Mag een zoekmachine het World-Wide Web scannen op securitykwetsbaarheden?

| AE 12830 | Security, Uitingsvrijheid | 2 reacties

Een lezer vroeg me:

Ik las dat in augustus tijdens de Defcon-hackerconferentie de zoekmachine Punkspider opnieuw gelanceerd zal worden. Deze zal dan dagelijks miljoenen websites op kwetsbaarheden scannen. De resultaten zijn vervolgens via de zoekmachine te vinden, wat volgens de ontwikkelaars voor een veiliger web moet zorgen. Hoe is dat in vredesnaam legaal, laat staan ethisch verantwoord?
Het voelt inderdaad een tikje raar als je het zo leest: dan kun je dus als crimineel-in-spe even naar die zoekmachine om te kijken welke sites eenvoudig kwetsbaar zijn. Zal ik ook maar de “goedkope voordeurslotenspider” beginnen, keyPunk.darkweb?

Of het legaal is, komt echter neer op de vraag wat Punkspider precies doet met hun doorzoekactie. Het leest als een vorm van portscannen, men toetst op bekende kwetsbaarheden zoals SQL injectie of cross-site scripting.

Zo te lezen publiceert men niet in detail welke kwetsbaarheid gevonden is, alleen grofweg “deze site is kwetsbaar voor gegevensdiefstal vanwege SQL injectie, laat hier niets achter alsjeblieft”. (Ik zag al de categorie “dumpster fire” dus ik hoop dat de boodschap overal in zulke duidelijke taal gecommuniceerd wordt.)

Portscannen en onderzoeken naar kwetsbaarheden is strafbaar wanneer je het doet met de bedoeling (het “oogmerk”, juridisch gezegd) om daarna computervredebreuk te plegen, of om anderen aan te zetten dat te doen. De Punkspider-eigenaren zijn dat zeker niet zelf van plan, zij publiceren immers deze rapporten juist zodat brakke sites de beoel eindelijk eens repareren en er dus géén computervredebreuk gaat plaatsvinden.

Blijft dus over, zetten zij criminelen aan tot misbruik van de gevonden kwetsbaarheden? Dat lijkt me op het eerste gezicht niet het geval. Ik zie dus niet meteen het strafbare aan deze zoekmachine, tenzij blijkt dat men het wel héél eenvoudig maakt om met een gegeven exploit direct een inbraak uit te voeren. Daarvoor moeten we de definitieve publicatie afwachten, maar het lijkt me sterk.

Arnoud

Zijn de Encrochat-berichten bruikbaar als bewijs?

| AE 12799 | Regulering, Security | 5 reacties

Europese speurders hebben de berichtendienst EncroChat gekraakt en zo ongeveer 1.800 vermoedelijke misdadigers kunnen arresteren. Dat meldde HLN een tijdje geleden. In het rechercheonderzoek 26Lemont kon de politie maanden live meekijken met bij criminelen razend populaire, versleutelde communicatie. Dit dankzij Nederlands/Franse samenwerking waarbij men een backdoor via de server van Encrochat ongezien op telefoons van alle 50.000 Encro-klanten wist te installeren. Een recent vonnis laat zien hoe de Nederlandse rechter daar tegen aankijkt.

De Encrochat-hack gaat niet zo ver als de Amerikaanse FBI truc waarbij men als politiedienst zogenaamd veilige telefoons verkocht (Anom) om vervolgens op het gemak mee te lezen. Er was daadwerkelijk een inbraak door politie op de servers van het bedrijf achter de Encrochat dienst gepleegd. Encrochat begon ooit als veilige dienst voor celebrities die bang waren voor hackende journalisten (met name in Engeland een reëel risico) maar werd ook veel door criminelen gebruikt.

De precieze details van de hack zijn nog steeds onduidelijk, maar het komt erop neer dat de Franse Justitie in samenwerking met de Nederlandse politie binnen wist te dringen in de infrastructuur van Encrochat en van daaruit malware op de telefoons wist te pushen. Althans, malware voor de criminelen – voor de politie was het natuurlijk een legitieme afluister- en kopieertool. Aldus wist men vele, heel vele criminele transacties en overleggen te pakken te krijgen, wat tot een golf aan arrestaties en strafzaken leidde.

Maar is dat nu legaal, zo’n actie? De operatie was goedgekeurd door de opsporingsdiensten en rechter-commissaris, maar dat is natuurlijk voor een beetje advocaat geen argument. Allereerst zit je met het punt dat de actie was gebracht als een onderzoek tegen het bedrijf van Encrochat, en hoezo mag je dan chats van gebruikers lezen? Dat staat buiten dat onderzoek, zou je zeggen. En ten tweede, hoezo mag de Franse justitie toestemming geven om chats van Duitse figuren te lezen die in Duitsland snode plannen maken?

In Nederland kwam dit voor het eerst begin juli in een vonnis terug. Acht verdachten stonden terecht in een grote strafzaak, en hadden onder meer bezwaar gemaakt tegen gebruik van Encrochat-data als bewijs tegen hen. Het eerste punt van bezwaar was dat in die Frans/Nederlandse samenwerking er geen bevel was van de Nederlandse rechter-commissaris. Maar dat hoeft niet, aldus de rechter: de feitelijke inbreuk op de privacy was door de Franse autoriteiten begaan, niet (ook) door de Nederlanders.

Je moet dan toetsen onder het Franse recht, en dat bleek goed gegaan te zijn:

In het dossier zitten (vertalingen van) een zestal Franse processen-verbaal waaruit afgeleid kan worden dat een Franse rechter toestemming heeft gegeven voor het onderscheppen van Encrochatgegevens en dat er periodieke rechterlijke controle heeft plaatsgevonden.
De Duitse rechter zag dat dus anders: die eist dat als het gaat om Duitse burgers, de Duitse rechter om toestemming wordt gevraagd.

Maar hoe zit dat dan met dat ‘bijvangst’-argument? Hoezo mocht men chats van gebruikers lezen als het onderzoek tegen het bedrijf gericht was en niet tegen verdachte gebruikers?

Voorafgaand aan de interceptie, zo stelt het openbaar ministerie, is ingezien dat een inbreuk op de persoonlijke levenssfeer van gebruikers van Encrochat voorzienbaar was, maar dat dit noodzakelijk was om bewijs tegen het bedrijf Encrochat te verzamelen. De verdediging stelt daar tegenover dat de Encrochat hack in werkelijkheid bedoeld was om bewijs te verkrijgen tegen individuele gebruikers van de Encrochat telefoons en ziet dit vermoeden bevestigd in de zogenaamde Britse stukken. De rechtbank acht deze stelling van de verdediging vooralsnog onvoldoende onderbouwd nu die Britse stukken op zichzelf niet onverenigbaar zijn met het standpunt van het openbaar ministerie dat het onderzoek zich richtte op het bedrijf Encrochat.
Het argument daar achter is dus dat als je legitiem bezig bent met een bedrijf te onderzoeken, en je vindt dan ook bewijs tegen gebruikers, dat dat als ‘bijvangst’ gewoon gebruikt mag worden. Het zou raar zijn als je dat moest laten liggen, terwijl je geen regel overtrad bij het vinden. Bijvangst is legaal verkregen bewijs. Dat wordt anders als dat onderzoek niet echt naar dat bedrijf was, maar een smoesje om eigenlijk de gebruikers te kunnen volgen.

Uit de Engelse stukken blijkt niet dat de Franse/Nederlandse samenwerking daarop gericht was. Oké, denk ik dan, maar een backdoor op al die telefoons pushen voelt niet als een heel logische actie bij een onderzoek naar het bedrijf.

Een volgend probleem was dat de verdediging al die berichten moeilijk kan onderzoeken. Dit is altijd een probleem in het strafrecht: het OM kan in theorie met onbeperkte middelen technisch onderzoek doen en deskundigen laten opdraven, en de advocaat van de verdachte moet maar hopen dat hij iemand vindt die het voor een leuk bedragje wil doen.

De rechter hier is bereidwillig:

Nu de verdediging in dit dossier voor de informatie over het onderzoek voor een belangrijk deel is aangewezen op de door het openbaar ministerie door onder nummer bekend zijnde officieren van justitie opgestelde processen-verbaal, is de rechtbank van oordeel dat in het licht van een eerlijk proces aan de verdediging de mogelijkheid moet worden geboden tot het uitoefenen van meer directe controle. Om die reden zal de rechtbank beslissen dat het verzoek tot het horen van de officier van justitie van het landelijk parket bekend als LAP 0797 zal worden toegewezen.
Kennelijk zijn de meeste stukken geheim, wat natuurlijk logisch is gezien de enorme scope van de vangst, maar wel wringt met het idee van openbaarheid in de strafrechtspleging. “We hebben bewijs maar u mag er niet te lang naar kijken want dan gaan andere onderzoeken stuk” is niet echt de bedoeling.

Ondertussen werkt het NFI aan meer gedegen rapporten over de werking van Encrochat en de hack, en ook deze documenten zullen met de verdachten worden gedeeld. Het is dus sowieso nog even afwachten, en de kans lijkt me groot dat we (net als in Duitsland) hoger beroep gaan krijgen. Ik ben heel benieuwd.

Arnoud

Ik hoop dat die orthodontist z’n webbouwer aansprakelijk stelt voor die 12.000 euro boete

| AE 12727 | Security | 53 reacties

De Autoriteit Persoonsgegevens heeft een boete van 12.000 euro uitgedeeld aan een orthodontistenpraktijk omdat die op een aanmeldformulier geen ssl-verbinding gebruikte. Dat meldde Tweakers vorige week. Door het ontbrekende ‘slotje’ liepen patiënten de kans dat gevoelige gegevens, zoals hun BSN, in verkeerde handen zouden terechtkomen. Opmerkelijk dat die basale beveiligingsmaatregel er niet was, maar minstens zo opmerkelijk dat de AP er voor in actie kwam gezien de beperkte scope. Maar goed, ik ben dus fan van kleine boetes voor kleine overtredingen.

De betreffende website bood klanten van de orthodontist gelegenheid afspraken te maken voor een behandeling. Op zich logischerwijs vroeg men om onder meer NAW-gegevens, geboortedatum, BSN, telefoonnummers van de patiënt en de ouders, gegevens over de school, huisarts, tandarts en de verzekeringsmaatschappij.” Dat formulier werd zonder beveiliging (dus SSL-, TLS-certificaat oftewel “slotje”) opgestuurd, wat inderdaad een beveiligings-dingetje is.

Is het heel erg? Mwa. Technisch betekent het dat iedereen die in het netwerk tussen de klant en de orthodontist zit, de data kan onderscheppen. Het klassieke voorbeeld is het internetcafé of bibliotheek, waar je met de juiste software alles kunt zien dat anderen in diezelfde ruimte opsturen naar websites. Door https te gebruiken, is dit niet langer inzichtelijk – de communicatie naar de site is versleuteld en daarmee niet meer te lezen.

Het aantal scenario’s waarin dit een reëel risico is, is dus beperkt. Vanuit huis is dit bijvoorbeeld geen issue, de buren die ook bij Ziggo zitten kunnen sowieso niet meelezen. Huisgenoten mogelijk wel. Werk je met mobiel internet, dan is dit ook geen serieus risico. Maar natuurlijk is er een niet te verwaarlozen groep mensen die alleen via publieke terminals (zoals de bieb) kan werken, en ook die moet gewoon veilig internet op kunnen.

Daar komt bij: al sinds jaar en dag weet iedereen dat zo’n slotje weinig moeite is, zeker sinds initiatieven als Let’s Encrypt die je gratis certificaten geven om het slotje te realiseren. Dus het voelt als “oké beperkt risico maar het is zo gedaan, doe het dus gewoon” voor mij. Ik blogde er ooit in 2013 over en concludeerde dat het eigenlijk onvermijdelijk is, behalve wellicht bij triviale formulieren zoals de plek hieronder waarin u het hartgrondig met mij oneens gaat zijn.

In het boetebesluit kan de AP het nog simpeler houden: het gaat hier om persoonsgegevens in de zorg, daarbij is NEN 7510-2 leidend en daaruit volgt het gebruik van TLS. Punt, klaar, next. En dan gaat het om zeer gevoelige gegevens, ook nog eens (vooral) van kinderen en dan mag dat al helemaal niet gebeuren. Normaal kom je dan op een boete van een ton, maar omdat deze orthodontist dat absoluut niet kan betalen wordt deze gematigd naar 12.000 euro.

En dan gooi ik met dit citaat even de knuppel in het hoenderhok:

[Betrokkene] heeft erkend dat de oude website geen gebruik maakte van een versleutelde verbinding. De ontwikkelaar van de oude website heeft haar nooit gewezen op die mogelijkheid. Anders had zij daar zeker gebruik van gemaakt, aldus [betrokkene].
We hebben het dus over 2019. Let’s Encrypt was toen al best bekend, en het algemene idee dat SSL-certificaten verstandig waren ook. Om dus nog maar niet te spreken van die NEN-norm in de zorg. Dan wil ik van een kleine orthodontie-praktijk nog wel geloven dat die weinig verstand van internet heeft (de nieuwe site heeft geen online formulier meer maar een uit te printen pdf, ik bedoel maar)  maar van de webbouwer mag dit wel verwacht worden toch?

Oftewel, die orthodontist mag de webbouwer op grond van schending zorgplicht aansprakelijk houden voor die 12.000 euro wat mij betreft.

Arnoud

Zijn hashes van vingerafdrukken anoniem of mogen ze toch niet van de AVG?

| AE 12721 | Privacy, Security | 27 reacties

Een lezer vroeg me: Ik weet dat onder de AVG het gebruik van biometrie strikt beperkt is tot hele specifieke toepassingen. Ik wil als security officer biometrie inzetten en heb daarvoor een oplossing die met templates en hashes werkt, zodat er geen vingerafdrukken hoeven te worden opgeslagen. Een nieuw genomen vingerafdruk wordt tot een hash… Lees verder

In Amerika is je computerbevoegdheid misbruiken geen computervredebreuk meer

| AE 12714 | Regulering, Security | 18 reacties

Een verjaardagscadeautje voor rechtenprofessor Lawrence Lessig, zo tweette hij: het Amerikaanse Hooggerechtshof heeft de scope van de Computer Fraude and Abuse Act fors ingeperkt. Een agent die zijn bevoegdheid misbruikt om een politiedatabase te raadplegen (hij verkocht zeg maar RDW-gegevens aan criminelen) is vast op allerlei manieren strafbaar, maar hij pleegt geen computervredebreuk. In heel veel IT-rechtszaken… Lees verder

Kan ik de werkgever aansprakelijk houden voor schade door de 2FA-app?

| AE 12706 | Security | 28 reacties

Een lezer vroeg me: Mijn werkgever heeft het gebruik van tweefactorauthenticatie verplicht gesteld, en gebruikt daarbij de Microsoft Authenticator app. Alleen, wie geen werktelefoon heeft moet deze maar op de privételefoon installeren. Ik maak me zorgen over de rechten die deze app heeft (foto’s, camera, locatie, contactpersonen en ga zo maar door) en bovendien vraag… Lees verder

FBI deelt voortaan uitgelekte wachtwoorden met Have I Been Pwned, mag dat van de AVG?

| AE 12693 | Innovatie, Security | 13 reacties

De FBI gaat uitgelekte wachtwoorden die het tijdens onderzoeken tegen gekomen is, in het vervolg delen met de website Have I Been Pwned. Dat meldde Tweakers onlangs. De wachtwoorden die de FBI met Have I Been Pwned deelt, zullen worden voorzien van een SHA-I en NTLM-hashparen, zodat ook HIBP-eigenaar Troy Hunt de wachtwoorden niet in… Lees verder

Mag de politie je systeem patchen na een malware infectie?

| AE 12625 | Security | 9 reacties

De FBI gaat nu netwerken van privépartijen patchen, las ik (vrij vertaald) bij Schneier’s blog. Het gaat om honderden met malware geïnfecteerde Microsoft Exchange-servers, waar webshells (commandoregel-toegang op afstand) op waren geplaatst. Nadat de federale politie daartoe door een rechtbank was gemachtigd, gaf zij al deze servers een speciaal commando waarmee de kwaadaardige code werd… Lees verder

Mag je als werkgever bepalen wat er op een BYOD laptop geïnstalleerd wordt?

| AE 12537 | Ondernemingsvrijheid, Security | 18 reacties

Een lezer vroeg me: Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en de werkgever het bedrag vergoedt via de werkkostenregeling. Nu zeggen collega’s dat ze dus op hun eigendom alles mogen installeren dat ze willen, inclusief applicaties die adminrechten nodig hebben. Dat zie ik als security officer… Lees verder

Ransomware is inderdaad ook een datalek als je niet uitkijkt

| AE 12436 | Security | 1 reactie

De persoonsgegevens van een onbekend aantal ANWB-leden liggen mogelijk op straat door een datalek bij een incassobureau. Dat meldde Nu.nl onlangs. Het gaat om mensen die in contact zijn geweest met Trust Krediet Beheer (TKB), dat namens de ANWB betalingen incasseert bij wanbetalers. Het datalek betreft gijzelsoftware (ransomware) dat gegevens van TKB ontoegankelijk had gemaakt…. Lees verder