image

Juridische vraag: is testtool voor Heartbleed-bug illegaal?

woensdag 16 april 2014, 10:05 door Arnoud Engelfriet, 7 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.

Vraag: Graag zou ik een tool willen ontwikkelen waarmee mensen kunnen testen of hun website kwetsbaar is voor de bekende Heartbleed-bug die vorige week werd geopenbaard. Mag dat zomaar of is dit strafbaar?

Antwoord: Een tool waarmee te testen is op een kwetsbaarheid, is op zichzelf legaal. Een tool is pas strafbaar wanneer deze specifiek ontworpen of "hoofdzakelijk geschikt" is om mee in te breken, om computervredebreuk mee te plegen.

De grens tussen testen en inbreken kan grijs zijn. Zeker bij Heartbleed, een bug die er nu juist om draait dat je data krijgt waar je geen toegang toe zou moeten hebben. In theorie moet je dan kijken naar de motieven van de gebruiker. Wilde hij zeker weten dat zijn banksite veilig was, of wilde hij inbreken op diezelfde banksite? Alleen, hoe kom je daar ooit achter.

Wil je het als ontwikkelaar op safe spelen, dan bouw je de tool het liefst zo conservatief mogelijk. Zo hoef je geen kilobytes aan gelekte (bloedende?) data te laten zien, je kunt gewoon testen of er één byte meer op te vragen is dan je stuurde en in dat geval "ja!" zeggen tegen de gebruiker.

Ook kun je dingen doen als een vertraging inbouwen. Dan kunnen mensen prima één site testen (en dat zal hun eigen site vaak zijn), twee of drie nou vooruit, maar wie twintig sites achter elkaar gaat testen is een beetje raar.

Helemaal netjes zou zijn dat je zegt, installeer eerst een bepaald bestandje op je website met een unieke naam, en dan controleert of dat bestandje bestaat op die website voordat je de test uitvoert. Dan weet je zeker dat de gebruiker aan de website gelieerd is. Maar dat voelt wat zwaar voor één korte test.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (7)
17-04-2014, 09:19 door Anoniem
Overigens is al blijkbaar al een dergelijke tool: https://www.security.nl/posting/384347/Mozilla+ontwikkelt+veilige+testmethode+voor+Heartbleed-bug
17-04-2014, 13:50 door Anoniem
Zo raar vind ik mezelf niet hoor. Er zijn toch wel meer mensen benieuwd of de websites die ze dagelijks gebruiken veilig met hun gegevens omgaan?
17-04-2014, 15:36 door Anoniem
Kun je hier testen:

https://filippo.io/Heartbleed/
17-04-2014, 17:05 door Anoniem
Meer informatie dan alleen Heartbleed:
https://www.ssllabs.com/ssltest/index.html
24-04-2014, 08:53 door Anoniem
Applicaties, systemen en netwerken dienen sowieso regelmatig gecontroleerd te worden op kwetsbaarheden.
We weten allemaal dat er steeds weer nieuwe methodieken worden "uitgevonden" om kwetsbaarheden in webapplicaties te misbruiken. Wij verlenen een service op dit gebied en ontvangen van de fabrikant van de tool die we voor onze scans gebruiken (IBM Security AppScan) updates om ervoor te zorgen dat we testen op de laatst bekende methodieken. We vinden bij elke scan die we uitvoeren tientallen tot honderdtallen kwetsbaarheden in webapplicaties en het repareren van deze "gaten" is vaak relatief eenvoudig. Het toepassen van "secure coding" technieken wordt nog veel te weinig toegepast door de bouwers van webapplicaties. Daarom dienen applicaties regelmatig getest te worden op security. Helaas zien we ook zeer regelmatig dat er na het in gebruik nemen van verschillende technische oplossingen (firewall, IPS, IDS, Access Management systemen, etc) gedacht wordt dat de security dan goed is geregeld. Ook met 85 firewalls blijf je kwetsbaar voor cybercrime als de medewerkers op fishing mails blijven klikken, onveilige passwords gebruiken en/of vertrouwelijke klanteninformatie openlijk in de trein bespreken. Het gedrag van de mens is een belangrijk aspect bij het verlagen van risico's. Medewerkers zijn vaak "onbewust onveilig". Goede security awareness training verandert hun gedrag. Met vriendelijke groet, Rob Koch, Sebyde BV
27-05-2014, 16:14 door Jacob Lageveen
Waarom zou het illegaal zijn? Je moet het toch testen voordat je een oplossing kan creeeren?
01-06-2014, 19:05 door Eric-Jan H te D
Als je je eigen website wilt testen? Ik kan mij niet voorstellen dat dat strafbaar is.
Al pak je een bijl en trem je de heleboel in elkaar.
Als het maar je eigen boel is en je het niet in het openbaar doet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.