Security Professionals - ipfw add deny all from eindgebruikers to any

Vrijwaring inhuur bij illegaal handelen

05-04-2017, 02:19 door Anoniem, 13 reacties
Stel we huren als bedrijf een security prof in om een server bij ons op kantoor te hacken met als doel om gegevens veilig te stellen die een lokaal draaiende applicatie van een leverancier daar opslaat. Dit ivm overgang naar software van een andere leverancier, maar huidige leverancier weigert medewerking te verlenen. Voor de overgang en continuïteit zijn deze gegevens essentieel. Laten we even buiten beschouwing wie eigenaar is van de gegevens. We hebben geen toegang tot deze server en deze is eigendom van de leverancier.

Als onbekend blijft wie de hack heeft uitgevoerd en we de security prof vrijwaren, is er voor hem of haar dan toch een risico, aangezien de leverancier mogelijk juridische stappen tegen ons gaat nemen? Kan een rechter eisen om de persoon daarachter bekend te maken en kan diegene veroordeeld worden als wij de opdracht verstrekken en hem vrijwaren?
Reacties (13)
05-04-2017, 10:01 door Erik van Straten
Vooraf: ik ben geen jurist. Dit stukje bevat beredeneerde vermoedens.

Je schrijft dat je gegevens veilig wilt stellen:
- vanaf een "server bij ons op kantoor";
- "We hebben geen toegang tot deze server en deze is eigendom van de leverancier.";
- "Dit ivm overgang naar software van een andere leverancier";
- "Voor de overgang en continuïteit zijn deze gegevens essentieel";
- "huidige leverancier weigert medewerking te verlenen";
Duidelijk. Ik vermoed dat je geen heldere contractuele afspraken hebt m.b.t. een exit-strategie, in elk geval niet in jullie voordeel.

Je schrijft ook:
- "Laten we even buiten beschouwing wie eigenaar is van de gegevens"
Dat lijkt me nou net essentieel in deze kwestie. Als de gegevens niet van jullie zijn, vermoed ik dat er sprake zal zijn van een misdrijf als je doet wat je voorstelt.

In het geval van een huurmoordenaar is het gebruikelijk dat zowel zij als de opdrachtgever worden vervolgd. Het lijkt mij dus rechtvaardig als het meewerken aan het door jou beschreven misdrijf juridische consequenties heeft voor de ingehuurde "security prof". Daarbij vermoed ik dat er sprake kan zijn van verzachtende omstandigheden als die security prof niet weet dat hij helpt om een misdrijf te begaan (tenzij jullie het heel slim inkleden moet het dan wel om een sukkel gaan, en het is de vraag of je daarmee wegkomt).

Laat ik de zaak eens omdraaien: misschien ben jij wel een hosting provider, en is de computer niet van een leverancier maar van een klant met een leuke applicatie waar jullie, zonder die klant, zelf geld mee willen verdienen. Het kan dan natuurlijk niet zo zijn dat jullie daar mee wegkomen.
05-04-2017, 10:17 door Anoniem
Zeg Erik het is niet nodig om meteen de vraagsteller te veroordelen en aan te geven dat ie naar jouw idee een fout
contract heeft afgesloten ofzo. Het komt vaak voor dat bedrijven in vervelende situaties zoals deze terecht komen
(contracten die ze achteraf beter niet hadden kunnen sluiten) en laten we ons concentreren op het oplossen van het
ontstane probleem.
05-04-2017, 11:00 door [Account Verwijderd]
Ik denk dat je je de vraag kunt stellen wie de eigenaar van de DATA is? Als dat goed geregeld is in contracten dan kun je natuurlijk gewoon via een juridische procedure het overhandigen van de data eisen.

Als de data ook van de leverancier is heb je geen poot om op te staan.
05-04-2017, 11:37 door Anoniem
Door Erik van Straten: Vooraf: ik ben geen jurist. Dit stukje bevat beredeneerde vermoedens.

Je schrijft dat je gegevens veilig wilt stellen:
- vanaf een "server bij ons op kantoor";
- "We hebben geen toegang tot deze server en deze is eigendom van de leverancier.";
- "Dit ivm overgang naar software van een andere leverancier";
- "Voor de overgang en continuïteit zijn deze gegevens essentieel";
- "huidige leverancier weigert medewerking te verlenen";
Duidelijk. Ik vermoed dat je geen heldere contractuele afspraken hebt m.b.t. een exit-strategie, in elk geval niet in jullie voordeel.

Je schrijft ook:
- "Laten we even buiten beschouwing wie eigenaar is van de gegevens"
Dat lijkt me nou net essentieel in deze kwestie. Als de gegevens niet van jullie zijn, vermoed ik dat er sprake zal zijn van een misdrijf als je doet wat je voorstelt.

In het geval van een huurmoordenaar is het gebruikelijk dat zowel zij als de opdrachtgever worden vervolgd. Het lijkt mij dus rechtvaardig als het meewerken aan het door jou beschreven misdrijf juridische consequenties heeft voor de ingehuurde "security prof". Daarbij vermoed ik dat er sprake kan zijn van verzachtende omstandigheden als die security prof niet weet dat hij helpt om een misdrijf te begaan (tenzij jullie het heel slim inkleden moet het dan wel om een sukkel gaan, en het is de vraag of je daarmee wegkomt).

Laat ik de zaak eens omdraaien: misschien ben jij wel een hosting provider, en is de computer niet van een leverancier maar van een klant met een leuke applicatie waar jullie, zonder die klant, zelf geld mee willen verdienen. Het kan dan natuurlijk niet zo zijn dat jullie daar mee wegkomen.
Al was de data van jou, op dit moment geeft je dat geen rechten. De server is beschermd en die hacken is een misdrijf. Ongeacht of je alleen je eigen data steelt. Enige wat je kan doen is op basis van contract, danwel onrechtmatige daad, een civiele procedure starten
05-04-2017, 11:45 door Anoniem
Ik ben ook geen jurist, maar als vaste lezer van Arnoud Engelfriet's blogs meen ik me te herinneren dat data niks is. Je hebt daar geen eigendom van. Het is niet 'van jou'.

Jij wil toegang tot informatie op een server die jij wellicht huurt (of huurde), maar die eigendom is van de hoster. Als er computervredebreuk wordt gepleegd op dat ding is dat een misdrijf.

Voortaan dus even contractueel vastleggen hoe het werkt met je data als je de boel opzegt / wil verhuizen...
05-04-2017, 12:19 door Anoniem
Door Anoniem: Zeg Erik het is niet nodig om meteen de vraagsteller te veroordelen en aan te geven dat ie naar jouw idee een fout
contract heeft afgesloten ofzo. Het komt vaak voor dat bedrijven in vervelende situaties zoals deze terecht komen
(contracten die ze achteraf beter niet hadden kunnen sluiten) en laten we ons concentreren op het oplossen van het
ontstane probleem.

De vragensteller is het probleem. Hij (of zij) huurt doelbewust iemand in, waarbij hij op voorhand weet dat hij een ander aanspoort om activiteiten uit te voeren die tegen alle ethische regels en bestaande contracten in gaan, en hij ook nog hoopt dat de hack kan worden verdoezeld ("Als onbekend blijft wie de hack heeft uitgevoerd"). Oftewel: het contract op het gebied van een exit-strategie is niet op orde en dan via twijfelachtig handelen proberen de zaak "op te lossen" met een vrijwaring die hij helemaal niet kan geven. Wie is de vragensteller om een vrijwaring te geven voor activiteiten die doelbewust en met de nodige voorbereiding tegen bestaande contracten ingaan, ook al worden de activiteiten door een derde partij uitgevoerd?

Dit is gewoon niet zuiver en onethisch. Daarom is het voor pentesters ook belangrijk om precies te weten (en zwart op wit te hebben) wat wel en niet mag en waar de verantwoordelijkheden liggen voor het te pentesten object voordat wordt begonnen aan een klus, juist om dit soort situaties te voorkomen. Maar aan het bericht te lezen zou het me niet eens verbazen dat de vragensteller nog wel een contractje weet te vervalsen om de indruk te wekken dat die server toch van hem is en het uitvoeren van pentesten op het systeem (dat niet van hem is) is toegestaan. Alles voor het te behalen doel, zelfs het inschakelen van derden die mogelijk en al dan niet bewust in het ongewisse worden gelaten over het doel van de test.

Als ik als pentest deze klus had aangenomen en ik zou dit verhaal te weten komen na het opleveren van het pentestrapport, dan zou ik me zwaar misbruikt voelen door iemand die zonder verstand van zaken een contract heeft ondertekend, maar mij wel aanspoort tot activiteiten die willens en wetens tegen de door hem ondertekende contracten in gaan.
05-04-2017, 13:05 door Anoniem
Je kunt als opdrachtgever geen vrijwaring verlenen van strafrechtelijke gevolgen .

In (ietwat) vergelijkbare gevallen is iemand die te goeder trouw z'n werk doet, of een normale transactie verricht niet strafbaar .
Het sleutelwoord is 'te goeder trouw' - als je wist, of redelijkerwijs had moeten/kunnen weten dat het foute boel was kun je je niet verschuilen achter 'ik wissut niet'

Je koopt voor een redelijke prijs een tweedehands fiets bij iemand thuis, of bij een handel- prima . Ook als die later gestolen blijkt te zijn.
Je koopt een luxe fiets voor een erg lage prijs op straat van een junkachtig type - heling [strafbaar].

Een slotenmaker die een slot openboort - niks mis mee als het op verzoek van de eigenaar gaat, maar de slotenmaker kan (mee)hangen als er teveel mis was in de omstandigheden. (bedrijfspanden of sportkantines hebben om drie uur nachts niet zo vaak een urgent sleutelprobleem )

natte vinger gok (geen advocaat) - als je de ingehuurde expert als opdracht geeft 'wij kunnen niet meer bij onze data op deze server' (bla bla verlopen support contract en password kwijt) en de server staat in house lijkt het me sterk dat de expert in die omstandigheden zich strafbaar opstelt wanneer die een password recovery en database dump doet.

Als je als opdracht geeft 'onze data op www.saasbedrijf.com/mijnbedrijf te recoveren door saasbedrijf.com te hacken' moet de expert wel hard weglopen.

Vergeet trouwens niet om een advocaat te vragen hoe je zo'n data recovery moet doen - je stelt tenslotte je juridische vraag ook op een forum van security techneuten...

Verder, de kans is reëel dat een beetje expert meer kost dan met wat geld om de tafel te gaan met je ex-leverancier.
05-04-2017, 14:55 door _R0N_
In feite is het zo dat de eigenaar van de server (diegene met toegang) het beheer heeft over de data. Wie recht heeft op inzage is afhankelijk van de betreffende gegevens.
De vraagsteller zegt niets over de oorsprong van de data en het zou zelfs kunnen zijn dat de server bij hen gehost wordt door een derde partij..

Wanneer de gegevens jouw eigendom zijn.. Onderneem juridische stappen om de toegang te verkrijgen.
Zijn de gegevens niet van jou.. Betrek er geen anderen bij om deze toch te verkrijgen door ze een contract voor ogen te houden dat juridisch waarschijnlijk nooit stand zal houden.

Als je een hacker nodig hebt om toegang te verkrijgen lijkt het me wel duidelijk dat je eigenlijk geen recht hebt op de data..
05-04-2017, 20:45 door karma4 - Bijgewerkt: 07-04-2017, 12:11
Ga na of beter laat nagaan hoe de zaken er met jurisprudentie voorstaan. Zoek op de site: recht.nl
Een interessante is b.v. https://recht.nl/rechtspraak/uitspraak?ecli=ECLI:NL:RBROT:2012:BW5386 Hier is een data copie en continuiteit aan de orde.
https://recht.nl/rechtspraak/uitspraak/?ecli=ECLI:NL:RBAMS:2014:7005 test acceptatie wegens compatibliteit gaat een veel aardigere richting in. Alleen is in dit geval zowel de server als software lokaal in beheer.
De data is niet van de leverancier hij is bewerker. In dat geval van een conversie zal data afgeleverd moeten worden.Het lijkt meer op: https://www.recht.nl/rechtspraak/uitspraak?ecli=NL:RBLEE:2005:AT6118

Je kan dit soort juriprudentie aankaarten als er nog te paten valt.
De meest handige weg lijkt een advocaat in te schakelen en als hij het ziet zitten in een zaak alle kosten mee verhalen.
05-04-2017, 23:38 door Anoniem
Ik neem aan dat je legitieme toegang hebt tot de applicatie en dus de data die erin zit? Is dat dan niet de handigste weg om de data eruit te krijgen? Mogelijk kan je het (gedeeltelijk) (laten) automatiseren, maar je zou niet het eerste bedrijf zijn dat 20 studenten inhuurt om gegevens over te typen.
06-04-2017, 11:20 door Anoniem
Door Anoniem: Ik neem aan dat je legitieme toegang hebt tot de applicatie en dus de data die erin zit? Is dat dan niet de handigste weg om de data eruit te krijgen? Mogelijk kan je het (gedeeltelijk) (laten) automatiseren, maar je zou niet het eerste bedrijf zijn dat 20 studenten inhuurt om gegevens over te typen.

Of 1 a 2 studenten die daarvoor scripts kunnen opzetten als er iets van een (al dan niet beperkte) export-mogelijkheid is, maar in die richting zou ik het ook zoeken :)
07-04-2017, 11:45 door Anoniem
Vragen als deze moet je aan een advokaat stellen, hier komt kennis van wetgeving bij kijken en het vermogen om die wetgeving op jouw specifieke situatie te betrekken. Antwoorden op basis van summiere informatie van welwillende mensen met verstand van informatietechnologie en informatiebeveiliging maar onvoldoende verstand van wetgeving zijn vermoedelijk waardeloos. Als de data van jullie is zou de uitkomst wel eens kunnen zijn dat je geen hacker nodig hebt maar een rechter die de leverancier verplicht om mee te werken.
07-04-2017, 15:59 door Anoniem
Als ik in die situatie zou zitten zou ik een cold clone van de server maken (p2v) en lekker los gaan op die kloon.
In princiepe kan de partij die deze machine in onderhoud heeft hier ook niet achter komen behalve dat de machine 'even' uit de lucht is geweest vanwege een 'stroomstoring'.

En de inhoud van de getekende overeenkomst is denk ik de beste leidraad om te bepalen hoe ergnstig de leverancier denkt over deze server/data. Het gaat er voornamenlijk om wat die data waard is. Als het merendeel van het werk om die data te generen door de leverancier is gedaan is het gevraagde moreel niet heel netjes. Maar als het alleen een interface is om door jou gegenereeerde en gestructureerde data te tonen of processen... tja...

Overigens heb ik in 15 jaar nog nooit een leverancier meegemaakt die niet wil meewerken aan een converse (al is het alleen al beschikbaar stellen van toegang) - wel willen ze er vaak voor betaald worden. Dus misschien aldaar nog wat hoger in de boom schudden?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.