ISP’s verantwoordelijk maken voor ‘malware’

Computer chips (Foto: Flickr/Gaetan Lee)

De Europese denktank ENISA heeft een rapport uitgebracht (.pdf) waarin wordt gepleit om internetproviders aansprakelijk te maken voor de schade die gehackte computers via hun netwerk aanrichten.

Zo hopen de onderzoekers de gigantische netwerken van zombiecomputers en de schade die zij toebrengen beter te kunnen bestrijden. Immers, de gemiddelde computergebruiker is over het algemeen niet kundig genoeg om zijn of haar pc afdoende te beschermen. Als je die verantwoordelijkheid legt bij de providers, vang je dat op. De provider kan relatief eenvoudig bijhouden welke IP-adressen ‘fout’ verkeer genereren, en deze dan automatisch tijdelijk afsluiten. De ISP zou dan bijvoorbeeld een standaard pagina kunnen tonen met de vraag contact op te nemen met de helpdesk.

Klinkt als een redelijk plan. Mocht het doorgevoerd worden in Europa, dan krijgt de SPAM- en virus-industrie waarschijnlijk zware klappen.

Om het verhaal compleet te maken stelt de denktank ook voor om fabrikanten te verplichten beveiligingslekken apart te dichten, en niet via een systeemupdate. Mensen zijn namelijk huiverig om die updates te installeren, en niet onterecht. Veiligheidsupdates zullen de meeste mensen wel willen installeren.

De denktank vindt dat je, als dit laatste is doorgevoerd, gebruikers zelf ook aansprakelijk mag stellen voor de schade die ze veroorzaken. Als ze de auto-updatefunctie voor veiligheidsissues van de software uitschakelen, nemen ze namelijk willens en wetens een risico. De redenatie is dat de fabrikant moet zorgen voor de gordels, maar dat de bestuurder ze ook moet dragen en daar zelf verantwoordelijk voor is.

Ik sta op zich positief tegenover dit pakket aan maatregelen. Het enige misbruik dat ik me kan voorstellen is dat als de providers monitorsoftware hebben geïnstalleerd derde partijen daar dan ook toegang toe zouden willen hebben om bijvoorbeeld muziekuploaders en downloaders af te kunnen sluiten.

Als ze dat kunnen afvangen, lijkt het me een goede zaak dit in te voeren. Of zie ik wat privacy-issues over het hoofd?

  1. 1

    Ik denk dat je wat technische issues over het hoofd ziet. Wat is bijvoorbeeld ‘fout verkeer’?

    Xs4all scant al jaren actief het netwerk op bekende exploits etc. Heb je een virus aan boord is het exit internet afgezien van de xs homepage totdat het probleem is opgelost. En ze bieden ook software daarvoor aan.

    Maar om de gemiddelde computernoob maar gelijk verantwoordelijk ( aansprakelijk? ) te maken voor alles gaat te ver.

    En daarnaast is er geen enkele garantie dat er geen andere manier is om rommel te verspreiden. De technische opzet van internet is nou eenmaal van vrijheid en weinig vertrouwen in overliggende partijen. Ik zou daar ook niet snel aan willen rommelen eerlijk gezegd.

  2. 2

    Dan stel ik voor om ook autodealers verantwoordelijk te maken voor het gedrag van hun klanten, kranten voor de kwaliteit van produkten die hun adverteerders aanbieden en producenten van alarmsystemen voor het gedrag van hun klanten die voortdurend om 2 uur ’s nachts hun autoalarm vergeten.

    Oftewel, een volslagen abject plan dat onder de noemer corporatisme niet zou misstaan in een fascistische samenleving. Nog erger is dat geencommentaar hier een positief artikel over durft te schrijven. Ik ga maar weer een ander blog opzoeken, denk ik…

    Als de verantwoordelijkheid al ergens zou moeten liggen, is het bij de leverancier van de blijkbaar volkomen mislukte software die tot deze problemen leidt: microsoft, maar zelfs dat lijkt me een volkomen achterlijk idee. En dan nog, als iemands’ PC troep verstuurt, hoeveel kwaad kunnen die paar bitjes en bytejes nou? Volgens mij kunnen die alleen kwaad als de “ontvanger” ervan ook alweer zo’n volkomen mislukt besturingssysteem heeft dat ook weer door die ene incompetente fabrikant is geleverd.

    Laten we nou niet ineens met zijn allen gaan doen alsof het normaal is dat een computer “geinfecteerd” kan raken. Dat is niet normaal, dat dat nog steeds zo is heeft maar 1 oorzaak: volslagen incompetentie bij Microsoft. Als ze auto’s verkochten waren ze al lang en breed failliet gegaan aan alle schadeclaims. Dat onze overheid die troep ondertussen nog durft te gebruiken is volstrekt belachelijk en dat ENISA de problematiek die door 1 enkele softwareleverancier wordt veroorzaakt de verantwoordelijkheid wil maken van wat willekeurige bedrijven die daar niks mee te maken hebben, is voor mij het zoveelste teken dat we maar het best zo snel mogelijk de stekker uit die flamboiante collectie clubjes van incompetente experts die “Europese Unie” heet kunnen trekken.

    Een soortgelijke mening ben ik toegedaan over vrijwel alle andere adviezen uit die rapport. Hoe dom en incompetent kun je zijn?!?!?!?!

  3. 3

    @zmooc: Natuurlijk ligt dat niet aan MS. Zeker als je weet hoe de softwareindustrie eruit ziet en dat een bugvrij en daarmee 100% veilig programma onmogelijk te maken is.

    Ja, het is dus normaal dat een pc geïnfecteerd kan raken. De enige kritiek die je kan hebben betreft de oplossingssnelheid van het bedrijf.

    Het rapport wil overigens alleen maar de verantwoordelijkheid bij consumenten leggen als er aan bepaalde voorwaarden is voldaan door de industrie. Zolang dat niet is gebeurd lijkt het me ook niet dat je dat van consumenten kan verwachten.

    Daarnaast gaat je voorbeeld mank. Het gaat niet over de autodealer, maar om de wegennetbeheerder. In dit geval de overheid, en die legt een deel van de verantwoordelijkheid inderdaad bij de automobilist. Je moet je auto onderhouden, anders wordt hij afgekeurd (APK).
    En de wegennetbeheerder heeft ook verantwoordelijkheden. Bijvoorbeeld onderhoud, stoplichten enz. enz.

    In het geval van computers kan een provider, en XS4All (DE privacyprovider) doet het blijkbaar al, verdacht verkeer monitoren. Als er bijvoorbeeld opeens duizenden mailtjes worden verstuurd, of op allerlei obscure poorten hackpogingen worden gedaan, kan de provider zulke dingen afkappen. Dat is in het voordeel van zowel de gebruiker als het internet in het algemeen.

    En let wel, hier is geen overheid erbij betrokken, de overheid mag wat mij betreft ook de informatie niet inzien. Iedereen blij. Er moeten alleen safeguards komen zodat Brein niet kan eisen er wel toegang toe te krijgen (zulke info niet opslaan is ook een idee, natuurlijk).

    Computercriminaliteit is een groot probleem, en daar mag best een over nagedacht worden, zonder in een nergens op gebaseerde privacy-stuip te schieten.

  4. 4

    @Joost, #3: Het lijkt me dat er een groot verschil is tussen een bug en een fundamenteel verkeerd ontwerp. Bugvrij kan natuurlijk niet, maar de huidige malware- en spam-stortvloed was nooit tot wasdom gekomen zonder de fundamenteel verkeerde aanpak van Microsoft.

    Verder heb je gelijk dat mijn vergelijking mank gaat, maar de jouwe gaat ook mank want de verantwoordelijkheid wordt in dit voorstel niet bij de automobilist gelegd, het is meer alsof de overheid tolwegbeheerders aansprakelijk zou gaan stellen voor mensen die met brakke auto’s over hun weg rijden.

    En natuurlijk is het normaal als zo’n tolwegbeheerder iemand met een brakke auto tegenhoudt, het is ook prima als een provider een prutser afsluit. Maar dat verplichten en er zelfs aansprakelijkheid aan te verbinden, hoort niet in een vrij land thuis.

  5. 5

    De aansprakelijkheid wordt niet daaraan verbonden, maar aan de softwareleveranciers. Dat staat los van het providerverhaal.

    Als Microsoft het zo inricht dat er automatisch beveiligingsupdates worden geïnstalleerd, en ALLEEN beveiligingsupdates, en iemand zet dat specifiek uit, dan mag van de denktank pas iemand worden vervolgd als hij geïnfecteerd wordt.

    Onderhand wordt dit zo’n groot probleem dat er echt iets aan gedaan wordt.

    Ik ben er overigens van overtuigd dat als Linux 90% van de markt in handen zou hebben, het net zo slecht gesteld was. Mensen zijn te dom om hun pc’s te updaten, of het nou Windows of Linux is.

  6. 6

    Ah ok dat heb ik dan verkeerd begrepen. Maar het buiten de grenzen van normale contracten aansprakelijk stellen van softwareleveranciers lijkt me funest voor de innovatie en helemaal voor de Open Source wereld.

    En ik ben er van overtuigd dat als 90% van de markt Linux zou draaien, dat het een stuk beter gesteld zou zijn met de security. Linux en alle andere unix-achtigen zitten nou eenmaal aanmerkelijk slimmer in elkaar. Linux is ook niet mongool-proof en er zullen vast nog veel meer security-holes zijn dan in Windows, maar malware kan daar simpelweg aanmerkelijk minder mee dan onder Windows.

    Nou kan ik daar hele verhalen over gaan ophangen, maar op deze link kunnen ze dat veel beter, ze hebben zelfs een heel hoofdstuk gewijd aan jouw geloof in de relatie tussen het vele gebruik van Windows en de vele veiligheidsproblemen:-)