Ook op virussen en bots zit auteursrecht. Het is alleen wat lastig om je recht te halen als het werk ontworpen en gebruikt is voor illegale activiteiten zoals spammen en computervredebreuk. Een slimme Rus had daar wat op verzonnen: plak een EULA op je botsoftware met een leuke boeteclausule:

In cases of violations of the agreement and being detected, the client loses any technical support. Moreover, the binary code of your bot will be immediately sent to antivirus companies.

Een soort van arbitrageovereenkomst dus, maar dan anders.

Via Slashdot.

Arnoud

Een leuk idee van de security conferentie Infosecurity Europe: ga de straat op en vraag mensen of ze hun wachtwoord willen afgeven in het kader van een onderzoek, in ruil voor een reep chocola en de kans een reisje naar Parijs te winnen. Toch is de organisatie tevreden:

This year’s survey results were significantly better than previous years. In 2007 64% of people were prepared to give away their passwords for a chocolate bar, this year it had dropped to just 21% so at last the message is getting through to be more infosecurity savvy. The researchers also asked the office workers for their dates of birth to validate that they had carried out the survey here the workers were very naïve with 61% revealing their date of birth. Another slightly worrying fact discovered by researchers is that over half of people questioned use the same password for everything (e.g. work, banking, web, etc.)

Een klassiek voorbeeld van social engineering.

Waarmee krijg ik jullie zo gek je wachtwoord af te geven?

Via Schneier on Security.

Arnoud

Een lezer biecht op:

In een donker duister verleden heb ik mij de toegang verschaft tot een gedeelte van een forum dat met een wachtwoord was beveiligd. De makers hadden aangegeven dat er echt niks interessants stond. En alsof dit nog niet voldoende was om de nieuwsgierigheid bij mij op te wekken was het ook nog eens met een wachtwoord beveiligd. Ik heb daarop tervergeefs een aantal pogingen ondernomen om het wachtwoord te raden. Totdat ik op een gegeven moment bij mezelf dacht “Wat zou het wachtwoord toch zijn? Dat gaan ze natuurlijk niet aan mij vertellen, want dat is geheim”. Als gauw ondervond ik dat ik gelijk had: het wachtwoord was geheim, letterlijk wel te verstaan. Natuurlijk heb ik de beheerders direct op de hoogte gesteld, maar nu vraag ik me af: heb ik door mijn nieuwsgierigheid te bevredigen de wet overtreden?

Het achterhalen van een wachtwoord om daarmee binnen te dringen in een computersysteem dat niet van jou is, is een riskante onderneming. Opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk is strafbaar als computervredebreuk.

De vraag is hier wel of er ook echt binnengedrongen is. Alleen maar een gevonden sleutel in het slot omdraaien is nog geen inbreken, en alleen maar een wachtwoord intypen dat werkt, lijkt me ook nog geen computerinbraak. En onze mysterieuze lezer is uit eigen wil gestopt met de poging. Dat heet “vrijwillige terugtred” in het strafrecht. Een poging die je uit jezelf afbreekt, is niet strafbaar (art. 46db Strafrecht).

Aan de andere kant, zodra je het wachtwoord goed intypt, krijg je meteen ook een resultaat te zien. Je wordt ingelogd, je krijgt de beheerspagina voor je neus of wat er dan ook maar moet gebeuren bij de gebruiker wiens wachtwoord je achterhaald hebt. Dus je kunt betogen dat de inbraak voltooid was op het moment dat het wachtwoord geaccepteerd was en de “U bent ingelogd” pagina op het scherm kwam te staan.

Wat denken jullie? Moet dit kunnen zolang je maar niets doet als je het wachtwoord geraden hebt, of hoort deze meneer een SWAT-team door het raam te krijgen?

Arnoud

Veel bedrijven hebben de irritante gewoonte om je mails te sturen en onderaan te zetten dat je geen antwoord per mail mag sturen. Daarvoor moet je bellen of een vaag formulier op de site gebruiken. Om nu te voorkomen dat mensen toch gaan mailen, gebruikt men dan een ongeldig e-mailadres als afzender. Een populaire is het gebruik van “donotreply.com”. Ietwat pijnlijk alleen is dat dit domein al jaren gewoon bestaat, en dat de beheerder in zijn gebruiksvoorwaarden heeft staan dat hij alle ontvangen mails op zijn site publiceert.

De site ontvangt wekelijks miljoenen bounces en foutmeldingen, maar ook reacties van consumenten en zakelijke klanten op mails die met een donotreply.com-adres zijn verzonden. En die reacties variëren van scheldpartijen tot gedetailleerde financiële rapporten of lijsten met wachtwoorden of pincodes.

Security.NL vertelt:

Als [eigenaar Chet Faliszek] de bedrijven inlicht reageren die vaak vol verbazing en hij wordt regelmatig met rechtszaken bedreigd door bedrijven die niet snappen waarom hij de e-mail inclusief vertrouwelijke bijlagen ontvangt. “Mensen schreeuwen soms tegen me dat de e-mails privé zijn en ik ze niet moet lezen. Ze raken helemaal in paniek, met name als je met niet technische mensen binnen die bedrijven praat,” zo laat Faliszek weten, die zijn avonturen in dit blog bijhoudt.

Die rechtszaken zullen weinig kans maken. Als de afzender zelf zo slordig is met het invullen van het e-mailadres, dan aanvaardt hij de kans dat mensen toch gaan reageren. Je kunt dan moeilijk die ontvanger aanspreken voor de schade die je daardoor lijdt.

Faliszek is wel zo netjes om persoonsgegevens te anonimiseren voordat hij de mails publiceert.

Arnoud

Twee lezers hadden ruzie over de regels rond draadloos internetten:

Ik had altijd begrepen dat de insteek over draadloze netwerken is, “mag je alleen gebruiken als het open staat en de SSID duidelijk aangeeft dat je binnen mag”. Maar mijn discussiepartner zegt nu juist dat de regel is, “Als er geen ‘foei ten strengste verboden’ in de SSID staat dan mag het”. Wat is het nu?

Je gebruikt andermans netwerk illegaal als dat opzettelijk en wederrechtelijk gebeurt (art. 138a lid 1 Strafrecht). Ook als daarbij geen beveiliging wordt omzeild of misleid.

De nuance daarbij is dat je wel moet weten (of had moeten weten) dat je niet op dat netwerk mocht zijn. Bij een netwerk met “boe ga weg” als netwerknaam lijkt me dat vrij duidelijk. Een netwerk met “Open WIFI, kom binnen” mag je gewoon gebruiken. De vraag is dan wat je mag bij een netwerk met “linksys” of “default” als SSID. Kun je daar iets uit afleiden over het al of niet binnen mogen komen?

Een ander punt is dat ‘opzettelijk’. Hoe actief moet dat zijn? Veel laptops en PDA’s zijn ingesteld om zich automatisch op alle netwerken in de buurt aan te melden. Meld je je dan opzettelijk aan op zo’n netwerk? Ik zou denken van niet, maar een uitgemaakte zaak is het niet.

Dat maakt het heel lastig voor de politie om een zaak rond te krijgen. Zij moeten bewijzen dat jij had moeten weten dat je niet op dat netwerk had mogen zitten. En natuurlijk moeten ze eerst zien dat jij op andermans wifi zit. Dat zal niet meevallen. Er zijn een paar arrestaties geweest, maar die hebben nooit tot een veroordeling geleid.

Staat jullie netwerk open of dicht?

Arnoud

De beveiliging van Corsairs Padlock USB-stick blijkt op eenvoudige wijze te kraken: het solderen van een weerstand tegen een van de chips binnenin de stick blijkt genoeg om de pincodebeveiliging te omzeilen. Dat meldde -wie anders- Tweakers gisteren. Nu is dit soort hardware-hacken volstrekt legaal. Deze keer dan ook een iets andere vraag: als je als koper van zo’n stick bent afgegaan op de belofte van beveiliging, heb je dan nu een juridische claim richting de fabrikant?

Wie iets koopt, heeft zekere verwachtingen van het product. Daar moet het product dan ook aan voldoen (art. 7:17 BW). Een belangrijke vraag daarbij is wat voor mededelingen de verkoper heeft gedaan: je mag er als consument in principe vanuit gaan dat die kloppen en dat het product dus kan wat de verkoper belooft.

De Corsair Padlock wordt aangeprezen door de fabrikant als:

Flash Padlock is the best way to secure your data while on the go. This prevents any unauthorized access or “Brute Force” attack to the data on Flash Padlock. Users can program in a PIN, much like they do for an ATM machine, to lock/unlock their data.

Dat klinkt veelbelovend: het systeem biedt de beste manier om je data te beveiligen en voorkomt elke ongeautoriseerde toegang tot de data. Maar noch de whitepaper noch de app note gaan hier dieper op in. Veel onderzoek kan ik dus niet doen. Ik kan als koper dan ook weinig anders dan het bedrijf op haar blauwe ogen geloven dat dit wel de beste manier zal zijn.

Als het product vervolgens die belofte niet nakomt, dan schendt de verkoper de overeenkomst en op grond daarvan mag ik deze ontbinden zodat ik mijn geld terugkrijg. Normaal moet ik de verkoper eerst de kans geven het product te vervangen of te repareren, maar dat heeft hier weinig zin natuurlijk.

Daar staat tegenover dat deze stick slechts 15 euro kost. Hoeveel beveiliging mag je daarvoor verwachten? Bij een fietsslot van 15 euro moet ik ook niet gek staan kijken als mijn fiets op zeker moment toch weg is. Ik mag niet verwachten dat mijn fiets met zo’n fietsslot tegen elke fietsendief bestand is, ik moet weten dat dat soort lui met accu-aangedreven slijptollen rondloopt en daarmee alles openkrijgt.

Maar gaat dat verhaal voor pinbeveiligingen op USB-sticks ook op? Lastige vraag. Wat weet de gemiddelde koper van USB-sticks over de mogelijkheden en onmogelijkheden van beveiliging?

Wat vinden jullie? Behoor ik mijn geld terug te krijgen nu deze stick zo slecht beveiligd blijkt, of had ik moeten weten dat je voor 15 euro weinig veiligheid koopt?

Arnoud

Nederland behoort tot de vijf landen die de meeste illegale content via het internet verspreiden, meldt Security.NL. Dit blijkt uit een aanstaand rapport van X-Force. De term “illegale content” moet breed worden uitgelegd: hiermee bedoelt het rapport niet alleen aanbod van software, films of muziek dat inbreuk maakt op het auteursrecht, maar ook websites die worden gebruikt voor computercriminaliteit, illegale drugs, malware of die gewelddadig en extremistisch van aard zijn. Tsja. Om dat nou allemaal over één kam te scheren?

Ditzelfde definitieprobleem zie je wel vaker bij cybercrime: de kreet “misdrijven die met een computer gepleegd worden” is zo breed dat volgens sommige definities ook iemand de hersens inslaan met een laptop onder computercriminaliteit valt. Zijn sites van een coffeeshop sites die gebruikt worden voor illegale drugs?

Arnoud

Het internet gaat aan haar eigen succes ten onder. Hoewel er steeds meer kabels gelegd worden en steeds grotere datacentra, blijft het netwerk kwetsbaar. Dat komt door een fundamentele beperking in de opzet van internet: elk stukje informatie moet van één bron komen. En als die verstopt of onbereikbaar wordt, gaat het fout.

Caches en mirrors (of hulpnetwerken zoals Akamai) zijn een gedeeltelijke oplossing. Meer fundamenteel is een nieuwe opzet van het internet: zet de data centraal, niet de computers waar het vandaan komt. Iedereen doet mee aan de verspreiding, zodat er altijd genoeg bronnen zijn om de data te pakken te krijgen die je wilt. Technisch haalbaar, maar alle wetten over aansprakelijkheid, auteursrecht en aanverwante zaken kunnen het raam uit.

Het internet zou gebouwd zijn om gedurende een nucleaire oorlog te blijven werken. Dat is een mythe. Het internet is allerminst robuust. Deze kaart van de Guardian (via ZBDigitaal) laat zien hoe weinig verbindingen er eigenlijk zijn tussen de continenten:

En het gaat ook vaak genoeg mis. Eén kabelbreuk blijkt al genoeg om het halve Midden-Oosten zonder internet te laten zitten (complottheorieën te over trouwens). In december 2006 zorgde een zeebeving voor een grote internetstoring in Zuid-Oost Azië. Vietnam zat in juni 2007 zonder internet door diefstal van kilometers glasvezelkabel.

Raar eigenlijk, want op zich is er netwerkcapaciteit genoeg in die landen, en de meeste pagina’s, filmpjes en andere content die de mensen daar wilden zien was ook ongetwijfeld allang aanwezig op de harde schijven op de miljoenen computers aldaar. Maar toch moest iedereen per se naar de originele server om zijn eigen kopie van die pagina’s of filmpjes op te vragen. Onzin eigenlijk, maar ja, zo is internet nu eenmaal gebouwd.

Bittorrent is een voorbeeld van hoe het ook anders kan. Net als bij elk file sharing netwerk worden bestanden van computer naar computer verspreid. Het unieke aan Bittorrent is dat er niet één persoon is die het hele bestand verstuurt. Elk bestand wordt in delen opgehakt, en elk deel wordt afzonderlijk verstuurd. Zodra iemand een deel heeft, deelt hij dat deel ook weer met iedereen die op zoek is naar dat bestand.

Deze techniek is een eenvoudige versie van wat in de wetenschappelijke wereld bekend staat als content-centric networking, content disseminatie netwerken of swarming.

Deze video-uitleg van Van Jacobson legt heel duidelijk uit waar het over gaat. Iedere computer die een stukje data langs ziet komen, bewaart daar een kopietje van. Als deze vervolgens een verzoek langs ziet komen voor dat stukje data, stuurt hij zijn kopietje in plaats van het verzoek door te geven aan de mogelijk heel ver weg staande oorspronkelijke server.

Deze netwerktechnologie heeft vérstrekkende gevolgen, ook voor het internetrecht. Als er geen centrale bron meer is die de content “op internet zet”, wie moet je dan aanspreken als de publicatie onrechtmatig is? En zelfs als je de eerste plaatser van de content vindt, hoe kan deze dan de publicatie stopzetten? Ben ik aansprakelijk als mijn computer iets bewaart en doorgeeft dat in Koeweit illegaal is?

Of wat dacht je van de vraag hoe je een stuk content vindt? Als er geen “officiële” site meer is, en content overal vandaan kan komen, kan ik het verschil niet meer zien tussen een geautoriseerde en een ongeautoriseerde publicatie.

De oplossing zal op een of andere manier uitgebreid gebruik moeten maken van encryptie en digitale handtekeningen. Vervalsing van data is immers triviaal, als iedereen antwoord mag sturen op elk verzoek. Met een digitale handtekening kan de ontvanger dan nagaan of hij echt de voorpagina van NU.nl heeft gekregen of een neppagina. En voor veel data (zoals e-mail of chatgesprekken) is het niet de bedoeling dat iedereen meeleest, dus daar is encryptie cruciaal.

Via de digitale handtekening op content zou je dus de plaatser kunnen achterhalen. Maar dat is een lastige: hoe weet je welke digitale handtekening gezet is door welke persoon? Wie is de echte Disney?

En om dan de content te kunnen verwijderen, is nog heel wat meer nodig. Youtube heeft nu al problemen genoeg om een film weg te halen als ze daar een bevel toe krijgen.

Kortom, genoeg stof om over na te denken. Onlangs kocht ik het boek The Big Switch van Nicholas Carr, een aanrader over dit onderwerp!

Arnoud

Het persbureau Novum Nieuws is veroordeeld voor computervredebreuk. Novum, opgericht als concurrent voor ANP, bleek regelmatig ingebroken te hebben op de servers van het ANP om zo toegang tot ANP-nieuws te krijgen. Daarbij maakte het bedrijf gebruik van inlogcodes van McPro, RTV Utrecht en Sky Radio. Het gebruik van andermans inlogcode (gebruikersnaam en wachtwoord) is een vorm van computervredebreuk. Bij mijn weten is dit de eerste keer dat een rechtspersoon (bedrijf) veroordeeld wordt voor dit misdrijf.

Er was nog wat discussie over welke vorm van computervredebreuk het nu was, maar de rechtbank maakte daar korte metten mee. Het OM had ten laste gelegd dat een “technische ingreep” (een computerkraak of exploit) was gebruikt, maar het bedrijf verweerde zich door te zeggen dat men gewoon een bestaand wachtwoord had gebruikt. Dat vond de rechter juist, maar ook gebruik van andermans wachtwoord is een strafbaar feit. En terecht.

De rechtbank legde het bedrijf een geldboete op van € 4.000 (waarvan € 2.000 voorwaardelijk). Dit is lager dan de eis van 11.250 euro. Het OM had onvoldoende onderbouwd hoe zij tot haar eis kwam. Bovendien nam de rechtbank het ANP kwalijk dat zij kennelijk te weinig had gedaan om zich te beschermen tegen dit soort ongeautoriseerd gebruik door derden. Er zijn tenslotte genoeg eenvoudige technische maatregelen om dit te voorkomen, zoals het beperken van het aantal IP-adressen dat gebruik mag maken van de dienst.

In haar motivatie is de rechtbank hard:

Novum heeft zeer kwalijk gehandeld door zich ten behoeve van haar nieuwsgaring via aan derden verleende inlogcodes de toegang te verschaffen tot de Artos nieuwsserver van het ANP en daarvan ook veelvuldig gebruik te maken. Wetende dat aan haar als opkomend concurrent van het ANP geen toegang tot die server zou worden verleend, heeft Novum die toegang gezocht en gevonden via een bevriende relatie, de eigenaar/directeur van de zaak McPro. Na afloop van het contract tussen McPro en het ANP is Novum gebruik gaan maken van de inlogcodes die aan RTV Utrecht en Sky Radio waren verleend (periode [E]). Aldus van de informatie van het ANP profiterend heeft Novum haar eigen positie in haar concurrentie met het ANP willen versterken.

De oprichter/voormalig commercieel directeur en de voormalig hoofdredacteur werden veroordeeld tot een boete van € 2000, waarvan € 1000 voorwaardelijk met een proeftijd van 2 jaar. Ook deze eis is lager dan de geëiste voorwaardelijke taakstraf van 80 uur met een proeftijd van 2 jaar. Hoewel zij niet persoonlijk de ‘hack’ pleegden, gebeurde dit wel onder hun feitelijke leiding en daarom werden ook zij vervolgd.

Een eerder kort geding van ANP tegen Novum werd in juli 2005 door het Gerechtshof Amsterdam afgewezen omdat het bewijs niet duidelijk genoeg was. ANP moest, aldus het Hof, maar een bodemprocedure beginnen. ANP heeft er echter voor gekozen aangifte te doen van computervredebreuk.

Arnoud

Politieagenten in Nederland maken massaal gebruik (misbruik) van de politie informatiesystemen voor privédoeleinden, schrijft CorCom Security Analysing. Dit zou een “geaccepteerd verschijnsel” of zelfs een “beroepsvoordeel” zijn voor agenten:

Politieagenten zien het gebruik van de informatie als een beroepsvoordeeltje. Het mag eigenlijk niet, maar elke politieambtenaar doet het wel eens. Het is een grijs gebied. Het gebruik van de politiecomputer om kentekens na te trekken voor privé doeleinden is zelfs min of meer een vast praktijk bijvoorbeeld geworden bij het kopen van een tweedehands auto of om te checken of er criminelen in een bepaalde wijk wonen. Officieel mag dat niet, maar het wordt beschouwd als een onschuldig vergrijp zolang het voor eigen gebruik is. Er wordt immers niemand door benadeeld zegt men. Maar deze politie uitspraken kloppen niet. Regelmatig worden medewerkers van de politie met onmiddellijke ingang ontslagen, omdat deze zich schuldiggemaakt hebben aan contact met criminelen en het lekken van politie informatie. Dit geld zowel voor de recherche als de geuniformde dienst.

Lees verder in Agenten misbruiken massaal politie informatiesystemen voor privé doeleinden bij CorCom Security Analysing.

Arnoud