geen plek hebt om te noteren voor welk doel of met
welke achtergrond een item is toegevoegd. en een einddatum of geldigheidsduur, zodat je zaken automatisch kunt
laten verwijderen als ze niet meer relevant zijn. je voegt het wifi netwerk van de camping toe voor 2 weken en als je
weg bent verdwijnt dat gewoon weer. of je zet ergens op een bestand extra toegangsrechten voor iemand die er bij
moet kunnen tijdens vervanging wegens ziekte en je noteert daarbij die reden en een voorlopige einddatum. het zou in
deze tijd waarin niet meer ieder byte goud waard is tijd worden dat dit soort mogelijkheden altijd en overal worden
toegevoegd aan beheeromgevingen!

2. je moet niet alles direct als IT'er zien. stel jouw buren geven jou de sleutel van hun huis, zodat je de planten water
kunt geven terwijl ze op vakantie zijn. je mag de sleutel na de vakantie houden voor bijzondere situaties, bijvoorbeeld
ze hebben zichzelf buitengesloten of er is iets aan de hand terwijl ze niet thuis zijn waarvoor het handig is als er iemand
naar binnen kan. ga jij je nu na 2 jaar afvragen waarom je die sleutel eigenlijk hebt, en ga je als ze er een keer niet
zijn naar binnen om er iets te stelen of om een camera te monteren in hun slaapkamer? want je wist niet meer waarvoor
je die sleutel had dus misschien was het wel daarvoor?
nee, natuurlijk niet. je denkt na als een redelijk mens. je snapt waarvoor die sleutel is en dat ie daar niet voor is.
08-09-2021, 20:12 door Anoniem
Het hierboven genoemde voorbeeld van de "sleutel bij de buren" geldt ook als "valse sleutel" in het Nederlandse strafrecht. Je krijgt de huissleutel om e.g. de plantjes te verzorgen. Gebruik je de sleutel voor iets anders zoals het plegen van diefstal dan pleeg je "diefstal door middel van een valse sleutel".
08-09-2021, 22:13 door Anoniem
Door Anoniem: Over het vonnis boven geen idee, want ik ken de details niet.
Altijd fijn wanneer mensen bereid zijn toe te geven niet genoeg van een case af te weten om ergens een oordeel over te vellen, veel beter dan op basis van minimale informatie te speculeren.

Door Anoniem: De precedentwerking voor de jurisprudentie is echter zorgelijk te noemen en is het gevolg van een onzorgvuldige rechter die onvoldoende heeft doorgevraagd.
Oh... Laat maar...
09-09-2021, 10:48 door Anoniem
Door Anoniem:
Door Anoniem: Over het vonnis boven geen idee, want ik ken de details niet.
Altijd fijn wanneer mensen bereid zijn toe te geven niet genoeg van een case af te weten om ergens een oordeel over te vellen, veel beter dan op basis van minimale informatie te speculeren.


Inderaad.

Hoezo wifi nodig voor muziek? Zet je de flac bestanden maar op je telefoon zou ik zeggen. Hebben we het over het milieu, blijven we bezig onnodig energie te verspillen door continu te gaan streamen wanneer het niet eens noodzakelijk is.
Ook gaar als je al niet eens je schoonmaker kunt vertrouwen tegenwoordig.
09-09-2021, 16:16 door Anoniem
De kleine man kan 10 maanden bak krijgen voor een rotgeintje met de wifi. De "grote jongens" op het web plegen al vele jaren 24 uur per dag computervredebreuk. Grootschalig en bij miljarden mensen tegelijk. Maar krijgen nooit met strafrecht te maken. Waarom? Diplomatiek onschendbaar?
09-09-2021, 17:37 door Anoniem
Door Anoniem: De kleine man kan 10 maanden bak krijgen voor een rotgeintje met de wifi.
Volgens mij gaat het hier niet zozeer om "een rotgeintje met de wifi" maar meer om "een verborgen camera plaatsen
in een slaapkamer" en is die wifi er alleen zijdelings bij betrokken. Als zijn camera via een 4G kaartje werkte dan was
het ook niet toelaatbaar geweest.
09-09-2021, 18:11 door Anoniem
Door Anoniem:
Door Anoniem: De kleine man kan 10 maanden bak krijgen voor een rotgeintje met de wifi.
Volgens mij gaat het hier niet zozeer om "een rotgeintje met de wifi" maar meer om "een verborgen camera plaatsen
in een slaapkamer" en is die wifi er alleen zijdelings bij betrokken. Als zijn camera via een 4G kaartje werkte dan was
het ook niet toelaatbaar geweest.

Dat kan impliceren dat de rechter er minder relevante zaken bij heeft verzwaard met het wegen voor vonnis en strafmaat. En dat is onzorgvuldig omdat het doorwerkt in het recht. Want nu kan jan en alleman veroordeeld worden wegens computervredebreuk wegen niet voldoen aan wifi user conditions. Voor 10 maanden.
09-09-2021, 19:56 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: De kleine man kan 10 maanden bak krijgen voor een rotgeintje met de wifi.
Volgens mij gaat het hier niet zozeer om "een rotgeintje met de wifi" maar meer om "een verborgen camera plaatsen
in een slaapkamer" en is die wifi er alleen zijdelings bij betrokken. Als zijn camera via een 4G kaartje werkte dan was
het ook niet toelaatbaar geweest.

Dat kan impliceren dat de rechter er minder relevante zaken bij heeft verzwaard met het wegen voor vonnis en strafmaat. En dat is onzorgvuldig omdat het doorwerkt in het recht. Want nu kan jan en alleman veroordeeld worden wegens computervredebreuk wegen niet voldoen aan wifi user conditions. Voor 10 maanden.

Welnee, een rechter is geen IT nerd die wat google'd en zonder naar de context te kijken meteen het antwoord weet!
10-09-2021, 09:24 door Anoniem
Ik vindt het een beetje verontrustend dat een aantal mensen hier de wifi overtreding belangrijker vinden, dan het gebruik van een beweging gestuurde ip camera......
10-09-2021, 15:27 door Anoniem
Door Anoniem: Het hierboven genoemde voorbeeld van de "sleutel bij de buren" geldt ook als "valse sleutel" in het Nederlandse strafrecht. Je krijgt de huissleutel om e.g. de plantjes te verzorgen. Gebruik je de sleutel voor iets anders zoals het plegen van diefstal dan pleeg je "diefstal door middel van een valse sleutel".

Ik meen dat dit niet klopt. De sleutel is niet vals (verkregen). De crux zit hem hier in wederrechtelijk. De sleutel is in je beheer voor een bepaald afgesproken doel; wordt hiervan afgeweken dan is het gebruik ervan wederrechtelijk (niet vlgs de afspraken cq wet)
11-09-2021, 02:07 door Anoniem
Door Anoniem: Ik vindt het een beetje verontrustend dat een aantal mensen hier de wifi overtreding belangrijker vinden, dan het gebruik van een beweging gestuurde ip camera......

Kijk dan. Eén zo een vonnis is het burgert al in als "wifi overtreding".
11-09-2021, 10:09 door Anoniem
Door Anoniem:
Door Anoniem: Ik vindt het een beetje verontrustend dat een aantal mensen hier de wifi overtreding belangrijker vinden, dan het gebruik van een beweging gestuurde ip camera......

Kijk dan. Eén zo een vonnis is het burgert al in als "wifi overtreding".

Ik probeer je te begrijpen, naar snap niet wat er staat....
11-09-2021, 10:40 door Anoniem
Door Anoniem: Ik vindt het een beetje verontrustend dat een aantal mensen hier de wifi overtreding belangrijker vinden, dan het gebruik van een beweging gestuurde ip camera......
Misschien omdat dat de vraag was?? Vind je het verontrustend als mensen hier ingaan op de vraag in plaats van
het meteen veel breder te trekken en er andere dingen bij te halen?
13-09-2021, 08:56 door Arnoud Engelfriet
Ik meen dat dit niet klopt. De sleutel is niet vals (verkregen). De crux zit hem hier in wederrechtelijk. De sleutel is in je beheer voor een bepaald afgesproken doel; wordt hiervan afgeweken dan is het gebruik ervan wederrechtelijk (niet vlgs de afspraken cq wet)

Het wetboek van strafrecht definieert (art. 90) een valse sleutel als "een tot opening van een bepaald slot niet bestemd werktuig". Het gaat dus om bestemming, doel. Dus als je afwijkt van het afgesproken doel dan is de sleutel in het juridisch jargon "vals". Negeer dus de Van Dale betekenis of het jargon onder sleutelmakers. Een sleutel die je voor een niet bedoeld gebruik inzet, noemen we bij de rechter een valse sleutel. Ook al is ie echt, ook al mocht je hem voor andere doelen wel inzetten en ook al is het slechts een ijzerdraadje of een lockpickset.

Dat staat los van de vraag of je wederrechtelijk naar binnen gaat. Als ik jouw voordeursleutel heb om de plantjes water te geven, en ik ga naar binnen om een brand te blussen, dan gebruik ik een valse sleutel maar ben ik er niet wederrechtelijk.
14-09-2021, 14:48 door mrunix
Door Anoniem:
Door Anoniem: De meeste devices die ik ken slaan het wachtwoord op en connecten daarna automatisch. Zijn er meerdere wifi netwerken, dan pakt het device doorgaans die met het beste signaal en verbindt automatisch.

Het enige wat de gebruiker weet is dat er connectivity is. Heeft een device, zoals een mobiel, ook nog 3-4-5G toegang, dan is er bijna altijd connectivity. Van de gebruiker uit gezien: Hij doet het gewoon.

Er bevinden zich wachtwoorden die soms al jaren gelden gegeven zijn. Een device vraagt doorgaans eenmalig een wachtwoord, maar opslaan met welk doel deze wifi gebruikt kan worden zit nooit in de user interface. Een wachtwoord vervalt daarnaast niet als de verbinding verbreekt. De device bewaart hem gewoon en gebruikt hem ongevraagd wanneer het device dat beslist. Niet de gebruiker.

Je moet dus maar zien te onthouden waarvoor je 2 jaar geleden een wifi wachtwoord kreeg. Van een immer groeiende lijst. En daarnaast vaardig zijn om dynamisch te kunnen monitoren waar je nu weer verbonden bent met internet.

Tot zover de mij bekende feiten. Mijn mening: Je kunt van de gebruiker niet verwachten alle toestemmingen uit zijn hoofd te kennen, en ook niet eisen dat de gebruiker over systeembeheerderskwaliteiten beschikt. Je kunt van de gebruiker niet verwachten dat wifigebruiksvoorwaarden worden opgevolgd. Een wifi aanbieder mag daarom zijn wachtwoord niet geven onder condities, of moet anders maar erbij blijven en erop toezien dat na gebruik (bijvoorbeeld het muziek luisteren) het wachtwoord weer wordt gewist. Over het vonnis boven geen idee, want ik ken de details niet. De precedentwerking voor de jurisprudentie is echter zorgelijk te noemen en is het gevolg van een onzorgvuldige rechter die onvoldoende heeft doorgevraagd.
Dit verhaal klopt in de basis. Maar je krijgt dan het WiFi wachtwoord voor het gebruik van dat device. In deze casus is de wachtwoord gebruikt om een ander device aan te sluiten, dat in zijn functie ook nog eens afwijkt. Het lijkt me duidelijk, dat je weet, dat iemand niet standaard toestemming geeft om spionerende apparaten aan WiFi te koppelen. Voor de mensen op deze site zal het ook nog eens logisch zijn, om regelmatig te kijken, welke devices binnen WiFi bekend zijn en daar de permissies eventueel van aan te passen. Wanneer dat hier ook gebeurd zou zijn, was de camera eerder ontdekt en op had die simpele wijze onbruikbaar gemaakt kunnen worden.

Hallo. even bij de les blijven aub.....
die IP camera heeft niets te maken met muziek luisteren. Wel met proberen video te zien/ op te nemen van iemand in zijn/haar slaapkamer, waar natuurlijk geen toestemming voor is gegeven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.