Mag je de verlichting van de Erasmusbrug op paars zetten?

| AE 12327 | Regulering, Security | 23 reacties

Het systeem om de verlichting van de Erasmusbrug in Rotterdam te veranderen was ruim een jaar via internet toegankelijk, meldde Tweakers onlangs. RTL Nieuws-reporter Daniël Verlaan kreeg een tip over het lek en wist de brugverlichting paars te maken. De brug zelf was verder niet te bedienen, maar de interface van dit systeem bleek zonder beveiliging toegankelijk als je wist wat de netwerkpoort was van de server. Die laatste was via zwakhedenzoekmachine Shodan te vinden. Dat riep dus weer de bekende vraag op, mag dat dan?

Je mag niet binnendringen in andermans computersysteem. Of dat systeem beveiligd is, doet niet ter zake. Enige vraag is of je wist dan wel moest weten dat je daar niet mocht zijn. Het lijkt me evident dat je als Shodan-surfende derde weet dat je niet de verlichting van de Erasmusbrug mag bedienen, dus dat noem je binnendringen.

Natuurlijk kun je per abuis op zo’n server belanden. Je klikte wat rond, iemand deelde een onschuldige server en oeps die brug werd paars. Kan. Maar ik zou zeggen dat het bewijs van jouw bewustzijn een heel eind rond is als jij zegt, ik zat op Shodan te kijken en zag daar de admin van de Erasmusbrug. Je wéét dat Shodan geen rechtmatig gepubliceerde interfaces bevat en je wéét dat jij niet welkom bent in de admin van de Erasmusbrug.

Dit is dus tevens waarom je niet aan de politie gaat uitleggen wat je deed of waarom je dacht dat dat mocht. Gewoon niet. Echt niet. Nee, ook niet vanwege die reden die jij nu in je hoofd hebt. Niet. “Ik wil graag eerst met een advocaat overleggen” is het énige dat je zegt. Serieus. Alsjeblieft.

En ja, het is een vrij onschuldig verhaal want er is niets kapot gegaan, niets bediend en niets ernstigs gebeurd. Maar toch, wees voorzichtig als je geen professioneel journalist bent. Ik benadruk dit omdat in de sfeer van “cybercrime” Justitie vaak overspannen reageert vergeleken met real-life situaties. Als je de controlekamer van deze verlichting was binnengelopen, dan had de portier op z’n kop gehad en was jij eruit gejaagd. Maar nu heb je een cyberhack gedaan. In theorie had je zelfs antiterrorismewetgeving kunnen triggeren met zo’n actie.

In dit specifieke geval betreft het een journalist die een opmerkelijke misstand aan de kaak stelt, en daarvoor het enige middel gebruikt om aan te tonen dat de misstand waar is. De maatschappelijke of persoonlijke schade is nihil en het slachtoffer is geïnformeerd en kreeg de kans de misstand op te heffen voordat dit nieuws werd. Dan en specifiek dan wordt de strafbaarheid opgeheven.

En natuurlijk, journalist is geen beschermde titel, maar journalist ben je pas als je journalistieke activiteiten ontplooit. Dus enkel zeggen “ik wilde erover publiceren” is niet genoeg. Je moet een track record hebben (zoals Daniël, koop dat boek) of daadwerkelijk een journalistieke uiting hebben gedáán. Wilde je nu eindelijk eens journalist worden en was dit je eerste geplande publicatie maar werd je gepakt voordat het online stond, dan vrees ik dat je niet wordt geloofd.

Arnoud

Deel dit artikel

  1. Je wéét dat Shodan geen rechtmatig gepubliceerde interfaces bevat en je wéét dat jij niet welkom bent in de admin van de Erasmusbrug.

    Dit is onjuist, je weet dat shodan zowel legitiem gepubliceerde services bevat als onbedoeld gepubliceerde services. En je kan alleen vermoeden dat het niet de bedoeling was dat de admin interface van de brug zo gepubliceerd was.

    Shodan is een lijst van publieke netwerk diensten die bereikbaar zijn, of je daar wel of geen gebruik van mag maken is dan weer afhankelijk van de bedoeling van degene die het publiceerde en de wetten van zowel de plek waar het gepubliceerd werd als de wetten waar de gebruiker onder viel.

    Er zijn genoeg voorbeelden te vinden van mensen die daadwerkelijk dit soort interfaces bewust openzetten, als vorm van vermaak of als kunst object.

  2. Hoi Arnoud, goede uitleg (en waarschuwing voor sommigen) over de grens van aantonen en misbruiken in de wet. Vraag me wel af of dit klopt “ Je wéét dat Shodan geen rechtmatig gepubliceerde interfaces bevat”

    Shodan maakt toch helemaal geen onderscheid in wat het scant. Zowel de onjuiste als de juist geconfigureerde poorten worden gevonden lijkt me. Ze hebben een service om je eigen IP (reeks) in de gaten te houden en een seintje te krijgen bij afwijking. Het vinden van ‘een poort/toegang op shodan’ is dus niet per definitie onrechtmatige toegang.

    Je kan wel stellen dat: als je daar iets vind dat niet van jou zelf is, of een partij die je opdracht heeft gegeven voor controles, en je dat benaderd, dat je dan de door jouw genoemde ‘grens’ bewust overgaat.

  3. Waarom staan we eigenlijk zoveel stil bij de mensen die misstanden aantonen, inplaats van dat we meer stilstaan bij de misstanden zelf? Dat dit via Shodan te vinden was, betekent juist dat het al erg is. Wie waren er verantwoordelijk voor het open laten staan van de bediening van de bruglichten? Wat gaat er met hen gebeuren? En hoe voorkomen we dat het nog een keer gebeurt?

    Klinkt voor mij niet erg onschuldig trouwens. Als je het licht paars kan maken, kun je het ook uitzetten, wat een gevaar kan betekenen. Of kan men politieke uitingen doen, wat niet wenselijk is met dit wereldwijd bekend symbool.

  4. Even ongeacht of Shodan een bron voor legale dan wel illegale toegangen is, als ik vanuit Bremen via het internet, zonder hiertoe formeel berechtigt te zijn de belichting van de brug op paars zet, weet ik, dat ik iets doe, waarvan ik geacht wordt het niet te doen. De discussie over Shodan komt voor mij op de achtergrond te staan. Dat een journalist dit in het kader van zijn onderzoek voor publicatie doet, maakt het in eerste aanleg niet minder strafbaar. Slechts het feit, dat er na de daad wordt gewaarschuwd en dat er dan een publicatie volgt bespaard de journalist (meestal) voor vervolging. Pietje P. die het doet om tegenover zijn kameraden op school te kunnen opscheppen wat hij kan, krijgt terecht op zijn vingers getikt.

  5. Als ik dat soort dingen tegenkom – en dat gebeurt best nog vaak stel ik meteen de verantwoordelijke partij op de hoogte. En uiteraard klik ik niet op het knopje “Maak de brug paars”. Overigens heeft de Gemeente Rotterdam in hun responsible disclosure policy staan :

    “een kwetsbaarheid verder uit te nutten dan noodzakelijk is om de kwetsbaarheid vast te stellen”.

    Maar juridisch gezien ben je al fout als je ook maar een blik werpt op die interface. Je weet al dat je daar niet hoort te zijn. Hoe strookt dat trouwens met een responsible disclosure policy? Volgens de wet mag het niet maar volgens de disclosure policy wel? 🙂

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS