Mag je Metasploit-modules publiceren voor kwetsbaarheden in software?

| AE 7448 | Intellectuele rechten, Security | 17 reacties

metasploit-security-scannerEen lezer vroeg me:

Vanuit een research-oogpunt zou ik graag Metasploit modules willen publiceren voor gedichte kwetsbaarheden in veelgebruikte software. Kan dit zomaar of ben je dan strafbaar bezig?

Het is strafbaar om een kwetsbaarheid te exploiteren en zo binnen te dringen in een computersysteem. Dat is de computervredebreuk uit artikel 138ab Strafrecht.

Aanvullend is het strafbaar om exploits te maken, verkopen, verkrijgen, invoeren, verspreiden of anderszins beschikbaar te stellen of voorhanden te hebben (art. 139d Strafrecht). Maar niet elk stukje code dat een kwetsbaarheid gebruikt om toegang te verschaffen is een exploit in de zin van de wet.

Er gelden drie eisen:

  1. het moet gaan om een technisch hulpmiddel, het moet dus iets ‘doen’. Een uitleg in gewoon Nederlands valt hier waarschijnlijk niet onder, hoewel in de context van betaaltelevisie kraken een stappenplan in een tijdschrift wél als ‘voorwerp’ strafbaar was.
  2. met het hulpmiddel moet je computervredebreuk kunnen plegen. Een exploit die alleen maar méldt dat er een kwetsbaarheid is, zonder daadwerkelijk binnendringen te faciliteren, is dus niet strafbaar.
  3. het hulpmiddel moet “hoofdzakelijk geschikt gemaakt of ontworpen” zijn daarvoor. Een tool die toevallig en ondergeschikt ook gebruikt kan worden voor computervredebreuk, is dus niet strafbaar.

De discussie zal vooral gaan over punt 3. Wanneer is iets “hoofdzakelijk geschikt of ontworpen” voor een misdrijf?

Die grens ligt denk ik bij de uitstraling. Sommige tools zijn duidelijk bedoeld als serieuze tools voor security onderzoekers, andere tools zijn duidelijk ‘hacktools’ met de bekende groene letters op zwarte achtergrond en verlokkingen dat je iedereen hiermee kunt h4xoren. De wet is bedoeld voor het laatste.

De grens hiertussen is natuurlijk vaag, maar dat is een juridische feature. Het zal dus afhangen van hoe de tool wordt gepresenteerd en wat de uitgever ervan zegt in zijn aankondiging en reclame voor de tool. “Nu snel iemands MSN/Hotmail kraken” of “Onderzoek of uw bedrijfsdata nog wel veilig is” maakt voor mij veel verschil.

De site van Metasploit ziet er voor mij best serieus uit, en is duidelijk geschreven voor professionals die hun eigen netwerk willen beschermen. Daarom denk ik niet dat een Metasploit-module snel als “hulpmiddel hoofdzakelijk geschikt gemaakt of ontworpen voor computervredebreuk” wordt gezien.

Mag de politie een Blackshades-command en control server hacken?

| AE 6660 | Regulering, Security | 21 reacties

blackshadesHet Team High Tech Crime van de Nederlandse politie is een server van Blackshades binnengedrongen en heeft op die manier informatie veiliggesteld, meldde Nutech onlangs. Dit in het kader van een strafrechtelijk traject tegen de beheerders, waarbij ook invallen in 34 Nederlandse huizen werden gedaan. Hoogst opmerkelijk, want er is nog steeds geen wettelijke grondslag voor het binnendringen van servers door de politie.

Blackshades is een remote access tool dat als malware wordt verspreid om zo op afstand geïnfecteerde computers te kunnen overnemen. Eén van de features is het gijzelen van bestanden totdat er wordt betaald, een steeds populair wordende truc.

Om dergelijke netwerken te kunnen beheren, zijn zogeheten command & control servers nodig. En het Team High Tech Crime wist toegang te krijgen tot deze servers, ongeveer zoals ze deden in 2010 met het Bredolab-netwerk.

Er was toen veel discussie of dat wel mag eigenlijk, hackende politie. Het idee is namelijk dat de politie niets mag, tenzij dit wettelijk geregeld is. (En nou ja, kleine dingen die de grondrechten van de burger niet raken zijn toegestaan in artikel 3 Politiewet). En nergens in de wet staat dat ze in mogen breken in een c&c server van een criminele botnetbeheerder.

Er ligt al een tijdje een wetsvoorstel Computercriminaliteit III waarin expliciet een dergelijke bevoegdheid opgenomen is:

1. In geval van verdenking van een [ernstig misdrijf] kan de officier van justitie, indien het onderzoek dit dringend vordert, bevelen dat een opsporingsambtenaar als bedoeld in artikel 141, onder b, of een buitengewoon opsporingsambtenaar als bedoeld in artikel 142, eerste lid, onder b, binnendringt in een geautomatiseerd werk of een daarmee in verbinding staande gegevensdrager, bij de verdachte in gebruik, en met een technisch hulpmiddel onderzoek doet …

De Memorie van Toelichting noemt dit een “nieuwe bevoegdheid voor opsporingsambtenaren”. En dat geeft gelijk een leuk juridisch argument: als het in een nieuwe wet toegestaan wordt, dan is het onder de huidige dús niet toegestaan.

In het Nutech-artikel wordt gemeld dat de rechter-commissaris hiervoor een machtiging heeft afgegeven. Leuk, maar onder welk artikel dan? Ik kan niet bedenken welk wetsartikel men hiervoor zou inzetten. Hooguit het in beslag nemen van de server en deze dan doorzoeken. Dat mag al, hoewel je dan wel fysiek de server mee moet kunnen nemen. En dat is volgens mij niet gebeurd.

We hebben het hier al over gehad maar zou het een goed idee zijn, zo’n hackbevoegdheid?

Arnoud

Is een portscan strafbaar?

| AE 6593 | Security | 33 reacties

portscanEen lezer vroeg me:

Op mijn thuisserver zie ik met zeer grote regelmaat portscans voorbij komen. Is dat eigenlijk niet strafbaar en wat kan ik er juridisch tegen doen?

Een portscan (port scan?) is een technisch hulpmiddel om vast te stellen welke diensten een bepaalde server aanbiedt. Diensten (services) zijn via verschillende adressen op een en dezelfde server – poorten, letterlijk eigenlijk ‘havens’ maar goed – bereikbaar. Zo werkt http via poort 80, en verstuur je mail via poort 25.

Weten welke diensten een server aanbiedt, en vooral welke software daarbij wordt ingezet, is handig om te weten als je van plan bent in te breken op die server. Door op alle poorten een communicatie te starten, krijg je die informatie want vrijwel alle serversoftware identificeert zichzelf daarbij. En dan kun je per stukje software opzoeken welke bekende kwetsbaarheden deze heeft.

Portscannen staat als zodanig niet in het wetboek van strafrecht. Het is geen binnendringen (art. 138ab Sr) want je voert geautoriseerde handelingen uit. Die software draait op een bekende poort, en hij geeft volgens het protocol de gebruikelijke reactie. Dat is net zo min strafbaar als aanbellen of het naamkaartje lezen bij een voordeur. En normaliter zal een portscan een server niet laten crashen, dus dat is dan ook geen “veroorzaken van een stoornis in de werking van een geautomatiseerd werk” (art. 161sexies Sr). Tenzij je het zo veel en vaak doet dat je van een denial of service-aanval kunt spreken.

Toch riekt dit naar niet de bedoeling, en het verbaast dan ook niet dat het strafrecht daar wat op gevonden heeft. Twee man die ’s nachts om drie uur met een bivakmuts en een breekijzer in iemands portiek staan, dat voelt ook niet helemaal jofel dus daar wil je als agent tegen kunnen optreden. En dat kan: het strafrecht kent de ‘poging tot’, artikel 45 lid 1 Sr:

Poging tot misdrijf is strafbaar wanneer het voornemen van de dader zich door een begin van uitvoering heeft geopenbaard

Er moet dus sprake zijn van een poging tot plegen van een misdrijf, een overtreding proberen te plegen is niet strafbaar. En er moet een “begin van uitvoering” zijn, alleen maar bedénken dat je een misdrijf gaat plegen is niet strafbaar. (Nou ja behalve als je het met z’n tweeën bedenkt en het misdrijf “met terroristisch oogmerk” is.)

Computervredebreuk is een misdrijf, dus poging daartoe is strafbaar. Brute forcen van een account en gepakt worden voordat je het wachtwoord geraden had, levert dus strafbare poging op want je was bezig met inbreken, er was een begin van uitvoering.

Het vinden van zwakke plekken om in te breken lijkt me ook een “begin van uitvoering”, immers die informatie is nodig om naar binnen te kunnen gaan. Een persoon met bivakmuts die aan alle ramen rammelt om drie uur ’s nachts, is ook bezig met een begin van uitvoering (van inbraak).

Het lastige is alleen, je kunt ook portscannen zonder die informatie te willen gebruiken om later in te breken. En dat oogmerk, dat plan om in te breken, moet er wel zijn. Je kunt niet iets ‘pogen’ dat je niet van plan bent, als u begrijpt wat ik bedoel.

Dus: portscannen is strafbaar, mits duidelijk is dat de portscan-uitvoerder van plan is vervolgens in te gaan breken bij het geportscande systeem. Alleen: hoe bewijs je dat? Je kúnt natuurlijk zeggen, er is geen andere legitieme reden om te portscannen dús is elke portscan bewijs van de wens in te gaan breken. Maar dat voelt wel een beetje te kort door de bocht. Wat jullie?

Arnoud

Wetsvoorstel computercriminaliteit: terughackbevoegdheid, webcammeekijkrecht, decryptiebevel en wereldwijde rechtsmacht bij cybercrime

| AE 5474 | Security | 55 reacties

Minister van Veiligheid en Justitie Ivo Opstelten wil de politie de mogelijkheid geven om fors in te grijpen tegen hackers, meldde NRC en vele andere media. In een nieuw wetsvoorstel tegen cybercrime stelt hij voor de politie een terughackbevoegdheid en een webcamgluurrecht te geven. Oh ja, en weigeren je wachtwoord te geven wordt strafbaar. Het… Lees verder

Meesurfen met internet van de buren geen computervredebreuk

| AE 2466 | Security | 38 reacties

Nou, mooi is dat. Meeliften bij het internet van de buren is geen computervredebreuk, oordeelde het Hof Den Haag vorige week (via). Ook als je daarbij de router kraakt. Een router is namelijk geen “geautomatiseerd werk” in de zin van de wet, en je kunt alleen computervredebreuk plegen als je binnendringt in een geautomatiseerd werk…. Lees verder