Microsoft verwijdert Tor-software in strijd tegen botnet, mag dat?

| AE 6300 | Security | 9 reacties

microsoft-botnet-tor-sefnit-bestrijdingOm het Sefnit-botnet tegen te houden, heeft Microsoft op zo’n twee miljoen computers de anonimiteitssoftware Tor verwijderd, zo las ik bij Daily Dot (via). Sefnit communiceerde via het Tor-netwerk waarmee een hoog niveau van anonimiteit kan worden behaald. Toen Microsoft dit doorhad, was het een kwestie van de Tor software toevoegen aan de detectie van haar Safety Scanner en zien hoe het aantal installaties achteruit ging. Maar mag dat?

De reden dat Tor wordt verwijderd, is omdat oude versies daarvan lek blijken te zijn, en daardoor eenvoudig te infecteren door het botnet. Zo te lezen worden enkel die oude versies geraakt, wie een recente versie van Tor heeft, zou nergens last van moeten hebben.

In Nederland hebben we het concept zaakwaarneming: “Het zich willens en wetens en op redelijke grond inlaten met de behartiging van eens anders belang” zonder daartoe bevoegd te zijn, artikel 6:198 BW. Het standaardvoorbeeld is bij de afwezige buren het overkokende pannetje melk van het gas halen, waarbij het zelfs toegestaan is de achterdeur te forceren. Maar het principe geldt voor alle soorten handelingen, dus er is geen principiële reden waarom het niet zou gelden op computers of internet.

Wel geldt er een noodzakelijkheidsvereiste en een proportionaliteitsvereiste. Je moet niet anders kunnen, dus de buren moeten écht met vakantie zijn en er moet niemand zijn die snel de sleutel kan pakken. En je mag niet verder gaan dan nodig om direct de situatie op te lossen; het huis voorzien van brandmelders en blusinstallatie gaat te ver en is dus geen zaakwaarneming.

In 2010 verwijderde de politie de Bredolab-botnetsoftware van geïnfecteerde computers, na toegang te hebben gekregen tot command&control servers daarvan. Ook daar kon ik niets anders bedenken dan zaakwaarneming om dit te rechtvaardigen.

Microsoft zou wellicht nog kunnen zeggen dat zij via de EULA van Safety Scanner het recht heeft dit te doen. Die zegt immers

The software will check for and remove certain high severity malicious software (“Malware”) stored on your device when you select this action. …
The software will only remove or disable low to medium severity Potentially Unwanted Software if you agree.

Maar is dat genoeg? We hebben immers een cookiewet die expliciete toestemming eist (oftewel niet slechts in een EULA of privacyverklaring opgeëist) voordat je gegevens mag opslaan of uitlezen via een netwerk. Oh, hee, dat is wel apart: het verwijderen van gegevens staat daar niet bij. Dan val je terug op de algemene regel dat er een grond moet zijn, en een EULA kan op zich best een grond geven om acties op een computer uit te voeren.

Dus hm. Het lijkt te mogen, zeker gezien die EULA. Maar toch voelt het als erg vérgaand. Zeker als (wat me niet duidelijk is) het om Tor als zodanig gaat, in plaats van enkel om geïnfecteerde versies van Tor. Het verwijderen van geïnfecteerde software vind ik minder ernstig dan het verwijderen van infecteerbare software.

Update: in de comments wordt gemeld dat het hier enkel ging om Tor-installaties die meegekomen waren met de Sefnit-malware. Andere versies (en waarschijnlijk zelfs de betreffende versie als deze anderszins geinstalleerd was) werden met rust gelaten.

Arnoud

Deel dit artikel

  1. Volgens je geciteerde EULA mogen ze alleen high severity malicious software verwijderen en de rest alleen als de gebruiker akkoord gaat (ik neem aan dat er dan per geval wordt gevraag of het mag). In dit geval zouden ze geïnfecteerde versies dus mogen verwijderen maar infecteerbare versies niet.

    Ik mag er toch vanuit gaan dat ze dat ook gedaan hebben en niet zomaar alle oude TOR versies verwijderd hebben.

    Maar dan nog vraag ik me af of dit wel valt onder het noodzakelijkheidsvereiste. Je geeft zelf al aan dat de buren echt op vakantie moeten zijn. In dit geval is de eigenaar van de PC natuurlijk gewoon thuis en hij zit achter zijn PC. Dan kan moet je gewoon vragen of het verwijderd mag worden. Als de gebruiker dan niet reageert (of nee zegt) kom je op een andere vraag uit. Zou MS het dan nog steeds mogen verwijderen.

    Terug naar het pannetje melk. Als dat in een flatgebouw is en de eigenaar weigert om zijn pannetje van het vuur te halen, heb je dan niet het recht om het toch zelf te doen. Immers hij brengt niet alleen zichzelf en zijn woning in gevaar maar alle bewoners van de flat?

    • Inderdaad moet je eerst vragen voordat je zaakwaarneming mag plegen. Hoe kun je dat vragen aan een PC gebruiker? Een popup via de geïnfecteerde software/botnetclient lijkt me de enige optie. Is het realistisch dat mensen dan zeggen “Oh dat is écht van Microsoft, ik ga meteen akkoord”?

      Zaakwaarneming gaat over het behartigen van andermans belang. Dus de buurman die zijn eigen keuken laat afbranden. Gaat jóuw keuken eraan dan is dat geen zaakwaarneming maar gewoon bschermen van je eigendom.

  2. Ik weet niet in hoeverre dit uitmaakt voor het juridische verhaal, maar het botnet installeerde zelf Tor, om de beheerders anoniem te laten communiceren met de geïnfecteerde ‘clients’. Het gebruikte daarbij een verouderde versie van Tor, wat het voor onderzoekers van Microsoft e.a. makkelijk te detecteren maakte. Tor was hier dus onderdeel van de malware en het was dus niet zo dat het botnet Tor infecteert zoals je suggereert.

  3. In plaats van verwijderen hadden ze TOR ook kunnen upgraden naar een meer recente versie, na hiervoor toestemming te hebben gevraagd aan de gebruiker. Zoiets als:

    Microsoft Safety Scanner heeft gedetecteerd dat op uw computer een verouderde versie van de “TOR”-software is geïnstalleerd. Deze versie bevat een beveiligingslek: dit maakt het mogelijk voor kwaadwillenden om de controle over uw computer over te nemen. Wat wilt u doen?

    • Verwijder de TOR-software (aanbevolen) (standaard geselecteerd)
    • Upgrade de TOR-software naar de meest recente versie
    • Doe niets (niet aanbevolen)

    Meer informatie: De TOR-software maakt het mogelijk om anoniem te communiceren over het internet. TOR wordt niet door Microsoft gemaakt, en wordt niet standaard met Windows meegeleverd. Het is mogelijk dat u TOR zelf heeft geïnstalleerd; het is ook mogelijk dat TOR is geïnstalleerd door een computervirus.

    • Nogmaals, Tor maakt hier onderdeel van het botnet. Het is geen botnet van gebruikers die sowieso Tor runden (dat zijn er niet zo veel), maar een botnet dat een Tor-client installeert. Een verouderde en daarom makkelijk te herkennen.

      Tussen de miljoenen slachtoffers van dit botnet (het was/is erg groot) zullen er hooguit een paar zijn die sowieso Tor draaiden. Of die paar een juridische reden zijn om een uitzondering te maken is niet aan mij om te bepalen.

  4. Volgens mij doet Apple hetzelfde met software voor de iPhone en iPad, en Google doet het mogelijk ook onder Android. Vooral als het gaat om software die via de betreffende App Stores is binnen gehaald.

    Overigens kunnen andere virusscanners precies hetzelfde doen. Ik weet dat McAfee mij in het verleden wel eens heeft dwars gezeten als ik een programma compileerde met (toen) Borland Delphi. Soms kreeg McAfee het dan op zijn heupen en verwijderde deze de net gecompileerde executable, wat niet erg behulpzaam is. Vooral ook omdat het hier steeds ‘False Positives’ betrof. Komt mede omdat er indertijd veel malware in Delphi werd ontwikkeld, wat ervoor zorgde dat alle Delphi programma’s een beetje verdacht werden.

    Maar in plaats van verwijderen lijkt het mij beter dat potentieel besmette software gewoon in quarantaine wordt geplaatst zodat de computeraar zelf kan beslissen of het malware betreft of niet. Microsoft gaat in dat opzicht net iets te ver.

  5. In dit geval was de betreffende tor software onderdeel van de botnetsoftware en werd bij de malware geinstalleerd. Dan is het niet zo gek om deze te verwijderen.

    Toen Microsoft dit doorhad, was het een kwestie van de Tor software toevoegen aan de detectie van haar Safety Scanner en zien hoe het aantal installaties achteruit ging.

    Dat zou niet handig zijn omdat de safety scanner alleen actief door de gebruiker moet worden binnengehaald. De meeste verwijderingen zijn natuurlijk gedaan door Microsoft Security Essentials (populaire anti malware software voor windows 7 en lager) en Windows Defender (standaard aanwezig op windows 8) en de Malicious Software Removal Tool (standaard in windows).

  6. Ter bevestiging; het ging hier enkel om Tor-installaties die meegekomen waren met de Sefnit-malware. Andere versies (en, naar mijn weten, zelfs de betreffende versie als deze anderszins geinstalleerd was) werden met rust gelaten.

    Ook is er vrij recentelijk de claim geuit dat de betreffende Tor-versie slechts uitgeschakeld werd i.p.v. verwijderd, maar het is me niet helemaal duidelijk of dit inderdaad het geval was.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS