Zijn diploma dekte blijkbaar niet dat je geen beveiliging mag testen uit interesse, maar dat je toestemming nodig hebt van de eigenaar?

Dat ligt er maar net aan, wat je doet.
Zelf doe ik regelmatig een poortscan van een adres, of van een reeks adressen.
Aan de hand van de uitkomsten ga ik "spelen", maar ik ga nooit naar binnen.
De eigenaar wordt in geval van open poorten op de hoogte gebracht.

Wanneer houdt de buitenkant op en wanneer start de binnenkant?
Persoonlijk vind ik alles wat je aan internet hangt is publiek domein...

Natuurlijk zijn er mensen die zo stom zijn om meer aan internet te hangen dan nodig/veilig is...
Is het dan mijn schuld? Nee.. maar dankzij CCW2 is dat wel zo.

Ik heb in 2016 (en het is nog niet afgelopen) contact gehad met 450 bedrijven via E-mail.
Van deze 450 bedrijven heb ik inmiddels 150 E-mail ontvangen met de vraag of ik blauwe pillen, zipbestanden en andere dingen wil hebben die duidelijk niet van hen af kwamen.

Wanneer het gemeengoed is dat klanten hun leveranciers mogen testen zal de kwaliteit drastisch verbeteren.
Bij de bakker mag ik immers ook in het brood prikken om te kijken of het vers is...

Ik ken verhalen van meerdere studenten, die moeilijkheden ondervonden, door buiten een goede setting beveiliging te gaan testen.

Met "cold reconnaissance third party" scannen en testen loop je niet zo veel risico. Je hebt de site noch de server immers zelf bezocht en als er al gerammeld is aan luiken en deuren, dan deed een derde partij dat.

Ga je zelf lawaai maken en de gescande met je acties in de weg zitten, dan loop je gevaar. Ook het tegen een site gebruiken van bijvoorbeeld scan-gegevens, waar degene die de scan faciliteert dit uitdrukkelijk verbiedt kan je op glad ijs brengen (nmap scan gegevens ook via derden, SSL scan gegevens enz.

Ik ken een geval dat degene die een poortscan deed op een Amerikaanse site in een zandbakje werd geplaatst met een kinderspelletje. Vooral Amerikaanse admins zijn soms rücksichtslos patsers wat dat aangaat.

Ook als op eigen naam en niet beschermd door een platform of binnen een bepaald kader loop je dat soort risico's.

Hoe vaak ontkent de eigenaar van de website liever de feiten of willen de sloppy beheerders dat hun directe chefs met hun mogelijke onkunde kan worden geconfronteerd. Daarom is daar een speciaal kader voor gemaakt.

Daar gebruik ik nmap voor.

Export van fail2ban naar nmap...

actionban = nmap -sS -O <ip>|mail -s "[Fail2Ban]: nmap of <ip>" <dest>

AS

Maar in België hebben ze misschien niet zulke duidelijke afspraken over responsible disclosure als hier? Overigens kun je in Nederland ook nog altijd aangeklaagd worden, en die slag om de arm is ook wel weer begrijpelijk.

Neen, helaas nog geen wetgeving i.v.m. ethisch hacken, maar die gaat er wel aankomen.
Afwachten nog was de inhoud zal zijn...

Portscannen, connecteren op iemands WIFI netwerk, etc... zijn allemaal niet toegestaan, zelfs strafbaar, zonder toestemming van de eigenaar.

Wat veel mensen echter niet weten is dat je ook toestemming moet hebben van de onderliggende infrastructuurproviders.
Dit wil zeggen dat als jij toestemming hebt van bedrijf X om een pentest van hun website te doen, dat je ook toestemming moet hebben van bijvoorbeeld jouw internet provider, en de eventuele shared hoster waarop die website staat. Dit is uiteraard vrij logisch, maar toch...

Dat denk ik niet.
Het staat mij vrij, om te controleren of de deur bij de buren op slot zit.
Ook staat het mij vrij om te kijken, of de auto van de buren op slot zit.
Binnengaan, of een deur openen is iets anders.........

@reageerders

Waarom zou je een portscan doen naar een site die jou probeert te benaderen via een normaal standaard internet protocol? Meestal zijn het zelf geinfecteerde dozen of Chineese IP adressen (wat niet wil zeggen dat het Chinezen zijn.

Ik heb nu 11 maanden een kippo honeypot draaien (inmiddels staat de teller op 672585 pogingen en
6108 unieke IP adressen) en sta ook connecties toe. Vervolgens kan je loggen welke technieken ze verder gebruiken om je doos te compromiteren en daar leer je wel wat van. Een portscan heb je eigenlijk nauwelijks iets aan en leer je niks van.

Niet alles wat je zou kunnen doen is toegestaan je moet het bordje verboden voor onbevoegden art 461 toch wel kennen.
Met computervredebreuk is er het zelfde als huisvredebreuk.

Ik dacht dat je zo'n voorvechter van privacy was. Het is verwoord als het recht met rust gelaten te worden. Een ieder die dat niet eerbiedigt is in overtreding en in principe strafbaar

Er is een verschil tussen de privacy die ik wil, en de Nederlands wet.

Bedoel je dat jij het recht wenst om andermans privacy te schenden onder het mom dat het jouw privacy is en die ander eigenlijk niets voorstelt? (Ik chargeer om een helder standpunt te krijgen)e

Nee, absoluut niet.
Een voorbeeld:
Wanneer ik merk, dat de deur van de buren niet goed dicht is, dan meld ik dat bij deze buren.
Wanneer ik zie, dat de deur van de auto van de buren niet op slot is, dan meld ik dat bij deze buren.
Daarmee schend ik geen enkele privacy!
Zou ik een deur ook open maken, dan schend ik wel de privacy.

Het gaat niet om binnen of buitenkant. Het gaat er om of een computersysteem je eigendom is en of je anders toestemming van de eigenaar hebt om er gebruik van te maken.

Zowel in BE als NL is het bij wet verboden om een computersysteem binnen te geraken zonder vooraf toestemming van de eigenaar te hebben.

Of je toestemming hebt om gebruik van een interface te maken omdat die aan een publiek netwerk hangt? Het recht om een publieke ruimte te gebruiken is niet hetzelfde als het recht om alles wat in de publieke ruimte staat maar als publiek te beschouwen. Als andermans fiets in de publieke ruimte staat heb je bij wet geen toestemming om daar dan maar gebruik van te maken, een auto van een ander die niet op slot staat geeft je ook geen recht om daar maar in te gaan zitten of mee rond te rijden en bij een openstaande voordeur van een woning moet je het wettelijk al helemaal uit je hoofd halen om de woning dan maar te betreden omdat het kan. Ik zie het verschil met een computersysteem niet als de wet daar zelfs expliciet een uitspraak over doet over ongeoorloofd gebruik.

Stel je bent zo stom om de publieke ruimte te betreden met je mobiel in een open zak van je jas en iemand in de publieke ruimte maakt gebruik van de vrijheid van die publieke ruimte om jou mobiel te pakken om er eens in rond neuzen. Wie is er dan stom bezig? Jij of de persoon die je mobiel ongevraagd gebruikt?

Dat is niet waar. Wanneer de buren ervoor, zonder dat met jou te overleggen, kiezen om de deur open te laten staan en jij meld dat, schend je hun privacy (je maakt dan namelijk inbreuk op de persoonlijke levenssfeer van de buren.

Dat de beveiliging van een deur niet goed is wat anders.

In het nieuws is blijkbaar geen plaats voor diepgang. Aanklager zegt a, verdachte zegt b en dat is dan nieuws. In het recht gaat het om bewijs, in het nieuws om het oppervlakkige. Makkelijk geld verdienen als verslaggevers.

Kijk die wordt genuanceerder. Ik zou ook nog de situatie in ongenschouw nemen.

- Hebben ze een familiefeest waarbij alles even rondloopt, dan zou ik niet naar toe gaan. Enkel nog kijken of er geen ongenode gasten tussen zitten (voor zover mogelijk).
- Zijn ze kwetsbaar en is er iets aan de hand, dan wordt het even kijken of er hulp nodig is.
- Zo er tussendoor kan er even over koetjes en kalfjes gepraat worden waarbij buurtpreventie ed aan de orde kan komen.
Niet opdringen en waar gewenst elkaar helpen.

Dan moet je je firewall beter africhten, met jouw SSH server bereikbaar voor iedereen is dat feitelijk een uitnodiging om te connecten. Ik klaag er ook niet over dat mensen proberen te connecten op mijn VPN tunnel, ik zorg er gewoon voor dat mijn VPN veilig genoeg afgericht is.

Tip: Laat alleen SSH verkeer toe vanaf een bepaalde IP reeks en met een key geeft het je een hoop rust.

Of een poortscan strafbaar is, is onzeker. Daarom kan je het misschien beter toch maar niet doen.
Maar binnendringen in computerapparatuur is computervredebreuk.
Ook als de computer heel slecht was beveiligd.
Dus als je stilzwijgend een "honeypot" op je systeem zet, en iemand komt daar "snoepen"
dan is dat computervredebreuk in Nederland.

https://www.security.nl/posting/31063/Juridische+vraag%3A+De+buurjongen+hackt+mijn+pc

Neen! Volgens mij heeft een ieder met z'n poten van een andermans spullen af te blijven. Bovendien als je dan toch zonodig wil checken of iemand zijn auto op slot heeft gedaan riskeer je een mokerslag in je nek. (dus ik raad het je af ;-)

Uhhh.. ik geloof dat iedereen die een computer aansluit op het internet automatisch toestemming geeft dat er verkeer op zijn poorten voorbij komt. Dat daar verkeer tussen zit wat iemand niet aanstaat...dat is goed mogelijk, maar dan moet je niet op internet gaan zitten. Bovendien als je je zaakjes op orde hebt dan heb je ook niets te vrezen. Verder ben ik ook van mening dat als iets technisch mogelijk is, dat het ook niet gelijk maar ingevoerd moet worden dus daar zie ik wel een dilemma (zoals onze overheid doet). Dus eigenlijk meet ik dan met 2 maten. Echter ik denk dat je als website eigenaar gewoon dit soort dingen kan verwachten van tijd tot tijd.