Mijn werkgever blokkeert mijn thuisverbinding omdat ik een TOR relay heb

| AE 11757 | Ondernemingsvrijheid | 21 reacties

Een lezer vroeg me:

De dienstverlener van een SaaS administratie-pakket voor de zakelijke markt blokkeert/blacklist de thuisverbinding van een werknemer omdat deze een TOR node draait. De helpdesk weigert dit IP-adres te whitelisten en stelt dat de werknemer zichzelf van de blacklist zal moeten laten verwijderen, wat zou betekenen dat de node offline moet. Mag dit?

Deze manier van werken is me opgevallen bij een aantal SaaS-pakketten. Ik vermoed dat er iemand op security-cursus is geweest en daar leerde dat er met TOR nare dingen gebeuren, zodat het beter is om verkeer vanaf TOR te weren. Dus IP-adressen die óók een TOR node zijn, mogen dan niet inloggen.

Inderdaad gebeuren er rare en strafbare zaken via TOR, maar dat is onvermijdelijk met een netwerk dat opgezet is voor volledig anonieme communicatie. Maar wat je daar verder ook van vindt, ik zie niet hoe het relevant is bij het kunnen inloggen op een SaaS-tool. Ik snap dat je aanvallers wil weren, maar uiteindelijk doe je dat door een adequate authenticatieprocedure.

En oké, als je verkeer vanúit TOR wilt weren dan snap ik dat ergens – dat kan een wachtwoorddief zijn die zijn sporen wil wissen, en welk bedrijf zou standaard willen dat zijn werknemers inloggen via TOR? Maar hier gaat het over IP-adressen die óók een TOR node zijn, maar waarvan de login los staat van TOR.

Tegelijkertijd, wat doe je er aan als klant? Want dit soort dingen zijn -zeker in de zakelijke contractensfeer- prima zo af te spreken dat de dienstverlener het mag. Als die ervoor kiest om alleen als Nederlands bekend staande IP-adressen toe te laten bij de inlog, dan zit je als zakelijke klant op vakantie in Thailand inderdaad met een blokkade. En dan staat men in haar recht. Dit nog los van het punt dat je niet gaat procederen over een dergelijke bagatel, want de kosten zijn hoger dan de baten.

Arbeidsrechtelijk nog wel een interessante: kan ik als werkgever van een werknemer in deze situatie eisen dat zhij stopt met die TOR node? Kennelijk moet zhij thuis kunnen werken (anders is het probleem niet relevant voor het werk) en kennelijk is het contractueel redelijk dat de leverancier hem weert gezien die node. Het hindert het werk, wat die werknemer doet. Daar staat tegenover dat ik als werkgever vrij weinig te maken heb met zo’n privéhobby.

Wat zouden jullie de werkgever adviseren?

Arnoud

Mag een bedrijf me weigeren omdat ik een Tor exit node draai?

| AE 7503 | Informatiemaatschappij | 25 reacties

tor-on.pngEen lezer vroeg me:

Als ik de supportpagina’s van Apple (support.apple.com en discussions.apple.com) probeer te benaderen, krijg ik een “Access Denied” foutmelding. Ik vermoed dat dit is omdat ik een Tor exit node draai (zie https://trac.torproject.org/projects/tor/wiki/org/doc/ListOfServicesBlockingTor). Maar mag Apple me nu zomaar support ontzeggen? Ik heb toch een dure iPhone bij ze gekocht!

Ik kan me goed voorstellen dat organisaties de toegang vanaf het Tor-netwerk blokkeren, omdat daar de kans groter is dat er malafide verkeer langs komt.

De vraagsteller is natuurlijk niet malafide en komt bovendien niet eens via het Tor netwerk: hij heeft hetzelfde IP-adres als iemand die via net Tor netwerk zou komen. Dat zou hem dan niet aangerekend moeten worden zou je zeggen, alleen in dit geval heeft hij er zelf voor gekozen om die Tor exit node te draaien.

De discussie wordt dan: mag je tegen meneer zeggen, wij kunnen niet zien of u het bent dan wel een potentiële malafide persoon via uw IP-adres, dus wij weigeren het IP-adres?

Juridisch is hier geen eenduidig antwoord op. Natuurlijk heeft meneer recht op service, maar dat is geen absoluut recht waar men ongeacht omstandigheden altijd aan mee moet werken. Als hij bijvoorbeeld naakt de Apple-winkel binnengaat mogen ze hem echt weigeren service te geven tot hij zich fatsoenlijk aankleedt. Hetzelfde geldt als iemand zich zeer onbeleefd opstelt.

Is het draaien van een Tor exit node hetzelfde als onbeleefd naaktlopen? Dat denk ik niet, maar de redenering gaat wel via dezelfde lijn. Het juridische criterium is of je je redelijk opstelt, omdat je alleen dan mag verwachten dat je wederpartij met je meewerkt.

Hoewel ik weet dat Tor zeer zeker nuttige toepassingen heeft, is het een feit dat er óók misbruik van wordt gemaakt. De keuze voor een bedrijf om dan Tor te weren, is dan ook een begrijpelijke. De consequentie voor de vraagsteller is dan vervelend maar onvermijdelijk. Hij mag geweigerd worden.

Hoewel ik weet dat er misbruik van Tor wordt gemaakt, heeft Tor óók zeker nuttige toepassingen. De keuze voor een bedrijf om Tor dan te weren, is dan ook onbegrijpelijk. De vraagsteller mag dan ook niet geweigerd worden.

(Leuk hè, juridische vragen?)

Arnoud

Microsoft verwijdert Tor-software in strijd tegen botnet, mag dat?

| AE 6300 | Security | 9 reacties

microsoft-botnet-tor-sefnit-bestrijdingOm het Sefnit-botnet tegen te houden, heeft Microsoft op zo’n twee miljoen computers de anonimiteitssoftware Tor verwijderd, zo las ik bij Daily Dot (via). Sefnit communiceerde via het Tor-netwerk waarmee een hoog niveau van anonimiteit kan worden behaald. Toen Microsoft dit doorhad, was het een kwestie van de Tor software toevoegen aan de detectie van haar Safety Scanner en zien hoe het aantal installaties achteruit ging. Maar mag dat?

De reden dat Tor wordt verwijderd, is omdat oude versies daarvan lek blijken te zijn, en daardoor eenvoudig te infecteren door het botnet. Zo te lezen worden enkel die oude versies geraakt, wie een recente versie van Tor heeft, zou nergens last van moeten hebben.

In Nederland hebben we het concept zaakwaarneming: “Het zich willens en wetens en op redelijke grond inlaten met de behartiging van eens anders belang” zonder daartoe bevoegd te zijn, artikel 6:198 BW. Het standaardvoorbeeld is bij de afwezige buren het overkokende pannetje melk van het gas halen, waarbij het zelfs toegestaan is de achterdeur te forceren. Maar het principe geldt voor alle soorten handelingen, dus er is geen principiële reden waarom het niet zou gelden op computers of internet.

Wel geldt er een noodzakelijkheidsvereiste en een proportionaliteitsvereiste. Je moet niet anders kunnen, dus de buren moeten écht met vakantie zijn en er moet niemand zijn die snel de sleutel kan pakken. En je mag niet verder gaan dan nodig om direct de situatie op te lossen; het huis voorzien van brandmelders en blusinstallatie gaat te ver en is dus geen zaakwaarneming.

In 2010 verwijderde de politie de Bredolab-botnetsoftware van geïnfecteerde computers, na toegang te hebben gekregen tot command&control servers daarvan. Ook daar kon ik niets anders bedenken dan zaakwaarneming om dit te rechtvaardigen.

Microsoft zou wellicht nog kunnen zeggen dat zij via de EULA van Safety Scanner het recht heeft dit te doen. Die zegt immers

The software will check for and remove certain high severity malicious software (“Malware”) stored on your device when you select this action. …
The software will only remove or disable low to medium severity Potentially Unwanted Software if you agree.

Maar is dat genoeg? We hebben immers een cookiewet die expliciete toestemming eist (oftewel niet slechts in een EULA of privacyverklaring opgeëist) voordat je gegevens mag opslaan of uitlezen via een netwerk. Oh, hee, dat is wel apart: het verwijderen van gegevens staat daar niet bij. Dan val je terug op de algemene regel dat er een grond moet zijn, en een EULA kan op zich best een grond geven om acties op een computer uit te voeren.

Dus hm. Het lijkt te mogen, zeker gezien die EULA. Maar toch voelt het als erg vérgaand. Zeker als (wat me niet duidelijk is) het om Tor als zodanig gaat, in plaats van enkel om geïnfecteerde versies van Tor. Het verwijderen van geïnfecteerde software vind ik minder ernstig dan het verwijderen van infecteerbare software.

Update: in de comments wordt gemeld dat het hier enkel ging om Tor-installaties die meegekomen waren met de Sefnit-malware. Andere versies (en waarschijnlijk zelfs de betreffende versie als deze anderszins geinstalleerd was) werden met rust gelaten.

Arnoud

Duitser verantwoordelijk voor versleuteld verkeer via zijn p2p-node

| AE 4745 | Intellectuele rechten, Ondernemingsvrijheid | 37 reacties

Een gebruiker van een anoniem versleuteld p2p-netwerk is door de Duitse rechter verantwoordelijk gehouden voor het feit dat auteursrechtelijk beschermde muziek zijn node passeerde. Dat meldde Tweakers zaterdag. Het gaat om een “einstweilige Verfügung”, zeg maar een kortgedingvonnis, maar intrigerend is het wel. De achterliggende redenering gaat namelijk érg ver. Retroshare is een peer-to-peer, pardon… Lees verder

Ben ik strafbaar als ik een TOR exit node draai?

| AE 2890 | Ondernemingsvrijheid | 27 reacties

Een lezer vroeg me: Ben ik in Nederland strafbaar, of zou ik er problemen mee kunnen krijgen als, ik een Tor relay/bridge/exit-point opzet vanuit mijn flat? Mag dit van de wet? TOR is een open netwerk voor anonieme communicatie, die werkt volgens het principe van Onion Routing. Heel in het kort: een berichtje wordt niet… Lees verder