Onterechte huiszoekingen door blunders met IP-adressen in VK
De Britse politie heeft door blunders met IP-adressen onterecht huiszoekingen bij onschuldige mensen uitgevoerd, wat in één geval tot een onterechte arrestatie leidde. Ook werden door de fouten mensen van kinderporno verdacht die hier niets mee te maken hadden. In Groot-Brittannië zijn providers verplicht om metadata over gebruikers op te slaan. Overheidsinstanties kunnen deze gegevens bij de providers opvragen, waarna bijvoorbeeld de politie kan worden ingeschakeld.
Vorig jaar werd er bij het opvragen 17 keer een fout gemaakt, zo blijkt uit onderzoek (pdf) van de Interception of Communications Commissioner Sir Anthony May. In negen gevallen ging het om een menselijke fout. De overige acht werden aan technische systeemfouten toegeschreven. Bij één onderzoek wilde een overheidsinstantie het IP-adres achterhalen van de eigenaar van een e-mailadres, die bezig was om een jong meisje te "groomen".
Bij de aanvraag werd echter een underscore vergeten, waardoor de provider het IP-adres van een andere gebruiker teruggaf. Aan de hand van dit IP-adres werd vervolgens het adres van de gebruiker bepaald en vond er een huiszoeking plaats. Daarbij werd computermateriaal in beslag genomen en onderzocht. Tijdens het onderzoek bleek dat de gebruiker in kwestie onschuldig was en er bij het indienen van het dataverzoek een fout met het e-mailadres was gemaakt.
Tijdszone
Bij een ander onderzoek werd informatie over 104 IP-adressen gezocht die waren gebruikt om kinderporno te downloaden. Een medewerker van de overheidsinstantie die de adresgegevens die bij IP-adressen hoorden had opgevraagd, had een fout met de tijdszone gemaakt. Voor het opvragen van informatie over de IP-adressen werd de GMT-tijdszone gebruikt, ook al stond in het brondocument dat dit GMT -5 moest zijn. Daardoor zat er een verschil van vijf uur tussen de bedoelde en aangeleverde data. De eerste 14 adresgegevens werden vervolgens naar de politie gestuurd.
Op het moment dat de fout werd ontdekt bleek dat de politie al op 10 plekken huiszoekingen had uitgevoerd. Tijdens deze huiszoekingen werd belastend materiaal aangetroffen. De overheidsinstantie diende vervolgens opnieuw een verzoek in, dit keer met de juist tijdszone. Ten opzichte van het eerste foutieve verzoek bleek dat 91 IP-adressen hetzelfde resultaat teruggaven. Tien IP-adressen gaven echter een ander resultaat terug en in het geval van de drie resterende IP-adressen beschikte de betreffende provider niet meer over de gegevens. Volgens May werd er bij de tien onschuldige IP-adressen "gelukkig" geen huiszoeking uitgevoerd.
Technische fouten
Naast de menselijke fouten waren er ook meerdere gevallen van technische fouten. Zo was er bij één provider door een upgrade van het bedrijfssysteem een verkeerde koppeling tussen IP-adressen en klantgegevens ontstaan. Tijdens een onderzoek naar kinderporno werden hierdoor in drie gevallen de verkeerde adresgegevens aan de politie doorgeven. De klanten in kwestie hadden niets met het politieonderzoek te maken. Toch vonden er bij deze mensen huiszoekingen plaats en werd er één iemand ten onrechte gearresteerd.
May waarschuwt in het rapport dat de fouten "desastreuze gevolgen" voor de betrokkenen kunnen hebben. De meeste mensen die van de fouten de dupe werden hadden echter begrip voor de situatie. Een aantal anderen besloot juridische stappen te nemen. In het rapport doet May vijftien aanbevelingen om zowel menselijke als technische fouten te voorkomen. Zo moeten werknemers die met de aanvragen te maken krijgen de gevolgen van menselijke fouten beseffen en moeten providers hun systemen voor en na de uitrol van grote updates en upgrades testen.
Da's ook wel een heel makkelijke manier om je er van af te maken, niet? Waar mensen werken worden fouten gemaakt. Een piloot met een psychose, een wapenvergunning voor iemand met waanvoorstellingen en een verkeerde rubber ring in een raketmotor van de space shuttle.
Moeten we dan maar niks doen omdat het fout kan gaan en er onschuldigen achter de tralies belanden? Wees blij dat de fouten zijn ingezien en de overheid er over publiceert! Er zijn landen waar dezelfde fouten worden gemaakt, maar dan met opzet en je pas na 20 jaar hun lichamen ergens terugvindt...
Niemand het verhaal gelezen van Koeweit waar ze alle (!!) inwoners DNS willen laten afstaan in de strijd tegen terrorisme? Na een zelfmoordaanslag bleek dat volgens de overheid de enige manier - in een land waar meer mensen zonder dan met een rijbewijs rijden en de controle dus minimaal is...
http://www.nrc.nl/handelsblad/van/2015/juli/15/anti-terrorismemaatregel-in-koeweit-dna-van-alle-1517985
Iedereen mag mijn DNS weten:
DNS Servers . . . . . . . . . . . : 192.168.254.254
Op die manier wordt het wel heel eenvoudig om iemand het leven goed zuur te maken. Zorg dat je (op de een of andere manier, en zo moeilijk is dat niet) op iemands thuisnetwerk/thuiscomputer terecht komt, haal online wat rottigheid uit, en voila, de overheidsdiensten rukken uit alsof je je eigen knokploeg hebt gestuurd. En sure, daarna zal uiteindelijk (hopelijk) wel blijken dat die persoon er niks mee te maken had, maar er is dan al een hoop kwaad geschied.
Kans is groot dat je door zo'n foutje fijn al je apparatuur mag afstaan (waarin ze lekker kunnen grutten) en je dus een aantal weken/maanden niet je digitale leven kan leiden (of je erg moet behelpen) en er zijn ook voldoende voorbeelden waarbij er servers zijn ingenomen en het bedrijf op zijn gat ligt (tuurlijk, qua disaster prevention niet goed uitgedacht maar er zijn voldoende kleine zaakjes waarbij dat nu eenmaal zo is). Ook lijkt het me niet fijn dat ze dan ergens images van al je spullen hebben (fijn al je wachtwoorden veranderen na afloop en uiteraard alles opnieuw installeren want vertrouwen kan niet meer, zeker nu ze mogen hacken en malware mogen installeren). Verder lijkt het me dat er altijd wel iets te vinden is op een apparaat dat niet helemaal koosjer is (al neem ik aan dat ze je niet mogen en kunnen vervolgen als ze een mp3'tje o.i.d. vinden terwijl ze naar iets anders zochten).
Zijn er statistieken over de duur van dit soort onderzoeken en de tijd dat je je spullen kwijt bent?
Jawel hoor: http://www.bbc.com/news/10278173 en in dit geval is de onschuld door een overduidelijke fout van de politie niet iets wat de beschuldigde hoeft aan te tonen.
Op die manier wordt het wel heel eenvoudig om iemand het leven goed zuur te maken. Zorg dat je (op de een of andere manier, en zo moeilijk is dat niet) op iemands thuisnetwerk/thuiscomputer terecht komt, haal online wat rottigheid uit, en voila, de overheidsdiensten rukken uit alsof je je eigen knokploeg hebt gestuurd. En sure, daarna zal uiteindelijk (hopelijk) wel blijken dat die persoon er niks mee te maken had, maar er is dan al een hoop kwaad geschied.
Ook een heel flauw geintje om iemand eens flink te narren.
Jawel hoor: http://www.bbc.com/news/10278173 en in dit geval is de onschuld door een overduidelijke fout van de politie niet iets wat de beschuldigde hoeft aan te tonen.
De beschuldigde in dit geval een advocaat, heeft in de rechtszaal moeten aantonen onschuldig te zijn.
Na dit vonnis kon ze eisen dat vinger afdrukken en DNA profiel verwijderd zouden worden.
Of dit ook ook werkelijk gebeurd is valt niet te controleren.
voor het zelfde geld is na een ¨storing¨ een back-up terug gezet, zodat ze nog steeds geregistreerd staat.
Toen moest ze dus een hoop moeite doen, advocaat inhuren et cetera, om alleen maar zichzelf uit de database te krijgen. Je baan krijg je er niet mee terug. En dan vindt ze zichzelf "nog een van de gelukkigen".
Het trieste is: Die typering is accuraat. Dat maakt zo'n database direct extreem kostbaar voor degenen die er inzitten. En er zitten best wel enorm veel onschuldigen in die database.
http://www.theregister.co.uk/Print/2009/08/20/acpo_dna_guidelines/ en verdere links in dat artikel. Elders op die site een handleiding hoe je jezelf eruit krijgt. Spoiler: Het is niet eenvoudig. Heel toevallig.
Saillant detail: De ACPO is een private organisatie, die toch allerlei "richtlijnen" opstelt die vervolgens door politie opgevolgd worden.
Da's ook wel een heel makkelijke manier om je er van af te maken, niet?
Het tegendeel is net zo waar.
Wordt je nou zelf nooit eens moe van deze stroom aan nietzeggende open deuren oneliner bijdragen?
Ik wel.
Da's ook wel een heel makkelijke manier om je er van af te maken, niet? Waar mensen werken worden fouten gemaakt. Een piloot met een psychose, een wapenvergunning voor iemand met waanvoorstellingen en een verkeerde rubber ring in een raketmotor van de space shuttle.
Moeten we dan maar niks doen omdat het fout kan gaan en er onschuldigen achter de tralies belanden? Wees blij dat de fouten zijn ingezien en de overheid er over publiceert! Er zijn landen waar dezelfde fouten worden gemaakt, maar dan met opzet en je pas na 20 jaar hun lichamen ergens terugvindt...
Niemand het verhaal gelezen van Koeweit waar ze alle (!!) inwoners DNS willen laten afstaan in de strijd tegen terrorisme? Na een zelfmoordaanslag bleek dat volgens de overheid de enige manier - in een land waar meer mensen zonder dan met een rijbewijs rijden en de controle dus minimaal is...
http://www.nrc.nl/handelsblad/van/2015/juli/15/anti-terrorismemaatregel-in-koeweit-dna-van-alle-1517985
Met alle respect, dat is een beetje te kort door de bocht. Ja, mensen maken fouten. Echter, naarmate de gevolgschade van de fouten groter wordt en de organisatie de middelen heeft, mag je twee dingen verwachten.
De eerste is dat er een bepaalde fail-safe is. Met name de referentie die je doet aan de lekkende afdichtring van Challenger is een schoolvoorbeeld waar dat mis ging. Als je al enige jaren een verband constateert tussen kouder weer en schade aan een afdichtring die geen backup heeft. Als vervolgens op de avond voor een lancering die 10 graden kouder is dan wat je ooit hebt meegemaakt het hele onderzoeksteam van dat probleem verklaart dat een lancering niet veilig is. En als je dan met hyperbolen druk gaat zetten op het management om toch ja te zeggen... Dan is er iets goed mis met de fail-safe.
Het tweede aspect is herstel. Goed, dit is gebeurd. De fail-safe heeft niet gewerkt. En nu? De enige ethische uitkomst is dat in ieder geval in reputatie en materiële zin er voor gezorgd wordt dat er geen schade overblijft. Emotioneel is dat misschien niet haalbaar, daar zal dan vergoeding tegenover moeten staan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
