Mag je een server met een welkombanner hacken?

| AE 5999 | Security | 6 reacties

Een lezer vroeg me:

Bij een loginprompt zie je vaak “Verboden toegang voor onbevoegden” of iets dergelijks. Nu hoorde ik dat als je daar “Welkom” neerzet, het legaal zou zijn om bv. via wachtwoord raden binnen te dringen. Immers wie welkom geheten wordt, gaat niet wederrechtelijk naar binnen. Klopt dat?

Nee, dat klopt niet. Een deurmat met “Welkom” geeft inbrekers ook geen bevoegdheid mijn deur open te breken met een koevoet.

Als de deur ópen zou staan en er hangt een bordje “Welkom”, ja dan zou je misschien kunnen denken dat iedereen uitgenodigd is op een buurtfeestje of open barbecue. Het digitale equivalent daarvan zou dan een “Welkom”-banner zijn met een gast/gast logincombinatie. Als dát account zou werken (ook als het onaangekondigd is) dan lijkt het me nauwelijks nog verdedigbaar dat iemand inbrak.

De wet stelt ‘binnendringen’ in een computersysteem strafbaar. Het is daarbij nodig dat op een of andere manier blijkt dat je op verboden terrein bent. (Vroegâh had je zelfs een beveiliging nodig die moest worden doorbroken, nu niet meer.) Zo’n loginbanner of MOTD is dus het digitale equivalent van het art. 461 Strafrecht-bordje. Meer dan “verboden toegang voor onbevoegden”* als tekst zou niet nodig moeten zijn.

Is er een gastaccount, dan ben je niet onbevoegd als je daarop inlogt. Misschien als er duidelijk is gezegd wíe er als gast naar binnen mag, maar dat heb ik eerlijk gezegd nog nooit gezien. Een beetje beheerder timmert een gastaccount ook zodanig dicht dat een ongewenste gast toch niets geks uit kan halen, dus waarom zou je ook?

  • En volgens mij zelfs dat niet want het spreekt voor zich dat ONbevoegden niet naar binnen mogen. Vlakbij mijn kantoor staat een geel verkeersbord met de tekst “Te hard rijden is verboden”. Joh.

Arnoud

De strafbaarheid van het omzeilen van een IP-ban

| AE 5871 | Security | 10 reacties

bannedEen ander IP-adres aannemen of een proxy gebruiken om zo een IP-ban op een website te omzeilen is in de VS een strafbaar feit, meldde Ars Technica vorige week. In het eerste vonnis over deze vraag bepaalde de district court in Californië dat een gebande bezoeker dan “intentionally accesses a computer without authorization or exceeds authorized access” en dat is strafbaar als computervredebreuk naar Amerikaans recht. En hoe zit dat in Nederland?

Het bedrijf 3taps haalde periodiek met een scraper data op van de bekende advertentiesite Craigslist. Craigslist reageerde met een ip-ban en een schriftelijk toegangsverbod (cease and desist letter), waarop 3taps andere ip-adressen inzette en proxies gebruikte om zo toch bij de advertentiedata van Craigslist te kunnen. Daarop stapte Craigslist naar de rechter, en die bevestigt nu dat 3taps computervredebreuk had gepleegd. Hoewel Craigslist voor het publiek toegankelijk is, betekent dat niet dat Craigslist niemand mag weren van zijn site. Toestemming kan worden ingetrokken en dan moet je wegblijven. Kom je dan toch terug, dan is dat strafbaar.

In Nederland lijkt me dit niet veel anders te liggen. Ook hier geldt: je mag niet willens en wetens een geautomatiseerd werk gebruiken waarvan je weet dat je daar niet mag zijn – dat is de definitie van computervredebreuk. En toegegeven, dat is discutabel bij publieke URL’s en dergelijke situaties waarin er geen beveiliging omzeild gaat worden. Maar als iemand je specifiek per brief zegt “blijf wég van mijn site” en je IP-adressen blokkeert, dan lijkt het me toch niet zo gek dat we dan spreken van computervredebreuk. In de analogie met huis- en erfvredebreuk is een dergelijke brief óók genoeg. “Tegen de verklaarde wil van de eigenaar zich bevinden op”, heet dat dan.

Het lijkt me alleen vrij onwaarschijnlijk dat Justitie zal gaan vervolgen in zo’n situatie. Het voelt als iets dat je zelf ook prima kunt oplossen met een burgerlijke rechtszaak. Het begaan van een strafbaar feit is ook een onrechtmatige daad, dus je kunt dan een verbod met dwangsom bij de rechter gaan halen. En proxy’t meneer dan toch nog een keer terug, dan kun je de dwangsom incasseren. (Mits je kunt bewijzen dat hij het was, wat bij een proxy wat lastig is.)

Specifiek bij scrapers is schending van het databankrecht ook nog een route. Je kunt dan als site een dwangsom laten zetten op verder scrapen, en je krijgt natuurlijk je vollédige advocaatkosten vergoed. Dit werkt niet altijd: je moet wel een en natuurlijk beschermde databank hebben en schade lijden door de inbreuk.

Weet je niet wie het is, dan is dagvaarden lastiger. En hoewel je dan op een verstekzaak zou kunnen aansturen (die je automatisch wint, niet komen == verliezen immers) heb je dan nog geen mogelijkheid om dat af te dwingen. Dus wat moet je dan?

Arnoud

Help, ik word gehackt door de buren!

| AE 5683 | Security | 25 reacties

goede-buurEen lezer vroeg me:

Mijn buurjongen hackt regelmatig mijn computer. Dat weet ik zeker, want hij maakt opmerkingen over dingen die hij niet kan weten tenzij hij op mijn PC heeft gekeken. Maar concreet bewijs kan ik niet overleggen, en zonder zulk bewijs wil de politie niets doen. Dus nu dacht ik, ik kan een honeypot bouwen met net wat slechtere beveiliging dan normaal, en dan alles loggen zodat ik dat bewijs krijg. Mag dat?

Er is op zich weinig mis met het opzetten van een honeypot, oftewel een systeem dat voorzien is van uitgebreide logging en een paar eigenschappen waardoor een inbreker daar graag gaat kijken. De beveiliging net wat slechter dan normaal, een paar bestanden of mappen die suggereren dat er wat te halen is en vrij gemakkelijk bereikbaar vanaf het inbreekpunt op het netwerk.

Een honeypot opzetten is geen uitlokking. Van uitlokking is pas sprake als je zelf het initiatief neemt, oftewel als jij de buurjongen overhaalt om bij jou in te gaan breken. Volgens de Hoge Raad is het enkele neerzetten van een fiets zonder slot nog geen uitlokken van diefstal: het gaat erom of je een specifiek persoon met concrete handelingen aanzet iets te doen dat hij niet zelf al van plan was. Een fiets neerzetten zet niemand specifiek aan tot het stelen daarvan. En een zwakke beveiliging hebben op een computer zet je buurjongen nog niet aan tot computervredebreuk, ook niet als jij hoopt dat hij dan op die computer binnendringt.

Je moet alleen niet tegen de buurjongen zeggen “haha nu kom je écht niet meer binnen” of juist “nou ik heb vandaag toch een serie lekkere pornofoto’s van je moeder op mijn netwerkdrive gezet”. Dat kan wél worden gezien als uitlokking, want daarmee nodig je hem min of meer uit om in te gaan breken.

Lastig punt blijft hoe je dat bewijs aan de buren gaat koppelen. Jij kunt niet het IP-adres van de binnendringer koppelen aan zijn NAW-gegevens. De politie natuurlijk wel, dus die zul je met de juiste logs et cetera moeten overtuigen dat er werkelijk is ingebroken. (Iemand tips hoe je het meest overtuigend laat zien aan Oom Agent dat er is binnengedrongen? Standard logs zien er niet heel overtuigend uit. Een screencast?)

En dan nog. Is het wel die buurjongen? Of iemand die zijn IP-adres gebruikt?

Arnoud

Wacht even, afgesloten internetverbinding voor 18-jarige KPN-hacker?

| AE 5625 | Ondernemingsvrijheid, Security | 24 reacties

De 18-jarige jongen die vorig jaar KPN-servers heeft gehackt heeft een celstraf van 45 dagen en een taakstraf van 100 uur gekregen, meldde Webwereld. Omdat de jongen exact dat aantal dagen al in voorarrest had gezeten, hoeft hij niet meer de cel in. Het vonnis lijkt niet gepubliceerd, logisch omdat het om een minderjarige gaat… Lees verder

Meesurfen met internet van de buren toch wél computervredebreuk

| AE 5258 | Security | 29 reacties

Oké dus toch. Meeliften bij het internet van de buren is wel degelijk computervredebreuk, bepaalde de Hoge Raad gisteren. In 2011 had het Gerechtshof nog bepaald dat hiervan geen sprake is omdat een router geen “geautomatiseerd werk” is in de zin van de strafwet. Maar het was toch echt de bedoeling van de wetgever om… Lees verder

Toevoegen van debug=1 om kwade code te triggeren: computervredebreuk?

| AE 2605 | Security | 47 reacties

debug=1. Een onschuldig uitziend statement, zo zou je denken. Maar in mei 2009 had het een heel wat minder onschuldig effect als het werd toegevoegd aan de URL van de vacaturesite Juristenbank.nl: er werden dan telkens maximaal 10 kandidaten, dan wel werkgevers, in willekeurige volgorde volledig onomkeerbaar verwijderd. Dat bleek een logisch bommetje van een… Lees verder

Meesurfen met internet van de buren geen computervredebreuk

| AE 2466 | Security | 38 reacties

Nou, mooi is dat. Meeliften bij het internet van de buren is geen computervredebreuk, oordeelde het Hof Den Haag vorige week (via). Ook als je daarbij de router kraakt. Een router is namelijk geen “geautomatiseerd werk” in de zin van de wet, en je kunt alleen computervredebreuk plegen als je binnendringt in een geautomatiseerd werk…. Lees verder

Wat moeten wij met het nieuwe wetsvoorstel computercriminaliteit?

| AE 2170 | Informatiemaatschappij, Uitingsvrijheid | 27 reacties

Plannen voor een nieuwe wet computercriminaliteit. Dat zou alweer de derde worden. Er is al veel over geschreven over het afsluitbevel, en ook vanwege mijn vakantie houd ik het kort (goed he, Steven?). Wie zin heeft in uitgebreid & diepgaand, leze Jan-Jaap Oerlemans’ analyse. Allereerst dat afsluitbevel. Op zich is het nu al mogelijk (art…. Lees verder

DoS-aanvaller veroordeeld tot 15 maanden cel

| AE 2068 | Security | 5 reacties

Een denial-of-serviceaanval is strafbaar, maar als je naast je eigenlijke doelwit ook nog eens andere websites onderuit schoffelt, wordt dat gezien als een aanval op de telecommunicatie-infrastructuur. Dat blijkt uit een vonnis van de rechtbank Rotterdam dat gisteren verscheen. De verdachte kreeg vijftien maanden cel, waarvan vijf voorwaardelijk, voor het platleggen van twee Nederlandse sites,… Lees verder