Achtergrond

Juridische vraag: Mag Full-disclosure?

woensdag 4 maart 2009, 11:54 door Arnoud Engelfriet, 11 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem dan aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek "De wet op internet". Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. De Juridische vraag is een nieuwe rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Begin december ontdekte ik bij toeval dat een grote organisatie de persoonsgegevens van hun klanten niet goed had beveiligd. Daarmee schepten ze een reëel risico voor identiteitsfraude. Ik heb het ze gemeld, maar ze wilden me niet geloven. Daarom heb ik een "proof of concept" exploit gemaakt en ze die opgestuurd. Daarna heb ik niets meer gehoord. Het is nu bijna drie maanden verder, kan ik er nu over publiceren? Of schend ik dan de wet? Ik heb ze trouwens niet gezegd dat ik zou publiceren als ze er niets aan deden.

Antwoord: Een ontdekking als deze publiceren mag, maar vereist wel de nodige zorgvuldigheid. De eerste stap is hier al genomen: de betrokkene informeren en aansporen om het zelf op te lossen. Als men echter hiertoe geen of onvoldoende stappen neemt, sta je in je recht om erover te publiceren - in de vorm van een artikel. Het publiceren van een concrete exploit is een stuk riskanter.

De bekendste zaak op dit gebied is natuurlijk die van de OV-chipkaart. Onderzoekers van de Radboud Universiteit Nijmegen hadden een lek in de beveiliging van de Mifare Classic chip gevonden en wilde daarover publiceren. NXP, maker van de chip, eiste bij de rechter dat deze publicatie verboden zou worden omdat zij hierdoor schade zou lijden.

De rechter woog in het vonnis de belangen van NXP expliciet af tegen het grondrecht van vrijheid van meningsuiting. Dat grondrecht mag namelijk alleen worden ingeperkt als dat absoluut noodzakelijk is om andermans belangen te beschermen. En dan moet een verbod ook nog eens de beste manier zijn om die belangen te beschermen. Zijn er andere manieren denkbaar, zoals een weerwoord of disclaimer van de fabrikant bij het artikel, of het weglaten van een paar details, dan mag de rechter geen totaalverbod opleggen.

In deze zaak erkende de rechter expliciet het economische en sociale belang van wetenschappelijk onderzoek naar zwakheden in beveiliging: "het [is] van groot maatschappelijk belang dat verkregen wetenschappelijke inzichten op dat gebied openbaar worden gemaakt." De publicatie was ook feitelijk juist, zodat er geen reden was voor een verbod.

Wel speelde hier mee dat het ging om een wetenschappelijk artikel waarin alleen in theoretische en abstracte termen werd uitgelegd waar de zwakheid zat en hoe deze werkte, en "zeker niet een praktische handleiding voor het kraken en klonen van de chip". Het publiceren van een concrete exploit is namelijk een stuk dubieuzer.

Het is strafbaar om tools te verspreiden om computervredebreuk mee te plegen (art. 139d Wetboek van Strafrecht). In 1995 oordeelde de Hoge Raad dat ook instructies en stappenplannen daaronder konden vallen - ook als ze in een tijdschrift zijn afgedrukt en dus geen direct uitvoerbare software zijn. Vergelijkbare wetgeving bestaat voor tools om DRM en software-kopieerbeveiligingen te kraken of te omzeilen.

Een exploit verspreiden is dus in principe strafbaar. Wel moet de verspreiding gebeuren met het oogmerk dat daarmee computervredebreuk wordt gepleegd. Ik zou een exploit dus nooit zonder meer publiceren, maar altijd in combinatie met uitleg en toelichting over de onveiligheid, en liefst met een paar triviale dingen aangepast zodat de exploit niet meteen werkt. Dan is duidelijk dat je mensen met bewijs wilt informeren over een onveiligheid.

Concreet voor de vraagsteller: stuur de organisatie nog éénmaal een dringende brief waarin je ze wijst op de onveiligheid en zet daarbij dat je op korte termijn (14 dagen) de publiciteit zult zoeken als men geen stappen neemt om het lek te dichten. En als je dan publiceert, zorg er dan voor dat de lezer kan verifiëren dat het lek er is zonder dat iemand met copy-paste een tool kan krijgen om schade aan te richten bij de organisatie.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Heb jij ook een vraag voor Arnoud en wil jij kans op zijn boek maken? Stuur dan je vraag naar juridischevraag@security.nl

Tweedehands harde schijven vol met privé-foto's en filmpjes

Column: 2008: Webapplicaties kwetsbaarder dan ooit

Reacties (11)

04-03-2009, 13:24 door Anoniem

dank voor deze uitleg.

Greetingz,
Jacco

04-03-2009, 18:10 door Anoniem

Je kan toch een exploit anoniem publiceren?

04-03-2009, 18:13 door SirDice

Het is strafbaar om tools te verspreiden om computervredebreuk mee te plegen (art. 139d Wetboek van Strafrecht).

Dus.. Iedereen die een computer verkoopt is feitelijk strafbaar? Er kan immers computervredebreuk mee gepleegd worden?

Wel moet de verspreiding gebeuren met het oogmerk dat daarmee computervredebreuk wordt gepleegd

Ah ok.. Dat lijkt me dan duidelijk. Maar als ik die eerst genoemde computer nu lever met een compleet geinstalleerde en werkende Back|Track (inclusief documenentatie en voorbeelden)? Of moet ik zoiets verkopen als "Security audit tool"? Waar ligt de grens?

04-03-2009, 19:22 door Arnoud Engelfriet

Die grens ligt op dezelfde plek als de grens bij het verkopen van bivakmutsen, zwarte truien en jute zakken. Het mag, maar zodra je het doet met de bedoeling dat de koper daarmee het misdrijf inbraak/diefstal gaat plegen, mag het niet meer. Komt er iemand in je messenwinkel met de vraag "met wat voor mens vermoord ik mijn schoonmoeder nou het makkelijkst", dan mag je die persoon geen mes verkopen.

Het is trouwens al een jarenlang debat of een tool nu een security tool of een cracktool is. Veel zal daarbij afhangen van de omstandigheden. Een security auditor met klembord en stropdas die bij een bedrijf langskomt met een passwordcracker is een heel ander verhaal dan een vage website met witte letters op zwarte achtergrond, pornobanners en diezelfde passwordcracker.

05-03-2009, 09:38 door Anoniem

Ik heb een vraag met betrekking tot het publiceren van een exploit.
In principe wil de schrijver van het verhaal het bedrijf niet kwetsen of schade berokkenen.
Maar hij wil laten zien dat het bedrijf niet goed beveiligd is.
Dan mag hij de tool toch wel publiceren aangezien hij dit doet om andere hun systemen te laten testen.
Het is natuurlijk wel anders als hij een xploit heeft die specifiek voor het bedrijf is.
Maar een afgemene exploit mag toch gewoon als tool verspreid worden ??

05-03-2009, 10:13 door Arnoud Engelfriet

De wet kent geen onderscheid tussen algemene en bedrijfsspecifieke exploits. Strafbaar zijn tools waarmee je kunt cracken en die worden verspreid met de kennelijke bedoeling dat er ook mee gecrackt wordt.

Ik zou dus heel voorzichtig zijn met een bericht dat bedrijf X kwetsbaar is voor bug Y met een werkende exploit voor bug Y bij het bericht. Dat maakt het wel erg makkelijk voor mensen om bedrijf X te cracken.

05-03-2009, 11:05 door SirDice

Door Arnoud EngelfrietEen security auditor met klembord en stropdas die bij een bedrijf langskomt met een passwordcracker is een heel ander verhaal dan een vage website met witte letters op zwarte achtergrond, pornobanners en diezelfde passwordcracker.

Misschien is die stropdas de eigenaar van die vage site? Hoe iemand er uitziet zegt niets over zijn of haar persoonlijkheid.

05-03-2009, 13:07 door Anoniem

Als ik bij iemand de deur open zie staan dan waarschuw ik de bewoner van het pand.
En ik ga niet lopen gillen door de stand dat die deur openstaat.

Als het nu iedere dag weer gebeurt ook na diverse waarschuwingen dan moet ik mischien wel de straat op.
Maar geef de eigenaar/bewoner eerst even de kans om het foutje zelf op te lossen.

Volgens mij is dit wel de beste vergelijking.

05-03-2009, 22:17 door Jachra

Ik zou aanraden om een video te maken die laat zien dat de exploit werkt zonder daarbij te veel informatie vrij te geven.

06-03-2009, 08:43 door Arnoud Engelfriet

@SirDice: mee eens maar eerste indrukken wegen helaas mee bij strafzaken.

@Jachra: goed idee!

06-03-2009, 11:09 door Preddie

Door Arnoud EngelfrietDe wet kent geen onderscheid tussen algemene en bedrijfsspecifieke exploits. Strafbaar zijn tools waarmee je kunt cracken en die worden verspreid met de kennelijke bedoeling dat er ook mee gecrackt wordt......

Lijkt me sterk....

Cracken is geen techniek, maar een benaming voor een actie die wordt uitgevoerd.

Ik schrijf een tool waarmee ik de sleutel van mijn draadloos netwerk kan testen op zijn veiligheid ( < legaal dus )

Ik schrijf een tool die in staat de sleutel de kraken van een draadloos netwerk en daarmee aan kan tonen dat de beveiliging onder zijn niveau is. ( < illegaal dus )

Echter gaat het hier om precies dezelfde tool ..... alleen de omschrijving en de manier waarop het naar buiten wordt gebracht zo dus bepalen of dat het juridisch verantwoord is of niet. ( lijkt me een grijs gebied )

Daarnaast zie ik het advies om het bedrijf op de hoogte te stellen van eventuele lekken in de software van het bedrijf. Echter geeft de nederlandse wet aan dat wanneer je je hiermee bezig houd zonder vooraf toestemming gevraagd te hebben aan het bedrijf of ontwikkelaar van de software je in alle gevallen strafbaar bent. Wanneer je je op dat moment het bedrijf op de hoogte stelt, kan het gewoon aangifte tegen jou doen. Dit omdat de toegang tot en het ophalen van informatie uit computersystemen zonder dat je daar geautoriseerd gewoon weg verboden is .....

Daarnaast wordt het publiceren van een exploit als strafbaar geacht terwijl dit een totaal verkeerd is in mijn ogen. Want wanneer je nu een lek vind in software en daar dus een exploit op schrijft in een kamertje achteraf en je dit niet publiekelijk kenbaar kan maken ........... kan het als gevolg hebben dat het lek blijft zitten waar het zit.
Criminelen met ook knappe koppen in dienst kunnen in staat zin dit zelfde lek te ontdekken met als bedoeling daar misbruik van te maken.......

Wanneer je dus een exploit kan schrijven en dat doet maakt de wet het aantrekkelijker om het bedrijf niet in te lichten en het lek te laten zitten waar het zit met als gevolg dat grote aantallen mensen gevaar kunnen lopen zonder dat ze het zelf weten ..... want zolang het lek niet gevonden is wordt het veilig geacht ..........

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer