Google gaat telefoonmakers verplichten beveiligingsupdates aan te bieden

| AE 10581 | Beveiliging | 20 reacties

Google gaat telefoonmakers contractueel verplichten om smartphones van software-updates te voorzien. Dat meldde Nu.nl vorige week. Een onderwerp waar al veel over te doen is, onder meer vanuit onze Consumentenbond met haar actie die onder meer leidde tot een rechtszaak tegen Samsung met de eis tot langer updaten van smartphones. Fabrikanten zijn volgens mij gewoon wettelijk verplicht dit te doen, maar werken daar bepaald niet enthousiast aan mee. Ergens is het dan wel erg frappant dat Google met zo’n aankondiging (waarschijnlijk) wél iedereen gewoon meekrijgt.

Natuurlijk is het heel logisch dat als Google het zegt, iedereen zich eraan gaat houden. Google heeft het merk Android en stelt stevige eisen aan het gebruik van deze software. Dat mogen ze, en je bent uiteindelijk niet formeel verplicht om Android op je telefoon te zetten. Maar praktisch gezien heeft Google een forse marktmacht (een dikke 85% van de mobielebesturingssystemenmarkt) dus vanuit dat standpunt kun je wel zeggen dat Google echt afdwingt dat je dit moet doen.

Het kan misbruik van je machtspositie zijn om zo’n verplichting op te leggen. Maar hier lijkt het me zó in het voordeel van de markt en de consument dat ik me niet kan voorstellen dat iemand er werkelijk met succes bezwaar tegen kan maken.

Het raakte me vooral omdat het er nu op lijkt dat een marktpartij (Google) méér voor elkaar kan krijgen dan de wetgever en uitvoerende macht bij elkaar. Dat is ergens raar, want regels in het voordeel van de markt of maatschappij lijken me regels die je vanuit de overheid zou verwachten, inclusief handhaving daarvan. Maar het is wel iets dat je typisch vaker ziet bij internetbedrijven, dat zij veel effectiever normen stellen en handhaven dan de formele overheid. Ik zou echt eens een studie rechtsfilosofie moeten gaan doen, wat zit hier achter, hoe past dit in de grondslagen van het recht?

Arnoud

Mag ik de wifi van de buren met een legale zender offline halen?

| AE 10575 | Beveiliging | 20 reacties

Een lezer vroeg me:

Recent kwam ik bij een netwerkapparaat de Air Marshal techniek tegen. Deze blokkeert actief SSIDs van netwerken in de buurt vanuit veiligheidsoverwegingen. Ik zie dat het apparaat legaal te krijgen is, maar zou het legaal zijn dat ik dit apparaat aanzet om zo de buren van hun wifi te beroven?

De hier beschreven techniek uit het Cisco-apparaat is de Wi-Fi deauthentication attack, waarbij je een randapparaat een bericht stuurt dat de verbinding wordt verbroken. Daarmee kun je dus heel effectief een netwerk om zeep helpen, want zo zal geen apparaat lang in de lucht blijven op dat netwerk.

Dit kan legale doelen hebben, zoals voorkomen dat je personeel per ongeluk een rogue netwerk uitkiest (GratisWifiXXX) in plaats van het bedrijfsnetwerk. Maar je kunt het ook voor meer malafide doeleinden gebruiken, zoals alle netwerken saboteren behalve je eigen dure hotelinternet. En je kunt natuurlijk ook, zoals de vraagsteller voorstelt, de buren flink dwarszitten. Wellicht om zo zelf meer bandbreedte te krijgen?

In ieder geval, het feit dat een apparaat legaal te verkrijgen of zelfs te gebruiken is, betekent niet automatisch dat álle toepassingen ook legaal zijn. Het lijkt me zonder twijfel een vorm van denial of service om apparaten de toegang tot andermans netwerk te ontzeggen met genepte “uw verbinding wordt verbroken” berichten. En het aanrichten van een denial of service is strafbaar, ook als je daarbij niet binnendringt in iemands computer en ook als je geen illegale frequenties of gekaapte systemen gebruikt.

Arnoud

Mag je een zoekmachine voor miljoenen gehackte Nederlandse wachtwoorden online zetten?

| AE 10501 | Beveiliging | 23 reacties

De zoekmachine Gotcha.pw waarmee je de wachtwoorden van miljoenen Nederlandse e-mailadressen kunt doorzoeken is online, las ik bij RTL Nieuws. Met meteen daarop dat de zoekfunctie offline was, zo te lezen vanwege angst of het wel legaal is, om zo’n zoekdienst aan te bieden. Want meer dan 1,4 miljoen wachtwoorden van onder meer LinkedIn, Dropbox, Playstation en eBay publiceren, dat kan toch niet legaal zijn? Nou ja, zoals ik het bij Gotcha zie wel.

In maart blogde ik over de dienst HaveIBeenPwned.com van de Amerikaan Troy Hunt. Die biedt een zoekmachine die je na invoer van een mailadres meldt of er een wachtwoord bij bekend is (maar natuurlijk niet het wachtwoord zelf). Dat is niet strafbaar bij ons; het gebruik van een gelekt wachtwoord is wel strafbaar (computervredebreuk) net als het publiceren van iemands wachtwoord met als doel dat mensen vervolgens op dat account gaan inloggen.

Ga je wachtwoorden als zodanig bekend maken, dan wordt het spannender. Dat kan ik nog net billijken als je dit alleen aan de eigenaar zelf bekend maakt, al dan niet tegen betaling, maar dan moet er wel enige fatsoenlijke identiteitscontrole op zitten.

Bij Gotcha.pw zie ik nergens wachtwoorden gepubliceerd. De dienst is iets makkelijker in dat je een domeinnaam kunt (kon) invoeren en dan van alle bijbehorende mailadressen met bekend wachtwoord een melding krijgt. Dat zou in theorie de kans op misbruik kunnen vergemakkelijken, maar je krijgt per mailadres slechts de helft van de gebruikersnaam te zien en 2 letters van het wachtwoord. Daarmee heb je alsnog te weinig om daadwerkelijk op dat account in te loggen. Wat mij betreft is dit dus gewoon legaal.

Ook vanuit AVG-perspectief (een verplicht nummer zo net 2 maanden voor deze aardverschuiving) zie ik geen problemen. Ja, je verwerkt persoonsgegevens namelijk mailadressen en wachtwoorden van persoonsgebonden accounts. Nee daar heb je geen toestemming voor. Maar dat hoeft ook niet, want onder de AVG zijn er meer grondslagen. De hier relevante is die van het eigen gerechtvaardigd belang: het is in het algemeen belang (én dat van de slachtoffers) dat je gemakkelijk kunt nagaan of iemands wachtwoord gelekt is. Algemeen belang zodat beheerders in kunnen grijpen, en eigen belang zodat je je wachtwoord kunt wijzigen en goed op kunt letten.

Binnen dat belang moet je privacywaarborgen nemen, en dat is hier het geval met die halve naam en 2 letters wachtwoord. Daarmee zijn mensen niet van buitenaf te identificeren. Een organisatie zou dat met hun klanten of personeel wellicht wel kunnen (hoe veel a.engel*****@ictrecht.nl kennen we?) maar dat is binnen het belang een aanvaardbare situatie. Natuurlijk moet de werkelijke database zo stevig mogelijk dichtgetimmerd zijn en bij voorkeur niet via internet toegankelijk (dataminimalisatie en beveiliging). Maar bijzondere risico’s zie ik verder niet.

Arnoud

Kan een stad het commercieel draaien van Bitcoin mining computers verbieden?

| AE 10471 | Beveiliging | 25 reacties

De Amerikaanse stad Plattsburgh (NY) is de eerste die het minen (delven) van cryptomunten zoals bitcoin heeft verboden, las ik bij The Verge. De komende achttien maanden is het niet toegestaan om met commercieel oogmerk een “farm” te opereren met daarin minstens drie apparaten die specifiek bezig zijn met het minen van deze munten. De… Lees verder

Ex-werknemer moet 500 euro betalen voor achterhouden wachtwoord

| AE 10399 | Beveiliging | 32 reacties

Een voormalige medewerkster van een Amsterdams kinderdagverblijf moet van de rechter 500 euro betalen omdat ze het wachtwoord van haar bedrijfslaptop niet aan haar directeur wilde geven. Dat las ik bij Security.nl. De vrouw wilde het wachtwoord niet afgeven omdat daarmee anderen onder haar naam zouden kunnen werken, maar het kdv gaf aan niet op… Lees verder

Mag een site me tegen betaling zeggen of ik gehackt ben?

| AE 10352 | Beveiliging | 31 reacties

Wat is dit nu weer voor een dienst: Is mijn data gelekt.nl. “Ismijndatagelekt.nl biedt internetgebruikers de mogelijkheid om te checken of er inloggegevens van hen op internet te vinden zijn. Deze internetgebruikers kunnen hierop dan actie ondernemen en zichzelf beter beschermen”, zo staat er in de “over ons”. Wil je echter weten om welke gegevens… Lees verder

Wat moet ik doen als mijn klant me productiedata geeft om te testen?

| AE 10350 | Beveiliging, Privacy, Software | 19 reacties

Een lezer vroeg me: Wij ontwikkelen enterprisesoftware voor klanten, en testen deze uiteraard ook. Meestal ontvangen we daarvoor de testdata van de klant en soms zit daar ineens productiedata tussen inclusief persoonsgegevens. Zijn wij daarvoor aansprakelijk onder de GDPR? Het is uiteraard een goed idee om software te testen alvorens je deze gebruikt, zeker wanneer… Lees verder

Heb ik recht op een nieuwe laptop als de processor een Meltdown of Spectre heeft?

| AE 10210 | Beveiliging, Webwinkels | 19 reacties

Beveiligingsexperts vonden twee grote bugs in processors, die vrijwel in elke computer ter wereld worden gebruikt. Dat meldde Nu.nl vorige week. De zogeheten Meltdown en Spectre bugs zijn bugs die er voor kunnen zorgen dat hackers toegang krijgen tot het kernelgeheugen van computers, waarmee onder meer wachtwoorden eenvoudig te achterhalen zijn (nou ja, “eenvoudig“). De… Lees verder

Mag De Nederlandsche Bank de banken gaan hacken?

| AE 9809 | Beveiliging | 10 reacties

Een team onder de vlag van De Nederlandsche Bank (DNB) gaat de Nederlandse financiële infrastructuur hacken, las ik in het FD. Het ‘red team’ (oeh spannend) krijgt de opdracht om daadwerkelijk in te breken bij banken en financiële instellingen, waar slechts een klein groepje mensen afweet van de poging. Uiteraard wordt er niet daadwerkelijk schade… Lees verder