Juridische vraag: Mag Full-disclosure?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem dan aan ICT-jurist Arnoud Engelfriet en maak kans op zijn boek "De wet op internet". Arnoud is van alle markten thuis, maar vindt vooral in technische / hacking vragen een uitdaging. De Juridische vraag is een nieuwe rubriek op Security.nl, waar wetgeving en security centraal staan. Elk kwartaal kiest Arnoud de meest creatieve vraag, die dan zijn boek zal ontvangen.
Vraag: Begin december ontdekte ik bij toeval dat een grote organisatie de persoonsgegevens van hun klanten niet goed had beveiligd. Daarmee schepten ze een reëel risico voor identiteitsfraude. Ik heb het ze gemeld, maar ze wilden me niet geloven. Daarom heb ik een "proof of concept" exploit gemaakt en ze die opgestuurd. Daarna heb ik niets meer gehoord. Het is nu bijna drie maanden verder, kan ik er nu over publiceren? Of schend ik dan de wet? Ik heb ze trouwens niet gezegd dat ik zou publiceren als ze er niets aan deden.
Antwoord: Een ontdekking als deze publiceren mag, maar vereist wel de nodige zorgvuldigheid. De eerste stap is hier al genomen: de betrokkene informeren en aansporen om het zelf op te lossen. Als men echter hiertoe geen of onvoldoende stappen neemt, sta je in je recht om erover te publiceren - in de vorm van een artikel. Het publiceren van een concrete exploit is een stuk riskanter.
De bekendste zaak op dit gebied is natuurlijk die van de OV-chipkaart. Onderzoekers van de Radboud Universiteit Nijmegen hadden een lek in de beveiliging van de Mifare Classic chip gevonden en wilde daarover publiceren. NXP, maker van de chip, eiste bij de rechter dat deze publicatie verboden zou worden omdat zij hierdoor schade zou lijden.
De rechter woog in het vonnis de belangen van NXP expliciet af tegen het grondrecht van vrijheid van meningsuiting. Dat grondrecht mag namelijk alleen worden ingeperkt als dat absoluut noodzakelijk is om andermans belangen te beschermen. En dan moet een verbod ook nog eens de beste manier zijn om die belangen te beschermen. Zijn er andere manieren denkbaar, zoals een weerwoord of disclaimer van de fabrikant bij het artikel, of het weglaten van een paar details, dan mag de rechter geen totaalverbod opleggen.
In deze zaak erkende de rechter expliciet het economische en sociale belang van wetenschappelijk onderzoek naar zwakheden in beveiliging: "het [is] van groot maatschappelijk belang dat verkregen wetenschappelijke inzichten op dat gebied openbaar worden gemaakt." De publicatie was ook feitelijk juist, zodat er geen reden was voor een verbod.
Wel speelde hier mee dat het ging om een wetenschappelijk artikel waarin alleen in theoretische en abstracte termen werd uitgelegd waar de zwakheid zat en hoe deze werkte, en "zeker niet een praktische handleiding voor het kraken en klonen van de chip". Het publiceren van een concrete exploit is namelijk een stuk dubieuzer.
Het is strafbaar om tools te verspreiden om computervredebreuk mee te plegen (art. 139d Wetboek van Strafrecht). In 1995 oordeelde de Hoge Raad dat ook instructies en stappenplannen daaronder konden vallen - ook als ze in een tijdschrift zijn afgedrukt en dus geen direct uitvoerbare software zijn. Vergelijkbare wetgeving bestaat voor tools om DRM en software-kopieerbeveiligingen te kraken of te omzeilen.
Een exploit verspreiden is dus in principe strafbaar. Wel moet de verspreiding gebeuren met het oogmerk dat daarmee computervredebreuk wordt gepleegd. Ik zou een exploit dus nooit zonder meer publiceren, maar altijd in combinatie met uitleg en toelichting over de onveiligheid, en liefst met een paar triviale dingen aangepast zodat de exploit niet meteen werkt. Dan is duidelijk dat je mensen met bewijs wilt informeren over een onveiligheid.
Concreet voor de vraagsteller: stuur de organisatie nog éénmaal een dringende brief waarin je ze wijst op de onveiligheid en zet daarbij dat je op korte termijn (14 dagen) de publiciteit zult zoeken als men geen stappen neemt om het lek te dichten. En als je dan publiceert, zorg er dan voor dat de lezer kan verifiëren dat het lek er is zonder dat iemand met copy-paste een tool kan krijgen om schade aan te richten bij de organisatie.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. In 2008 verscheen zijn boek "De wet op internet".
Heb jij ook een vraag voor Arnoud en wil jij kans op zijn boek maken? Stuur dan je vraag naar juridischevraag@security.nl
Het is trouwens al een jarenlang debat of een tool nu een security tool of een cracktool is. Veel zal daarbij afhangen van de omstandigheden. Een security auditor met klembord en stropdas die bij een bedrijf langskomt met een passwordcracker is een heel ander verhaal dan een vage website met witte letters op zwarte achtergrond, pornobanners en diezelfde passwordcracker.
In principe wil de schrijver van het verhaal het bedrijf niet kwetsen of schade berokkenen.
Maar hij wil laten zien dat het bedrijf niet goed beveiligd is.
Dan mag hij de tool toch wel publiceren aangezien hij dit doet om andere hun systemen te laten testen.
Het is natuurlijk wel anders als hij een xploit heeft die specifiek voor het bedrijf is.
Maar een afgemene exploit mag toch gewoon als tool verspreid worden ??
Ik zou dus heel voorzichtig zijn met een bericht dat bedrijf X kwetsbaar is voor bug Y met een werkende exploit voor bug Y bij het bericht. Dat maakt het wel erg makkelijk voor mensen om bedrijf X te cracken.
En ik ga niet lopen gillen door de stand dat die deur openstaat.
Als het nu iedere dag weer gebeurt ook na diverse waarschuwingen dan moet ik mischien wel de straat op.
Maar geef de eigenaar/bewoner eerst even de kans om het foutje zelf op te lossen.
Volgens mij is dit wel de beste vergelijking.
@Jachra: goed idee!
Lijkt me sterk....
Cracken is geen techniek, maar een benaming voor een actie die wordt uitgevoerd.
Ik schrijf een tool waarmee ik de sleutel van mijn draadloos netwerk kan testen op zijn veiligheid ( < legaal dus )
Ik schrijf een tool die in staat de sleutel de kraken van een draadloos netwerk en daarmee aan kan tonen dat de beveiliging onder zijn niveau is. ( < illegaal dus )
Echter gaat het hier om precies dezelfde tool ..... alleen de omschrijving en de manier waarop het naar buiten wordt gebracht zo dus bepalen of dat het juridisch verantwoord is of niet. ( lijkt me een grijs gebied )
Daarnaast zie ik het advies om het bedrijf op de hoogte te stellen van eventuele lekken in de software van het bedrijf. Echter geeft de nederlandse wet aan dat wanneer je je hiermee bezig houd zonder vooraf toestemming gevraagd te hebben aan het bedrijf of ontwikkelaar van de software je in alle gevallen strafbaar bent. Wanneer je je op dat moment het bedrijf op de hoogte stelt, kan het gewoon aangifte tegen jou doen. Dit omdat de toegang tot en het ophalen van informatie uit computersystemen zonder dat je daar geautoriseerd gewoon weg verboden is .....
Daarnaast wordt het publiceren van een exploit als strafbaar geacht terwijl dit een totaal verkeerd is in mijn ogen. Want wanneer je nu een lek vind in software en daar dus een exploit op schrijft in een kamertje achteraf en je dit niet publiekelijk kenbaar kan maken ........... kan het als gevolg hebben dat het lek blijft zitten waar het zit.
Criminelen met ook knappe koppen in dienst kunnen in staat zin dit zelfde lek te ontdekken met als bedoeling daar misbruik van te maken.......
Wanneer je dus een exploit kan schrijven en dat doet maakt de wet het aantrekkelijker om het bedrijf niet in te lichten en het lek te laten zitten waar het zit met als gevolg dat grote aantallen mensen gevaar kunnen lopen zonder dat ze het zelf weten ..... want zolang het lek niet gevonden is wordt het veilig geacht ..........
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.