Politie stuurt waarschuwingsbrief naar vermeende afnemers ddos-dienst

| AE 12968 | Regulering | 10 reacties

geralt / Pixabay

De politie heeft afgelopen maandag een waarschuwingsbrief gestuurd naar 29 mensen die in verband worden gebracht met het afnemen van ddos-diensten. Dat meldde Security.nl onlangs. “We hebben je geregistreerd in ons systeem en je krijgt nu een laatste waarschuwing. Als zich in de toekomst nieuwe soortgelijke feiten voordoen, gaan we over tot vervolging. Houd in dat geval rekening met een veroordeling, strafblad en het kwijtraken van je computer en/of laptop”, zo staat in de brief vermeld.

De briefontvangers zouden via de website MineSearch ddos-diensten hebben afgenomen, waarmee het mogelijk was om tegen betaling ddos-aanvallen te laten uitvoeren. Vorig jaar juli doorzocht politie de woningen van twee verdachten die vermoedelijk bij de website betrokken zijn. Daarbij kwamen deze klantgegevens (ik moet nu zeggen: allegedly-klant) kennelijk naar boven, en dan is het logisch dat je die mensen eens héél serieus aanspreekt.

Maar mag het, is dan gelijk de vraag die ik her en der zie. Het deed me denken aan die zaak uit januari waarbij de politie sms-berichten had gestuurd naar contacten die in de telefoons van vermeende drugsdealers werden aangetroffen. Logisch zou je zeggen, dat zullen vermoedelijk wel klanten zijn en het kopen van drugs is strafbaar, dus dat geeft een redelijk vermoeden van schuld.

De hoofdregel uit strafvordering (opsporing en bestrijding van strafbare feiten) is dat de politie alleen mag doen wat in het wetboek geregeld is. Ja, behalve wat geen of geringe inbreuk maakt op de grondrechten. Een praatje maken op straat is dus bijvoorbeeld gewoon prima, dat kun je moeilijk een inbreuk op je grondrechten noemen. Iemand meenemen naar het bureau voor een verplicht praatje is dat wel, en dat is dan ook wettelijk geregeld. Idem voor het doorzoeken van een in beslag genomen administratie of C&C server van een botnet.

Voor mij speelt hier ook mee dat er meer aanwijzingen zijn dan “je staat in de telefoon van een dealer”: je gegevens van een betaalde transactie voor een criminele dienst staan in de administratie van de (vermoedelijke) crimineel die deze verzorgde. Je bent onschuldig tot het tegendeel bewezen is, maar hier de vermoorde onschuld bepleiten is toch wel erg ingewikkeld in deze omstandigheden.

We hebben je geregistreerd in ons systeem en je krijgt nu een laatste waarschuwing. Als zich in de toekomst nieuwe soortgelijke feiten voordoen, gaan we over tot vervolging. Houd in dat geval rekening met een veroordeling, strafblad en het kwijtraken van je computer en/of laptop.
Er lijkt mij gezien die feiten eigenlijk al genoeg aanleiding te zijn om direct tot onderzoek en aanhouding over te gaan, dus dan is deze brief volgens mij juist een tegemoetkoming en niet een juridisch probleem.

Arnoud

Mag ik mijn klanten scannen op kwetsbaarheden zoals ProxyShell?

| AE 12864 | Security | 9 reacties

GDJ / Pixabay

Een lezer vroeg me:

Wij zijn een ISP die honderden bedrijven heeft ontsloten. We weten van een kwetsbaarheid in Exchange die we kunnen scannen en detecteren. Mogen wij onze eigen klanten nu hierop scannen, ondanks dat ze geen toestemming hebben gegeven en bij ons geen dienst van softwarebeheer afnemen?
Ik heb al een aantal keer gepubliceerd over scannen op veiligheidslekken, waarbij dan het hele internet wordt gescand. Je zou zeggen dat dat dus ook moet kunnen voor het kleinere deel van internet dat jouw klant is. Zeker als het gaat om actuele lekken zoals (denk ik) de recente ProxyShell lekken.

Toch zou ik het afraden om als internettoegangsprovider of hostingprovider ongevraagd en zonder overleg je klanten te scannen. Je zit namelijk in een iets andere positie dan een partij die internet scant vanuit de motivatie het publiek te willen waarschuwen. Je hebt een contractuele relatie met die klanten, en dat brengt een aantal verantwoordelijkheden met zich mee.

Anders gezegd: je hebt een zorgplicht naar je klanten toe, en dat betekent extra zorgvuldigheid in hoe je met hun systemen omgaat. Ook hoort daarbij dat je vertrouwelijkheid in acht neemt en extra oplet dat je niets stukmaakt.

Tegelijk kan ik me voorstellen dat je juist bij gaten met grote impact expliciet wél wil handelen. Dat kun je vanuit diezelfde zorgplicht juist heel goed rechtvaardigen. En als je als provider kwalificeert als een “aanbieder van een openbare elektronische communicatiedienst” (wat de term ISP impliceert) dan moet je zelfs vanuit de wet (art. 11.2 Telecomwet) zorgen voor een goede beveiliging van je netwerk. Dat is natuurlijk dan afhankelijk van de beveiliging van je klanten, dus meekijken of waarschuwen is dan zelfs met enige goede wil je wettelijke plicht te noemen.

Alleen: voor mij blijft overeind staan dat je dit moet aankondigen, en ik denk zelfs ook laten accorderen. Dat kun je natuurlijk prima automatiseren, denk aan een regeling in je algemene voorwaarden met wat uitleg in de SLA (of op je site, zoals in de FAQ) en een bezwaarmogelijkheid voor klanten die hier niet op zitten te wachten.

Wel zou ik dan eerst de vraag beantwoord willen wat je zou doen met de scanresultaten. Ga je dat gewoon naar het contactadres van de klant mailen? En wat doe je dan als die niet reageert (of hooguit “eh, oké bedankt”) en de kwetsbaarheid blijft bestaan? Je kunt namelijk klanten niet gaan afsluiten als ze een kwetsbaar systeem hebben, tenzij je daar héle duidelijke afspraken over hebt. Of ga je de klant aanbieden het voor ze te repareren? Dat zullen ze niet willen, dan hadden ze wel een supportcontract afgenomen.

Arnoud