Mag ik mijn klanten verplichten SSL/TLS te gebruiken?

| AE 8734 | Security | 37 reacties

security-beveiliging-ketting-slot-chainEen lezer vroeg me:

Mag ik, als hostingprovider, klanten dwingen om SSL/TLS te gebruiken? Via een aantal scripts is het gehele proces te automatiseren, zodat er tijdens het aanmaken van een account een certificaat wordt aangemaakt (via Let’s Encrypt, dus geen meerkosten) en verbindingen vervolgens over SSL/TLS forceren (mod_rewrite en HSTS header). Ik heb veel kleine ondernemers als klant die hier écht steken laten vallen en ik wil ze tegen zichzelf beschermen.

Ik denk dat dit in principe wel kan. Je kunt in je algemene voorwaarden opnemen dat je verlangt dat klanten hun websites en software goed beveiligen, en dat jij maatregelen mag nemen, zoals SSL/TLS beveiligde verbindingen, om dat af te dwingen.

Dit is wel een tikje ongebruikelijk (helaas) dus je moet de klant daar wel expliciet over informeren. Ik zou zelf dat heel proactief willen zien: stuur ze een mail dat er wat mis is, vraag of ze dat binnen 14 dagen willen herstellen en anders doe jij het. Aangenomen dat dit geen nadelige effecten heeft voor de site, zie ik dan het probleem niet.

Maak je dingen wél stuk, dan komt dat op jouw bordje te liggen. En natuurlijk heb je als hoster in je algemene voorwaarden je aansprakelijkheid beperkt, maar bij dit soort handelen gaat dat niet zomaar op. Voor opzettelijk handelen ben je altijd volledig aansprakelijk, en dit neigt daar toch wel een tikje naar. Een hoster zou er dan ook voor kunnen kiezen om te zeggen, binnen 14 dagen herstellen en anders de site in een sandbox of op zwart. (Ja, de wet vindt het erger dat je iets half doet dan wanneer je iemand op zwart zet.)

Arnoud

Mag een werkgever wachtwoorden kraken?

| AE 8653 | Ondernemingsvrijheid, Security | 28 reacties

password-salt.jpgEen lezer vroeg me:

Onze IT-afdeling heeft besloten dat security een extra aandachtspunt wordt en als onderdeel daarvan wil men middels rainbow tables en andere tools alle wachtwoorden uit het bedrijf eens gaan controleren. Ik heb daar moeite mee: ik gebruik sterke wachtwoorden maar bouw die wel op volgens een bepaald patroon, en als dat straks in interne documenten gaat rondzwerven dan schaadt dat juist de security. Mag de werkgever dit wel doen? Er zijn toch betere manieren om de beveiliging te versterken, zoals tweefactorauthenticatie.

Juridisch gezien denk ik dat hier weinig tegen te doen is. De werkgever bepaalt hoe het werk wordt uitgevoerd, dat is haast de definitie van werkgeverschap. Als hij vindt dat je wachtwoord zestien tekens lang moet zijn met maximaal acht letters, dan heb je maar zo’n wachtwoord te verzinnen. Wil hij geen tweefactorauthenticatie, dan zul je je daar als werknemer bij neer moeten leggen.

Het kraken van wachtwoorden om te kijken hoe sterk ze zijn, doet wat gek aan. Ik snap het wel: veel mensen hebben zwakke wachtwoorden, en met zo’n test kun je kijken hoe slecht je ervoor staat, om vervolgens draagvlak te creëren voor sterkere wachtwoorden of regels. Maar het kan vervelend zijn voor mensen die al een eigen, sterk wachtwoord hebben en zich nu verplicht zien een heel ander soort wachtwoord erop na te houden.

Ik weet alleen echt niet hoe je daar iets tegen kunt doen als werknemer. Dit is geen wijziging van je arbeidscontract of een schending van je grondrechten, en apert onredelijk kan ik deze actie ook niet noemen. Dat een andere oplossing sterker is (tweefactorauthenticatie) zie ik meteen, maar dat is echt de keuze van de werkgever. Ik zou dus niets anders weten dan het overleg aangaan en hopen dat de IT-afdeling inziet dat dat een betere besteding van het budget is.

Arnoud

VTech wil dat gebruikers erkennen dat gegevens bij zijn dienst onveilig zijn

| AE 8423 | Ondernemingsvrijheid | 24 reacties

verbodIn de categorie ergernissen waar je ’s ochtends van gaat bloggen: VTech, de maker van elektronisch speelgoed, heeft in zijn algemene voorwaarden opgenomen dat gebruikers erkennen dat informatie die ze via de Learning Lodge-portaal sturen onderschept kan worden. Dat las ik bij Tweakers gisteren. Om scheve jeuk van te krijgen. Ja, het is een standaardzin die ongetwijfeld bij meer bedrijven voorkomt en nee het heeft nul waarde. Maar waarom laten we bedrijven er steeds mee wegkomen?

VTech maakt onder meer elektronisch speelgoed en kwam negatief in het nieuws toen gegevens van meer dan 11 miljoen mensen, waaronder 6,4 miljoen kinderen, lekten door brakke beveiliging van het bedrijf. En wat doe je dan als bedrijf? “These Terms and Conditions have been updated as of December 24, 2015” op je site zeggen met dus

YOU ACKNOWLEDGE AND AGREE THAT ANY INFORMATION YOU SEND OR RECEIVE DURING YOUR USE OF THE SITE MAY NOT BE SECURE AND MAY BE INTERCEPTED OR LATER ACQUIRED BY UNAUTHORIZED PARTIES. YOU ACKNOWLEDGE AND AGREE THAT YOUR USE OF THE SITE AND ANY SOFTWARE OR FIRMWARE DOWNLOADED THEREFROM IS AT YOUR OWN RISK.

Ja, in hoofdletters ook nog. Nee, dat hoeft niet (het is geen exoneratie immers). En leuk en aardig om dat zo te moeten acknowledgen, maar dat heeft dus geen waarde. Privacybescherming verandert geen millimeter door welke disclaimer of andere zin in algemene voorwaarden. Zeker waar het gaat om beveiliging niet: het is gewoon niet toegestaan je beveiligingsplicht tot nul te reduceren. Zelfs niet als de consument expliciet zegt, doe het maar een kilootje minder met je security.

Maar waar ik dan dus écht jeuk van krijg, is de obligate vervolgzin:

Some jurisdictions do not allow the exclusion of certain warranties or the limitation or exclusion of liability for incidental or consequential damages. Accordingly, some of the above limitations may not apply to you.

Het zou écht verboden moeten worden om naar consumenten toe iets van deze strekking te mogen zeggen. Wat er staat: wij zijn niet aansprakelijk, tenzij de wet zegt van wel. Maar iedereen weet dat consumenten weinig begrip van de wet hebben. Daarom vereisen we heldere, duidelijke en complete informatie van verkopers – en wat mij betreft vallen daar de algemene voorwaarden ook onder. Ik vind dus dat je gewoon enkel en alleen positief geformuleerde dingen mag zeggen over je aansprakelijkheid, en dat “may not apply” of “dit doet geen afbreuk aan uw wettelijke rechten” op een zwarte lijst moeten komen. Ga als bedrijf maar gewoon uitzoeken wat de rechten zijn van je consument-klanten en schrijf dat op, het is schandalig dat je dat werk bij je klant legt.

Dus nee. Onzinnig, inhoudsloos en de betreffende jurist mag zich gaan schamen. Maar de eerstvolgende keer dat er iets misgaat bij VTech, weet je al wat de persvoorlichter gaat zeggen en ik heb géén idee hoe het bedrijf te bewegen dit aan te passen. Ergerlijk. En ja, ik ga nu mijn ochtendkoffie halen.

Arnoud

De brakke spullen uit het Internet der Dingen

| AE 8395 | Ondernemingsvrijheid, Security | 26 reacties

De kwetsbaarheid van “Internet of Things”-dingen is zo gigantisch dat je er maar beter om kunt lachen, las ik bij Ars Technica. Maar eigenlijk is het om te huilen. Men ontdekte dat de IoT-zoekmachine Shodan een zoeksectie had voor kwetsbare webcams, met feeds van van alles en nog wat: voortuinen, achtertuinen, binnentuinen, marijuana-plantages, kinderslaapkamers en… Lees verder

Mag een spamfilterdienst de beveiliging van e-mail afslopen?

| AE 8139 | Privacy, Security | 9 reacties

Een lezer vroeg me: Sommige bedrijven bieden een service om alle uitgaande email transparant te scannen op spam/virussen via een soort SMTP netwerk proxy. Als onderdeel van dat proces schakelen ze de TLS encryptie uit, waardoor alle email plain-text wordt afgeleverd naar het internet. Is dat juridisch wel toegestaan? Er is geen wettelijke regel die… Lees verder

Waarom wordt mijn embedded Android niet geupdate?

| AE 7954 | Ondernemingsvrijheid, Security | 16 reacties

Een lezer vroeg me: Steeds meer apparatuur bevat Android als operating system, en daarvan is bekend dat er van tijd tot tijd gaten in worden ontdekt. Maar die software wordt eigenlijk nooit geupdate. Is dat niet tegen de wet? Hoe kan ik afdwingen dat deze software bijgewerkt wordt? De wet zegt niets over security of… Lees verder

Tiradeweek: Oh, en iemand wijzen op een vulnerability is dus géén strafbaar feit

| AE 7962 | Security | 10 reacties

Kondig je een tiradeweek aan, krijg je allemaal tips van mensen met dingen waar je tenen van gaan krullen: Stop checking our code for vulnerabilities, aldus de (inmiddels ex-) Chief Security Officer van Oracle. Het doet me denken aan de standaardreactie van wel meer bedrijven: je meldt een probleem, en de reactie is niet “oh… Lees verder

Oh ja, en we krijgen per 1 januari een datalekmeldplicht en boetes op brakke beveiligingen

| AE 7860 | Privacy, Security | 20 reacties

Op 1 januari 2016 treedt de Wet Datalekmeldplicht in werking. Vanaf dat moment moeten bedrijven bij de toezichthouder én de consument melding doen van datalekken, oftewel inbraken en beveiligingslekken waardoor persoonsgegevens zijn ontvreemd. Wordt er niet gemeld, of blijkt na melding dat een bedrijf nalatig was, dan kunnen tot acht ton aan bestuurlijke boetes worden… Lees verder

Mogen persoonsgegevens per mail worden verstuurd?

| AE 7195 | Privacy, Security | 11 reacties

Een lezer vroeg me: Is het toegestaan om persoonsgegevens zoals namen en adressen, maar ook bv. een kopie van je paspoort met BSN en foto, per mail te versturen? Dat is toch veel te onveilig! De wet bescherming persoonsgegevens bepaalt dat wie persoonsgegevens verwerkt, een adequate beveiliging moet toepassen. En verwerken omvat zo ongeveer alles:… Lees verder

Een brakke beveiliging hebben, waarom is dat niet strafbaar?

| AE 5575 | Regulering, Security | 28 reacties

Recent was ik bij het responsible-disclosure event van hackerclub Revspace. Bij die avond kwam nog een intrigerend puntje langs: het is strafbaar om een brakke beveiliging te kraken, maar het is niet strafbaar om een brakke beveiliging te hébben. Althans, wij konden geen wetsartikel bedenken tijdens de discussie. Heel merkwaardig. Het is strafbaar om binnen… Lees verder