image

Juridische vraag: is het onthullen van een lek strafbaar?

woensdag 23 juli 2014, 11:44 door Arnoud Engelfriet, 15 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.

Vraag: Als ik bijvoorbeeld op een Nederlandse website een beveiligingslek of andere kwetsbaarheid heb gevonden, mag ik daar dan over publiceren? Of ben ik dan strafbaar bezig als ik mensen op de kwetsbaarheid wil wijzen?

Antwoord: Het publiceren over beveiligingsfouten en lekken is een juridisch lastige kwestie. Enerzijds moet dat kunnen, want we hebben vrijheid van meningsuiting en het is belangrijk om fouten aan de kaak te stellen. Anderzijds breng je data en mogelijk mensen in gevaar, omdat je publicatie kwaadwillenden kan helpen het lek te misbruiken.

Het is dus zaak om bij dergelijke publicaties zorgvuldig te zijn. Publiceer niet meer dan nodig, en probeer voorbeeldcode zo te maken dat wel het lek aangetoond wordt maar misbruik niet een kwestie is van een ander IP adres invullen.

Ook is het wel zo netjes om de betreffende bedrijven eerst in te lichten en ze een kan te geven het lek te dichten. Dit is dan ook een kernaspect van responsible disclosure: eerst het probleem oplossen en daarna erover publiceren.

Niet elk bedrijf zal de fout repareren. Sommige bedrijven stoppen fouten liever onder de pet of dreigen met rechtszaken. Dat laatste is gewoonlijk bluf (tenzij je schade hebt aangericht met je "ontdekking") maar dat men je negeert komt helaas wel regelmatig voor. Dat is waarom je bij responsible disclosure ook een deadline stelt als men niet reageert.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (15)
23-07-2014, 12:30 door Anoniem
Voor meer informatie over responsible disclosure...
https://www.ncsc.nl/actueel/nieuwsberichten/leidraad-responsible-disclosure.html

Heb er goede ervaringen mee. Aangesloten overheidspartijen bij het NCSC zijn via hun goed te benaderen en strand je niet meteen op een klantenhelpdesk die geen idee hebben wat je bedoelt.

De uitwerking is niet helemaal optimaal, maar geeft wel een goeie richting over hoe in het algemeen te handelen.
23-07-2014, 12:54 door Anoniem
Door Anoniem:Heb er goede ervaringen mee. Aangesloten overheidspartijen bij het NCSC zijn via hun goed te benaderen en strand je niet meteen op een klantenhelpdesk die geen idee hebben wat je bedoelt.

De uitwerking is niet helemaal optimaal, maar geeft wel een goeie richting over hoe in het algemeen te handelen.

Wij hebben een dergelijk beleid. Oorspronkelijk was het idee dat we een paar meldingen per jaar zouden krijgen, maar het aantal is toch hoger dan we verwacht hadden. Tot nu toe gelukkig geen grote problemen. Meestal wat "antieke" configuraties. Wel ook een geval van een onbekend default wachtwoord ingesteld door een leverancier.

Ik kan zeggen dat ons netwerk hier wel veiliger door is geworden.

Peter
23-07-2014, 14:12 door Anoniem
Gezien het gedoe bv. rond Henk Krol (hij deed het ook wel een beetje onhandig, maar toch), is het als melder vrij belangrijk je anonimiteit te waarborgen. Je gebruikt dus een wegwerpaccount wat je alleen via tor benadert, dat soort gein. Wil je het netjes doen dan stuur je ze een mailtje met de omschrijving en een deadline (zeg, twee weken wat je bij vriendelijk vragen eenmalig oprekt tot vier), waarna je het gevondene publiceert.

Er zijn al personen die dat gewoon nooit meer doen en gelijk de publiciteit opzoeken om het even waar ze wat gevonden hebben. Ook bij partijen die zeer waarschijnlijk niet naar de rechter zullen stappen zoals open source projecten met een historie van zeer responsief met meldingen omgaan. Een beetje opletten met wie je te maken hebt is wellicht een goed idee.

Apropos dat laatste, vergelijk redmond die maar gelijk vol in de ex parte ging en daarmee als bedrijf feitelijk een ander bedrijf bestal van hulpbronnen noodzakelijk voor de dienstverlening. De rechter ging er in mee, maar moreel bevraaglijk is het wel.

Het punt hier is dat genoeg bedrijven naar litigatie gegrepen hebben dat het niet meer loont jezelf voor litigatie open te stellen. Want de kans is gewoon te groot dat ze het doen en als het gebeurt dan heb je gelijk zoveel ellende aan je broek dat de lol om ook toevallig gevonden gaten te melden je permanent vergaat. Gelukkig zijn de technische hulpmiddelen om je identiteit en daarmee je aanklaagbaarheid af te schermen nog niet verboden.

Aan de andere kant is het best een gerechte vraag hoe je die gaten gevonden hebt. Een beetje gaan wroeten in andermans systemen mag namelijk niet zomaar, zeker niet zonder toestemming, om bekende redenen. Zorg dus dat je kan vertellen hoe je het gat gevonden hebt.
23-07-2014, 14:29 door Anoniem
Ik heb alleen maar slechte ervaringen met dit soort zaken.
Bedrijven denken alleen maar aan hun excelsheet, ambtenaren denken alleen maar aan hun pensioen-datum met zo min mogelijk vlekken op hun sheet, tenzij het koffie is door nog steeds door een koffie-juffrouw wordt rondgereden met een kar waarbij dan aan het eind van de dag zo'n 20 koude bakjes half aangebroken op het bureau staan naast de stapels papier waardoor het lijkt alsof die ambtenaren ook wat doen ook.
23-07-2014, 15:41 door spatieman
in een ander taal gebruik.
ze werden geïnformeerd, ze hebben er niets aan gedaan, nu moet het maar op de harde manier.
23-07-2014, 15:44 door Anoniem
Ik verbaas me er nog steeds over dat er hele hordes bewust op zoek zijn naar lekken in websites, zonder dat dit aan ze is gevraagd. Zal wel iets met een klein geslachtsdeel en een te groot ego te maken hebben want als je zo begaan bent met de veiligheid van een ander zijn website kun je dit ook prima anoniem doen bij de eigenaar of beheerder.
Uiteindelijk is het aan de eigenaar van de website om te besluiten of deze wel of niet iets met de melding doet. Daarom snap ik dat hele publiek maken van lekken ook helemaal niet, maar ook dat zal wel iets met compensatiedrang te maken hebben.
Ikzelf stuur, als ik heel toevallig tegen een potentieel lek aanloop, gewoon, via een anoniem account, een mail, met een eventuele foutmelding, naar de beheerder of eigenaar en laat het daar vervolgens bij. Het is tenslotte niet mijn probleem als er niets met mijn melding gebeurd.
23-07-2014, 19:03 door Anoniem
Door Anoniem: Ik verbaas me er nog steeds over dat er hele hordes bewust op zoek zijn naar lekken in websites, zonder dat dit aan ze is gevraagd. Zal wel iets met een klein geslachtsdeel en een te groot ego te maken hebben [...]
Er zit wel iets van dat laatste tussen, zie al die hordes die zich "hacker" noemen en dan hoedjes nodig hebben om te vertellen wat voor soort dan--maar die van combinatie grote creativiteit en grote kunde die je voor die origineel gegeven eretitel --en niet genomen-- nodig had maar bar weinig kunnen laten zien. Een hoop zijn puisterige tieners die graag in --liefst andermans-- kompjoeters rommelen of waren dat ooit en zijn daar mentaal blijven steken.

Maar net zo goed loop je als ervaren lekkenvinder of zelfs gewoon ervaren technologiegebruiker best wel eens perongeluk tegen lekken aan, ook zonder daarvoor te hoeven wroeten, gewoon omdat de maker van de website wel heel naïef bezig was. Dat gebeurt zelfs bij websites van grote bedrijven van naam. Kun je zien hoezeer de kompjoeterkunde nog in de kinderschoenen staat, de beveiliging dus ook. En dan is het toch wel handig dat we elkaar nog net dat beetje kunnen helpen door te wijzen op wel heel erg opvallende miskleunen.
24-07-2014, 11:50 door Anoniem
Ik zou zeggen dat je gerust een lek kan melden. Maar alleen dan niet de complete inhoud van hoe het eruitziet.
Gewoon een beschrijving geven van wat er mogelijk is met een lek. De complete inhoud van het lek mag wel gemeld worden aan de desbetreffende software leverancier. Zo kan er weer een patch worden uitgebracht, waar het lek is gedicht.
24-07-2014, 15:06 door Anoniem
"...tenzij het koffie is door nog steeds door een koffie-juffrouw wordt rondgereden met een kar waarbij dan aan het eind van de dag zo'n 20 koude bakjes half aangebroken op het bureau staan naast de stapels papier waardoor het lijkt alsof die ambtenaren ook wat doen ook."

Koffie juffrouwen die rondrijden met kopjes koffie ? Dat heb ik al 20 jaar niet meer gezien.
24-07-2014, 19:03 door Anoniem
Ik kan me zo voorstellen dat zo'n melding vaak bij de verkeerde persoon / afdeling terechtkomt, waardoor het verkeerd wordt opgevat. Het wordt gezien als dreigement, waar men vervolgens de bedrijfsjuristen naar laat kijken. Door het ontbreken van technische kennis wordt het al snel als kwaadaardig bestempeld. Of het bedrijf ziet er meteen €€€ in.

Ik vind dat de vinder zoiets eerst hoort te melden bij het bedrijf, alvorens daarover te publiceren. Het is niet nodig en niet netjes om een bedrijf eerst aan de schandpaal te nagelen.
24-07-2014, 23:29 door Anoniem
Nou ik heb eens situatie gehad dat ik op het netwerk van een europese universiteit zat. Daarbij zaten er 3 exploits waardoor je root toegang had. Uitiendelijk voor gekozen om deze beveiligings lek niet te melden. Puur omdat de universiteit in ander land was dan ik. Het gaf me geen zekerheid om niet vervolgd te worden.

Je kan zeggen van je bent binnen gedrongen en je hebt data toegevoegd aan het apparaat. Dit is stafbaar. Mijn intentie is dat ze er van leren en dit oplossen.

Ik vraag me af of er een Europa wet kan komen om deze mensen te beschermen. Dat er een europese group komt die dit soort singalen krijgt van hackers en die toestemming vragen om verder te onderzoeken. Dit onderzoek wordt dan gedaan met vastgestelde protocolen. Waardoor deze europese group er voor kunnen kiezen om deze beveiligings fouten te kunnen melden en veel sterker kunnen staan juridisch.
25-07-2014, 00:00 door Anoniem
Door Anoniem: Ik kan me zo voorstellen dat zo'n melding vaak bij de verkeerde persoon / afdeling terechtkomt, waardoor het verkeerd wordt opgevat. Het wordt gezien als dreigement, waar men vervolgens de bedrijfsjuristen naar laat kijken. Door het ontbreken van technische kennis wordt het al snel als kwaadaardig bestempeld. Of het bedrijf ziet er meteen €€€ in.

Ik vind dat de vinder zoiets eerst hoort te melden bij het bedrijf, alvorens daarover te publiceren. Het is niet nodig en niet netjes om een bedrijf eerst aan de schandpaal te nagelen.
Maar waarom toch dat publiceren? Dat snap ik echt niet hoor, want wiens probleem is het nu? Gaat degene ook bij iedere auto kijken of alle lampen het doen en als de bestuurder een lamp niet snel vervangt dat ie dan het kenteken gaat twitteren of zo? Waar komt die bemoeizucht toch vandaan? Rapporteer hetgeen wat je hebt aangetroffen en laat het aan de eigenaar of beheerder over. Van mij mag iedere zogenaamde hacker de bak in als deze toch een lek publiceert omdat deze vindt dat er niets met zijn melding gedaan is.
25-07-2014, 12:58 door Anoniem
Door Anoniem: Maar waarom toch dat publiceren? Dat snap ik echt niet hoor, want wiens probleem is het nu?
Daar zijn vele redenen voor te verzinnen. Inclusief zelfgratificatie, laten zien hoe ge-wel-dig je wel niet bent als hakcur, met je hoedje. (Vergelijk het opvallende taal ge bruik van Anoniem 23:29 -- weet je gelijk wat'ie eigenlijk had moeten doen terwijl hij bezig was met dat te exploiteren gaten vinden op andermans netwerk.)

Maar als de ene zo'n lek kan vinden kan de ander dat ook, wellicht iemand met (nog) minder scrupules die de boel even leegtrekt en leuk verdient aan de "gevonden" data, wellicht ook nog aan het doorverkopen van het lek zelf. Dus is het toch wel handig om ieder gevonden lek alsnog te dichten. Als nou de partij die het kan en dus moet dichten geen gehoor geeft, dan is publiceren zeg maar het standaard machtsmiddel om resolutie te forceren.

Want we hebben het over twee problemen: Het eerste is het directe probleem van een lek dat gedicht moet worden. Het tweede probleem is dat het gaat over andermans data, en dat is een probleem van degenen over wie die data gaat, zegge van ons allemaal. Er is dus wel een morele grond om het (uiteindelijk) in het publiek te smijten.

Waarom zou je wachten tot iemand anders het lek ook vindt en er leuk aan verdient? Of je gooit het zelf publiek als publieksdienst, of je verdient er aan. Nu zie je ook waarom grote bedrijven als google toch maar wel in de buidel tasten voor gerapporteerde lekken.

Ook al is het een risicovolle ontwikkeling: Voor je het weet wordt een publiek toegankelijke dienst opzetten gewoon te duur voor kleine partijen, en houden we een paar grote partijen over die de hele markt beheersen. Weg innovatie.

En is het, alweer, weinig structureel, iets wat al jaren een groot probleem is in de computerbeveiligingsindustrie, die zich hiermee alleen maar meer gaat toeleggen op deze in essentie erg oppervlakkige aanpak.
25-07-2014, 13:13 door Anoniem
Ligt eraan, voornamelijk twee belangrijke kruispunten;

1. Is het een belangrijk publiek belang, bijvoorbeeld privacy van anderen burgers, en heb je in het kader van zo'n mogelijk belang wel alles gedaan om die privacy van die anderen te beschermen? Dus wil het bedrijf zelf niet luisteren, heb je het bij de politie en bv consumentenbond geprobeerd?

2. Is het een publieke techniek, dus bijvoorbeeld met apache webserver is dat een publieke techniek. Dat een bedrijf dat niet wil horen in HUN toepassing, wil niet zeggen dat talloze anderen niet een veel meer belangrijke toepassing hebben en het wél willen horen.

Bij deze twee valt of staat de mogelijkheid om lekken te onthullen, grondwettelijk naar onze eigen wet, dat veel advocaten dat niet begrijpen? Tja, we zien dat we nogal wat ruzie maken de laatste tijd over dingen die we allang hebben uitgevonden, zoals privacy, neem het die advocaten niet kwalijk, vaak zien ze door de bomen ZELF het bos niet meer en ipv dat toegeven wordt er maar wat onzin rondgesproeid.

Zie de twee punten hierboven, deze punten naar behoren uitgespeeld, jij kan je lek publiceren.

Niet over nagedacht, belangen uit het oog verloren en dat niet gedubbelchecked? Je bent verantwoordelijk, je bent volwassen, je kan blaten over lekken, moet je zelf dus NIET lek zijn op zulk een simpel vlak. Dat gaat vaak ook over andermans privacy, veel verder dan slechts de lekke organisatie, dus niet meteen gedachtenloos publiceren en dan mekkeren dat niet iedereen dat pikt. Er zijn veel meer mogelijkheden wél dan niet, overigens leer je die pas kennen als je vragen stelt. Moet je ook kunnen natuurlijk, snap ik wel!
30-07-2014, 21:16 door Anoniem
Vrij simpel: bij ons werden Pen testen uitgevoerd waarbij een lek werd gevonden bij een externe leverancier. Deze leverancier had applicaties ontwikkeld voor mijn bedrijf. Na het lek heeft de pen tester niet zijn verantwoordelijkheid genomen en de leverancier gewaarschuwd (wat hij had moeten doen) maar heeft het lek op een forum gepubliceerd.

hij kon zijn spreekwoordelijke doos inruimen en werd door 2 breedgeschouderde heren gelijk door naar buiten begeleid.

Korte versie: neem je verantwoordelijkheid; geef het aan bij het bedrijf waar je de kwetsbaarheid constateert maar realiseer je degelijk dat hacken strafbaar is. Heb je geen NDA dat had je daar uberhaupt niet mogen zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.