Mag de internetprovider van mijn werknemer zomaar remote desktop verkeer tegenhouden?

| AE 12949 | Security | 9 reacties

manfredrichter / Pixabay

Een lezer vroeg me:

Vorige week gaf een van onze thuiswerkers aan niet meer in te kunnen loggen in ons ERP systeem dat we bij een derde afnemen. Het werkt op basis van remote app, oftewel bij activatie wordt op de achtergrond een remote desktop gestart. Na veel testen bleek de internetprovider van deze werknemer remote desktop categorisch tegen te houden. Zo kan zij niet werken! Staat de provider in zijn recht om dit zo te doen, zonder het zelfs maar te overleggen?
Hoofdregel uit de wet is dat een internetprovider geen inkomend of uitgaand netwerkverkeer van haar klanten mag blokkeren. Dat volgt uit het beginsel van netneutraliteit en is in Europa in de wet verankerd (Verordening 2015/2120). Artikel 3 hiervan bepaalt:
1. Eindgebruikers hebben het recht om toegang te krijgen tot informatie en inhoud en deze te delen, toepassingen en diensten te gebruiken en aan te bieden, en gebruik te maken van de eindapparatuur van hun keuze, ongeacht de locatie van de eindgebruiker of de aanbieder, en ongeacht de locatie, herkomst of bestemming van de informatie, inhoud, toepassing of dienst, via hun internettoegangsdienst.
Het gebruik van een remote desktop dienst om een systeem op afstand af te nemen valt hier onder, ook als je dit voor je werk doet terwijl het een consumentenabonnement is.

Dat wil echter niet zeggen dat een provider nooit ook maar enige byte tegen mag houden. De wet noemt een aantal uitzonderingen:

  • Handelen op basis van een wettelijk verbod of gerechtelijk bevel
  • Beschermen van de integriteit en de veiligheid van het netwerk
  • Netwerkcongestie voorkomen of beperken
Op deze gronden mag een provider filteren of blokkeren, mits dat strikt noodzakelijk en onvermijdelijk is om een van deze doelen te dienen. Een standaardvoorbeeld zou het in quarantaine plaatsen van een consumentencomputer zijn omdat deze malware verspreidt. Dat dient de veiligheid van het netwerk, en heel veel andere opties heb je niet (als je de consument niet te pakken krijgt).

Ik vermoed dat deze provider door heeft dat het remote desktop protocol misbruikt wordt, onder meer door DDoS aanvallen te versterken of door bij onoplettende gebruikers van slecht geconfigureerde computers binnen te dringen. Omdat er (in ieder geval tot het begin van het coronathuiswerken) weinig mensen waren die op een consumentenlijn via RDP werken, is het dan logisch om deze poort dicht te zetten vanuit veiligheidsoverwegingen.

Nu is de situatie natuurlijk iets anders, hoewel het me wel verbaast dat de vraagsteller er nu pas achter komt. Mogelijk is de provider recent tot filteren overgegaan omdat ze een aanval te verduren hebben gehad. De juridische discussie of de poort dan weer open moet, en welke maatregelen de werknemer moet nemen, lijkt me dan een hele lastige. Ik zou dus eerder kijken of je de RDP toegang over een VPN kunt faciliteren, dat lijkt me sowieso een veiliger idee.

Arnoud

‘Belgische providers moeten fup verhogen als 1 op 10 klanten deze overschrijdt’

| AE 12795 | Ondernemingsvrijheid | 8 reacties

De Belgische toezichthouder BIPT heeft een nieuw richtsnoer geïntroduceerd over hoe mobiele en vaste providers om moeten gaan met onbeperkt internet. Dat meldde Tweakers onlangs. Een van de maatregelen is dat providers gebruikers niet mogen blokkeren als zij over de fair use policy oftewel FUP gaan. De BIPT noemt dit een “beleid van redelijk gebruik” en doet een goede poging deze misstand aan banden te leggen.

De FUP is een bekende truc om “onbeperkt” te kunnen zeggen zonder onbeperkt aan te bieden. Al heel lang maak ik me druk over deze benadering, die vaak immers neerkomt op een harde datalimiet. Alleen dan niet uitgedrukt in een keihard getal (2GB/maand) maar als een relatief getal: u verbruikt meer dan 10x het gemiddelde deze maand, bijvoorbeeld. Dat klinkt redelijk, maar is natuurlijk ontzettend onduidelijk, én variabel bovendien. En hoezo 10?

Er zijn ook varianten die andere criteria gebruiken, zoals T-Mobile dat in 2016 het tetheren oftewel via je mobiel internetten met je laptop als ‘onredelijk’ aanmerkte. Maar in België heeft de BIPT het onderzocht en komen eigenlijk alleen problemen voor met FUPs die getalsmatige limieten hebben, en vaak ook bij overschrijding leiden tot afsluiting.

Dat laatste is natuurlijk gewoon niet wat ‘onbeperkt’ betekent, geen internet als je 500GB verbruikt hebt is met geen mogelijkheid “onbeperkt internet” maar gewoon een databundel van 500GB.

Wat ik het mooiste vind, is de basislijn die men trekt:

Het beleid van “redelijk gebruik” moet een aanzienlijke proportie van de eindgebruikers de mogelijkheid geven om zonder beperkingen toegang te hebben tot het Internet.
Er zijn dus in België kennelijk situaties waarin de meerderheid van de abonnees allemaal over de FUP heengegaan is en dan afgesloten werd. Nou is de redelijkheid heel redelijk maar, eh, hoe zeg je dat juridisch: kóm nou toch.

De remedie die men dus aangeeft in dit richtsnoer, is dan ook dat de FUP limieten moeten worden opgehoogd wanneer 10% van de klanten de FUP aantikt. Dat kan inderdaad een congestieprobleem zijn (want die limieten zijn er natuurlijk niet voor niets) maar dat is dan jouw probleem omdat je onbeperkt internet aanbiedt.

Verder is het essentieel dat je als provider duidelijk communiceert over wat je limieten zijn. Ik denk dat je daarmee niet ontkomt aan getalsmatige limieten, want je moet ze vóóraf aangeven en ook nog eens uitdrukken in bijvoorbeeld “dat komt overeen met 24 uur per week video streamen vanaf Netflix”.

Het BIPT “verwacht dat aanbieders van internettoegangsdiensten op de Belgische markt de eerste aanpassingen die voortvloeien uit deze Richtsnoeren uiterlijk 6 maanden na de publicatie ervan doorvoeren”, aldus de laatste zin van de richtsnoeren. Ik ben benieuwd wat de Nederlandse concullega’s gaan doen. Vooral omdat dit allemaal geen verrassing zou moeten zijn: we praten er nog net geen twintig jaar over volgens mij.

Arnoud

Keulse rechtbank dwingt Tutanota hele postvakken inzichtelijk te maken

| AE 12369 | Ondernemingsvrijheid, Regulering | 20 reacties

De arrondissementsrechtbank van Keulen heeft Tutanota opgedragen om op verzoek van de autoriteiten postvakken van gebruikers toegankelijk te maken en de tekst van e-mails in plain text in te laten zien. Dat meldde Tweakers afgelopen maandag. Tutanota levert end-to-end gecodeerde e-mailsoftware en een freemiumdienst voor gehoste e-mail, die dus niet afgeluisterd, getapt of ingezien kan worden omdat alle versleuteling bij de client plaatsvindt. Echter, toen een Keulse autoleverancier via Tutanota een afpersingsmail ontving en de politie een onderzoek startte, vonniste de Keulse rechtbank dat Tutanota dit mogelijk moet maken, omdat de webmaildienst ‘meewerkt aan het leveren van telecommunicatiediensten’. Houd de paracetamol bij de hand, want dit vergt héél veel juridische definities.

De kern van de zaak is dat telecommunicatiediensten in Europa verplicht aftapbaar moeten zijn bij ernstige misdrijven als deze. In Nederland is er dus geen twijfel dat KPN of Ziggo een telefoongesprek via haar netwerk moet laten tappen, en dat gaat dan zowel om IP-netwerkverkeer als gewone telefonie.

Tutanota is geen internetprovider maar wat juristen noemen een “dienst van de informatiemaatschappij”, en dat is wezenlijk wat anders. In ISO/OSI termen: die zitten in laag 7, en telecom zit grofweg in lagen 1 tot 5. Een ander niveau van technische werking, dat in de kern wettelijk omschreven wordt als een

gewoonlijk tegen vergoeding aangeboden dienst die geheel of hoofdzakelijk bestaat in het overbrengen van signalen via elektronische communicatienetwerken, waaronder telecommunicatiediensten en transmissiediensten op netwerken die voor omroep worden gebruikt, doch niet de dienst waarbij met behulp van elektronische communicatienetwerken en -diensten overgebrachte inhoud wordt geleverd of redactioneel wordt gecontroleerd.
Tutanota verspreidt informatie, geen signalen. Dat voelt vrij logisch, toch duurde het tot 2019 voor het Hof van Justitie hier een definitieve uitspraak over deed:
a web-based email service which does not itself provide internet access, such as the Gmail service provided by Google LLC, does not consist wholly or mainly in the conveyance of signals on electronic communications networks [] does not constitute an ‘electronic communications service’ within the meaning of that provision.
Het maakt daarbij niet uit dat Google zelf backbone-kabels heeft liggen of andere verrichtingen doet die wél het overbrengen van signalen opleveren. Dat staat immers in principe los van de webmaildienst waar het hier om gaat.

Helaas heeft in de Tutanova-zaak de rechter niet gemotiveerd waarom zhij hier anders tegenaan kijkt. Ik zie zelf geen verschil in de werking van Tutanova en Gmail, internet-technisch bekeken. Ik hoop dus ook dat men in hoger beroep gaat, hoewel dat voor deze specifieke vordering niet uitmaakt: de Duitse justitie heeft in de tussentijd toegang tot de informatie van deze afperser.

Arnoud

Hoe verwijder je sneller maar wel eerlijk ongewenste content van internet?

| AE 12332 | Ondernemingsvrijheid | 17 reacties

Voor mensen die geconfronteerd worden met onrechtmatige content op het internet is het moeilijk om deze snel verwijderd te krijgen, zo opent het WODC in een nieuwsbericht over deze lastige problematiek (via). 15 procent van de Nederlanders heeft direct of indirect ervaring met schadelijke, en mogelijk onrechtmatige, content die hen persoonlijk raakt, zoals bedreigingen, privacy-inbreuken en… Lees verder

Kan ik mijn provider dwingen mijn mailadres gereserveerd te houden als ik overstap?

| AE 11829 | Ondernemingsvrijheid | 13 reacties

Een lezer vroeg me: Ik heb een e-mailadres bij mijn internetprovider. Kan ik bij een overstap naar een nieuwe internetprovider mijn vorige provider dwingen om mijn oude e-mailadres niet vrij te geven? Dit om te voorkomen dat iemand anders mijn oude e-mailadres registreert en bijvoorbeeld zich als mij voordoet of wachtwoordresets op mijn online accounts… Lees verder

Hoe de Supreme Court 20 jaar geleden internet anders dan televisie verklaarde

| AE 9511 | Ondernemingsvrijheid | 11 reacties

Deze week twintig jaar geleden, op 26 juni 1997, verklaarde de Amerikaanse Hoge Raad het internet fundamenteel anders dan radio en televisie. Op die dag deed zij uitspraak in een zaak rond de Communications Decency Act, die internet moest reguleren. De Act verklaarde het illegaal om inhoud te versturen wanneer deze indecent zou zijn en… Lees verder

Mag een internet provider onveilige IoT-apparaten blokkeren?

| AE 9025 | Informatiemaatschappij | 32 reacties

Een Amerikaanse senator vroeg me… nee die is te flauw. De Amerikaanse senator Mark Warner wil van de toezichthouder FCC weten of internetproviders onveilige Internet of Things-apparaten op hun netwerk mogen weren. Dat las ik bij Security.nl. Aanleiding voor de vraag was de grote ddos-aanval op dns-provider Dyn waarbij gehackte IoT-apparaten waren betrokken (en waarschijnlijk… Lees verder

Winkelhouder niet aansprakelijk voor inbreuken via open wifi-netwerk

| AE 8935 | Intellectuele rechten, Ondernemingsvrijheid | 16 reacties

Het Europese Hof van Justitie heeft in de Mc Fadden-zaak beslist dat een winkelhouder niet aansprakelijk is voor auteursrechtinbreuken die worden begaan via een open wifi-netwerk. Dat meldde Tweakers vorige week donderdag. Wel kan een rechthebbende partij eisen dat een winkel zijn netwerk beschermt met een wachtwoord, omdat je anders het té makkelijk maakt dat… Lees verder

Mag ik mijn klanten verplichten SSL/TLS te gebruiken?

| AE 8734 | Security | 37 reacties

Een lezer vroeg me: Mag ik, als hostingprovider, klanten dwingen om SSL/TLS te gebruiken? Via een aantal scripts is het gehele proces te automatiseren, zodat er tijdens het aanmaken van een account een certificaat wordt aangemaakt (via Let’s Encrypt, dus geen meerkosten) en verbindingen vervolgens over SSL/TLS forceren (mod_rewrite en HSTS header). Ik heb veel… Lees verder

Is dat een warrant canary in je jaarverslag of ben je blij de NSA te zien?

| AE 8550 | Ondernemingsvrijheid, Regulering | 28 reacties

Internetforum Reddit heeft donderdag een stuk tekst verwijderd dat gebruikt werd om aan te geven dat de site nog nooit in het geheim data heeft moeten overhandigen aan de Amerikaanse overheid, bij Nu.nl. De site heeft al jaren deze warrant canary in haar jaarlijks transparantierapport staan om een signaal te kunnen geven als men een… Lees verder