Heel internet stukmaken, mag dat? (2)

Internet stukmaken kan op heel veel manieren. En nu hebben we er weer eentje: met een paar slim gekozen TCP/IP pakketten is het mogelijk om vrijwel elke op internet aangesloten computer plat te leggen, meldt Webwereld.

Bijzonder aan deze aanval is dat hij kennelijk al jaren bekend was bij ontdekkers Outpost24. Men komt echter nu pas naar buiten, omdat er nog steeds geen oplossing voor is en de aandacht misschien mensen stimuleert om deze te gaan zoeken. Op 17 oktober zullen de ontdekkers de aanval demonstreren, maar geen diepe technische details geven.

En dat was waar een lezer me over mailde: zouden ze die wel mogen geven eigenlijk? Met die details kan iedereen aan de slag om een exploit te maken en systemen platleggen. Niemand die dat kan stoppen, want er is dus geen oplossing bekend. Dat lijkt nogal onverantwoordelijk. Maar is het strafbaar?

Als ik de artikelen goed begrijp, dan gaat het hier om een vorm van denial of service, een aanval waarbij de toegang tot een geautomatiseerd werk wordt belemmerd door bepaalde gegevens op te sturen. Dat is strafbaar onder artikel 138b Wetboek van Strafrecht. De meeste mensen denken bij een DoS-aanval vooral aan grote hoeveelheden onzingegevens zoals bij mailbommen of pingfloods. Maar ook een enkel slim gekozen pakketje valt onder deze strafbepaling (winnuke’t u nog wel eens iemand?).

Ook strafbaar is het om technische hulpmiddelen aan te bieden die “hoofdzakelijk geschikt gemaakt of ontworpen” zijn om een DoS-aanval mee uit te voeren (art. 139d lid 2 sub a Strafrecht). Bij diefstal van diensten bepaalde de Hoge Raad in 2005 dat een tijdschrift met een stappenplan een verboden hulpmiddel was (om gratis Canal+ te mogen kijken). Maar dat ging alleen goed omdat artikel 326c van het Wetboek van Strafrecht spreekt van het aanbieden van een “voorwerp en/of gegevens”. En een tijdschrift bevat gegevens, zo oordeelde de Hoge Raad.

Artikel 139d lid 2 spreekt van een “technisch hulpmiddel”, wat mij toch een stuk beperkter lijkt dan “een voorwerp of gegevens”. Valt een proof of concept exploit, een stuk code dat laat zien dat een aanval echt mogelijk is, daar nu onder? Het is een hulpmiddel, maar is het geschikt gemaakt of ontworpen om ook werkelijk aanvallen mee uit te voeren? En dan dus niet demonstratie-aanvallen in het lab, maar echte aanvallen in het wild.

Ik vind het een erg lastige vraag. Het gaat me wat ver om code ter ondersteuning van beveiligingsonderzoek strafbaar te stellen. Aan de andere kant, als die code uitlekt hebben alle script kiddies ook weer maandenlang plezier met het platleggen van internet en dat is ook bepaald onwenselijk.

Wat vinden jullie? Mag die code worden gepubliceerd, of moeten ze daarmee wachten tot iedereen gepatcht is? En maakt het daarbij uit dat dit een fout met een heel brede impact is, in tegenstelling tot een eenvoudige buffer overflow in versie X van één bepaald stuk software?

Arnoud

8 reacties

  1. 4.10. In het onderhavige geval echter wist of behoorde XS4ALL naar het oordeel van het hof redelijkerwijze te weten dat de informatie op de bewuste websites onrechtmatig was. Vast staat dat XS4ALL, zoals zij behoorde te doen, onmiddellijk na ontvangst van de brief van 8 april 2002 kennis heeft genomen van de informatie op de websites. De inhoud van de hierboven onder 4.1 genoemde artikelen op deze websites (waarvan de tekst door Deutsche Bahn in eerste aanleg integraal is overgelegd) kan niet anders worden opgevat dan als een gedetailleerde handleiding hoe het treinverkeer op de Duitse spoorwegen kan worden gesaboteerd door het onklaar maken van apparatuur langs de rails, dan wel door met een haakklauw de elektrische bovenleidingen van het spoorwegnetwerk te vernielen. De lezer wordt door deze artikelen opgewekt de beschreven acties te ondernemen. Hoewel de sabotage blijkens de artikelen slechts is gericht op het ontregelen van het treinverkeer en niet op het veroorzaken van ongelukken, moet duidelijk zijn dat ongelukken niet zijn uit te sluiten en gevaar voor personen niet denkbeeldig is. In ieder geval kan door de aanbevolen handelingen grote schade aan Deutsche Bahn worden toegebracht, niet alleen door het toebrengen van beschadigingen en vernielingen aan apparatuur en materialen en de daardoor te maken kosten van herstel, maar ook door de vertragingen in het treinverkeer zelf. Bovendien wekken de artikelen op tot het plegen van strafbare feiten (vernieling). De inhoud van de artikelen was dan ook onmiskenbaar onrechtmatig jegens Deutsche Bahn en niet valt in te zien dat daaraan in redelijkheid kon worden getwijfeld. Evenmin valt in te zien welke nadere informatie Deutsche Bahn dienaangaande nog aan XS4ALL diende te verschaffen. Onder die omstandigheden diende XS4ALL de informatie prompt van de websites te verwijderen dan wel de toegang daartoe onmogelijk te maken. Door dat na te laten heeft zij in strijd met de haar betamende zorgvuldigheid en derhalve onrechtmatig jegens Deutsche Bahn gehandeld.
  2. Het klinkt tot nu toe als “veel geschreeuw, weinig wol”. Het komt vaker voor dat security-researchers iets heel groots gevonden denken te hebben, wat achteraf mee blijkt te vallen.

    Er gaat elke dag zoveel crap over het internet, dat je zou verwachten dat een fout op d?t niveau soms per ongeluk getriggert wordt namelijk..

  3. Uiteindelijk mocht ook bekend gemaakt worden hoe de ov-chipkaart gekraakt moest/kon worden. Het lijkt mij dan ook niet meer dan logisch dat het toegestaan is deze bug/flaw in de tcp/ip-stack implementaties van besturingsystemen openbaar te maken. Als dit niet blijkt te mogen, waarom mogen andere bugs in serversoftware etc. dan wel openbaar gemaakt worden?

  4. In het RUN-TLS kort geding (over ov-chip publicatie) maakte de rechter duidelijk dat het expliciet niet ging om praktische/stapsgewijze kraakinformatie, maar om publicatie van de zwakheden van de chip in een niet-direct-bruikbaar formaat, bijvoorbeeld een beschrijving van algoritmes d.m.v wiskundige formules. Of het publiceren van praktische kraakinformatie (waar het m.i. bij broncode om gaat) toegestaan is, heeft de rechter toen niet bepaald.

  5. Het is inderdaad een ‘variant’ op SYN-attacks, alleen is deze wel een miljoen keer erger. Waarbij bij normale SYN-attacks er voor zorgen dat alle connecties open gaan, waardoor er geen nieuwe connecties met de server gemaakt kunnen worden, zorgt deze nieuwe vorm van aanvallen ervoor dat de timers in de tcp/ip-stack van de meeste OS’en gespoiled worden, waarna na deze attack ook geen nieuwe connecties meer geaccepteerd kunnen worden. (zie ook hier).

  6. Ik zie dat die Canal+-zaak uit 2005 nog een heel vervolg heeft gekregen. Na het arrest van de HR in 2005 heeft het Hof Amsterdam opnieuw vrijgesproken, maar nu omdat het stappenplan onder meer wegens het ontbreken van geluid niet tot “gebruik van een dienst” zou leiden. De HR heeft op 8 juli 2008 dat oordeel vernietigd en de zaak verwezen naar het Hof Den Haag. Zie LJN BC9192.

    Ik vind het “gegevens”-deel van art. 326c lid 2 Sr persoonlijk nogal bedenkelijk. Een wettelijke bescherming van security through obscurity?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.