In één nacht het internet scannen, hoe strafbaar is dat?

telnetHet begon als grap, las ik in De Correspondent. Een onderzoeker wilde kijken hoeveel apparaten Telnet gebruikten. Op heel internet dus. “Hij bedacht daarom een list en liet een botnet het vuile werk opknappen.” Ook goeiemorgen. Een botnet van 30.000 computers die uiteindelijk concludeerden dat van 1,3 miljard IP-adressen een reactie kwam en van 2,3 miljard niet. Lachen? Strafbaar?

Het scannen van al die IP-adressen lijkt me op zich niet strafbaar. Dat is niet meer dan een groots opgezette portscan, en ik blijf erbij dat die alleen strafbaar zijn als je ze doet met als bedoeling vervolgens binnen te dringen. Dit onderzoekje had dat oogmerk niet.

Echter, mijn juridische broek zakt af van dit stukje in de onderzoeksopzet:

Als de onderzoeker een computer aantrof met Telnet en daar met root:root kon inloggen, installeerde hij er een Nmap-scanner. Die ging dan weer op zoek naar andere kwetsbare computers waar ook weer een Nmap-scanner geïnstalleerd kon worden.

Hier wordt dus wél binnengedrongen. En niet alleen dat: dag, uit naam van de wetenschap kom ik even uw computer inzetten. Oké, heel ethisch allemaal want het botje draait op de achtergrond en wist zichzelf bij het resetten van de computer. Maar toch. Zit er niet iets van “vraag consent voor je mensen mee laat doen” in deze tak van onderzoek?

De zaak deed me denken aan de hack van Nieuwe Revu, waarbij het wachtwoord van de Hotmailbox van toenmalid staatssecretaris Jack de Vries werd gebruteforced “om te zien of die wel voldoende beveiligd waren”. Nu kun je je afvragen hoe nieuwswaardig het is dat je met een bulldozer door mensen hun voordeur komt, net zoals je je hier kunt afvragen hoe nieuwswaardig het is dat 1,3 miljard IP-adressen syn-ack zeggen als je op poort 23 syn zegt. Maar ook in die zaak verbaasde het mij meer dat men achteloos 14.000 computers infecteerde met een botnet om ze zo op de achtergrond mee te laten bruteforcen.

Heb ik iets gemist? Is het zwaaien met de vlag ‘wetenschap’ een rechtvaardiging om botnetsoftware te installeren zolang de software maar ethisch afgesteld is? Mag ik even een wetenschappelijk hapje van uw lunch, zoiets?

Arnoud

12 reacties

  1. In het aangehaalde artikel staat volgens mij toch echt dat de “onderzoeker” het “botnet” zelf gemaakt heeft door op 30000 machines zonder toestemming een “onderzoeksprogramma” te installeren. Inderdaad niet echt een nette manier van onderzoek plegen.

  2. Klopt Ik ben de auteur van het stuk. Hij had het botnet zelf gemaakt. Aangezien het illegaal is, is hij ook anoniem gebleven. Overigens doet hij in zijn onderzoek geen aanbeveling om dit na te bootsen. Het was volgens mij meer om te kijken of het kon. Het e.e.a. is ook een paar jaar geleden uitgevoerd. Inmiddels heb je Zmap, dat een goede infrastructuur biedt om het internet te scannen. Daarvoor was het lastiger. Overigens was er ook een andere onderzoeker (HD Moore van Rapid 7 en de man achter Metasploit) die dit ook deed. Hij gebruikte geen botnet, maar kreeg ook een hoop gelazer ermee.

  3. Eerst en vooral, je broek zakt nu zo vaak af dat ik je aanraad om bretels te nemen.

    Het speuren over het gehele Internet lijkt mij gewoon legaal. Maar in dit geval wordt dus -waar mogelijk- binnengedrongen om extra rekenkracht te “stelen” van de “slachtoffers”. Oh, jee! Ernstig! En strafbaar natuurlijk. Maar nu de vraag welke juridische gevolgen dit kan hebben, en daar lees ik nog weinig over.

    Civielrechtelijk is dit volgens mij niet te doen. Je moet dan de schade berekenen die is berokkend en in dit geval betreft dit een beetje extra stroom en extra bandbreedte op het Internet. Wie betaalt per megabyte kan nog een beetje grote claim produceren maar verder?

    Strafrechtelijk is dit ook lastig want we praten hier over internationale wetgeving. China, India, Rusland en de USA zouden allen grote interesse kunnen krijgen om deze onderzoekers strafrechtelijk te gaan vervolgen maar het resultaat van dit onderzoek is een mooie compensatie hiervan. Dat er zoveel systemen kwetsbaar zijn is eerder een teken om daar wat aan te gaan doen.

    Tja, strafrecht in Nederland, dan? Tja, misschien een boete en een tik op de vingers, of zo. De wet is wel gebroken maar dat diende een legitiem doel, namelijk aantonen hoe kwetsbaar het Internet nog steeds is.

    Het probleem hierbij is natuurlijk ook dat de Admins direct de telport dicht gooien zodra je toestemming vraagt of je verder hun netwerk op mag. Dat zou het onderzoek eerder tegenwerken. Ik snap dan ook wel dat vanuit het oogpunt van het onderzoek er niet om toestemming wordt gevraagd. Dat doen onderzoekers wel vaker…

  4. Je zou het op zaakwaarneming kunnen gooien als de onderzoeker een waarschuwing gaf aan de eigenaar van een root:root bak.

    Dit is meer zien dat je buurman op vakantie is, maar de deur heeft opengelaten, dan inbreken, en vanuit zijn zolderraam kijken of er nog meer buren de deur hebben laten openstaan.

    Niettegenstaande de legale grens die hier is overschreden, is dit relevant en interessant security onderzoek. Maar security onderzoek is, net als ieder onderzoek, aan bepaalde morale overwegingen gebonden. Zelfs als zou dit volkomen legaal zijn, dan nog moet zo’n onderzoeker zich achter zijn/haar oren krabben.

    Ik heb zelf ooit eens een melding gedaan, omdat javascript kon worden uitgevoerd op een site, door deze simpelweg een email te sturen. De melding werd als ongeldig beschouwd. Toen heb ik nog overwogen om een tracker-netwerk te bouwen: Voeg analytics code toe aan duizenden webpagina’s, en kijk hoeveel internetgebruikers je hiermee kunt tracken. Dit, om aan te tonen dat zulke “functionaliteit” ernstige gevolgen kan hebben (ipv tracking code is ook exploit code of redirects mogelijk). Maar ik heb dit niet gedaan, omdat ik dan een grens zou overtreden, beide moraal en mogelijk wettelijk. Soms is dat, hoewel je anders zou willen, de verantwoordelijkste stap.

  5. Het is niet zeker of dit ook daadwerkelijk een academische onderzoeker betreft. De onderzoeker is anoniem en blijft dat ook nog steeds.

    Ik kan je verzekeren dat dit onderzoek de gemoederen binnen de netwerkonderzoekswereld flink heeft bezig gehouden. Er zijn op diverse conferenties discussies gehouden over de ethische aspecten van dit onderzoek. Iedereen is het erover eens dat dit niet is zoals het hoort.

    Er kwam een interessante opvolgingsvraag: de anonieme onderzoeker heeft al zijn verzamelde data online gezet. Mag die gebruikt worden in de wetenschap?

    Allereerst was er natuurlijk de vraag van verifieerbaarheid. De data is intussen op een deel gecheckt, en steekproeven uit de rest geven aan dat de data zal kloppen. Maar of je data uit dit onethisch onderzoek ook mag gebruiken is men nog steeds niet over uit. Voor een deel is deze discussie niet meer zo relevant omdat Zmap nu bestaat en het op die manier gedaan kan worden.

    Het is veel mensen duidelijk geworden dat informatica niet meer zonder ethische afwegingen kan. Dit soort onderzoeken, maar ook het Facebook emotie-onderzoek laten zien dat er grenzen zijn die duidelijker gesteld moeten worden. Maar hoe is nog een hele grote vraag.

  6. Wat hier geschetst word kan echt niet als correct wetenschappelijk onderzoek worden gekwalificeerd. Er dient altijd een belangenafweging te worden gemaakt. Dit door een commissie wetenschapsethiek (en inderdaad niet alleen bij medisch onderzoek). Ik kan mij niet voorstellen dat zo’n commissie het installeren van nmap op een kwetsbare computer zou goedkeuren. Zeer waarschijnlijk is er geen commissie aan te pas gekomen, waardoor dit vanuit wetenschappelijk oogpunt op zijn minst onzorgvuldig is en in strijd met integriteitsregels.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.