Het Wassenaar Arrangement versus de security-onderzoeker

| AE 7806 | Intellectuele rechten, Security | 22 reacties

bug-fout.pngEen Britse student mag zijn scriptie niet publiceren omdat hij daarin exploits uitlegt, wat verboden is door het Wassenaar Arrangement. Dat meldde Ars Technica afgelopen vrijdag. De bachelorscriptie bevat nu enkele zwartgemaakte pagina’s, en details daaruit worden alleen aan bona fide securityonderzoekers beschikbaar gesteld. Wacht even, is het nu ook al verboden om wetenschappelijke publicaties over securitygaten te doen?

Het Akkoord van Wassenaar (niet te verwarren met het Akkoord van Wassenaar) is een verdrag dat exportrestricties stelt op wapens en dual-use technologie. In 2014 werd de scope van dit Akkoord uitgebreid: ook intrusion software is nu een ‘wapen’ en daarmee onderworpen aan exportrestricties.

Meer specifiek gaat het om

Software ‘specially designed’ or modified to avoid detection by ‘monitoring tools,’ or to defeat ‘protective countermeasures,’ of a computer or network-capable device, and performing any of the following: (a) The extraction of data or information, from a computer or network-capable device, or the modification of system or user data; or (b) The modification of the standard execution path of a program or process in order to allow the execution of externally provided instructions.

Het is item (b) waardoor ook zero days en andere exploitsoftware hieronder zou kunnen vallen: vrijwel alle exploits zijn uiteindelijk gericht op het uitvoeren van andere instructies, het hele punt immers is de controle overnemen van het systeem dat je aanvalt.

Op zich valt ook een exploit in een paper onder deze definitie. Het gaat immers niet om het medium waarin de software is verschenen of de bedoelingen van de auteur. Echter, elders in het Akkoord staat:

Controls do not apply to “technology” “in the public domain”, to “basic scientific research” or to the minimum necessary information for patent applications.

Hierbij betekent “public domain”

“technology” or “software” which has been made available without restrictions upon its further dissemination. Copyright restrictions do not remove “technology” or “software” from being “in the public domain”.

Oftewel, wie publiceert zonder restrictie, valt buiten het verdrag. Vreemd is het wel, want als je dus je software voor een beperkt publiek aanbiedt dan krijg je exportrestricties om je oren, maar zet je het met broncode en al op internet onder een opensourcelicentie dan heb je nergens wat mee te maken.

Het lijkt er bij deze student op dat er nog wat anders meespeelt: hij noemt naast het Akkoord ook het ethisch beleid van zijn universiteit als factor die in de weg zit. Ik kan dat beleid zo niet vinden, maar het is ergens voorstelbaar dat een stel alfa’s uit het bestuur meende dat exploits publiceren onethisch is ongeacht de wetenschappelijke waarde daarvan. Daar doe je dan verder juridisch niets aan.

Arnoud

Mag een maildienst met encryptie onkraakbaar zijn?

| AE 7155 | Privacy, Security | 24 reacties

pgp-bericht-encryptie-versleutelingMet de dienst Startmail kunnen mensen versleuteld met elkaar mailen, ook als ze geen eigen encryptiesoftware (PGP) hebben. Dat las ik bij Tweakers. Heel mooi, maar PGP is erg sterke encryptie dus ga je je afvragen, hoe zit dat met opsporingsdiensten? Wanneer mag Justitie bij versleutelde mail opgeslagen bij een provider?

Op grond van artikel 125k Strafvordering kan een officier van justitie bij opsporing het bevel geven dat zaken moeten worden ontsleuteld. Het moet wel gaan om een ernstig misdrijf (art. 67 Rechtsvordering).

Het bevel mag aan bijna iedereen worden gericht:

… degeen van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van de wijze van beveiliging van een geautomatiseerd werk, het bevel worden gericht toegang te verschaffen tot de aanwezige geautomatiseerde werken of delen daarvan. Het bevel richt zich tot degeen van wie redelijkerwijs kan worden vermoed dat hij kennis draagt van de wijze van versleuteling van deze gegevens.

De enige uitzondering is – niet verrassend – de verdachte zelf. Deze is immers niet verplicht aan zijn eigen veroordeling mee te werken.

Een tussenpersoon als Startmail is zelf geen verdachte en moet dus meewerken aan een bevel als aan de voorwaarden uit de wet is voldaan. En in theorie kunnen ze dat, ik lees bij Tweakers dat Startmail berichten op de server versleutelt en dat daar de privésleutel van de gebruiker is opgeslagen. Het is voor mij juridisch simpel: kún je erbij dan móet je erbij als dat wordt bevolen.

Liever had ik gezien dat de dienst GPG of PGP op de clientside inzet, zodat ze geen sleutels om mee te ontsleutelen hebben. Maar Startmail meldt in haar whitepaper (p5 en 6) een aantal stevige redenen om wél serverside te versleutelen. Kort gezegd: dat moet je niet willen als de client side omgeving een browser met Javascript is. En daar zit ook weer wat in.

Arnoud

Heeft Truecrypt een anti-NSA warrant canary losgelaten?

| AE 6701 | Security | 43 reacties

truecrypt-duress-canaryEindelijk weten we het: het was de NSA die Truecrypt heeft gesaboteerd. Dat meldt althans Slashdot. Het project kondigde onlangs nogal cryptisch (haha) aan dat de gratis diskencryptiesoftware niet veilig meer zou zijn en of we allemaal op Microsoft Bitlocker over zouden willen stappen. En de tekst “Using TrueCrypt is not secure as it may …” is natuurlijk helemáál een weggever. Maar kan het?

Een warrant canary is een juridische truc waarbij je elke dag een boodschap produceert à la “Vandaag ontvingen wij geen tapbevelen”. De dag dat je wél zo’n bevel krijgt, produceer je die boodschap niet. Daarmee weet de goede verstaander hoe het zit, zonder dat je expliciet hebt gezegd “wij kregen een bevel” – dat laatste is verboden want dergelijke bevelen komen met een “u mag niemand vertellen dat u dit bevel gehad heeft”-gag order. De analogie is met de kanarie in de kolenmijn: als die dood neervalt, dan is er koolmonoxide in de buurt en moet je wegwezen. Daar heb je nog net tijd voor, want een kanarie gaat eerder dood daaraan dan een mens.

Ik blijf erbij dat een warrant canary niet kan, niet in de VS en niet in Europa (bij ons: art. 126bb strafvordering). Als je een bevel krijgt met een verbod om anderen te vertellen dat je het gehad hebt, dan mag je óók niet ophouden met zeggen “Ik heb vandaag géén bevel gehad”. Dat komt immers informatietechnisch op hetzelfde neer. Je moet dan liegen om het bevel op te volgen.

In het Amerikaanse rechtssysteem is iemand dwingen wat te zeggen (compelled speech) juridisch heikeler dan iemand dwingen niets te zeggen (gag order). En daar is dit idee op gebaseerd. Maar ik zie in dit specifieke geval het verschil niet. Als het spreekverbod toegestaan is, dan moet dat ook kunnen worden gehandhaafd tegen iemand die daardoor óphoudt met spreken.

Een dodemansknop zie ik nog wel: maak een script dat als je een week niet inlogt, een vooraf bepaalde tekst plaatst en het project sluit. Dat is dan niet te voorkomen met een gag order, zeker niet als je een week lang koppig om je advocaat blijft vragen en niet vertelt over de dodemansknop. Het lijkt me wel technisch lastig te automatiseren (een kennis instrueren en die het handmatig laten doen is wellicht slimmer) en het is riskant, wat als je een week internetstoring hebt of de server met het script maakt een datumfout en leeft ineens een week in de toekomst.

De verklaring dat de overgebleven developer(s) tegen een burnout aan liepen na tien jaar ondankbaar werk, lijkt me waarschijnlijker. Wat jullie?

Arnoud

Mag Kliksafe https verkeer openbreken?

| AE 6515 | Security | 11 reacties

Via Twitter kreeg ik de vraag: Kliksafe heeft tegenwoordig een speciaal filter voor HTTPS, waarin ze het verkeer decrypten. In hoeverre is dat toegestaan? Kliksafe is een aanbieder van gefilterd internet. Wie deze dienst afneemt, kan voorkomen dat er ongewenste websites en diensten opgeroepen kunnen worden. De dienst kent een blacklist, whitelist en contentfilter –… Lees verder

Kan een ontsleutelplicht voor verdachten worden ingevoerd?

| AE 4769 | Security | 61 reacties

Kinderporno- of terrorisme-verdachten kunnen in Nederland straks gedwongen worden om mee te werken bij het ontsleutelen van bestanden op systemen, las ik bij Tweakers. De minister wil een wetsvoorstel indienen waarmee er celstraf moet komen te staan op het weigeren zo’n bevel op te volgen. En dat roept dan meteen de vraag op: hoe past… Lees verder

Is de export van sterke cryptografie nog steeds verboden?

| AE 2629 | Intellectuele rechten, Security | 9 reacties

Een lezer stelde me een vraag over chatclient Jabber. Hij gebruikt deze op het werk inclusief de feature van end-to-end encryptie: OTR. Voor de iPad en iPhone is ook een Jabber-client beschikbaar, OneTeam geheten. Deze had echter geen encryptie. Op zijn verzoek of dat binnenkort dan opgenomen zou worden, reageerde het bedrijf met: Chances to… Lees verder

Amerikaanse verdachte hoeft PGP-decryptiesleutel niet af te geven aan politie

| AE 719 | Privacy, Regulering, Security | 2 reacties

Een verdachte mag niet worden bevolen zijn PGP-decryptiesleutel of wachtwoord af te geven, bepaalde een een Amerikaanse magistrate judge eind november. Zo’n bevel is in strijd met de Amerikaanse Grondwet. Dat meldt onder andere Planet. In Engeland moesten diezelfde maand een groep Britse dierenactivisten nog hun decryptiesleutels afgeven. En hoe zit dat in Nederland? Je… Lees verder

Engelse wet kan verdachte dwingen om data te decrypten

| AE 481 | Security | 1 reactie

In Groot-Brittannië is het sinds kort verplicht om gegevens onversleuteld te overhandigen aan de autoriteiten. Indien nodig moeten medewerking worden verleend aan het ontsleutelen van de gegevens, zo melden onder andere Security.nl en Tweakers. Bedrijven en individuen die een ‘Section 49’-dwangbevel krijgen, zijn verplicht de decryptiesleutels te overhandigen of de voor onderzoek gewenste gegevens in… Lees verder