Moet ik aangifte doen van computervredebreuk tijdens de les?

| AE 10567 | Regulering, Security | 25 reacties

Een lezer vroeg me:

Mijn docent voor het vak IT Security gaf net aan hoe makkelijk het is onbeveiligde PHPMyAdmin omgevingen te vinden met een Google-zoekopdracht en daar dan op in te loggen. We kregen zelfs een live demonstratie. Voor zover ik weet, is dit computervredebreuk en dat is een ernstig misdrijf. Ben ik nu verplicht aangifte te doen?

Het was inderdaad bepaalt niet handig van die docent om in een lesomgeving een demonstratie te geven van hoe makkelijk het is om slecht beveiligde systemen van derden te vinden. Natuurlijk is het relevant voor een vak als IT security om te melden dat dingen vaak misgaan, maar daarvoor hoef je niet te laten zien hoe je dit exact nagaat bij derden.

Echt problematisch is zo’n live demonstratie. (Ik neem maar aan dat dit geen eigen server was die als demonstratie-object werd gebruikt.) Want ja, het is strafbaar als computervredebreuk om binnen te dringen in een computersysteem van een derde. Of daarbij een beveiliging wordt doorbroken of een security zwakheid wordt geëxploiteerd doet er in principe niet toe. Zodra je weet of moet weten dat je daar niet mag zijn in dat systeem, is sprake van een strafbaar feit.

Iedereen is bevoegd om aangifte te doen van een strafbaar feit wanneer hij daar kennis van heeft (art. 161 Wetboek van Strafvordering). Als student bij dat vak kun je dus als je dat wilt naar de politie en melden dat dit is gebeurd. Persoonlijk zou ik eerder naar de decaan of opleidingsdirecteur stappen, ik denk dat dat meer kans maakt om tot een gedragsaanpassing te komen.

Verplicht is het niet. De wet (artikel 160 Strafvordering) noemt een aantal misdrijven waarbij aangifte verplicht is, maar het gaat dan eigenlijk altijd over zeer ernstige misdrijven waarbij mensenlevens in gevaar komen, zoals moord en doodslag, verkrachting en ontvoering. Computervredebreuk en aanverwante misdrijven (zoals ddos aanvallen) horen daar niet bij.

Arnoud

Mag je een zoekmachine voor miljoenen gehackte Nederlandse wachtwoorden online zetten?

| AE 10501 | Security | 23 reacties

De zoekmachine Gotcha.pw waarmee je de wachtwoorden van miljoenen Nederlandse e-mailadressen kunt doorzoeken is online, las ik bij RTL Nieuws. Met meteen daarop dat de zoekfunctie offline was, zo te lezen vanwege angst of het wel legaal is, om zo’n zoekdienst aan te bieden. Want meer dan 1,4 miljoen wachtwoorden van onder meer LinkedIn, Dropbox, Playstation en eBay publiceren, dat kan toch niet legaal zijn? Nou ja, zoals ik het bij Gotcha zie wel.

In maart blogde ik over de dienst HaveIBeenPwned.com van de Amerikaan Troy Hunt. Die biedt een zoekmachine die je na invoer van een mailadres meldt of er een wachtwoord bij bekend is (maar natuurlijk niet het wachtwoord zelf). Dat is niet strafbaar bij ons; het gebruik van een gelekt wachtwoord is wel strafbaar (computervredebreuk) net als het publiceren van iemands wachtwoord met als doel dat mensen vervolgens op dat account gaan inloggen.

Ga je wachtwoorden als zodanig bekend maken, dan wordt het spannender. Dat kan ik nog net billijken als je dit alleen aan de eigenaar zelf bekend maakt, al dan niet tegen betaling, maar dan moet er wel enige fatsoenlijke identiteitscontrole op zitten.

Bij Gotcha.pw zie ik nergens wachtwoorden gepubliceerd. De dienst is iets makkelijker in dat je een domeinnaam kunt (kon) invoeren en dan van alle bijbehorende mailadressen met bekend wachtwoord een melding krijgt. Dat zou in theorie de kans op misbruik kunnen vergemakkelijken, maar je krijgt per mailadres slechts de helft van de gebruikersnaam te zien en 2 letters van het wachtwoord. Daarmee heb je alsnog te weinig om daadwerkelijk op dat account in te loggen. Wat mij betreft is dit dus gewoon legaal.

Ook vanuit AVG-perspectief (een verplicht nummer zo net 2 maanden voor deze aardverschuiving) zie ik geen problemen. Ja, je verwerkt persoonsgegevens namelijk mailadressen en wachtwoorden van persoonsgebonden accounts. Nee daar heb je geen toestemming voor. Maar dat hoeft ook niet, want onder de AVG zijn er meer grondslagen. De hier relevante is die van het eigen gerechtvaardigd belang: het is in het algemeen belang (én dat van de slachtoffers) dat je gemakkelijk kunt nagaan of iemands wachtwoord gelekt is. Algemeen belang zodat beheerders in kunnen grijpen, en eigen belang zodat je je wachtwoord kunt wijzigen en goed op kunt letten.

Binnen dat belang moet je privacywaarborgen nemen, en dat is hier het geval met die halve naam en 2 letters wachtwoord. Daarmee zijn mensen niet van buitenaf te identificeren. Een organisatie zou dat met hun klanten of personeel wellicht wel kunnen (hoe veel a.engel*****@ictrecht.nl kennen we?) maar dat is binnen het belang een aanvaardbare situatie. Natuurlijk moet de werkelijke database zo stevig mogelijk dichtgetimmerd zijn en bij voorkeur niet via internet toegankelijk (dataminimalisatie en beveiliging). Maar bijzondere risico’s zie ik verder niet.

Arnoud

Kan een stad het commercieel draaien van Bitcoin mining computers verbieden?

| AE 10471 | Security | 25 reacties

De Amerikaanse stad Plattsburgh (NY) is de eerste die het minen (delven) van cryptomunten zoals bitcoin heeft verboden, las ik bij The Verge. De komende achttien maanden is het niet toegestaan om met commercieel oogmerk een “farm” te opereren met daarin minstens drie apparaten die specifiek bezig zijn met het minen van deze munten. De reden achter deze tijdelijke ban is dat de stad kennelijk de goedkoopste elektriciteitstarieven in de VS heeft en daardoor heel aantrekkelijk wordt voor ondernemers die op zoek zijn naar snelle winsten met de cryptomunten. Maar kan dat zomaar?

De ordinance is zoals vaker in de VS best leesbaar en to the point. Het is neit meer toegestaan om een lokaal te bouwen of in gebruik te nemen voor het minen van cryptocurrencies voor commerciële doeleinden (zeg maar het minen met als oogmerk de snelle verkoop en winst pakken).

“Commercial cryptocurrency mining” is defined herein is the commercial process by which cryptocurrency transactions are verified and added to the public ledger, known as the block chain, and also the means through which new units of cryptocurrencies are released, through the use of server farms employing data processing equipment. For purposes of this definition, any equipment which requires a High Density Load Service, or any Server Farm, will presumably be a commercial cryptocurrency mining operation.

De reden is vrij simpel: allerlei cryptocurrency miners hebben de stad opgezocht vanwege haar aantrekkelijke lage stroomtarieven, die zo ingestoken zijn om bedrijvigheid (en daarmee werkgelegenheid) te stimuleren. Maar dat valt vies tegen bij miningbedrijven, dat is immers een kwestie van de kastjes aanzetten en niet meer aankomen. Eén bedrijf vrat op die manier 10% van alle elektriciteit in de stad. Mede daardoor liep ieders elektriciteitsrekening met maar liefst 100 dollar per maand op, reden voor het bestuur om in te grijpen.

In Nederland lijkt me dit probleem niet snel te spelen, omdat elektriciteit niet iets is waar een individuele gemeente over gaat. Subsidie of andere voordeeltjes om bedrijven zich ergens te laten vestigen dat kan natuurlijk, maar vrijwel altijd is dat gekoppeld aan een beoordeling van het bedrijf in kwestie en ik kan me voorstellen dat een cryptominingbedrijf dan snel afvalt.

Omgekeerd heeft een miningbedrijf (bestaan die in Nederland überhaupt?) weinig te winnen met een specifieke vestigingsplaats. Ik kom niet verder dan een gemeente met lage huurprijzen voor een grote loods op een bedrijventerrein.

Arnoud

Ex-werknemer moet 500 euro betalen voor achterhouden wachtwoord

| AE 10399 | Security | 32 reacties

Een voormalige medewerkster van een Amsterdams kinderdagverblijf moet van de rechter 500 euro betalen omdat ze het wachtwoord van haar bedrijfslaptop niet aan haar directeur wilde geven. Dat las ik bij Security.nl. De vrouw wilde het wachtwoord niet afgeven omdat daarmee anderen onder haar naam zouden kunnen werken, maar het kdv gaf aan niet op… Lees verder

Mag een site me tegen betaling zeggen of ik gehackt ben?

| AE 10352 | Security | 31 reacties

Wat is dit nu weer voor een dienst: Is mijn data gelekt.nl. “Ismijndatagelekt.nl biedt internetgebruikers de mogelijkheid om te checken of er inloggegevens van hen op internet te vinden zijn. Deze internetgebruikers kunnen hierop dan actie ondernemen en zichzelf beter beschermen”, zo staat er in de “over ons”. Wil je echter weten om welke gegevens… Lees verder

Wat moet ik doen als mijn klant me productiedata geeft om te testen?

| AE 10350 | Intellectuele rechten, Privacy, Security | 19 reacties

Een lezer vroeg me: Wij ontwikkelen enterprisesoftware voor klanten, en testen deze uiteraard ook. Meestal ontvangen we daarvoor de testdata van de klant en soms zit daar ineens productiedata tussen inclusief persoonsgegevens. Zijn wij daarvoor aansprakelijk onder de GDPR? Het is uiteraard een goed idee om software te testen alvorens je deze gebruikt, zeker wanneer… Lees verder

Heb ik recht op een nieuwe laptop als de processor een Meltdown of Spectre heeft?

| AE 10210 | Ondernemingsvrijheid, Security | 19 reacties

Beveiligingsexperts vonden twee grote bugs in processors, die vrijwel in elke computer ter wereld worden gebruikt. Dat meldde Nu.nl vorige week. De zogeheten Meltdown en Spectre bugs zijn bugs die er voor kunnen zorgen dat hackers toegang krijgen tot het kernelgeheugen van computers, waarmee onder meer wachtwoorden eenvoudig te achterhalen zijn (nou ja, “eenvoudig“). De… Lees verder

Mag De Nederlandsche Bank de banken gaan hacken?

| AE 9809 | Security | 10 reacties

Een team onder de vlag van De Nederlandsche Bank (DNB) gaat de Nederlandse financiële infrastructuur hacken, las ik in het FD. Het ‘red team’ (oeh spannend) krijgt de opdracht om daadwerkelijk in te breken bij banken en financiële instellingen, waar slechts een klein groepje mensen afweet van de poging. Uiteraard wordt er niet daadwerkelijk schade… Lees verder

Mag een bedrijf vragen om een kopie van je ID bij een inzageverzoek?

| AE 9803 | Privacy, Security | 23 reacties

Een lezer vroeg me: Wanneer je je wettelijk recht op inzage of verwijdering van je persoonsgegevens wilt uitoefenen, wordt steeds vaker gevraagd of je een kopie van je identiteitsbewijs wilt opsturen. Is dat eigenlijk wel toegestaan? Onder de Wet bescherming persoonsgegevens, en straks de Algemene Verordening Gegevensbescherming (AVG of GDPR) heb je het recht om… Lees verder