Tag: Export

About Export

Subscribe Feeds

Safe Harbor getorpedeerd; het einde van de Amerikaanse cloud?

Geplaatst op in Privacy, 40 reacties

Het Europese Hof van Justitie heeft vandaag het Safe Harbor-verdrag met de Verenigde Staten, waarin staat hoe Amerikaanse bedrijven gegevens moeten opslaan zodat ze aan de Europese privacywetgeving voldoen, ongeldig verklaard. Dat meldde Security.nl en nog een hele sloot media. Een lichte ramp natuurlijk: zonder Safe Harbor staan heel veel persoonsgegevens illegaal in de Amerikaanse cloud. Wat nu?

De uitspraak is een uitkomst van het al lang lopende conflict dat Oostenrijker Max Schrems heeft met Facebook. Het begon met een inzageverzoek: wat weten jullie allemaal over mij. Dat escaleerde tot een stevige juridische strijd, waarbij op zeker moment het argument ter tafel kwam dat persoonsgegevens veilig in de VS staan want Safe Harbor. Dat we ondertussen van alles weten over de NSA en ander amerikaanseoverheidsgesnuffel deed daarbij niet ter zake.

Het arrest (zaaknr C-362/14) gaat vooral over dat punt. Mag de Europese Commissie afspraken met de VS maken waarin ze in feite zeggen “de VS is gewoon veilig, punt”, of mag het Hof daar toch nog wat van vinden als bij nader inzien blijkt dat het in de VS toch niet zo lekker loopt als gedacht? Het verrast niet echt dat het Hof het laatste vindt.

En wát ze er dan van vinden, is niet mals. De VS ziet Safe Harbor als een leuk speeltje maar uiteindelijk niet zo belangrijk als de eigen wetten:

86 Thus, Decision 2000/520 lays down that ‘national security, public interest, or law enforcement requirements’ have primacy over the safe harbour principles, primacy pursuant to which self-certified United States organisations receiving personal data from the European Union are bound to disregard those principles without limitation where they conflict with those requirements and therefore prove incompatible with them.

Oftewel: er staat gewoon ín dat als Amerikaanse wetgeving wat anders zegt dan mag in de Safe Harbor, dan wint die wetgeving het gewoon. Hoe kun je dat dan nog een veilige haven noemen die volgens Europese regels werkt? Want dát was het idee achter de wettelijke eis “geen gegevens de EU uit tenzij dat adequaat geborgd is”.

We hebben nu dus een probleem. Heel veel organisaties hebben data in de VS staan met een beroep op Safe Harbor, en dat is nu dus niet meer mogelijk. Er zijn juridische oplossingen te verzinnen – zoals gaan werken met een modelcontract – maar het is nog maar de vraag of die standhouden tegen het argument “de FBI kan er tóch altijd toegang tot afdwingen”, analoog aan het citaat hierboven.

Naar de Europese clouddiensten dan maar? Immers, data opgeslagen bij Amazon in Ierland of Microsoft in Brussel valt onder een dochtermaatschappij die gewoon onder Europees recht valt. Het is nog maar de vraag of dat gaat helpen. We hebben al een tijdje een slepende rechtszaak tussen Microsoft en de Amerikaanse overheid, met de vraag centraal of de overheid gegevens mag opeisen bij Microsoft-dochters in Europa. De rechter in eerste instantie zei van wel, het hoger beroep loopt. Als dát overeind blijft, zijn ook die datacenters verboden terrein voor Europese bedrijven.

Gaat er wat gebeuren? Het zou me verbazen. De impact is namelijk zo groot dat weinigen er aan zullen willen. Eerst maar eens een jurist zorgvuldig naar laten kijken, en dan afwachten wat de concurrent gaat doen. Want het kost gewoon gigantisch veel geld om equivalente diensten te vinden – als die er al zijn. Als je concurrent lekker op Amazon blijft zitten, dan ben je weliswaar legaal bezig maar commercieel heel dom.

Wellicht dat de nieuwe wetgeving persoonsgegevens per 1 januari hier wat in gaat veranderen. Die heet weliswaar meldplicht datalekken maar hij zet ook boetes op het exporteren van persoonsgegevens zonder juridische basis. Maar u kent mij als professioneel cynicus: het zou me verbazen.

Arnoud

Het Wassenaar Arrangement versus de security-onderzoeker

Geplaatst op in Intellectuele rechten, Security, 22 reacties

bug-fout.pngEen Britse student mag zijn scriptie niet publiceren omdat hij daarin exploits uitlegt, wat verboden is door het Wassenaar Arrangement. Dat meldde Ars Technica afgelopen vrijdag. De bachelorscriptie bevat nu enkele zwartgemaakte pagina’s, en details daaruit worden alleen aan bona fide securityonderzoekers beschikbaar gesteld. Wacht even, is het nu ook al verboden om wetenschappelijke publicaties over securitygaten te doen?

Het Akkoord van Wassenaar (niet te verwarren met het Akkoord van Wassenaar) is een verdrag dat exportrestricties stelt op wapens en dual-use technologie. In 2014 werd de scope van dit Akkoord uitgebreid: ook intrusion software is nu een ‘wapen’ en daarmee onderworpen aan exportrestricties.

Meer specifiek gaat het om

Software ‘specially designed’ or modified to avoid detection by ‘monitoring tools,’ or to defeat ‘protective countermeasures,’ of a computer or network-capable device, and performing any of the following: (a) The extraction of data or information, from a computer or network-capable device, or the modification of system or user data; or (b) The modification of the standard execution path of a program or process in order to allow the execution of externally provided instructions.

Het is item (b) waardoor ook zero days en andere exploitsoftware hieronder zou kunnen vallen: vrijwel alle exploits zijn uiteindelijk gericht op het uitvoeren van andere instructies, het hele punt immers is de controle overnemen van het systeem dat je aanvalt.

Op zich valt ook een exploit in een paper onder deze definitie. Het gaat immers niet om het medium waarin de software is verschenen of de bedoelingen van de auteur. Echter, elders in het Akkoord staat:

Controls do not apply to “technology” “in the public domain”, to “basic scientific research” or to the minimum necessary information for patent applications.

Hierbij betekent “public domain”

“technology” or “software” which has been made available without restrictions upon its further dissemination. Copyright restrictions do not remove “technology” or “software” from being “in the public domain”.

Oftewel, wie publiceert zonder restrictie, valt buiten het verdrag. Vreemd is het wel, want als je dus je software voor een beperkt publiek aanbiedt dan krijg je exportrestricties om je oren, maar zet je het met broncode en al op internet onder een opensourcelicentie dan heb je nergens wat mee te maken.

Het lijkt er bij deze student op dat er nog wat anders meespeelt: hij noemt naast het Akkoord ook het ethisch beleid van zijn universiteit als factor die in de weg zit. Ik kan dat beleid zo niet vinden, maar het is ergens voorstelbaar dat een stel alfa’s uit het bestuur meende dat exploits publiceren onethisch is ongeacht de wetenschappelijke waarde daarvan. Daar doe je dan verder juridisch niets aan.

Arnoud

Is de export van sterke cryptografie nog steeds verboden?

Geplaatst op in Intellectuele rechten, Security, 9 reacties

one-team-jabber-chat1.pngEen lezer stelde me een vraag over chatclient Jabber. Hij gebruikt deze op het werk inclusief de feature van end-to-end encryptie: OTR. Voor de iPad en iPhone is ook een Jabber-client beschikbaar, OneTeam geheten. Deze had echter geen encryptie. Op zijn verzoek of dat binnenkort dan opgenomen zou worden, reageerde het bedrijf met:

Chances to get encryption in OneTeam on iOS are very low, as we would have to ask permission to US government (as requested by Apple). This is a hassle we would like to avoid.

De vraag is natuurlijk, wat heeft de Amerikaanse regering te maken met encryptie op je iPhone?

In eerste instantie niet per se heel veel, maar Apple voelt zich als Amerikaans bedrijf geroepen de Amerikaanse wet te handhaven. Daarom staat in de voorwaarden voor app-developers dat zij bij gebruik van encryptie moeten bewijzen dat het Ministerie van Handel de export van deze technologie heeft goedgekeurd. Dat proces is een heel gedoe, maar het kan wel.

Deze regels gelden ook voor andere besturingssystemen en software, alleen wordt daar niet heel hard op gelet. Maar reken maar dat Microsoft keurig toestemming heeft gevraagd alvorens Windows met encryptie aan boord uit te leveren.

Vroeger waren er heel strenge regels over encryptie: je mocht als Amerikaan geen sterke encryptie naar buiten het land exporteren, wat inhield dat een sleutel bijvoorbeeld maar 40 bits lang mocht zijn (en niet de 128 bits die het zou moeten zijn om veilig te zijn). Dat geldt niet meer, er is alleen nog een verbod op export naar Libië, Iran en die landen. Voor de rest geldt een meldingsplicht en een paar beperkingen.

Voor open source is ook dat nog een probleem, want je hebt geen idee waar je software naartoe gaat dus je kunt niet garanderen dat de software niet naar Iran zal gaan. Daarom is er een uitzondering in de export control wetgeving opgenomen (art. 740.13 e-CFR), die zegt dat software in broncodevorm die publiek op internet downloadbaar is niet onder de strenge wetgeving valt.

Dat is volstrekt onlogisch gezien doel van de wet maar wel handig voor open source: wie producten met encryptie verkoopt, moet nagaan wie de klanten zijn en goedkeuring voor export hebben, maar wie het gratis op internet zet hoeft dat allemaal niet. Je moet alleen melden dat je cryptografische open source op internet hebt gezet.

In Europa geldt geen eis van melding. Wel is het verboden encryptie opzettelijk te exporteren naar landen als Libië, Noord-Korea of Iran. Want ja, encryptietechnologie wordt nog steeds gelijkgeschakeld met wapens en munitie.

Arnoud