Toon posts:

Netwerk-beschermingsdiensten die servers scannen - mag dat?

Pagina: 1
Acties:

dinsdag 15 december 2020 14:07

Acties:
  • 0 Henk 'm!
  • Webdoc
  • Registratie: Maart 2001
  • Laatst online: 17-03 04:19

Webdoc

Echte Männer fahren Mercedes

Topicstarter
Ok - in mijn firewall en IIS logs zie ik geregeld een hele waslijst van requests voorbijkomen van bedrijven zoals Censys.io, Zenlayer, DediPath en andere gelijksoortige tokos die kijken of bepaalde poorten open staat en/of bepaalde content bestaat, zoals een Word Press manifest. Als je naar hun sites gaat dan wordt het duidelijk dat hun business diensten levert zoals bescherming tegen DDoS aanvallen an andere security-toepassingen.

Wat ik wil weten is: "Hoe is dat niet een GDPR-violation?"

Ik ga er van uit dat zij dit doen om te scannen voor zwakheden en vervolgens deze IP adressen op een "blacklist" zetten indien die worden gevonden. Da's leuk voor ze natuurlijk maar dat maakt die bedrijven wel mooi een data processor volgens de wet, en mijn IP nummers zijn persoonlijke informatie. Ik heb uiteraard nooit mijn toestemming gegeven voor het verzamelen van dit soort informatie.

Zijn zij dus niet gewoon illegaal bezig? En dit dus even los van het feit dat er een nut bestaat voor het maken van zo'n lijst, om eerlijk te zijn is dat voor mij helemaal niet van belang. Sterker nog, is het niet stiekem zo dat elke klant die zo'n lijst mag gebruiken/inzien ook illegaal bezig is?

SuperMicro X11DAi-N Dual Gold 6140 36C/72T 320GB A2000 2x WD770 1TB, 4K + 2x QHD

dinsdag 15 december 2020 14:11

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

In dit kader zijn het m.i. geen persoonsgegevens. Dus is de AVG n.v.t.
edit:
En ook als wel, dan lijkt het belang van de verantwoordelijke ook goed uitlegbaar. Maar je kunt natuurlijk de DPO benaderen van die verdrijven, vragen op welke grond ze jouw IP-adres verwerken.


Het gaat misschien wel een beetje richting computervredebreuk maar ook dat lijkt me niet aan de orde als het blijft bij aan de poort rammelen.

[ Voor 31% gewijzigd door F_J_K op 15-12-2020 14:12 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 15 december 2020 14:15

Acties:
  • 0 Henk 'm!
  • Webdoc
  • Registratie: Maart 2001
  • Laatst online: 17-03 04:19

Webdoc

Echte Männer fahren Mercedes

Topicstarter
Is het niet eerder zo dat een IP adres soms wel, soms niet een persoonsgegeven is, en dat het zeer waarschijnlijk zo is dat een bedrijf dat die scans doet daar geen onderscheid in zal maken?


En ik lees hier:
"It's been made clear in the General Data Protection Regulation ("GDPR") that IP addresses should be considered as personal data as the text includes "online identifier", in the definition of "personal data". Recital 30 clarifies that "online identifier" includes IP addresses."

Edit: In mijn specifieke geval is het IP adres zowel een server-adres als het adres van een kantoor internet gateway en dus een adres via welk men het internet op gaat.

Edit 2: En ja ok, dat het belang en toepassing van de scan een nut heeft is wel het minste wat het kan hebben, niet? Je mag er toch van uit gaan dat een bedrijf met winst-oogmerk niet "zomaar eens" besluit om voor geen enkele reden het hele Internet af te scannen om er vervolgens niks mee te doen ;) Maar dat is niet mijn probleem - als een ander bedrijf mijn gegevens gebruikt om targeted advertising te tonen heeft dat ook een nut - voor hen. Ik heb er evenwel niet mijn toestemming voor gegeven ;)

[ Voor 33% gewijzigd door Webdoc op 15-12-2020 14:23 ]

SuperMicro X11DAi-N Dual Gold 6140 36C/72T 320GB A2000 2x WD770 1TB, 4K + 2x QHD

dinsdag 15 december 2020 14:27

Acties:
  • 0 Henk 'm!
  • Dido
  • Registratie: Maart 2002
  • Laatst online: 16:38

Dido

heforshe

Webdoc schreef op dinsdag 15 december 2020 @ 14:15:
Is het niet eerder zo dat een IP adres soms wel, soms niet een persoonsgegeven is, en dat het zeer waarschijnlijk zo is dat een bedrijf dat die scans doet daar geen onderscheid in zal maken?
Het verschil lijkt me erin te zitten of je dat IP-adres gebruikt om een server/website te identificeren (en dat gebeurt bij het scannen van die poorten) of dat je het gebruikt om een persoon die op jouw site komt te identificeren.
Edit: In mijn specifieke geval is het IP adres zowel een server-adres als het adres van een kantoor internet gateway en dus een adres via welk men het internet op gaat.
Dat is een keuze die jij maakt. Als ik mijn BSN verwerk in mijn bedrijfsnaam lijkt het me ook vrij kansloos om te gaan klagen dat mijn (potentiele) klanten mijn BSN hebben (want persoonsgegeven!!).

Op het moment dat ik een website bezoek ga ik er niet van uit dat het IP adres waarop ik die site bereik een persoonsgegeven is, ook al zou iemand ongetwijfeld dat IP-adres ook als persoon kunnen gebruiken om zelf te surfen.

Anders zou het dan ook betekenen dat elke DNS aan de GDPR moet voldoen, aangezien ze IP-adressen opslaan. Dat lijkt me vrij ver gaan.

Wat betekent mijn avatar?

dinsdag 15 december 2020 14:52

Acties:
  • 0 Henk 'm!
  • Webdoc
  • Registratie: Maart 2001
  • Laatst online: 17-03 04:19

Webdoc

Echte Männer fahren Mercedes

Topicstarter
OK - en als we er nu even van uitgaan dat die bedrijven die scans uitvoeren om een lijst van "zwakke" IP adressen te compileren, en die lijst vervolgens tegen betaling (al dan niet als onderdeel van een service overeenkomst) aan hun klanten aanbieden, waarbij mijn IP adres eventueel (en zonder mijn medeweten) bij zit bijgesloten en gemarkeerd als "gevaarlijk" of "zwak" of "hoge kans op malware" etc - wat dan?

Want dat is wel de meest waarschijnlijke toepassing van die scans.

Ik ga in ieder geval eens die bedrijven een mailtje sturen, vragen of zij mij een lijst van "bad" IP nummers kunnen verkopen. En zo ja hoe ze aan die adressen zijn gekomen... en bovendien hoe ik als IP adres eigenaar van zo'n lijst af zou kunnen komen en of daar een mechanisme voor is.

Dit is een vrij interessante case - want de toepassing van zo'n lijst is in principe een nuttig idee, maar het zou vooralsnog wel "fout" zijn, zelfs als de adressen in kwestie inderdaad en daadwerkelijk malware zouden serveren, omdat de eigenaar ervan niet op de hoogte is gesteld. Daarnaast verdienen zij geld aan mijn data, en dat zou dan komen omdat ik slecht in het configureren van mijn netwerk zou zijn. Tot slot wordt ik daar niet van op de hoogte gesteld en maakt het hun lijst meer "indrukwekkend" om dat vooral niet te doen.

En even voor de duidelijkheid - ik serveer geen malware en doe verder niks verdacht op de servers - maar ik heb bijvoorbeeld wel poort 3389 en 1433 open, zodat ik elk adres dat daar op scant meteen kan verbannen (ze leiden niet naar RDP/SQL) want geen enkele toepassing zou dat moeten willen doen.

[ Voor 10% gewijzigd door Webdoc op 15-12-2020 14:56 ]

SuperMicro X11DAi-N Dual Gold 6140 36C/72T 320GB A2000 2x WD770 1TB, 4K + 2x QHD

dinsdag 15 december 2020 15:45

Acties:
  • +1 Henk 'm!
  • CAPSLOCK2000
  • Registratie: Februari 2003
  • Laatst online: 13:06

CAPSLOCK2000

zie teletekst pagina 888

Het is nogal flauw, maar de manier om te zorgen dat je niet op die lijsten komt is zorgen dat je beveiliging in orde is.
Hoewel dat een flauw antwoord is, is het wel het enige goede antwoord. Op zo'n lijst staan is op zich niet schadelijk, al krijg je waarschijnlijk te maken met meer scriptkiddies die proberen je te hacken. Een beetje goede aanvaller bouwt z'n eigen lijsten, dat is makkelijk zat.

Misschien dat er wel een juridische oplossing te bedenken is, maar dan is de vraag of dit soort bedrijven zich daar iets van aan gaan trekken. Ze zitten typisch in het buitenland en daar telt onze wet niet.
Zelfs als er een uitwisselingsverdrag is of zo iets is het nog maar de vraag of andere landen daar aan mee gaan werken. In veel landen hebben ze weinig boodschap aan privacy bezwaren en al helemaal niet als een van hun bedrijven er last van heeft.

Adressen die scans uitvoeren automatisch blokkeren is waarschijnlijk de beste oplossing. Hoe minder informatie ze over je hebben hoe minder je op lijstjes zal verschijnen.

This post is warranted for the full amount you paid me for it.

dinsdag 15 december 2020 17:52

Acties:
  • 0 Henk 'm!
  • Webdoc
  • Registratie: Maart 2001
  • Laatst online: 17-03 04:19

Webdoc

Echte Männer fahren Mercedes

Topicstarter
Onze wetten gelden daar zeker wel, aangezien het data is die binnen de EU is verkregen en betrekking heeft op Europese entiteiten. Daarnaast is het kinderlijk eenvoudig om daar achter te komen, er zijn plenty websites met lijsten van IP ranges voor elk land. Ik gebruik ze zelf om Chinese en diverse andere IP adressen te blokkeren.

En ja, je beveiliging op orde hebben is inderdaad de beste oplossing, maar stiekem toch eigenlijk niet; hoewel je aan de andere kant natuurlijk niet kan verwachten dat mensen vrijwillig toestemming geven om op een lijst van "deugen niet" adressen te komen ;) Het is een beetje een onoplosbaar probleem :)

SuperMicro X11DAi-N Dual Gold 6140 36C/72T 320GB A2000 2x WD770 1TB, 4K + 2x QHD

dinsdag 15 december 2020 20:40

Acties:
  • 0 Henk 'm!
  • kodak
  • Registratie: Augustus 2001
  • Laatst online: 11:30

kodak

FP ProMod
CAPSLOCK2000 schreef op dinsdag 15 december 2020 @ 15:45:
Het is nogal flauw, maar de manier om te zorgen dat je niet op die lijsten komt is zorgen dat je beveiliging in orde is.Hoewel dat een flauw antwoord is, is het wel het enige goede antwoord.
Je antwoord is niet alleen flauw maar ook niet juist.

Laten we eerst eens kijken naar de situatie: een bedrijf doet iets bij jou IP-adres en services zonder het te vragen. Terwijl de wetgeving zowel op gebied van persoonsgegevens als gebruik van computersystemen inmiddels stelt dat een bedrijf niet zomaar iets met een IP-adres of computersysteem mag doen en zeker niet als ze dat niet vooraf vragen en niet duidelijk kunnen maken dat het redelijk is. De wetgever lijkt duidelijk waarom: de controle over wie wat met jou gegevens of systemen doet en of je er last van hebt hoort vooral aan jou te zijn en niet vooral aan al die bedrijven die er hele andere belangen bij hebben dan rekening houden met jou belangen.

Maar heb je die controle dan als je de beveiliging op orde hebt? En heb je geen last als je de beveiliging op orde hebt? Nee, want je kan niet zomaar stellen waarvoor je gegevens gebruikt worden. Bedrijven die scannen geven vaak niet aan wat ze allemaal met de gegevens over je IP-adres of computersysteem doen. Niet vooraf (het is al ongevraagd) maar ook niet zomaar achteraf. En achteraf is dus ook eigenlijk al te laat.

Er valt veel geld te verdienen aan gegevens over veel systemen van anderen. Dan is het niet realistisch om er vanuit te gaan dat ze er alleen maar zaken mee doen waar jij invloed op hebt als je je beveiliging op orde hebt. Denk bijvoorbeeld aan het doorverkopen van informatie welke software je gebruikt (interessant voor je concurrenten), wat te verwachten is over jou manier van beveiliging (interessant om je beveiliging te verkopen), onterecht aannames doen over je software of beveiliging om er aan te verdienen (want ze vragen niet na of ze het goed hebben wat ze denken dat er aan de hand is). En dat komt dus niet alleen maar op een blacklist en ook niet alleen omdat het juist zou zijn.

Wat je er aan kan doen is verschillend maar wat het meest lijkt te helpen lijkt ook meteen het minst haalbare: niet van het internet gebruik maken, of alleen maar anderen die je vertrouwd toegang geven tot je diensten, of al die bedrijven die geld aan jou en gegevens over je willen verdienen aanschrijven navragen wat ze verzamelen wat ze met je gegevens doen en hoe ze denken dat het moet kunnen binnen onze wetten en een deel van de winst opeisen. Maar daar lijken die bedrijven ook een beetje op te gokken dat je dat niet doet en het vooral lucratief voor zichzelf is, anders hadden ze wel netjes gevraagd of ze mochten scannen.

woensdag 16 december 2020 11:49

Acties:
  • 0 Henk 'm!
  • Webdoc
  • Registratie: Maart 2001
  • Laatst online: 17-03 04:19

Webdoc

Echte Männer fahren Mercedes

Topicstarter
Je zou eventueel een systeem kunnen inrichten waarbij bedrijven die voor bona fide redenen "het hele Internet afscannen" in een register moeten staan, en jij als server-eigenaar de mogelijkheid krijgt voor een opt-out. Daarnaast zouden alle doelen van elk bedrijf moeten worden vermeld compleet met een lijst vanaf welke IP adressen zij het scannen doen zodat je eventueel die lijst in je blocked adressen zet.

Tot slot als een soort quid pro quo zou het niet onredelijk zijn dat er ook een mechanisme is waarbij adressen die actief malware en/of andere troep (helpen) verspreiden gemeld kunnen worden (bestaat al, zie https://www.abuseipdb.com/) - enige wat er dan nog mist is een manier om de eigenaar/admin van een IP te kunnen mailen. Sowieso is het natuurlijk wel een plan om een "Do not listen"-lijst van "evil" IP's te kunnen maken die bijvoorbeeld door DNS servers wordt opgepakt en gererout naar een waarschuwingspagina - reken maar dat er dan snel iets aan die tret wordt gedaan!

Dus een mechanisme dat more less zo werkt:

Meld IP als malware --> Bot bij instantie scant --> Indien iets gevonden/melding terecht --> Mens bij instantie doet final check --> Indien confirmed --> Voeg toe aan evil lijst.

En dan elke 2-3 dagen een auto-scan om te kijken of malware nog steeds bestaat, zo niet --> van lijst af.

[ Voor 14% gewijzigd door Webdoc op 16-12-2020 11:52 ]

SuperMicro X11DAi-N Dual Gold 6140 36C/72T 320GB A2000 2x WD770 1TB, 4K + 2x QHD

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq