Mag ik mijn klanten scannen op kwetsbaarheden zoals ProxyShell?

| AE 12864 | Security | 9 reacties

GDJ / Pixabay

Een lezer vroeg me:

Wij zijn een ISP die honderden bedrijven heeft ontsloten. We weten van een kwetsbaarheid in Exchange die we kunnen scannen en detecteren. Mogen wij onze eigen klanten nu hierop scannen, ondanks dat ze geen toestemming hebben gegeven en bij ons geen dienst van softwarebeheer afnemen?
Ik heb al een aantal keer gepubliceerd over scannen op veiligheidslekken, waarbij dan het hele internet wordt gescand. Je zou zeggen dat dat dus ook moet kunnen voor het kleinere deel van internet dat jouw klant is. Zeker als het gaat om actuele lekken zoals (denk ik) de recente ProxyShell lekken.

Toch zou ik het afraden om als internettoegangsprovider of hostingprovider ongevraagd en zonder overleg je klanten te scannen. Je zit namelijk in een iets andere positie dan een partij die internet scant vanuit de motivatie het publiek te willen waarschuwen. Je hebt een contractuele relatie met die klanten, en dat brengt een aantal verantwoordelijkheden met zich mee.

Anders gezegd: je hebt een zorgplicht naar je klanten toe, en dat betekent extra zorgvuldigheid in hoe je met hun systemen omgaat. Ook hoort daarbij dat je vertrouwelijkheid in acht neemt en extra oplet dat je niets stukmaakt.

Tegelijk kan ik me voorstellen dat je juist bij gaten met grote impact expliciet wél wil handelen. Dat kun je vanuit diezelfde zorgplicht juist heel goed rechtvaardigen. En als je als provider kwalificeert als een “aanbieder van een openbare elektronische communicatiedienst” (wat de term ISP impliceert) dan moet je zelfs vanuit de wet (art. 11.2 Telecomwet) zorgen voor een goede beveiliging van je netwerk. Dat is natuurlijk dan afhankelijk van de beveiliging van je klanten, dus meekijken of waarschuwen is dan zelfs met enige goede wil je wettelijke plicht te noemen.

Alleen: voor mij blijft overeind staan dat je dit moet aankondigen, en ik denk zelfs ook laten accorderen. Dat kun je natuurlijk prima automatiseren, denk aan een regeling in je algemene voorwaarden met wat uitleg in de SLA (of op je site, zoals in de FAQ) en een bezwaarmogelijkheid voor klanten die hier niet op zitten te wachten.

Wel zou ik dan eerst de vraag beantwoord willen wat je zou doen met de scanresultaten. Ga je dat gewoon naar het contactadres van de klant mailen? En wat doe je dan als die niet reageert (of hooguit “eh, oké bedankt”) en de kwetsbaarheid blijft bestaan? Je kunt namelijk klanten niet gaan afsluiten als ze een kwetsbaar systeem hebben, tenzij je daar héle duidelijke afspraken over hebt. Of ga je de klant aanbieden het voor ze te repareren? Dat zullen ze niet willen, dan hadden ze wel een supportcontract afgenomen.

Arnoud

In één nacht het internet scannen, hoe strafbaar is dat?

| AE 8048 | Regulering, Security | 12 reacties

telnetHet begon als grap, las ik in De Correspondent. Een onderzoeker wilde kijken hoeveel apparaten Telnet gebruikten. Op heel internet dus. “Hij bedacht daarom een list en liet een botnet het vuile werk opknappen.” Ook goeiemorgen. Een botnet van 30.000 computers die uiteindelijk concludeerden dat van 1,3 miljard IP-adressen een reactie kwam en van 2,3 miljard niet. Lachen? Strafbaar?

Het scannen van al die IP-adressen lijkt me op zich niet strafbaar. Dat is niet meer dan een groots opgezette portscan, en ik blijf erbij dat die alleen strafbaar zijn als je ze doet met als bedoeling vervolgens binnen te dringen. Dit onderzoekje had dat oogmerk niet.

Echter, mijn juridische broek zakt af van dit stukje in de onderzoeksopzet:

Als de onderzoeker een computer aantrof met Telnet en daar met root:root kon inloggen, installeerde hij er een Nmap-scanner. Die ging dan weer op zoek naar andere kwetsbare computers waar ook weer een Nmap-scanner geïnstalleerd kon worden.

Hier wordt dus wél binnengedrongen. En niet alleen dat: dag, uit naam van de wetenschap kom ik even uw computer inzetten. Oké, heel ethisch allemaal want het botje draait op de achtergrond en wist zichzelf bij het resetten van de computer. Maar toch. Zit er niet iets van “vraag consent voor je mensen mee laat doen” in deze tak van onderzoek?

De zaak deed me denken aan de hack van Nieuwe Revu, waarbij het wachtwoord van de Hotmailbox van toenmalid staatssecretaris Jack de Vries werd gebruteforced “om te zien of die wel voldoende beveiligd waren”. Nu kun je je afvragen hoe nieuwswaardig het is dat je met een bulldozer door mensen hun voordeur komt, net zoals je je hier kunt afvragen hoe nieuwswaardig het is dat 1,3 miljard IP-adressen syn-ack zeggen als je op poort 23 syn zegt. Maar ook in die zaak verbaasde het mij meer dat men achteloos 14.000 computers infecteerde met een botnet om ze zo op de achtergrond mee te laten bruteforcen.

Heb ik iets gemist? Is het zwaaien met de vlag ‘wetenschap’ een rechtvaardiging om botnetsoftware te installeren zolang de software maar ethisch afgesteld is? Mag ik even een wetenschappelijk hapje van uw lunch, zoiets?

Arnoud

De security scan als strafbare poging tot computervredebreuk

| AE 7233 | Security | 10 reacties

Wanneer is het zoeken naar kwetsbaarheden nu strafbaar als computervredebreuk? Een vaak terugkomende discussie, waar nu met een vonnis (dank, lezer) een eerste antwoord op is gegeven. Een security scan is strafbaar als het er alle schijn van heeft dat je van plan bent daarna in te gaan breken.

Een security scan kan van alles omvatten. Uitproberen of een invulveld gevoelig is voor cross-site scripting. Directory traversals zoeken. Of een portscan uitvoeren, waarbij je per poort gaat kijken welke software daar draait en of dat kwetsbare software is. Dit kun je puur uit nieuwsgierigheid doen. Of omdat je bezig bent met een groot onderzoek hoe kwetsbaar allerlei systemen zijn. Maar het kan ook overkomen als een opmaat tot inbreken – ’s nachts om drie uur aan een huisdeur rammelen komt ook best wel over als een opmaat tot insluipen in dat huis.

In deze zaak had de verdachte verklaard dat hij uit nieuwsgierigheid allerlei sites had gescand met de vulnerability scanner Acutenix. Er was in de krant allerlei ophef over onveilige sites en hij wilde wel eens weten hoe dat zit.

Niet geloofwaardig, aldus de rechtbank:

Door meermalen het computersysteem van [bedrijf 2] te ‘scannen op zwakheden’ met de programma’s waarmee hij dit heeft gedaan, kan dit naar de uiterlijke verschijningsvormen niet anders worden gezien dan het proberen binnen te dringen in het computersysteem van de [bedrijf 2].

Wat exact de bewijzen zijn voor deze conclusie, kan ik niet halen uit het vonnis. Mogelijk speelde ook mee dat hij had gezegd dat het een schoolopdracht was, wat niet waar was. Dan sta je natuurlijk al meteen met 3-0 achter in de verdere discussie. En het lijkt erop dat hij naast het uitproberen ook data heeft gekopieerd, zo staat in de tenlastelegging:

immers heeft hij, verdachte, een of meer bestand(en) en/of gegevens gekopieerd naar zijn eigen computer, te weten 500 gebruikersnamen en wachtwoorden om in te loggen op de webwinkel van de genoemde groothandel;

Ik kan begrijpen dat het “ik wilde alleen uit nieuwsgierigheid scannen” niet heel geloofwaardig is als je ook inloggegevens bewaart. Een nieuwsgierige zou genoegen nemen met het uitslagscherm van de scanner lijkt me.

Tegelijk kan ik me ook voorstellen dat je bij zo’n scan data downloadt als deel van het proces, en daar vervolgens niet meer naar omkijkt. Dan heb je dus een probleem want je hebt zwaar de schijn tegen in zo’n situatie. Dus áls je vreemde systemen wilt gaan scannen omdat je nieuwsgierig bent, zorg er dan voor dat je niets downloadt, hoe nieuwsgierig je ook bent.

Arnoud

Is een portscan strafbaar?

| AE 6593 | Security | 33 reacties

Een lezer vroeg me: Op mijn thuisserver zie ik met zeer grote regelmaat portscans voorbij komen. Is dat eigenlijk niet strafbaar en wat kan ik er juridisch tegen doen? Een portscan (port scan?) is een technisch hulpmiddel om vast te stellen welke diensten een bepaalde server aanbiedt. Diensten (services) zijn via verschillende adressen op een… Lees verder

Nieuw op Iusmentis: De portscan als strafbare voorbereiding (in Beveiliging > Hacken @ iusmentis.com)

| AE 553 | Security | Er zijn nog geen reacties

Port scans stellen vast welke systemen luisteren naar inkomend netwerkverkeer (actieve systemen) en via Internet bereikbaar zijn. Met een port scanner kan een succesvolle computerinbraak (hack) worden voorbereid. Een port scan kan dan ook strafbaar zijn als poging tot misdrijf. Een port scanner is een van de meest gebruikte tools van de tegenwoordige hacker. Port… Lees verder