Mag een zoekmachine het World-Wide Web scannen op securitykwetsbaarheden?

Een lezer vroeg me:

Ik las dat in augustus tijdens de Defcon-hackerconferentie de zoekmachine Punkspider opnieuw gelanceerd zal worden. Deze zal dan dagelijks miljoenen websites op kwetsbaarheden scannen. De resultaten zijn vervolgens via de zoekmachine te vinden, wat volgens de ontwikkelaars voor een veiliger web moet zorgen. Hoe is dat in vredesnaam legaal, laat staan ethisch verantwoord?
Het voelt inderdaad een tikje raar als je het zo leest: dan kun je dus als crimineel-in-spe even naar die zoekmachine om te kijken welke sites eenvoudig kwetsbaar zijn. Zal ik ook maar de “goedkope voordeurslotenspider” beginnen, keyPunk.darkweb?

Of het legaal is, komt echter neer op de vraag wat Punkspider precies doet met hun doorzoekactie. Het leest als een vorm van portscannen, men toetst op bekende kwetsbaarheden zoals SQL injectie of cross-site scripting.

Zo te lezen publiceert men niet in detail welke kwetsbaarheid gevonden is, alleen grofweg “deze site is kwetsbaar voor gegevensdiefstal vanwege SQL injectie, laat hier niets achter alsjeblieft”. (Ik zag al de categorie “dumpster fire” dus ik hoop dat de boodschap overal in zulke duidelijke taal gecommuniceerd wordt.)

Portscannen en onderzoeken naar kwetsbaarheden is strafbaar wanneer je het doet met de bedoeling (het “oogmerk”, juridisch gezegd) om daarna computervredebreuk te plegen, of om anderen aan te zetten dat te doen. De Punkspider-eigenaren zijn dat zeker niet zelf van plan, zij publiceren immers deze rapporten juist zodat brakke sites de beoel eindelijk eens repareren en er dus géén computervredebreuk gaat plaatsvinden.

Blijft dus over, zetten zij criminelen aan tot misbruik van de gevonden kwetsbaarheden? Dat lijkt me op het eerste gezicht niet het geval. Ik zie dus niet meteen het strafbare aan deze zoekmachine, tenzij blijkt dat men het wel héél eenvoudig maakt om met een gegeven exploit direct een inbraak uit te voeren. Daarvoor moeten we de definitieve publicatie afwachten, maar het lijkt me sterk.

Arnoud

2 reacties

  1. Het zal al een stuk minder raar voelen als ze hun eigen vorm van responsible disclosere gebruiken. Bijvoorbeeld dat ze bij het vinden van een kwetsbaarheid eerst een email naar de site sturen (monitoren alle websites wel het webmaster mailadres?) en pas een maand later het in hun zoekmachine zetten.

    Als ze een betaald abonnement introduceren zodat gebruikers vroegtijdige toegang kunnen krijgen tot kwetsbaarheden, dan zijn ze in mijn ogen direct af. Ga direct naar de gevangenis, ga niet langs start.

  2. Als de crawler van PunkSpider de kwestbaarheden vindt, dan kan die van de criminelen dat toch ook? Het gaat niet echt om een stukje code dat moeilijk te scoren is, of met een beetje kennis niet zelf te maken. In hoeverre kan je dan nog spreken van faciliteren?

    Als maker van een aantal simpele sites zou ik wel blij zijn met een dienst die mijn websites automatisch controleert op zwakheden tegen de nieuwere zerodays. Het is namelijk best wel veel werk om dat allemaal zelf bij te houden. Plus dat niet iedere hoster blij wordt als elke klant apart aan alle poortdeuren staat te rammelen op zoek naar die ene deur met een gammel slot. Als ik dan een mail krijg die zegt ‘uw domein xy32.nl is vatbaar voor CVE2021-99999’ dan weet ik tenminste én dat er van mijn kant direct actie nodig is én in welke hooiberg ik moet zoeken. Als ik kijk naar het % spam in mijn inbox dat afkomstig is uit brakke wordpress installaties die vanwege een of andere plugin op een oudere versie zijn blijven hangen, dan kan het er alleen maar beter op worden.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.