Wanneer is een responsible disclosure beleid rechtsgeldig?

| AE 9240 | Beveiliging, Hacken | 28 reacties

Een lezer vroeg me:

Sommige bedrijven hebben een responsible disclosure beleid en maken dit bekend op hun website. Ik zie alleen daarin steeds vaker iets over geheimhoudingsplicht voorkomen: je mag kwetsbaarheden wel zoeken en melden, maar zonder toestemming (of soms “zonder overleg”) niet publiceren. Maar het hele idee van responsible disclosure is toch juist dat je op zeker moment naar buiten treedt, natuurlijk wel op zorgvuldige wijze. Kunnen bedrijven dit zo stellen, is dit rechtsgeldig? Dan gaat toch het hele concept onderuit?

Een bedrijf dat responsible disclosure-beleid publiceert en daarin zegt dat er nimmer mag worden gepubliceerd zonder haar toestemming, is wat mij betreft misleidend bezig. Dat is niet wat de term responsible disclosure impliceert en het is zeer ergerlijk dat bedrijven op die manier doen alsof ze RP-beleid hebben.

Het hele idee achter responsible disclosure is dat kwetsbaarheden op zeker moment publiek móeten worden, omdat dan iedereen er rekening mee kan houden. Als de good guys hun mond moeten houden dan kunnen bedrijven kwetsbaarheden onder de pet houden. Wat slecht is voor de maatschappij, want de bad guys weten het toch wel. Natuurlijk is het ook weer niet de bedoeling dat kwetsbaarheden direct publiek worden, want dan kan er misbruik van worden gemaakt zonder dat het bedrijf het kon repareren.

De Leidraad over responsible disclosure uit 2013 van de overheid zoekt naar een middenweg. Het idee is dat melder en bedrijf in overleg treden over wanneer naar buiten te treden, met als vuistregel 60 dagen na de melding. Maar dát er naar buiten getreden wordt, staat daarbij voorop. En gezien het belang van security in ICT-systemen is dat ook niet meer dan logisch. Wie anno 2017 nog verdedigt dat security by obscurity beter is, kan beter wat anders gaan doen.

Of responsible disclosure beleid rechtsgeldig is, is een lastige vraag. Beleid is natuurlijk maar beleid, en dat kan zomaar veranderen. Belangrijkste is: wat dóet het, dat beleid. Zijn daar rechten of plichten aan te ontlenen? Plichten opleggen in beleid is erg moeilijk, want de wederpartij moet daar wel mee akkoord gaan. Je kunt dus niet op voorhand iemand aansprakelijk laten zijn voor alle schade die het gevolg is van een ontdekte kwetsbaarheid. Omgekeerd is het wél makkelijk mogelijk om het bedrijf te houden aan een toezegging. Met name dus de toezegging “wij zullen geen aangifte/schadeclaim doen als je je aan het beleid houdt”.

Arnoud

Mag je voor je afstudeeropdracht 17.000 mensen typosquatten?

| AE 8738 | Hacken | 10 reacties

shell-script-hacker-go-awayEen Duitse student is erin geslaagd zo’n 17.000 mensen zijn eigen script te laten draaien middels typosquatting, meldde Ars Technica onlangs. Hij had het script geïnstalleerd op de bekende sites PyPI, RubyGems en NPM met als naam een spelfout op de 214 populairste scripts daar. “It’s not clear if the experiment broke ethical or even legal boundaries, since it relied on confusion if not outright deceit to trick people into installing something other than what they intended to install,” zegt Ars dan netjes. Nou, ik durf wel een juridisch balletje op te gooien.

De truc van de student was eigenlijk te simpel voor woorden. Steeds meer software maakt gebruik van via internet beschikbare standaardbibliotheken via bekende sites (repositories), en deze worden volautomatisch gedownload bij het gebruik. Natuurlijk typen mensen wel ooit in welk pakket moet worden gebruikt, en daar zit dan de truc: mensen maken spelfouten, en dat levert hier dan een pakket van de slimme student op. Want die had dus eigen software geüpload naar die sites met namen die typefouten van die bekende bibliotheken zijn. Die software deed hetzelfde, maar met een klein stukje tracking dat hem vertelde waar de software gebruikt werd.

Is dit nieuw? Heel algemeen gesproken niet. Typosquatten kennen we al sinds de begintijden van domeinnamen bijvoorbeeld. Binnen software kende ik het echter nog niet. Heel gek is dat ook niet: het is vrij normaal dat als je een bibliotheek wilt gebruiken, dat je die even ophaalt van de bron, er snel doorheen loopt en hem dan in gebruik neemt. Of je software-omgeving zorgt daarvoor, via eerder geïnstalleerde standaardbibliotheken. Recent is echter die trend van “pak het even dynamisch van internet” opgekomen en daar ontstaan nu dus dit soort problemen.

Is het juridisch toegestaan? Nou ja, er is natuurlijk geen harde wet tegen. Typosquatten bij websites was altijd relatief eenvoudig aan te pakken, omdat je dan andermans merk of handelsnaam schond. Maar merknamen op package names, die zijn er niet veel. En dat kán ook niet altijd: veel pakketnamen zijn functioneel en daarmee beschrijvend voor wat ze doen, en dergelijke namen kunnen niet voor merkbescherming in aanmerking komen.

De sites in kwestie kunnen het natuurlijk wel oplossen met eigen regels, zoals we in maart zagen, waar de repository NPM zelf verzon dat de bekendste naam de meeste rechten had. Daar zou dus vrij makkelijk een regel “Geen dingen die typos lijken van andermans namen, hoe functioneel ook” bij kunnen. Niet dat je daar bij echte criminelen veel aan hebt, maar het is iets.

Je zou het met enige fantasie een poging tot binnendringen (computervredebreuk) kunnen noemen. Dan zeg je, hij gebruikte een valse hoedanigheid (de vermomming als de echte bibliotheek) om zijn code naar binnen te smokkelen, met de downloadende ontwikkelaar als willoos werktuig. En die code hoorde niet op die computer te zijn, dus wederrechtelijk.

Het kan, maar dan gaat hier het aspect van de afstudeerscriptie (het afstudeerscript?) spelen. Want criminele activiteiten kúnnen per ongeluk legaal zijn als blijkt dat sprake is van ethisch handelen. Harde regels daarvoor zijn er niet, maar in de cybercontext lijkt me dat wel opgaan voor iemand die een nieuw punt te maken heeft dat van algemeen belang is en dat niet op andere manier dan de criminele aan te tonen is, en bovendien geen schade aanricht. Dus ja, deze ene jongen mocht dit, maar vanaf nu mogen mensen dit niet meer.

Arnoud

Mag je gratis betaald internetten met een covert channel?

| AE 8598 | Beveiliging, Hacken | 15 reacties

wifi-hotel.pngEen lezer vroeg me:

Als ik in een hotel wil internetten, moet ik betalen. Maar met tools zoals Iodine of PingTunnel kun je via een oneigenlijke weg alsnog gratis internet op. Is dat computervredebreuk?

Van computervredebreuk is sprake als je binnendringt in een computer. Het is strikt gesproken niet nodig dat je een beveiliging omzeilt, maar in de praktijk komt het daar vaak wel op neer. Het gaat er juridisch om of je ‘wederrechtelijk’ in die computer actief bent, oftewel dingen doet die niet mogen.

Meesurfen met andermans internetverbinding wordt gezien als binnendringen in de router, en daarmee als computervredebreuk. Dat bepaalde de Hoge Raad in 2013. Het binnendringen zit hem hier in het versturen en ontvangen van gegevens op een manier waar je niet toe geautoriseerd bent.

Los daarvan is het strafbaar om hulpmiddelen of gegevens om gratis toegang te krijgen tot betaaldiensten te gebruiken. Hetzelfde geldt voor het aanbieden of bewaren van dergelijke middelen, alleen moet dat dan wel uit winstbejag gebeuren. Een betaalde internetdienst gratis gebruiken lijkt me ook onder dit artikel strafbaar.

Natuurlijk is het maar zeer de vraag of je wordt betrapt met dergelijke diensten. Vrij weinig partijen loggen ICMP of DNS verkeer met het doel om dit soort meeliftdiensten op te sporen. Maar als men het doet én aangifte doorzet, dan heb je een serieus probleem.

Arnoud

Is het strafbaar een USB-killer in je tas te hebben?

| AE 8097 | Hacken, Strafrecht | 47 reacties

Een Russische onderzoeker heeft een USB-stick ontwikkeld waarmee het mogelijk is om computers te vernielen, las ik bij Security.nl. De USB-killer stuurt een stroomstoot op -220 Volt naar het moederbord van de computer waar je hem insteekt, en dat is redelijk fataal. Oké, leuk, maar dan wordt het juridisch interessant: stel je stopt die in… Lees verder

In één nacht het internet scannen, hoe strafbaar is dat?

| AE 8048 | Beveiliging, Hacken, Strafrecht | 12 reacties

Het begon als grap, las ik in De Correspondent. Een onderzoeker wilde kijken hoeveel apparaten Telnet gebruikten. Op heel internet dus. “Hij bedacht daarom een list en liet een botnet het vuile werk opknappen.” Ook goeiemorgen. Een botnet van 30.000 computers die uiteindelijk concludeerden dat van 1,3 miljard IP-adressen een reactie kwam en van 2,3… Lees verder

Tiradeweek: Oh, en iemand wijzen op een vulnerability is dus géén strafbaar feit

| AE 7962 | Beveiliging, Hacken | 10 reacties

Kondig je een tiradeweek aan, krijg je allemaal tips van mensen met dingen waar je tenen van gaan krullen: Stop checking our code for vulnerabilities, aldus de (inmiddels ex-) Chief Security Officer van Oracle. Het doet me denken aan de standaardreactie van wel meer bedrijven: je meldt een probleem, en de reactie is niet “oh… Lees verder

Het Wassenaar Arrangement versus de security-onderzoeker

| AE 7806 | Hacken, Software | 22 reacties

Een Britse student mag zijn scriptie niet publiceren omdat hij daarin exploits uitlegt, wat verboden is door het Wassenaar Arrangement. Dat meldde Ars Technica afgelopen vrijdag. De bachelorscriptie bevat nu enkele zwartgemaakte pagina’s, en details daaruit worden alleen aan bona fide securityonderzoekers beschikbaar gesteld. Wacht even, is het nu ook al verboden om wetenschappelijke publicaties… Lees verder

Mag je Metasploit-modules publiceren voor kwetsbaarheden in software?

| AE 7448 | Beveiliging, Hacken, Software | 17 reacties

Een lezer vroeg me: Vanuit een research-oogpunt zou ik graag Metasploit modules willen publiceren voor gedichte kwetsbaarheden in veelgebruikte software. Kan dit zomaar of ben je dan strafbaar bezig? Het is strafbaar om een kwetsbaarheid te exploiteren en zo binnen te dringen in een computersysteem. Dat is de computervredebreuk uit artikel 138ab Strafrecht. Aanvullend is… Lees verder

De security scan als strafbare poging tot computervredebreuk

| AE 7233 | Hacken | 10 reacties

Wanneer is het zoeken naar kwetsbaarheden nu strafbaar als computervredebreuk? Een vaak terugkomende discussie, waar nu met een vonnis (dank, lezer) een eerste antwoord op is gegeven. Een security scan is strafbaar als het er alle schijn van heeft dat je van plan bent daarna in te gaan breken. Een security scan kan van alles… Lees verder

Chipleverancier FTDI saboteert namaakchips met firmwareupdates, mag dat?

| AE 7083 | Hacken, Merken | 62 reacties

Chipmaker FTDI heeft een geupdate Windowsdriver uitgebracht die klonen van hun chips brickt, oftewel onbruikbaar maakt. Als de driver concludeert dat de chip nep is, verandert hij een fabrieksinstelling in de chip waardoor deze niet meer te lezen is. Dat is best wel vervelend omdat deze chip een van de meest gekloonde ter wereld is… Lees verder