Mag de politie je systeem patchen na een malware infectie?

| AE 12625 | Security | 9 reacties

De FBI gaat nu netwerken van privépartijen patchen, las ik (vrij vertaald) bij Schneier’s blog. Het gaat om honderden met malware geïnfecteerde Microsoft Exchange-servers, waar webshells (commandoregel-toegang op afstand) op waren geplaatst. Nadat de federale politie daartoe door een rechtbank was gemachtigd, gaf zij al deze servers een speciaal commando waarmee de kwaadaardige code werd gewist. Dat gaf dus ophef, want men passeerde zo het eigen IT-beleid van die organisaties. En hoezo mag de politie überhaupt bij mensen thuis dingen komen fixen?

Over een week gaat de politie bij ons Emotet wissen van een miljoen computers wereldwijd, dus dit is lekker actueel. Ik zei toen dat dat mocht, want wij hebben artikel 125o Wetboek van Strafvordering:

Indien bij een doorzoeking in een geautomatiseerd werk gegevens worden aangetroffen met betrekking tot welke of met behulp waarvan het strafbare feit is gepleegd, kan de officier van justitie dan wel indien deze de doorzoeking verricht, de rechter-commissaris bepalen dat die gegevens ontoegankelijk worden gemaakt voor zover dit noodzakelijk is ter beëindiging van het strafbare feit of ter voorkoming van nieuwe strafbare feiten.

De doorzoeking vond hier plaats in de centrale server, en via die server vind je dan ook de clientsoftware bij de slachtoffers thuis. Dat zijn “gegevens met behulp waarvan het strafbare feit is gepleegd”, zodat de politie die mag wissen (ontoegankelijk maken).

In de VS moet de FBI het doen met Rule 41, waarmee men algemeen gezegd warrants oftewel bevelen mag halen om bewijs of contraband mee te nemen, illegale voorwerpen in beslag te nemen of mensen op te halen. In het jargon, een search & seizure – zoeken en inbeslagname. Onder deze Rule heeft men nu de warrant gekregen om op al die Exchange-servers binnen te dringen en daar de wis-instructie te geven. En dat is wat vreemd, want oké ze zouden fysiek langs mogen gaan en al die servers meenemen met zo’n bevel maar dat blijft wat anders dan een stukje informatie daarop aanpassen.

Niet gek dus dat vele mensen op de achterste benen staan. Het gaat ook verder dan eerdere zaken waarbij de FBI botnets verwijderde: daar kwamen de geïnfecteerde computers naar de inbeslaggenomen server toe voor nieuwe instructies, en men kon toen vrij eenvoudig “wis jezelf” teruggeven. Dat is toch wat anders dan actief inloggen bij die clients en daar een wis-instructie geven.

Arnoud

Zijn wij aansprakelijk als onze systeembeheerder alle klantdata wist?

| AE 9141 | Ondernemingsvrijheid | 17 reacties

Een lezer vroeg me:

Wij zijn een klein hostingbedrijf en vroegen ons het volgende af. Stel een van onze systeembeheerders met root toegang besluit op een kwade dag om álle klantdata te wissen, en meteen ook maar de backups. Theoretisch kunnen zij dat, en waarschijnlijk ongemerkt ook. In hoeverre zijn wij dan als bedrijf aansprakelijk naar onze klanten? En is dit te verhalen op die personen in privé?

Een bedrijf is aansprakelijk voor schade die ze hun klanten berokkenen door een slechte uitvoering van hun opdracht. Dat is de definitie van wanprestatie.

Bij een hostingbedrijf lijkt me het kwijt zijn van data een triviaal voorbeeld van wanprestatie, en dus moet die schade worden vergoed. De schadevergoeding zou dan gelijk zijn aan de tijd die het kost om de data te herstellen en de sites weer in de lucht te krijgen, en mogelijk zelfs de gederfde omzet van die klantsites.

Natuurlijk zal een hostingbedrijf in zijn algemene voorwaarden zijn aansprakelijkheid beperken. Dat is in principe redelijk – je mag in zakelijke relaties met je klanten afspreken dat jij maar tot een zeker bedrag aansprakelijk bent voor schade. Dat zou hier dus onder normale omstandigheden het bedrijf kunnen redden.

Of dat hier veel zal helpen, betwijfel ik. Wanneer de schade het gevolg is van opzet of bewuste roekeloosheid, is het eigenlijk niet mogelijk je op je beperking van aansprakelijkheid te beroepen. Dit is in strijd met wat juridisch heet de openbare orde en goede zeden (art. 3:40 BW) en is ook nog eens redelijkerwijs onaanvaardbaar (art. 6:248 lid 2 BW).

Dit is dus écht een heel serieus probleem als het je overkomt. En natuurlijk, je kunt die schade dan verhalen op de systeembeheerder. Hoewel werknemers normaal niet aansprakelijk zijn voor schade die ze bij het werk toebrengen, is ook daar die opzet en bewuste roekeloosheid een uitzondering. Die mag dus worden verhaald. Maar veel zal het niet opleveren, wie heeft er in privé geld genoeg om al dat dataverlies te dekken?

Dit vind ik dus een situatie waarin je niet juridisch moet gaan redderen achteraf maar organisatorisch en technisch preventief maatregelen moet nemen. Zorg dat data niet gewist kán worden door één persoon, maak backups waar alleen een ander bij kan en heb logging en alarmbellen die afgaan als mensen rare dingen doen.

Even nieuwsgierig: meelezende hosters, hoe hebben jullie dit scenario geborgd?

Arnoud

Mag iTunes je muziekbestanden wissen?

| AE 8631 | Informatiemaatschappij | 18 reacties

itunes-appleApple stal mijn muziek, blogde creatief ontwerper James Pinkum vorige week. Pinkum was 122 gigabyte aan muziek kwijtgeraakt van zijn harddisk, en wist dat te traceren tot een actie van Apple’s iTunes-software. Deze had de harddisk gescand en alle bestanden die iTunes ook had, vervangen door een linkje naar de online muziekbibliotheek. Met een liberale definitie van ‘hebben’, want unieke versies van muziek bij Pinkum werden vervangen door de gewone massa-release, bijvoorbeeld. “The software is functioning as intended,” zegt Apple dan. Wat krijgen we nou?

Zoals Pinkum het samenvat:

(…) through the Apple Music subscription, which I had, Apple now deletes files from its users’ computers. When I signed up for Apple Music, iTunes evaluated my massive collection of Mp3s and WAV files, scanned Apple’s database for what it considered matches, then removed the original files from my internal hard drive. REMOVED them. Deleted. If Apple Music saw a file it didn’t recognize—which came up often, since I’m a freelance composer and have many music files that I created myself—it would then download it to Apple’s database, delete it from my hard drive, and serve it back to me when I wanted to listen, just like it would with my other music files it had deleted.

Ongetwijfeld dacht Apple dat dat handig is. Als muziek al in de cloud staat, waarom zou je daar nog domme lokale harde schijven mee lastig vallen? Vervang het lekker door een linkje en je kunt er overal bij. Oké, jammer van die unieke prereleaseversie die we nu vervangen hebben door de massa-editie, maar dat is een implementatiedetail. Of, het programmeurexcuus: dan moet je die prerelease niet de metadata geven van de gewone versie. Functioning as intended, pebkac.

Pinkum dook ook maar meteen in de voorwaarden. Letterlijk iets over dit wissen kon hij niet vinden (en ik ook niet), maar het staat er wel half:

iCloud Music Library is turned on automatically when you set up your Apple Music Subscription…When your Apple Music Subscription term ends, you will lose access to any songs stored in your iCloud Music Library.

Gaan we even kijken wat dat iCloud Music Library dan precies is:

Dankzij iTunes Match kun je al je muziek in iCloud bewaren, zelfs muziek die je van cd’s hebt geïmporteerd. Je hebt dan op al je apparaten toegang tot je muziek en kunt je hele bibliotheek beluisteren, waar je ook bent. Abonneren op iTunes Match doe je op je Mac, pc of iOS-apparaat.

Verder een hele mooie pagina met vlotte teksten, hippe plaatjes en een blij gevoel, alleen ik mis één detail: dat bestanden worden gewist nadat ze zijn “toegevoegd” aan de iCloud.

Maar is dat wel zo, wórden die bestanden per direct gewist na de import? Diverse bronnen zeggen van niet. Zo laat deze Twitteraar zien dat het best eens ‘gewoon’ een pebkac kan zijn: dialogbox niet goed gelezen, het verschil tussen “Delete download” en “Delete song” is immers reuze evident dus wat ben je voor n00b dan. iMore legt uit:

If you choose “Remove Download,” it will send the local file from your hard drive to your Trash, but leave the reference in your library — so that you can stream that track directly from iCloud Music Library. It won’t delete the file until you empty your Trash.

Dus inderdaad, het is een feature en iets waar je zelf voor koos. Dat je niet goed onderzoekt wat er gebeurt als je op een knopje drukt, tsja, dat ligt dan toch echt aan jou.

Juridisch gezien wordt het nu moeilijk. Iets zomaar wissen mag niet, dat moge duidelijk zijn. Je moet toestemming vragen en natuurlijk moet je dan uitleggen wat er gaat gebeuren. Daarbij moet je het te verwachten kennisniveau van de gebruiker in gedachten houden, maar veel verder dan dat komt het juridisch kader niet. De vraag wordt dan dus: is het duidelijk wat Apple hier geprogrammeerd heeft, moet je met die uitlegtekst en die dialog snappen dat je dan alleen een link naar de iCloud-versie van je muziek overhoudt?

Arnoud

Mag een werkgever verloren of gestolen BYOD-apparaten op afstand wissen?

| AE 5917 | Ondernemingsvrijheid, Security | 32 reacties

Een lezer vroeg me: Steeds meer bedrijven hebben regels over Bring your own device (BYOD). Een opvallende regel daarbij is het op afstand mogen schoonvegen van verloren of gestolen mobiele apparaten. Begrijpelijk voor het bedrijf, maar mag een bedrijf dit eigenlijk wel doen bij privéapparaten? Een werkgever mag in principe eenzijdig regels stellen over hoe… Lees verder

Een admin die zomaar illegaal materiaal wist, mag dat?

| AE 5837 | Ondernemingsvrijheid | 67 reacties

Een lezer vroeg me: Ik werk als systeembeheerder bij een middelgroot bedrijf. Na klachten over volgelopen netwerkschijven ben ik eens gaan onderzoeken waar dat door kwam, en ik trof grote verzamelingen illegaal gedownloade films, muziek en software aan. (Plus de nodige porno die ik bepaald niet hoefde te zien.) Dat mag natuurlijk niet, dus dat… Lees verder

Leaseweb wist Megaupload-content, mag dat?

| AE 5657 | Ondernemingsvrijheid | 26 reacties

Kim Dotcom is mediagenieker dan Leaseweb. De Megauploadeigenaar riep op Twitter dat het Nederlandse hostingbedrijf alle data van zijn cyberlockerdienst had gewist afgelopen februari, meldde Tweakers gisteren. Dat is dan nieuws natuurlijk, en dat Leaseweb verwijst naar de al maanden openstaande facturen is slechts reden voor een update – en in de comments gaat iedereen… Lees verder

Toevoegen van debug=1 om kwade code te triggeren: computervredebreuk?

| AE 2605 | Security | 47 reacties

debug=1. Een onschuldig uitziend statement, zo zou je denken. Maar in mei 2009 had het een heel wat minder onschuldig effect als het werd toegevoegd aan de URL van de vacaturesite Juristenbank.nl: er werden dan telkens maximaal 10 kandidaten, dan wel werkgevers, in willekeurige volgorde volledig onomkeerbaar verwijderd. Dat bleek een logisch bommetje van een… Lees verder

Politie mag geen camerabeelden wissen

| AE 2436 | Privacy, Regulering | 18 reacties

De politie had een filmpje van een politie-optreden op de mobiele telefoon van een verdachte niet mogen wissen, las ik bij Mediareport. De rechter oordeelt dat daarmee “de enige reële mogelijkheid voor verdachte om zijn onschuld voor de rechter aan te tonen” gewist is, zodat daarmee zijn grondrecht op een eerlijk proces (en vrije informatiegaring)… Lees verder

Data recovery op een tweedehands computer

| AE 1618 | Privacy, Security | 11 reacties

Een lezer mailde me: Onlangs kocht ik een tweedehands PC in een computerzaak. Omdat ik had gehoord dat daar vaak nog persoonlijke gegevens op staan, dacht ik, ik laat eens wat recovery software los. En ja hoor, stapels privemails, persoonlijke bestanden en zelfs een complete belastingaangifte! Ik heb het gelijk gewist (met speciale software die… Lees verder