Wanneer is een responsible disclosure beleid rechtsgeldig?

| AE 9240 | Beveiliging, Hacken | 28 reacties

Een lezer vroeg me:

Sommige bedrijven hebben een responsible disclosure beleid en maken dit bekend op hun website. Ik zie alleen daarin steeds vaker iets over geheimhoudingsplicht voorkomen: je mag kwetsbaarheden wel zoeken en melden, maar zonder toestemming (of soms “zonder overleg”) niet publiceren. Maar het hele idee van responsible disclosure is toch juist dat je op zeker moment naar buiten treedt, natuurlijk wel op zorgvuldige wijze. Kunnen bedrijven dit zo stellen, is dit rechtsgeldig? Dan gaat toch het hele concept onderuit?

Een bedrijf dat responsible disclosure-beleid publiceert en daarin zegt dat er nimmer mag worden gepubliceerd zonder haar toestemming, is wat mij betreft misleidend bezig. Dat is niet wat de term responsible disclosure impliceert en het is zeer ergerlijk dat bedrijven op die manier doen alsof ze RP-beleid hebben.

Het hele idee achter responsible disclosure is dat kwetsbaarheden op zeker moment publiek móeten worden, omdat dan iedereen er rekening mee kan houden. Als de good guys hun mond moeten houden dan kunnen bedrijven kwetsbaarheden onder de pet houden. Wat slecht is voor de maatschappij, want de bad guys weten het toch wel. Natuurlijk is het ook weer niet de bedoeling dat kwetsbaarheden direct publiek worden, want dan kan er misbruik van worden gemaakt zonder dat het bedrijf het kon repareren.

De Leidraad over responsible disclosure uit 2013 van de overheid zoekt naar een middenweg. Het idee is dat melder en bedrijf in overleg treden over wanneer naar buiten te treden, met als vuistregel 60 dagen na de melding. Maar dát er naar buiten getreden wordt, staat daarbij voorop. En gezien het belang van security in ICT-systemen is dat ook niet meer dan logisch. Wie anno 2017 nog verdedigt dat security by obscurity beter is, kan beter wat anders gaan doen.

Of responsible disclosure beleid rechtsgeldig is, is een lastige vraag. Beleid is natuurlijk maar beleid, en dat kan zomaar veranderen. Belangrijkste is: wat dóet het, dat beleid. Zijn daar rechten of plichten aan te ontlenen? Plichten opleggen in beleid is erg moeilijk, want de wederpartij moet daar wel mee akkoord gaan. Je kunt dus niet op voorhand iemand aansprakelijk laten zijn voor alle schade die het gevolg is van een ontdekte kwetsbaarheid. Omgekeerd is het wél makkelijk mogelijk om het bedrijf te houden aan een toezegging. Met name dus de toezegging “wij zullen geen aangifte/schadeclaim doen als je je aan het beleid houdt”.

Arnoud

Mag je het netwerkprotocol van een online game uitpluizen?

| AE 8580 | Beveiliging | 15 reacties

rink-springer-romdumpEen tijd geleden ontdekte ontwikkelaar Rink Springer het spel Runes of Magic. En zoals dat gaat bij hackers: je raakt op het spel zelf uitgekeken, dus dan ga je kijken hoe het op de achtergrond werkt. In dit geval door het netwerkprotocol van het spel uit elkaar te trekken en te documenteren. Hetgeen uiteindelijk leidde tot een lezing op de CCC vorig jaar. Eh, maar mag dat eigenlijk wel?

Runes of Magic is een free-to-play online MMORPG (oneerbiedig gezegd een World of Warcraft-kloon). Je speelt het op je eigen PC, waarbij het spel allerlei gegevens opstuurt naar de server om je zo met anderen mee te laten spelen. En dat is nou typisch het soort “onder de motorkap”-gebeuren waarvan je graag zou willen weten hoe het werkt.

Met een simpele netwerktool (tcpdump en tcpflow) slaagde Springer erin om het gebruikte protocol te achterhalen. Hij ontwikkelde zelfs een tool (romdump) dat het hem makkelijker maakte om gegevens te decoderen en vervolgens te herkennen. Zo kon hij onder meer de algemene structuur achterhalen van pakketjes informatie over rondlopende spelpersonages.

Vervolgens ontwikkelde hij een transparante proxy tussen de client en de officiële servers, die al het netwerkverkeer kon opnemen voor realtime analyse. Erg handig bij zulk nieuwsgierig speurwerk: zo kun je makkelijk kijken wat de juiste vraag/antwoord-scenario’s zijn (client stuurt pakketje X, is hij tevreden als ie pakketje Y terugkrijgt, etc).

Erg interessant, alleen: mag dat wel? Want reverse engineeren van software, dat was een dingetje onder de Auteurswet immers. En dat klopt. Alleen heeft Springer niet de software uit elkaar getrokken maar de netwerkcommunicatie. En dat mag. Netwerkcommunicatie is openbare data die je mag observeren, en je observaties mag je vervolgens gebruiken zoals je wilt.

Oké, niet helemaal: een nepserver bouwen om mensen op te lichten mag niet, de informatie gebruiken om vals te gaan spelen of jezelf valselijk dure spullen te geven ook niet. En zo zijn er nog wel een paar dingen die problematisch kunnen zijn. Maar dat is een categorie verder dan enkel een protocol uit elkaar halen en constateren: met dit pakketje loggen ze je in, met dat pakket springt je personage over een berg en met dat pakket krijg je een zwaard.

Mag je zomaar al die gegevens publiceren? Daarmee kunnen andere mensen wellicht wel die verboden dingen doen. Dat is een terecht punt, en dat speelt altijd bij responsible disclosure. Publiceer dus alleen neutrale technische informatie en let erop dat die niet triviaal kan worden misbruikt door anderen. Geen kant-en-klare exploits dus. Maar een wetenschappelijke analyse van een netwerkprotocol mag wel.

Het kan anders komen liggen als de leverancier van de software gebruik maakt van beveiliging. Dergelijke beveiligingen omzeilen kan worden gezien als het omzeilen van een softwarebescherming in de zin van de Auteurswet (art. 32a), en dat is onrechtmatig en strafbaar. Het protocol moet dan beveiligd zijn met bv. een sleutel of certificaat. Enkel xor’en van de data (zoals bij dit protocol) is niet genoeg daarvoor.

Bekijk vooral de lezing van Rink!

Arnoud

Een Spotify-account overnemen versus de Wet computercriminaliteit

| AE 8064 | Strafrecht | 15 reacties

account-suspended.pngWeer een interessante Tweakersdiscussie, ditmaal over een jongen die een Spotify premium account generator gebruikt had dat van een politie-stagiair bleek te zijn. Die wist de jongen te traceren en dreigde met aangifte wegens creditcardfraude. Hoe strafbaar is dat dan, een Spotify-account overnemen?

De agent-in-opleiding noemt art. 232 Strafrecht als basis. Dat artikel stelt strafbaar het vervalsen, manipuleren of namaken van een betaalkaart om daar voordeel uit te trekken. Het namaken van een boekenbon valt hieronder, net als het manipuleren van het saldo op een prepaidkaart.

Hier gaat dat niet op: de inloggende jongen heeft niets gedaan met de creditcard als zodanig. Hij heeft ingelogd op het account van een ander. Daarvoor is primair de computervredebreuk (art. 138ab Strafrecht bedacht: wederrechtelijk binnendringen in een geautomatiseerd werk, zoals een server van Spotify. Daarbij maakt het niet uit of je een technische truc hebt gebruikt of het wachtwoord hebt afgekeken of geraden. Als je er niet mag zijn, heb je binnengedrongen. Zelfs als het wachtwoord gewoon op internet stond (zoals bij het Welkom123-wachtwoord van het LCMS).

Ook is er een artikel over het gebruiken van betaaldiensten zonder daarvoor te betalen (art. 326c Strafrecht), hoewel je je daarbij kunt afvragen of dat ook geldt als er op zich gewoon betaald wordt voor de dienst (hoewel door een ander). Het idee van dit artikel is volgens mij meer het strafbaar stellen van descramblers of gebruik van kraaksoftware voor beveiligde diensten.

In de draad noemt een aantal mensen het diefstal. Dát betwijfel ik heel erg. Weliswaar heeft de HR in het Runescape arrest en het gelijktijdige SMS-bundelarrest bepaald dat je ook virtuele dingen en zelfs creditstegoeden kunt stelen, maar het ging daar om concrete items met waarde die worden verbruikt. Bij Spotify is er niet zoiets. Je kunt niet 1 unit Spotify van iemand verbruiken, zoals je een SMS uit een bundel of een credit verbruikt. Daarom kun je Spotify niet stelen.

Tenzij je zegt: hij heeft het account zélf gestolen. Dan moet je aantonen dat een Spotify-account (naam en wachtwoord) een concreet item is met waarde (het is premium, dus ja), en dat je de macht daarover jezelf kunt toeëigenen (kan, verander het wachtwoord). Alleen zit ik dan nog met het punt van verbruik. Een SMS uit een bundel is verbruik, een Watt elektriciteit is verbruik, maar hoe is inloggen op Spotify ‘verbruik’?

Arnoud

Mag je Metasploit-modules publiceren voor kwetsbaarheden in software?

| AE 7448 | Beveiliging, Hacken, Software | 17 reacties

Een lezer vroeg me: Vanuit een research-oogpunt zou ik graag Metasploit modules willen publiceren voor gedichte kwetsbaarheden in veelgebruikte software. Kan dit zomaar of ben je dan strafbaar bezig? Het is strafbaar om een kwetsbaarheid te exploiteren en zo binnen te dringen in een computersysteem. Dat is de computervredebreuk uit artikel 138ab Strafrecht. Aanvullend is… Lees verder

Mag een forum IP-adressen van een klager matchen tegen zijn gebruikers?

| AE 7117 | Beveiliging | 11 reacties

Via een lezer (dank) vond ik een interessante discussie bij Tweakers: een bedrijf werd besproken op het forum van de techsite, waarna het bedrijf bij het beheer ging klagen dat er hackpogingen werden ondernomen vanuit Tweakers. Waarop het beheer van Tweakers meldde dat personen die zoiets zouden doen, een ban zouden krijgen. Herrie in de… Lees verder

Mag een school een leerling schorsen wegens installeren van illegale iPadsoftware?

| AE 7058 | Hacken | 33 reacties

Een lezer vroeg me: De vwo-school van mijn zoon heeft iedereen een iPad in bruikleen gegeven. Handig als mijn zoon is, heeft hij er allerlei eigen software op gezet en daarbij kennelijk ‘gehackt’. Hij gebruikt een Chinese appstore en dat mag niet volgens de school. Hij moet nu de iPad binnen 24 uur in originele… Lees verder

De strafbaarheid van gestolen naaktfoto’s

| AE 6940 | Aansprakelijkheid, Privacy, Strafrecht | 43 reacties

Nooit gedacht dat ik ooit ‘fap’ in een juridische blog zou gebruiken, maar vooruit. De Amerikaanse FBI onderzoekt de diefstal van naaktfoto’s van tientallen actrices en artiesten in de Verenigde Staten, meldde Tweakers. De foto’s zouden zijn ontvreemd na inbraken op Apple’s iCloud en aangeboden op de beruchte site 4chan. Hetgeen aanleiding gaf voor allerlei… Lees verder

IKEAhackers mag geen IKEAhackers meer heten als er advertenties bij staan

| AE 6745 | Domeinnamen, Merken | 11 reacties

De in 2006 opgerichte site IKEAhackers kreeg onlangs een blafbrief van de Zweedse zelfbouwmeubelgigant: bij nader inzien pleegt u merkinbreuk, want er staan sinds kort advertenties op uw site. Dat meldde Ars Technica vorige week. De brief verraste de site-eigenaar nogal, omdat men al acht jaar bestond en nooit het idee had gekregen dat IKEA… Lees verder

Hoe bewijs ik dat mijn grootouders niet online gokken?

| AE 6731 | Beveiliging | 85 reacties

Een lezer vroeg me: Bij mijn grootouders is ongeveer 5.000 euro van de bankrekening gehaald. Dit is gebeurd via internetbankieren, er zijn credits bij een online casino gekocht via iDeal. Nu zegt de bank dat de transacties zijn gemaakt vanaf hetzelfde IP-adres als altijd. Zij schuiven de schuld dus terug, en mijn grootouders moeten nu… Lees verder

Mijn school neust rond op mijn server, mag dat?

| AE 6595 | Aansprakelijkheid, Beveiliging | 22 reacties

Een lezer vroeg me: Laatst zat ik op een schoolcomputer te internetten en ondertussen op mijn eigen server wat te doen (via ssh ingelogd). Ineens kreeg ik computerproblemen omdat een vriendje me een “grappige site” toe had gestuurd. Ik kwam er niet meer uit en moest de systeembeheerders erbij halen. Die gingen echter ook rondneuzen… Lees verder