Mag je de verlichting van de Erasmusbrug op paars zetten?

| AE 12327 | Regulering, Security | 23 reacties

Het systeem om de verlichting van de Erasmusbrug in Rotterdam te veranderen was ruim een jaar via internet toegankelijk, meldde Tweakers onlangs. RTL Nieuws-reporter Daniël Verlaan kreeg een tip over het lek en wist de brugverlichting paars te maken. De brug zelf was verder niet te bedienen, maar de interface van dit systeem bleek zonder beveiliging toegankelijk als je wist wat de netwerkpoort was van de server. Die laatste was via zwakhedenzoekmachine Shodan te vinden. Dat riep dus weer de bekende vraag op, mag dat dan?

Je mag niet binnendringen in andermans computersysteem. Of dat systeem beveiligd is, doet niet ter zake. Enige vraag is of je wist dan wel moest weten dat je daar niet mocht zijn. Het lijkt me evident dat je als Shodan-surfende derde weet dat je niet de verlichting van de Erasmusbrug mag bedienen, dus dat noem je binnendringen.

Natuurlijk kun je per abuis op zo’n server belanden. Je klikte wat rond, iemand deelde een onschuldige server en oeps die brug werd paars. Kan. Maar ik zou zeggen dat het bewijs van jouw bewustzijn een heel eind rond is als jij zegt, ik zat op Shodan te kijken en zag daar de admin van de Erasmusbrug. Je wéét dat Shodan geen rechtmatig gepubliceerde interfaces bevat en je wéét dat jij niet welkom bent in de admin van de Erasmusbrug.

Dit is dus tevens waarom je niet aan de politie gaat uitleggen wat je deed of waarom je dacht dat dat mocht. Gewoon niet. Echt niet. Nee, ook niet vanwege die reden die jij nu in je hoofd hebt. Niet. “Ik wil graag eerst met een advocaat overleggen” is het énige dat je zegt. Serieus. Alsjeblieft.

En ja, het is een vrij onschuldig verhaal want er is niets kapot gegaan, niets bediend en niets ernstigs gebeurd. Maar toch, wees voorzichtig als je geen professioneel journalist bent. Ik benadruk dit omdat in de sfeer van “cybercrime” Justitie vaak overspannen reageert vergeleken met real-life situaties. Als je de controlekamer van deze verlichting was binnengelopen, dan had de portier op z’n kop gehad en was jij eruit gejaagd. Maar nu heb je een cyberhack gedaan. In theorie had je zelfs antiterrorismewetgeving kunnen triggeren met zo’n actie.

In dit specifieke geval betreft het een journalist die een opmerkelijke misstand aan de kaak stelt, en daarvoor het enige middel gebruikt om aan te tonen dat de misstand waar is. De maatschappelijke of persoonlijke schade is nihil en het slachtoffer is geïnformeerd en kreeg de kans de misstand op te heffen voordat dit nieuws werd. Dan en specifiek dan wordt de strafbaarheid opgeheven.

En natuurlijk, journalist is geen beschermde titel, maar journalist ben je pas als je journalistieke activiteiten ontplooit. Dus enkel zeggen “ik wilde erover publiceren” is niet genoeg. Je moet een track record hebben (zoals Daniël, koop dat boek) of daadwerkelijk een journalistieke uiting hebben gedáán. Wilde je nu eindelijk eens journalist worden en was dit je eerste geplande publicatie maar werd je gepakt voordat het online stond, dan vrees ik dat je niet wordt geloofd.

Arnoud

Bedrijven gehackt door bij NCSC bekend lek, had men dit moeten delen?

| AE 12155 | Informatiemaatschappij | 21 reacties

Aanbieders van digitale infrastructuur verenigd in de Stichting DINL zijn gefrustreerd over het opnieuw achterhouden van informatie over een belangrijke hack door het NCSC. Dat las ik bij Computable.nl. Het Nationaal Cyber Security Centrum (NCSC) had actuele en gerichte informatie over de hack maar deelde die niet met de bedreigde organisaties, omdat data niet binnen haar wettelijke taak viel. De bedrijven werden ook werkelijk gehackt met deze zwakheid, iets dat dus voorkomen had kunnen worden.

Tweakers legt uit dat het ging om de inloggegevens van Pulse Secure-accounts van meer dan 900 bedrijven, die online werden gepubliceerd nadat ze door exploitatie van een lek in deze VPN software werden verkregen. Beveiligingsonderzoeker Matthijs Koot (hoi) lichtte het NCSC in, omdat ook Nederlandse bedrijven er tussen stonden. Maar die deed er dus niets mee.

In het FD licht de dienst dit toe:

Binnen de ‘juridische mogelijkheden’ heeft het NCSC er alles aan gedaan om organisaties te informeren, e-mailt een woordvoerder van Justitie. Maar ‘organisaties buiten het wettelijk mandaat kunnen helaas niet door het NCSC geïnformeerd worden.’ Ook nu bekend is dat de bedrijven daadwerkelijk zijn gehackt, worden ze dus niet op de hoogte gebracht.
Het probleem is dat er juridisch zoiets is als een vitale organisatie. Deel van het takenpakket van het NCSC is dat men alleen deze instanties mag informeren. Daarmee is er dus geen bevoegdheid om ook andere bedrijven te informeren.

De achterliggende logica snap ik niet helemaal, ik zie in de wet geen hard verbod op het informeren van een niet-vitale organisatie maar dat ligt vast aan mij. Ik kan me hooguit voorstellen dat je niet ieder lek aan ieder bedrijf wil melden, al is het maar omdat je niet zeker weet wie wel of niet lek is en het mogelijk héél veel belletjes worden als je voor iedere WordPress-vulnerability iedere slager met blog moet gaan bellen. Maar iets van een inhoudelijke afweging moet toch niet zo’n groot probleem zijn?

Arnoud