Is een portscan strafbaar?

portscanEen lezer vroeg me:

Op mijn thuisserver zie ik met zeer grote regelmaat portscans voorbij komen. Is dat eigenlijk niet strafbaar en wat kan ik er juridisch tegen doen?

Een portscan (port scan?) is een technisch hulpmiddel om vast te stellen welke diensten een bepaalde server aanbiedt. Diensten (services) zijn via verschillende adressen op een en dezelfde server – poorten, letterlijk eigenlijk ‘havens’ maar goed – bereikbaar. Zo werkt http via poort 80, en verstuur je mail via poort 25.

Weten welke diensten een server aanbiedt, en vooral welke software daarbij wordt ingezet, is handig om te weten als je van plan bent in te breken op die server. Door op alle poorten een communicatie te starten, krijg je die informatie want vrijwel alle serversoftware identificeert zichzelf daarbij. En dan kun je per stukje software opzoeken welke bekende kwetsbaarheden deze heeft.

Portscannen staat als zodanig niet in het wetboek van strafrecht. Het is geen binnendringen (art. 138ab Sr) want je voert geautoriseerde handelingen uit. Die software draait op een bekende poort, en hij geeft volgens het protocol de gebruikelijke reactie. Dat is net zo min strafbaar als aanbellen of het naamkaartje lezen bij een voordeur. En normaliter zal een portscan een server niet laten crashen, dus dat is dan ook geen “veroorzaken van een stoornis in de werking van een geautomatiseerd werk” (art. 161sexies Sr). Tenzij je het zo veel en vaak doet dat je van een denial of service-aanval kunt spreken.

Toch riekt dit naar niet de bedoeling, en het verbaast dan ook niet dat het strafrecht daar wat op gevonden heeft. Twee man die ’s nachts om drie uur met een bivakmuts en een breekijzer in iemands portiek staan, dat voelt ook niet helemaal jofel dus daar wil je als agent tegen kunnen optreden. En dat kan: het strafrecht kent de ‘poging tot’, artikel 45 lid 1 Sr:

Poging tot misdrijf is strafbaar wanneer het voornemen van de dader zich door een begin van uitvoering heeft geopenbaard

Er moet dus sprake zijn van een poging tot plegen van een misdrijf, een overtreding proberen te plegen is niet strafbaar. En er moet een “begin van uitvoering” zijn, alleen maar bedénken dat je een misdrijf gaat plegen is niet strafbaar. (Nou ja behalve als je het met z’n tweeën bedenkt en het misdrijf “met terroristisch oogmerk” is.)

Computervredebreuk is een misdrijf, dus poging daartoe is strafbaar. Brute forcen van een account en gepakt worden voordat je het wachtwoord geraden had, levert dus strafbare poging op want je was bezig met inbreken, er was een begin van uitvoering.

Het vinden van zwakke plekken om in te breken lijkt me ook een “begin van uitvoering”, immers die informatie is nodig om naar binnen te kunnen gaan. Een persoon met bivakmuts die aan alle ramen rammelt om drie uur ’s nachts, is ook bezig met een begin van uitvoering (van inbraak).

Het lastige is alleen, je kunt ook portscannen zonder die informatie te willen gebruiken om later in te breken. En dat oogmerk, dat plan om in te breken, moet er wel zijn. Je kunt niet iets ‘pogen’ dat je niet van plan bent, als u begrijpt wat ik bedoel.

Dus: portscannen is strafbaar, mits duidelijk is dat de portscan-uitvoerder van plan is vervolgens in te gaan breken bij het geportscande systeem. Alleen: hoe bewijs je dat? Je kúnt natuurlijk zeggen, er is geen andere legitieme reden om te portscannen dús is elke portscan bewijs van de wens in te gaan breken. Maar dat voelt wel een beetje te kort door de bocht. Wat jullie?

Arnoud

33 reacties

  1. Maar wat als de man met bivakmuts en breekijzer die aan deuren van woningen voelt nou een man (m/v) is die aan de deur van een nachtwinkel (internet is immers ook 24/7 open) voelt om te kijken of deze open is, en als deze open is kijkt wat hun assortiment is (welke services er draaien)?

    En als er 10 nachtwinkels op een rij zitten, dan is er toch niets strafbaars aan om dat uit te voeren bij alle 10 die winkels?

    1. Tsja, het gaat om de intentie en vooral ook waar deze uit afgeleid kan worden. Is het logisch dat iemand bij een nachtwinkel aan de deur voelt? Ja dat kan, hoewel de meeste mensen kijken naar of er licht brandt en afhankelijk daarvan de deur niet eens meer proberen. Maar belangrijker: waarom heb je die bivakmuts op (oké het is koud) en dat breekijzer (dat moest je teruggeven aan een kennis wiens naam je nu even vergeten was, eh ja).

      Het blijft een optelsom van factoren uiteindelijk.

      Ik denk dat als ik in een winkelstraat iemand zie die bij elke winkel de deur probeert en daarna doorloopt, ik op zeker moment mijn juridische nekharen zou voelen kriebelen.

    2. Maar je gaat toch niet kijken bij elke server of er wellicht een bepaalde dienst beschikbaar is? Dat voelt een beetje alsof je bij elk huis aan de deur gaat voelen om te kijken of er wellicht een nachtwinkel in het huis zit.

      Het is geen binnendringen (art. 138ab Sr) want je voert geautoriseerde handelingen uit.

      Klopt dit wel? Het lijkt me toch dat je ook geautomatiseerd binnen kan dringen? Een script wat zoekt naar (lekke) wordpress sites en daar automatisch binnendringt is toch niet toegestaan?

      Je kúnt natuurlijk zeggen, er is geen andere legitieme reden om te portscannen dús is elke portscan bewijs van de wens in te gaan breken.

      Natuurlijk zijn er voldoende legitieme redenen voor een portscan. Bijvoorbeeld om te testen of jouw leverancier z’n server wel een beetje op orde heeft. Zo kan je ook aan de ramen en deuren gaan rammelen van een huis van een vriend om te laten zien dat hij deze vaker op slot moet doen.

      Ik vraag met het volgende af: Stel iemand voert bij jou een portscan uit of een DoS. Mag je dan die server hacken en alléén dat script stoppen? Of ben je dan zelf ook schuldig aan computervredebreuk?

      1. Je kunt zeer zeker ook geautomatiseerd binnendringen. Echter, het maakt volgens mij nogal uit of je binnendringt via een truc die helemaal niet behoort te werken (je exploiteert een buffer overflow met malafide invoer) of dat je ‘gewoon’ binnenloopt via een wijd openstaande voordeur (er zit géén wachtwoord op de telnet server op poort 2323).

        Bij portscannen kijk je of de voordeur openstaat. Je probeert niets uit dat niet behoort te werken. “HELO example.com” zeggen tegen poort 25 is doodnormaal binnen het smtp protocol. Net zoals een deur proberen open te duwen doodnormaal is in een winkelstraat. Het is dan het feit dat je elk protocol achter elkaar uitprobeert, elke deur en elk raampje achter elkaar in het winkelcentrum, dat het verdacht maakt.

        1. In de reeele wereld hebben we zonlicht dat gereflecteerd wordt en waarmee we op afstand objecten kunnen zien en ook kunnen zien of een deur/raam open staat. We gebruiken ook satellieten om in kaart te brengen waar huizen staan op basis daarvan nuttige overzichten te genereren.

          Op TCP/IP niveau kan je van afstand helemaal niets zien. Zelfs geen contouren. Dat is best vreemd. Een portscan is in mijn ogen HET middel om de contouren helder te krijgen. Daar is niets op tegen zolang het niet voor verkeerde dingen wordt ingezet.

    3. Ik zou het niet zo snel zien als 10 winkels op een rij. Meer dat ze alle mogelijke ingangen van een winkel proberen. Dus ook alle wc-raampjes en kattenluikjes om te kijken of er iets open is, waarmee ze dus een ingang proberen te vinden die niet voor hen bedoeld is. Klanten worden geacht via de hoofdingang (poort 80) naar binnen te komen en niet via de deur voor de postbode (poort 25).

  2. De vraagsteller gaf aan dat de port scan met zeer grote regelmaat voorbij komt. Je zou het dan dus in de categorie “poging tot denial of service” kunnen gooien naar mijn idee. Het begin van uitvoering is er al immers.

    1. Met grote regelmaat denk ik aan enkele keren per dag maximaal, niet duizenden keren per seconde.

      De meeste portscans zullen zo’n 1000 poorten scannen en dat geeft per poort 64 bytes aan dataverkeer inkomend (als alles dicht staat). Dus de volledige scan zal minimaal 64kb van je dataverkeer kosten en dat is ook weer niet heel veel.

      Om een voorbeeld te gebruiken; dat is alsof je 1 auto op een verder lege snelweg aanspreekt op het proberen te creeeren van een file omdat hij maar 110 ipv 130 rijd.

  3. Wat ik mij dan wel afvraag; hoe legaal is het om pogen in te breken met als doelstelling om te zien of de gebruiker veilig is?

    Op een aantal IRC netwerken staan ‘proxy-scanners’ die een client die verbind scannen op een paar poorten, en als die poorten open staan dan proberen ze naar zichzelf te verbinden op die poort met als uiteindelijke doel om te voorkomen dat gebruikers via een anonieme proxy verbinden om zo hun ware identiteit te verstoppen. Of om gebruikers te weren die op een onveilige manier internetten.

  4. Naar mijn idee is een port scan niet illegaal, je kan dit immers ook doen zonder kwade bedoelingen. De kwade bedoelingen kan je uit de port scan niet afleiden. Pas wanneer je een exploit toepast doe je een poging tot inbraak. Het echte probleem lijkt me dat mensen met kwade bedoelingen en mensen goede bedoelingen dezelfde tools gebruiken. Het gebruik van die tools zegt dus niets

  5. Dus: portscannen is strafbaar, mits duidelijk is dat de portscan-uitvoerder van plan is vervolgens in te gaan breken bij het geportscande systeem. Alleen: hoe bewijs je dat? Je kúnt natuurlijk zeggen, er is geen andere legitieme reden om te portscannen dús is elke portscan bewijs van de wens in te gaan breken. Maar dat voelt wel een beetje te kort door de bocht. Wat jullie?

    Ik doe heel af en toe een portscan, en vaker test ik specifieke poorten zoals 25 of 80; maar ik heb nooit de bedoeling om in te breken. Het is me opgevallen dat veel mensen portscans automatisch als inbraakpogingen zien. Dat vind ik iets te kort door de bocht; voor tests op specifieke poorten kunnen legitieme redenen zijn, en een portscan op een heel bereik van poorten kan gedaan worden om een netwerkprobleem te debuggen of de beveiliging van een systeem te onderzoeken zonder de bedoeling om daar misbruik van te maken.

    1. Ja. Maar normaliter gebeurt dat dan door een systeembeheerder met een verantwoordelijkheid voor het betreffende netwerk. De meeste portscans gebeuren vanaf externe netwerken, en het is dan volstrekt onduidelijk waarom ze dat doen.

      Draai voor de grap eens iets van logging op je thuisnetwerk, hoe veel dingen je publieke IP-adres portscannen vanaf internet. Ik heb dat bij UPC ooit een avond gedaan en het gaat dan echt om tientallen dingen per minuut (van vele vele vage IP-adressen).

      1. Ik weet het, maar je mag volgens mij iemand niet veroordelen op het feit dat 99% van de mensen in dezelfde situatie dezelfde handeling met illegale bedoelingen doen. In de praktijk weeg je dit soort kansen natuurlijk mee en het lijkt me dus redelijk van iemand die een portscan doet te eisen om een goede reden te geven.

  6. Had de Hoge Raad ooit niet eens geoordeeld dat met bivakmutsen op, voorzien van wapens, in een auto met draaiende motor, wachten voor de deur van een grenswisselkantoor, nog geen begin van uitvoering was? Dan zou m.i. met een bivakmuts op en breekijzer in de hand kijken naar naamplaatjes ook nog geen begin van uitvoering zijn. En de digitale variant – kijken naar openstaande poorten – ook niet… zolang je aan de externe kant blijft.

    1. Dat klopt. Ze hebben echter ook eerder bepaald dat gebivakmutste, gewapende mensen die bij een uitzendbureau aanbellen al begonnen waren met de uitvoering van een overval, ook al werd de deur niet open gedaan en hebben ze de deur ook niet gepoogd open te breken… (HR 24 oktober 1978, NJ 1979, 42 (Cito)).

      Ik kan me wel vinden in de redenering van Arnoud dat portscans door de bank genomen op niks anders gericht kan zijn dan het inbreken in een computer, en dat ze daarom als begin van uitvoering gezien kunnen worden. Alleen zelfs als dat zo is blijft het wat hypothetisch. Ik acht de kans 0 dat politie en justitie ook maar 1 millimeter werk verzetten om de portscanner van een particulier systeem te vervolgen.

  7. Wat ik interessant vind is dat Weev volgens deze denkwijze ook in Nederland zou kunnen worden opgepakt. Het proberen van random URL’s is immers, net als een portscan, niet illegaal. Maar het geautomatiseerd proberen van random URL’s met als doel het verkrijgen van privacy-gevoelige informatie kan hem dus wél aangerekend worden ( https://en.wikipedia.org/wiki/Weev#AT.26Tdatabreach ).

    Verder vind ik in deze jurisdictie interessant. In Israel mag men portscannen en directoryscannen. Daar zijn dus de bedrijven gevestigd die, in opdracht van vooral Amerikaanse bedrijven, websites checken op auteursrechtelijk beschermde werken. Hierdoor komt het dat u een claim kan ontvangen voor een plaatje op een development website die nooit live is geweest (geen links ernaartoe, niet in zoekmachines te vinden). Toen een portscan werd uitgevoerd op de website van de Mossad, werd de “dader” echter wél opgepakt. De rechter besloot echter: “In a way, Internet surfers who check the vulnerabilities of Web sites are acting in the public good. If their intentions are not malicious and they do not cause any damage, they should even be praised.”

    Maakt het nog uit vanuit welke jurisdictie de poortscan wordt uitgevoerd? Of dit een commerciele scan is (uitgevoerd in opdracht van een bedrijf) of een hobby scan?

    Ikzelf hoop het simpel te houden (het is immers een complex vraagstuk): Doe al de poortscans die je wil, maakt niet uit of hier slechte intentie achter zit. Niet strafbaar stellen. Als de slechte intentie leid tot computervredebreuk, pak dan alleen die computervredebreuk aan. Niet nodig om die poortscan van gisteren er ook nog bij te pakken. Dat is een beetje als het strafbaar stellen van een stake-out in een brillenzaak, alvorens diezelfde nacht daar in te breken. Stel de inbraak strafbaar. Niet die klant die verdacht in een hoekje staat en uiteindelijk niets koopt. Schiet je toch niets mee op.

    1. Het ligt denk ik toch iets ingewikkelder dan ik had gedacht. Stel de stake-out bij die brillenzaak wordt uitgevoerd door een vriend van de overvallers. Hij verteld ze waar de waardevolle spullen liggen en de camera’s hangen en krijgt wat schouderklopjes en gratis drankjes voor deze tips. Het voelt mij niet lekker om zo iemand dan te laten lopen.

      Ook de wisselwerking met zaakwaarneming. Mijn buren zijn op vakantie en vanaf de tuinpoort scan ik de voorkant van het huis. Ik merk op dat de deur wijd openstaat en dat er een storm op komst is. Je kan volgens mij niets doen en niet strafbaar zijn (wel een slechte buur). Je kan de deur dichtdoen en een briefje door de brievenbus duwen met uitleg (zaakwaarneming). Zelf inbreken is natuurlijk gewoon strafbaar (al verdien je geen extra straf voor de poortscan volgens mij). Maar naar de kroeg gaan en daar aan je louche vrienden vertellen dat de buren hun deur hebben opengelaten, en dat het zonde zou zijn als iemand daar zou inbreken en de onlangs geinstalleerde geluidsinstallatie mee zou nemen… dat voelt ook zeker niet goed. Dan nog: Strafbaar stellen van inbraaktip en niet de poortscan? Of die poortscan ook meenemen en dan altijd met de juridisch lastige “intentie” worden geconfronteerd? Lastig, lastig.

      Ook wordt de informatie niet altijd direct uitgewisseld tussen betrokkenen bij een inbraak/vredebreuk. Ik kan bijvoorbeeld de server van deze website scannen en dan op Pastebin posten welke poorten openstaan. Als iemand anders dan via de informatie uit mijn Pastebin die site hacked… Is dan mijn poortscan strafbaar? Mijn intentie was gewoon het delen van publieke informatie (Staat u open? Ja!), iemand anders heeft de slechte intentie en voert het uit. Als het delen van zulke informatie strafbaar wordt dan kan men de tool “nmap” wel verbieden, immers het faciliteerd strafbare informatie.

    1. Echter Artikel 47: Als daders van een strafbaar feit worden gestraft zij die door giften, beloften, misbruik van gezag, geweld, bedreiging, of misleiding of door het verschaffen van gelegenheid, middelen of inlichtingen het feit opzettelijk uitlokken.

      U heeft de mogelijkheid om uw server zo in te stellen dat op de legitieme vraag “staat poort 667 open?” het antwoord komt “gaat u niets aan!”. Met een “Ja! Kom binnen voor honing!” als antwoord is het toch moedwillig vragen om problemen?

      1. De vraag is of je van uitlokking kunt spreken. Over uitlokking, hier. Deze zin gaat m.i. ook op bij een honeypot:

        Het is dan min of meer toevallig, als de dader zich aan het lokmiddel vergrijpt en niet aan een object van een willekeurige derde.

        1. Tof artikel! Ik lees daar wel in:

          Het Lokfiets-arrest is een arrest waar ik mij als advocaat niet volledig in kan vinden. In deze zaak plaatste de politie een lokfiets naast een kaartjesautomaat op het station. De fiets werd niet op slot gezet.
          En dat is waar het hier om gaat. Er wordt niet met brute force een slot opengebroken. Het openzetten van poorten waarachter u zelf gegevens aanbied is meer als een witte fiets niet op slot zetten met een bordje erop: “maak vrij gebruik van mij”. Technisch gezien is het verbieden van geautomatiseerde poortscans zeer ongewenst. Ikzelf zie dit een beetje als het niet geautomatiseerd mogen raadplegen van URL’s.

          Natuurlijk runnen reeds meerdere (overheids)organisaties honeypots als deze. Bijvoorbeeld voor analyse of botnet onderzoek. En het gros zal vanuit andere landen komen, zoals Georgie, Rusland of China. Als je een portscan uitvoert met kwade bedoelingen dan kun je dat ook doen vanaf een IP waar Nederland geen jurisdictie heeft.

          Ik trek de grens bij een lok-Wordpress installatie. Als daar met grof geschut op gehacked wordt en dit gebeurd met een Nederlands IP, dan mag je die wel een bezoekje brengen. En dan niet een installatie die bij één bezoek aan http://lokwordpress.nl:80/wp-admin/ de gegevens blootsteld en je oppakt voor hacken, iets wat ik mij voorstel bij een honeypot tegen poortscans gevolgd door “binnendringen” door een open deur.

          Overigens Artikel 139d lijkt in het begin duidelijk een artikel om ‘poortscans gevolgd door hacks’ aan te pakken.

          Met dezelfde straf wordt gestraft hij die, met het oogmerk dat daarmee een misdrijf als bedoeld in artikel 138ab, eerste lid, 138b of 139c wordt gepleegd: een computerwachtwoord, toegangscode of daarmee vergelijkbaar gegeven waardoor toegang kan worden gekregen tot een geautomatiseerd werk of een deel daarvan, verkoopt, verwerft, verspreidt of anderszins ter beschikking stelt of voorhanden heeft.
          Echter:
          Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven: a. door het doorbreken van een beveiliging, b. door een technische ingreep, c. met behulp van valse signalen of een valse sleutel, of

          d. door het aannemen van een valse hoedanigheid.

          wordt gestraft hij die opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftapt of opneemt die niet voor hem bestemd zijn

          opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden. En voor al dit is een portscan alleen niet genoeg, en dus niet strafbaar (op zichzelf). Ga je daarna beveiligingen doorbreken (wachtwoorden proberen op de printers etc.) met een hack (technische ingreep), gegevens aftappen en opnemen, of DDOSen op een open poort dan ben je wel de klos. Een portscan bevind zich vóór dit wederrechtelijk toegang verkrijgen, en hoeft dus an sich niet strafbaar te zijn.

          Volgens mij is alleen rondkijken, vanaf je eigen IP, zonder technische poespas, of openbreken van gesloten poorten, zonder iets op te nemen of af te tappen niet eens strafbaar onder dit artikel en daarmee een goede balans: Portscans zijn legaal. Portscans met oogmerk om een misdrijf te begaan is illegaal.

  8. De uitspraak ECLI:NL:RBROT:2014:10047 is gerelateerd:

    De verdachte heeft verklaard dat hij in het kader van een onderzoek een honderdtal websites meermalen heeft gescand op zwakheden en dat de website van [bedrijf 2] daar kennelijk één van was. Hiervoor gebruikte hij het programma Acunetix. De verdachte heeft voorts verklaard dat hij dit onderzoek deed omdat in de krant/media verschillende percentages werden genoemd van zwakke sites, hij wilde onderzoeken om welk percentage het daadwerkelijk ging. Het was niet de bedoeling van de verdachte om in te breken. De raadsvrouw heeft aangevoerd dat alleen kan worden vastgesteld dat er sprake is geweest van een scan op zwakheden, dat uit de loggegevens blijkt dat de zwakheden Cross Site Scripting en Directory traversal zijn aangetroffen, maar niet dat zij gebruikt zijn. De raadsvrouw heeft bepleit dat de verdachte dient te worden vrijgesproken. (..) Gelet op de bewijsmiddelen kan bewezen worden verklaard dat de verdachte zich schuldig heeft gemaakt aan een poging tot computervredebreuk bij het bedrijf [bedrijf 2]. Door meermalen het computersysteem van [bedrijf 2] te ‘scannen op zwakheden’ met de programma’s waarmee hij dit heeft gedaan, kan dit naar de uiterlijke verschijningsvormen niet anders worden gezien dan het proberen binnen te dringen in het computersysteem van de [bedrijf 2].

    1. Ik denk dat je wel even het hele vonnis moet lezen voor perspectief.

      Om te beginnen zijn op de PC allerlei zaken aangetroffen mbt hacken. En was het voor zijn claim dat hij beveiligingen onderzocht niet noodzakelijk om dezelfde server meerdere malen te scannen. Daarnaast claimde hij een schoolopdracht die door zijn docent ontkracht werd. Dat doet je geloofwaardigheid ook geen goed.

      Dit zegt niets over hoe het vonnis zou zijn uitgevallen als er verder geen enkele aanwijzingen van hacken of opliochting op zijn pc waren gevonden, hij alle servers slechts éénmaal had gescant eninderdaad een (opzet van een) artikel was gevonden over de staat van beveiliging van servers om zijn claim dat hij percentages wilde verifiëren te onderbouwen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.