Mag je een server met een welkombanner hacken?

| AE 5999 | Security | 6 reacties

Een lezer vroeg me:

Bij een loginprompt zie je vaak “Verboden toegang voor onbevoegden” of iets dergelijks. Nu hoorde ik dat als je daar “Welkom” neerzet, het legaal zou zijn om bv. via wachtwoord raden binnen te dringen. Immers wie welkom geheten wordt, gaat niet wederrechtelijk naar binnen. Klopt dat?

Nee, dat klopt niet. Een deurmat met “Welkom” geeft inbrekers ook geen bevoegdheid mijn deur open te breken met een koevoet.

Als de deur ópen zou staan en er hangt een bordje “Welkom”, ja dan zou je misschien kunnen denken dat iedereen uitgenodigd is op een buurtfeestje of open barbecue. Het digitale equivalent daarvan zou dan een “Welkom”-banner zijn met een gast/gast logincombinatie. Als dát account zou werken (ook als het onaangekondigd is) dan lijkt het me nauwelijks nog verdedigbaar dat iemand inbrak.

De wet stelt ‘binnendringen’ in een computersysteem strafbaar. Het is daarbij nodig dat op een of andere manier blijkt dat je op verboden terrein bent. (Vroegâh had je zelfs een beveiliging nodig die moest worden doorbroken, nu niet meer.) Zo’n loginbanner of MOTD is dus het digitale equivalent van het art. 461 Strafrecht-bordje. Meer dan “verboden toegang voor onbevoegden”* als tekst zou niet nodig moeten zijn.

Is er een gastaccount, dan ben je niet onbevoegd als je daarop inlogt. Misschien als er duidelijk is gezegd wíe er als gast naar binnen mag, maar dat heb ik eerlijk gezegd nog nooit gezien. Een beetje beheerder timmert een gastaccount ook zodanig dicht dat een ongewenste gast toch niets geks uit kan halen, dus waarom zou je ook?

  • En volgens mij zelfs dat niet want het spreekt voor zich dat ONbevoegden niet naar binnen mogen. Vlakbij mijn kantoor staat een geel verkeersbord met de tekst “Te hard rijden is verboden”. Joh.

Arnoud

Wanneer is een Message of the Day rechtsgeldig?

| AE 5678 | Ondernemingsvrijheid, Security | 36 reacties

login-warningEen lezer vroeg me:

Bij sommige diensten binnen ons bedrijf moet je inloggen. Daarbij krijg je een bannertekst te zien, ook wel “message of the day” (MOTD) geheten. Daarin staat onder meer dat je persoonlijk aansprakelijk bent voor misbruik, dat privégebruik verboden is en dat men je te allen tijde in de gaten mag houden. Is dat juridisch houdbaar? En hoe ver mag je gaan met zo’n banner of motd?

Of je het nu MOTD, banner, disclaimer, terms of service, EULA of wat dan ook noemt, naar Nederlands recht zijn bepalingen die voor meerdere gebruikers hetzelfde zijn “algemene voorwaarden”. Algemene voorwaarden zijn immers per definitie (art. 6:231 BW) voorwaarden die bestemd zijn om in meerdere overeenkomsten op gelijke wijze gebruikt te worden.

Algemene voorwaarden zijn snel bindend; ook als je ze niet gelezen hebt en ook als je geen vinkje hebt geplaatst zit je eraan vast als vóór contractsluiting is gemeld dat ze gelden. Het idee hierachter is dat toch geen hond die voorwaarden leest. Maar daar tegenover staat dat je als wederpartij algemene voorwaarden sneller kunt aanvechten dan voorwaarden die wél specifiek onderhandeld zijn. Zodra algemene voorwaarden ‘onredelijk bezwarend’ zijn, kun je ze vernietigd krijgen. Een motd of banner of EULA is dus in principe rechtsgeldig.

Een loginbanner wordt echter pas bij het inloggen getoond, en een motd pas ná dat inloggen. Beiden zijn te laat. In de meeste gevallen sluit je het contract met het bedrijf achter de dienst immers bij registratie of bestelling en niet bij inloggen.

In de context van werknemers die inloggen ligt het iets anders. Een werknemer sluit natuurlijk geen contract met zijn werkgever elke keer als hij inlogt. Meldingen als deze zijn in dat kader dus geen algemene voorwaarden maar moeten onder het kopje “instructies betreffende de arbeid” (art. 7:660 BW) worden gerekend. De werkgever mag zulke instructies geven, mits ze redelijk zijn, maar hij hoeft ze niet apart in een ICT-reglement of het arbeidscontract vast te leggen. En hij mag ze dus ook na het sluiten van het arbeidscontract stellen. Een werkgever kan dus prima via een motd of banner voorwaarden stellen aan het gebruik van de ICT-faciliteiten.

Natuurlijk mogen die voorwaarden op zich niet ingaan tegen de wet, dus een voorwaarde die zomaar de privacy opzij zet kan niet door de beugel. Hiervoor gelden dezelfde regels als bij ICT-reglementen in het algemeen: de privacy staat voorop, en de werkgever mag daar alleen doorheen als dat noodzakelijk is voor een eigen legitiem belang, er geen andere keuze is die de privacy niet of slechts in beperktere mate schendt én de maatregel proportioneel is gezien het doel. Op een bedrijfskritische server alles loggen lijkt me daar net wel in te passen. Persoonlijke aansprakelijkheid is echt volstrekte onzin, je bent als werknemer eigenlijk nooit persoonlijk aansprakelijk (art. 6:170 BW) voor wat je doet met je werknemerspet op. Maar mogelijk staat dat er alleen om mensen schrik aan te jagen.

Meelezende systeembeheerders: hoe komen jullie aan je banner- dan wel motdteksten? Zijn die opgesteld door de bedrijfsjurist, ergens van internet geplukt, bij de installatie meegekomen of hebben jullie er zelf over nagedacht?

En wat stáát er in jullie banners?

Arnoud