Juridische vragen over beveiliging bij Security.nl

security-nl-logo-column.pngSinds kort schrijf ik bij Security.nl een wekelijkse serie waarin ik juridische vragen over beveiliging beantwoord. En om de creativiteit te stimuleren, had ik bedacht dat ik elk kwartaal de meest creatieve vraag ga uitkiezen. De inzender daarvan krijgt mijn boek De wet op internet.

De vragen tot nu toe:

Hebben jullie nog creatieve beveiligingsvragen?

Arnoud

27 reacties

  1. Ik weet wel een leuke, als ik een website/programma voor iemand ontwikkeld en deze heeft een security lek. Maar in de overeenkomst is opgenomen dat ik niet aansprakelijk kan worden gesteld voor de gevolgen welke uit de website voortvloeien.

    En de klant toont aan dat ik ernstig heb verzuimt op gebeid van veiligheid. Kan de klant mijn dan aansprakelijk stellen, ondanks dat de aansprakelijk wordt afgeworpen in de overeenkomst?

    En een andere, het CBP stelt dat het verplicht is om persoonsgegevens goed te beveiligen. Het klantpaneel is beveiligt met een SSL verbinding, maar deze verbinding is optioneel! Kan ik dan alsnog aansprakelijk worden gesteld als de klant geen beveiligde verbinding gebruikt, ondanks dat ik duidelijk de gevolgen hiervan kenbaar heb gemaakt?

  2. Een uitsluiting van aansprakelijkheid kun je opzij zetten als sprake is van opzet of grove schuld (nalatigheid) bij de aanbieder. Het kan niet zo zijn dat je met zo’n zin in je contract niets meer hoeft te doen om schade te voorkomen. De vraag is dus of jij het lek had moeten kennen en had moeten repareren. Als je software van anderen gebruikt, is dat lastig.

    Ik zou zeggen dat je de SSL verbinding niet zomaar optioneel kunt maken. Als je dat doet omdat gebruikers problemen hebben met die techniek, moet je er wel bij zetten dat gegevens afgetapt kunnen worden.

  3. Als iemand middels een bug in webmail software shell-access weet uit te voeren. Heeft het dan zin om hier aangifte van te doen als er vrijwel geen logfiles beschikbaar van zijn?

    Dat overkwam mij laatst een keer (lang leve een server waarop ik vergeten was roundcube uit te schakelen). Nadat we het ontdekt hadden, hebben we verbinding gemaakt met het irc netwerk van deze hacker, waarna deze hacker wel bekend heeft dit te doen (meneer was ook zo vriendelijk om precies te zeggen hoe die binnengekomen was). Echter is er enkel een nick (IceMan) en nationaliteit (Roemenie) bekend, dus daar heeft men ook niet zo veel aan (het ip-adres vanwaar meneer joinde was ook een gehackte box, etc).

  4. Stel mijn website wordt “gekraakt” en persoonsgegevens, waaronder naam, adres, paswoord, betaalgegevens etc. worden buitgemaakt. Moet of mag ik degenen wiens persoonsgegevens buitgemaakt zijn op de hoogte stellen van het gegevensverlies?

  5. Op basis van welke wetgeving kan je worden veroordeeld bij het hacken van apparatuur in andere landen.

    Ik heb vroeger bijvoorbeeld een bedrijf gehackt met de volgende feiten :

    Gehackt vanaf Leusden (nederland) Toegang verschaft tot het wereldwijde netwerk van een groot bedrijf via Engeland (vpn servers stonden daar) Servers gehackt in America.

  6. Open Source en aansprakelijkheid.

    Erg vaak hebben klanten geen zin om te betalen voor “security upgrades”. Ik bied dze dit wel altijd aan, met gebruikelijke doemscenarios. De verantwoordelijkheid en aansprakelijkheid voor de door mijzelf gebouwde of aangepaste onderdelen is volgens mij wel ondervangen.

    Ik rol erg vaak echter volledig vanilla (onaangepaste) Open Source webapplicaties uit. Ik scan ze altijd uitgebreid op veiligheidsproblemen. Maar ik kan uiteraard niet garanderen dat er geen meer zit. Vooral omdat alles voor een appel en een ei “moet”, is er vaak weinig tijd om echt goed alles door te lichten, laat staan dat klanten willen betalen om gevonden lekken te dichten.

    Als klanten aangeven geen (betaalde) securityupgrades te willen, zit ik dan fout? Moet ik ze dit kostenloos aanbieden? Is het voldoende als ik ze dit aanbied en ze dit afwijzen? En zo nee, ben ik aansprakelijk voor schade die zij ondervinden? Of moet ik dit gewoon een goed, juridsich onderbouwd, contract vastleggen?

  7. @Freeaqingme: over aangifte wegens hacken krijg ik veel vragen. Ik vind dat altijd lastig. Lang niet alle politiekorpsen blijken voldoende expertise op dit gebied in huis te hebben. Het sporenonderzoek is complex en de kans dat er iets uitkomt is klein. Het krijgt dus zelden prioriteit. Dat is erg jammer, maar er is niet veel aan te doen vrees ik.

    @Bastiaan: ik vind van wel, maar dat is een lacune in de wet. Er is discussie over geweest in de Kamer, en er was zelfs een voorstel voor een wetswijziging in de Wet Bescherming Persoonsgegevens hiervoor. Moet ik opzoeken.

    @kaas: elk land dat vindt dat je onder hun wet valt, kan je vervolgen. Het punt is natuurlijk wel of ze je te pakken kunnen krijgen om het vonnis uit te voeren.

    @B?r Kessels: dat is iets dat je goed in je leveringsvoorwaarden of SLA moet regelen. Als jij garanties geeft over de veiligheid, maakt het niet uit of je het met open source bouwt of met zelfgebrouwen code. Maar je bent niet verplicht garanties te geven. Dat is iets dat je met je klant moet afspreken. Het is in zakelijke relaties mogelijk om software AS-IS en ZONDER ENIGE VORM VAN GARANTIE OF GESCHIKTHEID VOOR ENIG DOEL te leveren. Ik weet niet waarom, maar dat schijn je in hoofdletters te moeten zeggen. 🙂

    Ik zou klanten wel laten tekenen dat beveiligingsrisico’s hun probleem zijn.

  8. Arnoud, dat moet in hoofdletters vanwege de Amerikaanse Uniform Commercial Code ?2-316 http://www.law.cornell.edu/ucc/2/2-316.html :

    Zie (3): “to exclude … the implied warranty of merchantability … the language … must be conspicuous, and to exclude … any implied warranty of fitness the exclusion must be … conspicuous.”

    In een plain text-omgeving is het vrij logisch om hoofdletters te gebruiken iets “conspicuous[ly]” te zeggen; daar zijn de Amerikaanse rechtbanken het mee eens. Als je een formatteerbare tekst gebruikt kun je natuurlijk ook grotere letters of iets dergelijks gebruiken.

  9. Arnoud: om nog even verder op het eerdere onderwerp voort te borduren – is een bedrijf aansprakelijk voor een slecht beveiligd systeem? Bijvoorbeeld een webwinkel waar creditcardnummers als plaintext opgeslagen worden en waar PHP niet up-to-date wordt gehouden. Op een gegeven moment gaat een scriptkiddie met een kopie van de gehele database ervandoor.

    Je credit card wordt vervolgens leeggetrokken – is de webwinkel aansprakelijk?

    Een tweede is: stel dat je zo’n beveiligingsgat ontdekt en je stelt het bedrijf op de hoogte. Men doet er niets aan. Kun je (bij de rechter) afdwingen dat er toch verantwoordelijk met de beveiliging wordt omgegaan?

  10. Bastiaan: dat lijkt me te vallen onder frauduleus gebruik van je betaalkaart, waarvoor je niet aansprakelijk bent (http://wetboek.net/BW7/46g.html). Voor zover je dat wel bent, lijkt me dat je dat wel kunt verhalen op het bedrijf. Zij zijn verantwoordelijk voor de beveiliging, en dienen die dan ook adequaat op orde te hebben. Je kunt denk ik mensen niet dwingen om een gat te fixen, maar je kunt wel de schade op ze verhalen als jij daarin valt.

  11. Mag een softwareproduct van de klant eisen dat beveiligingsupdates automatisch worden gedownload en geinstalleerd? En andere updates? (Dat laatste omdat sommige bedrijven met hun beveiligingsupdates meteen maar dingen die hen goed uitkomen installeren.)

    Antivirusprogramma X noemt programma Y gevaarlijk. Ten onrechte (vindt in elk geval de producent van Y). Heeft Y een kans als het X aanklaagt? (In de kleine lettertjes van X zal wel staan dat het niet kan garanderen altijd gelijk te hebben, dus als klant kun je weinig. Maar als veel mensen X gebruiken heb je als Y toch een probleem.)

    Kun je als website aansprakelijk worden gesteld voor schade t.g.v. gehackte accounts als je onveilige passwords toestaat? Vast niet door degene wiens account gehackt was, maar als mijn eBay of PayPal account gehackt is kunnen derden daar best schade door krijgen. Of ben ik verantwoordelijk?

    Is het strafbaar om email te sturen die erg op phishing lijkt? Zoek op security.nl naar bol.com, die “beste gebruiker” emails stuurden vanaf een external domein, met het verzoek op een niet-zichtbare URL te klikken. (Is vast niet strafbaar. Maar zou wel moeten. Toch?)

    In geen van alle gevallen overigens persoonlijke ervaring. Gewoon interesse. 🙂

  12. @Martijn: in je softwarelicentie kun je van alles afspreken, waaronder ook dat men updates dient te accepteren. Op zich lijkt me daar weinig mis mee, alleen kun je niet onder het mom van security updates zomaar willekeurige software aanleveren. Het moet dan wel een security update zijn.

    Over de andere ga ik nadenken want daar zitten wel leuke items in. Op zich mag je zeggen dat jij software Y gevaarlijk vindt. Het probleem is alleen dat je dat wel moet kunnen onderbouwen als je er op aangesproken bent. Zeker als je een bekende antivirusfirma bent die normaal gedegen oordelen geeft.

  13. Eerder zond ik onderstaande vraag aan de redactie van tweakers.net. Helaas gaven ze “geen thuis” wat bewijst dat het ook maar eenvoudige knippers en plakkers zijn daar. Maar in het kader van bovenstaand lijkt het me toch wel een interessante vraag:

    Naar aanleiding van beveiligingsindustrie wijst 25 gevaarlijkste programmeerfouten aan. heb ik een belangrijke (?) vraag, die ik ook op in de reactieruimte heb geplaatst:

    Kan ik ergens informatie vinden over de veiligheid van door amateurs zoals ondergetekende gebruikte zaken, bijvoorbeeld joomla, mediawiki, wordpress, phpBB ?

    En over de mate waarin die pakketten het (on)mogelijk maken om er onveilige websites mee te maken ?

  14. Victor, er zijn aardig wat sites die informatie geven; betrouwbare informatie is lastig te vinden. Ik moet me bij Arnoud aansluiten: veel lezen en informatie van verschillende sites vergelijken.

    Terug naar juridische aspecten: Wanneer je gratis software download, dan kun je de makers/verspreiders alleen aansprakelijk stellen als de software echt schadelijk is. Bij software die je koopt mag je (naar mijn mening) eisen dat het “geschikt is voor het beoogde gebruik”, maar sommige juristen denken daar anders over.

    Een leuke vraag (die ik wel vaker gesteld heb): Welke kwaliteit mag ik (juridisch gezien) verwachten van software die ik als consument in de winkel koop? Maakt het daarbij verschil als de software aangeboden wordt als onderdeel van een (computer-)systeem?

  15. @Peter: dat is de vraag van 65,535 Euro 🙂 Het heeft me altijd verbaasd dat daar niemand ooit over is gaan procederen. Bij maatwerksoftware gebeurt het wel, maar dan is er ook een duidelijkere relatie met onderlinge toezeggingen, controles en dergelijke. Maar waarom niet bij off-the-shelf software? Mensen procederen over wanpresterende mixers, waarom niet over BSOD’s?

  16. Op zich mag je zeggen dat jij software Y gevaarlijk vindt. Het probleem is alleen dat je dat wel moet kunnen onderbouwen als je er op aangesproken bent. Zeker als je een bekende antivirusfirma bent die normaal gedegen oordelen geeft.

    Er zijn wel gevallen bekend waarin Y -een op het randje opererend bedrijf- X heeft aangeklaagd, omdat gebruikers expliciet toestemming gegeven hadden voor Y’s dubieuze praktijken (via dubieuze, half-verborgen EULAs). Wat de uitspraak was weet ik niet, maar hierop hebben veel X’en hun EULAs weer aangepast, waardoor de gebruiker nu toestemming geeft Ys te verwijderen, zelfs als ze hier zelf aanvankelijk toestemming voor gegeven hebben.

    Maar wat ik eigenlijk bedoelde: wat nu als X gewoon een fout maakt en een verkeerde signature aan haar database toevoegt. Dat gebeurt regelmatig, onlangs nog met AVG die een essentiele Windows-library verwijderde. Nu is Windows een nogal bekend programma, waardoor het meteen groot nieuws was, AVG meteen een update uitbracht die de fout herstelde en de reputatie van Windows niet geschaad was (die van AVG wellicht wel). Maar wat nu als Y een absoluut legitiem, maar niet zo bekend programma is, waardoor X niet meteen doorheeft dat het fout was, het bericht dat X fout was de media niet haalt en veel mensen echt geloven dat Y maar beter verwijderd kan worden.

  17. Aanklagen kan altijd. Dat wil niet zeggen dat de Y een juridisch relevant punt heeft. Maar zeker in de VS leidt een aanklacht snel tot een schikking, waarna je kunt opscheppen dat “X haar claim heeft moeten intrekken” terwijl ze alleen maar van je af wilde zijn.

    Als X een fout maakt, en Y lijdt daardoor schade, dan kan Y X daarop aanspreken. Het gebeurt wel eens in de praktijk dat bv. de Consumentenbond een fout maakt in een test, waardoor een product er slechter uit komt dan verdiend. Dan heeft de Bond echt een probleem.

    Of wat te denken van het Exota-verhaal? Daar liet ombudsman Van Dam zien dat Exota-flessen met frisdrank spontaan konden ontploffen. Bleek doorgestoken kaart te zijn, maar de fabriek ging wel op de fles (sorry). http://nl.wikipedia.org/wiki/Exota-affaire

  18. Maar Van Dam zat daar fout juist omdat het doorgestoken kaart was. Als die Exota fles toevallig was ontploft in de studio (en de fles van vijf concurrenten niet), had het bedrijf dan ook de rechtzaak gewonnen?

    En nog eentje omdat het zo leuk is. 🙂

    Kun je als website verbieden dat mensen bepaalde URLs buiten de context laden? Ik denk hierbij aan allerlei web2.0 sites die dynamisch zijn dankzij ajax e.d.: onzichtbaar voor de gebruiker worden er tijdens het gebruiken van de site vele URLs geladen (meestal XML documenten). Maar door de broncode goed te bestuderen zou je daar best wel eens ongewenste dingen mee kunnen doen. Een applicatie schrijven die de content van die site voor andere dingen gebruikt. (Bijvoorbeeld die lui die de GMail-interface gebruikten als web opslagruimte.) Vanuit een beveilingsoogpunt heeft zo’n verbod evenveel nut als een bordje “verboden toegang” inbrekers wegjaagt, dus niet helemaal on-topic, maar ik kan me voorstellen dat je het als website niet wilt. Google deed er geloof ik niet enorm moeilijk over, maar ze misten er natuurlijk wel reclameinkomsten door.

    (Ik meen dat er een uitspraak is geweest die het ‘leechen’ van plaatjes of mp3s niet verbiedt, omdat je dat als plaatjes-hoster kunt voorkomen door het alleen te laten zien bij de juiste referer. Maar die is, zeker als het een zelfgeschreven applicatie is die buiten de browser werkt, prima te faken.)

  19. Als die fles echt spontaan ontploft was, dan had het bedrijf een veel moeilijker verhaal gehad. Maar automatisch een verloren zaak was het nog niet geweest: hoe groot is de kans dat dit gebeurde? En is die kans acceptabel?

    Die uitspraak over leechen ken ik niet, was dat in Nederland? Ik ken 1 of 2 kortgedingzaken waarbij de auteursrechthebbende tegen inline linken (leechen) kon optreden omdat dat een nieuwe openbaarmaking van zijn plaatje zou zijn.

    Ik zou dus ook bij dat hergebruik eerst kijken naar auteursrecht en gebruikslicentie. Strafbaar lijkt het me niet meteen. Als iemand opslagfaciliteiten biedt, en jij slaat daar dingen op, dan is dat niet wederrechtelijk binnendringen of zo. Wanneer de eigenaar je verbiedt om daar bepaalde zaken op te slaan, dan pleeg je contractbreuk door dat toch te doen. Maar dat is civiel recht en niet strafbaar.

  20. Die uitspraak over leechen ken ik niet, was dat in Nederland?

    Ik weet het niet zeker. Het ging geloof ik over het direct linken van mp3s. Dat was niet strafbaar omdat je er als site-eigenaar wat aan kon doen, middels referers enzo of sessie-cookies. Maar dan nog is het goed mogelijk om een programmaatje te schrijven dat die sessie-cookies eerst genereert, die referers namaakt etc.

  21. “Mag een softwareproduct van de klant eisen dat beveiligingsupdates automatisch worden gedownload en geinstalleerd? En andere updates? (Dat laatste omdat sommige bedrijven met hun beveiligingsupdates meteen maar dingen die hen goed uitkomen installeren.)” Jij hebt het zeker over Apple die bij Security updates constant iTunes door je strot probeert te raggen…

    “Maar waarom niet bij off-the-shelf software? Mensen procederen over wanpresterende mixers, waarom niet over BSOD???s?” Hoe erg ik het ook vind (want ik ben geen M$ liefhebber), maar dit kan komen door zoveel verschillende dingen en niet altijd op het zelfde moment. Ik had vroeger dat de PC een BSOD gaf als ik een CD probeerde te branden met Roxy, maar verder werkten alles naar behoren. Nu was dit door de leverancier er zelf opgezet, had ik deze dan aansprakelijk kunnen stellen? Ik was toen namelijk wel al mijn bestanden, plaatjes en zelf gemaakte kaartspel waar ik een twee weken aan had gewerkt kwijt geraakt (oh waarom!).

    En helaas denken veelal mensen dat een BSOD???s, een alternatief opstart scherm is (6)

  22. Jij hebt het zeker over Apple die bij Security updates constant iTunes door je strot probeert te raggen???

    Het was inderdaad daarop gebaseerd. Maar noch Apple noch iTunes gebruiker, dus meer van horen zeggen. Ik vind het probleem niet zozeer dat gebruikers ongevraagd iTunes krijgen –al is dat zeker niet netjes– maar dat men daardoor het nut van veiligheidsupdates kan onderschatten.

  23. Kun je als website verbieden dat mensen bepaalde URLs buiten de context laden?

    Dat kun je bij overeenkomst vastleggen… Maar hoe krijg je een onwillige gebruiker zover dat hij die overeenkomst accepteert (als hij hem al ooit te zien krijgt)?

    Veiligheidsupdates aanbieden: OK! Verplichten tot installatie, het lijkt me dat daar een overeenkomst voor nodig is, en het creert aansprakelijkheid voor de kwaliteit van de update. Een juridish lastige zaak. Bundelen van nieuwe functionaliteit met beveiligingsupdates is slecht, maar op zich niet illegaal.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.