image

Juridische vraag: Is Microsoft illegaal bezig met SmartScreen?

woensdag 25 augustus 2010, 13:45 door Arnoud Engelfriet, 18 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek
"De wet op internet".

Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. Vragen over licenties worden niet behandeld, aangezien die geen raakvlak met beveiliging hebben. De Juridische vraag is een rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.

Vraag: Als ik grote bestanden aan klanten moet uitleveren, doe ik dat vaak door ze als download vanaf een unieke, niet-gepubliceerde URL aan te bieden. Dat is immers veel handiger dan mail, en je hebt geen gedoe met wachtwoorden. Recent ontdekte ik echter twee 'hits' op deze URLs vanaf onbekende IP-adressen. We hebben met uiteindelijk vier mensen een flink deel van een weekend aan onderzoek verspild om uiteindelijk te ontdekken dat het Microsoft's SmartScreen-filter en achterliggende infrastructuur betrof.

SmartScreen is een filter in Internet Explorer 8, dat onder meer URLs van gedownloade bestanden aan Microsoft doorspeelt, die vervolgens door Microsoft zelf worden gedownload om te onderzoeken of ze geblacklist moeten worden. Is dat niet computervredebreuk? Ik heb geen toestemming gegeven om die URLs op te vragen immers.

Antwoord: Er is sprake van computervredebreuk als iemand opzettelijk en zonder daartoe gerechtigd te zijn "binnendringt" in een computersysteem. Het is niet (meer) nodig dat je een beveiliging kraakt, ook op een onbeveiligd systeem kun je binnendringen en daarmee computervredebreuk plegen. Wel moet de pleger weten dat hij ergens is waar hij niet mag zijn.

Het opvragen van een niet-gepubliceerde URL is met enige fantasie misschien wel te zien als "binnendringen". Als je als opvrager weet dat die URL niet publiek is, bijvoorbeeld omdat je gaat spelen met de datumaanduiding erin of zelf wat trefwoorden verzint, dan moet je volgens mij weten dat je dingen zou kunnen opvragen die niet publiek zijn. Het zou dan kunnen dat je daarmee computervredebreuk pleegt, hoewel ik me niet kan voorstellen dat wat spelen met een URL tot vervolging zal leiden. (Er was wel een keer een civiele rechtszaak waarin men stelde dat spelen met de URL van een e-learning systeem merkinbreuk zou zijn.)

De vraag is hier echter of Microsoft binnendringt "zonder daartoe gerechtigd te zijn". Ik denk dat die rechtvaardiging er wel is: de persoon voor wie de URLs bestemd waren, heeft zelf gekozen voor SmartScreen en dus in wezen Microsoft gemachtigd om die URLs te screenen. Microsoft vraagt dus niet zomaar de URLs op, ze doen dat op verzoek van de klant van de vraagsteller. En er is niets mis met een extern iemand inschakelen voor een veiligheidscontrole.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".

Reacties (18)
25-08-2010, 14:04 door Anoniem
Als er reden is om je zorgen te maken over wie deze bestanden download (bv omdat ze privacy gevoelige informatie bevatten) zo ik ze nooit zonder wachtwoord op internet zetten. Dat is security through obscurity. Nooit een goed idee om als enige beveiligingslaag te gebruiken. Zoals je merk zijn er altijd manieren waarop derden toch achter de url komen.
25-08-2010, 14:20 door Anoniem
"Ik heb geen toestemming gegeven om die URLs op te vragen immers. "

Het lijkt me dat je akkoord bent gegaan met de gebruikersvoorwaarden, wanneer je gebruik maakt van IE8 met SmartScreen filter. Zolang jij het filter aan laat staan geef jij per definitie toestemming. Wil je geen gebruik maken van SmartScreen, dan zet je het filter toch gewoon uit....

Vista - Internet Explorer 8 - Enable or Disable SmartScreen Filter
http://www.vistax64.com/tutorials/179561-internet-explorer-8-enable-disable-smartscreen-filter.html
25-08-2010, 14:30 door Anoniem
Een URL is altijd publiekelijk toegankelijk, dus als je die zou openen kan dat nooit computervredebreuk zijn, als je 'm niet publiceert resulteert dat daarin dat weinig tot geen mensen van het bestaan afweten en dus weinig zal worden opgevraagd, maar hij is dan wel nog gewoon toegangelijk. Om 'm niet publiekelijk toegangelijk te maken moet je toch dan wachtwoordbescherming o.i.d. gebruiken. Verder ben ik het met dit stukje van Arnoud eens:
"Ik denk dat die rechtvaardiging er wel is: de persoon voor wie de URLs bestemd waren, heeft zelf gekozen voor SmartScreen en dus in wezen Microsoft gemachtigd om die URLs te screenen. Microsoft vraagt dus niet zomaar de URLs op, ze doen dat op verzoek van de klant van de vraagsteller."
25-08-2010, 14:31 door Anoniem
Met handige tooltjes kan je ook achter dirs en bestanden komen die via een url/ip adres zijn te bereiken, ze verstoppen op deze manier heeft geen zin. Ik zou een afgeschermd extranet gaan maken voor dit soort dingen
25-08-2010, 15:17 door _Peterr
Wat let mij om per ongeluk een verkeerde URL in te typen dat toevalligerwijs bestaat. De kans is nagenoeg 0, maar met het huidige aantal mensen online is de kans wel steeds groter aan het worden. Wil je niet dat iemand (persoon, bedrijf of overheid) jouw documenten ziet dan moet je ze encrypten.
25-08-2010, 15:33 door Anoniem
Heb je wel een Robots.txt geplaatst, waarmee je expliciet aangeeft dat bots (geautomatiseerde webcrawlers) niet welkom zijn. Dan heb je wellicht wel een zaak.

Heb je die niet, hoe kan Microsoft (of Google of welke andere crawler dan ook) weten dat deze info niet gelezen mag worden?
25-08-2010, 16:10 door Anoniem
Door Anoniem: "Ik heb geen toestemming gegeven om die URLs op te vragen immers. "

Het lijkt me dat je akkoord bent gegaan met de gebruikersvoorwaarden, wanneer je gebruik maakt van IE8 met SmartScreen filter. Zolang jij het filter aan laat staan geef jij per definitie toestemming. Wil je geen gebruik maken van SmartScreen, dan zet je het filter toch gewoon uit....

Vista - Internet Explorer 8 - Enable or Disable SmartScreen Filter
http://www.vistax64.com/tutorials/179561-internet-explorer-8-enable-disable-smartscreen-filter.html
De vraagsteller is niet zelf akkoord gegaan met IE8 smartscreen maar degene die de bestanden downloadt wel. Indien vraagsteller niet wilde dat de url doorgespeeld zou worden aan microsoft had hij z'n klanten moeten zeggen geen smartscreen te gebruiken.
25-08-2010, 17:45 door Blijbol
Ik vraag me toch af of dit juridisch verandert als robots.txt een expliciet toegangsverbod heeft uitgevaardigd.
26-08-2010, 07:31 door TD-er
Door Anoniem: "Ik heb geen toestemming gegeven om die URLs op te vragen immers. "

Het lijkt me dat je akkoord bent gegaan met de gebruikersvoorwaarden, wanneer je gebruik maakt van IE8 met SmartScreen filter. Zolang jij het filter aan laat staan geef jij per definitie toestemming. Wil je geen gebruik maken van SmartScreen, dan zet je het filter toch gewoon uit....
[...]
Het is al aangegeven dat de vrager niet akkoord is gegaan met die voorwaarden omdat de klant dat heeft gedaan.

Verschuilen achter gebruiksvoorwaarden is een beetje dubbel in mijn ogen en de manier waarop gebruiksvoorwaarden gepresenteerd zouden moeten worden zou IMHO aangepast moeten worden.

Je krijgt dergelijke voorwaarden vrijwel altijd als een enorme lap juridische tekst die zelfs met een universitaire opleiding niet echt lekker weg leest.
Bij het upgraden van een applicatie krijg je vaak weer een vergelijkbare lap tekst te zien, terwijl je strikt genomen alleen maar geïnteresseerd bent in de veranderingen tov de vorige geïnstalleerde versie.
Vaak is het een alles-of-niets verhaal waarbij je de applicatie compleet niet kunt gebruiken als je de voorwaarden niet accepteert, terwijl je er mogelijk al wel voor betaald hebt. (ik heb nog nooit de voorwaarden gezien voordat je de boel kon gaan installeren en dat is pas na het betalen, op trialware na)
Bij de herinstallatie van een (nieuwe) computer, installeer je best wel veel software en vaak ook de nieuwste versies. Dat kost soms al wel meer dan een dag. Kun je nagaan wanneer je de gebruiksvoorwaarden moet doorlezen en tegelijk ook nog snappen.

En zo zijn er nog wel diverse redenen waarom je eigenlijk niet _kunt_ verwachten dat men altijd de gebruiksvoorwaarden zal kennen van alle applicaties.
Eigenlijk wel een leuke vraag voor Arnoud, wat de praktische geldigheid is van gebruiksvoorwaarden van software wanneer ze zo zijn als hierboven beschreven. Oftewel mag de software-producent wel verwachten dat je ze leest?

Mijn voorstel voor een nieuwe representatie is door de belangrijkste punten (max 5) met een paar steekwoorden als klikbare linkjes neer te zetten zodat je de uitgebreide tekst kunt lezen.
Daarnaast moeten de veranderingen tov de voorwaarden van de vorige geïnstalleerde versie getoond kunnen worden.
26-08-2010, 09:55 door Anoniem
"En zo zijn er nog wel diverse redenen waarom je eigenlijk niet _kunt_ verwachten dat men altijd de gebruiksvoorwaarden zal kennen van alle applicaties."

Het is je eigen keuze gebruiksvoorwaarden al dan niet te lezen; je gaat er simpelweg mee akkoord wanneer je de dienst gebruikt. Je kunt van mensen eigenlijk ook niet verwachten dat ze "de wet" kennen. Toch moet je je houden aan al die regels, ongeacht of je ze gelezen hebt en/of je ze begrijpt.

"Mijn voorstel voor een nieuwe representatie is door de belangrijkste punten (max 5) met een paar steekwoorden als klikbare linkjes neer te zetten zodat je de uitgebreide tekst kunt lezen."

Wat wil je hiermee bereiken, immers moet je je net zo goed houden aan de rest van de tekst. Resultaat is dat men, net zoals nu, de uitgebreide tekst niet of onvoldoende, leest terwijl je je wel aan de uitgebreide tekst dient te houden.

"Eigenlijk wel een leuke vraag voor Arnoud, wat de praktische geldigheid is van gebruiksvoorwaarden van software wanneer ze zo zijn als hierboven beschreven. Oftewel mag de software-producent wel verwachten dat je ze leest?"

Je geeft aan akkoord te gaan; of je de voorwaarden ook leest is je eigen verantwoordelijkheid. De geldigheid is zolang jij gebruik maakt van de software. Het gaat immers om gebruiksvoorwaarden.
26-08-2010, 15:08 door Anoniem
Bij de installatie van Internet Explorer 8 heb je zelf toestemming gegeven, meest mensen lezen de voorwaard niet. In Windows Vista is Internet Explorer 7 geintregeerd, daar voor moet je ook akkoord gaan met de voorwaarden 'ga je niet akkoord met de voorwaarden van *Internet Explorer 8* of *Windows Vista* moet je dit product niet gaan gebruiken!

Je moet dan niet gaan klagen over bepaald zaken, zoals SmartScreen of van die irritante popup message met die activex "internet certificate errors berricht". Bijvoorbeeld als je de Internet Zone hebt aangepast!
JR.
26-08-2010, 15:40 door Anoniem
je kunt lang of kort discussieren over toestemming of legaliteit. basisprobleem is hier dat deze manier om (verondersteld) vertrouwelijk bestanden met klanten uit te wisselen aan alle kanten rammelt.
26-08-2010, 20:16 door Anoniem
Door Anoniem: je kunt lang of kort discussieren over toestemming of legaliteit. basisprobleem is hier dat deze manier om (verondersteld) vertrouwelijk bestanden met klanten uit te wisselen aan alle kanten rammelt.
Zeg je dat nou omdat het in dit geval om Microsoft gaat?
27-08-2010, 10:41 door Anoniem
Laten we duidelijk in zijn. Microsoft schennis u privacy,
SmartScreen werkt niet naar behoren, soms was service offline, of maakt het mijn
internet traag, het leiden tot grote frustratie en toen heb ik het maar uitschakelen.
Ik wil personelijk zegen tegen Bill Gates dat Microsoft helemaal niet zo goed is als je
zou moet geloven! Microsoft heeft ook een onbetrouwbaren dienst en er gaat van alles mis
met de software en routers.
27-08-2010, 18:11 door Anoniem
Volgens de onderstaande webpagina kan je smartscreen niet uitschakelen als je windows live messenger gebruikt:
http://www.withinwindows.com/2010/06/17/live-messenger-and-the-link-harvesting-black-box-in-the-sky/ (Engels)
Is het in dit geval wel illegaal?
29-08-2010, 13:33 door Anoniem
Wat me ook altijd verbaasd is dat er massa's mensen zijn niet in de gaten hebben dat als ze een google toolbar installeren en dan ook dit soort bestanden gaat downloaden die URL waarschijnlijk ook wordt opgevraagd door Google.

Het is namelijk zo, dat alle URL's die Google niet kent gewoon worden doorgespeeld naar GoogleBot die op zijn beurt ze weer bezoekt en de inhoud in de index opneemt als er geen robots.txt , oid. is dat aangeeft dat je dat niet wilt. Daarna kan iedereen het vinden via 1 zoekopdracht met Google.
15-09-2010, 17:49 door Anoniem
Ik ben de vraagsteller. Sorry dat ik laat reageer, ik heb deze pagina in de RSS-feed kennelijk over hoofd gezien en had niet door dat hij geplaatst was. Al is het laat: bedankt voor je antwoord, Arnoud, en bedankt voor de reacties, iedereen.

Ik was me bewust van het feit dat het security by obscurity is, en dat dat rammelt, maar de kans op echte ongelukken was klein bij eenmalige downloads die sowieso niet langer dan nodig online staan, en waar vanaf het web niet naar gelinkt wordt. De eerstvolgende keer had ik een password per download geïmplementeerd. Dat was meteen een bestand van bijna 1GB, en de downloader kwam eerst terug met "het werkt niet" voor het doorgegeven password ook goed ingevuld werd.

Wat mij nogal pissig heeft gemaakt is dat de smartscreen-downloads niet als zodanig herkenbaar waren, daardoor kostte het ons zoveel tijd. De user agent string gaf IE7 aan. Ter vergelijking: elke search engine identificeert zichzelf in de user agent string, compleet met een URL waar je na kan lezen wat er precies gebeurt, en wat je kan doen als het je niet bevalt. Die URL zie je direct in de log van de webserver staan. De smartscreen-requests komen van IP-adressen die niet van Microsoft zelf zijn. Traceroutes liepen wel via MSN-infrastructuur, en dat zette ons uiteindelijk op het goede spoor. Dat kan VEEL duidelijker.

Over wat ik aan Arnoud vroeg, daar ergerde ik me op de manier waarop ik me zou ergeren als een wildvreemde ongevraagd mijn tuin inloopt en daar op het tuinbankje gaat zitten. Ik zie nu dat ik zelf alles in termen van URL's heb gesteld in mijn vraag, en Arnoud heeft ook in die termen geantwoord. Door zijn antwoord realiseer ik me dat ik het niet eens ben met hoe ik zelf de vraag formuleerde, voor mij is de URL namelijk niet hetzelfde als het bestand waar die naar verwijst, net zo min als ik mijn huis weggeef op het moment dat ik iemand het adres geef. In dat licht vraag ik me af of het screeningsverzoek geen betrekking heeft op de data die de klant ontvangt in plaats van de URL, en of dat iets in de conclusie verandert.

Hoe dan ook, ik blijf het twijfelachtig vinden dat Microsoft van de drie betrokken partijen de last van de download legt bij de enige partij die geen partij is in de overeenkomst. Ze hadden ook hun klant een upload van de net ontvangen data kunnen laten initiëren, of de download langs een proxyserver kunnen leiden waar de data ter screening achterblijft. Dat laatste moet kunnen omdat het hele idee van Smartscreen is dat downloads van problematische bestanden voorkomen worden, dat kan alleen als voorafgaand aan elke download aan Microsoft wordt gevraagd wat de status van het bestand is. Stel dat dat veilig, onveilig of onbekend kan zijn, dan zou IE8 in het laatste geval de download via een SmartScreen-proxy kunnen aanvragen zodat het bestand gescreend kan worden en de status aangepast.

Een paar mensen vroegen naar robots.txt. Die is voor webcrawlers die links volgen. Smartscreen is geen webcrawler, en de te volgen link ontbreekt (op het web althans, hij staat in een email). Dit is iets anders, dit gaat over een webbrowser (IE8) die bij elke download even ruggespraak houdt met Microsoft, en hoort of de download op de zwarte lijst staat of niet. Zo ja, dan gaat de download niet door. Nog onbekende bestanden worden niet geblokkeerd, maar Microsoft doet ook een download om te onderzoeken of dat terecht is. Vinden ze iets, dan gaat het bestand op de zwarte lijst.
06-12-2010, 19:51 door Anoniem
Geachte heer,

2,5 jaar geleden heb ik een geparkeerde werkbus aangereden op een parkeerterrein. Lichte lakschade. Ik ben doorgereden omdat de werkbus al behoorlijk beschadigd was voordat ik er een kras op veroorzaakte. Er zaten een en al deuken in en de schade die ik veroorzaakt had was zo klein dat het niet veel voorstelde.

Helaas is mijn kenteken genoteerd en moest ik de volgende dag op het politiebureau verschijnen. De politie zei dat het om een misdrijf ging omdat ik ben doorgereden maar dat de schade zeer beperkt was. Ik heb de agent bovenstaande verteld hoe ik er over dacht. (Bus zat al onder de deuken, ik heb zwarte streep achtergelaten van max 4 cm).

6 maanden later ontving ik een boete van EUR 250,- in de bus die ik netjes heb betaald. Nooit voor hoeven komen voor zoiets onbenulligs natuurlijk, en nooit meer iets van gehoord.

Maar nu mijn vraag: Ik zou graag in de beveiliging willen werken en zal gescreend moeten worden.
Komt dit naar boven en heeft dit invloed op mijn VOG aanvraag?

Ik hoop op meer duidelijkheid.

Vriendelijke groet,


Anoniem.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.