Categorie: Security

About Security

Subscribe Feeds

Er zit een backdoor in mijn NAS, mag ik mijn geld terug?

Geplaatst op in Security, 5 reacties
Bron: D-Link DNS-340L ShareCenter + 4-Bay Cloud Network Storage Enclosure Reviewed

Een lezer vroeg me:

Ik zit met het volgende. Ik heb dus een D-Link NAS waar een backdoor account in aanwezig is. Nu begrijp ik heel goed dat software en andere producten beveiligingslekken bevatten. Maar een backdoor account voeg je als fabrikant toch echt zelf toe. Kan ik een partij als D-Link (en genoeg anderen helaas) hier aansprakelijk voor houden? Het liefst wil ik gewoon mijn geld terug of een product zonder backdoor.
Hier werd inderdaad recent voor gewaarschuwd: “Het betreft een command injection-kwetsbaarheid en het gebruik van hardcoded credentials, of een ‘backdoor account’ zoals D-Link het noemt. Via de kwetsbaarheden kan een aanvaller zonder authenticatie willekeurige commando’s op het NAS-systeem uitvoeren, wat kan leiden tot toegang tot gevoelige informatie, het aanpassen van de systeemconfiguratie of een denial of service.”

De hardcoded credentials ware geen bewuste feature, maar een slordigheid: hierachter zit een typische Unix-constructie die alleen niet goed is geïmplementeerd. Maar uiteindelijk doet het er niet toe of het opzet, roekeloosheid, onoplettendheid of iets anders was. Die backdoor zit er, het product is daardoor niet veilig, wat kun je daarmee als consument?

Het simpele antwoord is natuurlijk: je mag van een product verwachten dat dit aan de redelijke verwachtingen voldoet. Dat wil niet zeggen dat het altijd 100% foutloos en backdoorloos is, je moet kijken hoe het product wordt gemarket, hoe eenvoudig de fout te exploiteren is en in hoeverre D-Link dit had moeten voorzien. Niet elke fout is een conformiteitsgebrek.

Toch denk ik dat je bij een enorme impact zoals hier je wel een goed verhaal hebt dat het product niet voldoet aan de redelijke verwachting. Zó makkelijk binnendringen, dat moet niet kunnen bij zo’n belangrijk product. Maar dit wordt al snel een moeilijke technische discussie, waar je niet makkelijk uitkomt als de wederpartij betaald wordt om het met je oneens te zijn.

In de nabije toekomst zullen we met wetten als de Cyber Resilience Act dit een stuk makkelijker aan kunnen pakken. Die stellen updates en een kwalitatief proces van security verplicht. Er is dan weinig nuance meer als er dan toch een securityfout doorheen glipt.

Als laatste blijf je natuurlijk met het aloude probleem in het consumentenrecht dat de winkel (die jij moet aanspreken en die wettelijk verplicht is jou je geld terug te geven, nu herstel geen optie meer is omdat de NASsen end-of-life zijn) simpelweg weigert dat te doen met meestal een excuus zoals “er zit maar 2 jaar garantie op” of “het lampje gaat aan dus hij is niet stuk”. En daarna komt security jou eruit zetten want stemverheffing triggert Protocol Lastige Klant. Het kan dus een hele toer zijn om je recht te halen als consument, en de vraag is altijd of dat het waard is gezien de prijs van het ding.

Arnoud

Ik blijf erbij, het is fout om iets computervredebreuk te noemen als je er normaal wél mag zijn

Geplaatst op in Regulering, Security, 10 reacties
Photo by Mohamed_hassan on Pixabay

Een 44-jarige man heeft een lange tijd meerdere keren ingelogd op de systemen van zijn werkgever, terwijl hij daartoe niet bevoegd (meer) was. Dat las ik in een recent vonnis over een onderwerp dat me steeds meer ergert: computervredebreuk roepen terwijl iemand er wel mág zijn alleen niet om die reden. Ik blijf erbij dat dit fout is. (Oh en Outlook is wel een geautomatiseerd werk.)

Even wat achtergrond uit het vonnis:

Verdachte is op 1 juli 2011 in dienst getreden bij het bedrijf [bedrijf benadeelde] B.V. Hij verrichtte werkzaamheden als financieel en juridisch adviseur. Binnen deze organisatie was hij tevens verantwoordelijk voor de ICT-gerelateerde aspecten.
In 2015 werd hij ziek, waarna in juni 2018 de arbeidsovereenkomst werd ontbonden (met bekrachtiging in 2019). Dat ging kennelijk niet geheel vrijwillig, getuige wat ik dan lees:
Verdachte heeft op zitting verklaard dat hij (ook) in de tenlastegelegde periode van 14 mei 2017 tot en met 29 juni 2018 meerdere malen met zijn eigen inloggegevens en met de inloggegevens van de directeur/eigenaar van het bedrijf, [benadeelde] , heeft ingelogd via een webbrowser op de e-mailaccounts van de web-e-maildienst van [bedrijf benadeelde] B.V .. Hij heeft daarbij meerdere keren schermafbeeldingen van e-mails gemaakt. Hij wilde zich verweren in een civiele zaak, waarin hij op grond van artikel 21 van het Wetboek van Burgerlijke Rechtsvordering verplicht was de waarheid te vertellen. Daarvoor moest hij de waarheid achterhalen, aldus verdachte. Hij vond het niet chique, maar ook niet strafbaar wat hij deed.
In die tijd bleek zijn account nog gewoon te werken, inclusief de speciale privileges die hij had vanwege die ICT-taken die hij had. Maar omdat hij ziek was, en het toch ook moeilijk “je werk” genoemd kan worden om bewijs te screenshotten voor een arbeidsgeschil, vindt de rechter dit een vorm van binnendringen met valse sleutel. 

Dit is de discussie die we vaker hebben gehad: je hebt op zich legaal de sleutel/wachtwoord gekregen om ergens in te mogen loggen en dingen te doen. Je doet die dingen, maar met een andere intentie of doel dan waar de verstrekker ze voor gaf. Ik snap dat dat niet mag, en zou dit ook zeker “fout op het werk” of “plichtsverzuim” of “slecht werknemerschap” noemen. Maar computervredebreuk, een ernstig misdrijf waar 4 jaar cel op staat?

Ik blijf hier moeite mee houden. Als een werknemer tegen de instructie in met zijn eigen sleutel ’s avonds naar kantoor gaat en papieren dossiers kopieert, noemen we dat dan inbraak? Voor mij is dat evident onlogisch en blijkt hier weer het “cyber is zo eng” gevoel dat ik helaas nog wel eens bij juristen tegenkom.

De verdediging had nog zeer actueel dat HR-arrest aangedragen, waarin men bepaalde dat “binnendringen in een website” niet strafbaar is omdat een website geen computersysteem is. De rechter schuift dat makkelijk terzijde, want in de tenlastelegging staat

computervredebreuk heeft gepleegd door in te loggen in de web e-mailserver van [bedrijf benadeelde] B.V .;
Dat woordje ‘server’ leest de rechtbank als het fysieke ding waar alles op gebeurt. Door dus in te loggen op de Outlook webinterface, heb je ingebroken op de hardware. En die hardware was (kennelijk, volgens het dossier) eigendom van het bedrijf zodat de discussie over “de website van Wim ten Brink, althans de servers toebehorend aan Pauperhosting BV althans de servers behorende bij Cloudflare Inc” niet relevant is.

Arnoud

 

 

Hostingbedrijf Leaseweb weigert openheid te geven over cyberaanval

Geplaatst op in Privacy, Security, 10 reacties
Photo by Masaaki Komori on Unsplash

Hostingbedrijf Leaseweb weigert na een cyberaanval openheid van zaken te geven aan de Autoriteit Persoonsgegevens, las ik bij NRC. Dit als vervolg op een datalekmelding augustus vorigjaar, Het Nederlandse Leaseweb deed eind augustus melding van een datalek bij de AP, als gevolg van een cyberaanval. Dat moet, en je moet dan ook openheid geven van de wet. Dus wat is hier aan de hand?

De zaak kwam aan het licht door een vonnis waarin de rechtbank Midden-Nederland de toezichthouder terugfluit: die had een onderzoeksrapport niet bij de externe deskundige moeten vorderen maar bij Leaseweb zelf. Dat is een beetje een zijsprong, dus laten we even terug naar de basis.

Eind augustus meldde Leaseweb bij een aantal klanten geraakt te zijn door een cyberaanval. Zoals Techzine destijds meldde:

Een cyberaanval bij het Nederlandse Leaseweb veroorzaakte een storing in de infrastructuur van het bedrijf. Slechts enkele klanten die gebruikmaken van de cloudhosting-oplossingen van het bedrijf, konden daar last van ondervinden. Om de gevolgen van de aanval zo klein mogelijk te houden, haalde Leaseweb vervolgens kritieke infrastructuur offline.
Voor het daarop volgende onderzoek werkte men “nauw samen met een gerespecteerd cyberbeveiligings- en forensisch bedrijf”. En hoewel er naar eigen zeggen “geen ongeoorloofde activiteiten” waren aangetroffen, deed men toch een melding van een datalek. Bij zo’n melding moet je ook opnemen wat je gaat doen om het probleem op te lossen en eventuele nadelige gevolgen te beperken. Dat was dus onder meer dat onderzoek door cybersecuritybedrijf Northwave.

De AP is als toezichthouder bevoegd om “alle voor de uitvoering van haar taken vereiste informatie” op te vorderen (art. 58 AVG en 5:16 Awb). Onder die bevoegdheid eiste men het volledige rapport, omdat Leaseweb dit niet vrijwillig wilde overleggen. In reactie stuurde Leaseweb nog een bijlage, maar meende toen alles te hebben gestuurd. De AP vermoedde van niet, en dan krijg je dit:

Bij brief van 2 november 2023 stuurt de AP de hostingprovider een rappel en deelt daarin mee dat als de hostingprovider blijft weigeren de gevorderde stukken te verstrekken er rekening mee gehouden dient te worden dat medewerking zal worden afgedwongen met een last onder dwangsom en/of een bezoek van toezichthouders van de AP aan het hoofdkantoor van de hostingprovider. Verder wordt meegedeeld dat het weigeren medewerking te verlenen een strafbare gedraging is waarvoor op zichzelf een boete kan worden opgelegd. De hostingprovider deelt hierop mee dat de brief van 10 oktober 2023 het volledige onderzoeksrapport en executive summary bevat en dat zij met het verstrekken hiervan aan haar medewerkingsverplichting heeft voldaan.
“U heeft niet alles gestuurd.” “Welles!” “Nietes, nu sturen of dwangsom en boete.” “Welles!” En wat moet je dan?

De gedachte van de AP was om dan naar Northwave te gaan. Als die dan meer overleggen dan Leaseweb, dan heb je allereerst dus het complete rapport en ten tweede het bewijs dat Leaseweb te weinig had overlegd.

In principe kan dat: art. 5:20 Awb stelt dat

Een ieder is verplicht aan een toezichthouder binnen de door hem gestelde redelijke termijn alle medewerking te verlenen die deze redelijkerwijs kan vorderen bij de uitoefening van zijn bevoegdheden.
“Iedereen” en “alles”, dus niet “alleen wie mogelijk een wet schendt” en “datgene wat ze zelf relevant vinden”. Dus in theorie kan de AP inderdaad bij een ingeschakeld expertbureau alle stukken vorderen die bij zo’n rapport horen. Maar er zit wel een redelijkerwijstoets, en dat is waar het hier op strandde:
Zo lang niet vaststaat dat de hostingprovider bij een opgelegde last onder dwangsom niet wil meewerken aan de inlichtingenverplichting die zij heeft, vindt de voorzieningenrechter het voor de vervulling van de taak van de AP redelijkerwijs niet noodzakelijk om inlichtingen bij verzoekster te vorderen. Van belang hierbij is dat de AP weet waar het datalek heeft plaatsgevonden en op grond van de mededelingen van de hostingprovider weet heeft van de aanwezigheid van een onderzoeksrapport. De AP staat een ander minder ingrijpend middel ten aanzien van verzoekster ter beschikking, zodat het subsidiariteitsbeginsel zich thans ertegen verzet dat de AP zich met een inlichtingenvordering en een last onder dwangsom wendt tot verzoekster in plaats van tot de hostingprovider.
De AP had dus eerst de dwangsom moeten opleggen en dan kijken of Leaseweb toch met meer informatie kwam. Pas als daar niets was uitgekomen én de geur van informatie achterhouden was blijven bestaan, dan had men zich tot andere partijen mogen wenden.

Wat ik een beetje mis in het verhaal is waaruit de AP concludeerde dat er informatie werd achtergehouden. Is dat het enkele feit dat er een brief van één kantje (met appendix) werd overlegd in plaats van wat traditioneel een “lijvig rapport” heet? De in NRC geciteerde woordvoerder vind ik niet sterk klinken:

„Het is te prijzen dat Leaseweb een melding heeft gedaan in augustus”, vervolgt de woordvoerder. „Maar na zo’n melding vragen we wel eens meer informatie op. Als we dat dan bij herhaling doen, maar geen informatie krijgen, moet een bedrijf niet gek opkijken dat we denken dat er informatie achtergehouden wordt. Het kan zijn dat er iets verborgen wordt, maar dat hoeft natuurlijk niet. Het maakt ons alleen maar nieuwsgieriger.”
Arnoud

 

 

Wacht, beginnen cloudproviders nu ook al commercialisatierechten te claimen?

Geplaatst op in Ondernemingsvrijheid, Security, 3 reacties

“Warning: Vultr (a major cloud provider) is now claiming full perpetual commercial rights over all hosted content”, zo las ik op Reddit. Als je dan meeneemt dat Vultr recent aankondigde een sprint richting AI-clouddiensten te maken, dan snap ik wel dat mensen zich daar zorgen over maken. Is het terecht?

Vultr was er snel bij om de grote klanten gerust te stellen: de betreffende zin eindigt met “for purposes of providing the Services to you”, de standaardfrase waarmee men alle rechten in clouddienstland beperkt tot hetgeen nodig is om de gevraagde dienst te leveren. De “lawyers were overzealous” en het enige doel was indekken “incase we wanted to use it for marketing purposes”.

Dat laatste is eigenlijk altijd het excuusargument geweest: stel we maken een screenshot van onze dienst in een folder en jouw site staat er toevallig op, dan willen we geen claims. Want dat gebeurt immers dagelijks, dat je folders maakt zonder uit te zoeken welke site er in komt. (En dat clouddiensten folders maken.) Ik heb daar nooit echt in geloofd.

Helemaal moeilijk te geloven is dit verhaal wanneer je beseft dat alle data met enige structuur of labeling enorm waardevol is tegenwoordig – de grote AI taalmodellen kunnen maar op één manier concurreren en dat is nóg meer data erin om nóg breder te kunnen papegaaien. Dus als een clouddienst met enorm veel klantdata zichzelf in 2024 een onbeperkt “commercialisatie” recht geeft, dan riekt dat naar “wij verkopen de gehele dataset naar de grote LLM-providers”.

Kennelijk is het een storm in een glas water. Maar stel dat ze wél bedoelden “wij mogen een AI trainen op jouw website”. Had dat dan gemogen? In principe wel: het is een grootzakelijke dienst, en daar gelden vrij weinig juridische beschermingsmaatregelen.

De DSA dan? Die bevat inderdaad enige bepalingen over dienstvoorwaarden. Artikel 14 zegt bijvoorbeeld dat je voorwaarden duidelijk alle beperkingen moeten aangeven waarop je handhaaft. En onder artikel 17 moet je specifiek motiveren op welk artikel je je beroept (en waarom dat opgaat) als je ingrijpt bij content van je klanten. Maar dat gaat allemaal niet over auteursrechten. Ook de DMA verbiedt niet het opeisen van (licenties onder) auteursrecht op materiaal van je klanten.

Blijft over de AVG, ondertussen een beetje het duizenddingendoekje in het recht. Er zitten vast persoonsgegevens van Europeanen in al die data, de grondslag voor gebruik omvat niet het [fictieve] hergebruik van Vult, dus dat is noncompliant. De privacyverklaring van Vult gaat in op de AVG en benoemt onder meer

the processing is in our legitimate interests, which are not overridden by your interests and fundamental rights. Our legitimate interests are to use subscriber, Site user, supplier and customer data to conduct and develop our business activities with them and with others while limiting the use of their personal data to purposes that support the conduct and development of our business; or
Deze omschrijving is nogal breed, “develop our business” kun je prima lezen als “we verkopen het aan een papegaaienkweker”. Ik denk niet dat dat bedoeld is, maar uitsluiten op basis van de tekst kun je het niet. We komen dan uiteindelijk toch weer bij die vraag of je een AI mag trainen met persoonsgegevens. Die laat ik voor nu even zitten.

Arnoud

 

Iedereen zei “huh”: Europees Hof: wet vingerafdrukken afstaan paspoort ongeldig, geen gevolgen

Geplaatst op in Privacy, Regulering, Security, 4 reacties

Het Europese Hof van Justitie heeft geoordeeld dat de wet dat burgers vingerafdrukken moeten toestaan voor identiteitsbewijzen ongeldig is. Dat las ik bij Tweakers. Toch geldt de wet nog steeds, tot een betere wet eind 2026 ingaat. Dit riep vele vragen op, dus laten we even kijken wat hier nu precies aan de hand was.

In 2019 is een Europese Verordening (2019/1157) aangenomen. Deze betrof “de versterking van de beveiliging van identiteitskaarten van burgers van de Unie en van verblijfsdocumenten”, en bevatte een bepaling over vingerafdrukken (artikel 3 lid 5):

De identiteitskaart bevat een opslagmedium dat aan de hoogste veiligheidseisen voldoet en dat een gezichtsopname en twee vingerafdrukbeelden van de houder van de kaart bevat, in een digitaal formaat.
Iedereen die zo’n kaart kreeg, was verplicht diens vingerafdrukken af te geven (behalve kinderen onder 6 en mensen bij wie dat fysiek onmogelijk was).

In 2021 moest iemand in Duitsland (Wiesbaden) een nieuwe ID-kaart, maar hij wilde echter niet dat de nieuwe kaart zijn vingerafdrukken zou bevatten. De gemeente zag dat anders: in de wet staat dat dat moet, en hij viel niet onder de uitzonderingen.

Daarop stapte de man naar de rechter. Hij had daarbij zowel inhoudelijke als formele argumenten. De inhoudelijke spreken voor zich, maar de formele hebben wat meer uitleg nodig. Er zijn in de EU verschillende routes om tot een bindende wet te komen. Welke route te nemen, hangt af van het onderwerp en het doel van de regeling. Een regel over consumentenrecht gaat via een heel andere route dan een maatregel ter beveiliging van de gemeenschappelijke grenzen, bijvoorbeeld.

Regels over “reisdocumenten” kunnen worden ingevoerd via artikel 21, lid 2 van het Verdrag betreffende de Werking van de EU (VWEU), dat voorschrijft dat de “gewone wetgevingsprocedure” wordt gebruikt. Maar in artikel 77(3) VWEU staan regels over “paspoorten, identiteitskaarten, verblijfsvergunningen en daarmee gelijkgestelde documenten”, maar die mogen alleen ingevoerd worden via “een bijzondere wetgevingsprocedure”.

Bent u daar nog? In gewone taal: niet Parlement en Raad hadden moeten stemmen (en met 50%+1 stem meerderheid aannemen) over deze wet, maar alleen de Raad (en met unanimiteit) na ‘raadplegen’ van het Parlement. Oftewel, verkeerde regel toegepast bij invoering, en ja dat maakt een wet ongeldig.

Het Hof toetst ook inhoudelijk de bezwaren op grond van AVG en bescherming van persoonlijke levenssfeer, maar concludeert dat deze regeling door de beugel kan. Ook de burger heeft er belang bij dat identiteitskaarten moeilijker na te maken zijn, en twee vingerafdrukken er op zetten helpt daarbij. En omdat de wet de hoogste beveiliging eist én hergebruik verbiedt, is het restrisico op misbruik aanvaardbaar.

In deze situatie vindt het Hof het een té zware maatregel om per direct de wet buiten werking te stellen. Dit zou de beveiliging van identiteitskaarten immers weer omlaag halen, en verplichten dat gemeenten zulke kaarten zonder biometrie gaan afgeven, terwijl daar geen inhoudelijke reden (zoals privacyschending) voor is.

En als je dan meeneemt dat er in 2026 sowieso een nieuwe Verordening hierover komt die ook vingerafdrukken eist, dan zou dat allemaal wel heel veel gedoe zijn. Daarom mag deze wet toch van kracht blijven.

Arnoud

 

 

Hoge Raad oordeelt dat website geen geautomatiseerd werk is

Geplaatst op in Security, 15 reacties

Een man uit Tiel die voor het inbreken op de website van een Haagse huisartsenpost was aangeklaagd is in hoger beroep terecht door het gerechtshof Den Haag vrijgesproken, omdat een website geen geautomatiseerd werk is. Dat las ik bij Security.nl vorige week. De Hoge Raad verwierp met dat argument de door het OM ingestelde cassatie tegen dat arrest. En ik erger me er dood aan.

Zoals ik in 2022 blogde bij het arrest:

Na een veroordeling in eerste instantie ging de man in hoger beroep. En daar werd hij vrijgesproken vanwege de semantische discussie dat een website geen “geautomatiseerd werk” is zoals de wet dat bedoelt, namelijk “een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen”.
Een website is immers niet meer dan een verzameling software en data, en een “inrichting” is een fysiek ding. Zoals mijn oude prof aan de TU altijd zei: hardware is het deel dat wél pijn doet als het op je voet valt.

Ik meende destijds dat de HR een website wél een inrichting vond, afgaande op een arrest over ddos-aanvallen, waarin men “website” zo las dat “onderliggende serverhardware en netwerkinfrastructuur” er gewoon bij hoorde.

Men ziet het echter anders:

Het hof heeft de vermelding “de website van [A]” opgevat als de aanduiding in de tenlastelegging van het geautomatiseerde werk dat is binnengedrongen of waarvan een gedeelte is binnengedrongen. Daarbij heeft het hof overwogen dat die website als zodanig “feitelijk slechts bestaat uit een samenstel van gegevens, geen fysieke vorm heeft en derhalve het karakter van ‘inrichting’ ontbeert”. Het hof heeft de verdachte vrijgesproken omdat – in cassatie niet bestreden – een dergelijke website op zichzelf niet als een geautomatiseerd werk kan worden aangemerkt.
Op zich niet heel raar, als je constateert dat met “website” wordt bedoeld “alleen de software en data” dan moet de conclusie zijn dat er dus niet gezegd is dat men in de “inrichting” (de hardware) is binnengedrongen.

Blijft over het argument dat je bij “website” in het gewone spraakgebruik de hardware meeleest. Maar dat gaat niet op:

De onder 2.6.1 weergegeven uitleg die het hof heeft gegeven aan de tenlastelegging en het daarin voorkomende begrip “een (gedeelte van) een geautomatiseerd werk”, welk werk bestond uit “de website van [A]” is, mede in het licht van wat onder 2.5 is vooropgesteld en het ontbreken van een concrete aanduiding op welke daar bedoelde inrichting de tenlastelegging ziet, niet onverenigbaar met de bewoordingen van de tenlastelegging en moet in cassatie worden geëerbiedigd.
Het is kennelijk onder juristen nog niet aanvaard dat als je zegt “website” dat je dan bedoelt “oftewel de daar onder liggende servers”. Dat moet je er dus bij zetten (zoals Michael Berndsen destijds betoogde). Alleen deed het Hof Den Haag daar in 2020 ook weer moeilijk over, omdat de server meestal van iemand anders is dan de website:
Dat geldt eveneens ten aanzien van het tweede en derde gedachtestreepje, aangezien de webserver en/of het netwerk en/of de computer(s)(systemen) achter het Facebook-account waarop de verdachte trachtte in te loggen niet toebehoren aan [slachtoffer 2]. Het tweede en het derde gedachtestreepje uit de tenlastelegging kunnen naar het oordeel van het hof daarom evenmin wettig en overtuigend bewezen worden verklaard.
Je komt dan uit bij de constructie “er is ingebroken bij de website van Wim ten Brink, althans de servers toebehorend aan Pauperhosting BV althans de servers behorende bij Cloudflare Inc” en ik heb daar gewoon ontzettend veel moeite mee.

Arnoud

 

 

 

Mag een winkel beveiligingscamera’s de pinapparaten laten filmen?

Geplaatst op in Ondernemingsvrijheid, Privacy, Security, 24 reacties

Een lezer vroeg me:

Een grote, bekende winkel heeft camera’s boven de balies hangen. Hierop zijn de pinpads van de pinapparaten haarscherp zichtbaar. Er wordt geen gebruik gemaakt van privacy masking, waardoor het kinderspel is om pincodes van klanten op de beelden te bekijken. Mijn vraag is: mag een winkel de pincodes van klanten filmen?
Op het eerste gezicht lijkt me dit een foutje. Men wil de balies filmen zodat bijvoorbeeld winkeldieven en onrustmakers op beeld vastliggen. Daartoe is een camera opgehangen op een gunstige plek, en niemand heeft daarbij gedacht aan de zichtbaarheid van de pinpads.

Een dergelijke fout is in dit geval een AVG issue, namelijk artikel 32 dat adequate beveiliging van persoonsgegevens vergt, en meer algemeen van artikel 24 dat eist dat je passende technische en organisatorische maatregelen neemt om naleving van de AVG te borgen. Voor mij zou het dus voor de hand liggen om een mask in te stellen bij de camerabeheersoftware, zodat precies de pinpads niet meer herkenbaar vastgelegd worden.

Je zou als winkel de afweging anders in kunnen steken, uitgaande van de aanname dat de beelden veilig opgeslagen staan en alleen bekeken worden als sprake is van een incident. Daarbij kijkt men op tijdcode bepaalde beelden terug, dus dat Wim ’s ochtends om half tien 1-2-3-4 typte zal niemand zien als we om drie uur kijken hoe Hans zich misdroeg.

Blijft over het risico van datalekken, hier dus het laten stelen van de beeldopnames. Als je de beelden automatisch wist na zeg een dag dan is dat risico redelijk beperkt, en wellicht is een opstelling mogelijk waarbij toegang tot de beelden via het netwerk onmogelijk is. (Ik realiseer me dat veel camerasystemen netwerktoegang eisen.)

Je maakt dan de afweging dat het restrisico acceptabel is, met de bijkomstige aanname dat mensen gewend zijn hun pincode af te schermen bij het typen, zodat de kans dát er een pincode in beeld komt heel klein is. Tel daarbij op dat een eventuele beelddief óók nog de pinpas van de gefilmde te pakken zou moeten krijgen, en ik zou snappen dat je dit een verwaarloosbaar risico vindt.

Arnoud

Kan ik een datalekkend bedrijf laten vervolgen wegens doxing?

Geplaatst op in Security, Uitingsvrijheid, nog geen reacties

Een lezer vroeg me:

Een bedrijf lekt mijn persoonlijke gegevens online. Criminelen gebruiken deze gegevens om mij schade te berokkenen. Is het bedrijf nu te vervolgen voor doxing?
Nee. ‘Doxing’ is in de wet gedefinieerd als het publiceren van persoonsgegevens “met het oogmerk om die ander vrees aan te jagen dan wel aan te laten jagen, ernstige overlast aan te doen dan wel aan te laten doen of hem in de uitoefening van zijn ambt of beroep ernstig te hinderen” (art. 285d Strafrecht).

Het lekken van persoonsgegevens gebeurt normaliter niet met het doel om de klant of relatie bang te maken, overlast te bezorgen of te hinderen in zijn werk. Dat kan natuurlijk best het gevólg zijn van het datalek, maar strafbare doxing is het pas als dat de bedoeling was van de persoon (of bedrijf) die het veroorzaakte.

Mij lijkt logischer dat de crimineel aan te pakken is wegens doxing, omdat deze de gegevens publiceert met schade-oogmerk. Grote kans dat dit een vorm van vrees of overlast is die dit wetsartikel bedoelt. En afhankelijk van de schade zijn er nog meer artikelen denkbaar uit het wetboek van strafrecht, denk aan oplichting of afpersing (chantage).

Arnoud

Canada wil Flipper Zero verbieden, tool zou gebruikt worden voor autodiefstal

Geplaatst op in Regulering, Security, 15 reacties
Flipper Zero” by Turbospok is licensed under CC BY-SA 4.0

Canada is van plan om de import, verkoop en het gebruik van de Flipper Zero en soortgelijke multitools te verbieden. Dat meldde Tweakers onlangs. In het land neemt autodiefstal enorme vormen aan, procentueel het tienvoudige van Nederland. Dan moet je iets doen, Flippers verbieden is iets dus laten we dat doen. Maar hoe haalbaar is dat?

De Flipper Zero is een “portable multi-tool for pentesters and geeks in a toy-like body,” aldus de fabrikant. Het ding heeft ongeveer alles dat je nodig hebt voor (old school) hacking, van een simpel schermpje en handige knoppen tot USB, Bluetooth en pogo pin aansluitingen. Het platform is open source en kan dus volledig worden aangepast, inclusief custom firmware.

Die custom firmware kwam een tijdje geleden in het nieuws: de custom firmware “Flipper Xtreme” maakte het wel heel makkelijk om een soort van denial of service aanval te doen op iPhones door een berg Bluetooth connectieverzoeken te sturen. Inclusief knopje dat “iOS attack” heet. Niet handig, juridisch gezien.

Door het gemak, de aansprekende vormgeving en het concreetmakende aspect springt er hacktechnisch nu even uit. Je kunt er bijvoorbeeld ook een laadpas voor elektrische auto’s mee simuleren en dan gratis laden (al duurt dat extreem lang en moet je dit 200 euro kostende ding met ducttape aan een laadpaal vastzetten). En ja, dat kan met meer dingen maar dit is een specifiek ding met een herkenbare merknaam dus dat is een mooi verhaal.

In Canada is het een stuk negatiever:

On Thursday, the Innovation, Science and Economic Development Canada agency said it will “pursue all avenues to ban devices used to steal vehicles by copying the wireless signals for remote keyless entry, such as the Flipper Zero, which would allow for the removal of those devices from the Canadian marketplace through collaboration with law enforcement agencies.” A social media post by François-Philippe Champagne, the minister of that agency, said that as part of the push “we are banning the importation, sale and use of consumer hacking devices, like flippers, used to commit these crimes.”
Wederom: er zijn tientallen manieren om die draadloze signalen op te vangen en te kopiëren, maar dat zijn geen leuk vormgegeven doosjes met een eenvoudige UI en een aansprekende merknaam. Sorry Raspberry Pi, maar de Zero heeft de coolfactor.

In Canada is autodiefstal een enorm probleem, en kennelijk is een populaire truc daarbij het klonen van het signaal dat de draadloze autosleutel (fob) uitzendt om de deur open te doen. De Flipper Zero kan zeker signalen opvangen en opnieuw uitzenden, maar bij autosleutels heeft dat niet zo heel veel zin:

[The most prevalent] attack requires a high-power transceiver that’s not capable with the Flipper Zero. These attacks are carried out using pricy off-the-shelf equipment and modifying it using a fair amount of expertise in radio frequency communications. (…) The Flipper Zero is also incapable of defeating keyless systems that rely on rolling codes, a protection that’s been in place since the 1990s that essentially transmits a different electronic key signal each time a key is pressed to lock or unlock a door.
Mogelijk dat bij de Canadese overheid wat verwarring is ontstaan over een hype-tje uit 2022, toen bleek dat je het signaal om de laadpoort van een Tesla te openen eenvoudig kon klonen, waardoor je met een Flipper Zero mensen kon trollen. Als je dat deurtje kunt openen, dan kun je vast ook de motor starten, zeg maar.

Hoe dan ook, de regering wil nu dus deze apparaten gaan verbieden. Maar hoe zou dat gaan, en dan heb ik het niet over de handhaafbaarheid maar over “hoe schrijf je dat eenduidig op”.

In Nederland geldt een verbod op het maken, hebben of verspreiden van hacktools. Daarbij geldt wel een specifieke eis: zo’n tool moet “hoofdzakelijk geschikt gemaakt of ontworpen [zijn] tot het plegen van een [computer]misdrijf”, zoals computervredebreuk of het aftappen van signalen (art. 139d Sr). Het is dus niet genoeg dat je er zo’n misdrijf mee kunt plegen, het ding moet er voor bestemd zijn.

In discussies over booter-sites benadruk ik altijd dat het dan al snel neerkomt op intentie van de maker. Heb je zo’n zwarte achtergrond met groene letters, l33tspeek en alleen betalen via bitcoin, dan komt dat heel anders over dan een gezellig witte achtergrond met rommelige knutselspullen en een schattig dolfijntje. Mij spreekt dan ook aan dat men de compliance-documentatie online zet in plaats van een disclaimer over illegale zaken.

Canada heeft dat niet direct, maar maakt het strafbaar (art. 342 Penal Code) om “causes to be used, directly or indirectly, a computer system with intent to commit an offence” zoals computervredebreuk of aftappen van signalen. Wie een kastje verkoopt en daarbij aanmoedigt dat je er een auto mee steelt, loopt dus tegen de strafwet aan. Een verkoper die neutraal spreekt van een pentest tool waarmee je je eigen auto kunt openen, is niet strafbaar.

Je kunt natuurlijk in zo’n strafbepaling woorden als “with intent” vervangen door “with ability”. Dan is iedere Flipper Zero inderdaad direct strafbaar, want ze hebben dan bepaalde hack-capability (andermans laadpoort openen is juridisch gezien ongeautoriseerd). Alleen krijg je dan zo’n breed verbod dat je dan tegen de meer algemene eis aanloopt dat strafbepalingen afgekaderd moeten zijn. Termen als “zou kunnen” of “mogelijk” zijn dus niet echt de bedoeling.

Mijn gevoel bij het nieuwsbericht is dat het vooral ging om reageren op de hype, laten zien dat je iets van plan bent. Voordat hier een wetsvoorstel voor is gedaan, zijn we rustig een jaar verder en heeft een ander product weer de hype.

Arnoud

Maakt het bij camerabeeldbewijs uit of de camera legaal de openbare weg filmt?

Geplaatst op in Internetrecht, Privacy, Regulering, Security, 11 reacties

Dat bericht van laatst over vernietigen van camerabeelden maakte veel los. Wis je gewoon beelden omdat je geen zin hebt in discussie, ben je strafbaar. Eén aspect licht ik er even uit: het bezwaar dat je eigenlijk de openbare weg niet mag filmen. Wat doet dat er toe?

Op LinkedIn kreeg ik bijvoorbeeld deze reactie:

Formeel gezien mag je al helemaal geen beelden van de openbare ruimte maken, laat staan opslaan. Dus als de politie eventueel beelden van je Ring deurbel wil hebben, omdat ze mogelijk vermoeden dat er een misdrijf op staat, volstaat het om aan te geven dat je de openbare ruimte die zichtbaar is binnen het beeldgebied van je camera, middels een filter wegfiltert (blurred of afdekt) voordat e.e.a. opgenomen wordt, e.e.a. conform de voorschriften van de AP.
Het is natuurlijk prima als je met een filter zorgt dat je niet nodeloos de openbare weg filmt. En als de politie dan beelden bij je vordert, dan is dat vrij simpel: u mag de blokjes hebben maar meer heb ik niet. De enige echte eis is natuurlijk dat je ook echt een filter hébt – niet bluffen als oom agent aan de deur staat met een vordering, en ook niet snel naar boven rennen en een blurretje doen.

Dat je de openbare weg “helemaal niet” mag filmen, is wat mij betreft wel echt te kort door de bocht. Als die openbare weg onvermijdelijk is bij je bewakingstaak, of het anderszins noodzakelijk is dat je ook die opneemt, dan mag dat prima. Je krijgt wel met de AVG te maken, maar dat is niet hetzelfde als “dat mag niet”.

Veel mensen die de openbare weg filmen met een aangebrachte camera zullen de AVG schenden, al is het maar omdat ze geen duidelijke waarschuwing hebben (of een privacyverklaring). En die duidelijke waarschuwing geeft nóg een probleem: het is strafbaar om met een aangebrachte camera de openbare weg te filmen als dat niet duidelijk is aangekondigd (art. 441b Strafrecht).

Het is niet strafbaar om de AVG te overtreden (dat is bestuursrecht, iets heel anders). Het WvSr overtreden is natuurlijk wel strafbaar, maar dan geldt nog steeds dat wetsovertreding door een burger geen reden is om bewijs uit te sluiten. Alleen wetsovertreding door de politie kan die discussie starten. En dan nog: in Nederland zegt de rechter dan ‘foei’ en gebruikt ie het bewijs toch met de toverformule “de verdediging is niet in haar belangen geschaad”.

Arnoud