Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 107, views: 28.080 •

Het inbreken op iemands router is wel degelijk strafbaar, zo heeft de Hoge Raad geoordeeld. Een lagere rechter oordeelde eerder dat een router geen 'geautomatiseerd werk' is en dat het kraken van een router daarom onwenselijk, maar niet strafbaar is.

De Hoge Raad, de hoogste rechterlijke macht in Nederland, oordeelt dat een router wél een geautomatiseerd werk is, en dat inbreken daarom wel onder de wet computervredebreuk valt. De Raad oordeelde in een zaak waarbij een jongen had ingebroken op de wifi-router van zijn buurvrouw. De router was beveiligd met een wachtwoord. Via het netwerk van zijn buurvrouw plaatste hij vervolgens een doodsbedreiging op 4chan: hij zei op zijn oude school, het Maerlant College in Den Haag, 'een aantal mensen' te zullen vermoorden.

De jongen kreeg weliswaar een taakstraf van 120 uur voor de bedreiging, maar werd in hoger beroep vrijgesproken van de inbraak op de router. Volgens de beroepsrechters was een router volgens de letter van de wet 'geen geautomatiseerd werk', omdat een dergelijk systeem aan een aantal voorwaarden moet voldoen: het moet gegevens verwerken, opslaan en overdragen. De rechtbank oordeelde destijds dat een router niet aan die omschrijving voldoet en dat het hacken van een router dus niet was aan te merken als computervredebreuk. Omdat de jongen enkel op de router had ingebroken en niet op de computer van zijn buurvrouw, trof hem juridisch gezien geen blaam.

De Hoge Raad is het daar niet mee eens; volgens de Raad is een router wel degelijk aan te merken als een geautomatiseerd werk. Volgens de Raad hoeft een specifiek deel van een netwerk namelijk niet aan definitie van een 'geautomatiseerd werk' te voldoen, als het netwerk waar het deel van uitmaakt dat wél doet. Daarom moet het hoger beroep in deze zaak op dit punt over, oordeelt de Hoge Raad. Wanneer het nieuwe hoger beroep dient, is nog niet bekend.

Reacties (107)

Reactiefilter:-11070102+164+212+30
Die jongen hoort inderdaad gewoon veroordeeld te worden, hoewel hij het op 4Chan plaatste, komt daar ooit iets serieus op terecht?
jij komt er zeker niet erg vaak (wat niet erg is) ja. Soms best serieuze dingen.
Niet bepaald... Daar komt al jaren niks 'serieus' meer op. Of neem je dat bericht over de Navy Seal na twee jaar nog steeds serieus? Ik neem dat net zo serieus als de 'hack' van het 15 jarig jochie uit het nieuwsbericht.
In het vonnis staat een geboortejaar van 1985 dan zou deze 'jongen' 23-24 jaar geweest zijn.
My mistake, ik miste het woordje 'oude' in 'zijn oude school' :D
Ik kan me zo herinneren dat er een aantal grootschalige aanslagen op onder andere scholen in de Verenigde Staten aangekondigd zijn op 4chan.

Offtopic: Newfag.
Ik zou toch graag eens iemand die "geautomatiseerd werk" kan uitleggen. Een computer doet namleijk in mijn ogen geen geautomatiseerd werk waar een router dat wel doen.

Ik zou het ook niet zo snel zien als computervredebreuk, maar meer als identiteitsfraude/diefstal. Immers probeer je je voor te doen als je buurvrouw.
Een computer doet alleen maar geautomatiseerd werk, daar is het een computer voor.
Niet als ik hem niet vertel wat hij moet doen. Een computer doet standaard namelijk NIKS. Een router heeft maar één ding als doel, en dat is automatisch het netwerk verkeer routeren.
En dat routeren is hem ook vantevoren verteld. Als je volhoudt dat een computer standaard niets doet (als hij uitstaat, zodra je hem aanzet draait hij zijn OS dat jou in staat stelt om de computer ueberhaupt iets op te (doen) dragen), dan doet een router standaard ook niets (als hij uitstaat, zodra je hem aanzet laadt hij programmatuur die hem in staat stelt te routeren). Volkomen vergelijkbaar dus. Een router bevat een turingcomplete computer die bovendien meer rekenkracht heeft dan de eerste PC (die volgens de definitie in elk geval wel een geautomatiseerd werk is).

Zullen we het er maar op houden dat het allebei "geautomatiseerde werken" zijn?

[Reactie gewijzigd door mae-t.net op 26 maart 2013 18:30]

Art. 80sexies Strafrecht definieert een 'geautomatiseerd werk' als een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen. Het Gerechtshof zei, "dat is een AND" en constateerde dat een consumentenrouter de data niet opslaat die hij routeert.

De HR zegt nu, ook netwerken kunnen onder de definitie vallen, en het is genoeg als het netwerk met alle aangesloten apparaten in staat is om op te slaan, te verwerken en over te dragen.

Het is handig als dit computervredebreuk is want dat is makkelijker te bewijzen en de straffen zijn hoger. Daarnaast is 'identiteitsfraude' oftewel je voordoen als een ander niet strafbaar, tenzij je er materieel voordeel mee wilt halen (oplichting). Iemand die hier gaat posten onder mijn naam is niet strafbaar.
Toch klopt er nog iets niet, want de router kan m.i. wel degelijk te routeren data opslaan, al is het maar vluchtig in een buffergeheugen. De HR heeft dus gelijk, maar dat is per ongeluk.
Het is de vraag of met "opslaan" ook het 2ms bufferen van data wordt bedoeld. Zoals ik het lees, doelen ze meer op harde schijven met permanente opslag. Dus dan zou je uitkomen bij routers met uitgebreide caching proxies en zo, en dan is een simpel consumentenroutertje geen geautomatiseerd werk.
De meeste consumentenrouters hebben toch ook een routingtable? dat is toch ook opgeslagen data?
Als je de tekst goed leest, dan lees je "bestemd is om". Een router is niet bestemd om gegevens op te slaan. De routingtable is nodig voor de configuratie, het is geen doel op zich.

Dat ik mijn handen kan warmen aan de buitenspiegels van een auto, maakt een auto nog geen kachel.
De meeste moderne routers kun je ook een harde schijf aanhangen zodat hij ook gaat functioneren als een NAS.
Nou weet ik niet wat voor router het was en of er een hd aanwezig was, maar de stelling dat routers geen data kunnen opslaan is niet altijd juist.
Volgens de Raad hoeft een specifiek deel van een netwerk namelijk niet aan definitie van een 'geautomatiseerd werk' te voldoen, als het netwerk waar het deel van uitmaakt dat wél doet
Oftewel 1 pc aan de router is genoeg om aangemerkt te worden als geautomatiseerd werk. Eindelijk eens een rechter die wel snapt dat wetgeving af en toe zwaar achter loopt op technische ontwikkelingen.
Een router is specifiek bestemd voor het opslaan van routingtables (langer dan 2mS!) en het bufferen van pakketjes. Ik zou toch zeggen dat dat onder opslaan valt. Zoniet het een dan toch het ander. Verder zit er natuurlijk flashgeheugen in om de configuratie op te slaan.

[Reactie gewijzigd door mae-t.net op 26 maart 2013 18:34]

en moet het paswoord, sorry de paswoorden langdurig opslaan.
verder zoals gezegd routing table en DHCP-reservaties.
Wel degelijk genoeg dingen om op te slaan dus.

Zelfs mijn eerste (consumenten) router van 20 jaar geleden kon dit al.
Nou ja, mijn router die ik kreeg van mijn provider heeft ook standaard usb-poorten aan boord met de mogelijkheid voor opslag.
Dat zal straks steeds vaker voorkomen en gebruikt worden waardoor een router wel degelijk een volwaardige server is geworden.
Dus deze uitspraak is in die zin wel toekomst-proof.
2 ms bufferen, dan valt álles onder "opslaan" aangezien overbrengen zonder (korte) buffer in feite onmogelijk is, dat slaat nergens op inderdaad. Ook vind ik dat een IP-adres gebruiken niet hetzelfde is als identiteitsfraude. Een IP-adres is geen persoonsgegeven als het niet gekoppeld is aan andere zaken (anders zou een webhoster regels van het CBP schenden door logbestanden van zijn webserver op te slaan).

Een router slaat overigens wel het wifi-wachtwoord e.d. op in flashgeheugen, dus geheugen heeft het wel. Ik denk echter niet dat dat is wat men bedoelt met opslaan in dat artikel in het WvS aangezien dat niet het doel van het apparaat is en het geheugen in dit geval geen rol speelt in het hele verhaal.

Maar wat ik eigenlijk belangrijker vind: was het een open AP, of is er (bijv. dmv sniffing/bruteforcing) gepoogd om toegang te krijgen tot het apparaat (in het geval van WEP/WPA)? Geen idee of de wet dit belangrijk vindt, maar bij een open AP is er geen geval van de "valse sleutel" waar de wet over spreekt, bij WEP/WPA wel.

-edit-
Ik zie dat er wel beveiliging gekraakt is. Dus wel valse sleutel. Tja...

[Reactie gewijzigd door Sorcerer8472 op 26 maart 2013 15:20]

Ook een router heeft voor een deel permanente opslag namelijk de configuratiedata en ja deze data komt uiteindelijk meestal ook gewoon van de gebruiker die dit invult. Denk aan SSID, paswoord etc. Dat is echt pure gebruikersdata en is geen algemene/openbare data. Persoonlijke data is persoonlijke data in mijn mening anders worden we wel heel kieskeurig.

[Reactie gewijzigd door Vastloper op 26 maart 2013 15:18]

Maar een router slaat ook dingen op die niet zuiver als buffer dienen. Denk aan de instellingen van de router, of bijvoorbeeld logbestanden. Daarnaast zie je tegenwoordig steeds vaker routers waar je gewoon een externe hardeschijf op aan kunt sluiten. Dan voldoet het zeker aan alle voorwaarden om een geautomatiseerd werk genoemd te mogen worden.

Goed, daar is in dit geval hoogstwaarschijnlijk geen sprake, maar dan nog telt in mijn ogen het opslaan van logbestanden en instellingen als het opslaan van gegevens. Sommige van die gegevens zijn verder in mijn ogen behoorlijk het beschermen waard, dus als de wet die niet beschermt dan lijkt me dat er opnieuw naar die wet gekeken moet worden.

EDIT:
Uit je originele post:
De HR zegt nu, ook netwerken kunnen onder de definitie vallen, en het is genoeg als het netwerk met alle aangesloten apparaten in staat is om op te slaan, te verwerken en over te dragen.
Dat is sowieso een interessante uitspraak dan. Ieder op het internet aangesloten apparaat maakt deel uit van een netwerk dat bedoelt is voor het opslaan, verwerken en overdragen van gegevens. Op die manier is bijvoorbeeld een IP-camera ook een geautomatiseerd werk.

[Reactie gewijzigd door Patriot op 26 maart 2013 15:24]

Op die manier zou ook m'n lampje (Hue) als geautomatiseerd werk gedefinieerd worden. Dat lijkt me nou net een brug te ver
Een router waar je een HD op kunt aansluiten is geen router meer, maar een appliance die toevallig een router aan boord heeft....
Je moet het heel anders zien. De wet is ooit bedacht voor het wifi tijdperk. Ze konden er toen geen rekening mee houden.

Het enige dat de hoge raad doet is vertellen hoe je in een bepaald geval een wet moet interpreteren. Dat hebben ze hier gewoon heel duidelijk gedaan.

Identiteitsdiefstal is het niet want je doet je niet voor als je buurman. als je de telefoon van je buurman aftapt en op zijn rekening gaat bellen steel je niet zijn identieit.
inderdaad, al hoewel de grens tussen de verschillende vormen van opslag klein is, heeft cache niet het doel om iets daad werkelijk op te slaan maar om data vast te houden tot de cpu tijd heeft deze te verwerken...

probleem in deze zaak is meer of het hier cumulatieve of alternatieve voorwaarden betreft. het gaat dus niet (direct) om de technische definitie, de rechter heeft alleen gesteld dat de het voldoet als 1 onderdeel van een netwerk niet aan alle eisen voldoet zolang het gehele netwerk wel aan alle cumulatieve eisen voldoet.

daarnaast zijn ze mijn inziens wel te weinig ingegaan op de vraag waar 'netwerk' ophoud en hoever 'opslag' strekt... want in deze context kan je een hub nog meerekenen als je daar een pakketje door heen stuurt...
Als je bufferen "opslaan" gaat noemen is de term "opslaan" werkelijk niets meer waard in computerjargon...
Misschien is het handiger om de engelse termen te gaan gebruiken. Persistent storage en die tegenovergestelde waarvan ik even niet op de naam kan komen.
Het is handig als dit computervredebreuk is want dat is makkelijker te bewijzen en de straffen zijn hoger.
Handig, maar ook terecht? In het arrest komt naar voren dat de wetgever middels art. 138a Sr (computervredebreuk) bescherming wil bieden voor degene: "die blijkens feitelijke beveiliging heeft duidelijk gemaakt dat hij zijn gegevens heeft willen afschermen tegen nieuwsgierige blikken"

Wanneer de verdachte vervolgens alleen de internetverbinding gebruikt, valt dat m.i. niet te verenigen met de bescherming tegen 'nieuwsgierige blikken'. Het internet is immers het publieke domein. In dat opzicht lijkt mij dit niet verenigbaar met het specialiteitsbeginsel.

Begrijp me niet verkeerd, wat deze jongen heeft gedaan is een kwalijke zaak. Maar het an sich gebruiken van een internetverbinding van een derde middels wederrechtelijke toegangsverschaffing is m.i. een economisch delict. Het misbruiken van deze verbinding, zoals deze jongen heeft gedaan, gaat nog een stap verder. Echter, hoewel de belangen van buurvrouw op deze wijze geschaad kunnen worden, kan het niet geschaard worden onder de noemer computervredebreuk.

Het is wellicht handig, maar ethisch niet correct.

edit: deze post is overigens niet zozeer als commentaar op je - inhoudelijk verder interessante - reactie.

[Reactie gewijzigd door -Tom op 26 maart 2013 15:06]

Klopt, dat is niet helemaal zuiver. Ik twijfel of dat citaat nog klopt, nu we in 2008 de eis van beveiliging hebben laten vallen. Dat kan niet samen met het idee dat je mensen wilt helpen die feitelijke beveiliging hebben toegepast.
Stel dat "identiteitsfraude" wel strafbaar zou zijn, ben je in overtreding op het moment dat je gebruik gaat maken van een proxy of tor exit node?
Maar die uitspraak is natuurlijk wel erg dubieus en klinkt alsof hij het verwrongen heeft tot wat hij graag wil

Wat ik namelijk lees:

Inbreken op router wanneer er computers aanhangen -> Computervredebreuk
Inbreken op router wanneer er geen computers aanhangen -> Geen computervredebreuk.

Erg vreemd lijkt me. Je bent NIET strafbaar als de eigenaarres op het werk zit met de laptop. Maar WEL zodra ze thuis komt?

In mijn ogen is de definitie wat vreemd. Maar zoals ik de tekst lees heeft de eerste rechter gelijk. (ongeacht of je het daar mee eens bent of niet).

Wat ik overigens nog veel triester vind, is dat er uberhaupt discussie kan ontstaan. Immers als twee daarvoor opgeleide mensen het niet met elkaar eens zijn, hoe moet ik me dan aan de wet houden. Immers KAN ik dus niet weten wat er precies bedoeld wordt. En alleen daarom al vind ik dat iemand niet strafbaar is voor zo'n feit.
Het artikel klopt niet helemaal. De Hoge Raad heeft slechts geoordeeld dat een router een geautomatiseerd werk is. Het inbreken in een geautomatiseerd werk is echter slechts een van de aspecten van computervredebreuk. Bij computervredebreukis is er dus altijd sprake van wederrechtelijke toegangsverschaffing op een geautomatiseerd werk. Maar inbreken in geautomatiseerd werk leidt niet per definitie tot computervredebreuk.

Het Gerechtshof zal nu gaan bepalen of er daadwerkelijk sprake is van computervredebreuk. Dat hebben ze al eerder gedaan, maar deze keer zullen ze moeten aannemen dat het inbreken op een router valt onder de noemer 'inbreken op een geautomatiseerd werk'
constateerde dat een consumentenrouter de data niet opslaat die hij routeert
Is het niet voldoende dat ie "iets" opslaat? Elke router zal namelijk zijn eigen firmware en een aantal settings op moeten slaan.

Ik vind de definitie sowieso raar, want als ik het letterlijk opvat dan zou ik wel in mogen breken op een computer die niet aan een netwerk hangt (want, die draagt geen gegevens over, althans, niet naar buiten het apparaat). Toegegeven, als iets niet aan een netwerk hangt is het nog even de vraag hoe je erbij kunt, maar ik neem aan dat je iemand die op een computer inbreekt ook echt voor computervredebreuk wilt vervolgen, niet "alleen maar" voor insluiping (of hoe dat juridisch precies heet).
Ik ben het volledig met het HR eens. Het definitie van een router is dat het netwerkverkeer regelt en niet dat het perse een apart kastje is dat via een netwerk kabel is aangesloten.

Het is immers een onderdeel van een object namelijk het netwerk inclusief de PC/servers of wat dan ook. Je kan namelijk makkelijk router software in je PC/server installeren en dat wordt het een fysiek onderdeel van een apparaat wat volledig voldoet aan de omschrijving
Als een dergelijk uitspraak toegestaan zou worden. Dan wordt je PC/server in dit geval gelijk open spel zolang de hacker alleen je router software aanvalt.
De vraag is of een elektronische verbinding intern met je PC/server anders is dan een meters lange netwerk kabel.
Is het verplaatsen/verlengen van functionaliteit grond om het apart te behandelen?
Art. 80sexies Strafrecht definieert een 'geautomatiseerd werk' als een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen. Het Gerechtshof zei, "dat is een AND" en constateerde dat een consumentenrouter de data niet opslaat die hij routeert.

De HR zegt nu, ook netwerken kunnen onder de definitie vallen, en het is genoeg als het netwerk met alle aangesloten apparaten in staat is om op te slaan, te verwerken en over te dragen.
Het is de vraag of met "opslaan" ook het 2ms bufferen van data wordt bedoeld. Zoals ik het lees, doelen ze meer op harde schijven met permanente opslag. Dus dan zou je uitkomen bij routers met uitgebreide caching proxies en zo, en dan is een simpel consumentenroutertje geen geautomatiseerd werk.
Er zijn wel genoeg consumentenrouters die loggen. (zat op een Netgear van 5 tientjes die ik jaren geleden had) Dan kan je zo terugzien welke websites er zijn bezocht. Die moeten er dus wel onder vallen?

Daarnaast hebben de meeste moderne routers een USB-poort waar je een USB-stick, harde schijf of printer op aan kan sluiten. Sticks en schijven kunnen data opslaan, printers met een beetje goede wil ook op papier. ;)

Ook firmware updates van een router zijn vaak mogelijk via internet, daarbij slaat de router de data die hij download dus ook op.

En dan heb je nog de UPC Horizon box. Televisie decoder/recorder met harde schijf, modem en router in één. Wat is dat dan? :P

[Reactie gewijzigd door W3ird_N3rd op 26 maart 2013 15:29]

Maar dan nog, alle radiopackets die jij uitzend als gebruiker -> daar ben jij verantwoordelijk voor, dus ook de security.

Gebruik jij een router met WPS, of je nu aanneemt dat het voldoende veilig is of niet, is nog steeds je eigen verantwoording.
Je kunt niet met een 27mc bakkie op zolder zitten, packet-modem eraan en naar je maatje 5KM verderop zenden en verwijten maken (of strafbaar stellen) dat een ander binnen de range dit signaal oppikt, vertaald/kraakt (voor de hobby) en meeluistert.
Voor Wifi geldt hetzelfde. Daarnaast biedt het PDB2K-protocol voldoende security, MITS je het correct toepast, 63bit randomized key bijv. op WPA2 (alone.)
Dan heb je gewoon niet de tijd om de PMK te achterhalen, kost je paar honderd tot duizend jaar...verantwoording ligt bij de gebruiker. Je kiest er zelf voor. Gemak in ruil voor privacy. Net als Google gebruiken, idem.

Dan moet je het simpelweg niet gebruiken, gewoon een Cat6 kabeltje trekken en een knap-plintje bij de DHZ kopen. :/
(En in de tuin gewoon een boek lezen ipv internetten :S)

Dus nee, ik vind dit oordeel ongepast en best dogmatisch, alsof je met ieder axioma een valide oordeel kunt scheppen, wat dan ook nog eens in de rechterlijke organisatie mag (en moet) worden toegepast?! Bijzonder.
Dus een koffiezetter is ook een geautomatiseerd systeem, er gaat iets in, houdt het even vast, er komt wat uit...blablabla :')

Ik moet denken aan leren sandalen, grijze, ongeschoren baarden, dikke brillen, leren aktetassen en dan een zwarte toga aan...stoffig!
Alles wat je uitzendt, wifi, 2mtr-band, 27mc MHz, je eigen piraat, Radio Hutsefluts, maakt niet uit- eigen pakkie an, eigen verantwoordelijkheid.

Ik vind dit absoluut geen computervredebreuk. Een computer kan wel fungeren als router, maar niet iedere router is automatisch een computer, sterker nog; je hebt een computer nodig om een router goed te configureren (en een gezond verstand.)

De enige benadeelde juridische partij in deze, is eigenlijk de provider.
De vrouw heeft niks te vrezen, maar de provider is economisch benadeeld.
Dus het voorval zou imo als onrechtmatige daad mogen worden aangemerkt met inherent een gepaste schadevergoeding en uiteraard vervolging voor het begane strafbare feit, maar verder ook niet. Onlogisch.
Art. 80sexies Strafrecht definieert een 'geautomatiseerd werk' als een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen. Het Gerechtshof zei, "dat is een AND" en constateerde dat een consumentenrouter de data niet opslaat die hij routeert.

De HR zegt nu, ook netwerken kunnen onder de definitie vallen, en het is genoeg als het netwerk met alle aangesloten apparaten in staat is om op te slaan, te verwerken en over te dragen.
Dat een heel netwerk als zodanig gezien kan worden, daar is geen speld tussen te krijgen. Want daar zit bijna gegarandeerd een server, client of andere PC in die daadwerkelijk alle drie de handelingen kan uitvoeren op data.

Alleen vraag ik me af hoe "gegevens op te slaan, te verwerken en over te dragen" geinterpreteerd moet worden.
Moet het perse alle 3 de handelingen op 1 gegeven zijn? Want in dat geval is er best een zaak te maken dat een gemiddelde consumenten router dat niet doet.

De enige data die echt wordt opgeslagen in NVRAM is de firmware en de configuratiebestanden van de firmware. De firmware kan je van stellen dat die alleen ontvangen is door de router en nooit overgedragen, als in doorgegeven aan een ander. De router heeft niet als doel het verspreiden van zijn firmware.
De configuratiebestanden zijn meer een procesgegeven, de router maakt ze aan op het moment dat ze nodig zijn, maar heeft opnieuw geen direct doel om die bestanden over te dragen. Het laten zien van de configuratie in een webinterface is eerder het verwerken van de gegevens dan het 1 op 1 digitaal overdragen van de gegevens.

Routing tabellen, logs, en dergelijken worden in de regel niet opgeslagen buiten VRAM, als dat VRAM niet constant wordt bijgehouden door het regelmatig te refreshen dan verdwijnen die gegevens vanzelf. De naam zegt het al, Volatile RAM, vluchtig geheugen, dat is gewoon geen opslag van gegevens.
Net zo goed als dat iets met een stok in het zand op het strand schrijven geen opslaan is. Je zal dat actief moeten bijhouden (refreshen), anders veegt elke golf die er overheen gaat de boel weg.

De gegevens die in een packet zitten dat wordt gerouteerd worden dan weer niet verwerkt, de router doet niets inhoudelijks met de gegevens, zelfs het domme opslaan wat een caching proxy doet is niet het verwerken van de inhoudelijke gegevens. Een caching proxy slaat alleen de data op van dat populaire katten filmpje op youtube, maar die laat het filmpje niet zien aan iemand.

Ik denk dat je behoorlijk je best moet doen om data te vinden die een gemiddelde router zowel verwerkt, als opslaat, en overdraagt. Dus niet gegeven A overdragen (de packet payload), metagegeven B verwerken (routing informatie) en procesgegeven C opslaan (log-entry); maar echt gegeven A overdragen, gegeven A verwerken en gegeven A opslaan.

Een router die Deep Packet Inspection doet en tevens een caching proxy is zou het in principe kunnen, maar dan praten we al niet meer over de gemiddelde consumenten router.
"Onder geautomatiseerd werk wordt verstaan een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen." - Wetboek van Strafrecht, artikel 80. Een ding dat gegevens opslaat, verwerkt en weer verder stuurt.
Daar vallen dus "gewone" computers onder, maar - volgens de Hoge Raad - dus ook embedded systemen zoals een router, de tv-ontvanger of de aansturing van een F-16.

[Reactie gewijzigd door dwilmer op 26 maart 2013 15:00]

Klopt. Je kunt zelfs computervredebreuk plegen op je OV-chipkaart.
In principe is er natuurlijk ook niet zoveel verschil tussen de verschillende apparaten tegenwoordig. De architectuur is min of meer hetzelfde en hoogstens geoptimaliseerd voor een specifieke taak.

Een router kan je ombouwen tot server (sterker nog: de meeste hebben een webserver aan boord), en van een PC kan je makkelijk een router maken.
Volgens de beroepsrechters was een router volgens de letter van de wet 'geen geautomatiseerd werk', omdat een dergelijk systeem aan een aantal voorwaarden moet voldoen: het moet gegevens verwerken, opslaan en overdragen.
Erhm, die rechter(s) hebben dus geen mensen met kennis van zaken geraadpleegt:

het moet gegeven verwerken: volgens mij is routeren ook gegevens verwerken
opslaan: store and forward anyone?
overdragen: store and forward anyone?

Een router voldoet dus precies aan deze omschrijving...
het moet gegevens verwerken, opslaan en overdragen

Een router voldoet daar volledig aan? Het verwerkt de gegevens (het adres waar het naar toe moet), slaat op (tabellen, wachtwoorden, etc, inclusief firmware) en overdragen is een hoofdfunctie.
Gek dat de rechter dat niet zo zag?
Precies, dit is dan ook een duidelijke tekortkoming van de rechterlijke macht. Ik heb de zaak inhoudelijke niet bekeken, maar het lijkt mij logisch dat hiervoor een specialist geraadpleegd wordt. Een router is zeker geen 'dom schakelkastje'. Naar mijn mening is het zelfs zo dat dit een van de zwakte plekken binnen een computernetwerk is. De routers draaien vaak een oudere linux versie, de firmware is vaak zwak op vele plekken (webserver, Upnp en ga zo maar door) en sites die geen SSL gebruiken zijn op deze manier heel vatbaar voor Man in the Middle attacks. Inclusief de downloads die daardoor te voorzien zijn van virussen of de connectie die heel gevoelig is voor Buffer Overflows omdat deze vector vaak over het hoofd gezien wordt.
Er is pas sprake van geautomatiseerd werk wanneer een inrichting bestemd is voor cumulatieve functies als opslag, verwerking en overdracht van gegevens, aldus de rechtbank. Een inrichting die enkel bestemd is om gegevens over te dragen en/of op te slaan valt dus buiten de wettelijke begripsomschrijving.
Uitspraak is hier te lezen. Link

[Reactie gewijzigd door m0nkey op 26 maart 2013 14:30]

Dat ligt eraan hoe de partijen het gebracht hebben, ook dat speelt mee in de oordeelsvorming van een rechter. In het vonnis, onder 2.2.2, kan gelezen worden hoe de rechter in kwestie destijds geredeneerd heeft. Lezen vanaf hier;

(...) Daarbij heeft het hof mede acht geslagen op het volgende.
De wetgever heeft, zoals uit de wetsgeschiedenis blijkt, met artikel 138a, eerste lid, van het Wetboek van Strafrecht ('computervredebreuk') diegene willen beschermen "die blijkens feitelijke beveiliging heeft duidelijk gemaakt dat hij zijn gegevens heeft willen afschermen tegen nieuwsgierige blikken" (Kamerstukken II 1989/90, 21 551, nr. 3, p. 15). (...) *knip*


Even verder lezen en je komt er op uit dat het aspect 'verwerken, opslaan en overdragen' niet de doorslaggevende factor was in deze. Het proces heeft zich meer gefixeerd op het begrip computervredebreuk. De jongen heeft zich geen toegang verschaft tot de beveiligde gegevens op de computer van buurvrouw, en juist dit is hetgeen art. 138a Sr. probeert te bescermen.
De rechtbank heeft hierbij volgens mij de wet teleologisch toegepast, hij heeft hierbij gekeken naar wat de wetgever met de wet heeft bedoeld(dit blijkt dan uit Kamerstukken). De wetgever had het gebruik van routers nog niet voorzien, die waren er nog niet in 1990.

Precies deze casus heb ik ook gezien bij het vak computercriminaliteit van mijn opleiding, en bij de standaardantwoorden staat ook gewoon dat een router wel degelijk gezien kan worden als een 'geautomatiseerd werk', wat ook mijn eerste idee was.

De rechtbank heeft gedacht dat een router geen gegevens opslaat(wat vereist is voor het begrip 'geautomatiseerd werk'), terwijl in deze zaak in de router de mac-adressen zijn opgeslagen.

Onjuiste rechtsopvatting van de rechtbank, maar gelukkig kun je dan altijd nog in hoger beroep en tenslotte in cassatie bij de Hoge raad.
Hoe ingewikkeld maken ze het daar? Hij heeft bewust een beveiliging gekraakt en er misbruik van gemaakt. Dan hoeft niet rond de pot gedraaid te worden.
Het is op zich wel goed dat ze naar die details kijken. In het strafrecht ga je immers de cel in als je de wet overtreedt, en dan is het fijn dat ze even checken of aan de wet is voldaan voordat je achter het luikje gaat.

"Oh hij nam een balpen weg? Laten we dat 'computervredebreuk' noemen dan kunnen we 'm vier jaar opsluiten." Eh. Liever niet.
Als die pen op de laptop lag, wordt het natuurlijk een ander verhaal.
Vrij logisch in mijn ogen. Zit ook niet voor niets een wachtwoord op.

Het is in mijn ogen inbreken en gebruiken van andermans eigendom.
Terecht, los van de straf. Een router verwerkt wel degelijk gegevens (portforwarding bijvoorbeeld). Daarnaast worden gegevens opgeslagen (MAC adressen bijvoorbeeld) en uiteraard gegevens overgedragen.

Daarnaast, zoals de hoge raad ook oordeeld, is de router verbonden met personal computers, waar gegevens zijn opgeslagen. Daarnaast kan iemand, wanneer er toegang tot de router is, ook gegevens onderscheppen die door de gebruiker van een van de apparaten die via de router werken naar het internet worden verstuurd.
het moet gegevens verwerken, opslaan en overdragen
Het hangt er maar net vanaf welke instellingen je kiest voor doorvoer van data. Maar een router draagt je data over en slaat het vaak tijdelijk op en als je aan bepaalde eisen moet voldoen laat het data vallen of stuurt het ergens anders door ( verwerken).
De onderzoeksvraag van deze zaak maakt het al moeilijk genoeg. Er wordt nu door de rechter beoordeeld of een router geautomatiseerd werk is en of derhalve de wet voor computervredebreuk zou kunnen worden toegepast. Dit, terwijl eigenlijk de vraag zou moeten zijn of het kraken van systemen van anderen niet strafbaar is, ongeacht de definitie van de systemen.
Maar is dat niet de taak van de politici en niet van de rechters?
Deze moeten zich immers beperken tot wat de huidige wetten hen aan speelveld geven
Inderdaad, een rechter kan niet eigenhandig een nieuw misdrijf (kraken ongeacht de definitie) bedenken. Gelukkig maar.
Daarom worden ook kreten als "geautomatiseerd werk" gebruikt. Dat geeft de rechter vrijheden om de wet te interpreteren. Doe je dat niet dan ben je 24 uur per dag bezig om alle wetten te updaten. Zodra er dan een nieuw apparaat beschikbaar komt moet je de wet aanpassen. Dat gaat niet werken natuurlijk.
Dus als je verbinding maakt met een router ben je strafbaar?
Maar wat als je dan verbinding maakt met een access point? Dit is namelijk geen Router. :P
Als een rechter een access point ook als geautomatiseerd werk classificeert ben je ook strafbaar.
Dit, terwijl eigenlijk de vraag zou moeten zijn of het kraken van systemen van anderen niet strafbaar is, ongeacht de definitie van de systemen
Nee, de definitie moet juist goed zijn zodat de vraag goed beantwoord kan worden.

Wat de Hoge Raad terecht doet is de definitie uitleggen en op basis daarvan de lagere rechtbank bevelen om de zaak opnieuw te boordelen.
Hmmm, volgens mij is een router slechts een "mere conduit", en is er geen "valse sleutel" o.i.d nodig voor de data overdracht. Tevens is TCP/IP een handshake protocol, dus is er altijd sprake van "concent'.
Dus... Heeft dit dan direct ook gevolgen voor het in kaart brengen van de routers en bijbehorende informatie destijds door Google?

Die is nu dus OOK ineens direct strafrechtelijk te vervolgen in plaats van de discussie erover te voeren en enkel te zeggen: we doen aan opt-out.

Erin of erover, alles rondom de router zelf is ineens strafbaar als je geen eigenaar bent of toestemming hebt..
Privacy is iets anders dan strafrecht en hacken/doodsbedreigingen.
Wifi SSID en MAC zijn publieke informatie, als je dat niet wilt moet je WIFI uitzetten of zelf een draadloos protocol ontwerpen wat hier geen gebruik van maakt.
Als er wetgeving is over privacy van WIFI netwerken dan is Google strafbaar, maar ook iedereen die WIFI aanzet op zijn smartphone aangezien die automatisch naar open netwerken zoekt.
Verschil is dat Google ook inlogde, gebruik maakte en vervolgens alles opsloeg wat het tegenkwam. Iets wat je niet doet met een smartphone/mobiel apparaat...
Dat google inlogde heb ik nog nergens gelezen, het opslaan van gegevens die in de lucht rondzweven is volgens mij niet strafbaar, ik zie toch ook elk netwerk in mijn gebouw...
Nee, ze logde niet in (daarvoor zouden ze actief passwords moeten kraken). Wat er gebeurde is dat ze alleen op onversleutelde netwerken payload data opgevangen en opgeslagen hebben.
maakt de lucht waar de WiFi door heen gaat dan ook onderdeel uit van het netwerk? M.a.w. als jij met jouw WiFi in de lucht zit, dan zit je ook in het netwerk van een ander.... ben je altijd in overtreding... lekker...

Alternatief: Netwerk van de buurvrouw hangt via die router aan de rest van het internet. Zelfde redenatie, iedereen maakt al onderdeel uit van dat netwerk...

Serieus, waar licht de grens dan precies?

Lijkt me dat de definitie van een geautomatiseerd werk aangepast moet worden ipv op te rekken.
Contrast tussen een router die is aangesloten op internet op basis van een keuze wel iets anders is dan je buurjongen die je wireless sleutel kraakt/ergens gelezen heeft en zonder je toestemming strafbare feiten gaat plegen op internet via jou internetaansluiting waar je volgens mij nog altijd verantwoordelijk voor bent.
De definities van welk deel van x netwerk publiekelijk domein is en wanneer het gewoon privé is lijken me alles behalve lastige materie voor iedereen die een flauw benul heeft van de techniek er achter.

[Reactie gewijzigd door Alpha Bootis op 26 maart 2013 15:02]

maakt de lucht waar de WiFi door heen gaat dan ook onderdeel uit van het netwerk? M.a.w. als jij met jouw WiFi in de lucht zit, dan zit je ook in het netwerk van een ander.... ben je altijd in overtreding... lekker...
Je verwart netwerk met medium. Meerdere netwerken kunnen gescheiden van elkaar van hetzelfde medium gebruik maken.
Alternatief: Netwerk van de buurvrouw hangt via die router aan de rest van het internet. Zelfde redenatie, iedereen maakt al onderdeel uit van dat netwerk...
Nee. Het netwerk van de buurvrouw kan via een router een ander netwerk (het Internet) raadplegen.
Serieus, waar licht de grens dan precies?
De grens tussen? Al praten we over netwerken, dan is er altijd een abonnee overnamepunt. Dit kan beheerd worden door de ISP (modem+router van de ISP) of door de klant (eigen router verbonden aan modem).
Lijkt me dat de definitie van een geautomatiseerd werk aangepast moet worden ipv op te rekken.
Een goed punt. En inderdaad, toegang verschaffen tot een router door beveiligingen te doorbreken hoort ook onder computervredebreuk. Als je het wilt doortrekken in de huidige regelgeving: routers zijn ook computers en kunnen ook gevoelige informatie of aangeboden diensten (internetverbinding) bevatten. Veel routers zijn zelfs te gebruiken als NAS, waarbij ook nog eens intelligente acties gedaan kunnen worden op de bestanden. Waarom zou het oordeel dan zijn dat routers hacken geen computervredebreuk is?

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013