Dat is er eentje voor Arnoud Engelfriet.

Mijn eerste reactie is dat het plaatsen van bestanden op zo'n server niet mag en dat de beste weg is om een mail naar de desbetreffende provider te sturen zodat ZIJ actie kunnen ondernemen naar hun klant.

Dank voor deze optie.
Ik heb bij deze mogelijkheid nog niet stil gestaan.

Echter ben ik wel van mening dat, WANNEER EEN WILD VREEMDE, de gebruiker benaderd, deze gaat NADENKEN,
en dat bij een reactie van de PROVIDER, de eigenaar al snel het idee zou krijgen dat de PROVIDER het wel controleert.

In principe MAG dit niet, MAAR wanneer mijn actie leid tot een VEILIGER en minder virus gevoelig Internet moet de rechterlijke macht dit toch "oogluikend" toe kunnen staan.

Feitelijk doe ik niets anders dan mijn buurman erop attenderen dat zijn voordeur niet dicht c.q. op slot zit.

Al met al hangt het er dus een beetje af hoe de provider de klant benadert.

Mochten er dus lezers zijn die door hun provider hierop benadert zijn.. Plaats dan de/een reactie van/over de benadering..

Ja tis eigen risico dat er iets openstaat dus lijkt me niet dat alle providers ook mails gaan sturen.
Ik vind "dat alles wat je aan het internet hangt je eigen verantwoordelijkheid is" en als ik zoiemand was waar ik een .txt file zou vinden of een e-mail van mijn provider dan zou ik wel blij zijn, maar daar denken andere mensen weer anders over natuurlijk.
En kan een non-techie het uitvoeren om de schijf niet op het internet te krijgen oftewel die nodige aanpassingen doen en welke instructies krijgen ze van de provider om dat uit te voeren.

Weetje dat je strafbaar bent als je alleen al in bestanden kijkt. Je pleegt op dat moment computer huisvrede breuk. Dus mensen kunnen aangifte doen tegen je. En is het echt JOUW probleem als een persoon gewoon te lomp is om zijn stuff te beveiligen ? Ik heb wel eens een onbeveiligd netwerk van de buren gevonden hebben dit een keer gemeld en het is nog steeds niet opgelost maar ga ik er dan nog verder achter aan nee want men schijnt het dus niks uit te maken dat iedereen op hun netwerk kan.

zeer gerelateerd: http://www.opgelicht.nl/uitzending/2015/1257/

Wat is de reden van het te pas en te onpas gebruiken van hoofdletters in de zinnen?

Denk verder dat de verantwoording bij de gebruiker ligt, zomaar kijken of de beveiliging in orde is, bewust zoeken naar eigenaars gegevens (om ze te kunnen waarschuwen...) en bestanden achterlaten is volgens mij niet de goede weg en strafbaar.

Klink ook redelijk drammerig als je dan ook nog eens na en aantal uur gaat kijken of ze je advies wel opgevolgd hebben...

Antwoord op je vraag:
Niet, blijf er weg

Misschien eens Kingpin lezen. Mensen die vinden dat voor hen alle middelen het doel heiligen omdat zij het het beste met de wereld voor hebben, zijn mensen op een helling. Eerlijk gezegd zou ik graag naam en adres van de TS weten om de GGZ eens langs te sturen.

En ik wens niet iemand op mijn bank aan te treffen die mij vertelt dat mijn voordeur open stond.

Om nadruk te leggen. *Ikzelf* gebruik daar asteriks voor :) Ik denk dat *asteriks* minder schreeuwerig aandoet dan HOOFDLETTERS, maar ik ben dan ook van de oude stempel..

Mag ik jammer genoeg niet zeggen, maar lijkt me duidelijk... ;-P....

Maar dit brengt mij wel tot een hele andere interessante vraag:
Hoe bepaal je nou het verschil tussen Onbewust Openstaande (FTP) gekoppelde back-up schijven en Bewust Openstaande (FTP) gekoppelde back-up schijven?...

Begreep dat wel, maar als je in één zin zoveel wilt benadrukken gaat dat zijn doel wel voorbij schieten, en is het eerder knullig en kleutertaal dan schreeuwerig op deze manier. Maar goed blijkbaar de schrijfwijze van TS om op te vallen...

De TS reageert overigens niet zelf meer?, te druk met illegaal speuren en waarschuwen.

Aan een ieder die tot nu toe heeft gereageerd:

In de eerste plaats, plaats ik mijn bevindingen (en acties) op een SECURITY forum, en ging er eigenlijk vanuit dat er hierdoor ook reacties zouden komen om diegene die dus een Externe HD of Back-up schijf middels een router c.q. modem gekoppeld hebben, eens te laten controleren hoe het dus met hun gekoppelde schijf staat.

Ondanks de uitzending van http://www.opgelicht.nl/uitzending/2015/1257/ blijkt dus dat er nog steeds schijven met gevoelige data openstaan. ( ook al zouden de diverse providers een mail gestuurd hebben aan desbetreffende hierover)

Dat ik mij even niets heb aangetrokken van de strafbaarheid en hierbij toch maar wel even de moeite heb genomen om de desbetreffende eigenaren te benaderen met de mededeling om de bewuste openstaande schijf, in ieder geval maar even af te koppelen c.q. te beveiligen met een gebruikersnaam en wachtwoord, werd door het grotendeel van de benaderde gebruikers in dank afgenomen.

De regelmatige bezoeker van security.nl is zich bewust van: Telefoonscams, Identiteitsfraude etc. Moeten wij, de wat doorgewinterde computeraars, de minderheid dan maar aan hun lot overlaten?
Of stellen wij ons daarentegen op en laten we de kwetsbare PC en Internet gebruikers ook even weten welke maatregelen ze daarvoor- en/of tegen kunnen nemen.

De sociale betrokkenheid houd niet op bij je eigen voordeur, of die van de buurman. Toch???

Mijn reactie op de "diverse reacties" :

- Eigen risico wanneer iets openstaat...oké ... totdat iemand je hierop wijst.. (Anoniem 02.27)

- Strafbaar, Nee niet mijn probleem - zolang ik maar niet in zijn/haar contacten voorkom. toch.. ( Anoniem 09.08)

- koppeling naar Opgelicht - Achteraf zijn/waren er genoeg open schijven te vinden.. (Anoniem 09.37)

- De hoofdletters vroegen om aandacht voor het probleem, "drammerig" was ik alleen wanneer er geen (re-)actie plaatsvond op mijn melding en IK de gevonden data toch te "gevaarlijk" vond voor algemeen gebruik via het Internet. (Anoniem 14.31)

- Kingpin reactie: sorry kan je reactie niet plaatsen binnen mijn vraagstelling. (Anoniem 19.56)

- NedFox: bedankt, Hoofdlettergebruik was inderdaad om de nadruk te leggen ( NedFox 23.31)

- Bewust / Onbewust openstaande schijven: bij bewust openstaande schijven staat vaak de vermelding van een naam en het aantal toegestane gebruikers. ( Anoniem 04.49)


@ ANONIEM 14.42
Begreep dat wel, maar als je in één zin zoveel wilt benadrukken gaat dat zijn doel wel voorbij schieten, en is het eerder knullig en kleutertaal dan schreeuwerig op deze manier. Maar goed blijkbaar de schrijfwijze van TS om op te vallen...

De TS reageert overigens niet zelf meer?, te druk met illegaal speuren en waarschuwen.

Ik reageer normaal op relevante antwoorden en/of reacties.

Helaas valt het me wel op dat van alle reacties er maar 1 is geweest die NIET onder het account ANONIEM gereageerd heeft.

Bedankt NedFox.


MAAR STEL:

Ik kom jullie (gegevens) (Anoniem reageerders) tegen op een onbewust openstaande externe HD c.q. Back-up schijf op het www (FTP) WEB .

Dit kan zijn middels een e-mailadres of via een onbewust openstaande schijf van je vereniging.... o.i.d.MAAR ook via een PRIVÉ schijf van... met persoonlijke documentatie....

Moet ik dan maar mijn mond houden, of kan ik er enige actie aan spenderen om deze gegevens te laten ONTKOPPELEN van het internet.

Jouw gegevens kunnen dus ook op straat (lees: Internet) liggen door de "domme" gebruiker, of de gebruiker waarvan je vindt dat alles wat je aan internet hangt je eigen verantwoordelijkheid is.

VOOR de RANSOM en andere virussen zijn dit helemaal de IDEALE omgevingen...
Je hoeft er niet eens voor IN TE BREKEN....

Reacties lees ik graag, maar wel de relevante.

Het is wel een SECURITY forum, en geen forum voor spelling en grammatica.

O, dus ik mag alleen reageren als u het relevant vindt? Dank u, ik pas :)

Het lijkt me best wel belangrijk dat je zeker weet of zo'n harde schijf "bedoeld" of "onbedoeld" openstaat,
en voor welke personen hij dan bedoeld openstaat. (waarschijnlijk niet voor jou?)

Volgens de wet is bij COMPUTERVREDEBREUK sprake van: "OPZETTELIJK EN WEDERRECHTELIJK BINNENDRINGEN". Het gaat hier dus over : a)OPZET b)WEDERRECHTELIJK en c)BINNENDRINGEN
(http://wetten.overheid.nl/BWBR0001854/TweedeBoek/TitelV/Artikel138ab/geldigheidsdatum_03-09-2015)

Vergelijk wat je doet eens met huizen waarvan de voordeur nooit op slot zit.
Je hoeft maar simpel te voelen door de deurklink naar beneden te doen of zo, en kan vervolgens zo naar binnen lopen.
Mag je dan doelbewust het hele land hiervoor afstruinen (of te rade gaan bij een partij die dit al voor je heeft gedaan)
en bij degenen bij wie de voordeur altijd openstaat zomaar naar binnenlopen en een briefje op tafel leggen
"pas op, uw voordeur staat altijd open"?... Het lijkt me van niet.
Wel mag je bijv. elke week in de media waarschuwen voor de risico's hiervan, of het aan de politie overlaten.

Als je redelijkerwijs van tevoren al weet dat je op iemands harde schijf niets te zoeken hebt, en daarvoor ook geen duidelijke toestemming van de rechtmatige eigenaar hebt gekregen, dan lijkt het me dat je deze met rust moet laten.

Op zich begrijp ik je goede bedoelingen wel, maar ik geloof niet dat dit wettelijk voldoende rechtvaardiging biedt om dan zelf alle "open" harde schijven af te gaan struinen.
Dit lijkt me meer iets voor een speciale dienst die bevoegd is om dit te doen, of voor een provider die simpel kan testen welke FTP poorten open staan (maar verder de harde schijf niet benadert) en die weet welk email-adres bij het betreffende IP hoort, zodat men een waarschuwingsmail kan sturen.

Kortom: Je begeeft je imho op GLAD IJS, en raad je aan om eerst BIJ DE POLITIE TE INFORMEREN OF ZOIETS WEL MAG (met een SCHRIFTELIJKE TOESTEMMING zodat je een bewijs hebt) en of datgene wat je van plan bent
wettelijk niet onder "COMPUTERVREDEBREUK" valt.

Goeroehoedjes

Heffy,
Ja, het is al strafbaar om toegang te krijgen tot een systeem als je weet dat het niet de bedoeling is jou toegang te geven. In de praktijk zul je niet gauw in de problemen komen tenzij je iets met de aangetroffen gegevens doet en daar zit het probleem bij jou. Jij hebt volgens eigen zeggen de bestanden op de aangetroffen systemen ingekeken en beoordeeld of die bestanden privacy gevoelige informatie bevatten.
Daarmee ga je echt te ver. Je hebt niets te maken met wat er op die schijven staat. Zoals al eerder aangegeven kun je ook niet in een niet afgesloten woning gaan kijken of je waardevolle spullen kunt vinden. Als je een (volgens jou ten onrechte) niet afgesloten pand aantreft waarvan je de eigenaar niet kent dan waarschuw je de politie of een bewakingsdienst. Je gaat niet binnen in papieren zoeken of je ergens het telefoonnummer van de eigenaar kunt achterhalen. Eventueel plak je een briefje aan de binnenkant van de deur om de eigenaar te waarschuwen.

Jouw suggestie om een bestand met een waarschuwing te plaatsen is wat mij betreft ook geen slechte optie. Juridisch gezien mag het natuurlijk niet maar de rechter kijkt in dit land zwaar naar de intentie die je hebt. Gaan rondneuzen in de bestanden gaat echter niet gewaardeerd worden.

Ik vind het een goed iets dat je de mensen waarschuwd over het probleem. Ik vindt het persoonlijk een kwestie van eigenschuld dikke bult ook als ze het niet wisten ik vind dat er minstens 1 persoon per huishouden moet zijn die weet wat er in en om het huis gebeurd kwa beveiliging. Ik moet me wel heel erg vervelen wil ik de desbetereffende personen terug bellen.

Het zou fijn zijn, als providers UPNP standaard in hun routers uitzetten.

tl;dr : Als je in je buurt gaat rondstruinen en bij elk huis met open deur eerst overal gaat rondneuzen, dan een briefje achterlaat met details heb je heel wat uit te leggen aan justitie wanneer je gepakt wordt.

Neus niet rond, laat ze lekker zelf een echte inbreker over de vloer krijgen en met de gevolgen zitten. Of ga werken voor de politie.

Je bent all illegaal bezig. Dat het onbeveiligd is, betekend niet dat je er gewoon in rond mag struinen. Het is dat ze op dit moment nog zo reageren.

All in all, NedFox heeft het bij de goeie eind, niet aankomen, niet inloggen.
Het doel waarmee je dit doet is natuurlijk goed, maar juridisch ga dit niet goed voor je uitpakken

Indien jij 'genoeg kennis' hebt van beveiliging en je merkt dat een FTP server openstaat mag je juridisch niet verder gaan dan deze constatering. Rondstruinen op een schijf (CRUD) is echt uit den boze.
Hoe je hiermee verder gaat? Tja, je hebt een IP adres van de FTP server, je kunt een mail sturen naar abuse@de-bijbehorende-provider.tld en de constatering en de ip adressen doorgeven. In de hoop dat zij hier verder iets mee kunnen. Eventueel kun je nog vragen, indien zij het niet afhandelen, hoe je wel moet acteren.
In mijn opinie heb je dan meer dan genoeg gedaan.
.

@heffy

Wat er met kingpin werd bedoelt was dat je jezelf eens kon afvragen waarom je 5 weken loopt te zoeken naar open ftp harddisken.

Je komt dan waarschijnlijk in een mooi verschil tussen moraal en ethiek. Je vindt het volgens "jouw normen en waarden" belangrijk om andere mensen te beschermen. Op zich natuurlijk bewonderenswaardig, maar dan zou je het eigenlijk ethisch moeten bekijken en op de situatie wat je kan, mag, en zou moeten doen. Als Ethical Hackers en Systeembeheerders hebben we daarvoor de "Code of Ethics" https://www.usenix.org/sites/default/files/code_of_ethics_diploma_english.pdf

Privacy : ik zal me alleen toegang verschaffen tot privé gegevens indien het voor de uitvoering van mijn werk van belang is. Je kan het dan moreel wel tot je taak beschouwen maar het is jouw taak niet, daarvoor hebben we als samenleving mensen aangesteld.

Moreel kan je het nog de taak van internet providers naar hun klanten vinden. En klanten van die provider hebben zelf hun privé informatie aan die partij gegeven, dus die mogen ook contact op nemen met de in jouw ogen "kwetsbare medemens".

Als je dus Ethisch wil handelen dien je je te beperken tot het zien van de IP nummers en deze door te geven (eventueel met constatering's tijden voor dynamische IP nummers), ofwel aan de instantie die die IP-nummers beheerd, ofwel aan Justitie.

Al is naar mijn persoonlijke mening alleen het zoeken naar dat soort dingen al een grens die je gewoon niet moet overgaan. Je bent op de hoogte, dan is je verplichting in educatie het aan te kaarten bij de juiste instanties, of openbaar zoals hier. Maar niet om 5 weken een beetje rond te gaan snuffelen in anders eigendommen al is het met de beste bedoelingen. Het draagt namelijk niets bij aan je ontwikkeling, je kent het trucje al en weet dat het er is.

Je pleegt computervredesbreuk mijn grote vriend door het ongeauthoriseerd toegang te verschaffen op een systeem van derden. Dat kan je een paar honderduur taakstraf opleveren.

Je gaat toch ook niet inbreken bij mensen en eenbriefje in de woonkamer achterlaten van "sluit je deur de volgende keer maar goed dcht en op slot anders kunnen ze gaan inbreken". Wat jij doet kan een "hacker" ook met een 0day exploit. Wat als hij op je desktop een bericht achterlaat van "Geen windows gebruiken want het zit vol met beveiliggingslekken" vind je dat dan OK?

Het schijnt nogal een (ge)HEKEL(d) item te blijven.

en ja, MET mijn (ongepast) HOOFDLETTER gebruik, probeer ik, nog steeds, de nadruk te leggen op../i]

JE KAN je "illegaal" ( en ANONIEM) toegang verschaffen tot PRIVÉ gevoelige informatie middels de bekende OPENSTAANDE harde- c.q. back-up schijven. JE kan hier ILLEGAAL én ANONIEM een WILLEKEURIG TYPE (RANSOM) VIRUS op gaan plaatsen en jezelf rijk zien worden. ( Denk ik dan maar even dan hè....)

Want met de 'verkeerde instelling' een dergelijke schijf benaderen, en iemands financiële c.q. sociale leven maar even voor een klein winstbejag compleet op de schop c.q. overhoopgooien of nog mooier, je neemt iemands IDENTITEIT over.. met ALLE GEVOLGEN van dien.

We kennen de voorbeelden uit programma's als OPGELICHT etc., maar dit zal ONS toch NIET overkomen.. WIJ, anonieme bezoekers c.q. reageerders , op Security.nl hebben alles wel dichtgetimmerd... ÉN we houden ons aan de regeltjes.. toch??

Wordt het dan eens niet tijd dat er op het INTERNET ook een stukje sociale controle wordt uitgeoefend? !

SOCIALE controle, in de zin van het waarschuwen van de gebruikers voor hun onveilige koppeling van privé gegevens.

Eenmaal deze gegevens gevonden, kan je ervoor kiezen om deze te misbruiken of de betreffende personen te waarschuwen.

Ikzelf zie in deze openstaande schijven een potentieel probleem m.b.t tot het Internet..

In de eerste plaats door de geplaatste persoonlijke informatie die misbruikt kan worden, Maar ook in de tweede plaats door de MALWARE en/of ( RANSOME) virussen die hier zonder problemen op geplaatst c.q. verspreid kunnen worden.
Je zou eens moeten weten hoeveel .pst bestanden ik ben tegengekomen.. Hierbij kan JOUW email adres ook bij zitten..

Feitelijk zou elke provider een controlescript ? c.q. team moeten hebben die zich dagelijks bezighoud met de controle hierop en het waarschuwen van de betreffende gebruiker.
het zou mijns inziens meewerken aan een beter en veiliger internet..

Ondanks dat de meeste reacties op dit item het illegale en strafbare hiervan wensen te benadrukken, heb ik dankzij een paar meedenkende reacties waarschijnlijk een andere wijze gevonden om de gebruikers van de 'onbewust openstaande ' FTP servers te gaan waarschuwen. ( 'k ben dit nog even aan het testen )

En ik ben mij uit de voorgaande reacties bewust geworden, dat ik niet de legale weg heb bewandelt en ik ben bezig mijn aanpak hierin te wijzigen.
Dit neemt echter niet weg dat ik door het direct benaderen van betrokken personen toch ruim 30 onbewuste FTP ingangen heb kunnen verwijderen van directe toegang middels het Internet. Wellicht een druppel op de gloeiende plaat, MAAR het zijn wel ruim 30 minder die kwetsbaar zijn.


Hierbij draai ik de gevonden adressen door een PORT scanner en wanneer er meer dan de FTP poort openstaat, stuur ik een mail + het portscan report naar de desbetreffende provider.

Graag verneem ik van de community relevante reacties hierop. (is deze port scan wel legaal?)

In ieder geval dank ik een ieder voor zijn/haar reactie.

Heffy

Heffy,

Doe het nu gewoon niet, meld het bij de door de samenleving gekozen instanties
https://www.ncsc.nl/

Legaal of niet is niet snel te zeggen, maar vaak druist het ook in tegen de voorwaarden van je internet provider.

Zonder toestemming gewoon niet doen. En toestemming kan je niet krijgen want je kent ze nog niet.

Als samenleving wordt gekozen wie we toestaan eventueel crimineel gedrag of overtredingen te begaan om ons te beschermen of criminelen te pakken. De overheid is traag, pakt niet iedereen etc. is geen excuus voor je om het toch te doen.

En je lijkt hier excuses te zoeken om je gedrag goed te praten.

Heffy is niet gekozen door de samenleving, Heffy moet gewoon van andermans spullen afblijven.

Afhankelijk van je werk en kennis zijn er ook samenwerkingen mogelijk met het Nationaal Cyber Security Centrum. Dit is de Nederlandse instantie die erover gaat, Maar ik zou me gedrag toch iets aanpassen wil je daarvoor in aanmerking komen.

Tevens op je wel 30 ingangen, de tegenvraag maar hoeveel uren heb je opgeslokt van beveiliging experts die jouw ip nummer er niet uitfilteren omdat je geen officiële instantie bent en dus moeten onderzoeken of het zich herhaalt waar het vandaan komt of er hack pogingen volgen, en hoe veel kwetsbaarder maakt het ons of hadden die uren beter kunnen worden besteed?

even ter verduidelijking ik werk zelf niet voor de overheid :)

Een probleem hierbij is natuurlijk dat niet alle open FTP servers onbewust open staan. Pas als je de inhoud gaat bekijken kun je het idee krijgen dat dit onbedoeld open staat.

Tja. Of de helpdesk van een provider meent dat dat hun verantwoordelijkheid is. Ik denk het toch niet (zeker als de FTP van een prive device is).


Tja. Als je dit ziet als crimineel gedrag. Puur theoretisch gezien, maar verder niet......


Indien dit het enige is wat je doet, en je je daarbij beperkt is zowel de kans op vervolging, als op veroordeling, erg hypothetisch. Zal niet gebeuren omdat er geen sprake is van schade, geen sprake van slachtoffers, en wel sprake van een oneindig aantal zaken die ''iets'' belangrijker zijn.


Volgens mij doe jij hier vooral het omgekeerde. Hij *helpt* mensen, en maakt geen slachtoffers. Je wringt je in bochten om hem maar als crimineel weg te zetten zonder te kijken naar de context / bedoeling. Rechters kijken daar wel naar.

Kom je met hetzelfde praatje indien iemand tijdens een hittegolf bijvoorbeeld een autoruit inslaat om een kind of huisdier dat in een auto op zit gesloten te bevrijden, dat is immers ook ''crimineel'' gedrag.

Leg eens uit waarom een provider dat zou doen, zolang het gaat om apparatuur die prive eigendom is van de klant. Er is geen commercieel belang, er is geen sprake van aansprakelijkheid voor de provider wanneer een klant zijn eigen spullen niet goed beveiligd, en bovendien is het juridisch gezien nogal een grijs gebied. De kans dat provider dit gaan doen is afwezig.

Theoretisch wel ja.

Praktijk is dat er nog nooit iemand is veroordeeld tot een taakstraf vanwege de akties die in dit topic worden beschreven. Men heeft wel wat beters te doen bij justitie. En men kijkt ook of er sprake is van schade / slachtoffers, en naar de intentie van de ''dader''.

De overheid komt zelf ook niet voor niets met beleid omtrent responsible disclosure en dergelijke, en is wel wat terughoudender geworden met het zomaar vervolgen van mensen die beveiligingsproblemen benoemen.

Je pleegt computervredesbreuk mijn grote vriend door het ongeauthoriseerd toegang te verschaffen op een systeem van derden. Dat kan je een paar honderduur taakstraf opleveren.

Je gaat toch ook niet inbreken bij mensen en eenbriefje in de woonkamer achterlaten van "sluit je deur de volgende keer maar goed dcht en op slot anders kunnen ze gaan inbreken". Wat jij doet kan een "hacker" ook met een 0day exploit. Wat als hij op je desktop een bericht achterlaat van "Geen windows gebruiken want het zit vol met beveiliggingslekken" vind je dat dan OK?

-----

Ik heb het niet volledig beschreven. Kijk wat jij doet is snuffelen in andermans prive bestanden, stel dat je een huis binnenloopt zonder voordeur. En je gaat rechtstreeks naar de juwelen, passporten etc. En maakt gebruik van hun telefoons om contact met ze op te nemen en als bewijs dat hun beveiliging niet deugd geef je de locaties van de juwelen aan en confronteer je ze met hun prive gegevens. DAT KAN ECHT NET. ik zeg het je alvast zodra een slachtoffer aangifte doet krijg je over 250UUR taakstraf dus KAPPEN.

Dan te bedenken, dat we in Nederland wel een briefgeheim kennen, maar dat de status van een email (bijna) hetzelfde is als van een briefkaart.
Onze wetgeving (in de EU) loopt op ICT gebied minimaal 20 jaar achter..........

1] WAT ZIT JIJ TE GRASDUINEN IN ANDERMANS DATA???
Het bekijken van een directory is al meer dan ongepast, laat staan het openen van bestanden. Bah.

2] Natuurlijk kun jij dat. Jij hebt reeds meerdere stappen genomen waarbij je alle relevante Wetgeving en morele overwegingen aan je laars wist te lappen. Dus wat houdt je nog tegen? Jij bent toch diegene die mag beslissen wat goed en slecht is?




@Moderator: Slotje? Aangifte? (Al moet ik bekennen dat ik niets over de (altijd van toepassing zijnde) Nederlandse Wetgeving terug kan vinden in de huisregels, teneinde dit verzoek te kunnen beargumenteren.)

30 van de hoeveel andere die potentieel openstaan? Maar goed, om daar nu op in te gaan..
Portscanning is een behoorlijk grijs gebied. Komt best wel voor dat een portscan een reconnaissance is voor een aanval.
Hier kom je meestal beter vanaf, dan klakkeloos bestanden bekijken op een open ftp.

Bedenk wel dat je met een portscan alleen ziet of een port open of dicht is. Je kan niet zien of er een login+wachtwoord nodig is en wat voor bestanden op de FTP staan. Het zou best wel eens kunnen dat de gebruiker weet wat ie doet en opzettelijk de port open heeft gezet zodat er bestanden naar geüpload of gedownload kunnen worden.
Dus terwijl je wel een vigilante van het internet kan zijn kom je daar in dit geval niet ver mee. Kans is groot dat ook de provider niets met je scans doet. Simpelweg omdat hun ook weten dat juridisch dit gevaarlijk gebied is.

Ik vind het volgende wel een interessante vraag:
Als iemand een ftp-service heeft 'draaien' die geen specifieke authenticatie vereist, kan je dat toch als onbeschermde of zelfs server zien? (letterlijk in de vorm van dat je niet letterlijk ongeauthoriseerd bent... sterker nog, door de afwezigheid van een login is er geen mogelijkheid om authorisatie daadwerkelijk te controleren, laat staan handhaven.)
er zijn ook zat ftp-hosts die 'anonieme' toegang toestaan, bedoeld voor het downloaden van publieke shares, die onbedoeld 'te veel' mappen open kunnen hebben staan. Dát kan je dan mogelijk op een wettige manier constateren... (zou ik denken) In het verleden heb ik eens kunnen mailen naar Epic Games dat die een folder in de anonieme delen hadden staan waar ik een redelijkerwijs vermoeden van had dat dat niet helemáál de bedoeling was (contact opgenomen en zij zijn hier destijds ook kordaat mee omgegaan en hebben mij zelfs vriendelijk bedankt voor de melding.)

Iemand die de voordeur 'niet op slot' heeft staan heeft dan eerder admin/admin in plaats van géén authenticatie (open deur/ geen voordeur).
Dat maakt de server bijna net zo onbeveiligd, maar verder dan de constatering dát er een beveiliging op zit mág OP dan inderdaad ook niet gaan. Ik vind dit echter een veel moeilijker punt om over na te denken op het moment dat er géén authorisatie(controle) is...

Wat denken jullie? (zonder te pogen dit draadje over te nemen :p )

Dat een deur wagenwijd open staat, betekent niet dat je geautoriseerd bent om jezelf toegang te verschaffen.

Als er geen deur is, hoe "verschaf ik mezelf dan toegang"? Ik loop immers gewoon door en doe niets speciaals om binnen te komen (zoals ik wel doe met een klink omlaag doen en constateren dat de deur niet op slot zit).

Wat een aantal hypocrieten hier zeg. Iedereen hier heeft interesse in cybersecurity en ik durf mijn handen er voor in het vuur te steken dat 80% van de reageerders ook zelf wel eens iets dergelijks heeft uitgevoerd. De pot verwijt de ketel.
Ik ben het er mee eens dat het een behoorlijk gevaarlijk terrein is, maar de vergelijkingen met voordeuren gaan echt scheef.
Onrechtmatig jezelf toegang verschaffen tot een al dan niet beveiligde datadrager of in iemands huis ronddwalen zijn echt verschillende dingen. Waarbij het laatste vaak tot emotionele schade lijdt (ik ben niet veilig in mijn huis).

In een ver verleden ging ik ook op zoek naar mensen die hun WS_FTP.ini file openbaar hadden staan. Wanneer waarschuwen per mail niet hielp, plaatste ik meestal een berichtje op de main page. Dat hielp eigenlijk altijd. Vaak stond er al malware of een aantal fake Paypal paginas op de server. In een aantal gevallen heb ik dat zelfs verwijderd of aangepast. Wettelijk gezien is het over het randje, ethisch gezien in mijn ogen net niet. Ik weet dat de meningen hierover verschillen, zelfs de eigenaren van de sites waren niet onverdeeld gelukkig met mijn acties. Dat lag meestal aan onwetendheid of schaamte, en na een tijdje wordt je die mensen ook zat dus was het op een gegeven moment tijd om te stoppen. Daarnaast werd het aandeel Honeypots in de zoekresultaten steeds groter, maar dat terzijde.

Ik ben er voor mijzelf nog steeds niet over uit of de provider/hoster moet voorkomen dat klanten per ongeluk meer data online gooien dan bedoeld, of dat de verantwoordelijkheid bij de klant ligt. Gezien de houding van sommige site beheerders neig ik tegenwoordig de tweede optie.

Een ieder dank voor zijn/haar reactie..

Gezien het feit dat het merendeel van de reacties zich toespits op het 'niet kunnen' van de wijze van waarop ik enige gebruikers gewaarschuwd heb voor het openstaan van hun privé- c.q. persoonlijke data en of (mail) back-ups (.pst bestanden) heb ik deze wijze van waarschuwen maar laten vallen.

Verder zou ik mijzelf als hypocriet bestempelen, als lid zijnde van het SECURITY.NL forum, wanneer ik geen actie had ondernomen richting de reeds gevonden openstaande schijven en de betreffende data hierop..

MAAR het feit blijft, dat er misbruik gemaakt kan blijven worden van deze openstaande schijven en de data hierop.

Al hoop ik er stiekem wel op dat er zich iemand bij dit 'draadje' meld die of : hiervoor gewaarschuwd is of die wil weten hoe hij/zij kan controleren dat zijn/haar data voor iedereen openstaat, dit geldt voor een ieder die dus een externe harde schijf aan zijn/haar modem c.q. router gekoppeld heeft.

Ik (Heffy) heb dit draadje gestart met de gedachte: als ik dit kan (met de bedoeling de gebruiker te waarschuwen) kan een ieder met kwade bedoelingen dit ook.
En we weten allemaal welke gevolgen dit tot gevolg kan hebben... toch?

Volgens de uitzending van http://www.opgelicht.nl/uitzending/2015/1257/ zouden de meeste gebruikers via de betreffende provider ingelicht zijn.

Is deze waarschuwing dan wel bij alle desbetreffenden aangekomen? Of is het de onwetendheid etc. van deze gebruiker die deze schijf dan ook nog steeds 'open' laat staan.

Blijkbaar wel, het een of het ander, anders had ik er in korte tijd geen 30 gevonden die met alles openstonden voor het internet.
bij diverse zoekacties via Google op naam, kwamen dus ook diverse bestanden bovendrijven.... Conclusie: GOOGLE kan deze schijven ook indexeren... zitten we hierop te wachten.... (zeg het maar)

Ikzelf check regelmatig even mijn poorten via: Shields Up - Gibson Research Corporation https://www.grc.com/x/ne.dll?bh0bkyd2
Het adres dat je ziet in de 2e regel onder het rode "The text below might uniquely identify you on the Internet" kan je voor jezelf eenvoudig even testen door er : ftp:// voor te plaatsen
Kun je dan zonder een gebruikersnaam & wachtwoord bij je bestanden komen, dan zit er iets fout, naar ik aanneem..

Op nieuwe reacties die mij erop wijzen dat ik verkeerd bezig was, is mijn antwoord: ja dat weet ik nu wel.
Graag ontvang ik reacties die mij, of de desbetreffende gebruikers van deze openstaande schijven verder helpen..

Alvast weer bedankt...

Heffy

ps.
zie de open deur als een deur die op een kier staat, en de deur die niet op slot zit is een deur die niet op het nachtslot zit. Met andere woorden: geen gebruikersnaam & wachtwoord of standaard gebruikersnaam & wachtwoord.

Het kan vaak zijn outdated software ik meende dat vsftpd oude versie ervan had "anonymous login enabled" bij default, en ja als je dan geen verstand van FTP of andere zaken hebt hoe je t moet oplossen dan is dat nogal moeilijk.
Nmap kan je ook gebruiken om een TCP scan te doen op je eigen adress heb je meteen alle poorten die openstaan :)

Beste Heffy,

Tot nu toe krijg ik het gevoel dat je eerder je daden goed wilt spreken ipv ons vragen of dit wel mag. Voor de rest is alles wat gezegd moet worden al gezegd.
Beste wat wij kunnen doen is jou adviseren, wat je met dat advies doet is jouw keuze.

Groet,

Nee, want het is gewoon een ftp-server waar je zonder authenticatie op rond kunt surfen. Niet zo heel veel anders dan het doorsnee http browsen.

Bij een winkel is dat anders heel gewoon hoor.

Ja, en een appel is niet veel anders dan een peer.
Ooit een http website meegemaakt die onbedoeld openstond?

Maar bij een normaal huis dat niet bekend staat als een winkel en er niet uitziet als een winkel is het niet gewoon.
Mooi als mensen je meestal bedanken voor de waarschuwing, maar het is niet uitgesloten dat mensen je aanklagen
dat je zomaar naar binnen bent gegaan. En volgens de wet lijkt het erop dat ze dan in hun recht staan!!!

Nog meer uitvluchten? Of hebben we nu eindelijk door dat dit bedenkelijke acties zijn, en dat je jezelf daarom beter eerst kunt indekken door naar de politie te stappen en te vragen of je niet illegaal bezig bent?
En hoe flauw het ook mag klinken maar better be safe then sorry:
eis voor alle zekerheid daarbij een officieel schriftelijk "cover your ass"-bewijsje dat je van de politie dit mag doen,
omdat het wetboek daar in dit geval misschien net niet duidelijk genoeg in is.

Wat bedoelt is is bij ftp nu eenmaal niet zo zichtbaar, het enige dat zichtbaar is of voor toegang authenticatie nodig is.

Als ze hun doosje al niet kunnen voorzien van wachtwoorden is het niet aannemelijk dat ze logfiles hebben, of kunnen lezen. Maar ik ben het met je een dat die mensen beter links laat liggen, het is tenslotte hun probleem.

Wat is er toch aan de hand met al die ALLUHOEDJES op security.nl?

Winkels zijn dan ook als zodanig herkenbaar.
In dit geval gaat de analogie over deuren waarvan niet vooraf bekend is waar ze toe leiden, of erger, waarvan het redelijke vermoeden bestaat dat betrokkene daar niets te zoeken heeft.
Het bekijken van bestanden (zie OP) is hoe dan ook FOUT. Meningen kunnen verschillen, maar de Wet is echter heel duidelijk.

Het verschil is natuurlijk wel dat betrokkene het hier heeft over computervredebreuk met voorbedachte rade. Die term is Wettelijk gezien niet van toepassing, maar draagt wel bij aan de beeldvorming.

@TS: Ga eerste even een cursusje CEH doen of zo.

Wil je dit toelichten a.u.b.?
1. Wat bedoel je met "OP"?
2. Waar lees jij dit dan zo duidelijk in de Wet? (graag URL met citering waaruit dit blijkt, plus een heldere uitleg)
Staat het er echt zo duidelijk in? Ik twijfel daar namelijk aan, en vind wat t.s. doet op het randje/mogelijk net over het randje als je het heel serieus en nauwkeurig naast de bestaande Nederlandse wet legt.

Wel is het internet natuurlijk wereldwijd, en in andere landen gelden vaak weer andere wetten.
In het buitenland bestaan mogelijk wél wetten die hetgeen t.s. doet nadrukkelijk en strikt verbieden, of niet verbieden.

Als bij een ftp-schijf nergens een aanduiding of indicatie is te vinden dat t.s. er niet mag komen, en Google het ook gewoon indexeert, maar onze wet volgens jou zegt dat het absoluut niet mag, waarom is er op dit punt dan nog nooit iemand tegen Google opgetreden? En hebben bezitters van ftp-schijven misschien zelf ook nog enige verantwoordelijkheid?

Verder begrijp ik niet je reactie op "Ooit een http website meegemaakt die onbedoeld openstond.".
Je haalt dit helemaal uit zijn verband. Het ging mij er natuurlijk om dat iemand geen appels met peren moet vergelijken
en dus ook niet ftp met http zoals Anoniem 09-09-2015, 19:26 deed.
Probeer a.u.b. teksten wat beter in zijn verband te lezen, en als jij iets niet direct begrijpt, noem het dan geen "onzin".

Wederom een ieder bedankt voor zijn/haar reactie.

Net zoals GOOGLE en de collega zoekmachines de http websites indexeren en deze dus bereikbaar maken,
zijn er dus ook diverse zoekmachines die dit voor FTP servers bewerkstelligen.

Helaas is het zo, dat de consument vaak niet voldoende wordt ingelicht bij de aanschaf van een externe harde schijf met betrekking van de beveiliging hiervan bij de koppeling van deze een router c.q. modem naar het lokale netwerk...
Niet (voldoende) door de verkoper maar vaak ook onvoldoende door de leverancier..(?)

Door dus gebruik te maken van de mogelijkheden van deze FTP zoekmachines, moet ik, als gebruiker, de gevonden resultaten dan maar gaan indelen als legaal of illegaal?

OF ligt hier ook nog een stukje verantwoordelijkheid bij deze zoekmachines en de door hun getoonde resultaten..
Je kan in principe elke FTP server met anonieme toegang uitsluiten en deze niet tonen in de zoekresultaten.

En voor ik het vergeet: DIE openstaande FTP servers met alleen films en/of opgenomen programma's....

JE opname c.q. back-up hiervan kan ideaal als stream gebruikt worden..(wanneer je internet snelheid dit toelaat..)

Bedankt voor jullie aandacht,
Heffy

Het probleem is dat je in de bestanden moet rond gaan neuzen om te bepalen of de ftp onbedoeld open staat. daarnaast moet je tussen die bestanden nog zoeken naar contactgegevens om contact met de eigenaar op te nemen. dan zoek je tussen spullen waar je niets te zoeken hebt.

wat jij eigenlijk wil is een poortscan bij iedereen uitvoeren en als je ziet dat een niet gebruikelijke poort openstaat die personen/bedrijven een mail te sturen met de mededeling dat er mogelijk onbedoeld poorten openstaan waarmee mogelijk prive informatie voor de hele wereld is in te zien.

by the way mocht je mijn ftp tegenkomen wat ik mij niet voor kan stellen, dan stel ik dat wel zeer op prijs.

Fabrikant is verplicht in mij mening om de default instellingen zo veilig mogelijk te maken. En indien de gebruiker zelf een wachtwoord of beveiliging weg haalt hier een waarschuwingsmelding van krijgt met tekst en uitleg wat er kan gebeuren.

Doet een fabrikant standaard alles aan upnp, geen wachtwoord, dan is dit inderdaad wel heel gemakkelijk voor de gebruiker want alles werkt standaard meteen zonder wachtwoord of what ever maar de veiligheid van je gegevens en netwerk is helemaal naar de zotte.

Fabrikant zou hiervoor een boete moeten krijgen als ze hier totaal niks mee doen. En sowieso een firmware update uitbrengen.

De wet computervredebreuk voorziet hier wél in, en noemt dit "opzettelijk". (dus wettelijk gezien wél van toepassing).
Wat t.s. hier doet, is absoluut "opzettelijk", dan wel "met voorbedachte rade" de openstaande ftp-schijven bezoeken.
Maar er is pas sprake van computervredebreuk als daarbij óók nog sprake is van "wederrechtelijk" en "binnendringen".
Je kunt je dan afvragen of het "wederrechtelijk" is om de eigenaar (op deze manier) te kunnen waarschuwen,
en of het hier nou gaat om "binnendringen" of alleen maar "binnenlopen",
omdat er immers van buitenaf gezien meestal geen enkele duidelijke indicatie is dat je op zo'n ftp-schijf niet mag komen.

Vergelijk dit eens met de situatie: hoe onderscheid je prive wifi van openbaar wifi? Het is niet zo dat prive wifi altijd
beveiligd moet zijn. Ook als SSID van een netwerk bijv. luidt: "Dit is een privé netwerk", mag iedereen er niet zomaar op.
Beveiligd of niet. Negeer je dit, dan ziet de wet dit onherroepelijk als "binnendringen".
(overigens raad ik niemand aan om de beveiliging van je prive wifi uit te schakelen. Maar volgens de wet geldt dit dus...)

Een andere vergelijking:
Stel een portemonnee is verloren, of een dame heeft haar handtasje ergens in een openbare ruimte laten staan.
Is het dan geoorloofd om daar in te kijken alleen om te kijken wie de rechtmatige eigenaar is met de bedoeling om dit terug te brengen(!). Je loopt het risico om bij deze zoektocht tegen hele private en/of waardevolle zaken aan te lopen, bijvoorbeeld een ID, contant geld of een creditcard, hoewel dit nu juist wel eens nodig blijkt om goed te kunnen bepalen wie de rechtmatige eigenaar is. (dit doe je misschien mede met de wetenschap van RAMBAM dat er vaak geld mist als je zoiets aan politie of gemeente overlaat...)
Een ander risico is, dat je misschien niet de eerste vinder bent, en later door de eigenaar aansprakelijk zou kunnen worden gesteld voor eventuele schade die door (een) eerdere onbekende vinder(s) is veroorzaakt.

Staanlaten of rustig laten liggen is daarom voor jezelf meestal de veiligste optie.
Maar voor de eigenaar van de verloren portemonnee of handtas is dit juist onveilig,
want een volgende vinder heeft misschien niet zulke goede bedoelingen...
Iets dergelijks geldt ook voor openstaande ftp-schijven.

Maar begrijp me niet verkeerd:
Op zich vind ik het eigenlijk heel goed dat "ftp-ezels" ernstig worden gewaarschuwd dat hun schijf onbedoeld open staat.
Het is alleen jammer dat het zo moeilijk is om anderen te waarschuwen zonder hierbij zelf ook een (klein) risico te lopen.

Echter het meest misdadige is wat mij betreft dat netwerkschijven standaard al helemaal open staan wanneer je ze aanschaft, en fabrikanten/verkopers er onvoldoende voor waarschuwen, zoals t.s. zelf ook al opmerkte.
Misschien dat t.s. dáár zijn aandacht en energie beter (en veiliger) aan kan besteden?
Het is niet alleen dat er zodoende via internet onbedoeld gevoelige data van de eigenaar kan worden bekeken en gekopieerd, maar criminelen misbruiken dit soort schijven vast ook erg graag om misdadige bestanden uit te wisselen.
Hierdoor kan dus een onschuldige gebruiker zomaar worden meegezogen in een justitieel onderzoek, en worden beschuldigd van een misdrijf, terwijl de eigenaar van de ftp-schijf nergens van afweet en er niets mee te maken heeft...

Goeroehoedjes
(in ieder geval zal het vast wat helpen wanneer mensen deze informatie nu al hier op security.nl kunnen vinden) ;-)

Om toch maar even dit onderwerp in de kijker te houden, BEDANK ik een ieder weer voor zijn/haar reactie..

@ Anoniem op16-09-2015, 17:31 : Dank voor je reactie..

Gezien de informatie en reacties die ik hierover gelezen/gezien heb op deze site en middels het programma OPGELICHT http://www.opgelicht.nl/uitzending/2015/1257/ , denk ik toch sterk dat er bij de providers een beter protocol opgesteld kan/moet worden.

Wanneer je PC namelijk besmet wordt met een SPAM bot, loop je het risico dat je IP geblokkeerd wordt voor uitgaande mail.
Voorheen was het het zo dat je een virus opliep door het uitwisselen van gegevens middels diskette, cd en of usb.

Tegenwoordig is/kan het (per ongeluk) bezoeken van een website of zelfs het bezoeken van een gerenommeerde website voorzien van (besmette) advertenties je al de nodige problemen bezorgen.

Een ISP kan jouw als gebruiker wellicht even beter en sneller controleren c.q. informeren m.b.t. de openstaande poorten c.q. verbindingen via jouw IP adres. Of in ieder geval een controle mogelijkheid aanbieden.. (toch?)

Met het, al dan wel of niet, bewust openstaan (zetten) van de PRIVÉ gegevens middels een aan het "thuisnetwerk" gekoppelde externe harde schijf wordt de kwetsbaarheid van de internet gebruiker alleen maar groter.

Het merendeel van de personen die ik reeds gewaarschuwd heb, waren waarschijnlijk die gebruikers die vaak niet verder lezen in de gebruiksaanwijzing dan het installeren en gebruiken.

NIET ieder gebruiker van een PC etc. met verbinding naar het Internet is zich bewust van de eventuele gevaren hiervan.

IK zie in mijn voorgaande acties dan ook geen ander sociaal gebaar dan het waarschuwen voor..
Echter heb ik er (voorlopig) maar vanaf gezien om op deze waarschuwende wijze te werk te gaan.
Ik zit er namelijk niet op te wachten om mijn sociale inslag ook nog eens strafrechtelijk te moeten gaan verdedigen.

Wel hoop ik dat er door, dit onderwerp aangekaart te hebben, er toch ook nog lezers zijn geweest die toch even hun instelling gecontroleerd én indien nodig aangepast hebben.

Wederom bedankt voor de aandacht.
Heffy