Is het niet strafbaar om dit te onderzoeken? Stel je eens voor dat een man alle deuren en ramen langs gaat om te 'controleren' of je wel veilig bent. Of stel je voor dat iemand je auto portier open trekt om te kijken of het wel op slot is.

Helaas niet @anonymous 6 juli 18.00, ik mag bij jou naar binnen kijken. Echter, mag ik niet binnen zonder toestemming dan ben ik wel strafbaar.

@geachte anoniem van 20:38 6-7-2017

Ben ik het toch niet helemaal onvoorwaardelijk mee eens, als het op expliciet verzoek gebeurt ,mag men deze test info delen met het slachtoffer of administraties.

Kijk komt iemand met het verzoek, ik heb problemen met een bepaalde blokkering, kunt u als deskundige met relevante kennis eens kijken waar het aan zou kunnen liggen, dan heb je een heel andere insteek. Een online third party IP nmap scanner voegt niet voor niets deze disclaimer toe:

"THE INFORMATION ON THIS PAGE IS STRICTLY FOR INFORMATIONAL PURPOSES ONLY. IT SHALL NEVER BE USED AGAINST ANY OF THE HOSTS WITHOUT PRIOR WRITTEN AND EXPLICIT PERMISSION FROM THE RESPECTIVE OWNERS. IT IS YOUR RESPONSIBILITY TO OBEY ALL APPLICABLE LOCAL, STATE AND FEDERAL LAWS. WE ASSUME NO LIABILITY AND ARE NOT RESPONSIBLE FOR ANY MISUSE OR DAMAGE CAUSED BY THE USE OF THE INFORMATION ON THIS PAGE.".

Ik weet niet hoe het hier volgens de Nederlandse wetgeving ligt en of de gegevens voldoende werden geanonimiseerd. Ook vrijwillig website security analysten hebben een ere-code, waar men zich aan dient te houden.

shodan verleent immers een gelijkaardige dienst en zelf met google kun je aan soortgelijke gevoelige resultaten komen.

Maar een onderzoeker moet altijd streven naar ethisch werken. Ik mag ook geen lijsten met excessieve naamserver info proliferatie gaan publiceren, je stelt dan wel iemand bloot aan niet denkbeeldig gevaar, kwetsbare BIND versie bij voorbeeld, de script kiddie en in ons geval de drie-letter-dienst zit al met opgestoken oortjes klaar ;)

Maar algemeen gesproken is het toch wel schandalig dat men dit soort resultaten moet vrijgeven, wie hardleers niet update, patcht en mitigeert is waard dat ie gehackt wordt, dat is de snelste manier om een ander veiligheidsbeleid aan te leren.

lauferek

Strafbaar staat niet gelijk aan straf krijgen. Bij ethisch onderzoek om misstanden op te lossen ook een belang van groter nut. Er zijn inmiddels uitspraken van rechters die dat duidelijk maken.

Zijn dit die 15000 servers waarvan D66-Kamerlid Kees Verhoeven en Ron de Mos van CGI en lid van de Cyber Security Raad vinden dat met belastinggeld gewaarschuwd moet worden voor uitbraken als wanacry? Servers van mensen die alle waarschuwingen negeren tot iemand de moeite neemt om persoonlijk contact op te nemen. Of zelfs dan nog geen moeite doen. Gaan die gewaarschuwde mensen nu hun leven beteren of wachten ze op de volgende persoonlijke waarschuwing? Er bestaan al een paar miljoen kwetsbaarheden. Een voor een waarschuwen en hun gang laten gaan is niet effectief.

Niet het waarschuwen is het probleem. Het probleem is dat een deel van Nederland (en de wereld) geen zin heeft om hun servers en software veilig te houden. Een vervolgprobleem is dat dit vaak vol te houden is omdat de omgeving die er last van heeft het toch niet belangrijk genoeg vind om zelf eisen te stellen aan overeenkomsten, schades niet verhalen, veroorzakers blijven belonen door er klant te blijven, er geen vervolging mogelijk is. Er is nauwelijks risico om beveiliging te negeren als de omgeving er alleen maar over klaagt.

Een verbinding maken is niet vergelijkbaar met naar binnen kijken. Het is aanraken. Je mag niet zomaar aan deuren en ramen zitten. Die zijn niet van jou, ook al kun je ze wel benaderen vanaf de weg en ze zijn er niet voor publiek gebruik.

Je kan discussieren of shares er zijn voor publiek gebruik. Het hangt verder van de testmethode af of je de grens overschrijdt. Als het over een "banner" gaat (in het algemeen: tijdens handshake teruggestuurde data), dan is het waarschijnlijk ok, maar als je doelgericht gaat testen of een exploit mogelijk is door die te gebruiken (ook zonder payload), dan waarschijnlijk niet.

Binnen IT moet je niet nadenken over wat wel of niet strafbaar is. Een kwaadaardige hacker heeft immers geen enkele boodschap aan wet- en regelgeving.

Jammer Neb je zit zoals gewoonlijk er weer naast. Anoniem doe ik niet aan. Heb je die normen iso 27k etc eigenlijk ooit wel eens gezien en zelf doorgenomen. Het lijkt er niet op en je bent er alleen maar negatief over. Geloof je echt dat al die mensen bij het ncsc nist rommelaars zijn en dat jij het allemaal veel beter weet. Dat zou nogal vreemd zijn toch...