Mag ik mijn klanten scannen op kwetsbaarheden zoals ProxyShell?

GDJ / Pixabay

Een lezer vroeg me:

Wij zijn een ISP die honderden bedrijven heeft ontsloten. We weten van een kwetsbaarheid in Exchange die we kunnen scannen en detecteren. Mogen wij onze eigen klanten nu hierop scannen, ondanks dat ze geen toestemming hebben gegeven en bij ons geen dienst van softwarebeheer afnemen?
Ik heb al een aantal keer gepubliceerd over scannen op veiligheidslekken, waarbij dan het hele internet wordt gescand. Je zou zeggen dat dat dus ook moet kunnen voor het kleinere deel van internet dat jouw klant is. Zeker als het gaat om actuele lekken zoals (denk ik) de recente ProxyShell lekken.

Toch zou ik het afraden om als internettoegangsprovider of hostingprovider ongevraagd en zonder overleg je klanten te scannen. Je zit namelijk in een iets andere positie dan een partij die internet scant vanuit de motivatie het publiek te willen waarschuwen. Je hebt een contractuele relatie met die klanten, en dat brengt een aantal verantwoordelijkheden met zich mee.

Anders gezegd: je hebt een zorgplicht naar je klanten toe, en dat betekent extra zorgvuldigheid in hoe je met hun systemen omgaat. Ook hoort daarbij dat je vertrouwelijkheid in acht neemt en extra oplet dat je niets stukmaakt.

Tegelijk kan ik me voorstellen dat je juist bij gaten met grote impact expliciet wél wil handelen. Dat kun je vanuit diezelfde zorgplicht juist heel goed rechtvaardigen. En als je als provider kwalificeert als een “aanbieder van een openbare elektronische communicatiedienst” (wat de term ISP impliceert) dan moet je zelfs vanuit de wet (art. 11.2 Telecomwet) zorgen voor een goede beveiliging van je netwerk. Dat is natuurlijk dan afhankelijk van de beveiliging van je klanten, dus meekijken of waarschuwen is dan zelfs met enige goede wil je wettelijke plicht te noemen.

Alleen: voor mij blijft overeind staan dat je dit moet aankondigen, en ik denk zelfs ook laten accorderen. Dat kun je natuurlijk prima automatiseren, denk aan een regeling in je algemene voorwaarden met wat uitleg in de SLA (of op je site, zoals in de FAQ) en een bezwaarmogelijkheid voor klanten die hier niet op zitten te wachten.

Wel zou ik dan eerst de vraag beantwoord willen wat je zou doen met de scanresultaten. Ga je dat gewoon naar het contactadres van de klant mailen? En wat doe je dan als die niet reageert (of hooguit “eh, oké bedankt”) en de kwetsbaarheid blijft bestaan? Je kunt namelijk klanten niet gaan afsluiten als ze een kwetsbaar systeem hebben, tenzij je daar héle duidelijke afspraken over hebt. Of ga je de klant aanbieden het voor ze te repareren? Dat zullen ze niet willen, dan hadden ze wel een supportcontract afgenomen.

Arnoud

9 reacties

  1. Een aanvullende clausule opnemen in de algemene voorwaarden van de ISP lijkt mij inderdaad de meest veilige oplossing. Als klanten dan gewaarschuwd worden en geen gebruik willen maken van een eventueel aanbod tot reparatie aanvaarden zij daarmee de geconstateerde risico’s. Ik vraag mij overigens af of het laten voortduren van een kwetsbaarheid bij een klant niet problemen op kan leveren voor andere klanten van dezelfde ISP. In dat geval zou er na een geconstateerde kwetsbaarheid wel reparatie moeten volgen of de desbetreffende klant dat nou wil of niet.

    1. Lastig is natuurlijk dat het hier gaat om klanten die geen beheerdienst afnemen bij deze ISP. Hoe kun je dan praktisch gezien die reparatie uitvoeren? Volgens mij is de enige optie “wij zetten vanaf morgen uw dienst dicht tenzij u dan aantoont de reparatie uitgevoerd te hebben”. Of je er dan bij mag zeggen “wij kunnen het doen voor €2500” betwijfel ik.

  2. Ligt die zorgplicht niet ook al, of zelf primair, bij de leverancier van die software (in dit geval dan Microsoft of een lokale partner)? Naast natuurlijk de verantwoordelijkheid die dat bedrijf zelf heeft om haar systemen fatsoenlijk te beheren en beveiligen. Ik ben er misschien wat ouderwets in, maar ik zie de taak van zo’n ISP in deze als niet meer dan “lever de voor mij bedoelde bitjes af op mijn router”, en meer niet. (Let wel: in deze zaak, waarbij er dus geen extra diensten, service, onderhoud, monitoring, security o.i.d zijn afgenomen. Als zoiets wel expliciet is afgenomen als dienst dan gaat dit natuurlijk niet op). Zolang dat verkeer voor die klant niet zelf schade toebrengt aan de systemen of netwerken van die ISP (zoals wel het geval zou kunnen zijn als die klant bijvoorbeeld Exchange als hosted dienst afneemt bij de ISP zelf) zie ik eigenlijk het probleem niet. Lever gewoon die pakketjes af, en bemoei je verder niet met de inhoud ervan zou ik zeggen. Zelf besluiten om actief te gaan scannen bij je klanten die daar niet om hebben gevraagd vind ik ver je boekje te buiten gaan. In mijn fantasie speelt zicht nu een soort monty-python achtige “echte wereld” analogie af, waarbij de postbode aanbelt met een doosje bestelde koffiecapsules, en vraagt of hij vanuit zijn zorgplicht als postbode even binnen mag komen controleren of de koffiezetter wel fatsoenlijk ontkalkt is, omdat het anders gevaarlijk kan zijn om koffie te zetten.

    1. Nou ja, je hebt nou eenmaal een zorgplicht als dienstverlener, en volgens mij hoort daar meer bij dan enkel “ik lever mijn deel van het contract op keurige wijze”. De zorgplicht moet gaan over meer dan dat. Klassiek voorbeeld is de aannemer die weigert een dragende muur te slopen als de klant niet wil dat er een draagbalk teruggeplaatst wordt. Dat gaat niet over het werk van de aannemer (slopen kan hij prima, afvoeren van restmateriaal ook) maar over het probleem dat de klant gaat krijgen.

      Of als ik als jurist een klant krijgt die zegt “mag ik voorwaarden voor mijn goksite”, dan ga ik niet alleen zeggen “hier is je document” maar eerst “heb je wel een vergunning”. Ik vind de vergelijking met postbezorging erg flauw. Ik had trouwens een keer een stekker en een contrasteker besteld bij Allekabels.nl en die belden me omdat die stekker niet paste op die contrasteker (maar wel erg leek). Dat vind ik netjes en volgens mij meer dan een zorgplicht, maar om maar te laten zien dat het breder leeft, dat idee dat je meer doet dan met oogkleppen op jouw afspraken.

      1. Ik snap die argumenten. Beide voorbeelden, de aannemer en de kabelverkoper zijn goede voorbeelden van hoe die zorgplicht voor alle betrokken partijen goed uitpakt. Een belangrijk verschil echter is dat die beide reageren op een klantvraag waarin zij, met hun expertise, een probleem zien. De klant vraagt de specialist op het vakgebied om iets, en die specialist geeft daar op een zorgvuldige wijze gehoor aan. In het geval van die ISP echter ging de vraag over het zelfstandig, op eigen initiatief, scannen van de interne systemen van die klant die daar niet om had gevraagd. Er is een verschil tussen je aannemer die op jouw vraag om een muurtje uit te breken controleert of het wel of geen dragende muur is, en diezelfde aannemer die inbreekt in je huis om te gaan kijken of je niet toevallig zelf dragende muurtjes aan het slopen bent. Scanning, security, monitoring etc zijn additionele diensten, en die moet de klant ofwel afnemen, of het moet heel duidelijk zijn gemaakt dat die zaken onderdeel zijn van jouw pakket aan dienstverlening op het moment dat die klant komt voor een internetaansluiting. Op eigen initiatief gaan scannen als ISP vind ik zelf niet meer vallen onder de mantel van zorgplicht.

  3. XS4ALL sloot internetverbindingen af, als deze middels een virus in een spambot netwerk kwamen.

    Geachte klant,

    Het XS4ALL Abuse Centre heeft geconstateerd dat er vanaf uw systeem spam wordt verstuurd. Dit veroorzaakt veel overlast. Lees deze mail alstublieft aandachtig.

    Mogelijk is uw verbinding al gedeeltelijk afgesloten om verdere overlast te voorkomen. Door de proxy server in te stellen kunt u website’s bezoeken, programma’s en update’s downloaden, hulp bij het instellen van de proxy …

    Zullen ze dan wel sterk afgedekt hebben in de voorwaarden.

    Het lijkt me dat, als je het niet op zaakwaarneming kunt gooien bij je eigen klanten, en een extra verantwoordelijk hebt qua zorg, dat je juist dient te scannen. Ze worden gescanned door boeven uit de hele wereld, maar een goedbedoelde scan om je klanten te beschermen is dan niet in orde?

    Scans zelf, zonder de poort te dichten, of de shell te verwijderen, zullen nooit schade aanrichten. Servers zijn ervoor bedoeld om dat soort aanvragen per seconde te doen.

    Wat wel schade aanricht: het leveren van IPs en servers aan mensen die daar virussen en shells op (laten) plaatsen. Dan krijgt de gehele ISP een negatieve reputatie, wat funest is voor de andere klanten. Het scannen op (en monitoren van) dit soort zaken op je netwerk (al dan niet “uitgehuurd” aan klanten) is wat elke ISP dient te doen, om reputatieschade, klantenverkeer, en abuse aan te pakken.

    Het zit natuurlijk een beetje in elkaar vervlochten. Die server staat ook niet bij de klant thuis en in isolatie van de andere klanten en dienstverlening. Ik vind het wel wat anders, om de poorten van verkochte laptops te scannen (een huurmodem dan weer niet).

    1. Er zijn legio aan derden die dergelijke meldingen doen, mits je het (RFC techisch verplichte) abusee@ adres voert. Partijen als Shadowserver, DIVD en vele andere zullen je dan vanzelf op de hoogte stellen zonder dat je zelf hoeft te scannen.

      Leete wewl dat je geen spamfiltering op je abuse@ mailbox hebt, anders bestaat de kans dat meldingen afgevangen worden 🙂

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.