image

Is een zoekmachine als Punkspider wel legaal, laat staan ethisch verantwoord?

woensdag 4 augustus 2021, 09:55 door Arnoud Engelfriet, 7 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Ik las dat in augustus tijdens de Defcon-hackerconferentie de zoekmachine Punkspider opnieuw gelanceerd zal worden. Deze zal dan dagelijks miljoenen websites op kwetsbaarheden scannen. De resultaten zijn vervolgens via de zoekmachine te vinden, wat volgens de ontwikkelaars voor een veiliger web moet zorgen. Hoe is dat in vredesnaam legaal, laat staan ethisch verantwoord?

Antwoord: Het voelt inderdaad een tikje raar als je het zo leest: dan kun je dus als crimineel-in-spe even naar die zoekmachine om te kijken welke sites eenvoudig kwetsbaar zijn. Zal ik ook maar de "goedkope voordeurslotenspider" beginnen, keyPunk.darkweb?

Of het legaal is, komt echter neer op de vraag wat Punkspider precies doet met hun doorzoekactie. Het leest als een vorm van portscannen, men toetst op bekende kwetsbaarheden zoals SQL injectie of cross-site scripting.

Zo te lezen publiceert men niet in detail welke kwetsbaarheid gevonden is, alleen grofweg "deze site is kwetsbaar voor gegevensdiefstal vanwege SQL injectie, laat hier niets achter alsjeblieft". (Ik zag al de categorie "dumpster fire" dus ik hoop dat de boodschap overal in zulke duidelijke taal gecommuniceerd wordt.)

Portscannen en onderzoeken naar kwetsbaarheden is strafbaar wanneer je het doet met de bedoeling (het "oogmerk", juridisch gezegd) om daarna computervredebreuk te plegen, of om anderen aan te zetten dat te doen. De Punkspider-eigenaren zijn dat zeker niet zelf van plan, zij publiceren immers deze rapporten juist zodat brakke sites de boel eindelijk eens repareren en er dus géén computervredebreuk gaat plaatsvinden.

Blijft dus over, zetten zij criminelen aan tot misbruik van de gevonden kwetsbaarheden? Dat lijkt me op het eerste gezicht niet het geval. Ik zie dus niet meteen het strafbare aan deze zoekmachine, tenzij blijkt dat men het wel héél eenvoudig maakt om met een gegeven exploit direct een inbraak uit te voeren. Daarvoor moeten we de definitieve publicatie afwachten, maar het lijkt me sterk.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (7)
04-08-2021, 10:23 door Anoniem
Voor de vrager: https://www.shodan.io/ bestaat al zeker 5 - 10 jaar. Dus dat wordt al jaren gedaan. Dit is niets nieuws onder de zon.

TheYOSH
04-08-2021, 13:35 door [Account Verwijderd] - Bijgewerkt: 04-08-2021, 13:36
Door Anoniem: Voor de vrager: https://www.shodan.io bestaat al zeker 5 - 10 jaar. Dus dat wordt al jaren gedaan. Dit is niets nieuws onder de zon.

TheYOSH

Precies, Insecam https://www.insecam.org bestaat ook al een eeuwigheid. Niet helemaal hetzelfde, maar het komt aardig in de buurt. ;-)
05-08-2021, 08:10 door Anoniem
In dezelfde lijn is er voor Nederlandse (semi)overheden https://basisbeveiliging.nl. Een beetje naming and shaming kan organisaties opeens ertoe bewegen om eens wat aan hun gebrek aan beveiliging te doen.
05-08-2021, 10:46 door User2048
https://www.internet.nl/ en https://www.ssllabs.com/ssltest/ zijn twee andere sites waar je websites op kwetsbaarheden kunt scannen. De Nederlandse overheid is een van de partijen achter internet.nl.
05-08-2021, 11:04 door [Account Verwijderd] - Bijgewerkt: 05-08-2021, 11:09
Door User2048: https://www.internet.nl/ en https://www.ssllabs.com/ssltest/ zijn twee andere sites waar je websites op kwetsbaarheden kunt scannen. De Nederlandse overheid is een van de partijen achter internet.nl.

Bedankt voor de tip, ik kende alleen die van ssllabs.

https://www.internet.nl/site/www.security.nl/1308822/ ;-)
05-08-2021, 11:19 door Anoniem
Wat ik wel raar vind, maar hopelijk volledig en compleet toevallig: een aantal klanten (5) draaien bij dezelfde CMS leverancier. Als ik vandaag ga kijken op de sites, zie ik dat ze sinds 30/07 opgenomen zijn in de databank - overigens zonder kwetsbaarheden.

Maar die CMS leverancier is 30/07 wel onderuit gegaan, een DDoS volgens hun eigen communicatie.

Vraag is dan: toeval? Slechte systemen van de leverancier? Slechte scans van punkspider?
En ook: iedereen kan de addon installeren en met een druk op de knop sites mee laten indexeren, wie is dan verantwoordelijk voor eventuele schade? De persoon die de website mee liet scannen, punkspider of de CMS-leverancier gewoon zelf?
08-08-2021, 17:19 door Anoniem
Wat denken we hier van? https://notgoogle.com/demo/?search=apache
Zoek op IP: https://notgoogle.com/demo/index.php?search=

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.