|
|
| Auteur |
Bericht |
NielsH1
Leeftijd: 33
Geslacht: 
Sterrenbeeld: 
Studieomgeving (BA): RUN
Berichten: 4
|
 Geplaatst: vr 17 sep 2010 10:25 Onderwerp: Is het illegaal om zonder toestemming met Nessus te scannen? |
   |
|
Ik ben momenteel een site aan het maken waar iedereen een scan met Nessus kan uitvoeren. Nessus is een vulnerability scanner, gebruikt om kwetsbaarheden te vinden op (web)servers.
Nessus voert o.a. port-scans uit. Ik heb al wel gevonden dat dit (onder normale omstandigheden) mag, maar ik kan niks vinden over de vulnerability-scans.
Mijn vraag: Is het illegaal om met Nessus op <random> servers te scannen zonder toestemming van de beheerder?
Alvast bedankt, |
|
|
|
|
 |
BG
Leeftijd: 38
Geslacht:
Sterrenbeeld: 
Studieomgeving (BA): UvT
Studieomgeving (MA): UvT
Berichten: 1134
|
| Geplaatst: vr 17 sep 2010 11:28 Onderwerp: |
|
|
Is dit te vergelijken met rondrijden in een stad en kijken of iemand zijn voordeur open heeft staan of gaat dit verder en wordt dan ook gepubliceerd waar iemands voordeur open staat?
Ben je overigens zelf niet bang dat je ook allerlei onguur volk aantrekt?
_________________
Mine! |
|
|
|
|
|
NielsH1
Leeftijd: 33
Geslacht:
Sterrenbeeld:
Studieomgeving (BA): RUN
Berichten: 4
|
| Geplaatst: vr 17 sep 2010 11:46 Onderwerp: |
|
|
Als je het op die manier wilt vergelijken kun je het beter op deze manier zien: er wordt gekeken welk type deur/slot iemand heeft, en of deze up-to-date is of verouderde technologie gebruikt. Verder wordt er ook gekeken naar de standaard combinaties van het alarmsysteem. (Beste vergelijking die ik zo kon bedenken  )
Het is de bedoeling dat iemand moet bevestigen dat hij/zij de beheerder is van de server, door bijvoorbeeld een bestand met een bepaalde (random-generated) naam, voordat de scan wordt uitgevoerd.
Toch wil ik graag weten hoever ik mag gaan met Nessus zonder toestemming van de beheerder.
Niels |
|
|
|
|
|
bona fides
Geslacht:
Studieomgeving (BA): UL
Studieomgeving (MA): UL
Berichten: 22893
|
| Geplaatst: vr 17 sep 2010 11:51 Onderwerp: |
|
|
Scan je alleen het ip adres van de verzoeker, of scan je een adres dat door de verzoeker wordt opgegeven?
_________________
Hanc marginis exiguitas non caperet. |
|
|
|
|
|
NielsH1
Leeftijd: 33
Geslacht:
Sterrenbeeld:
Studieomgeving (BA): RUN
Berichten: 4
|
| Geplaatst: vr 17 sep 2010 11:58 Onderwerp: |
|
|
| Het adres dat de verzoeker opgeeft wordt gescand. |
|
|
|
|
|
bona fides
Geslacht:
Studieomgeving (BA): UL
Studieomgeving (MA): UL
Berichten: 22893
|
| Geplaatst: vr 17 sep 2010 21:40 Onderwerp: |
|
|
Ik heb er nog even over nagedacht, maar ik vind het een moeilijke kwestie. Het zou in ieder geval geen kwaad kunnen om voor zover redelijkerwijs mogelijk te controleren of de beheerder van de te scannen server hiervoor toestemming heeft gegeven.
_________________
Hanc marginis exiguitas non caperet. |
|
|
|
|
|
sabri
Leeftijd: 48
Geslacht:
Sterrenbeeld: 
Studieomgeving (BA): OU
Berichten: 441
|
| Geplaatst: za 18 sep 2010 6:59 Onderwerp: Re: Is het illegaal om zonder toestemming met Nessus te scannen? |
|
|
| NielsH1 schreef: | Ik ben momenteel een site aan het maken waar iedereen een scan met Nessus kan uitvoeren. Nessus is een vulnerability scanner, gebruikt om kwetsbaarheden te vinden op (web)servers.
Nessus voert o.a. port-scans uit. Ik heb al wel gevonden dat dit (onder normale omstandigheden) mag, maar ik kan niks vinden over de vulnerability-scans.
Mijn vraag: Is het illegaal om met Nessus op <random> servers te scannen zonder toestemming van de beheerder?
Alvast bedankt, |
Hier heb ik (met een andere pet op) al ellenlange discussies over gevoerd met mensen die dat gedaan hebben.
Ten eerste is er een grote kans dat jouw ISP dat in haar algemene voorwaarden al verboden heeft.
Ten tweede kan je hier mee onbedoeld een IDS af laten gaan. Doe dit bij een grote ISP/carrier en je hebt kans dat er een engineer wakker gebeld wordt om eea te onderzoeken. Doe dit bij de verkeerde en ze krijgt een factuur voor de gemaakte tijd/onkosten.
Ten derde kan je dit met enige fantasie onder de wet computercriminaliteit laten vallen. Het is een feit van algemene bekendheid dat verschillende software-daemons (denk sendmail, ssh, pop3) op iedere TCP connect een regel wegschrijven in de logfile. Jij bent dan (mede)-verantwoordelijk voor het feit dat er gegevens worden aangepast/toegevoegd in dat geautomatiseerd systeem.
Als laatste nog een tip: ik hoor je nu redeneren "ok, maar als ik alleen het source-IP van de aanvrager test ben ik veilig". Nee dat ben je niet: denk aan NAT en denk aan proxies.
Ik heb een x-aantal jaren bij diverse Nederlandse ISPs gewerkt (oa op de abusedesk) en ik kan je garanderen dat er met portscanners hele korte metten worden gemaakt. |
|
|
|
|
|
Arnoud Engelfriet
Leeftijd: 49
Geslacht:
Sterrenbeeld:
Studieomgeving (BA): UvA
Studieomgeving (MA): UvA
Berichten: 1385
|
| Geplaatst: za 18 sep 2010 10:43 Onderwerp: Re: Is het illegaal om zonder toestemming met Nessus te scannen? |
|
|
| sabri schreef: | | Ten tweede kan je hier mee onbedoeld een IDS af laten gaan. Doe dit bij een grote ISP/carrier en je hebt kans dat er een engineer wakker gebeld wordt om eea te onderzoeken. Doe dit bij de verkeerde en ze krijgt een factuur voor de gemaakte tijd/onkosten. |
Daar heb ik nou nog nooit van gehoord. Is het onrechtmatig jegens de ISP om bij een derde te gaan portscannen? Anders zou ik niet weten hoe je die kosten kunt doorberekenen.
Ik vermoed dat het wel gezien kan worden als poging tot computervredebreuk - of zelfs als voltooide computervredebreuk, aangezien je daarvoor alleen maar hoeft "binnen te dringen" en niet een beveiliging hoeft te doorbreken. Afhankelijk van de service die je portscant, en wat je precies stuurt, kan het dus zomaar zijn dat je 'binnen' komt. (Maar het gaat me wat ver om te zeggen dat een logregel laten genereren al bewijs van binnendringen is.)
| Quote: | | Ik heb een x-aantal jaren bij diverse Nederlandse ISPs gewerkt (oa op de abusedesk) en ik kan je garanderen dat er met portscanners hele korte metten worden gemaakt. |
Dat was dan niet bij UPC, want hier zie ik dagelijks honderden portscans langskomen. En ssh inbraakpogingen.
_________________
ICT-jurist, blogger en octrooigemachtigde ~ Partner bij ICTRecht.nl ~ Beheerder www.iusmentis.com |
|
|
|
|
|
sabri
Leeftijd: 48
Geslacht:
Sterrenbeeld:
Studieomgeving (BA): OU
Berichten: 441
|
| Geplaatst: za 18 sep 2010 20:16 Onderwerp: Re: Is het illegaal om zonder toestemming met Nessus te scannen? |
|
|
| Arnoud Engelfriet schreef: | | sabri schreef: | | Ten tweede kan je hier mee onbedoeld een IDS af laten gaan. Doe dit bij een grote ISP/carrier en je hebt kans dat er een engineer wakker gebeld wordt om eea te onderzoeken. Doe dit bij de verkeerde en ze krijgt een factuur voor de gemaakte tijd/onkosten. |
Daar heb ik nou nog nooit van gehoord. Is het onrechtmatig jegens de ISP om bij een derde te gaan portscannen? Anders zou ik niet weten hoe je die kosten kunt doorberekenen.
|
Ik was niet helemaal duidelijk denk ik. Wat ik bedoel is dat het onrechtmatig jegens ISP-A is om bij ISP-A te gaan portscannen. Het zou daarbij kunnen gaan om infrastructurele systemen bij de ISP zelf, maar ook om high-profile klanten (bijvoorbeeld een bank). Wanneer je daar gaat portscannen is er geheid een engineer die daar naar moet kijken. De kans bestaat dat die engineer vervolgens met jouw ISP (ISP-B) belt met het vriendelijke verzoek om jouw lijntje eventjes door te knippen.
Dat je onrechtmatig handelt jegens ISP-A lijkt me geen punt van discussie (toch?). ISP-A maakt vervolgens kosten waar jij dan verantwoordelijk voor bent. In de overeenkomst die jij hebt afgesloten met ISP-B zal (99 van de 100 keer) staan dat je dit soort activiteiten niet mag ontplooien via hun netwerk (voorbeeld, art. 5.8 ). Door deze regels te overtreden handel je dus ook onrechtmatig jegens ISP-B.
| Arnoud Engelfriet schreef: |
Ik vermoed dat het wel gezien kan worden als poging tot computervredebreuk - of zelfs als voltooide computervredebreuk, aangezien je daarvoor alleen maar hoeft "binnen te dringen" en niet een beveiliging hoeft te doorbreken. Afhankelijk van de service die je portscant, en wat je precies stuurt, kan het dus zomaar zijn dat je 'binnen' komt. (Maar het gaat me wat ver om te zeggen dat een logregel laten genereren al bewijs van binnendringen is.)
|
Dat laatste gaat wellicht wat ver, maar een beetje creatief denken lukt vaal wel in de Nederlandse rechtspraak. Voor het overige heb je gelijk, er zijn genoeg slecht of onbeveiligde systemen te vinden waar je "zo maar" in komt.
| Arnoud Engelfriet schreef: |
| Quote: | | Ik heb een x-aantal jaren bij diverse Nederlandse ISPs gewerkt (oa op de abusedesk) en ik kan je garanderen dat er met portscanners hele korte metten worden gemaakt. |
Dat was dan niet bij UPC, want hier zie ik dagelijks honderden portscans langskomen. En ssh inbraakpogingen. |
Helaas varieert de effectiviteit per ISP. Ik heb inderdaad niet bij UPC gewerkt. De meeste SSH-bruteforce probeersels komen overigens uit Azie. En daar werkt mijn firewall erg effectief tegen |
|
|
|
|
|
Arnoud Engelfriet
Leeftijd: 49
Geslacht:
Sterrenbeeld:
Studieomgeving (BA): UvA
Studieomgeving (MA): UvA
Berichten: 1385
|
| Geplaatst: za 18 sep 2010 20:50 Onderwerp: Re: Is het illegaal om zonder toestemming met Nessus te scannen? |
|
|
| sabri schreef: | | Ik was niet helemaal duidelijk denk ik. Wat ik bedoel is dat het onrechtmatig jegens ISP-A is om bij ISP-A te gaan portscannen. Het zou daarbij kunnen gaan om infrastructurele systemen bij de ISP zelf, maar ook om high-profile klanten (bijvoorbeeld een bank). |
Ja ok, dat kan inderdaad prima onrechtmatig zijn. De vraag is echter wel of er daadwerkelijk schade is. Die engineer zat toch al standby als het goed is. En het riekt naar nalatigheid als een ISP vandaag de dag géén maatregelen heeft die de impact van portscans tegengaan.
Zie ook Rechtbank Breda 26 november 2008, LJN BG5373:
| Quote: | | Slechts de kosten, gemaakt ten behoeve van de oplossing van de crisissituatie, ontstaan als gevolg van de aanvallen, kunnen aan gedaagden worden toegerekend. Kosten als gevolg van structurele (beveiligings)maatregelen dienen voor rekening van ICTU te blijven. |
| Quote: | | Dat laatste gaat wellicht wat ver, maar een beetje creatief denken lukt vaal wel in de Nederlandse rechtspraak. Voor het overige heb je gelijk, er zijn genoeg slecht of onbeveiligde systemen te vinden waar je "zo maar" in komt. |
Nu moet ik gelijk denken aan die 4chan-uitspraak, waarbij het meesurfen op een onbeveiligd netwerk níet als computervredebreuk werd gezien.
Rechtbank ’s-Gravenhage 2 april 2010, LJN BM1481:
[quote]bij het gebruik maken van een (al dan niet beveiligde) internetverbinding van een ander, waar het aan verdachte verweten handelen op neerkomt, die persoon niet in enig door artikel 138a, eerste lid, van het Wetboek van Strafrecht beschermd belang wordt geschaad. Dit gedrag moge maatschappelijk ongewenst zijn in zoverre dat derden gratis ‘meeliften’ op een gewoonlijk betaalde internetverbinding die daarmee als regel aan bandbreedte verliest, strafrechtelijk relevant is het niet.”
_________________
ICT-jurist, blogger en octrooigemachtigde ~ Partner bij ICTRecht.nl ~ Beheerder www.iusmentis.com |
|
|
|
|
|
sabri
Leeftijd: 48
Geslacht:
Sterrenbeeld:
Studieomgeving (BA): OU
Berichten: 441
|
| Geplaatst: zo 19 sep 2010 4:33 Onderwerp: Re: Is het illegaal om zonder toestemming met Nessus te scannen? |
|
|
| Arnoud Engelfriet schreef: | | sabri schreef: | | Ik was niet helemaal duidelijk denk ik. Wat ik bedoel is dat het onrechtmatig jegens ISP-A is om bij ISP-A te gaan portscannen. Het zou daarbij kunnen gaan om infrastructurele systemen bij de ISP zelf, maar ook om high-profile klanten (bijvoorbeeld een bank). |
Ja ok, dat kan inderdaad prima onrechtmatig zijn. De vraag is echter wel of er daadwerkelijk schade is. Die engineer zat toch al standby als het goed is. En het riekt naar nalatigheid als een ISP vandaag de dag géén maatregelen heeft die de impact van portscans tegengaan.
|
Op deze opmerkingen zat ik te wachten
Ten eerste is er wel degelijk schade. Verreweg de meeste ISPs hebben buiten de openingstijden geen medewerkers op kantoor. De "medewerker van dienst" heeft vaak een extra telefoon (storofoon) bij zich waar automatisch naar geSMSt wordt, of waar een callcenter naar toe belt. Voor het bij zich dragen krijgt hij een x-bedrag per dienst (week/weekend). Moet hij daadwerkelijk aan het werk, dan begint de teller pas echt te lopen, in de zin van overuren die worden uitbetaald of tijd-voor-tijd. Dit brengt dus met zich mee dat als een of ander scriptkiddie met z'n geklooi een IDS triggert die vervolgens een paar alarmbellen laat afgaan (in elk geval genoeg dat de engineer even een kijkje moet nemen of alles nog werkt zoals het zou moeten), dat het wel degelijk centjes kost.
Tegen portscans an sich kan je geen maatregelen nemen. Wel kan je het detecteren, en dat is wat de meeste ISPs dan ook doen. Vergeet niet: een portscan is vaak een voorbode van een ongeautoriseerd gebruik van een systeem. Iemand die legitiem gebruik maakt van de aangeboden service weet immers wel dat ie voor www op port 80 moet zijn, en niet op 3389 (remote desktop voor windows). Het is niet tegen te gaan dat iemand probeert om verbinding te maken. Het is wel mogelijk om de verbinding te weigeren en de poging te detecteren. Analoog aan: het is niet mogelijk om iemand tegen te houden die wil proberen of mijn fiets op slot zit. Het is wel mogelijk om mijn fiets goed op slot te zetten zodat diefstal een stuk moeilijker is.
Het verschil met de digitale wereld is dat je door een portscan te detecteren in ieder geval weet dat er een kiddo is die probeert om binnen te komen: dan kan je (bij wijze van spreken) van Defcon 5 naar Defcon 4. Ik mag hopen dat een zichzelf respecterende ISP in ieder geval haar eigen infrastructuur afdoende weet te beveiligen.
En dan krijg je de vraag: waarmee kan je een portscan vergelijken? Kijkt iemand naar een fiets om te kijken of er een slot op zit (niet strafbaar) of probeert iemand die fiets mee te nemen en wordt tegengehouden omdat er wel een slot op zit (strafbare poging tot diefstal).
Ik neig naar het laatste: immers, bij een portscan ben je actief bezig om een connectie op te zetten. Er is een handeling voor nodig: jouw PC stuurt een pakketje data naar het doel, en wacht op een antwoord. Jouw PC probeert een verbinding op te zitten, in de hoop dat het doel meewerkt.
| Arnoud Engelfriet schreef: |
Zie ook Rechtbank Breda 26 november 2008, LJN BG5373:
| Quote: | | Slechts de kosten, gemaakt ten behoeve van de oplossing van de crisissituatie, ontstaan als gevolg van de aanvallen, kunnen aan gedaagden worden toegerekend. Kosten als gevolg van structurele (beveiligings)maatregelen dienen voor rekening van ICTU te blijven. |
|
Dat reflecteert precies wat ik bedoel: de kosten voor het ontstaan van de crisissituatie komen voor rekening van de gedaagde. Daarin lees ik de uren die de on-call engineer heeft gemaakt om uit te zoeken of alles nog werkt. De kosten van de structurele beveiliging, en daar lees ik het on-call zijn van de engineer en de investering in een fatsoenlijk IDS, zijn voor rekening van de ISP. |
|
|
|
|
|
Arnoud Engelfriet
Leeftijd: 49
Geslacht:
Sterrenbeeld:
Studieomgeving (BA): UvA
Studieomgeving (MA): UvA
Berichten: 1385
|
| Geplaatst: zo 19 sep 2010 10:12 Onderwerp: Re: Is het illegaal om zonder toestemming met Nessus te scannen? |
|
|
| sabri schreef: | | Dit brengt dus met zich mee dat als een of ander scriptkiddie met z'n geklooi een IDS triggert die vervolgens een paar alarmbellen laat afgaan (in elk geval genoeg dat de engineer even een kijkje moet nemen of alles nog werkt zoals het zou moeten), dat het wel degelijk centjes kost. |
Zoals je zelf al zegt: aan portscans an sich kun je weinig doen. Je moet zorgen dat je systemen veilig zijn, dan gaan ze maar lekker portscannen maar ze komen toch niet verder.
Waarom zou je dan een engineer uit z'n bed bellen bij een portscan? Dat is net zoiets als een bewaker bellen als er iemand aan de poort rammelt bij het bedrijfsterrein. Laat maar lekker rammelen, er zit een goed slot op en het hek is vier meter hoog. Als ie over het hek klimt, dan gaat er een bewegingssensor af en dan mag er een snor-met-pet die kant op.
| Quote: | | Het verschil met de digitale wereld is dat je door een portscan te detecteren in ieder geval weet dat er een kiddo is die probeert om binnen te komen: dan kan je (bij wijze van spreken) van Defcon 5 naar Defcon 4. Ik mag hopen dat een zichzelf respecterende ISP in ieder geval haar eigen infrastructuur afdoende weet te beveiligen. |
Dat laatste is vaak zo (helaas niet altijd). Maar nogmaals, dat er kiddies zijn die naar binnen willen, dat weet je allang. Portscans detecteren en een mens laten ingrijpen is dan ook een vrij zinloze bezigheid zou ik zeggen. Hang een goeie IDS/IPS in je netwerk, die schopt 'm volautomatisch eruit en dan kan die engineer lekker blijven liggen.
_________________
ICT-jurist, blogger en octrooigemachtigde ~ Partner bij ICTRecht.nl ~ Beheerder www.iusmentis.com |
|
|
|
|
|
sabri
Leeftijd: 48
Geslacht:
Sterrenbeeld:
Studieomgeving (BA): OU
Berichten: 441
|
| Geplaatst: ma 20 sep 2010 6:40 Onderwerp: Re: Is het illegaal om zonder toestemming met Nessus te scannen? |
|
|
| Arnoud Engelfriet schreef: | Waarom zou je dan een engineer uit z'n bed bellen bij een portscan? Dat is net zoiets als een bewaker bellen als er iemand aan de poort rammelt bij het bedrijfsterrein. Laat maar lekker rammelen, er zit een goed slot op en het hek is vier meter hoog. Als ie over het hek klimt, dan gaat er een bewegingssensor af en dan mag er een snor-met-pet die kant op.
...
Portscans detecteren en een mens laten ingrijpen is dan ook een vrij zinloze bezigheid zou ik zeggen. Hang een goeie IDS/IPS in je netwerk, die schopt 'm volautomatisch eruit en dan kan die engineer lekker blijven liggen. |
Dat werkt voor de webserver van de bakker om de hoek, maar niet voor high-availability netwerken. Als er iemand aan de poort rammelt van een gesloten supermarkt zal er minder snel alarm worden geslagen dan wanneer diezelfde persoon aan de poort rammelt van Joh. Enschede.
Daarnaast zijn er technische problemen die kunnen ontstaan bij een portscan. Veel daarvan kan je oplossen, maar sommige ook niet. Om een voorbeeld te noemen: sommige software "spawnt" een nieuw proces bij een tcp connect. In normale mensentaal betekent dat dat er een nieuw programma wordt opgestart elke keer dat er een poging wordt gedaan om een verbinding op te zetten. "Doe dat dan niet" hoor ik je denken, maar dat ligt niet zo simpel.
Ja, 9 van de 10 keer zal een portscan niet schadelijk zijn. Maar soms is het dat wel, en een portscan doet iemand niet uit altruistische overwegingen. Een portscan is om te kijken of er vulnerabilities in een netwerk zitten die je kan misbruiken. Gewoon niet doen, en al helemaal niet bij de verkeerde (zoals overheid.nl of whitehouse.gov) |
|
|
|
|
|
NielsH1
Leeftijd: 33
Geslacht:
Sterrenbeeld:
Studieomgeving (BA): RUN
Berichten: 4
|
| Geplaatst: ma 20 sep 2010 11:26 Onderwerp: |
|
|
Leuk dat er hier nog een discussie ontstaat. Ik had verwacht dat het tot zekere mate toch wel ergens vastgelegd stond.
Om toch nog even een voorbeeldje te geven heb je bijvoorbeeld deze site. Op deze site wordt er ook geverifieerd of je ook daadwerkelijk de eigenaar bent van het opgegeven IP, dus die hebben zichzelf ingedekt. Er staat ook een lijstje bij van wat er allemaal gebeurd.
Zoals ik het zelf lees en hier ook zie zijn port scans discutabel, maar onder het mom van "Security Assesment" is dit allemaal wel ingedekt. Wat ik verwacht is dat andere scans ook wel kunnen, al zijn ze vaak op het randje.
Kijk bijvoorbeeld na het uitproberen van wachtwoorden, bij een security scan worden vaak de standaard wachtwoorden uitgeprobeerd, wat misschien nog kan, maar zodra een van die wachtwoorden werkt, heb je een systeem binnengedrongen. En dat mag dan weer niet. (In ieder geval, niet zonder de identiteit van de eigenaar geverifieerd te hebben).
Bedankt in ieder geval voor de reacties zover, hier kan ik wel iets mee.
Niels |
|
|
|
|
|
pam201
Leeftijd: 57
Geslacht: 
Sterrenbeeld: 
Studieomgeving (BA): UvT
Studieomgeving (MA): UvT
Berichten: 35
|
| Geplaatst: do 23 sep 2010 8:52 Onderwerp: Nessus gebruik kan strafbaar zijn |
|
|
Hoi,
Je probeer door middel via nessus te lijken of je met een valse sleutel binnen kan komen. De valse sleutel is de NASL scripts van nessus.
Je bent dus strafbaar als je scant zonder toestemming.
Vraag dus altijd toestemming voor het uitvoeren van scans.
Een enkele portscan is niet strafbaar, want deze klopt alleen, niet meer.
Pam[[ |
|
|
|
|
|
|
|
