Is het maken van software voor een ddos-aanval, pardon een stresstest, legaal?

| AE 11511 | Ondernemingsvrijheid | 2 reacties

Een lezer vroeg me:

Op het forum van Security.nl las ik de vraag of het legaal is of niet om software te maken waarmee je ddos aanvallen kunt plegen. Kun je daar duidelijkheid over geven?

Het hangt van het beoogde doel van de software af of het illegaal is om deze te maken. De wet stelt namelijk strafbaar het maken, verkopen, verspreiden et cetera van een middel om een ddos aanval te plegen (artikel 139d lid 2 Strafrecht). Het moet dan gaan wel om een “technisch hulpmiddel dat hoofdzakelijk geschikt gemaakt of ontworpen is tot het plegen van een zodanig misdrijf”.

In de comments lees ik onder meer dat mensen wijzen op de bekende tool ping(1), waarmee je kunt kijken of een bepaald ip-adres bereikbaar is via internet. Deze beschikt over een flood-optie waarbij heel veel data wordt verstuurd. Daarmee kun je een (d)dos aanval plegen als je de ping richt op je slachtoffer en langdurig met die optie actief pings stuurt. Maar ik kan met de beste wil van de wereld dat geen “hoofdzakelijk geschikt gemaakt of ontworpen” noemen.

De zakelijke term voor legitieme tools die veel data sturen is een stresstester. Die kun je inzetten om bij je eigen netwerk (of dat van klanten) te kijken of de netwerkcapaciteit groot genoeg is, of zelfs hoe ze omgaan met een ddos aanval. Weten wat je aan kunt, is immers een goede test van je security. Maar zo’n tool moet dan wel worden gemarket als voor legitieme doeleinden en natuurlijk ook alleen op factuur en met contract waarin duidelijk staat wie waar gaat stresstesten en dat de klant daar toestemming voor geeft.

Een tool die is voorzien van uitleg hoe je heimelijk deze bij anderen installeert en vervolgens via internet commando’s stuurt om vanaf hun computers een dos-aanval uit te voeren, zou ik wel degelijk ‘ontworpen’ voor dat misdrijf noemen. Het zal dus heel erg neerkomen op hoe de tool wordt gepresenteerd, welke toelichting erbij staat en wat uiteindelijk de algemene indruk is. Ja, dat is vaag maar voor juristen is dat niet erg.

Let op dat het verder niet uitmaakt of je de software verspreidt of voor jezelf houdt. Ook alleen maar zelf maken is in theorie al strafbaar (hoewel de vraag is hoe iemand er dan achterkomt dat je het hebt).

Arnoud

Het is natuurlijk van de zotte dat we op internet handhaving volledig geprivatiseerd hebben

| AE 11509 | Informatiemaatschappij, Privacy | 4 reacties

Facebook heeft zijn eigen Supreme Court, las ik laatst. Dit interne orgaan heeft de hoogste macht om directiebeslissingen (met name die van Zuckerberg zelf) tegen te houden. Ik dacht eerst dat dit een hogerberoepsorgaan was voor bezwaren vanuit de gemeenschap; een van de grootste problemen met dit soort platforms is namelijk de onmogelijkheid om echt een claim tegen je account of postings aan te vechten. Maar het lijkt er niet op dat dat er gaat worden. Ik ben er nog niet over uit of dat nou een goed idee zou zijn of niet.

Al sinds het begin van internet is het zo dat de eigenaar van een site daar de baas is. Niet heel raar, het is jouw site en jouw server, dus jouw eigendom. In Nederland werd dat in 2004 al bevestigd in het Ab.fab arrest van de Hoge Raad: de eigenaar van een server mag zeggen wat er op die site gebeurt. Willen ze geen spammers die mails aanbieden, dan hoeven ze dat gewoon niet te tolereren. Niks belangenafweging, gewoon eigendom.

Veel site-eigenaren stellen huisregels; Compuserve was volgens mij de eerste die met Terms of Service kwam om het netjes te houden in de discussies op haar prikbordforum. Helemaal prima, welk café heeft er geen huisregels? Maar die TOSsen op internet gaan ondertussen wel een heel stuk verder dan de huisregels van het café op de hoek, waar je eruit gezet wordt als je je misdraagt maar na een persoonlijke babbel met de eigenaar er toch weer in mag. Of niet.

Dit doet wel heel raar aan. Als je een geschil hebt met Youtube of Facebook dan moet je reageren op een vrij anoniem formulier, waarna je moet hopen dat je teruggesteld wordt in de vorige toestand, in plaats van het cryptische bericht “Uw bericht heeft de gemeenschapsrichtlijnen overtreden. Hiertegen is geen beroep mogelijk.” Zou een rechtbank op die manier haar vonnissen formuleren, dan zouden we die rechters meteen afzetten. En terecht. Maar zo’n platform laten we ermee wegkomen, terwijl hun invloed veel groter is dan van de gemiddelde kantonrechter. Waarom is dat zo?

Tegelijkertijd zou het ook niet heel handig zijn als ieder geschil over een scheldwoord of een blootfoto tot een procedure bij de rechter moet leiden. Dat is duur en tijdrovend, een intern proces met op maat gesneden beoordeling en maatregelen (je mag doorgaan maar geen advertentie-inkomsten meer, om eens wat te noemen) is dan zeer wenselijk. Maar omdat het zo veel tijd en moeite kost – en vooral omdat het niet bijdraagt aan de core business, vermoed ik – worden die interne processen al heel snel geminimaliseerd. Geautomatiseerde afwijzingen, ongemotiveerde beoordelingen en een intern bezwaarteam dat ook maar zelden echt naar de zaak kijkt.

Op dat niveau is het nog wel te begrijpen. Maar ook op groter niveau hebben deze platforms en andere grote dienstverleners wel héél veel macht, waarin ze niet alleen mensen aanspreken op de regels maar ook de regels maken én ze handhaven met sancties. Die situatie is uniek voor internet; heel logisch gezien hoe het werkt maar heel raar gezien hoe de maatschappij in elkaar zit. Op welk punt zeggen we, dit bedrijf is zo groot, die moet gewoon onafhankelijke rechtspraak met dezelfde status en kwaliteit als de ‘gewone’ rechter?

Meediscussiëren over dit onderwerp? Op 15 november geeft Michiel Steltman een debatlezing over dit onderwerp op mijn congres The Future is Legal:

In de fysieke wereld heeft de overheid het monopolie op geweld en de regie over middelen om onrechtmatigheid te stoppen. Maar in de digitale wereld vraagt de overheid aan bedrijven om onrechtmatigheid en ongewenste uitingen te stoppen. Zo worden internetbedrijven – politie, OM, rechter en deurwaarder tegelijk. En worden ze machtiger dan goed voor ons is. In deze sessie schetst Michiel de situatie en verkent mogelijkheden om het tij te keren: hoe herstellen we de rechtsstaat voor het internet?

Tot dan!

Arnoud

Is met dat cameradatalek die camera zelf nu ondeugdelijk geworden?

| AE 11505 | Security | 9 reacties

Een datalek bij de ‘slimme’ camera’s van merken Apexis en Sumpple treft 14.000 exemplaren in Nederland, meldde onder meer Tweakers en RTL. De database van de fabrikant waarop inloggegevens opgeslagen worden, is slecht beveiligd en de gebruikerswachtwoorden staan er in plaintext, waardoor praktisch iedereen kan meekijken bij willekeurige camera’s. Bepaald pijnlijk, laakbaar en juridisch zonder meer een datalek (en ja dat valt onder de AVG ondanks de Chinese vestigingsplaats), maar het riep ook de vraag op of je met die camera dan terug kan, het ding is immers niet conform de gewekte veiligheidsverwachtingen. Daar heb ik toch enige twijfels over.

RTL legt uit wat er misgegaan is:

Apexis, het moederbedrijf van Sumpple, bewaart de e-mailadressen en wachtwoorden van gebruikers in een [via internet toegankelijke] database. Het wachtwoord voor deze database is zo belabberd dat hij voorkomt in de lijst met slechtste wachtwoorden ooit. Het is daardoor voor kwaadwillenden kinderlijk eenvoudig om toegang te krijgen tot deze zeer gevoelige gegevens.

Dan kun je nog zo’n sterk wachtwoord kiezen, als een fabrikant dat zonder enige noemenswaardige beveiliging in een database noteert dan heb je natuurlijk alsnog nul beveiliging. En door de koppeling met emailadres is het dan leuk zoeken voor een aanvaller.

Die dienst is dus zo lek als een mandje, en ik zou er zeker voor zijn als de Europese importeur van deze gluurcamera’s een forse boete van de AP of bevoegde buitenlandse collega krijgt. Het is immers een datalek met impact, en omdat er structureel gegevens van Europeanen in die database gaat valt dat onder de Europese AVG ook al staat de server in China.

Mijn twijfel over of de camera ook nonconform is (in de zin dat je nu terug mag en herstel of vervanging eisen, art. 7:17 BW) is dat de camera zelf volgens mij niet slecht ontworpen of geprogrammeerd is. De fout zit in de dienst waarmee de camera via internet met de app communiceert, of beter gezegd met een daarbij behorende database. Betekent dat dat het apparaat zelf ook fout is? In het algemeen denk ik van niet, mijn televisie is ook niet ineens nonconform nu Ziggo het analoge TV signaal heeft gestaakt. Maar misschien hier toch wel, omdat apparaat en dienst onlosmakelijk met elkaar verbonden zijn. Maar ik blijf ermee worstelen, het voelt niet logisch om fouten in dienstverlening als nonconformiteit van een daarbij benodigd product aan te merken.

De Nederlandse overheid werkt samen met de Europese Commissie aan een keurmerk voor slimme apparaten, lees ik dan nog bij RTL. Dat komt er pas in 2021 en mij is nog steeds niet duidelijk wanneer iets a) een slim apparaat is en b) hoe dat keurmerk datalekken gaat voorkomen. Zit er een voorafgaande screening en analyse door TNO aan vast?

Arnoud

Google hoeft recht op vergetelheid niet wereldwijd toe te passen van EU

| AE 11507 | Ondernemingsvrijheid, Privacy | 11 reacties

Google heeft een rechtszaak gewonnen tegen de Franse privacywaakhond CNIL die wilde dat de gegevens van een persoon wereldwijd uit de zoekresultaten van Google verwijderd werden. Dat meldde Nu.nl gisteren. Iets preciezer: het Hof van Justitie oordeelde dat het Europees privacyrecht niet eist dat mensen wereldwijd vergeten hoeven te kunnen worden. Dit naar aanleiding van… Lees verder

Mag PostNL het nummer van mijn identiteitsbewijs overnemen bij een afhaling?

| AE 11502 | Privacy | 16 reacties

Via Twitter: Als ik een pakketje ophaal, moet ik me legitimeren. Logisch. Maar waarom moet het @PostNL-punt mijn documentnummer dan intypen en opslaan? Dat is behoorlijk gevoelige informatie die ik helemaal niet af wil geven. Waarop PostNL reageert: “Dit doen we op verzoek van de afzender om bij claims en navragen te kunnen controleren aan… Lees verder

Moet je je verzendkosten terugkrijgen bij een bovenwettelijke retourtermijn?

| AE 11496 | Ondernemingsvrijheid | 6 reacties

Interessante discussie bij Tweakers: IKEA schermt met 365 retour garantie. Maar verzendkosten krijg je alleen retour als je het binnen 14 dagen retourneert. Het gaat me niet perse om die EUR 2,99. Ik was eigenlijk gewoon nieuwsgierig of je zo’n beperkende voorwaarde kunt hangen aan 365 dagen retour. Het korte antwoord is natuurlijk dat dat… Lees verder

Had ik al eens gezegd dat ICT van de open standaarden aan elkaar hangt (en wat dat met patenten doet)?

| AE 11498 | Innovatie | 18 reacties

Innovatie en patenten, volgens de (juridische) boekjes horen die onlosmakelijk bij elkaar. Je vindt iets uit, en omdat je bang bent dat een ander ermee vandoor gaat houd je dat geheim. Dat is vervelend voor de maatschappij, dus kun je als alternatief een octrooi of patent krijgen waarmee je juridisch kunt optreden tegen zo’n innovatie-naäper…. Lees verder

Oh, en verwerkersovereenkomsten sluit je dus alleen met verwerkers, niet met al je partners

| AE 11491 | Privacy | 19 reacties

Een lezer vroeg e: Ik ben een klein ict-bedrijfje dat onderhoud en apparatuur levert aan het mkb. Steeds vaker krijg ik verwerkersovereenkomsten onder mijn neus, en na even wat gesnuffeld te hebben aan de AVG vraag ik me af, bén ik eigenlijk wel verwerker voor al die klanten? Ik hoor het ook van branchegenoten dat… Lees verder

Hoe ver kun je gaan met antiwettelijke systemen ontwikkelen?

| AE 11488 | Regulering | 17 reacties

Coercion-resistant design, ik vertaal het maar als antiwettelijke systemen maar het is het niet helemaal. De Engelse term kwam ik vorige week tegen bij BoingBoing, hij blijkt uit 2016 te dateren en refereert naar technische tegenmaatregelen die onwelgevallige juridische eisen omzeilen of zinloos maken. Het bekendste voorbeeld is de warrant canary, een tekstje in je… Lees verder