Mag een internetprovider klanten zonder toestemming scannen op een bekende kwetsbaarheid?
woensdag 25 augustus 2021, 10:05 door Arnoud Engelfriet, 18 reacties
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Wij zijn een ISP die honderden bedrijven heeft ontsloten. We weten van een kwetsbaarheid in Exchange die we kunnen scannen en detecteren. Mogen wij onze eigen klanten nu hierop scannen, ondanks dat ze geen toestemming hebben gegeven en bij ons geen dienst van softwarebeheer afnemen?
Antwoord: Ik heb al een aantal keer gepubliceerd over scannen op veiligheidslekken, waarbij dan het hele internet wordt gescand. Je zou zeggen dat dat dus ook moet kunnen voor het kleinere deel van internet dat jouw klant is. Zeker als het gaat om actuele lekken zoals (denk ik) de recente ProxyShell-lekken.
Toch zou ik het afraden om als internettoegangsprovider of hostingprovider ongevraagd en zonder overleg je klanten te scannen. Je zit namelijk in een iets andere positie dan een partij die internet scant vanuit de motivatie het publiek te willen waarschuwen. Je hebt een contractuele relatie met die klanten, en dat brengt een aantal verantwoordelijkheden met zich mee.
Anders gezegd: je hebt een zorgplicht naar je klanten toe, en dat betekent extra zorgvuldigheid in hoe je met hun systemen omgaat. Ook hoort daarbij dat je vertrouwelijkheid in acht neemt en extra oplet dat je niets stukmaakt.
Tegelijk kan ik me voorstellen dat je juist bij gaten met grote impact expliciet wél wil handelen. Dat kun je vanuit diezelfde zorgplicht juist heel goed rechtvaardigen. En als je als provider kwalificeert als een "aanbieder van een openbare elektronische communicatiedienst" (wat de term ISP impliceert) dan moet je zelfs vanuit de wet (art. 11.2 Telecomwet) zorgen voor een goede beveiliging van je netwerk. Dat is natuurlijk dan afhankelijk van de beveiliging van je klanten, dus meekijken of waarschuwen is dan zelfs met enige goede wil je wettelijke plicht te noemen.
Alleen: voor mij blijft overeind staan dat je dit moet aankondigen, en ik denk zelfs ook laten accorderen. Dat kun je natuurlijk prima automatiseren, denk aan een regeling in je algemene voorwaarden met wat uitleg in de SLA (of op je site, zoals in de FAQ) en een bezwaarmogelijkheid voor klanten die hier niet op zitten te wachten.
Wel zou ik dan eerst de vraag beantwoord willen wat je zou doen met de scanresultaten. Ga je dat gewoon naar het contactadres van de klant mailen? En wat doe je dan als die niet reageert (of hooguit "eh, oké bedankt") en de kwetsbaarheid blijft bestaan? Je kunt namelijk klanten niet gaan afsluiten als ze een kwetsbaar systeem hebben, tenzij je daar héle duidelijke afspraken over hebt. Of ga je de klant aanbieden het voor ze te repareren? Dat zullen ze niet willen, dan hadden ze wel een supportcontract afgenomen.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (18)
Ik weet niet of dit een reactie is die puur gebaseerd is op de wet en Arnoud's interpretatie ervan, en dat die interpretatie
wellicht kan verschillen bij een rechter of bij andere bedrijven, maar wel wil ik er op wijzen dat "controleren of er
kwetsbaarheden zijn" en "zomaar klanten afsluiten als ze een kwetsbaar systeem hebben" een heel gebruikelijke
manier van handelen is bij Nederlandse ISP's.
Hierbij wordt dan inderdaad de "veiligheid van het netwerk" als argument gehanteerd, wellicht intern ook gemotiveerd
met "onze reputatie als ISP". Je kunt als ISP een slechte naam krijgen als je alles maar laat rotten, en een dergelijke
policy (en het handelen ernaar) kan zeker dienen om dat te voorkomen.
Natuurlijk is het hardstikke l*llig als je zomaar ineens wordt afgesloten, en het komt zeker ook voor dat de impact van
het afsluiten veel groter is dan die van het geconstateerde probleem, waarna klanten heel boos worden enzo.
Maar ik heb nog nooit gehoord van een rechtzaak waarbij een klant tegen deze afsluiting in ging en dat dan ook won.
Wellicht staat er in de standaard voorwaarden van de ISP's wel wat vermeld over dit handelen.
Er wordt vaak gewerkt met allerlei canaries zoals "klant doet een DNS lookup van dit domein wat een botnet server is"
of "klant gaat als een gek uitgaande SMTP sessies opzetten". Actief scannen van klanten wordt denk ik minder gedaan
maar zou ook kunnen.
wellicht kan verschillen bij een rechter of bij andere bedrijven, maar wel wil ik er op wijzen dat "controleren of er
kwetsbaarheden zijn" en "zomaar klanten afsluiten als ze een kwetsbaar systeem hebben" een heel gebruikelijke
manier van handelen is bij Nederlandse ISP's.
Hierbij wordt dan inderdaad de "veiligheid van het netwerk" als argument gehanteerd, wellicht intern ook gemotiveerd
met "onze reputatie als ISP". Je kunt als ISP een slechte naam krijgen als je alles maar laat rotten, en een dergelijke
policy (en het handelen ernaar) kan zeker dienen om dat te voorkomen.
Natuurlijk is het hardstikke l*llig als je zomaar ineens wordt afgesloten, en het komt zeker ook voor dat de impact van
het afsluiten veel groter is dan die van het geconstateerde probleem, waarna klanten heel boos worden enzo.
Maar ik heb nog nooit gehoord van een rechtzaak waarbij een klant tegen deze afsluiting in ging en dat dan ook won.
Wellicht staat er in de standaard voorwaarden van de ISP's wel wat vermeld over dit handelen.
Er wordt vaak gewerkt met allerlei canaries zoals "klant doet een DNS lookup van dit domein wat een botnet server is"
of "klant gaat als een gek uitgaande SMTP sessies opzetten". Actief scannen van klanten wordt denk ik minder gedaan
maar zou ook kunnen.
Als je dit ongevraagd wilt doen, dan kun je er toch geen geld mee verdienen.
Bied je klanten dit aan als gratis dienst. Zie het als marketing en klantenbinding.
Zo moeten ze toestemming geven voordat jij iets doet en heb je toch aan je zorgplicht voldaan.
Bied je klanten dit aan als gratis dienst. Zie het als marketing en klantenbinding.
Zo moeten ze toestemming geven voordat jij iets doet en heb je toch aan je zorgplicht voldaan.
Hele goede vraag +10.
(andere situatie->) Anderzijds weet ik wel dat xs4all vroeger mensen waarschuwden als er rara datastromen waren van hun devices.
(andere situatie->) Anderzijds weet ik wel dat xs4all vroeger mensen waarschuwden als er rara datastromen waren van hun devices.
ja dat doe mijn provider ziggo.nl.....all en dat merkte je steeds opnieuw je wachtwoord in moeten voeren 2a3 per week
bij mijn APP ZIGGO GO....en ook uitval van je internet....
ik word er niet goed van....ik heeft all paar keer een klacht ingediend dat ze eens moeten stoppen met dat netwerk te scannen
van daar dat ik nu klachten heeft
bij mijn APP ZIGGO GO....en ook uitval van je internet....
ik word er niet goed van....ik heeft all paar keer een klacht ingediend dat ze eens moeten stoppen met dat netwerk te scannen
van daar dat ik nu klachten heeft
Ongeacht of het volgens de letter van de wet mag; als klant zou ik enkel blij zijn met een oplettende ISP die mij waarschuwt.
Door Anoniem: Als je dit ongevraagd wilt doen, dan kun je er toch geen geld mee verdienen.
Indirect verdienen ze er wel aan. Als een van de klanten van deze ISP door ransomware geraakt wordt en kopje onder gaat, zijn ze hun klant kwijt. Als er malware op een systeem terecht komt die vervolgens gebruikt wordt voor het uitvoeren van een (D)DoS aanval, gaat dat tenkoste van hun bandbreedte. De ISP hoeft er dus niet direct geld voor te vragen om er zelf voordeel bij te hebben. De vraag is alleen hoe je dit alles kan quantificeren om te bepalen of het het geld waard zou zijn.Door Anoniem:
Nee een ISP verdient hier niet aan. Het maakt echter minder verlies erdoor als er iets gebeurd op een IP die hun leasen.Door Anoniem: Als je dit ongevraagd wilt doen, dan kun je er toch geen geld mee verdienen.
Indirect verdienen ze er wel aan. Als een van de klanten van deze ISP door ransomware geraakt wordt en kopje onder gaat, zijn ze hun klant kwijt. Als er malware op een systeem terecht komt die vervolgens gebruikt wordt voor het uitvoeren van een (D)DoS aanval, gaat dat tenkoste van hun bandbreedte. De ISP hoeft er dus niet direct geld voor te vragen om er zelf voordeel bij te hebben. De vraag is alleen hoe je dit alles kan quantificeren om te bepalen of het het geld waard zou zijn.Bandbreedte is zelden een issue als het om een aanval vanaf een derde partij gaat die vervolgens jouw netwerk ervoor gebruikt. Die heb je zo afgesloten van je netwerk waarna je kan besluiten of een belletje te doen of een brief te sturen met wat ze moeten doen om er weer op te mogen. Een DDOS naar je toe is een ander verhaal maar heeft niks met dit verhaal te maken dan gaan we spreken over de DDOS scrubbing capaciteit en andere zaken.
Wat echter wel tonnen kost per jaar is IP reputatie management. Het voorkomen dat je IP's / ASN's geregistreerd raken bij blacklist operators als Spamhaus als een SBL of erger XBL vermelding. En uiteraard kun je Spamhaus vervangen met soortgelijke diensten Abusix, Barracuda etc.
Want dat betekend dat ineens alle klanten in die IP ranges niet of slecht nog kunnen mailen naar het gros van de ontvangers. En in paar minuten je supportdesk overloopt met vragen omtrent bounce meldingen en daardoor via bouncerate threshold de rest meestal in een mail queue komt onder het mom van defered mailing. (leuk voor je logs)
Vervolgens ben je uren (als je geluk hebt) en soms dagen bezig om te bewijzen naar blacklist operators dat je netwerk clean is of was en dat de melding verwijderd dient te worden. Daarna nog paar uur voor de rest van de caching eruit is en je dienst is hersteld en dan mag je alle getroffen klanten weer op de hoogte brengen.
Uiteraard kun je je klanten daar niet op laten wachten dus je trekt een deel van je clusters er uit en reroute je verkeer wat betekend dat je resource management weer extra veel werk in beslag neemt je DNS tijdelijk een grotere puinhoop is en je ook gewoon extra kosten maakt want dit soort dingen gaan nou eenmaal niet 100% automatisch. En het is niet simpelweg een kwestie van even nieuwe server inrichten en IP registreren want een compleet nieuwe IP heeft weer geen opgebouwde reputatie en daar kan je dus ook weinig mee tot je paar (honderd) duizend mails erdoor hebt gejaagd voor artificial ip-warming verspreid over een periode van meerdere dagen of zelfs weken.
In de praktijk zorg je dat bijvoorbeeld 10% extra server capaciteit op deze wijze standby draait zodat je meteen kan omschakelen onder het mom van ingecalculeerd risico. Maar je zult hoe dan ook schade ontwikkelen de vraag is voor hoelang. En die totaal kosten van enige schade voor zo hele operatie kun je zelden verhalen op de veroorzaker.
Als je al kosten verhaalt dan is het peanuts vergeleken bij de werkelijk geleden schade en vaak niet interesant om daar veel moeite voor te gaan doen. Is de klant weinig rendabel dan zeg je het contract op. Is de klant rendabel dan maak je afspraken om volgende situatie te voorkomen en zet in interne klanten bestand een flag van incident.
Dus ja als ISP, MSP of een Hosting provider doe je er goed aan ongein te voorkomen en in het contract de mogelijkheid tot actief scannen onder andere te benoemen.
Door Anoniem: Ongeacht of het volgens de letter van de wet mag; als klant zou ik enkel blij zijn met een oplettende ISP die mij waarschuwt.
Dat was ik zeker (hier de klant van xs4all). Het bleek toen een app te zijn. Factory reset en alles weer ok. Superservice van xs4all.
25-08-2021, 22:04 door
Ron625
De vraag was
Je mag alle huizen, auto's, e.d. controleren, of de deuren op slot zitten.
Je mag echter een deur niet openen en al helemaal niet naar binnen gaan.
Zo zie ik het................
Mogen wij onze eigen klanten nu hierop scannen, ondanks dat ze geen toestemming hebben gegeven en bij ons geen dienst van softwarebeheer afnemen?
Een vergelijking met de straat:Je mag alle huizen, auto's, e.d. controleren, of de deuren op slot zitten.
Je mag echter een deur niet openen en al helemaal niet naar binnen gaan.
Zo zie ik het................
Door Ron625: De vraag was
Je mag alle huizen, auto's, e.d. controleren, of de deuren op slot zitten.
Je mag echter een deur niet openen en al helemaal niet naar binnen gaan.
Zo zie ik het................
Mogen wij onze eigen klanten nu hierop scannen, ondanks dat ze geen toestemming hebben gegeven en bij ons geen dienst van softwarebeheer afnemen?
Een vergelijking met de straat:Je mag alle huizen, auto's, e.d. controleren, of de deuren op slot zitten.
Je mag echter een deur niet openen en al helemaal niet naar binnen gaan.
Zo zie ik het................
Eh... Nee, je mag niet alle huizen controleren. Je mag bijvoorbeeld niet iemands voortuin inlopen om te controleren of "het raam wel dicht zit" (en ondertussen door dat raam naar binnen kijken of er tussen het spleetje van de gordijnen door misschien wat leuks te zien is).
Als een politie-agent een redelijke verdenking heeft dat er iets niet in orde is met een bepaald huis, dan mag die wel de voortuin inlopen om e.e.a. te controleren. Maar niet iedereen is een politie-agent (ook al denken sommige mensen van wel, omdat ze fanboy zijn van DDR-films waarin "loyale" burgers zelfs hun eigen ouders verraden aan de Stasi).
26-08-2021, 13:30 door
Ron625
Door Anoniem:Je mag bijvoorbeeld niet iemands voortuin inlopen om te controleren of
Daar heb je gelijk in, maar de tuin inlopen zie ik als naar binnen gaan.Bij voordeuren is het moeilijk, maar bij een auto is het simpel optisch te controleren.
Door Ron625:
Bij voordeuren is het moeilijk, maar bij een auto is het simpel optisch te controleren.
Door Anoniem:Je mag bijvoorbeeld niet iemands voortuin inlopen om te controleren of
Daar heb je gelijk in, maar de tuin inlopen zie ik als naar binnen gaan.Bij voordeuren is het moeilijk, maar bij een auto is het simpel optisch te controleren.
Ik snap je punt. Maar nu veranderen we het voorbeeld nog een beetje. Stel dat het raam met bijna geheel gesloten gordijnen direct aan de straat is. Mag ja dan vanaf het openbare trottoir "checken of het raam dicht is" en daarbij door het spleetje tussen de gordijnen door naar binnen gluren?
We maken het voorbeeld nog een beetje erger. Stel bijvoorbeeld dat je op geheel subjectieve gronden (d.w.z. je eigen fantasie) op het idee komt dat er achter die gordijnen misschien wel kindermisbruik plaatsvindt. Mag je dan vanaf het openbare trottoir door dat gordijnspleetje kijken om "optisch te controleren" of de bewoners van dat huis niks fout doen?
Ik weet niet hoe dat juridisch zit. Maar ik ben in ieder geval benieuwd naar jouw antwoord.
Door Anoniem:
Bandbreedte is zelden een issue als het om een aanval vanaf een derde partij gaat die vervolgens jouw netwerk ervoor gebruikt. Die heb je zo afgesloten van je netwerk waarna je kan besluiten of een belletje te doen of een brief te sturen met wat ze moeten doen om er weer op te mogen. Een DDOS naar je toe is een ander verhaal maar heeft niks met dit verhaal te maken dan gaan we spreken over de DDOS scrubbing capaciteit en andere zaken.
Wat echter wel tonnen kost per jaar is IP reputatie management. Het voorkomen dat je IP's / ASN's geregistreerd raken bij blacklist operators als Spamhaus als een SBL of erger XBL vermelding. En uiteraard kun je Spamhaus vervangen met soortgelijke diensten Abusix, Barracuda etc.
Want dat betekend dat ineens alle klanten in die IP ranges niet of slecht nog kunnen mailen naar het gros van de ontvangers. En in paar minuten je supportdesk overloopt met vragen omtrent bounce meldingen en daardoor via bouncerate threshold de rest meestal in een mail queue komt onder het mom van defered mailing. (leuk voor je logs)
Vervolgens ben je uren (als je geluk hebt) en soms dagen bezig om te bewijzen naar blacklist operators dat je netwerk clean is of was en dat de melding verwijderd dient te worden. Daarna nog paar uur voor de rest van de caching eruit is en je dienst is hersteld en dan mag je alle getroffen klanten weer op de hoogte brengen.
Uiteraard kun je je klanten daar niet op laten wachten dus je trekt een deel van je clusters er uit en reroute je verkeer wat betekend dat je resource management weer extra veel werk in beslag neemt je DNS tijdelijk een grotere puinhoop is en je ook gewoon extra kosten maakt want dit soort dingen gaan nou eenmaal niet 100% automatisch. En het is niet simpelweg een kwestie van even nieuwe server inrichten en IP registreren want een compleet nieuwe IP heeft weer geen opgebouwde reputatie en daar kan je dus ook weinig mee tot je paar (honderd) duizend mails erdoor hebt gejaagd voor artificial ip-warming verspreid over een periode van meerdere dagen of zelfs weken.
In de praktijk zorg je dat bijvoorbeeld 10% extra server capaciteit op deze wijze standby draait zodat je meteen kan omschakelen onder het mom van ingecalculeerd risico. Maar je zult hoe dan ook schade ontwikkelen de vraag is voor hoelang. En die totaal kosten van enige schade voor zo hele operatie kun je zelden verhalen op de veroorzaker.
Als je al kosten verhaalt dan is het peanuts vergeleken bij de werkelijk geleden schade en vaak niet interesant om daar veel moeite voor te gaan doen. Is de klant weinig rendabel dan zeg je het contract op. Is de klant rendabel dan maak je afspraken om volgende situatie te voorkomen en zet in interne klanten bestand een flag van incident.
Dus ja als ISP, MSP of een Hosting provider doe je er goed aan ongein te voorkomen en in het contract de mogelijkheid tot actief scannen onder andere te benoemen.
Goed punt!Door Anoniem:
Nee een ISP verdient hier niet aan. Het maakt echter minder verlies erdoor als er iets gebeurd op een IP die hun leasen.Door Anoniem: Als je dit ongevraagd wilt doen, dan kun je er toch geen geld mee verdienen.
Indirect verdienen ze er wel aan. Als een van de klanten van deze ISP door ransomware geraakt wordt en kopje onder gaat, zijn ze hun klant kwijt. Als er malware op een systeem terecht komt die vervolgens gebruikt wordt voor het uitvoeren van een (D)DoS aanval, gaat dat tenkoste van hun bandbreedte. De ISP hoeft er dus niet direct geld voor te vragen om er zelf voordeel bij te hebben. De vraag is alleen hoe je dit alles kan quantificeren om te bepalen of het het geld waard zou zijn.Bandbreedte is zelden een issue als het om een aanval vanaf een derde partij gaat die vervolgens jouw netwerk ervoor gebruikt. Die heb je zo afgesloten van je netwerk waarna je kan besluiten of een belletje te doen of een brief te sturen met wat ze moeten doen om er weer op te mogen. Een DDOS naar je toe is een ander verhaal maar heeft niks met dit verhaal te maken dan gaan we spreken over de DDOS scrubbing capaciteit en andere zaken.
Wat echter wel tonnen kost per jaar is IP reputatie management. Het voorkomen dat je IP's / ASN's geregistreerd raken bij blacklist operators als Spamhaus als een SBL of erger XBL vermelding. En uiteraard kun je Spamhaus vervangen met soortgelijke diensten Abusix, Barracuda etc.
Want dat betekend dat ineens alle klanten in die IP ranges niet of slecht nog kunnen mailen naar het gros van de ontvangers. En in paar minuten je supportdesk overloopt met vragen omtrent bounce meldingen en daardoor via bouncerate threshold de rest meestal in een mail queue komt onder het mom van defered mailing. (leuk voor je logs)
Vervolgens ben je uren (als je geluk hebt) en soms dagen bezig om te bewijzen naar blacklist operators dat je netwerk clean is of was en dat de melding verwijderd dient te worden. Daarna nog paar uur voor de rest van de caching eruit is en je dienst is hersteld en dan mag je alle getroffen klanten weer op de hoogte brengen.
Uiteraard kun je je klanten daar niet op laten wachten dus je trekt een deel van je clusters er uit en reroute je verkeer wat betekend dat je resource management weer extra veel werk in beslag neemt je DNS tijdelijk een grotere puinhoop is en je ook gewoon extra kosten maakt want dit soort dingen gaan nou eenmaal niet 100% automatisch. En het is niet simpelweg een kwestie van even nieuwe server inrichten en IP registreren want een compleet nieuwe IP heeft weer geen opgebouwde reputatie en daar kan je dus ook weinig mee tot je paar (honderd) duizend mails erdoor hebt gejaagd voor artificial ip-warming verspreid over een periode van meerdere dagen of zelfs weken.
In de praktijk zorg je dat bijvoorbeeld 10% extra server capaciteit op deze wijze standby draait zodat je meteen kan omschakelen onder het mom van ingecalculeerd risico. Maar je zult hoe dan ook schade ontwikkelen de vraag is voor hoelang. En die totaal kosten van enige schade voor zo hele operatie kun je zelden verhalen op de veroorzaker.
Als je al kosten verhaalt dan is het peanuts vergeleken bij de werkelijk geleden schade en vaak niet interesant om daar veel moeite voor te gaan doen. Is de klant weinig rendabel dan zeg je het contract op. Is de klant rendabel dan maak je afspraken om volgende situatie te voorkomen en zet in interne klanten bestand een flag van incident.
Dus ja als ISP, MSP of een Hosting provider doe je er goed aan ongein te voorkomen en in het contract de mogelijkheid tot actief scannen onder andere te benoemen.
Maar dan hoor je als ISP in je contractvoorwaarden op te nemen dat als de klant gebruik maakt van 'jouw' IP reeksen, jij scanning doet en maatregelen neemt om de reputatie van jouw IP reeksen te beschermen. Een klant die dat niet wil, moet dan zelf voor eigen IP adressen zorgen.
27-08-2021, 10:15 door
Ron625
Door Anoniem:
Ik weet niet hoe dat juridisch zit. Maar ik ben in ieder geval benieuwd naar jouw antwoord.
Ook ik ben geen jurist :-)Ik weet niet hoe dat juridisch zit. Maar ik ben in ieder geval benieuwd naar jouw antwoord.
Normaal gesproken is het naar binnen gluren door een speet in de gordijnen niet netjes en je hoort het niet te doen.
Komen er geluiden naar buiten, waardoor het vermoeden van een misdrijf ontstaat, dan zou ik het toch doen.
Zodra je kennis hebt van een misdrijf, ben je verplicht aangifte te doen, je moet het dus wel zeker weten........
Verwar een misdrijf niet met een overtreding, dat zijn verschillende dingen.
Waar ik op doelde in het eerste bericht, is het volgende:
Regelmatig doe ik een poortscan, om te kijken of er mensen zijn die een eigen webserver hosten.
Wanneer ik er één gevonden heb, dan kijk ik, of er een wachtwoord op zit, of dat het een openbare website is.
Door Ron625: Waar ik op doelde in het eerste bericht, is het volgende:
Regelmatig doe ik een poortscan, om te kijken of er mensen zijn die een eigen webserver hosten.
Wanneer ik er één gevonden heb, dan kijk ik, of er een wachtwoord op zit, of dat het een openbare website is.
Regelmatig doe ik een poortscan, om te kijken of er mensen zijn die een eigen webserver hosten.
Wanneer ik er één gevonden heb, dan kijk ik, of er een wachtwoord op zit, of dat het een openbare website is.
Oké. Mijn volgende vraag zou dan zijn: is het nodig om te checken of er een wachtwoord op zit om erachter te kunnen komen of het een openbare website is? Of kun je eigenlijk al zonder die check zien of het een openbare website is of niet?
Als een wachtwoord-check niet nodig is om te zien met wat voor site je te maken hebt (openbaar / niet openbaar), dan lijkt zo'n wachtwoord-check me vergelijkbaar met het duwen op een deur van een privé-woning om te kijken of die misschien opengaat, ook al weet je dat het een privé-woning is waar je niet bent uitgenodigd. Dat is een onnodige inbreuk, en dat vind ik niet netjes. De volgende vraag is dan of het ook een inbreuk is doordat het een verwerking van persoonsgegevens behelst (namelijk registratie of er een wachtwoord is of niet). Zo'n inbreuk zou in dat geval niet gerechtvaardigd zijn.
Nu weet ik wel dat het, vooral vroeger, op sommige plekken (met name op het platteland) gebruikelijk was dat achterdeuren van huizen/boerderijen open stonden en dat bezoekers of sommige leveranciers gewoon naar binnen gingen, bijvoorbeeld om iets in de keuken neer te zetten. Maar dat was gebaseerd op het feit (en de verwachting) dat men elkaar in zo'n dorp (of soms stadsbuurt) kende. Er was een gedeelde norm dat je dat mocht doen. Op het internet kun je daar niet van uitgaan.
Door Anoniem: Hele goede vraag +10.
(andere situatie->) Anderzijds weet ik wel dat xs4all vroeger mensen waarschuwden als er rara datastromen waren van hun devices.
(andere situatie->) Anderzijds weet ik wel dat xs4all vroeger mensen waarschuwden als er rara datastromen waren van hun devices.
Erger nog. Ze knikkerde je gewoon van het internet. Meer dan eens meegemaakt bij diverse onderwijsinstellingen. Ik zal je de details besparen, maar dat waren geen leuke gesprekken.
Door Anoniem: ja dat doe mijn provider ziggo.nl.....all en dat merkte je steeds opnieuw je wachtwoord in moeten voeren 2a3 per week
bij mijn APP ZIGGO GO....en ook uitval van je internet....
ik word er niet goed van....ik heeft all paar keer een klacht ingediend dat ze eens moeten stoppen met dat netwerk te scannen
van daar dat ik nu klachten heeft
bij mijn APP ZIGGO GO....en ook uitval van je internet....
ik word er niet goed van....ik heeft all paar keer een klacht ingediend dat ze eens moeten stoppen met dat netwerk te scannen
van daar dat ik nu klachten heeft
Sorry maar dat heeft echt 0,0 met scannen te maken. Een scan maken doe je bijvoorbeeld met wireshark. Daarmee kun je prima zien wat er allemaal over je netwerk gaat. Dat staat los van jouw ziggo op wachtwoord. Dat kan te maken hebben met het updaten van de app of de cookies die een beperkte levensduur hebben. Dit kan ook aan de server kant geregeld worden waarbij de applicatie gewoon afdwingt dat je elke 2 weken je wachtwoord opnieuw moet invoeren. Echt het heeft niets met een netwerk scan te maken
18-09-2021, 15:38 door
botbot
Door Anoniem: Ik weet niet of dit een reactie is die puur gebaseerd is op de wet en Arnoud's interpretatie ervan, en dat die interpretatie
wellicht kan verschillen bij een rechter of bij andere bedrijven, maar wel wil ik er op wijzen dat "controleren of er
kwetsbaarheden zijn" en "zomaar klanten afsluiten als ze een kwetsbaar systeem hebben" een heel gebruikelijke
manier van handelen is bij Nederlandse ISP's.
Hierbij wordt dan inderdaad de "veiligheid van het netwerk" als argument gehanteerd, wellicht intern ook gemotiveerd
met "onze reputatie als ISP". Je kunt als ISP een slechte naam krijgen als je alles maar laat rotten, en een dergelijke
policy (en het handelen ernaar) kan zeker dienen om dat te voorkomen.
Natuurlijk is het hardstikke l*llig als je zomaar ineens wordt afgesloten, en het komt zeker ook voor dat de impact van
het afsluiten veel groter is dan die van het geconstateerde probleem, waarna klanten heel boos worden enzo.
Maar ik heb nog nooit gehoord van een rechtzaak waarbij een klant tegen deze afsluiting in ging en dat dan ook won.
Wellicht staat er in de standaard voorwaarden van de ISP's wel wat vermeld over dit handelen.
Er wordt vaak gewerkt met allerlei canaries zoals "klant doet een DNS lookup van dit domein wat een botnet server is"
of "klant gaat als een gek uitgaande SMTP sessies opzetten". Actief scannen van klanten wordt denk ik minder gedaan
maar zou ook kunnen.
wellicht kan verschillen bij een rechter of bij andere bedrijven, maar wel wil ik er op wijzen dat "controleren of er
kwetsbaarheden zijn" en "zomaar klanten afsluiten als ze een kwetsbaar systeem hebben" een heel gebruikelijke
manier van handelen is bij Nederlandse ISP's.
Hierbij wordt dan inderdaad de "veiligheid van het netwerk" als argument gehanteerd, wellicht intern ook gemotiveerd
met "onze reputatie als ISP". Je kunt als ISP een slechte naam krijgen als je alles maar laat rotten, en een dergelijke
policy (en het handelen ernaar) kan zeker dienen om dat te voorkomen.
Natuurlijk is het hardstikke l*llig als je zomaar ineens wordt afgesloten, en het komt zeker ook voor dat de impact van
het afsluiten veel groter is dan die van het geconstateerde probleem, waarna klanten heel boos worden enzo.
Maar ik heb nog nooit gehoord van een rechtzaak waarbij een klant tegen deze afsluiting in ging en dat dan ook won.
Wellicht staat er in de standaard voorwaarden van de ISP's wel wat vermeld over dit handelen.
Er wordt vaak gewerkt met allerlei canaries zoals "klant doet een DNS lookup van dit domein wat een botnet server is"
of "klant gaat als een gek uitgaande SMTP sessies opzetten". Actief scannen van klanten wordt denk ik minder gedaan
maar zou ook kunnen.
Ik heb gewerkt bij een hostingprovider. Daar werd ook gecheckt of hun site publiekelijk toegankelijke beveiligingslekken had. De klant werd dan gewaarschuwd. Waren ze uitsluitend blij mee. Dat gingen ze dan zelf fixen, of lieten dat doen. Whatever.
Deden ze het niet. Ok dan niet. Maar zodra een klant gehacked werd, werd de situatie wat anders. De klant zelf is de lul want al zijn gegevens liggen op straat.
Maar zeker als hierdoor meerdere andere klanten hinder gingen ondervinden. En een lek in een Exchange Server, betekend in de regel dat de betreffende server als spambot gebruikt gaat worden. En dan verschenen er ineens 6,5 miljoen mailtjes in de uitgaande mailserver, waardoor andere 50k klanten dus niet meer effectief konden mailen. De site van de gehackte klant werd dan zonder pardon gewoon uitgezet. Net mailtje naar de klant over hoe en waarom, hoe ze het waarschijnlijk konden fixen, en welke verdere stappen ze allemaal moesten nemen.
In de regel werd ook op het afsluiten nog goed gereageerd.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
