Mag ik mijn klanten scannen op kwetsbaarheden zoals ProxyShell?

| AE 12864 | Security | 9 reacties

GDJ / Pixabay

Een lezer vroeg me:

Wij zijn een ISP die honderden bedrijven heeft ontsloten. We weten van een kwetsbaarheid in Exchange die we kunnen scannen en detecteren. Mogen wij onze eigen klanten nu hierop scannen, ondanks dat ze geen toestemming hebben gegeven en bij ons geen dienst van softwarebeheer afnemen?
Ik heb al een aantal keer gepubliceerd over scannen op veiligheidslekken, waarbij dan het hele internet wordt gescand. Je zou zeggen dat dat dus ook moet kunnen voor het kleinere deel van internet dat jouw klant is. Zeker als het gaat om actuele lekken zoals (denk ik) de recente ProxyShell lekken.

Toch zou ik het afraden om als internettoegangsprovider of hostingprovider ongevraagd en zonder overleg je klanten te scannen. Je zit namelijk in een iets andere positie dan een partij die internet scant vanuit de motivatie het publiek te willen waarschuwen. Je hebt een contractuele relatie met die klanten, en dat brengt een aantal verantwoordelijkheden met zich mee.

Anders gezegd: je hebt een zorgplicht naar je klanten toe, en dat betekent extra zorgvuldigheid in hoe je met hun systemen omgaat. Ook hoort daarbij dat je vertrouwelijkheid in acht neemt en extra oplet dat je niets stukmaakt.

Tegelijk kan ik me voorstellen dat je juist bij gaten met grote impact expliciet wél wil handelen. Dat kun je vanuit diezelfde zorgplicht juist heel goed rechtvaardigen. En als je als provider kwalificeert als een “aanbieder van een openbare elektronische communicatiedienst” (wat de term ISP impliceert) dan moet je zelfs vanuit de wet (art. 11.2 Telecomwet) zorgen voor een goede beveiliging van je netwerk. Dat is natuurlijk dan afhankelijk van de beveiliging van je klanten, dus meekijken of waarschuwen is dan zelfs met enige goede wil je wettelijke plicht te noemen.

Alleen: voor mij blijft overeind staan dat je dit moet aankondigen, en ik denk zelfs ook laten accorderen. Dat kun je natuurlijk prima automatiseren, denk aan een regeling in je algemene voorwaarden met wat uitleg in de SLA (of op je site, zoals in de FAQ) en een bezwaarmogelijkheid voor klanten die hier niet op zitten te wachten.

Wel zou ik dan eerst de vraag beantwoord willen wat je zou doen met de scanresultaten. Ga je dat gewoon naar het contactadres van de klant mailen? En wat doe je dan als die niet reageert (of hooguit “eh, oké bedankt”) en de kwetsbaarheid blijft bestaan? Je kunt namelijk klanten niet gaan afsluiten als ze een kwetsbaar systeem hebben, tenzij je daar héle duidelijke afspraken over hebt. Of ga je de klant aanbieden het voor ze te repareren? Dat zullen ze niet willen, dan hadden ze wel een supportcontract afgenomen.

Arnoud

Wifi-tracking: winkels volgen je voetsporen

| AE 6325 | Innovatie, Privacy | 67 reacties

wifi-satelliet-draadloos-auto.pngSteeds meer Nederlandse winkels volgen klanten via unieke signalen uit hun smartphone, meldde Nu.nl gisteren. Dit op basis van een mooie longread bij Tweakers over het onderwerp: “Winkels die dat willen, kunnen precies zien waar je loopt en hoe lang je stilstaat. Het wordt mogelijk gemaakt door een technologie die sinds de afgelopen anderhalf à twee jaar aan populariteit wint: het tracken van telefoons.” Maar, eh, ja, mág dat dan?

Elke telefoon zendt signalen uit: in ieder geval gsm (om bereikbaar te blijven voor telefoontjes), meestal ook wifi (op zoek naar een netwerk, of communicerend daarmee) en ook Bluetooth hoewel dat niet vaak aanstaat. Met name wifi is interessant: wanneer een telefoon een wifi netwerk zoekt, stuurt hij onversleuteld zijn mac adres mee in de hoop dat een netwerk zegt “kom erbij, hier is een ip-adres”.

Het opvangen van die signalen is op zich niet verboden. Het opvangen van vrije signalen uit de ether is een grondrecht, deel van de informatievrijheid waar ook de vrijheid van meningsuiting onder valt (art. 10 EVRM). Je mag informatie en ideeën verzamelen en verspreiden. Ook in het strafrechtartikel dat aftappen van datacommunicatie verbiedt (art. 139c Strafrecht), staat dit als uitzondering genoemd.

Mac-adressen zijn persoonsgegevens. Ze zijn te herleiden tot een mobiele telefoon (in deze context) en mobieltjes hebben vrijwel altijd een 1-op-1 relatie tot een persoon, hun eigenaar. Alle gegevens die worden verkregen in combinatie met een mac-adres zijn dan ook persoonsgegevens, en deze gegevens mogen dan alleen worden verwerkt (binnengehaald, opgeslagen, aangepast, geanalyseerd of wat je maar wilt doen) binnen de context van de Wet bescherming persoonsgegevens.

Ik lees bij Retecool dat het mac-adres gehasht wordt, maar of dat de boel verandert? Ook het gehashte nummer is uniek voor de telefoon. En zodra een nummer uniek is voor een persoon, is het een persoonsgegeven.

Hoofdregel uit de Wbp is dat je toestemming nodig hebt van de telefooneigenaar. Dat gebeurt hier niet, en ik zou ook niet weten hoe je dat werkbaar kunt maken. Je kunt immers moeilijk een popup tonen op een telefoon wanneer je iemands mac-adres uit een bak wifi-signalen vangt.

Als exploitant van zo’n dienst* heb je dus maar één manier om dit privacytechnisch legaal te kletsen: de eigen dringende noodzaak. Wanneer toestemming vragen niet kan, de gegevens noodzakelijk zijn voor jouw belang én je de privacy van de betrokkenen maximaal beschermt, dan handel je legaal ook zonder toestemming.

*Let wel: dat is de wínkel die het apparaatje aanzet. Tenzij de apparaatjesleverancier zelf de gegevens verzamelt en exploiteert.

We weten uit de Google Streetview-zaak dat het sniffen van wifi netwerken en daar persoonsgegevens uit halen in principe mag, mits je maar een opt-out aanbiedt en duidelijk aankondigt dat je dit doet. Een winkel (de exploitant) moet dus een bordje ophangen en moet eigenlijk ook nog eens zorgen dat geen wifi signalen van buiten het pand worden opgevangen. En er moet een opt-out worden aangeboden, oftewel een plek waar je je mac-adres mag invullen zodat je niet meer gevolgd wordt.

Bij die Streetview-zaak herinner ik me veel opmerkingen in de trant van “je zendt je SSID toch al uit, wat is het probleem”. Hoewel het hier technisch-juridisch hetzelfde is volgens mij, krijg ik hier toch een heel ander gevoel bij. Zit hem dat in het gevolgd worden ipv een statisch access point? In dat een telefoon persoonlijker voelt dan een router? In dat je de Streetview-auto nooit ziet maar de Albert Heijn niet te vermijden is?

Arnoud

3D dinsdag: Mag ik producten scannen?

| AE 2563 | Innovatie | Er zijn nog geen reacties

3d-scan-print-trimensional.pngWorden 3D-printers de nieuwe Napster? Met die vraag in het achterhoofd bespreek ik elke dinsdag een aspect van het intellectueel eigendomsrecht en waar dat botst met de mogelijkheden van 3D printen. Op basis van deze blogs en jullie feedback daarop wil ik hier uiteindelijk een boek van maken. En natuurlijk publiceer ik dan geen comments van jullie daarin zonder aparte toestemming.

Tot nu toe hebben we het in deze serie steeds gehad over het printen van IE-beschermde producten, en of dat wel of niet mag onder de verschillende IE-rechten. Maar er is een aspect dat essentieel is voor elk printje: het bestand met de data waar de printer mee aan de slag gaat. Hoe kom je daaraan, als de IE-houder niet zelf een bestand beschikbaar stelt? Dan zul je een zelf verkregen exemplaar moeten scannen.

Hiervoor zijn allerlei producten beschikbaar. Zo is er de goedkope DAVID laserscanner, die met een speciale opstelling en laserlicht werkt om een scan te maken. Een wat duurder alternatief is de Next Engine. Maar het schijnt ook te kunnen met je iPhone of zelfs met een gewone camera en voldoende foto’s, die door speciale software aan elkaar geknoopt worden tot een 3D model.

De vraag is dan, mag je zo’n scan wel maken? Bij Gizmodo merkten ze al bijdehand op:

You may have some trouble snapping 40 photos of something without being detected by the hovering museum curator or shop assistant, to say the least.

Dat is juridisch zeker een probleem. Op grond van het eigendomsrecht mag een bedrijf of instelling regels stellen aan wat je mag doen met camera’s. Ook als er geen IE-recht rust op de objecten die je wilt fotograferen. Is fotograferen verboden, dan moet je camera in de tas blijven. De Hoge Raad bepaalde in 2007 (na het Staat/Den Ouden arrest uit 1987) dat voetbalstadions

uit hoofde van hun eigendoms- of gebruiksrecht van het stadion of het terrein in beginsel de vrijheid [hebben] om aan hun toestemming tot het betreden ervan beperkingen te verbinden, ook met het oog op het tot stand brengen van radio- en/of televisieuitzendingen.

Dat het daarbij ging om nieuwsgaring -toch een grondrecht- kon dit niet anders maken. En als een recht op filmen van een belangwekkende wedstrijd in andermans gebouw niet bestaat, dan een recht op scannen van een belangwekkend object in andermans gebouw al helemaal niet.

Koop of leen je een object, dan staat het je vrij om het object te scannen en zo een bestand te maken waarmee 3D geprint kan worden. Bij een geleend of gehuurd object zouden de algemene voorwaarden van het leen/huurcontract dit wellicht kunnen verbieden, maar bij koop lijkt me een dergelijke contractuele eis op zijn zachtst gezegd ongebruikelijk.

Kun je tegen een IE-recht (octrooien, modellen, merken en auteursrecht) aanlopen bij het scannen? Als particulier niet snel. Een scan maakt namelijk geen nieuw product maar alleen een blauwdruk of foto van het product. Met octrooien, modelrecht of merkenrecht heb je dan niets te maken. Het is wel een inbreuk op het auteursrecht om een werk te fotograferen (en dus ook om het te scannen) maar dat kan worden verexcuseerd onder de thuiskopie-exceptie. Die geldt namelijk ook voor verveelvoudigingen in andere vorm: of je nu muziek van WAV naar MP3 omzet, of een driedimensionaal kunstobject fotografeert of inscant, het is voor strikt eigen gebruik toegestaan.

Een bedrijf dat scandiensten aanbiedt, zal ook weinig last hebben van intellectuele eigendomsrechten. Een scanapparaat is een generieke tool, dat alles scant dat je ervoor zet. Dat is moeilijk op te vatten als een inbreuk op een specifiek intellectueel eigendomsrecht. Heel misschien ontstaat er een zorgplicht voor zo’n bedrijf wanneer ze (moeten) weten dat er structureel en grootschalig beschermde zaken gescand worden, maar dat kan – net als vorige week het printen in opdracht – wederom als “thuiskopie in opdracht” worden gezien. Maar met alle discussies over auteursrechtenfilter- en blokkadeplichten voor internetproviders zou het me niets verbazen als hier toch grenzen aan gesteld gaan worden.

Dan blijft er eigenlijk nog één grote vraag over voor deze reeks: hoe zit het met een website (3dpiratebay.org?) die scans of handgemaakte 3D CAD bestanden aanbiedt? Mag dat eigenlijk wel van het intellectueel eigendomsrecht?

Arnoud<br/> De scan/print rechtsboven is een screenshot van Trimensional, de iPhone scanner-app.