image

Juridische vraag: wat kan ik juridisch tegen portscans doen?

woensdag 7 mei 2014, 10:40 door Arnoud Engelfriet, 21 reacties

Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.

Vraag: Op mijn thuisserver zie ik met zeer grote regelmaat portscans voorbij komen. Is dat eigenlijk niet strafbaar en wat kan ik er juridisch tegen doen?

Antwoord: Een portscan (port scan?) is een technisch hulpmiddel om vast te stellen welke diensten een bepaalde server aanbiedt. Diensten (services) zijn via verschillende adressen op een en dezelfde server – poorten, letterlijk eigenlijk 'havens' maar goed – bereikbaar. Zo werkt http via poort 80, en verstuur je mail via poort 25.

Weten welke diensten een server aanbiedt, en vooral welke software daarbij wordt ingezet, is handig om te weten als je van plan bent in te breken op die server. Door op alle poorten een communicatie te starten, krijg je die informatie want vrijwel alle serversoftware identificeert zichzelf daarbij. En dan kun je per stukje software opzoeken welke bekende kwetsbaarheden deze heeft.

Portscannen staat als zodanig niet in het wetboek van strafrecht. Het is geen binnendringen (art. 138ab Sr) want je voert geautoriseerde handelingen uit. Die software draait op een bekende poort, en hij geeft volgens het protocol de gebruikelijke reactie. Dat is net zo min strafbaar als aanbellen of het naamkaartje lezen bij een voordeur. En normaliter zal een portscan een server niet laten crashen, dus dat is dan ook geen "veroorzaken van een stoornis in de werking van een geautomatiseerd werk" (art. 161sexies Sr). Tenzij je het zo veel en vaak doet dat je van een denial of service-aanval kunt spreken.

Toch riekt dit naar niet de bedoeling, en het verbaast dan ook niet dat het strafrecht daar wat op gevonden heeft. Twee man die 's nachts om drie uur met een bivakmuts en een breekijzer in iemands portiek staan, dat voelt ook niet helemaal jofel dus daar wil je als agent tegen kunnen optreden. En dat kan: het strafrecht kent de 'poging tot', artikel 45 lid 1 Sr:

Poging tot misdrijf is strafbaar wanneer het voornemen van de dader zich door een begin van uitvoering heeft geopenbaard.

Er moet dus sprake zijn van een poging tot plegen van een misdrijf, een overtreding proberen te plegen is niet strafbaar. En er moet een “begin van uitvoering” zijn, alleen maar bedénken dat je een misdrijf gaat plegen is niet strafbaar.

Computervredebreuk is een misdrijf, dus poging daartoe is strafbaar. Brute forcen van een account en gepakt worden voordat je het wachtwoord geraden had, levert dus strafbare poging op want je was bezig met inbreken, er was een begin van uitvoering.

Het vinden van zwakke plekken om in te breken lijkt me ook een "begin van uitvoering", immers die informatie is nodig om naar binnen te kunnen gaan. Een persoon met bivakmuts die aan alle ramen rammelt om drie uur 's nachts, is ook bezig met een begin van uitvoering (van inbraak).

Het lastige is alleen, je kunt ook portscannen zonder die informatie te willen gebruiken om later in te breken. En dat oogmerk, dat plan om in te breken, moet er wel zijn. Je kunt niet iets 'pogen' dat je niet van plan bent, als u begrijpt wat ik bedoel.

Dus: portscannen is strafbaar, mits duidelijk is dat de portscan-uitvoerder van plan is vervolgens in te gaan breken bij het geportscande systeem. Alleen: hoe bewijs je dat? Je kúnt natuurlijk zeggen, er is geen andere legitieme reden om te portscannen dús is elke portscan bewijs van de wens in te gaan breken. Maar dat voelt wel een beetje te kort door de bocht. Wat jullie?

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (21)
07-05-2014, 11:41 door spatieman
of te wel.
ik ontken dat ik met mijn portscan schade wilde toevoegen, door later in te breken...
07-05-2014, 11:51 door Anoniem
Je kúnt natuurlijk zeggen, er is geen andere legitieme reden om te portscannen dús is elke portscan bewijs van de wens in te gaan breken. Maar dat voelt wel een beetje te kort door de bocht.

Dat lijkt me inderdaad te kort door de bocht. Ter vergelijk, je mag ook door een winkelstraat lopen en inventariseren welke diensten en producten daar te krijgen zijn. Deze informatie kan door criminelen gebruikt worden om te bepalen waar ze inbreken. Maar ook door "gewone" mensen die willen winkelen. Waarom zou dit digitaal anders zijn? Als iemand zijn dns of proxy open zet voor publiek gebruik, waarom zou dit dan niet geinventariseerd mogen worden door derde?
07-05-2014, 11:52 door Anoniem
Als een portscan op zichzelf strafbaar is, dan zou door een woonwijk waar je niet zelf woont lopen en om je heen kijken ook al snel strafbaar worden lijkt me. Dan observeer je ook of er woningen zijn met open ramen, slechte schuttingen, weinig verlichting etc. Ik weet niet of de analogie helemaal op gaat, maar het kijken zelf kan moeilijk strafbaar zijn lijkt me. Anders gezegd, als het kijken of ergens een service draait strafbaar is, is het dan ook strafbaar om een verkeerde URL of ip-adres in te tikken in je browser? (alhoewel daar eenvoudiger aannemelijk te maken is dat er geen opzet in het spel is, of poging tot)
07-05-2014, 12:40 door Anoniem
– poorten, letterlijk eigenlijk 'havens' maar goed –
Klopt. Dus als je software gaat "porten", dan krijg je vervolgens een gehavend systeem...
Maar gelukkig kan "port" ook nog gewoon "poort" of "ingang" betekenen. ;)

Juridisch dus kennelijk weinig aan te doen.
Maar is er technisch niet wat aan te doen met een "netfilter" o.i.d. in geval dat je je server
maar aan een beperkt publiek wilt blootstellen, waarvan de IP-adressen bekend zijn?
(http://nl.wikipedia.org/wiki/Netfilter)

Ik stel me voor dat een netfilter zo kan worden ingesteld dat internetverkeer dat afkomstig is van
ongewenste IP-adressen wordt genegeerd. (="stealth" mode, zodat de server voor hen onzichtbaar blijft)
07-05-2014, 13:24 door Anoniem
Technisch is er wel wat aan te doen. Zoals je zelf al aangeeft kan je de firewall instellen om alleen bepaald verkeer door te laten, en de rest te weigeren. Zoiezo zou ik ICMP ping blokeren van buitenaf. Dat scheelt al weer een stuk :)
07-05-2014, 13:47 door Anoniem
Portscannen als voorbereidingshandeling voor computerinbraak, dat kun je natuurlijk denken, maar een mens kan zoveel denken. En de analogie met het door een woonwijk lopen als voorbereiding op woninginbraak, grappig hoor, wat denken we dan van de wagens van Google Streetview?

Men kan ook op, zeg, port 80 scannen om in kaart te brengen wat de marktaandelen van de verschillende WWW-servers zijn, of zo. Volkomen legitiem.
07-05-2014, 14:17 door Anoniem
Door Anoniem:Zoiezo zou ik ICMP ping blokeren van buitenaf. Dat scheelt al weer een stuk :)

Hoe veel ICMP ping zie jij tegenwoord nog langskomen? Ik zie ze amper nog. Verder is ICMP wel handig als je bij familie of op vakantie bent en je problemen hebt om je server thuis te bereiken. Dan kun je met een ICMP ping request in ieder geval controleren of de verbinding er nog is.

P.S. Ik ben in ieder geval blij dat je onderscheid maakt en niet stelt dat je ICMP moet gaan blokkeren.

Peter
07-05-2014, 14:21 door Anoniem
Er zijn diverse port-scan projecten op Internet, waarin oa. het aantal web servers, email servers e.d.in kaart gebracht wordt. Ook zijn er die bv. aantallen kwetsbare en niet-kwetsbare implementaties van bv. SNMP in kaart brengen. Dat geeft belangrijke informatie die voor iedereen beschikbaar is, en inzicht geeft in bv. veiligheid van servers (ik ben wel eens gescanned door een IP adres, die op dat IP adres een toelichting geeft waarom ze het hele internet scannen, en welke IP adressen van hun zijn). Een soort marktonderzoek.
Wat is daar op tegen?
07-05-2014, 14:24 door Anoniem
Ik begrijp het probleem niet helemaal, waarom zou je juridisch willen optreden tegen iemand die een port-scan doet?

In de echte wereld ga je toch ook niet met juridische straffen dreigen als iemand aan jouw gammele deur voelt om te kijken of die open is? Je zorgt gewoon voor een goede deur!

Dus: zorg voor een firewall. Als je niet tegen port scans kan, moet je niet op het Internet gaan zitten...
07-05-2014, 14:41 door Anoniem
Er is laatst iemand in het VK veroordeeld voor het toevoegen van "/../.." aan een URL in z'n adresbalk. Was dat poging tot inbraak? Wat mij betreft een beetje kort door de bocht*, maar strikt genomen kun je het zo uitleggen. Persoonlijk denk ik dat het tegen de geest van het internet ingaat, qv "Postel's robustness principle"**, waar systemen tegen een stootje moeten kunnen. Dat het dan nog steeds niet te bedoeling is om maar aan elke deur te gaan rammelen moge duidelijk zijn, maar om dan gelijk maar veroordelingen uit te delen want er had wellicht een stukje software mogelijk de hik kunnen krijgen... nee.

Het probleem van strafbaar stellen is dat je dan ook moet vervolgen als het gebeurt, want anders wordt de wet een dode letter die alleen nog maar uit de kast wordt getrokken als je iemand goed dwars wil zitten, en dat is willekeur--eenzelfde soort reden als waarom wetten vrij precies verwoordt moeten worden en dus niet overbreed mogen zijn willen ze nog iets met recht van doen hebben (hallo VS). En iedere puber met een scanner vervolgen gaat'm niet worden, ook als ze niet in China wonen.

Het zou fijn zijn als je een poortscanner zou kunnen opbellen en 'm vriendelijk vragen zich niet zo asociaal te gedragen. Sinds september 1993 is dat niet meer realistisch. Moet er dan maar met de wet in de hand tegenin gemarcheerd worden? Lijkt me eigenlijk niet, wegens die willekeur en alle verdere problemen die je er mee moet oplossen. Mag een shodan? En als niet, wat van netcraft? En google, zo van "index of /etc"? Welke queries nog wel, en welke niet meer? Als google resultaten filtert mag het dan ineens wel, en op welke grond? Wat als iemand zijn eigen zoekmasjientje bouwt, dat niet filtert?

Daarnaast klinkt de vraag een beetje als van iemand die z'n neus gestoten heeft en nu terug wil slaan via de wet. Je weet wel, machines bleken lek en als eerste reactie aangifte willen doen tegen de melder. Dat is niet handig, ook al is de reactie nog zo begrijpelijk. Het internet heeft gewoon een soms verdraaid sterke onderstroom van scans, dat komt mee met de grootte. Daartegenin proberen te procederen, zelfs te wetgeven, gaat 'm gewoon niet worden.

Hoe on-net het ook is om andermans hosts langs te gaan op open diensten.

* Wat ze in het VK wel vaker zijn, zie "extreme porn"-wetten, verschillende stukjes terreurwetgeving, en meer van zulks.
** Ook al ergens in de bijbel te vinden, daar niet van.
07-05-2014, 15:26 door Anoniem
Door Anoniem: Ik stel me voor dat een netfilter zo kan worden ingesteld dat internetverkeer dat afkomstig is van
ongewenste IP-adressen wordt genegeerd. (="stealth" mode, zodat de server voor hen onzichtbaar blijft)
Je stelt je wat dingen voor waarvan het beter is ze even recht te zetten. Netfilter is de naam van een specifiek stuk software op linux dat ondertussen alweer minstens twee keer is vervangen, en andere systemen hebben vergelijkbare constructies die weer anders heten. Onder andere, "ipchains", "ipfilter", "pf", "ipfw", "ipf", een aantal commercieelen, en vele vele windows "firewalls", en zo verder.

De technische term is "packet filter". In de volksmond heet het "firewall", maar een propere firewall is een superset van een packet filter; het kan meer. Een packet filter filtert op IP (adressen, vlaggetjes), ICMP (types), en TCP danwel UDP niveau (poorten, vlaggetjes). Een firewall kent ook "hogere" protocollen vanbinnen en kan daar beslissingen op nemen.

"Stealth" is ook zo'n mooie "ik denk me dingen in"-term, eentje die zichzelf al nutteloos heeft doen blijken. Vergelijkbaar met de reflex om "alles behalve poort 80" te blokkeren, en dus ging iedereen, van aanvaller tot reguliere softwaremaker, uitvogelen hoe zijn programma door poort 80 heen te persen anders werkte het niet meer. Dat was dus contraproductief. Zo ook "stealth"; je kan stoppen op ICMP ECHO te antwoorden met ICMP ECHO REPLY (samen "ping") in de hoop zo "onzichtbaar" te zijn, alleen toen sloegen de scanners de "eerst een ping sturen"-stap over en begonnen ze gelijk met blind aan poorten te rammelen.

Natuurlijk kan je van bepaalde IP adresreeksen alle inkomende pakketten laten vallen ("DROP"), zodat er nooit een antwoord komt, maar hoe weet je nou welke adressen je wil blokkeren? Weet jij zeker dat je nooit zaken wil doen met hele landen?

Dat dit makkelijk verkeerd uitpakt was te zien toen verizon (grote Amerikaanse retailISP) besloot dat er toch alleen maar spam vanuit Europa kwam en alle mail dus maar blokkeerde. Op een moment dat er net in het nieuws was geweest dat meer dan de helft van alle spam uit de VS kwam. Daar maakten ze echt vrienden mee.

Wat je wel kan doen, en wat ook veel gebeurt tegenwoordig, is om een script door je logs te laten kijken en (bepaalde typen) fouten te laten detecteren. Komen er teveel binnen te korte tijd van een bepaald adres dan wordt het adres voor een bepaalde tijd geblokkeerd, en daarna weer gedeblokkeerd.

Dit wordt wel gedaan bij ssh brute force attacks. Bijvoorbeeld meer dan vijf pogingen in vijf minuten levert een blokkade van een uur op. (Liefst wel ook goede logins de timer laten resetten.) Persoonlijk zie ik het niet als beveiligingsmaatregel --dat lossen we anders op-- maar als rem op het opvullen van de logbestanden.

Maar alweer moet je oppassen met dit soort gein. Zet je zo'n ding bijvoorbeeld op je webservertje, en maak je zelf een fout, dan kan dat makkelijk escaleren doordat een enkele pagina makkelijk meerdere verdere aanvragen oplevert. Een toegangsbitje verkeerd gezet op de plaatjesfolder kan makkelijk tientallen foutmeldingen per legitieme aanvraag opleveren, en zo blokkeert je script ineens al je bezoekers. Foutje!

Je moet dus altijd opletten dat het middel niet onverhoopt erger blijkt dan de kwaal.


Door Anoniem: Technisch is er wel wat aan te doen. Zoals je zelf al aangeeft kan je de firewall instellen om alleen bepaald verkeer door te laten, en de rest te weigeren. Zoiezo zou ik ICMP ping blokeren van buitenaf. Dat scheelt al weer een stuk :)
Slecht en achterhaald advies. Je maakt het jezelf en je legitieme gebruikers vooral moeilijker eventuele problemen op te lossen en koopt er onderhand niets meer voor. Je kan hooguit ICMP rate limiten en dat staat in de betere OSen standaard aan. Slechte OSen moet je niet gebruiken op het publieke internet.


Door Anoniem: En de analogie met het door een woonwijk lopen als voorbereiding op woninginbraak, grappig hoor, wat denken we dan van de wagens van Google Streetview?
Het "echte wereld"-equivalent van scannen-en-indexeren. Dus niet automatisch legitiem. Persoonlijk zou ik er beter mee kunnen leven als het gluurapparaat op niet hoger dan twee meter stond. Nu kijkt'ie over schuttingen heen waar een gemiddelde wandelaar dat niet kan.

Men kan ook op, zeg, port 80 scannen om in kaart te brengen wat de marktaandelen van de verschillende WWW-servers zijn, of zo. Volkomen legitiem.
Is dat volkomen legitiem? Je zou het zo zeggen, ze geven die informatie gewoon weg. Maar anderzijds, je wordt geacht de resultaten in je browsertje te laden, en daar ga je nu buiten zitten. Sterker, zelfs recht op en neer de inhoud van een website indexeren mag niet zomaar van de rechter -- zie die rechtszaak van nieuwsagentschappen tegen google. Niet dat ik er zo over denk, wel dat je er zo over kan denken, dus als advocaat van de duivel.
07-05-2014, 16:59 door Anoniem
@peter
Hoe veel ICMP ping zie jij tegenwoord nog langskomen? Ik zie ze amper nog.

Dat is goed punt. Het wordt minder en minder gebruikt. Zeker de echte jongens trekken zich niks aan van het feit of een systeem wel of niet op ping reageert. Maar ik denk dat het nog wel wil helpen om scriptkidies met standaard tooltjes te ontmoedigen. Maar misschien is dat ook al achterhaald. Ik doe het in iedergeval standaard nog wel.
07-05-2014, 21:16 door yobi
De scans worden veelal van buitenlandse ip-adressen uitgevoerd. Welk recht is dan van toepassing?
08-05-2014, 11:38 door Orion84
Door yobi: De scans worden veelal van buitenlandse ip-adressen uitgevoerd. Welk recht is dan van toepassing?
Interessanter nog: heel veel scans worden uitgevoerd door nietsvermoedende slachtoffers van een worm / botnet besmetting.
08-05-2014, 13:17 door Anoniem
Vaak helpt het bij dit soort vraagstukken een analogie met de echte wereld te vinden die realistischer is dan de vergelijking met iemand die met een bivakmuts op om drie uur 's nachts aan deuren en ramen loopt te morrelen.

Is het strafbaar om (zonder bivakmuts en zonder breekijzer op zak en gewoon overdag, dus open en bloot) bij een willekeurig huis aan de deur en ramen te voelen of deze open of dicht zijn?
Ik kan het mij haast niet voorstellen. Zeker niet als je het bij alle huizen in een straat of dorp doet met als argument dat je met een onderzoek bezig bent naar de beveiliging van huizen.

Ik begrijp dat het 'verdacht' overkomt, maar zoals anderen hierboven ook al schreven, er zijn meer redenen te bedenken waarom er portscans worden uitgevoerd.

Daarnaast, wij met z'n allen moeten niet voor alles een juridische oplossing willen hebben. Wij moeten er zelf voor zorgen onze zaakjes op orde te hebben zonder steeds als een klein kind (wij) naar z'n moeder (de overheid?) te rennen en te roepen "mama, Jantje doet het weer!"
Zorg er gewoon voor dat je de boel technisch op orde hebt, dan hoef je ook niet te piepen als er eens iemand aan jouw achterdeur rammelt (-:

Voor de duidelijkheid: Ik heb het alleen maar over het rammelen aan de deur. Op het moment dat je binnenstapt omdat de deur open bleek te staan wordt het een ander verhaal.
08-05-2014, 13:24 door Anoniem
Door Orion84:
Door yobi: De scans worden veelal van buitenlandse ip-adressen uitgevoerd. Welk recht is dan van toepassing?
Interessanter nog: heel veel scans worden uitgevoerd door nietsvermoedende slachtoffers van een worm / botnet besmetting.

Advies aan de afzenders om dit eens door te mailen aan dhr. Arnoud Engelfried. k Ben benieuwd!

En even in het verlengde hiervan: wat doe je aan derde partijen die (soms ook vanuit het buitenland) zonder toestemming je NAW+telefoonnummers (van particulieren dus; geen bedrijven) publiekelijk op het internet vermelden, zoals plusadres.nl en meer van dat soort sites. Je kunt ze misschien wel mailen om je gegevens te verwijderen, maar:
1. de meeste mensen weten niet eens dat zulke websites bestaan.
2. zoiets hoort "opt-in" te zijn en niet "opt-out".
3. je moet maar afwachten of ze je daadwerkelijk gaan verwijderen, en je laat ondertussen stiekem weten dat hun informatie over jou kennelijk nog steeds correct is...

Ik ken iemand die een jaartje geleden bij KPN heeft opgegeven om zich uit de telefoongids te laten verwijderen,
en die in de waan verkeert dat hij nu niet meer zomaar door iedereen gebeld kan worden. Mooi niet dus...
"Macht kein flaus aus" als derde partijen onbelemmerd doorgaan met het lekken van zulke informatie!
08-05-2014, 14:06 door Anoniem
Complimenten voor de begrijpelijkheid van de tekst.

In de juridische wereld ontbreekt het nogal eens aan Jip en Janneketaal. Dan is het vervolgens heel verheldered om een dergelijk artikel te lezen.
08-05-2014, 14:42 door Anoniem
Ik vind dat een portscan meer te vergelijken is met een groep mensen die kijken naar jouw garage-sale...
Jij hangt wat aan internet, het internet is bedoeld om informatie te delen.
Dat jij wat aan internet hangt dat je niet wilt delen is JOUW probleem, maak daar niet mijn probleem van AUB.
08-05-2014, 16:08 door Briolet
Door Anoniem:P.S. Ik ben in ieder geval blij dat je onderscheid maakt en niet stelt dat je ICMP moet gaan blokkeren.

Peter

Op de Ziggo routers wordt volgens mij per default de ICMP geblokt. Om pingbaar te zijn moet je dat in de voorkeuren aanpassen. Dat geld in elk geval voor mijn Ubee router, maar ik neem aan dat als het daar standaard zo gekozen is dat het ook voor hun Cisco routers geldt.
10-05-2014, 18:38 door Eric-Jan H te D
Door achter een bekende poort een honeypot met een kwetsbare service te zetten kun je de poging tot inbraak wel manifest maken.
26-05-2014, 18:15 door Guy Fawkes Maskers
portscans zijn random en automated niks tegen doen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.