Een lezer vroeg me:
Bij een loginprompt zie je vaak “Verboden toegang voor onbevoegden” of iets dergelijks. Nu hoorde ik dat als je daar “Welkom” neerzet, het legaal zou zijn om bv. via wachtwoord raden binnen te dringen. Immers wie welkom geheten wordt, gaat niet wederrechtelijk naar binnen. Klopt dat?
Nee, dat klopt niet. Een deurmat met “Welkom” geeft inbrekers ook geen bevoegdheid mijn deur open te breken met een koevoet.
Als de deur ópen zou staan en er hangt een bordje “Welkom”, ja dan zou je misschien kunnen denken dat iedereen uitgenodigd is op een buurtfeestje of open barbecue. Het digitale equivalent daarvan zou dan een “Welkom”-banner zijn met een gast/gast logincombinatie. Als dát account zou werken (ook als het onaangekondigd is) dan lijkt het me nauwelijks nog verdedigbaar dat iemand inbrak.
De wet stelt ‘binnendringen’ in een computersysteem strafbaar. Het is daarbij nodig dat op een of andere manier blijkt dat je op verboden terrein bent. (Vroegâh had je zelfs een beveiliging nodig die moest worden doorbroken, nu niet meer.) Zo’n loginbanner of MOTD is dus het digitale equivalent van het art. 461 Strafrecht-bordje. Meer dan “verboden toegang voor onbevoegden”* als tekst zou niet nodig moeten zijn.
Is er een gastaccount, dan ben je niet onbevoegd als je daarop inlogt. Misschien als er duidelijk is gezegd wíe er als gast naar binnen mag, maar dat heb ik eerlijk gezegd nog nooit gezien. Een beetje beheerder timmert een gastaccount ook zodanig dicht dat een ongewenste gast toch niets geks uit kan halen, dus waarom zou je ook?
- En volgens mij zelfs dat niet want het spreekt voor zich dat ONbevoegden niet naar binnen mogen. Vlakbij mijn kantoor staat een geel verkeersbord met de tekst “Te hard rijden is verboden”. Joh.
Arnoud
Hoe zit het eigenlijk als je als gast een server met een welkomst banner binnnen gaat. En nadat je binnen bent jezelf extra rechten geeft.
Denk hierbij bijvoorbeeld aan een IRC kanaal. Daar kan je meestal als gast op inloggen maar mensen met het wachtwoord kunnen daarna een operator worden waardoor zij meer rechten krijgen (mensen kicken/bannen, MOTD veranderen, etc).
Je bent dan niet dieper het systeem ingegaan. Het lijkt me daarom niet mogelijk om te zeggen dat er nu wel van binnendringen spraken is. Je was immers als binnen.
Da’s een leuke. De vraag zou zijn hoe jij die extra rechten verkrijgt. Als een bestaande operator je die geeft, dan handel je niet illegaal (computervredebreuk) door ze te gebruiken. Haal je een truc uit (je weet het operatorwachtwoord of je neemt de nick aan van een operator zodat je voor hem wordt aangezien) dan pleeg je wél computervredebreuk.
Privilege escalation zoals dat algemeen heet is wél computervredebreuk.
Je kunt het verwerven van superuser-rechten zien als het toegang verkrijgen tot een (apart) deel van het systeem. Computervredebreuk is binnendringen in een werk of een deel daarvan.
Zit die functionaliteit er niet vast ingebakken in? Een gebruiker die een IRC-kanaal aanmaakt, wordt automatisch beheerder voor dat kanaal, ook als dat kanaal voorheen van iemand anders was.
Soms kunnen bijv. door een serverstoring alle huidige gebruikers van de server worden geknikkerd, waardoor het kanaal samen met de laatste actieve gebruiker verdwijnt. De volgende persoon die als eerste weer dat kanaal joint (en dus aanmaakt), krijgt nu automatisch alle beheerdersrechten. Om die reden maken de meeste IRC-kanalen gebruik van bots, die na een storing z.s.m. automatisch rejoinen en de rechten aan de oorspronkelijke beheerders toekennen. Dat neemt niet weg, dat menselijke gebruikers (of andere bots) soms sneller kunnen zijn, en zo het betreffende kanaal “overnemen”.
Waar zit de grens tussen wel of niet binnengaan. Dat is de vraag. Bijvoorbeeld: Hoe zit het met onbeveiligde thuisnetwerken. (zeker nu kabelmaatschappijnen private wifi punten veranderen in toegangpunten) En als je daar al op zou mogen hoe zit het met thusicomputers die open staan voor het delen van media bestanden met andere computers in dat netwerk.
http://www.unixworks.net/papers/wp-007.pdf
Ik denk dat hier geldt “better safe than sorry”, vooral als je met Amerikanen te maken krijgt.
Ook heb ik dit wel een paar keer langs zien komen in het kader van ISO27001 A11.5.1 (secure login procedure), waar er door de auditor gekeken werd of er een ontmoedigende banner aanwezig is, zoals jij ook al aangeeft in je artikel. Gezien het feit dat dit soort geneuzel de discussie niet waard is, raad ik altijd aan om het woord “welkom” niet te gebruiken.