De security scan als strafbare poging tot computervredebreuk

Wanneer is het zoeken naar kwetsbaarheden nu strafbaar als computervredebreuk? Een vaak terugkomende discussie, waar nu met een vonnis (dank, lezer) een eerste antwoord op is gegeven. Een security scan is strafbaar als het er alle schijn van heeft dat je van plan bent daarna in te gaan breken.

Een security scan kan van alles omvatten. Uitproberen of een invulveld gevoelig is voor cross-site scripting. Directory traversals zoeken. Of een portscan uitvoeren, waarbij je per poort gaat kijken welke software daar draait en of dat kwetsbare software is. Dit kun je puur uit nieuwsgierigheid doen. Of omdat je bezig bent met een groot onderzoek hoe kwetsbaar allerlei systemen zijn. Maar het kan ook overkomen als een opmaat tot inbreken – ’s nachts om drie uur aan een huisdeur rammelen komt ook best wel over als een opmaat tot insluipen in dat huis.

In deze zaak had de verdachte verklaard dat hij uit nieuwsgierigheid allerlei sites had gescand met de vulnerability scanner Acutenix. Er was in de krant allerlei ophef over onveilige sites en hij wilde wel eens weten hoe dat zit.

Niet geloofwaardig, aldus de rechtbank:

Door meermalen het computersysteem van [bedrijf 2] te ‘scannen op zwakheden’ met de programma’s waarmee hij dit heeft gedaan, kan dit naar de uiterlijke verschijningsvormen niet anders worden gezien dan het proberen binnen te dringen in het computersysteem van de [bedrijf 2].

Wat exact de bewijzen zijn voor deze conclusie, kan ik niet halen uit het vonnis. Mogelijk speelde ook mee dat hij had gezegd dat het een schoolopdracht was, wat niet waar was. Dan sta je natuurlijk al meteen met 3-0 achter in de verdere discussie. En het lijkt erop dat hij naast het uitproberen ook data heeft gekopieerd, zo staat in de tenlastelegging:

immers heeft hij, verdachte, een of meer bestand(en) en/of gegevens gekopieerd naar zijn eigen computer, te weten 500 gebruikersnamen en wachtwoorden om in te loggen op de webwinkel van de genoemde groothandel;

Ik kan begrijpen dat het “ik wilde alleen uit nieuwsgierigheid scannen” niet heel geloofwaardig is als je ook inloggegevens bewaart. Een nieuwsgierige zou genoegen nemen met het uitslagscherm van de scanner lijkt me.

Tegelijk kan ik me ook voorstellen dat je bij zo’n scan data downloadt als deel van het proces, en daar vervolgens niet meer naar omkijkt. Dan heb je dus een probleem want je hebt zwaar de schijn tegen in zo’n situatie. Dus áls je vreemde systemen wilt gaan scannen omdat je nieuwsgierig bent, zorg er dan voor dat je niets downloadt, hoe nieuwsgierig je ook bent.

Arnoud

10 reacties

  1. Ik heb, toegegeven, ook wel eens gekeken wat er gebeurde als ik een bepaalde variabele verander in een request-header oid. Je vertrouwt erop dat de bedrijven waar je klant bent het goed beveiligd hebben, maar mijn vermoeden/onderbuikgevoel bleek terecht. Kon cache-gegevens van andere klanten opvragen, zonder echt veel moeite. Punt bewezen, niet verder gaan grasduinen, maar het probleem oplossen.

    Direct gebeld met het bedrijf en het gesprek opgenomen. Uitgelegd wie ik ben, wat ik aan het doen was en na een paar keer doorverbonden te zijn, op de juiste afdeling het zwakke punt aangekaart door het hén nogmaals te laten testen. Zij hebben binnen no-time het lek gedicht overigens.

    Dat heeft er ook voor gezorgd dat ik klant ben gebleven, anders had ik gepoogd de overeenkomst te ontbinden op grond van geen goed opdrachtnemerschap.

  2. Voeg daar aan toe dat de verdachte verder is gegaan dan alleen de “beveiligingsscan” en het downloaden van gebruikersnamen en wachtwoorden; hij heeft ook mensen opgelicht door onder valse naam goederen te bestellen… Dat geeft hem een zwart hoedje en de rechter een extra reden om zijn verklaring “uit nieuwsgierigheid” met een korrel zout te nemen.

    Alles bij elkaar denk ik dat iemand die alleen meet een aanklacht “binnendringen in een geautomatiseerd systeem” geconfronteerd wordt niet snel een gevangenisstraf van 18 maanden zal krijgen.

  3. Oh, portscans en zo! Leuk. Zo heb ik ook wel eens de veiligheid van andere sites zitten testen. En jaren geleden, toen de meeste mensen hun Wifi niet beveiligd hadden reed ik ook wel eens langs plekken waar dan weer een open Wifi-netwerk was en dan kon ik het niet laten om snel te kijken wat die mensen gewoon open en bloot vrijgaven. En dat vanaf mijn laptop met Wifi via USB want smartphones waren toen nog niet zo “smart”. Maar het grootste gevaar is “shared hosting”, naar mijn mening. En desondanks wordt dat nog steeds onderschat. Zo’n 10 jaar geleden maakte ik er nog gebruik van tot ik merkte dat mijn site opeens besmet was met malware. Opschonen hielp een paar uur maar daarna was het weer raak. Site vervangen door een vrijwel blanco index-pagina en poef! Weer raak. En dat op een Windows host bij een of ander Amerikaans bedrijf. Dus ik ging een stapje verder. Ik maakte een simpele filebrowser web applicaties waarmee ik de bestanden op die server kon doorbladeren. Je zou verwachten dat dit geen of vrijwel geen toegang tot het systeem zou mogen hebben maar nee, hoor. Niet alleen zak ik netjes de folders van mijn eigen website, inclusief de delen die niet zichtbaar zouden mogen zijn, maar ik kon ook een folder omhoog en kreeg daar zo’n 120 andere folders te zien die dus aan andere klanten toebehoorden! En ook daar kon ik gewoon in bladeren! Nog iets verder omhoog en ik kwam uit op de root van de server en kon grote delen van het systeem gewoon doorbladeren en bestanden downloaden die ik zou willen inkijken. Niet gedaan, maar ik kon het wel zonder dat het op zou vallen.

    Heb daarna mijn account bij die shared host afgesloten, mijn domein verhuist naar een andere registrar en heb een mini-PC als eigen webserver ingericht. Mijn sites zijn toch alleen maar bedoeld om mee te testen dus ze mogen gehackt worden. Dan formatteer ik het systeem gewoon opnieuw en oefen ik mijn vaardigheden weer met het configureren van Windows 2012. 🙂

    Maar ik weet uit ervaring hoeveel kwetsbaarheden systemen kunnen hebben en de belangrijkste les is dat hackers alles kunnen waar je toestemming voor geeft. En veel systemen geven bij voorbaat al toestemming voor heel veel dingen…

  4. Een security scan is strafbaar als het er alle schijn van heeft dat je van plan bent daarna in te gaan breken.
    Ik lees het vonnis eigenlijk als: Een security scan is strafbaar als die tot doel heeft daarna in te gaan breken, en daar heeft het hier alle schijn van.

  5. Ik heb zeer grote moeite met dit soort ongeautoriseerde “security scans”. Persoonlijk zie ik niet zo heel erg veel legitieme redenen waarom willekeurige personen dergelijke scans zonder toestemming uit zouden moeten gaan voeren.

    Een klant zou zelf iets kunnen proberen, maar als die een uitgebreide test wil kan deze altijd de leverancier vragen om een test uit te laten voeren door een gecertificeerd bureau waarna het rapport naar de klant kan. Al dan niet voorzien van factuur.

    M.i. zou een “security scan” altijd tot een strafbare poging tot computervredebreuk moeten leiden. Uitzondering kan wellicht zijn als er geen informatie wordt gedownload en/of gewijzigd maar in plaats daarvan de beheerder in kennis wordt gesteld.

    Van de andere kant kan je daar nooit zeker van zijn dus moet er na een dergelijk incident altijd een uitgebreide controle uit worden gevoerd.

    Als je niet als doel hebt om in te breken, met welk belang zou iemand dan een “security scan” uitvoeren.

    1. Het enige belang dat ik kan bedenken is het algemeen belang. Er zijn zó veel systemen die volkomen prutswerk zijn met triviale beveiligingsfouten die grote gevolgen hebben. Zeg maar het digitale equivalent van honden in warme auto’s, pannetjes melk op achtergelaten brandende fornuizen en vrachtwagens met ondeugdelijk vastgezette lading. Daar mag en moet iedereen wat van zeggen, en hoewel we dat bij die voorbeelden normaal vinden, is iets roepen over beveiliging van ICT dan ineens een ernstig misdrijf?

      Maar ik geef meteen toe dat dit geen algemeen opgaand argument is. Er zijn er veel die scannen Omdat Het Kan, uit trolbehoefte of omdat ze hopen op gelekte naakfoto’s van celebrities (m/v). Of omdat ze dan best eens zouden willen inbreken als de scan wat oplevert. En dat is nou niet echt wenselijk.

      1. Het algemeen belang, die is altijd leuk. Als ze het algemeen belang zouden dienen, dat wil m.i. zeggen dat ze onmiddelijk na ontdekking de beheerder van de site in kennis stellen van een mogelijk probleem, dan zou je jezelf daar iets bij voor kunnen stellen. Fijn dat je inzie dat het geen heel goed argument is.

        is iets roepen over beveiliging van ICT dan ineens een ernstig misdrijf?

        Niet als je het volledig acceptabel kan vinden als iemand alle ramen en deuren controleert bij de huizen van anderen en vrolijk binnen rondloopt als hij/zij binnen kan komen. Als je dat in de “echte” wereld niet toe kan staan, waarom dan wel in de digitale? Waarom scans voorkomen: omdat het simpel is en velen het niet als illegaal zien? Omdat veel ouders echt geen flauw benul hebben van wat het kroost online uit aan het vreten is? Omdat iedere puisterige puber wel ergens een scriptje kan vinden waar hij de Ev1L HaCkEr mee uit kan hangen?

        Wat m.i. blijft is dat “security scans” zonder voorafgaande toestemming niet toelaatbaar zouden moeten zijn, en dat vermoedelijk ook niet zijn. Een eventueel algemeen belang argument zonder voorafgaande toestemming zal je echt heel goed moeten beargumenteren. M.i. zou veel zo niet alles afhangen van de vervolgacties.

        Een voorbeeld van een m.i. toegestane security scan zou een hostingprovider zijn die nagaat of klanten een lek CMS hebben draaien en ze informeert als dat het geval is.

        1. dat wil m.i. zeggen dat ze onmiddelijk na ontdekking de beheerder van de site in kennis stellen van een mogelijk probleem

          White hat hackers doen dat dan ook, al is in het verleden vaak genoeg gebleken dat dat weinig zin heeft: als je verbeteringen wilt (bijvoorbeeld omdat bedrijf X ook jóuw medische dossier vindbaar via google heeft gemaakt ofzo) dan is druk vanuit de MSM vaak het enige wat werkt, helaas. Plus dat je meteen een aangifte tegen je gedaan krijgt. Lekker dan, probeer je het goede te doen, krijg je zelf de kous op de kop. Denk maar eens terug aan Lektober.

          Gezien het stuitende gebrek aan actie bij bedrijven om hun beveiliging fatsoenlijk te regelen – Sony is daar een goed voorbeeld van – en het gebrek aan keuze dat je als consument en burger hebt is de rol van de white hat hacker in onze digitale samenleving mijns inziens vooralsnog bitterhard nodig, zij zijn het digitale equivalent van de bekende wittevoetjesacties van de politie. En iedereen meteen maar een strafblad geven ontmoedigt nogal (want VOG).

          Maar de trend in het digitale domein is sowieso al naar “je bent schuldig en mag zelf bewijzen dat je onschuldig bent”.

          Black hat hackers(a.k.a. crackers) mogen van mij gewoon een strafblad krijgen, daar heb ik dan weer geen probleem mee.

          En tenslotte: ja, het algemeen belang. Dat vind ik eigenlijk best wel Een Goed Ding. En van mij mogen meer mensen dat best wel Een Goed Ding vinden, eigenlijk. Stiekem diep van binnen ben ik nog altijd hopeloos idealistisch, al heeft het leven dat inmiddels wel getemperd met een flinke dosis cynisme.

    2. Nog nooit een verkeerd nummer gedraaid? In jouw voorstel zou een typefout bij het legitieme scannen van je eigen systeem tot een celstraf of boete leiden. En het hoeft niet eens de scanner te zijn die de fout maakt. Stel je eens voor dat een DNS-beheerder een typefout maakt en een server-beheerder vervolgens gaat onderzoeken waarom een site opeens niet meer bereikbaar en tijdens dat onderzoek doet hij een portscan. Alleen zonder het te weten scant hij het systeem van een derde en krijgt een strafblad.

      1. Jij probeer recht te praten wat krom is met zeer gezochte argumenten.

        Het zij toegegeven, een poortscan naar eigen server/firewall is/kan een legitiem doel hebben. In het door jou beschreven scenario zou een poortscan niet de eerste actie moeten zijn. Of de juiste poorten open staan kan je ook sneller/eenvoudiger testen.

        Het zij toegegeven 2: ja ik heb ook wel eens op de verkeerde server geprobeert in te loggen. “User not found”. Na de 2e keer gezien dat het ip niet klopte. Dat zijn 2 pogingen, geen 100 per minuut.

        Ik denk dan ook dat het verschil tussen vergissing en opzet zeker wel te zien is. Zeker met zgn “security scans”. En voordat je een bruteforce tegen je eigen server(s) lanceer zorg je er maar voor dat je heel zeker bent van het ip adres.

        Dan nog even dit, als er een incident is geweest heb je niet zomaar een strafblad. Als je een goed en legitiem verhaal af kan steken wordt je echt niet zomaar vervolgd. En zo ja, heb je nog een kans bij de rechter.

        Dan nog even dit 2: als je vaker met een goed en legitiem verhaal op het politiebureau zit is het niet meer geloofwaardig. 1 keer vergissen ok, 2 keer, soit. Vaker wordt het eerder opzet.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.