EU-dom kræver kodeord på alle åbne wifi-hotspots

EU-domstolen vil gøre op med anonymitet på usikrede wifi-hotspots.

Hvem har ansvaret for, hvad der foregår af lyssky aktivitet på et åbent wifi-netværk.

Det spørgsmål fik EU-Domstolen for nyligt stillet i en sag fra 2010, hvor en tysk butiksejer blev hevet i retten, fordi hans åbne netværk var blevet anvendt til at bryde copyright-lovgivningen.

Resultatet kan få konsekvenser for alle, der driver åbne og anonyme wifi-netværk, skriver The Register.

Læs også: Sikkerhedseksperten Bruce Wynn: Sådan opretter du 250 falske WiFi-netværk på sekunder

EU-domstolen startede ellers med at give den tyske Tobias McFadden medhold i, at han ikke var skyldig i piratkopiering, selvom andre havde anvendt han netværk til det formål.

Omvendt var EU-dommerne ikke klar til at slå fast, at wifi-ejere generelt ikke kan stå til ansvar for wifi-brugerens forbrydelser. Tværtimod:

‘Retten finder, at et påbud om, at internetforbindelsen skal sikres ved hjælp af en adgangskode, er i stand til at sikre en balance mellem på den ene side den intellektuelle ejendomsret for rettighedshaver og - på den anden side - friheden til at køre en forretning for wifi-udbyderen og frihed til information for netværk-brugerne,’ skriver EU-domstolen i sin afgørelse.

Læs også: 2.000 loggede på usikkert wifi i Barcelonas lufthavn i sikkerhedseksperiment

Heller ikke muligheden for at være anonym, er noget der huer de europæiske dommere:

‘[...] Med henblik på at sikre en forebyggende effekt, er det nødvendigt at kræve, at brugere afslører deres identitet, så de ikke kan agerer anonymt, før de får adgang til det nødvendige kodeord.’

Dommen kan altså betyde, at det fremover ikke bliver muligt at undsige sig ansvar, hvis brugere af et åbent wifi-netværk har hentet piratkopierede film, bemærker det britiske medie.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (31)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Gert G. Larsen

Hvad er det der findes af danske domme på dette område? Der er da nogle stykker, selv om de ligger nogle år tilbage, ikke? Én med to piger, der blev frikendt for pirateri, og en anden med en et-eller-andet-Højgaard, der blev anklaget for at hacke en masse, og blev frikendt, ligeledes med et åbent accesspoint? Flere??
Hvad siger Danmark til EU domstolens afgørelse?
FÅR det reelt betydning i dansk lovgivning, eller hvordan?
Mange spændende løse ender i et spændende emne :-)

Dennis Krøger

Lad være med at tage noget som helst fra Andrew Orlowski for gode varer. Han er fuldt ud villig til at bøje sandheden meget for at få sin agenda igennem. Bare læs igennem hans tidligere artikler om copyright, hans kommentarer til Oracle/Google dommen og artikler om miljøspørgsmål fra hans højre hånd, Lewis Page.

The Register er en af de mest underholdende tech sites jeg kender, men tag alt derfra med et gran salt, især hvis artiklen er skrevet af Orlowski selv, eller af Lewis Page.

Palle Simonsen

Hjemme har jeg, som mange andre, et gæstenet m. password, som børnenes venner bruger, når de er på besøg.

Af princip logger eller overvåger jeg ikke hvad der foregår på 'børnenes net', men der er da et password men i sagens natur har jeg ingen anelse om hvor udbredt det er, så i praksis er det vel et åbent netværk, selvom det måske opfylder bogstavet.

NB: Og nej man kan ikke uden videre komme fra gæstenet til de interne servere etc. :)

[edit] Så først Orlowski bemærkningen nu ...

Bjarne Nielsen

The Register er en af de mest underholdende tech sites jeg kender, men tag alt derfra med et gran salt, især hvis artiklen er skrevet af Orlowski selv, eller af Lewis Page

Sagen har (selvfølgelig) også vakt en del opsigt i tyske medier, f.eks. SPON: http://www.spiegel.de/netzwelt/netzpolitik/wlan-hotspots-in-deutschland-...

Der er nogle interessante aspekter i dommen (f.eks. sigter den kun mod "erhvervsmæssig" udbud af netadgang, uden at tage særskilt stilling til, hvor meget eller lidt der skal til for, at det er opfyldt). Og forholdet med, at man - hvis man kommer ind i det med password for adgang - skal sikre sig, at dem, som får passwordet har legitimeret sig, kolliderer sandsynligvis med flere EU-initiativer.

Det bliver spændende. Men godt er det, at det er slået fast, at der er grænser for, hvad man kan hæfte for.

Kasper Johansen

Jeg er umiddelbart enig i dommen, ift. man må bære en del ansvar for ens forbindelse, men jeg tror bare det fører til, at selv helt almindelige mennesker begynder at bruge VPN eller Tor, og så når vi nok ikke ret langt med den.

En billig VPN adgang kan købes for ca. 10 kr. om måneden, og de fleste udbydere har næsten fuldautomatiske opsætningsværktøjer, der gør at selv helt almindelige mennesker kan bruge dem.

Lasse Mølgaard

Om der er kodeord eller ej på WiFi - det gør vel ikke den store forskel for firmaer?

Jeg har oplevet hoteller hvor brugernavn + kodeord nærmest står på et skilt i receptionen og derefter er der fri adgang.

I busser, toge, færger, lufthavne og indkøbscentre, bliver man sendt til en "login" side, hvor man skal lige siges ok til en standard disclaimer og så har man ellers fri adgang.

Uanset hvad, så er det temmeligt svært for ejerne af de respektive identificere hvem det lige var, der var inde og lave noget ulovligt.

De eneste der sandsynligvis kan blive ramt er vel WiFi i private husstande - ganske enkelt fordi klientellet er mere begrænset?

Karsten Nyblad

Lad os nu tage et hotel med wifi. Skal de logge, hvilke kunder der laver hvad på nettet? Et af formålene med nettet er jo, at forretningsrejsende kan køre VPN til deres arbejdsplads, men kører folk VPN, har hotellet ikke nogen mulighed for at følge med i, hvad de laver. Derudover, så kan alle, der kender kodeordet, sætte sig i en bil uden for hotellet og surfe. Hotellet har heller ikke nogen mulighed for at følge med i, hvad der laves på sites, der kører HTTPS, og f.eks. Google vil have flere sites til at bruge HTTPS frem for HTTP.

Man skal også være opmærksom på, at kodeord til AES kan gættes, hvis de ikke er meget lange, og jeg tror, f.eks. hoteller vil betakke sig for at skulle lade kunderne indtaste 16 tegn, som ikke giver mening for mennesker.

Lad os sige, der er 200 gæster på et hotel. Forestiller domstolen sig, at der skal gives ransagningskendelse til alle de 200 gæsters computere, hvis der er en gæst, der har piratkopieret?

Lasse Lasse

I gamle dage, før teleselskaberne fik gratis dataroaming i mange lande, var jeg tit blevet reddet af at finde gratis WiFi i boligblokke når jeg var på ferier. Af den grund har jeg sat min router op til at have både et krypteret og et ukrypteret accesspoint. Det krypterede bruger jeg selv, og det ukrypterede bruger mine gæster og eventuelle turister, mv. i nød :)

Har i øvrigt engang udviklet outSSIDer (pt. kun på Android Play og til Windows) som er en scanner, der selv forsøger at forbinde til åbne accesspoints, som du kommer i nærheden af mens man går ned af gaden. Access pointet verificeres også (ved at forsøge at fetche google.com's ikon) og man dirigeres/alarmeres via vibratoren, så man ikke behøver at se på skærmen mens man er på WiFi jagt :)

Gert G. Larsen

Jeg har fiberinternet med meget høj båndbredde. Jeg får aldrig brugt min linje op selv.
Mine accesspoints er helt åbne, og jeg tror da nok at nogle af naboerne nogle gange låner noget båndbredde. Det er helt ligemeget for mig - Det er jo bare noget informationsmotorvej... De må også godt få et glas vand hos mig, hvis de mangler det selv. Eller en kop sukker.
Hvem i alverden skulle det være et problem for? Altså udover myndighederne.

Henrik Eriksen

Det må så være helt slut med gratis internet i togene, på hoteller og på McDonalds.

Med mindre jeg tolker denne dom forkert, så må meningen med et password være, at ejeren af WiFi-punktet kan dokumentere hvem der har downloadet hvad. Ved ganske enkelt kun at oplyse password mod at få oplyst 'credentials': Navn, Adresse, computernes MAC-adresse, etc.

Hvis jeg tager fejl, så der bogstaveligt menes at der bare skal være password på - og så ikke mere, dvs. man kan bare bruge '123' og skrive det på et stort skilt i foyeren - så kan jeg overhovedet ikke se meningen med denne lov...?

Allan Olesen

Jamen, så mener du at dem der udbyder hotspot er ansvarlige for hvad brugerne af deres hotspot foretager sig...


Er det da det, dommen siger?

Det er måske nok det, artiklen siger, men det ligner for mig en alvorlig fejltolkning af det citerede udsnit af dommen.

Jeg har ikke læst hele dommen, men hvis jeg forholder mig til det, jeg kan læse i artiklen, inkl. uddrag af dommen, må konklusionen være:

  1. Du kan ikke gøres ansvarlig for lovovertrædelser, som andre har begået via dit åbne netværk.

  2. Du kan gøres ansvarlig for, at du ikke har sikret dit netværk.

Det er altså virkelig vigtigt at skelne mellem de to. Straffen for ikke at have sikret sit netværk kan jo være en helt anden end straffen for den lovovertrædelse, som nogen har begået via netværket.

Henrik Eriksen

Du kan gøres ansvarlig for, at du ikke har sikret dit netværk

Så hvad er det at 'sikre sit netværk'?

Et eller andet password på 120 tilfældige tegn? Eller er 'hejmor123' godt nok?

Uanset password'ets længde, så er det jo ikke sikrere end opbevaringen af password'et er. Må det stå på hotellets/Togets/etc.'s hjemmeside? Eller skal det holdes hemmeligt indtil en gæst har fremlagt pas og PC så man kan checke hans identitet og computerens MAC-adresse? Skal man indtaste gæsternes MAC-adresser i et MAC-filter på det trådløse accesspunkt?

Jeg forstår overhovedet ikke hvordan man kan 'sikre' et netværk, som samtidig skal kunne tilgås af et større antal tilfældige personer som lige nu er kunder hos netværkets ejere...?

Lasse Mølgaard

Uanset password'ets længde, så er det jo ikke sikrere end opbevaringen af password'et er. Må det stå på hotellets/Togets/etc.'s hjemmeside? Eller skal det holdes hemmeligt indtil en gæst har fremlagt pas og PC så man kan checke hans identitet og computerens MAC-adresse?

Der er flere steder hvor jeg har oplevet at man skal enten:

  • Oplyse ens mobiltelefonummer, hvorefter man får tilsendt en adgangskode via sms (lufthavn).

  • Oplyse navn og værelsesnummer (hoteller), hvorefter der er adgang, så lang tid men er tjekket ind på hotellet.

  • Oplyse hvor mange enheder man har der skal på nettet, hvorefter man får udleveret en engangkode pr enhed (badeland/resort i Tyskland).

  • Oplyse kursus id nummer (Indien).

  • Koden står på ens kvittering (diverse fastfood resturanter).

Det må da være sikkert nok?! Ellers bliver det temmeligt svært at administrere netværket.

Det er svært nok med alle de tiltag nævnt ovenfor.

Søren Nielsen

Det dommen siger er :

1) Du kan ikke straffes for hvad andre bruger din forbindelse til (med mindre du vidste/burde vide at der foregik noget ulovligt)
2) Som erhvervsmæssig udbyder (dvs som led i din forretning/kaffebar osv.) bør du sikre adgangen på en ikke specificeret måde

Hvis man overtræder 2) betyder det - selvfølgeligt - ikke at 1) ikke længere gælder, men man kunne forestille sig en ny national lov der giver erhvervsdrivende en bøde for ikke at sikre deres åbne wifi til et nærmere niveau, men manglende sikring kan ikke medføre et strafansvar for andres lovbrud.

Knud Høgh Knudsen

Man skal være varsom med at tildele skyld.
Hvem er lovbryderen. Wifi ejeren eller brugeren.
Eller går vi samme vej som med hastighedsbøder, hvor man overlader skylden til ejeren af vognen frem for lovbryderen.
Lovjaskeriet går langsomt den vej at man anklager på et løst grundlag, og så skal anklagede påvise sin uskyld frem for at anklageren skal fremlægge beviserne.

Michael Cederberg

Umiddelbart har jeg ikke noget problem med at kræve at alle wifi netværk skal være lukkede eller at man i det mindste skal identificere sig for at få adgang. På samme måde kræver mydighederne også at biler har låse og at jeg låser min bil sådan at andre ikke kan bruge den. Jeg må heller ikke overlade bilen til andre, med mindre jeg har sikret mig de har ret til at føre den.

Så langt så godt. Men hvad så når jeg har sikret mit netværk. Hvis mit netværk benyttes til ulovligheder efter det er "sikret", er jeg så ansvarlig? Kan man kræve at almindelige mennesker forstår om de har sikret deres netværk godt nok? Og når vi nu ved at WPA-PSK kan brydes, kan man så lægge noget som helst ansvar på netværksejeren?

Jeg er tilhænger af at man ikke kan tilgå internettet anonymt. Det skal ikke være nemt og automatisk at finde ud af hvem der er hvem, men jeg kan godt se behovet for at identificere folk. Problemet er bare at brugen af mit netværk, min mobiltelefon eller min bil alene ikke skal være nok til at gøre mig ansvarlig for ulovligheder. Det kan være en lille del af et stort beviskompleks men kun en lille del.

Kjeld Flarup Christensen

‘Retten finder, at et påbud om, at internetforbindelsen skal sikres ved hjælp af en adgangskode, er i stand til at sikre en balance mellem på den ene side den intellektuelle ejendomsret for rettighedshaver og - på den anden side - friheden til at køre en forretning for wifi-udbyderen og frihed til information for netværk-brugerne,’ skriver EU-domstolen i sin afgørelse.

Som jeg læser den, så opfordrer domstolen politikerne til at lave et sådan påbud.
Det skal nok blive festligt, når man tager alle de mulige scenarier i kommentartråden her i betragtning.

Jens Jensen

Bare fordi der er kode på ens WIFI... eller selvom man slet ikke har WIFI... så kan virus/malware jo stadig misbruge ens forbindelse.

Så vi har jo atter en EU-afgørelse som slet ikke giver mening.

Det bliver nok svært at gøre folk ansvarlige for at der ikke må komme malware ind på deres maskiner.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize