Als een security onderzoeker een datalek ontdekt, is dat dan een datalek?

| AE 10811 | Privacy, Security | 13 reacties

Een vraag via Twitter:

Suppose during a contracted test a security testers stumbles upon a number of personal data… Is that a data breach? #gdpr – no clue yet…

Van een datalek is onder de AVG/GDPR sprake bij “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens” (artikel 4 definitie 12). Kernwoorden hierbij zijn dat de beveiliging geschonden is en dat die persoonsgegevens vervolgens per ongeluk of onrechtmatig zijn verwerkt.

Je kunt als security-onderzoeker bij een opdracht ontdekken dat persoonsgegevens kwetsbaar zijn voor zulk onrechtmatig verwerken. Dat kan per toeval of door gericht onderzoek naar security-kwetsbaarheden. Een simpel voorbeeld is dat je een standaardwachtwoord gebruikt (het bekende admin/admin voorbeeld) of een trucje uithaalt om een beveiliging te omzeilen, dat is immers deel van security onderzoek bij een bedrijf.

Met zulk handelen wordt dan een beveiliging geschonden, en vervolgens krijg je toegang tot persoonsgegevens die niet voor jou bestemd zijn. Dat zou volgens de letter dan een datalek zijn.

Alleen, gezien de aard van het onderzoek zou ik het raar vinden om deze toegang als “onrechtmatig” te kwalificeren. Het is deel van je werk, het kan gebeuren dat je dit tegenkomt. Daar is dan niets onrechtmatigs (of per ongeluks) bij. Ook zou ik dit geen ‘inbreuk’ in de zin van de wet noemen – die term heeft een ondertoon van illegaal gedrag, en een ingehuurde security onderzoeker handelt natuurlijk niet illegaal in zijn werk.

Natuurlijk moet je als onderzoeker wel gebonden zijn aan geheimhouding, het is immers niet de bedoeling dat je die gegevens vervolgens ergens anders voor gaat gebruiken. Maar dat staat standaard in de algemene voorwaarden (of apart getekende NDA) lijkt me zo.

Belangrijk is wel dat deze constatering door de security onderzoeker moet leiden tot een nader onderzoek. Want als de onderzoeker erbij kon, dan konden anderen dat misschien ook. En dát zou dan wel een datalek opleveren.

Arnoud

Een openbaar toegankelijk script manipuleren is ook gewoon computervredebreuk

| AE 10806 | Security | 20 reacties

De rechtbank Den Haag heeft geen straf opgelegd aan een 45-jarige it’er die een datalek had ontdekt en aan de grote klok had gehangen. Dat las ik bij Tweakers vorige week. De man was met een script binnengedrongen in een databank. De beveiliging daarvan was minimaal, maar dat was genoeg voor de rechtbank om van computervredebreuk te spreken. Het ethisch karakter van de computerkraak was echter reden om geen straf op te leggen.

In 2015 ontdekte de it’er hoe hij toegang kon krijgen tot donateursgegevens van een stichting. In het robots.txt-bestand van de webserver was een script vermeld dat op basis van een ID donateursgegevens teruggaf. Het script kende een gebrekkige beveiliging, waardoor de man simpelweg 80.000 ID’s kon doorlopen en de bijbehorende gegevens kon verkrijgen.

Uit het vonnis blijkt dat de man digitaal was gaan rammelen aan de deur nadat hij in de robots.txt dit script ontdekte. Hij wilde gebreken in de beveiliging van vertrouwelijke persoons- en betalingsgegevens aantonen, en daarvoor achtte hij het nodig om uitgebreid te testen om de omvang van het probleem vast te stellen. Daarna stapte hij naar klokkenluidersite Publeaks, waarna onder meer Tweakers erover berichtte. Opmerkelijk genoeg koos hij er niet voor de stichting zelf in te lichten. En dat wordt hem zwaar aangerekend.

Allereerst kijkt de rechtbank echter naar de vraag of überhaupt sprake is van computervredebreuk. Het script was niet met een wachtwoord beveiligd, maar bij artikel 138ab Strafrecht is dat ook geen vereiste. Enkel willens en wetens binnengaan waar je niet mag zijn, is een strafbaar feit. Analogieën zijn altijd gevaarlijk, maar in dit geval zou de analogie zijn dat je iemands achtertuin betreedt door een per ongeluk opengelaten tuinhekje. Dat is erfvredebreuk, ook als je niets kapotgemaakt hebt.

In dit geval komt de rechtbank tot de conclusie dat sprake is van ‘valse signalen’, een specifieke vorm van computervredebreuk:

De webserver is zo ontworpen, dat een record werd geretourneerd aan wie pictura.php opvroeg en daarna een geldig ID invoerde. De veronderstelling van de beheerder daarbij was dat alleen rechthebbenden dat konden en zouden doen. Door als niet-rechthebbende het pictura.php script op te vragen en een geldig ID in te voeren – en daarmee de webserver “enig teken” te geven –, heeft verdachte een gevolg uitgelokt – het retourneren van een record aan een niet-rechthebbende – waartoe de webserver weliswaar de mogelijkheid bood, maar waarmee de beheerder geen rekening had gehouden. Daarmee is sprake van het geven van valse signalen.

Dit betekent dus inderdaad dat je een strafbaar feit begaat door URL’s te raden. Ik zou wel zeggen, pas vanaf het moment dat je denkt “hé dat is raar, krijg ik echt hiermee gegevens die ik niet behoor te krijgen” en dan gaat doorvragen. Een URL overtypen en dan een typefout maken, waarna je andermans records krijgt, is natuurlijk een heel ander verhaal.

Juridisch is het mogelijk dat je een strafbaar feit begaat zonder zelf strafbaar te zijn. Dat kan bijvoorbeeld wanneer sprake is van ethisch hacken – vanuit een wezenlijk maatschappelijk belang handelen. Dat belang weegt dan zwaarder dan de achterliggende norm die het gedrag strafbaar verklaart. Wel is vereist dat je dan proportioneel en subsidiair handelt.

Proportioneel wil zeggen dat je niet meer doet dan nodig is voor dat belang. In dit geval ging het erom vast te stellen dat er inderdaad persoonsgegevens opvraagbaar waren zonder beveiliging. Daarvoor was het in dit geval niet nodig om 80.000 gegevens te downloaden, met een handjevol kom je ook al een heel eind. Hier ging de man dus veel verder dan nodig.

Subsidiair wil zeggen dat je bij de uitvoering van het feit zo zorgvuldig mogelijk te werk gaat. Dat betekent bij ethisch hacken dat je het ontdekte meldt aan de organisatie. Natuurlijk is het mogelijk dat een organisatie je negeert, maar het is gewoon een verplicht nummer. Het feit dat hij dit niet heeft gedaan, maar direct de publiciteit zocht, wordt hem dan ook zwaar aangerekend. Omdat de man dus niet aan de eisen van proportionaliteit en subsidiariteit heeft voldaan, wordt zijn handelen strafbaar verklaard. Echter, vanwege zijn nobele doel, het feit dat hij steeds meewerkte en dat hij geen strafblad had, wordt hem uiteindelijk geen straf opgelegd.

Voor mij is de uitspraak vooral van belang omdat hij onderstreept dat ethisch hacken wel degelijk een goede grond kan zijn om computervredebreuk te ‘mogen’ plegen. Je moet daarbij wel héél netjes te werk gaan, én natuurlijk de organisatie altijd inlichten.

Arnoud

Wie is er aansprakelijk voor een door de browser onthouden internetbankierenwachtwoord?

| AE 10709 | Security | 24 reacties

ING onderzoekt of het mogelijk is zijn Chrome-inlogpagina weer ondersteuning te laten bieden voor het invullen van wachtwoorden met een wachtwoordmanager. Dat meldde Tweakers onlangs. De bank had dit geblokkeerd uit angst dat mensen hun browser dit laten onthouden, zodat een derde zonder veel moeite vanaf die laptop kan internetbankieren met alle gevolgen van dien. Wachtwoordmanagers zijn veiliger, maar werken met dezelfde herkentechniek voor inlogpagina’s. De maatregel gaf dan ook de nodige ophef, waaronder “maar het is toch jouw keuze of je zo onveilig bent”? Ja, maar bij bankieren zijn de regels net even anders.

Hoofdregel uit het recht is dat je aansprakelijk bent voor je eigen keuzes. Dus als jij de sleutels van je pand slordig opbergt, dan kun je dat moeilijk anderen verwijten. En specifiek bij internetdiensten is het dan ook jouw keuze en jouw risico hoe je wachtwoorden kiest, beheert en toegankelijk maakt.

Natuurlijk, wachtwoorden kunnen worden gestolen of afgekeken. Maar hoe moet een internetdienst weten dat iemands login door een ander gebeurde? Behoudens heel concrete aanwijzingen zou ik dat niet weten. En pas bij een hele grote of belangrijke dienst zou ik vinden dat die actief moeten monitoren op ongebruikelijk inloggedrag.

Specifiek bij banken ligt het iets complexer. De wet zegt namelijk dat een bank altijd aansprakelijk is voor beveiligingsincidenten, behalve bij fraude, opzet en grove nalatigheid van de klant (art. 7:529 BW). Bij gewone slordigheid of onoplettendheid van de internetbankierende consument draait de bank dus op voor ongeautoriseerde transacties, met hooguit een eigen risico van 150 euro voor die consument. Per ongeluk of uit gemakzucht kiezen voor het onthouden van je inlogwachtwoord voor bankieren lijkt mij een gevalletje slordigheid en géén grove nalatigheid.

Dit risico komt ook weer terug in de Uniforme Veiligheidsregels van de banksector, die expliciet over beveiligingscodes vermelden:

Schrijf of sla de codes niet op. Of, als het echt niet anders kan, alleen in een voor anderen onherkenbare vorm die alleen door uzelf is te ontcijferen. Bewaar in dit geval de versleutelde informatie niet bij uw bankpas of bij apparatuur waarmee u uw bankzaken regelt;

Ik kan dit niet anders lezen dan dat je je browser geen wachtwoorden mag laten opslaan, maar dat je ook geen wachtwoordmanager mag gebruiken. Die “apparatuur” is immers je laptop of telefoon, en de wachtwoordmanager slaat daar het wachtwoord bij op. Dus wat dat betreft is ING wel consistent.

Tegelijk: een wachtwoordmanager en dan een stevig master password is gewoon de beste manier om jezelf te beveiligen bij online diensten. Dus dit voelt als een best wel fundamenteel dilemma.

Arnoud

Nederlandse rechter verplicht Samsung niet om snel Android-updates aan te bieden

| AE 10642 | Ondernemingsvrijheid, Security | 6 reacties

De rechtbank in Den Haag heeft in een zaak van de Consumentenbond bepaald dat Samsung niet snel beveiligingsupdates voor alle smartphones hoeft aan te bieden. Dat meldde Tweakers vorige week. De Bond had een principezaak tegen de smartphonemaker aangespannen omdat zij vond dat Samsung te weinig informatie gaf over updates, en bovendien te traag was… Lees verder

Google gaat telefoonmakers verplichten beveiligingsupdates aan te bieden

| AE 10581 | Security | 20 reacties

Google gaat telefoonmakers contractueel verplichten om smartphones van software-updates te voorzien. Dat meldde Nu.nl vorige week. Een onderwerp waar al veel over te doen is, onder meer vanuit onze Consumentenbond met haar actie die onder meer leidde tot een rechtszaak tegen Samsung met de eis tot langer updaten van smartphones. Fabrikanten zijn volgens mij gewoon… Lees verder

Moet ik aangifte doen van computervredebreuk tijdens de les?

| AE 10567 | Regulering, Security | 25 reacties

Een lezer vroeg me: Mijn docent voor het vak IT Security gaf net aan hoe makkelijk het is onbeveiligde PHPMyAdmin omgevingen te vinden met een Google-zoekopdracht en daar dan op in te loggen. We kregen zelfs een live demonstratie. Voor zover ik weet, is dit computervredebreuk en dat is een ernstig misdrijf. Ben ik nu… Lees verder

Mag je een zoekmachine voor miljoenen gehackte Nederlandse wachtwoorden online zetten?

| AE 10501 | Security | 23 reacties

De zoekmachine Gotcha.pw waarmee je de wachtwoorden van miljoenen Nederlandse e-mailadressen kunt doorzoeken is online, las ik bij RTL Nieuws. Met meteen daarop dat de zoekfunctie offline was, zo te lezen vanwege angst of het wel legaal is, om zo’n zoekdienst aan te bieden. Want meer dan 1,4 miljoen wachtwoorden van onder meer LinkedIn, Dropbox,… Lees verder

Kan een stad het commercieel draaien van Bitcoin mining computers verbieden?

| AE 10471 | Security | 25 reacties

De Amerikaanse stad Plattsburgh (NY) is de eerste die het minen (delven) van cryptomunten zoals bitcoin heeft verboden, las ik bij The Verge. De komende achttien maanden is het niet toegestaan om met commercieel oogmerk een “farm” te opereren met daarin minstens drie apparaten die specifiek bezig zijn met het minen van deze munten. De… Lees verder

Ex-werknemer moet 500 euro betalen voor achterhouden wachtwoord

| AE 10399 | Security | 32 reacties

Een voormalige medewerkster van een Amsterdams kinderdagverblijf moet van de rechter 500 euro betalen omdat ze het wachtwoord van haar bedrijfslaptop niet aan haar directeur wilde geven. Dat las ik bij Security.nl. De vrouw wilde het wachtwoord niet afgeven omdat daarmee anderen onder haar naam zouden kunnen werken, maar het kdv gaf aan niet op… Lees verder