Kun je de IoT-eigenaren van een botnet aansprakelijk stellen voor je schade?

| AE 11441 | Security | 12 reacties

Een lezer vroeg me:

Stel dat je als partij wordt aangevallen door een botnet dat is geactiveerd vanuit allerlei IoT-systemen. En stel dat ik een aantal van die systemen kan herleiden tot hun Nederlandse eigenaren, laten we zeggen professionele partijen (bedrijven). Kun je dan die eigenaren aansprakelijk stellen voor je schade?

Wanneer je in Nederland schade lijdt door iemands onrechtmatig handelen, dan kun je dat inderdaad verhalen. Het uitvoeren van een denial-of-service aanval (wat ik maar even als invulling van die aanval kies, een computervredebreuk met datavernieling kan natuurlijk ook) is onrechtmatig want strafbaar, dus de dader(s) van zo’n aanval kun je aansprakelijk stellen.

Meestal is het grootste probleem dat je die aanvallers niet kunt achterhalen, maar bij een botnet dat bestaat uit gehackte IoT-apparaten (lees: nalatig slecht ontworpen en geupdatete kastjes) kan dat inderdaad wel eens anders komen te liggen. Daar wordt nul moeite gedaan de afkomst te verhullen, en als de IP-adressen van die apparaten ook nog eens tot bedrijven te herleiden zijn dan heb je inderdaad vrij snel het adres voor een civielrechtelijke dagvaarding.

Het probleem hier is denk ik lastiger: in hoeverre kun je deze IoT-eigenaren juridisch een verwijt maken? Oftewel hebben zij wel onrechtmatig gehandeld? Zij hebben niet zelf de aanval geïnitieerd of gecoördineerd, dat was de botnet-herder immers. Op eerste gezicht zijn ze dan als willoos werktuig (prachtige juridische term) aan te merken, en daarmee niet aansprakelijk.

Als je de strafwet erbij pakt, dan is er wellicht nog een haakje: artikel 350b Strafrecht verklaart het strafbaar als het jouw schuld is dat een aanval zorgt voor schade (zoals ontoegankelijk zijn van een dienst of gewist worden van gegevens) bij een slachtoffer. Schuld is hier een trapje lager dan opzet (dat staat in 350a), dus kan ook mensen treffen die geen aanval wilden uitvoeren maar dat toch verweten kan worden.

De analyse of sprake is van schuld is juridisch een heel verhaal maar kort door de bocht komt het er voor mij op neer dat ze hun gedrag eigenlijk gewoon hadden moeten aanpassen. Hoe kon je dat nou laten gebeuren, had nou even nagedacht.

Persoonlijk ben ik van mening dat als je als bedrijf zogenaamde smart spullen in gebruik neemt, je moet zorgen voor een goede beveiliging daarvan. Anno 2019 moet iedereen (zakelijk dan) weten dat die apparaten zo lek als een mandje zijn, dus daar moet je dan maatregelen tegen nemen. Doe je dat niet, dan ben je nalatig en wat mij betreft aansprakelijk voor schade. Daar staat tegenover dat je door de leveranciers snel omver geblazen wordt met mooie taal dat die apparaten veilig zijn, en het is vaak gewoon lastig na te gaan óf je apparaten veilig zijn, de laatste firmware hebben et cetera.

Als laatste kanttekening geldt wel dat je als zo’n schuldige alleen aansprakelijk bent voor de schade van jóuw bijdrage, niet voor de gehele schade die al die kastjes samen hebben aangericht. Dat zal bij een gemiddelde aanval nog eens best beperkt zijn, als je überhaupt al een getal kunt plakken op de precieze bijdrage van dat ene kastje van die ene strandtent met gehackte surfweercam of die smart koelkast van die hippe startup.

Arnoud

Microsoft haalt No-IP-domeinen offline vanwege malwaredistributie

| AE 6768 | Ondernemingsvrijheid, Security | 22 reacties

botnetMicrosoft heeft maandag ruim twintig domeinen van No-IP, een veelgebruikte ddns-provider, offline laten halen, meldde Tweakers. No-IP biedt dynamische domeinnamen die volgens Microsoft veel gebruikt worden door de Bladabindi- en Jenxcus botnets. Met een ex parte temporary restraining order (TRO) heeft Microsoft het voor elkaar gekregen beheerder van 23 domeinnamen in beheer bij No-IP te worden, om zo de controle over die botnets over te kunnen nemen. Maar wacht even, sinds wanneer kan een private partij domeinnamen afpakken?

Hoewel Microsoft zich beroept op strafwetgeving, is het bevel gebaseerd op het civiele recht. De strafwet overtreden is ook onrechtmatig, oftewel daar mag je een schadeclaim over indienen. Kort gezegd dus: Microsoft en haar klanten lijden schade door het nalatig handelen van No-IP, en de nalatigheid volgt uit die strafrechtartikelen zoals computervredebreuk. En wie schade veroorzaakt, moet daarmee stoppen (en de schade vergoeden). Op zich niet heel bijzonder. In Nederland zou Microsoft een kort geding tegen No-IP beginnen.

Een TRO lijkt een beetje op ons kort geding: er is spoed en er moet nú een maatregel komen om het probleem op te lossen. Ons kort geding is echter een ‘echte’ rechtszaak, met hoor en wederhoor. Een TRO aanvraag is makkelijker te krijgen en de procedure is korter. Zeker als je deze ex parte aanvraagt: dan wordt de wederpartij niet eens gehoord. Dat is in Amerika te rechtvaardigen als er echte bloedspoed is, en rechters zijn er niet happig op dat te erkennen.

In de Microsoft-TRO werd genoeg bloedspoed ontwaard om deze toe te staan, zelfs zonder No-IP te horen. No-IP is daar best boos om: Microsoft zou haar nooit zelfs maar gebeld hebben, en hadden ze dat gedaan dan zou No-IP’s abuseafdeling meteen in actie zijn gekomen. Microsoft zegt dat ze No-IP wél gecontacteerd hebben en dat het bedrijf niets heeft gedaan. Een lastige welles/nietes (lees ook de comments bij het Tweakersartikel met vele gezichtspunten) waarbij ik geen idee heb wie er gelijk zou hebben.

Is de maatregel op zich gepast? Tsja. Als No-IP werkelijk niet adequaat reageert op de botnets bij haar klanten, en Microsoft (en diens klanten) lijden daar werkelijk schade door, dan komt er een moment dat dit een gepaste maatregel is. Botnetschade is serieus en een botnet tegenhouden lijkt me dan ook een goede grond voor juridische acties.

Het alternatief is natuurlijk No-IP dwingen zélf de domeinnamen te blokkeren of verkeer daarheen te filteren (wat Microsoft zelf nu doet). Ik denk dat in Nederland dat eerder opgelegd zou worden bij een kort geding. Het voelt logischer om de schadebeperkende maatregelen op te leggen aan de eigenaar van het spul. Alleen: wie kán dit het beste, Microsoft of No-IP? En wat te denken van het argument dat de domeinnaamhoster zou profiteren van de malware. Dan wil je zeker niet dat zij de opdracht krijgen te gaan filteren.

Wat vinden jullie? Had No-IP gedwongen moeten worden dit zelf te doen? Hoe had dit wél opgelost moeten worden?

Arnoud

Microsoft verwijdert Tor-software in strijd tegen botnet, mag dat?

| AE 6300 | Security | 9 reacties

microsoft-botnet-tor-sefnit-bestrijdingOm het Sefnit-botnet tegen te houden, heeft Microsoft op zo’n twee miljoen computers de anonimiteitssoftware Tor verwijderd, zo las ik bij Daily Dot (via). Sefnit communiceerde via het Tor-netwerk waarmee een hoog niveau van anonimiteit kan worden behaald. Toen Microsoft dit doorhad, was het een kwestie van de Tor software toevoegen aan de detectie van haar Safety Scanner en zien hoe het aantal installaties achteruit ging. Maar mag dat?

De reden dat Tor wordt verwijderd, is omdat oude versies daarvan lek blijken te zijn, en daardoor eenvoudig te infecteren door het botnet. Zo te lezen worden enkel die oude versies geraakt, wie een recente versie van Tor heeft, zou nergens last van moeten hebben.

In Nederland hebben we het concept zaakwaarneming: “Het zich willens en wetens en op redelijke grond inlaten met de behartiging van eens anders belang” zonder daartoe bevoegd te zijn, artikel 6:198 BW. Het standaardvoorbeeld is bij de afwezige buren het overkokende pannetje melk van het gas halen, waarbij het zelfs toegestaan is de achterdeur te forceren. Maar het principe geldt voor alle soorten handelingen, dus er is geen principiële reden waarom het niet zou gelden op computers of internet.

Wel geldt er een noodzakelijkheidsvereiste en een proportionaliteitsvereiste. Je moet niet anders kunnen, dus de buren moeten écht met vakantie zijn en er moet niemand zijn die snel de sleutel kan pakken. En je mag niet verder gaan dan nodig om direct de situatie op te lossen; het huis voorzien van brandmelders en blusinstallatie gaat te ver en is dus geen zaakwaarneming.

In 2010 verwijderde de politie de Bredolab-botnetsoftware van geïnfecteerde computers, na toegang te hebben gekregen tot command&control servers daarvan. Ook daar kon ik niets anders bedenken dan zaakwaarneming om dit te rechtvaardigen.

Microsoft zou wellicht nog kunnen zeggen dat zij via de EULA van Safety Scanner het recht heeft dit te doen. Die zegt immers

The software will check for and remove certain high severity malicious software (“Malware”) stored on your device when you select this action. …
The software will only remove or disable low to medium severity Potentially Unwanted Software if you agree.

Maar is dat genoeg? We hebben immers een cookiewet die expliciete toestemming eist (oftewel niet slechts in een EULA of privacyverklaring opgeëist) voordat je gegevens mag opslaan of uitlezen via een netwerk. Oh, hee, dat is wel apart: het verwijderen van gegevens staat daar niet bij. Dan val je terug op de algemene regel dat er een grond moet zijn, en een EULA kan op zich best een grond geven om acties op een computer uit te voeren.

Dus hm. Het lijkt te mogen, zeker gezien die EULA. Maar toch voelt het als erg vérgaand. Zeker als (wat me niet duidelijk is) het om Tor als zodanig gaat, in plaats van enkel om geïnfecteerde versies van Tor. Het verwijderen van geïnfecteerde software vind ik minder ernstig dan het verwijderen van infecteerbare software.

Update: in de comments wordt gemeld dat het hier enkel ging om Tor-installaties die meegekomen waren met de Sefnit-malware. Andere versies (en waarschijnlijk zelfs de betreffende versie als deze anderszins geinstalleerd was) werden met rust gelaten.

Arnoud

Toxbot-verspreider pleegde computervredebreuk en “gemeen gevaar” voor financiële dienstverlening

| AE 2439 | Security | 11 reacties

De uitspraak van het Gerechtshof tegen de Nederlandse hacker die enkele jaren geleden werd veroordeeld voor het verspreiden van het W32.Toxbot-virus om zo een botnet te bouwen, is door de Hoge Raad vernietigd. Dat meldde ISPam.nl gisteren. Het Gerechtshof had de verkeerde toets aangelegd om te bepalen of sprake was van “gemeen gevaar” voor het… Lees verder

Crimineel computernetwerk ontmanteld, mag dat?

| AE 2287 | Regulering, Security | 51 reacties

Een speciaal team van de nationale recherche heeft maandag een crimineel computernetwerk platgelegd, meldde nu.nl. Na klachten over het Bredolab-botnet vorig jaar werd een onderzoek ingesteld, waarbij maar liefst 143 command-and-controlservers aangetroffen werden. Deze werden maandag offline gehaald door provider Leaseweb. Het brein achter het botnet zou ook zijn gearresteerd. Bij Tweakers laat men weten… Lees verder

KLPD waarschuwt slachtoffers botnet

| AE 1164 | Security | 5 reacties

In samenwerking met antivirusbedrijf Kaspersky gaat het Team High Tech Crime van de Nederlandse politie mensen informeren over het feit dat hun PC’s besmet zijn geraakt met malware en onderdeel uitmaken van een botnet, zo meldde ISPam donderdag. Dit is voor zover bekend de eerste keer dat een politiedienst via een botnet de slachtoffers inlicht…. Lees verder

Geautomatiseerde diefstal van creditcards

| AE 520 | Security | Er zijn nog geen reacties

Het stelen van financiële informatie is een professionele activiteit geworden. Waar we twintig jaar geleden hooguit bang moesten zijn voor een uit de prullenbak gevist creditcard-bonnetje, zijn nu complete netwerken met geinfecteerde PC’s te huur. Dat gebeurt met Trojaans paard-software zoals Gozi, volgens CorCom Security Analysing een van de meest complexe en lastig te detecteren… Lees verder

Flinke toename cybercrime in Nederland (via Emerce)

| AE 206 | Security | Er zijn nog geen reacties

De online criminaliteit neemt flink toe in Nederland, meldt o.a. Emerce. Dit blijkt uit het Trendrapport Cybercrime 2007, uitgegeven door ICT-beveiligingsinstantie Govcert.NL (van o.a. de Waarschuwingsdienst.nl) Het grootste probleem is de toename van botnets. Botnets vormen de infrastructuur voor cybercrime, zo meldt het rapport. Daarmee kunnen ongestraft virussen, spam mail en dergelijke worden verzonden. Ook… Lees verder

Blik in de cockpit van een zombienetwerk

| AE 135 | Security | Er zijn nog geen reacties

Beveiligingsbedrijf Panda Software heeft een verzameling van meer dan tienduizend gekraakte computers ontdekt die vanuit een centrale pagina beheerd kan worden, zo las ik op Tweakers.net : De installatie van Zunker – zoals het pakket heet – werd ontdekt tijdens onderzoek naar een virus. Het netwerk bleek voor 95% in Duitsland te staan en gebruikt… Lees verder