image

OM: zoeken naar lekken in andermans systeem niet zomaar toegestaan

donderdag 18 oktober 2018, 17:59 door Redactie, 12 reacties

Het zoeken naar kwetsbaarheden in andermans systeem is niet zomaar toegestaan, zo stelt het Openbaar Ministerie in een artikel over Coordinated Vulnerability Disclosure of Responsible Disclosure beleid. Organisaties laten via dergelijk beleid weten onder welke voorwaarden er naar kwetsbaarheden in hun systemen mag worden gezocht en hoe er met bugmeldingen wordt omgegaan.

Volgens het OM zal er tegen onderzoekers die zich aan het Coordinated Vulnerability Disclosure of Responsible Disclosure beleid houden in principe geen aangifte worden gedaan of andere juridische stappen worden ondernomen. "Mocht een organisatie dit toch doen, dan stellen Politie en het Openbaar Ministerie in principe niet direct een strafrechtelijk onderzoek in, mits je je aantoonbaar hebt gehouden aan de regels uit het CVD of RD beleid van de organisatie", aldus het Openbaar Ministerie. Onderzoekers krijgen van het OM dan ook het advies om hun stappen in een logbestand bij te houden.

Als het OM aanwijzingen heeft dat een onderzoeker bewust of onbewust zich niet aan het beleid heeft gehouden kan er een onderzoek worden ingesteld. Op basis van dit onderzoek kan het OM besluiten om wel of niet tot strafvervolging over te gaan. Wanneer organisaties niet reageren op een melding wil dat niet altijd zeggen dat er niets mee gebeurt, zo gaat het OM verder. Wanneer dit niet duidelijk is kan er contact met het Nationaal Cyber Security Center (NCSC) worden opgenomen.

Reacties (12)
18-10-2018, 19:04 door Anoniem
Dat betekent dus dat ongericht zoeken, zoals door middel van portscannen, dictionary login pogingen etc zonder dit op een specifieke organisatie te richten (addressranges scannen) en daarmee per definitie zonder zich te houden aan een beleid dus altijd strafbaar is en vervolgd kan worden.
Fijn dat te weten, dan kunnen we dat meesturen bij abuse klachten enzo.
18-10-2018, 20:51 door Anoniem
Kan het Openbaar Ministerie ook nog gewoon Nederlands lullen? Of tenminste een al dan niet beëdigde tolk inschakelen zodt we allemaal weten waarover hier geluld wordt? Of moet ik alle wetten en jurisprudentie voortaan maar via Yandex Translate volgen?

Volegns mij heb ik trouwens met het hele Openbaar MiniSerie niks te maken als ze met allemaal Engelse kreten op me af zouden willen komen. I don't speak English you know. Even your own f**cking law does not oblige me to do so. Gaat es wandelen. (Okay, dat is Vlaams...)
18-10-2018, 21:04 door Anoniem
Wat mij altijd verbaast, is dat bij grove nalatigheid, want dat noem ik een onveilige en slecht geconfigureerde of gehoste website, nooit iemand ter verantwoording geroepen wordt voor het in gevaar brengen van o.a. de bezoekers/eind-gebruikers.

Bijvoorbeeld een website met 519 beveiligingsaanbevelingen, verouderd CMS, kwetsbare jQuery bibliotheken, directory listing en gebruiker-enumeratie niet uitgeschakeld, verschillende verouderde en kwetsbare plug-ins, zojuist twee defacements achter de rug en niemand die dit aankaart. Men leeft dus liever in zalige onwetendheid.

Daarom nooit direct scannen of testen. Dit zeker als "stank voor dank" uitmondt in het lopen van risico's. Falende website beheerders, die incompetent zijn, zullen dat altijd graag voor hun leiding verborgen willen houden. Daarom met disclosure, tel liever eerst je knopen. Bezint eer gij begint. Enig nadeel is dat de online digitale veiligheid zo niet gestaag zal groeien. Vreemd eigenlijk of toch helemaal niet zo vreemd? Het lijkt wel of men liever op bepaalde onveiligheid wil blijven zitten. Vreemd, heel vreemd.
18-10-2018, 21:51 door Anoniem
Door Anoniem: Kan het Openbaar Ministerie ook nog gewoon Nederlands lullen?
Niet, kennelijk. Je kunt rechtsboven de site omschakelen op Engels maar dat is onnodig want de "Nederlandse" tekst is ook al voor de helft in het Engels...
18-10-2018, 22:02 door Anoniem
Door Anoniem: Kan het Openbaar Ministerie ook nog gewoon Nederlands lullen? Of tenminste een al dan niet beëdigde tolk inschakelen zodt we allemaal weten waarover hier geluld wordt? Of moet ik alle wetten en jurisprudentie voortaan maar via Yandex Translate volgen?

Volegns mij heb ik trouwens met het hele Openbaar MiniSerie niks te maken als ze met allemaal Engelse kreten op me af zouden willen komen. I don't speak English you know. Even your own f**cking law does not oblige me to do so. Gaat es wandelen. (Okay, dat is Vlaams...)
Wind je jezelf nou echt zo op over de 3 engelse termen "bugs", "coordinated vulnerability disclosure", en "responsible disclosure"?

Zelf ben ik blij dat het OM wat op het digitale papier zet al is het natuurlijk allemaal in principe en niet bindend.
18-10-2018, 22:24 door Ron625 - Bijgewerkt: 18-10-2018, 22:24
Door Anoniem: Dat betekent dus dat ongericht zoeken, zoals door middel van portscannen, dictionary login pogingen etc zonder dit op een specifieke organisatie te richten (addressranges scannen) en daarmee per definitie zonder zich te houden aan een beleid dus altijd strafbaar is en vervolgd kan worden.
Volgens mij is portscannen gewoon toegestaan, je breekt immers niet in, maar kijkt welke services aangeboden worden.
Je breekt niet in, je blijft er buiten, maar je controleert alleen of de deur op slot zit, zonder deze te openen.
18-10-2018, 22:41 door Anoniem
Door Ron625:
Door Anoniem: Dat betekent dus dat ongericht zoeken, zoals door middel van portscannen, dictionary login pogingen etc zonder dit op een specifieke organisatie te richten (addressranges scannen) en daarmee per definitie zonder zich te houden aan een beleid dus altijd strafbaar is en vervolgd kan worden.
Volgens mij is portscannen gewoon toegestaan, je breekt immers niet in, maar kijkt welke services aangeboden worden.
Je breekt niet in, je blijft er buiten, maar je controleert alleen of de deur op slot zit, zonder deze te openen.
Een Poortscan zonder de deur te willen forceren is niet meer dan controleren of er een deur is. Maar het gaat om het doel waar je dit mee doet. Als jij een range scanned op de nieuwe libssh te testen en dan zonder toestemming responsinleg Disclosure te doen dan ben je potentieel weldegelijk strafbaar omdat je voorbereidingshandelingen doet tot het plegen van een strafbaar feit.
19-10-2018, 07:36 door Anoniem
Door Ron625:
Door Anoniem: Dat betekent dus dat ongericht zoeken, zoals door middel van portscannen, dictionary login pogingen etc zonder dit op een specifieke organisatie te richten (addressranges scannen) en daarmee per definitie zonder zich te houden aan een beleid dus altijd strafbaar is en vervolgd kan worden.
Volgens mij is portscannen gewoon toegestaan, je breekt immers niet in, maar kijkt welke services aangeboden worden.
Je breekt niet in, je blijft er buiten, maar je controleert alleen of de deur op slot zit, zonder deze te openen.

Poortscannen is illegaal, maar geen enkele overheid die je daarvoor de bank in zal laten gaan, het is hetzelfde als kijken of je iets in iemand zijn huis kan gooien.
19-10-2018, 10:20 door Ron625 - Bijgewerkt: 19-10-2018, 10:28
Door Anoniem:Poortscannen is illegaal, maar geen enkele overheid die je daarvoor de bank in zal laten gaan, het is hetzelfde als kijken of je iets in iemand zijn huis kan gooien.
Controleren of de deur van je buren op slot zit, is niet verboden.
Volgens welk wetsartikel zou poortscannen dan verboden moeten zijn?
Op https://www.security.nl/posting/387153/Juridische+vraag%3A+wat+kan+ik+juridisch+tegen+portscans+doen%3F staat:

Portscannen staat als zodanig niet in het wetboek van strafrecht. Het is geen binnendringen (art. 138ab Sr) want je voert geautoriseerde handelingen uit.
{knip}
dus dat is dan ook geen "veroorzaken van een stoornis in de werking van een geautomatiseerd werk" (art. 161sexies Sr).
Pas wanneer je van plan bent om binnen te dringen (computer vrede breuk) ben je strafbaar!
19-10-2018, 11:05 door Anoniem
Responsible disclosure moeten organisaties zo gaan doen zoals Tesla dat doet.
19-10-2018, 11:30 door Anoniem
Als je twijfelt gewoon anoniem melden aan het NCSC, dan zetten zij het verder uit.
https://www.ncsc.nl/incident-response/responsible-disclosure-melding.html
19-10-2018, 12:56 door Anoniem
Door Ron625:
Door Anoniem:Poortscannen is illegaal, maar geen enkele overheid die je daarvoor de bank in zal laten gaan, het is hetzelfde als kijken of je iets in iemand zijn huis kan gooien.
Controleren of de deur van je buren op slot zit, is niet verboden.
Volgens welk wetsartikel zou poortscannen dan verboden moeten zijn?
Op https://www.security.nl/posting/387153/Juridische+vraag%3A+wat+kan+ik+juridisch+tegen+portscans+doen%3F staat:

Portscannen staat als zodanig niet in het wetboek van strafrecht. Het is geen binnendringen (art. 138ab Sr) want je voert geautoriseerde handelingen uit.
{knip}
dus dat is dan ook geen "veroorzaken van een stoornis in de werking van een geautomatiseerd werk" (art. 161sexies Sr).
Pas wanneer je van plan bent om binnen te dringen (computer vrede breuk) ben je strafbaar!

Het hangt ook af wat voor soort poortscan je uitvoert. Je kan een poortscan uitvoeren zoals staatshackers dat je alle details over de OS- netwerk- architectuur en alle apperaten binnenn dat netwerk scant dan ben je wel illegaal bezig.
Een simple Scan met NMAP niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.