Mag je andermans brakke IoT-apparaten op afstand onschadelijk maken?

| AE 9404 | Innovatie, Security | 25 reacties

De brickerbot is terug, las ik bij Ars Technica. Het gaat om een initiatief van de mysterieuze “Janit0r”, een handige hacker die brakke apparaatjes met internetverbinding kaapt en gebruikt om hun broertjes en zusjes permanent stuk te maken (“bricken”, oftewel de enige resterende functionaliteit is die van een baksteen). Dit omdat dergelijke apparaten zó veel schade aanrichten dat het niet mooi meer is, en geen hond zin heeft daar wat aan te doen.

De frustratie is begrijpelijk. Aanvallen door gekaapte Internet-of-Things apparaten lopen aan alle kanten de spuigaten uit. Zo zette een denial-of-service aanval door gehackte videorecorders en webcams het wereldrecord voor grootste aanval ooit. En dat is belachelijk: hoe moeilijk is het nu werkelijk om een webcam of recorder te beveiligen tegen triviale kapingen?

Het probleem is, zoals security-expert Bruce Schneier recent mooi aangaf, dat niemand zich geroepen voelt er wat tegen te doen. Consumenten vinden het niet hun probleem dat een apparaat lek is. Leveranciers pakken de snelle winst en verwachten geen toename in de verkoop als er “Nu extra veilig tegen hacks” of “100% niet-kaapbaar garantie” op de doos staat. Internetproviders merken weinig van de aanvallen, omdat de data in één specifiek netwerk te klein is om overlast te geven. En voor toezichthouders is het probleem te diffuus om op te treden, nog los van ontbrekende wetgeving. Brakke apparaten aan internet hangen is volstrekt legaal.

De oplossing zit natuurlijk in dat laatste: verplicht leveranciers tot ICT-veilige apparatuur. Net zoals apparaten niet mogen ontploffen en niet giftig mogen zijn, mogen apparaten niet onveilig zijn in de zin van hackbaar of te kapen voor ddos-aanvallen. Dat is niet moeilijk, wel een hoop gedoe en natuurlijk kost het geld, maar als álle leveranciers dat moeten dan blijft het speelveld gelijk.

De tactiek van de Janit0r is slim. Door die apparaten fysiek onbruikbaar te maken, komt het probleem bij de consument te liggen. Die moet nu gaan klagen bij de winkel (waardoor het probleem verschuift) of hij heeft een nutteloos apparaat (waardoor het probleem weg is). En de winkel zou dan bij genoeg klachten zijn inkoopbeleid moeten gaan herzien.

Lastig is natuurlijk: dat mag eigenlijk niet, andermans apparaat permanent uitschakelen. Dat is binnendringen en schade aanrichten, en dat is een strafbaar feit.

Tenzij je zegt: het gaat hier om zaakwaarneming, de juridische figuur waarbij je je bemoeit met andermans zaken om verdere schade te voorkomen. Je mag bij de buren een ruitje intikken als je ziet dat er nog een spreekwoordelijk pannetje melk aan staat terwijl ze net op vakantie zijn gegaan. En als de tuinslang ’s nachts ineens op volle kracht sproeit, mag je die dichtdraaien. Dan mag je dus ook die datalekkende apparaten dichtdraaien, zou dan het argument zijn.

Wat vinden jullie? Terecht gepast ingrijpen of niet?

Arnoud

Een robot overtreedt de wet, wat nu?

| AE 7305 | Innovatie, Ondernemingsvrijheid, Regulering | 33 reacties

robot-wetRobots overtreden steeds vaker wetten, en we weten niet wat daaraan te doen. Dat las ik althans bij Fusion.net, waar ze het mooie voorbeeld van de Darknet Shopper aanhaalde: een bot die random aankopen doet à 100 bitcoin bij een Darknet-site, u weet wel vol met illegale meuk. Wie is er dan aansprakelijk als het ding een dosis cocaïne bestelt, of een vervalst paspoort?

Een robot of bot/script is geen natuurlijk persoon of rechtspersoon, dus kan deze geen strafbare feiten begaan, net zo min als een auto of een hond dat kan.

Het onderwerp doet denken aan de recente discussie over zelfrijdende auto’s. Daarbij leek de uitkomst te zijn dat we de aansprakelijkheid bij de eigenaar/bestuurder kunnen leggen, net zoals we dat bij dieren doen. Maar dan gaat het om een specifiek soort aansprakelijkheid, namelijk onbedoelde schade aan anderen. Bovendien is zulke schade goed te verzekeren.

Hier zoekt de bestuurder/aanzetter van de bot wel iets actiever de grenzen op. Een auto-maker programmeert normaal niet in dat de auto mensen gaat aanrijden of door rood licht zal gaan, maar een bot als deze wordt impliciet wel ontworpen met de gedachte dat ‘ie iets kwestieus gaat kopen. En dát maakt het twijfelachtiger voor mij. Plus, dit kun je niet verzekeren.

Je kunt natuurlijk zeggen: hij koopt random dingen, er zit dus geen intentie in om de wet te overtreden. Hij ziet een item te koop, hij checkt het budget en klikt op “buy now”. Is er dan opzet op het kopen van een wapen, drugs of een vals paspoort?

Nu kan iedereen natuurlijk wel zeggen, ik wílde dat niet letterlijk. Maar de strafwet is slim: naast opzet is er ook het concept “voorwaardelijke opzet”, oftewel je wilde het misschien niet 100% maar je hebt de aanmerkelijke kans aanvaard dat dit kon gebeuren en je nam de gevolgen op de koop toe. Daarom behandelen we je alsof je het met opzet deed.

Vanuit dat concept kun je dan stellen, wie een bot loslaat op een Darknet-site, neemt de gevolgen op de koop toe want iedereen wéét dat daar illegale meuk te koop is. En de kans dat je bot met illegale meuk thuis komt, is aanzienlijk. Dus heb je voorwaardelijk opzettelijk gehandeld.

Update (20 april) de Zwitserse politie heeft de aankopen van onder meer XTC onderzocht en laat weten niet tot vervolging over te gaan omdat de actie deel was van een “verhit publiek debat over vragen die centraal stonden in de tentoonstelling, waarbij het laten zien van de XTC als onderdeel van de tentoonstelling gerechtvaardigd is”.

Ergens voelt dit soort “cyber-recht” te simpel voor woorden. Als ik blind een dartpijltje naar een menigte gooi, dan is het evident dat ik stom bezig ben en niet dat pijltje. Maar als ik een drone loslaat met een dom algoritme (“vlieg rechtdoor en als je ergens tegen botst, stort dan neer”) dan krijgen we hele discussies over de aansprakelijkheid van robots. En met een beetje geluk Asimov’s drie wetten der robotica. Mis ik iets?

Arnoud

Storm Worm ontmantelen: nuttig of misdrijf?

| AE 1410 | Security | 17 reacties

storm-worm-bot.pngEen groep Duitse onderzoekers van de universiteit van Bonn heeft een oplossing voor het beruchte Storm Worm botnetwerk, meldden Heise en ZDNet.nl. Juridische problemen maken het echter onmogelijk om deze oplossing in te zetten: de techniek komt neer op computervredebreuk, en hoewel het een goed doel dient, blijft dat een misdrijf.

Storm Worm is één van de grootste en vervelendste botnetwerken ter wereld. Geïnfecteerde computers communiceren met een aantal centrale servers, vanaf waar de beheerders hun commando’s kunnen versturen. De onderzoekers ontdekten dat die communicatie eenvoudig omgeleid kan worden. Daarmee waren ze in staat om in een eigen netwerk de bots de opdracht te geven een speciaal desinfectieprogramma te downloaden en zo zichzelf te verwijderen.

In principe kun je die truc natuurlijk wereldwijd toepassen en zo het virus eenvoudig de nek omdraaien. Maar mag dat eigenlijk wel? De onderzoekers blijken bang van niet. Deze oplossing komt namelijk neer op het draaien van software op andermans PC, oftewel “opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk”. Zonder toestemming of wettelijke rechtvaardigingsgrond dring je wederrechtelijk binnen.

Ik vraag me wel af of je bij een situatie als deze echter geen uitzondering zou kunnen vinden. Het binnendringen dient hier het algemeen belang, en de onderzoekers beschikken over unieke kennis en vaardigheden waardoor uitgerekend zij deze handelingen kunnen uitvoeren. Zou dat niet moeten tellen als rechtvaardigingsgrond?

Natuurlijk is er een risico dat de software die zij gebruiken, bij sommige PC’s tot ernstige storingen zal leiden. Aan de andere kant, die PC was dan toch al besmet met Storm Worm en dan is opnieuw installeren hoe dan ook de enige optie.

Wat vinden jullie? Moeten deze heren hun gang kunnen gaan, of zou alleen de politie dergelijke schoonmaakacties moeten kunnen uitvoeren?

Arnoud