Tag: Portscan

About Portscan

Subscribe Feeds

Mag ik mijn klanten scannen op kwetsbaarheden zoals ProxyShell?

Geplaatst op in Security, 9 reacties
GDJ / Pixabay

Een lezer vroeg me:

Wij zijn een ISP die honderden bedrijven heeft ontsloten. We weten van een kwetsbaarheid in Exchange die we kunnen scannen en detecteren. Mogen wij onze eigen klanten nu hierop scannen, ondanks dat ze geen toestemming hebben gegeven en bij ons geen dienst van softwarebeheer afnemen?
Ik heb al een aantal keer gepubliceerd over scannen op veiligheidslekken, waarbij dan het hele internet wordt gescand. Je zou zeggen dat dat dus ook moet kunnen voor het kleinere deel van internet dat jouw klant is. Zeker als het gaat om actuele lekken zoals (denk ik) de recente ProxyShell lekken.

Toch zou ik het afraden om als internettoegangsprovider of hostingprovider ongevraagd en zonder overleg je klanten te scannen. Je zit namelijk in een iets andere positie dan een partij die internet scant vanuit de motivatie het publiek te willen waarschuwen. Je hebt een contractuele relatie met die klanten, en dat brengt een aantal verantwoordelijkheden met zich mee.

Anders gezegd: je hebt een zorgplicht naar je klanten toe, en dat betekent extra zorgvuldigheid in hoe je met hun systemen omgaat. Ook hoort daarbij dat je vertrouwelijkheid in acht neemt en extra oplet dat je niets stukmaakt.

Tegelijk kan ik me voorstellen dat je juist bij gaten met grote impact expliciet wél wil handelen. Dat kun je vanuit diezelfde zorgplicht juist heel goed rechtvaardigen. En als je als provider kwalificeert als een “aanbieder van een openbare elektronische communicatiedienst” (wat de term ISP impliceert) dan moet je zelfs vanuit de wet (art. 11.2 Telecomwet) zorgen voor een goede beveiliging van je netwerk. Dat is natuurlijk dan afhankelijk van de beveiliging van je klanten, dus meekijken of waarschuwen is dan zelfs met enige goede wil je wettelijke plicht te noemen.

Alleen: voor mij blijft overeind staan dat je dit moet aankondigen, en ik denk zelfs ook laten accorderen. Dat kun je natuurlijk prima automatiseren, denk aan een regeling in je algemene voorwaarden met wat uitleg in de SLA (of op je site, zoals in de FAQ) en een bezwaarmogelijkheid voor klanten die hier niet op zitten te wachten.

Wel zou ik dan eerst de vraag beantwoord willen wat je zou doen met de scanresultaten. Ga je dat gewoon naar het contactadres van de klant mailen? En wat doe je dan als die niet reageert (of hooguit “eh, oké bedankt”) en de kwetsbaarheid blijft bestaan? Je kunt namelijk klanten niet gaan afsluiten als ze een kwetsbaar systeem hebben, tenzij je daar héle duidelijke afspraken over hebt. Of ga je de klant aanbieden het voor ze te repareren? Dat zullen ze niet willen, dan hadden ze wel een supportcontract afgenomen.

Arnoud

In één nacht het internet scannen, hoe strafbaar is dat?

Geplaatst op in Regulering, Security, 12 reacties

telnetHet begon als grap, las ik in De Correspondent. Een onderzoeker wilde kijken hoeveel apparaten Telnet gebruikten. Op heel internet dus. “Hij bedacht daarom een list en liet een botnet het vuile werk opknappen.” Ook goeiemorgen. Een botnet van 30.000 computers die uiteindelijk concludeerden dat van 1,3 miljard IP-adressen een reactie kwam en van 2,3 miljard niet. Lachen? Strafbaar?

Het scannen van al die IP-adressen lijkt me op zich niet strafbaar. Dat is niet meer dan een groots opgezette portscan, en ik blijf erbij dat die alleen strafbaar zijn als je ze doet met als bedoeling vervolgens binnen te dringen. Dit onderzoekje had dat oogmerk niet.

Echter, mijn juridische broek zakt af van dit stukje in de onderzoeksopzet:

Als de onderzoeker een computer aantrof met Telnet en daar met root:root kon inloggen, installeerde hij er een Nmap-scanner. Die ging dan weer op zoek naar andere kwetsbare computers waar ook weer een Nmap-scanner geïnstalleerd kon worden.

Hier wordt dus wél binnengedrongen. En niet alleen dat: dag, uit naam van de wetenschap kom ik even uw computer inzetten. Oké, heel ethisch allemaal want het botje draait op de achtergrond en wist zichzelf bij het resetten van de computer. Maar toch. Zit er niet iets van “vraag consent voor je mensen mee laat doen” in deze tak van onderzoek?

De zaak deed me denken aan de hack van Nieuwe Revu, waarbij het wachtwoord van de Hotmailbox van toenmalid staatssecretaris Jack de Vries werd gebruteforced “om te zien of die wel voldoende beveiligd waren”. Nu kun je je afvragen hoe nieuwswaardig het is dat je met een bulldozer door mensen hun voordeur komt, net zoals je je hier kunt afvragen hoe nieuwswaardig het is dat 1,3 miljard IP-adressen syn-ack zeggen als je op poort 23 syn zegt. Maar ook in die zaak verbaasde het mij meer dat men achteloos 14.000 computers infecteerde met een botnet om ze zo op de achtergrond mee te laten bruteforcen.

Heb ik iets gemist? Is het zwaaien met de vlag ‘wetenschap’ een rechtvaardiging om botnetsoftware te installeren zolang de software maar ethisch afgesteld is? Mag ik even een wetenschappelijk hapje van uw lunch, zoiets?

Arnoud

De security scan als strafbare poging tot computervredebreuk

Geplaatst op in Security, 10 reacties

Wanneer is het zoeken naar kwetsbaarheden nu strafbaar als computervredebreuk? Een vaak terugkomende discussie, waar nu met een vonnis (dank, lezer) een eerste antwoord op is gegeven. Een security scan is strafbaar als het er alle schijn van heeft dat je van plan bent daarna in te gaan breken.

Een security scan kan van alles omvatten. Uitproberen of een invulveld gevoelig is voor cross-site scripting. Directory traversals zoeken. Of een portscan uitvoeren, waarbij je per poort gaat kijken welke software daar draait en of dat kwetsbare software is. Dit kun je puur uit nieuwsgierigheid doen. Of omdat je bezig bent met een groot onderzoek hoe kwetsbaar allerlei systemen zijn. Maar het kan ook overkomen als een opmaat tot inbreken – ’s nachts om drie uur aan een huisdeur rammelen komt ook best wel over als een opmaat tot insluipen in dat huis.

In deze zaak had de verdachte verklaard dat hij uit nieuwsgierigheid allerlei sites had gescand met de vulnerability scanner Acutenix. Er was in de krant allerlei ophef over onveilige sites en hij wilde wel eens weten hoe dat zit.

Niet geloofwaardig, aldus de rechtbank:

Door meermalen het computersysteem van [bedrijf 2] te ‘scannen op zwakheden’ met de programma’s waarmee hij dit heeft gedaan, kan dit naar de uiterlijke verschijningsvormen niet anders worden gezien dan het proberen binnen te dringen in het computersysteem van de [bedrijf 2].

Wat exact de bewijzen zijn voor deze conclusie, kan ik niet halen uit het vonnis. Mogelijk speelde ook mee dat hij had gezegd dat het een schoolopdracht was, wat niet waar was. Dan sta je natuurlijk al meteen met 3-0 achter in de verdere discussie. En het lijkt erop dat hij naast het uitproberen ook data heeft gekopieerd, zo staat in de tenlastelegging:

immers heeft hij, verdachte, een of meer bestand(en) en/of gegevens gekopieerd naar zijn eigen computer, te weten 500 gebruikersnamen en wachtwoorden om in te loggen op de webwinkel van de genoemde groothandel;

Ik kan begrijpen dat het “ik wilde alleen uit nieuwsgierigheid scannen” niet heel geloofwaardig is als je ook inloggegevens bewaart. Een nieuwsgierige zou genoegen nemen met het uitslagscherm van de scanner lijkt me.

Tegelijk kan ik me ook voorstellen dat je bij zo’n scan data downloadt als deel van het proces, en daar vervolgens niet meer naar omkijkt. Dan heb je dus een probleem want je hebt zwaar de schijn tegen in zo’n situatie. Dus áls je vreemde systemen wilt gaan scannen omdat je nieuwsgierig bent, zorg er dan voor dat je niets downloadt, hoe nieuwsgierig je ook bent.

Arnoud

Is een portscan strafbaar?

Geplaatst op in Security, 33 reacties

portscanEen lezer vroeg me:

Op mijn thuisserver zie ik met zeer grote regelmaat portscans voorbij komen. Is dat eigenlijk niet strafbaar en wat kan ik er juridisch tegen doen?

Een portscan (port scan?) is een technisch hulpmiddel om vast te stellen welke diensten een bepaalde server aanbiedt. Diensten (services) zijn via verschillende adressen op een en dezelfde server – poorten, letterlijk eigenlijk ‘havens’ maar goed – bereikbaar. Zo werkt http via poort 80, en verstuur je mail via poort 25.

Weten welke diensten een server aanbiedt, en vooral welke software daarbij wordt ingezet, is handig om te weten als je van plan bent in te breken op die server. Door op alle poorten een communicatie te starten, krijg je die informatie want vrijwel alle serversoftware identificeert zichzelf daarbij. En dan kun je per stukje software opzoeken welke bekende kwetsbaarheden deze heeft.

Portscannen staat als zodanig niet in het wetboek van strafrecht. Het is geen binnendringen (art. 138ab Sr) want je voert geautoriseerde handelingen uit. Die software draait op een bekende poort, en hij geeft volgens het protocol de gebruikelijke reactie. Dat is net zo min strafbaar als aanbellen of het naamkaartje lezen bij een voordeur. En normaliter zal een portscan een server niet laten crashen, dus dat is dan ook geen “veroorzaken van een stoornis in de werking van een geautomatiseerd werk” (art. 161sexies Sr). Tenzij je het zo veel en vaak doet dat je van een denial of service-aanval kunt spreken.

Toch riekt dit naar niet de bedoeling, en het verbaast dan ook niet dat het strafrecht daar wat op gevonden heeft. Twee man die ’s nachts om drie uur met een bivakmuts en een breekijzer in iemands portiek staan, dat voelt ook niet helemaal jofel dus daar wil je als agent tegen kunnen optreden. En dat kan: het strafrecht kent de ‘poging tot’, artikel 45 lid 1 Sr:

Poging tot misdrijf is strafbaar wanneer het voornemen van de dader zich door een begin van uitvoering heeft geopenbaard

Er moet dus sprake zijn van een poging tot plegen van een misdrijf, een overtreding proberen te plegen is niet strafbaar. En er moet een “begin van uitvoering” zijn, alleen maar bedénken dat je een misdrijf gaat plegen is niet strafbaar. (Nou ja behalve als je het met z’n tweeën bedenkt en het misdrijf “met terroristisch oogmerk” is.)

Computervredebreuk is een misdrijf, dus poging daartoe is strafbaar. Brute forcen van een account en gepakt worden voordat je het wachtwoord geraden had, levert dus strafbare poging op want je was bezig met inbreken, er was een begin van uitvoering.

Het vinden van zwakke plekken om in te breken lijkt me ook een “begin van uitvoering”, immers die informatie is nodig om naar binnen te kunnen gaan. Een persoon met bivakmuts die aan alle ramen rammelt om drie uur ’s nachts, is ook bezig met een begin van uitvoering (van inbraak).

Het lastige is alleen, je kunt ook portscannen zonder die informatie te willen gebruiken om later in te breken. En dat oogmerk, dat plan om in te breken, moet er wel zijn. Je kunt niet iets ‘pogen’ dat je niet van plan bent, als u begrijpt wat ik bedoel.

Dus: portscannen is strafbaar, mits duidelijk is dat de portscan-uitvoerder van plan is vervolgens in te gaan breken bij het geportscande systeem. Alleen: hoe bewijs je dat? Je kúnt natuurlijk zeggen, er is geen andere legitieme reden om te portscannen dús is elke portscan bewijs van de wens in te gaan breken. Maar dat voelt wel een beetje te kort door de bocht. Wat jullie?

Arnoud

Nieuw op Iusmentis: De portscan als strafbare voorbereiding (in Beveiliging > Hacken @ iusmentis.com)

Geplaatst op in Security, nog geen reacties

Port scans stellen vast welke systemen luisteren naar inkomend netwerkverkeer (actieve systemen) en via Internet bereikbaar zijn. Met een port scanner kan een succesvolle computerinbraak (hack) worden voorbereid. Een port scan kan dan ook strafbaar zijn als poging tot misdrijf.

Een port scanner is een van de meest gebruikte tools van de tegenwoordige hacker. Port scans worden toegepast om vast te stellen welke TCP- en UDP-poorten op externe systemen luisteren en zijn een mogelijke indicatie dat er een gerichte aanval op een geautomatiseerd systeem, het doelsysteem, op handen is. Binnendringen in een computersysteem is strafbaar als computervredebreuk. Echter, in het Wetboek van Strafrecht is geen bepaling opgenomen die de portscan strafbaar stelt.

Het hangt van de omstandigheden van het geval af of de port scan wordt gebruikt voor het plegen van een ander strafbaar feit, zoals het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk (art. 138a, lid 1 WvSr). Er kan dan sprake zijn van poging met betrekking tot het plegen van dat andere delict. Indien de port scan kan worden gezien als een voornemen van de dader tot het binnendringen in de computer, het vernielen van een geautomatiseerd werk, het vernielen van gegevens of afluisteren, dan kan strafbaarheid ontstaan op grond van poging. Dit artikel is een bewerking van de scriptie van jurist Jaap Timmer over de strafbaarheid van portscannen.

Lees verder in De portscan als strafbare voorbereiding (in Beveiliging > Hacken @ iusmentis.com).

Arnoud