Onlangs las ik op Slashdot dat de district rechter van Illinois heeft beslist dat met behulp van sniffer software (packet sniffer/packet analyser) het verkeer van onbeveiligde Wi-Fi netwerken onderscheppen niet onder tappen valt. Dit is in de VS dus legaal.
De reden voor deze beslissing is dat de Wiretap Act mensen toestaat om ‘zich toegang te verschaffen tot elektronische communicatie die via een netwerk verloopt dat zo is geconfigureerd dat het gemakkelijk toegankelijk is voor het publiek.’ De rechter gaat er daarbij vanuit dat communicatie die verloopt via onbeveiligde Wi-Fi verbindingen vrijelijk ter beschikking staat aan het publiek.
Ik vroeg me af hoe dit in Nederland is geregeld. Is het toegestaan om met behulp van sniffer software het dataverkeer van een open Wi-Fi netwerk te onderscheppen en te analyseren? Of is er dan sprake van illegaal tappen?
Artikel 139c lid 1 WvSr stelt hem strafbaar die ‘[…] opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.’ Het is op basis van dit artikel strafbaar om dataverkeer te sniffen tenzij je de afzender of ontvanger van deze data bent (of misschien de netwerkbeheerder).
Er staat in lid 2 van dit artikel echter een uitzondering op de regel: aftappen en opnemen van ‘door middel van een radio-ontvangapparaat ontvangen gegevens’ is niet verboden. Deze uitzondering is opgenomen met het oog op de vrijheid van meningsuiting. Dit recht omvat immers niet alleen het recht om informatie te verstrekken, maar ook het recht om informatie te ontvangen. Het is te verdedigen om een Wi-Fi sniffer een radio-ontvangapparaat te noemen. Het is immers niet veel meer dan een ontvanger die zo is ontworpen dat Wi-Fi signalen uit de lucht kunnen worden gehaald. Op basis van deze uitzondering is het onderscheppen van dataverkeer middels sniffer software dus toegestaan.
In lid 2 is na deze uitzondering echter weer een uitzondering op de uitzondering toegevoegd (soms heb ik het paranoïde gevoel dat dit soort kronkels in de wet zitten om te voorkomen dat leken de wet zouden kunnen lezen en 90% van de juristen overbodig wordt). De uitzondering van lid 2 geldt niet indien: ‘om de ontvangst mogelijk te maken een bijzondere inspanning is geleverd of een niet toegestane ontvanginrichting is gebruikt.’ Ik heb nergens kunnen ontdekken dat sniffers een niet toegestane ontvanginrichting zouden zijn, of dat het gebruik ervan een bijzondere inspanning met zich meebrengt.
Echter, op het moment dat handmatig encryptie moet worden gekraakt voor de data leesbaar is, dan is het een ander verhaal. In dat geval is er wel sprake van een bijzondere inspanning en dan valt het sniffen niet meer onder de uitzondering van lid 2. Deze bijzondere inspanning zou echter ontbreken indien de sniffer software automatisch de encryptie breekt. Bepaalde sniffer software, zoals Ettercap en Burp Suite, is hiertoe in staat.
Naar Nederlands recht is het in de meeste gevallen gewoon toegestaan om het verkeer van open Wi-Fi netwerken te sniffen. Wanneer encryptie moet worden doorbroken om de data te lezen, dan is de strafbaarheid van het sniffen afhankelijk van de methode van het doorbreken van de encryptie. In het geval dat de encryptie middels een geautomatiseerde tool wordt doorbroken, dan is het sniffen wel toegestaan. Moet men echter de encryptie handmatig doorbreken, dan is het sniffen niet toegestaan
Joeri
De Digitale Samenleving 
Maakt veel duidelijk!