Mag je corp.com registreren als je weet dat dat een Windows-fout is?

| AE 11791 | Security | 4 reacties

Een lezer vroeg me:

Bij KrebsOnSecurity las ik dat het Corp.com domein te koop gezet gaat worden. Daarmee is toegang te krijgen tot allerlei credentials en nu vroeg ik me af of dat legaal is. Immers je doet niets, andere mensen configureren hun Windows-netwerk slecht. Hoe zit dat in Nederland?

Het domein corp.com gaat inderdaad in de verkoop als ik het goed lees, al lijkt het vooral de bedoeling dat Microsoft het koopt voor een miljoen dollar. Dat zou dan zijn omdat inderdaad veel slecht geconfigureerde Windowsnetwerken verkeer naar dit domein sturen, inclusief authenticatiemiddelen zoals wachtwoorden.

De reden hierachter is dat Windows bij het maken van een intern netwerk standaard de suffix “.corp” voorstelt, wat lang niet iedereen aanpast. Interne diensten zoals gedeelde harde schijven kun je benaderen met iets als \klantdata\ in de Explorer. Echter, ga je vervolgens ergens werken waar je andermans DNS gebruikt, dan maakt Windows van die naam eerst “klantdata.corp” en vervolgens “klantdata.corp.com” omdat .corp niet bestaat bij die ander. En dan stuurt je systeem dus inderdaad logins en dergelijke naar die website.

Op zich gebeurt dit vaker. Bedrijven die een oude domeinnaam hebben overgenomen, of blijken te hebben geregistreerd, ontvangen regelmatig mails voor de oude eigenaar bijvoorbeeld. Dat is vervelend, maar in de praktijk gooi je die mail dan weg en dan is het klaar.

Hier voelt het iets anders, omdat de bedoeling van deze domeinnaam hebben nu duidelijk lijkt te zijn dat je die logins wilt hebben. Het is moeilijk daar een legitiem doel aan te koppelen. Natuurlijk is er vast een marketingblablaverhaal te verzinnen dat je corporate dienstverlening wilt verrichten en dat corp.com dan perfect aansluit bij je merkwaardebeleving, maar om eerlijk te zijn geloof ik daar dan geen bal van.

In Nederland is het strafbaar (art. 139d Strafrecht) om wachtwoorden of dergelijke authenticatiemiddelen te verwerven, in te voeren, beschikbaar te stellen of voorhanden te hebben. Althans, als je doel daarmee is om het misdrijf computervredebreuk, denial of service of aftappen van vertrouwelijke informatie te plegen. Een wetenschapper die wil onderzoeken hoe groot dit probleem is, kan dus prima monitoren wat hier gebeurt. Een security-onderzoeker die al die bedrijven wil waarschuwen handelt ook legaal. Maar voor het overige zie ik niet hoe je iets kunt doen met die informatie.

Arnoud

Heb je nou voor pentesten óók al een verwerkersovereenkomst nodig?

| AE 11732 | Ondernemingsvrijheid, Privacy | 2 reacties

Wie penetration testing oftewel securityonderzoek naar binnendringmogelijkheden uitvoert, moet een verwerkersovereenkomst sluiten met zijn opdrachtgever. Dat maak ik op uit een recente Linkedinblog die me attendeerde op een uitspraak van de Saksische Autoriteit Persoonsgegevens van die strekking. Wat natuurlijk enige onrust gaf bij professionele pentesters, want je hébt al zo’n papierwinkel voordatje aan de slag kan en moet er dan ook nog een verwerkersovereenkomst bij voor het geval je persoonsgegevens tegenkomt? Nou ja, formeel wel maar er zijn trucjes.

Bij een pentest ga je bij een klant aan de slag om zwakheden in zijn systeem te vinden. Je probeert binnen te dringen, zeg maar wat je anders computervredebreuk zou noemen. Vandaar die papierwinkel: je wilt dat je klant een pentest waiver of toestemmingsverklaring tekent waarin duidelijk vaststaat dat je niets tegen zijn wil doet, en dus niets dat wederrechtelijk en daarmee strafbaar kan worden.

Dat is voor klanten dan weer spannend, want wat als je nu iets stukmaakt tijdens dat onderzoek of verder kwam dan ingeschat en daar raak je iets dat echt niet de bedoeling was? Dat geeft dus de nodige onderhandeling vaak.

Sinds de AVG is daar een extra risico bij gekomen. Het is natuurlijk mogelijk dat je bij je security-onderzoek persoonsgegevens tegenkomt, denk aan een database met klantgegevens waar je bij kunt. Als je die database dan vervolgens downloadt (“het zal toch niet waar zijn”) dan ben je persoonsgegevens aan het verwerken, in het AVG-jargon.

En dat is dan even lastig, want hoezo mág jij dat van de AVG? Als zelfstandig ingehuurd onderzoeker heb je daar geen grondslag voor, je hebt geen toestemming van de betrokken klanten en je hebt ook geen contract met ze. Vandaar het advies: werk als verwerker, als hulpje van je opdrachtgever. Dan is wat je doet met die gegevens zijn probleem (althans; waarom dat mág dat onderzoek). Alleen zit je dan met de tegenpool dat je niet meer mag doen met die gegevens dan hij je toestaat.

Nu zou dat in de praktijk wel mee moeten vallen, want wat je gaat doen is normaliter niet meer dan een kopie maken, vastleggen wat je gevonden hebt en dan vernietigen (of teruggeven). En dat is precies wat een verwerker ook zou doen.

Het wordt alleen op formele gronden ingewikkeld: oh jee we hebben een verwerker jongens, dus hier is de standaard verwerkersovereenkomst die de boekhouder ook moet tekenen. En daarin staan dan vele dingen zoals een passend securitybeleid (met auditclausule, dus de klant komt bij jou, securityonderzoeker, kijken of je wel veilig bent – de meest hilarische case die ik had was dat de verwerker verklaarde periodiek pentests op zichzelf uit te voeren), medewerking aan inzage- en verwijderverzoeken en ga zo maar door dat echt zwaar over de top is voor zo’n onderzoek. Zeker omdat het ook nog eens aan onbeperkte aansprakelijkheid gekoppeld is.

Wat mij betreft mag je dát dus afwijzen. Je kunt in je pentest waiver of AV volstaan met een verklaring dat je verwerker bent, dat je de AVG zult naleven en dat je alle kopieën van data na logging van de gebeurtenis zult wissen, behalve eventuele kopieën die nodig zijn voor de gewenste rapportage.

Arnoud

Moet ik bezoekers ons securitybeleid onthullen van de AVG?

| AE 11738 | Privacy, Security | 6 reacties

Een lezer vroeg me:

Een bezoeker van ons bedrijf heeft via het gastennetwerk internet gebruikt. Nu krijg ik van hem een verzoek onder de AVG om precies te vertellen wat wij van hem hebben gelogd. We melden inderdaad bij het aanmelden “This network is monitored for security purposes” maar in welk detail moet ik hem dat vertellen? Ik wil geen security-gevoelige details onthullen.

Het monitoren (inclusief loggen) van internetgebruik van gasten is inderdaad iets waar de AVG wat van zegt. Het mag, want we noemen dit een eigen legitiem belang. En zolang je monitoring maar proportioneel is, oftewel dat je niet nodeloos diep zit te spitten in wat mensen op internet uitspoken via jouw verbinding, is er weinig aan de hand.

(Natuurlijk gebruik je die logs alleen voor security doeleinden en niet bijvoorbeeld om te kijken wat hij bij de concurrent aan offertes heeft uitstaan.)

De AVG kent wel diverse informatieplichten, met als doel dat mensen weten wat je over ze verzamelt en met welk doel je die gebruikt. Daar moet dus iets meer informatie komen dan enkel “we monitor for security purposes”. Wat monitor je, en voor welke precieze doeleinden dan? Enkel IP-adressen, ook tijd van gebruik, applicaties en poorten, ga zo maar door? Wat is ‘security’, bedoel je dat je verkeer analyseert op verdacht gedrag, dat je IP-adressen van bezochte sites registreert of dat je een AI loslaat om een profiel van je bezoeker te maken?

Dit moet in je privacy policy staan die je publiceert bij het aanmeldscherm. En dat moet je in eenvoudige taal doen, dus concreet en met bewoordingen die je bezoekers begrijpen. Dat betekent dus dat je inderdaad ongeveer moet uitleggen wat je ingezet hebt aan monitoring tools en wanneer je ingrijpt of naar wie een alert gaat en wat die dan gaat doen.

Het mag natuurlijk in zoverre een tikje in het midden blijven dat je niet de precieze criteria benoemt: “verdacht gedrag zoals verspreiding van bekende virussen” zou genoeg zijn, wat mij betreft. Maar je kunt je niet verschuilen achter enkel de vage frase dat securitydoeleinden in het geding zijn.

Arnoud

Hoe snel moet je van de wet een nieuwe securitystandaard implementeren?

| AE 8962 | Security | 13 reacties

Een lezer vroeg me: In de ICT zijn de beveiligingseisen volop in beweging. Het is dus welhaast onmogelijk om deze allemaal stipt na te volgen, zeker bij grote pakketten waar het doorvoeren van wijzigingen vele maanden (zo niet jaren) kan kosten vanwege complexiteit en testen en evaluatie. Is er juridisch gezien een termijn waarbinnen nieuwe… Lees verder

De brakke spullen uit het Internet der Dingen

| AE 8395 | Ondernemingsvrijheid, Security | 26 reacties

De kwetsbaarheid van “Internet of Things”-dingen is zo gigantisch dat je er maar beter om kunt lachen, las ik bij Ars Technica. Maar eigenlijk is het om te huilen. Men ontdekte dat de IoT-zoekmachine Shodan een zoeksectie had voor kwetsbare webcams, met feeds van van alles en nog wat: voortuinen, achtertuinen, binnentuinen, marijuana-plantages, kinderslaapkamers en… Lees verder

Waarom wordt mijn embedded Android niet geupdate?

| AE 7954 | Ondernemingsvrijheid, Security | 16 reacties

Een lezer vroeg me: Steeds meer apparatuur bevat Android als operating system, en daarvan is bekend dat er van tijd tot tijd gaten in worden ontdekt. Maar die software wordt eigenlijk nooit geupdate. Is dat niet tegen de wet? Hoe kan ik afdwingen dat deze software bijgewerkt wordt? De wet zegt niets over security of… Lees verder

Mag ik inbreken bij collega’s voor ons security-event?

| AE 6905 | Ondernemingsvrijheid, Security | 5 reacties

Een lezer vroeg me: Mijn werkgever wil een security awareness event organiseren. Hiervoor ben ik gevraagd om bij diverse mensen in te breken op de werkcomputer en/of mail, gebruikmakend van simpele beveiligingsfouten of social engineering. Zo wil men concreet laten zien wat er mis kan gaan. Mijn manager zegt dat hij alle verantwoordelijkheid draagt en… Lees verder