Nee, geheimhouding bij ethical bug reporting is niet bindend

| AE 12954 | Security, Uitingsvrijheid | 13 reacties

De researcher die een ernstige bug bij messaging dienst Telegram meldde, heeft afstand gedaan van de $1000 beloning omdat er geheimhouding aan gekoppeld was, las ik bij Ars Technica. Als verantwoordelijk security-onderzoeker had Dmitrii (geen achternaam) deze netjes gemeld. Telegram moedigt dat ook aan, en je kunt zelfs een bug bounty krijgen. Maar het was nog moeilijk genoeg om de aandacht te krijgen, en toen die kwam, zat er een NDA aan vast. Daar hoef je geen genoegen mee te nemen als onderzoeker.

De bug betrof de zogenaamd zelfvernietigende afbeeldingen: deze bleven per abuis in de cache op telefoons staan, ook nadat gemeld was dat deze berichten verwijderd waren. Iets om te melden natuurlijk, maar makkelijk ging dat niet:

But for a simple bug like this, it wasn’t easy to get Telegram’s attention, Dmitrii explained. The researcher contacted Telegram in early March. And after a series of emails and text correspondence between the researcher and Telegram spanning months, the company reached out to Dmitrii in September, finally confirming the existence of the bug and collaborating with the researcher during beta testing. For his efforts, Dmitrii was offered a €1,000 ($1,159) bug bounty reward.
Voor die beloning moest Dmitrii wel een contract tekenen (van acht pagina’s), waarin een eeuwigdurende geheimhoudingsclausule opgenomen was. Wie in het goede gelooft, zal denken dat Telegram een foutje maakte: dit contract was namelijk een standaard consultancy agreement, waarmee Dmitrii als zzp’er zou werken aan het melden van de bug zeg maar. Niet raar om daarin geheimhouding op te nemen, maar wél raar om dat contract als basis te gebruiken voor het afhandelen van een melding.

Wie niet in het goede gelooft, zal concluderen dat Telegram Dmitrii de mond wilde snoeren met een wurgcontract. (Excuses, mijn metaforen botsen soms.) Ik geloof zelf altijd meer in incompetentie: de persoon die de tip van Dmitrii kreeg, had geen idee waar het over ging en pakte toen maar het best passende contract, iemand wil wat voor ons doen en mijn baas zegt dat dat mag, dan is deze persoon dus een ingehuurde consultant.

De les voor de meelezende security researchers, ethical hackers en ander goedwillend volk: je hoeft zulke dingen niet te tekenen, ongeacht wat een bedrijf zegt. Als je ongevraagd een fout opspoort, dan is melden je goed recht maar zeker niet je plicht. Meteen naar buiten met de bug mag ook, het is vooral dat het nétjes is om even zestig dagen te wachten voordat je dat doet zodat de impact bij het bedrijf redelijkerwijs wat gedempt wordt. Natuurlijk zijn hier allemaal weer uitzonderingen op, maar geen van die komen neer op “je hebt toestemming van het bedrijf nodig om te publiceren wat er mis ging”.

Een bedrijf kan op zich een beloning koppelen aan een eeuwigdurende geheimhouding, dat dan weer wel. Want omgekeerd zijn zij niet verplicht om mensen te betalen die ongevraagd bugs komen melden. De enige echte uitzondering daarop zou zijn als er een bug bounty programma is gepubliceerd waarin staat dat je na x dagen mag publiceren, en je dan zo’n eeuwige NDA opgelegd krijgt.

Arnoud

Microsoft maakt einde aan wachtwoorden, andere techbedrijven voorlopig niet

| AE 12947 | Security | 19 reacties

Microsoft kondigde onlangs aan gebruikers de keuze te bieden zonder wachtwoorden in te loggen, zo las ik bij Nutech.nl. Wie dat wil, kan sinds kort het wachtwoord van zijn Microsoft-account verwijderen en inloggen met gezichtsherkenning, een toegestuurde sms- of mailcode, een codegenerator of een fysieke sleutel. Op zich natuurlijk geen juridisch nieuws, maar ik licht het er toch even uit omdat a) security ontzettend belangrijk is binnen de ict en b) juristen zich regelmatig tegen wachtwoordbeleid aan bemoeien.

Microsoft maakt de stap omdat wachtwoorden fundamenteel onveilig zijn. Ze kunnen worden afgekeken, geraden of uit datalekken afgeleid. Eigenlijk was het altijd al een hele rare keuze, wachtwoorden. Mensen iets laten doen waar computers heel goed in zijn en mensen niet (onthoud acht tekens, waarvan minstens drie hoofdletters, minimaal één cijfer en één leesteken maar niet als eerste teken, u kent het wel), hoe kom je er bij. Maar goed, in de jaren zeventig was dat de enige logische keuze.

Ook het wijzigen van wachtwoorden komt uit die tijd. Het Amerikaanse ministerie van Defensie had recent ontdekt dat aanvallers wachtwoorden konden kraken, zelfs als ze versleuteld waren opgeslagen. Het terugrekenen van de versleuteling (jaja, ik weet het maar leg jij rainbow tables eens uit in gewone taal) kostte ongeveer zes weken, zo was de inschatting. De praktische oplossing: elke maand een nieuw wachtwoord, dan is de informatie voor de criminele aanvaller verouderd voordat deze hem gevonden heeft. Die regel belandde ergens in de algemene kennis van de ICT-securityspecialisten – en de juristen, want dit is praktische regelgeving en dat is hardnekkiger dan de Grondwet om te veranderen.

Al geruime tijd is er een verbetering, namelijk tweefactorauthenticatie. Daarbij heb je naast je wachtwoord ook bijvoorbeeld een vingerafdruk nodig of een fysiek token. Dat scheelt in het aanvalsgemak, maar:

Veel vormen van 2FA berusten nog steeds op het inloggen met wachtwoorden, wat deze manier van inloggen nog steeds kwetsbaar maakt voor aanvallen van buitenaf. Het is veiliger dan inloggen met alleen een wachtwoord, maar de kwetsbaarheden van het wachtwoord worden niet weggenomen.
Wie dat wil, kan sinds kort het wachtwoord van zijn Microsoft-account verwijderen en inloggen met gezichtsherkenning, een toegestuurde sms- of mailcode, een codegenerator of een fysieke sleutel. Dat is echt een stap vooruit, en ik hoop dan ook dat andere bedrijven snel gaan volgen. (Ik gebruik zelf al lange tijd een Bluetooth-koppeling: als mijn telefoon (die in mijn zak zit) te ver van mijn laptop is, dan gaat mijn laptop op slot. Een wachtwoord draagt daar niets meer aan bij.)

Het juridische haakje: u mag nu even de verwerkersovereenkomsten controleren op uw passende technische en organisatorische maatregelen onder artikel 32 AVG die u opgelegd zijn of die u aan verwerkers oplegt. Afgaande op de paar duizend verwerkersovereenkomsten uit onze contractenscanner staat daar namelijk in dat men sterke wachtwoorden moet hanteren (32% van de clausules) en maar zelden iets over 2FA (4%). Regelmatig wijzigen van wachtwoorden staat vrijwel altijd (78%) bij die wachtwoordclausules, wat binnen de securitywereld juist een slecht idee is – dan krijg je welkom42 of X5j13$#eOktober als wachtwoorden. Tijd dus om hier nieuwe regels over in te voeren.

Meelezende juristen en compliance officers: ondersteunt jouw securitybeleid en/of VO het gebruik van wachtwoordloze authenticatie?

Arnoud

Mag de internetprovider van mijn werknemer zomaar remote desktop verkeer tegenhouden?

| AE 12949 | Security | 9 reacties

manfredrichter / Pixabay

Een lezer vroeg me:

Vorige week gaf een van onze thuiswerkers aan niet meer in te kunnen loggen in ons ERP systeem dat we bij een derde afnemen. Het werkt op basis van remote app, oftewel bij activatie wordt op de achtergrond een remote desktop gestart. Na veel testen bleek de internetprovider van deze werknemer remote desktop categorisch tegen te houden. Zo kan zij niet werken! Staat de provider in zijn recht om dit zo te doen, zonder het zelfs maar te overleggen?
Hoofdregel uit de wet is dat een internetprovider geen inkomend of uitgaand netwerkverkeer van haar klanten mag blokkeren. Dat volgt uit het beginsel van netneutraliteit en is in Europa in de wet verankerd (Verordening 2015/2120). Artikel 3 hiervan bepaalt:
1. Eindgebruikers hebben het recht om toegang te krijgen tot informatie en inhoud en deze te delen, toepassingen en diensten te gebruiken en aan te bieden, en gebruik te maken van de eindapparatuur van hun keuze, ongeacht de locatie van de eindgebruiker of de aanbieder, en ongeacht de locatie, herkomst of bestemming van de informatie, inhoud, toepassing of dienst, via hun internettoegangsdienst.
Het gebruik van een remote desktop dienst om een systeem op afstand af te nemen valt hier onder, ook als je dit voor je werk doet terwijl het een consumentenabonnement is.

Dat wil echter niet zeggen dat een provider nooit ook maar enige byte tegen mag houden. De wet noemt een aantal uitzonderingen:

  • Handelen op basis van een wettelijk verbod of gerechtelijk bevel
  • Beschermen van de integriteit en de veiligheid van het netwerk
  • Netwerkcongestie voorkomen of beperken
Op deze gronden mag een provider filteren of blokkeren, mits dat strikt noodzakelijk en onvermijdelijk is om een van deze doelen te dienen. Een standaardvoorbeeld zou het in quarantaine plaatsen van een consumentencomputer zijn omdat deze malware verspreidt. Dat dient de veiligheid van het netwerk, en heel veel andere opties heb je niet (als je de consument niet te pakken krijgt).

Ik vermoed dat deze provider door heeft dat het remote desktop protocol misbruikt wordt, onder meer door DDoS aanvallen te versterken of door bij onoplettende gebruikers van slecht geconfigureerde computers binnen te dringen. Omdat er (in ieder geval tot het begin van het coronathuiswerken) weinig mensen waren die op een consumentenlijn via RDP werken, is het dan logisch om deze poort dicht te zetten vanuit veiligheidsoverwegingen.

Nu is de situatie natuurlijk iets anders, hoewel het me wel verbaast dat de vraagsteller er nu pas achter komt. Mogelijk is de provider recent tot filteren overgegaan omdat ze een aanval te verduren hebben gehad. De juridische discussie of de poort dan weer open moet, en welke maatregelen de werknemer moet nemen, lijkt me dan een hele lastige. Ik zou dus eerder kijken of je de RDP toegang over een VPN kunt faciliteren, dat lijkt me sowieso een veiliger idee.

Arnoud

Niet-loggend Protonmail blijkt op bevel toch te loggen, hoe raar is dat?

| AE 12898 | Regulering, Security | 20 reacties

Het Zwitserse Protonmail, een bekende voorvechter van privacyvriendelijk mailen, blijkt op bevel van de Zwitserse autoriteiten IP-adressen te loggen. Dit terwijl ze zeggen dat niet te doen. Dat meldde TechCrunch onlangs, op gezag van Etienne – Tek op Twitter. Het bevel is gegeven op gezag van Europol, naar aanleiding van een Frans onderzoek naar klimaatactivisten die… Lees verder

Man die wifi-wachtwoord voor ander doel gebruikte schuldig aan computervredebreuk

| AE 12888 | Privacy, Security | 12 reacties

Een 51-jarige man die als schoonmaker een verborgen camera plaatste en die koppelde met het wifi-netwerk van zijn slachtoffer heeft zich onder andere schuldig gemaakt aan computervredebreuk, meldde Security.nl onlangs. De rechtbank Amsterdam veroordeelde de man eind augustus tot 10 maanden cel (4 voorwaardelijk) voor deze computervredebreuk, gekoppeld aan het maken van stiekeme intieme beelden… Lees verder

Kun je aansprakelijk gesteld worden voor bitcoindiefstal door je kinderen?

| AE 12882 | Security | 9 reacties

Een Amerikaan heeft de dieven van 16 bitcoins (destijds 2 ton in Euro’s) gevonden en klaagt nu hun ouders aan, zo meldde Krebs on Security onlangs. De man stak veel tijd in het opsporen van de bitcoindieven, maar wist met het nodige forensisch onderzoek te achterhalen dat twee Britse -destijds- minderjarigen de cryptomunten naar zich… Lees verder

Mag ik mijn klanten scannen op kwetsbaarheden zoals ProxyShell?

| AE 12864 | Security | 9 reacties

Een lezer vroeg me: Wij zijn een ISP die honderden bedrijven heeft ontsloten. We weten van een kwetsbaarheid in Exchange die we kunnen scannen en detecteren. Mogen wij onze eigen klanten nu hierop scannen, ondanks dat ze geen toestemming hebben gegeven en bij ons geen dienst van softwarebeheer afnemen? Ik heb al een aantal keer… Lees verder

Mag een zoekmachine het World-Wide Web scannen op securitykwetsbaarheden?

| AE 12830 | Security, Uitingsvrijheid | 2 reacties

Een lezer vroeg me: Ik las dat in augustus tijdens de Defcon-hackerconferentie de zoekmachine Punkspider opnieuw gelanceerd zal worden. Deze zal dan dagelijks miljoenen websites op kwetsbaarheden scannen. De resultaten zijn vervolgens via de zoekmachine te vinden, wat volgens de ontwikkelaars voor een veiliger web moet zorgen. Hoe is dat in vredesnaam legaal, laat staan… Lees verder

Zijn de Encrochat-berichten bruikbaar als bewijs?

| AE 12799 | Regulering, Security | 5 reacties

Europese speurders hebben de berichtendienst EncroChat gekraakt en zo ongeveer 1.800 vermoedelijke misdadigers kunnen arresteren. Dat meldde HLN een tijdje geleden. In het rechercheonderzoek 26Lemont kon de politie maanden live meekijken met bij criminelen razend populaire, versleutelde communicatie. Dit dankzij Nederlands/Franse samenwerking waarbij men een backdoor via de server van Encrochat ongezien op telefoons van alle… Lees verder

Ik hoop dat die orthodontist z’n webbouwer aansprakelijk stelt voor die 12.000 euro boete

| AE 12727 | Security | 53 reacties

De Autoriteit Persoonsgegevens heeft een boete van 12.000 euro uitgedeeld aan een orthodontistenpraktijk omdat die op een aanmeldformulier geen ssl-verbinding gebruikte. Dat meldde Tweakers vorige week. Door het ontbrekende ‘slotje’ liepen patiënten de kans dat gevoelige gegevens, zoals hun BSN, in verkeerde handen zouden terechtkomen. Opmerkelijk dat die basale beveiligingsmaatregel er niet was, maar minstens zo… Lees verder