image

Juridische vraag: is het toegestaan om zonder toestemming websites van willekeurige bedrijven te scannen?

woensdag 27 juli 2016, 09:36 door Arnoud Engelfriet, 30 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: onlangs ben ik voor mezelf begonnen als securityprofessional. Graag zou ik klanten willen werven door de publieke websites van diverse bedrijven te scannen met algemeen beschikbare tools, en ze daarna wat tips te sturen met als afsluiter dat ik te huur ben. Mag dat?

Antwoord: ongevraagd een website van een ander scannen vind ik altijd een tikje problematisch. Als je tijdens gewoon gebruik een lek vindt en dan even doorgraaft om te zien of het écht stuk is, dat lijkt me geheel logisch. Dat je bij een nieuwe leverancier even wilt checken hoe veilig ze zijn, oké dat kan nog net. Maar zonder enige aanleiding willekeurige bedrijven scannen, dat gaat me net wat ver.

Natuurlijk kan het legaal zijn om een site te scannen, daarom hebben we immers de hele discussie rond responsible disclosure. Maar meestal is er dan echt wel een aanleiding, concurrentenwaren ook lek of ze gebruiken software waarvan net in het nieuws was dat ze kwetsbaar waren.

En even los daarvan: het ongevraagd sturen van mails met commercieel oogmerk is verboden als spam (art. 11.7 Telecommunicatiewet). Ook als je dat naar bedrijven doet. En een mail met "u bent lek, huur mij in" is gewoon met commercieel oogmerk, hoe je het ook formuleert.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (30)
27-07-2016, 10:42 door Anoniem
Tja, het klinkt als iemand langs meerdere huizen gaat, voelt aan deuren en ramen, bij niet afgesloten deuren naar binnen gaat en dan een briefje in de bus doet: Uw huis is niet veilig, bel mij om het op te lossen.

Ik denk dat veel mensen (en politie) dat niet zouden waarderen. Het komt namelijk ook over als op onderzoek uitgaan voor je volgende kraak. Hoe weet iemand dat je een serieuze beveiliger bent, of een crimineel met een mooie smoes?

Q
27-07-2016, 12:10 door Anoniem
Ethisch zeer ongezonde methode. Misschien moet je wat doen aan het ontwikkelen van je ethisch besef. Het helpt als je je verplaatst in de schoenen van de ander. Zou jij het leuk vinden als er iemand ongevraagd jouw server gaat scannen en daarna je vertelt dat hij het tegen vergoeding wil oplossen? Nee, natuurlijk niet.

Je provider zal je ook hoogst waarschijnlijk na een paar waarschuwingen van zijn netwerk schoppen. En terecht.

Ga liever na een lokale ondernemersbijeenkomst, stel jezelf voor en leg uit wat securityproblemen zijn en stel voor dat je (bijna) gratis een scan wilt uitvoeren. Wel even oefenen met een ondernemend familielid op hoe het overkomt.

Ja, dat kost meer moeite, maar netwerken is en blijft de beste methode voor acquisitie.
27-07-2016, 12:24 door Anoniem
Veel bedrijven sluiten bij hun responsible disclosure ook scanning expliciet uit.

Vaak verstoor je daarmee namelijk onnodig de dienstverlening. Denk aan dat je even het contactformulier test en je per abuis toch behoorlijk wat mailtjes daarmee verzend (je zal niet de eerste zijn die dat overkomt).
Of simpelweg omdat er dan een team een onderzoek opstart.
27-07-2016, 12:25 door Anoniem
Dit doen meer 'onderzoekers', echter vergeten deze nog wel eens hun throughput aan te passen, waardoor deze veel te hoog staat. In feite ben je je target dan aan het DdoS-en, wat in veel gevallen niet op prijs wordt gesteld. Immers kan in het ergste geval de webserver hierdoor omvallen.
27-07-2016, 13:27 door Anoniem
Het is wel toegestaan om eventuele slachtoffers/klanten uit te nodigen zelf een beveiligingstest of scan te doen. Zij die op je invitatie ingaan, kunnen eventuele betalende scan kandidaten worden. Het hoeft bij de scan niet te gaan om directe evidente infecties, maar ook een heel scala aan andere te nemen beveiligende maatregelen. Het meeste succes zul je overigens hebben met gevorderde specialisatie op een bepaald terrein om daar de beveiliging manco's mee te kunnen verhelpen. Ga daarom iets brengen dat anderen niet brengen. Je kunt daarbij denken aan een betere IDs tracking beveiliging (nog niet overal geregeld), response header beveiliging, code beveiliging (een immens probleem). Neem een code beveiliging voorbeeld. Uit een scan, waartoe iemand zich heeft laten uitnodigen, blijkt in bepaalde CMS javascript code eventuele XSS-DOM kwetsbaarheden te zitten in een (verouderd) thema of plug-in. De zaak is niet goed up to date en er is code die beter afgevoerd en voor latere referentie kan worden ge-zipfiled. Als je de kwetsbare verouderde thema code nog eens in de werkbank zet via een jsunplug scan, blijkt er een syntax error in te zitten omdat de juiste syntax niet is gebruikt. Door de kwetsbaarheid kan de site eventueel aangevallen worden met te injecteren aanvalscode. Je geeft aan hoe het gevaar kan worden gekeerd. Er is trouwens nog meer oude en brakke code gevonden, ook dit kan worden opgelost.
Je gaat dus niet aan deuren en ramen morrelen, maar laat je potentiële klanten zelf de ramen en deuren open zetten voor het liedje van de speelman. Je rekent tenminste altijd iets voor het gespeelde deuntje. Volledig legaal lijkt mij, omdat ze immers expliciete toestemming hebben verleend door op je invitatie in te gaan via een ingevoerde code of "ik(wij) geef (geven) hierbij toestemming voor een beveiligingsscan" etc.
27-07-2016, 15:21 door Anoniem
Persoonlijk zou ik hier niets op tegen hebben, ik ben zelf ook IT'er met een lichte security achtergrond. Ik heb liever dat iemand mijn site scant en meld wat er lek is of waar verbeteringen aan te brengen zijn.

Je site wordt zo-ie-zo gescand door kwaadwillende, en die zeggen niks maar trekken je hele servers leeg of erger. En als iemand constateert dat ik mijn autoraam open gelaten heb, ben ik hem zeer dankbaar als hij eventjes aanbelt en dit meld.

Je bent dan als security specialist bezig met een constatering dus idd zorg evoor dat je niks overbelast of verhinderd, gebruik je gezonde verstand.

Ga er vanuit dat alles wat publiekelijk bereikbaar is door kwaadwillende gescand en aangevallen wordt. Zelfs mijn IP camera thuis ontsprong deze dans niet wanneer de standaard poort gebruikt werd.
27-07-2016, 15:37 door Anoniem
Persoonlijk zou ik hier niets op tegen hebben, ik ben zelf ook IT'er met een lichte security achtergrond. Ik heb liever dat iemand mijn site scant en meld wat er lek is of waar verbeteringen aan te brengen zijn.

Maar dat je deze persoonlijke overtuiging hebt betekent niet dat de meeste mensen het er mee eens zijn.

Je site wordt zo-ie-zo gescand door kwaadwillende, en die zeggen niks maar trekken je hele servers leeg of erger. En als iemand constateert dat ik mijn autoraam open gelaten heb, ben ik hem zeer dankbaar als hij eventjes aanbelt en dit meld.

Dat is een slechte vergelijking. Een betere is dat alle deurklinken en ramen ongevraagd getest worden. Dat is sociaal onacceptabel gedrag.

Je bent dan als security specialist bezig met een constatering dus idd zorg evoor dat je niks overbelast of verhinderd, gebruik je gezonde verstand.

Dus jij hebt tijd over en je wilt talloze meldingen extra op je NIDS afhandelen. Besef dat ongevraagde scans niet schalen. Er is niemand die zegt: zo is het wel genoeg! Dit is dezelfde discussie als die over het al dan niet bestaan van goede virussen. De consensus was destijds dat die niet bestaan en dat is nog zo.

Ga er vanuit dat alles wat publiekelijk bereikbaar is door kwaadwillende gescand en aangevallen wordt. Zelfs mijn IP camera thuis ontsprong deze dans niet wanneer de standaard poort gebruikt werd.

Dat criminelen ook scans uitvoeren is geen argument om het dan ook maar ongevraagd te doen.
27-07-2016, 15:41 door Anoniem
Door Anoniem: Het is wel toegestaan om eventuele slachtoffers/klanten uit te nodigen

NEEN dat is NIET toegestaan! Dat is spammen en dat mag niet als dat niet al bestaande klanten zijn.
27-07-2016, 18:43 door Anoniem
Waarom bieden Sucuri en Quttera etc. dan gratis scans aan met een link naar hun (betaalde) dienstverlening?
De bezoekers scannen hun eigen website, zien dat ze alerts ontvangen en kunnen dan contact opnemen voor een (niet gratis) schoonmaak sessie of een meestal jaarlijks monitoring contract.
Allemaal pop-up spammers dus, die dat doen, want volgens bovenstaande poster zijn die dan voortdurend aan het spammen door hun dienstverlening aan te prijzen. Deze Oostenrijkse Australiër doet het ook: http://www.web-malware-removal.com/website-malware-virus-scanner/ en ik heb zijn beveiligingssite nog niet op enige spamlijst zien staan.

Je kunt je beter druk gaan maken om het feit waarom lieden achter kwaadwillende scans niet vervolgd worden. Daar zijn er iets meer van en ik heb de spamlijsten ervan nog niet gezien, ze doen wat meer kwaad als een "retirable script scan "zoals uitgebreide aanvals nmap scans, PAC scans. Justitie moet eens langs gaan bij houders van open wifi netwerken dan liever goedkoop te gaan scoren. Het lijkt er haast wel of sommigen gebaat zijn bij het voortduren van brakke veiligheid.

Kijk ik vind het wel goed dat expliciet wordt vastgelegd dat niemand gegevens van een Dazzlepod-IP scan tegen een site mag gebruiken of details van een SSLLabs security scan publiek maakt zonder toestemming. Wel zou ik voorstander zijn om duidelijk aan te geven en preciseren wat wel of niet mag, Veel is nog grijs gebied - wat mag de online security analyst wel en niet en hoe is zijn eigen veiligheid en integriteit gewaarborgd? Ook is niet geregeld wat er moet gebeuren als een website admin een aanvraag doet voor een scan, genoemde scan vervolgens zijn incompetentie aantoont en hij furieus reageert omdat hij vreest dat zijn baas nu van zijn slecht functioneren en onkunde op de hoogte kan komen. Gaat alles dan direct offline?

Poster moet weten dat er nog al wat vast zit aan beveiligen. Sommige geautomatiseerde sinkholers moesten als beginnend
beveiliger hun land verlaten omdat ze als notoire hacker vervolgd werden. Later wisten ze toch elders een gerenommeerd beveiligingsbedrijf te starten en hebben ze de online wereld een stuk veiliger gemaakt. Het bedrijf is inmiddels wederom verkocht aan en opgeslorpt door een grote beveiliger.

Wordt ervan bewust dat je met complexe materie bezig bent, dek je van alle kanten in en begin niet aan een desillusie!
Tijd voor de alom door ons gewaardeerde heer Engelfriet om eens met wat tips te komen hoe de startende beveiliger zich wat beter juridisch kan indekken of met wat handigheid mogelijke nare gevolgen weet te omzeilen.
27-07-2016, 19:35 door Ron625 - Bijgewerkt: 27-07-2016, 19:35
Regelmatig test ik overheids-sites via het W3C op juiste HTML.
Er zijn overheden, met meer dan 100 fouten op de start pagina!
Wanneer ik dit vind, doe ik altijd een poortscan en geef ik alle fouten vriendelijk door.
Na een maand test ik het dan nog een keer, zijn er geen verbeteringen, dan is de mail niet vriendelijk meer.
Overheden en gesubsidieerde instellingen moeten tenslotte voldoen aan de richtlijnen..........
27-07-2016, 21:25 door Anoniem
Door Anoniem: Waarom bieden Sucuri en Quttera etc. dan gratis scans aan met een link naar hun (betaalde) dienstverlening?
De bezoekers scannen hun eigen website, zien dat ze alerts ontvangen en kunnen dan contact opnemen voor een (niet gratis) schoonmaak sessie of een meestal jaarlijks monitoring contract.
Allemaal pop-up spammers dus, die dat doen, want volgens bovenstaande poster zijn die dan voortdurend aan het spammen door hun dienstverlening aan te prijzen. Deze Oostenrijkse Australiër doet het ook: http://www.web-malware-removal.com/website-malware-virus-scanner/ en ik heb zijn beveiligingssite nog niet op enige spamlijst zien staan.

Het is niet toegestaan om te spammen. Dat men het toch doet en er mee weg komt bijvoorbeeld door vanuit het
buitenland naar Nederland te spammen en daarmee buiten juridische invloed te blijven betekent nog niet dat het daarmee
dan goed is.

Met beveiligen heeft dat verder NIKS te maken, hetzelfde geldt als je drukwerk wilt verkopen ofzo.
27-07-2016, 22:06 door [Account Verwijderd]
Door Arnoud Engelfriet: En even los daarvan: het ongevraagd sturen van mails met commercieel oogmerk is verboden als spam (art. 11.7 Telecommunicatiewet). Ook als je dat naar bedrijven doet. En een mail met "u bent lek, huur mij in" is gewoon met commercieel oogmerk, hoe je het ook formuleert.

Donderde ik toch bijna van m'n stoel. Dus wanneer ik mijn diensten aanbied in een persoonlijk geschreven unieke email die ik verstuur naar een potentiële klant is dat spam??? Dat lijkt me toch heel sterk...

(ik ben trouwens niet de vraagsteller voor de duidelijkheid)
27-07-2016, 23:31 door Anoniem
Dus het aanbieden van gratis online beveiligingsscans moet in het kader van de spamwetgeving ook tegen gegaan worden.

U bevordert het veiliger worden van het Internet, doordat minder bezoekers van gewraakte sites kunnen worden besmet.
Dat lijkt me een algemeen belang te zijn.. Maar, oh nee, de wetgever schiet u af wegens ongewenste colportage.
En als het om niet, dus gratis gebeurt, zijn er dan ook dergelijke beletsels? Het alleen al benoemen van bepaalde kwetsbaarheden kan misbruik door derden veroorzaken omdat het cybercriminelen op het spoor van een mogelijke compromitteren kan zetten. Voorlichting kan dus wel degelijk gevaar opleveren.

Nooit geweten dat we ons hier op zulk juridisch glad ijs aan het bewegen zijn. Zo komen we nooit tot een veiliger Internet.
Men mag kennelijk van de wetgever niet zo veel, buiten zich aan de wet houden, hetgeen ieder hoort te doen en te bewegen.

Er moet nodig een uitzondering voor beveiliging-analisten worden gemaakt, dunkt mij.

We gaan toch geen Amerikaanse toestanden importeren, waar een opgemerkte poortscan van iemand op een IP range leidt tot het tonen van een kleuterschoolplaatje met een "RickRoll" om degene die scant te schofferen. Dit is arrogant eigen richting cowboy gedrag en gelijk ligt een heel IP blok van een provider eruit en moet de goede die met de kwade diende te lijden omstandig uitleggen dat het niet aan hem of haar lag en soebatten om de site weer terug te mogen bezoeken. Ik heb het zelf meegemaakt, je gelooft je ogen niet totdat je het je het zelf hebt beleefd.
27-07-2016, 23:34 door Anoniem
Arnoud het is gewoon een pogingsdelict, zoek het maar eens up.

Verder indien je bedrijven actief gaat benaderen is het niet spam waar je je druk over moet maken, maar eerder om niet aangemerkt te worden als afperser.

Uiteindelijk gaat deze persoon ongevraagd internet afstruinen, vervolgens bedrijven benaderen, hen niet gratis oplossing aanbieden.

Aangezien het een pogingsdelict is, heeft OM geeneens een aangifte nodig om hem te vervolgen.

"responsible disclosure" is heeft geen enkele verankering of bescherming vanuit Nederland recht.

Als je gaat portscannen (en in zijn geval nog veel meer dan dat) pleeg je gewoon een delict.

In sommige landen is er overigens wel bescherming voor mensen met de juiste intenties.

Zelf ben ik van mening dat je beter iemand die iets komt melden en daar geen vergoeding voor gaat vragen wenselijker is dan dat er iemand aan de andere kant van de aardbol je database heeft gedownload en je vervolgens gaat afpersen.
28-07-2016, 00:03 door Anoniem
Je hoort dat nu eenmaal te weten en alles weten mensen vaak niet. Zoals dat je ook BTW moet berekenen over verzendkosten, dat eist de Belastingdienst. Het is het beste bewijs dat de meeste spammers zich niet veel van de wet aantrekken, ook al horen ze die te kennen, Degenen die het niet zo slim aanpakken of die met goede bedoelingen bezig zijn, lopen dan ook meestal tegen de lamp, de kwaadwillende spammer ontspringt meestal (vrij lang) de dans.
28-07-2016, 08:15 door Anoniem
Ja, spam is spam.

Ofwel alle ongevraagd toegezonden rotzooi, of je het nu op naam zet of niet. In feite stuur je dus een huis-aan-huisje. Je kent me namelijk niet. Dus in plaats van 'aan de bewoner' heet het 'aan de gebruiker van dit mailadres'. Omdat nee-nee stickers niet passen op een elektronische postbus kun je het daarmee niet oplossen.

En verder is het gewoon heel simpel. In het beste geval kun je het vergelijken met cold-calling. Daar is gewoon goed onderzoek voor - dat levert een succespercentage van 1-3% op. Je mag er vanuit gaan dat cold-mailing een nog aanzienlijk lager %age succes heeft wegens het gebrek aan persoonlijk contact (daar heb ik even geen cijfers voor). Dus laten we zeggen 0,5% (en das nog hoog - ongerichte spam% ligt ver onder een promille). Ofwel 200 onderzoekjes voor 1 betalende klant. Wil je een onderzoekje doen wat daadwerkelijk iets oplevert (een potentiele meerwaarde bied - een poortscan is dat niet) zodat je wat te bieden hebt hoe lang ben je dan bezig? Ik denk dat het als bedrijf niet uitkan.

Je loopt ook nog eens de kans jezelf bloot te stellen aan strafrechtelijk onderzoek. Hoe moet een willekeurig bedrijf verschil maken tussen jouw poortenrammelarij en die tientallen andere die wel kwade intenties hebben. Dat is vrijwel onmogelijk.
Redelijke kans dat je niet veroordeelt wordt, maar onderzocht worden kost ook tijd en is slecht voor je reputatie. Als je bij mij kwam zou ik op zijn minst een klacht indienen bij je provider. Aangifte zit zeker ook bij de mogelijkheden, want het doet erg denken aan de 'ddos-protectie' mails en soortgelijk. De maffia heeft dat 100 jaar geleden al uitgevonden maar dan fysiek, om zeker te weten dat je winkeltje heel blijf heb je bescherming nodig en die komen wij aanbieden. Ik houd er niet zo van om bedreigd te worden, anderen vast ook niet - en een deel van je marks zal daar naar handelen.

Het idee faalt dus op meerdere eenvoudig te herkennen punten. Terug naar de tekentafel voor een beter bussinessplan.

semi off-topic: Zouden hogescholen en universiteiten IETS meer aandacht aan dergelijk aspecten kunnen geven? Je had laatst ook al dat gastje van UVA (?) die honderdduizenden studentengegevens had binnengehaald om te bewijzen dat de boel lek was, dus zelfs nooit een paar uur onderwijs gehad in iets als responsible disclosure. Daarna ging ie lekker zo arrogant als de hell zijn 'bedrijfje' zitten pluggen op tweakers. Techneuten als groep kennen wel een hoog aantal individuen die dit soort dingen kennelijk niet vanuit zichzelf snappen (ik werk als part-time nerd al jaren met ze dus ik kom er nogal wat tegen), dus dan moet iemand het ze leren. Je geeft ze potentiele tools/wapens in handen - dan hoort een bijhorende verantwoordelijkheidsbesef ook te worden aangeleerd (niet anders dan bij vuurwapensport, vechtsporten, een rijbewijs)
28-07-2016, 08:23 door Vandy
Door Rotsmoel:
Door Arnoud Engelfriet: En even los daarvan: het ongevraagd sturen van mails met commercieel oogmerk is verboden als spam (art. 11.7 Telecommunicatiewet). Ook als je dat naar bedrijven doet. En een mail met "u bent lek, huur mij in" is gewoon met commercieel oogmerk, hoe je het ook formuleert.

Donderde ik toch bijna van m'n stoel. Dus wanneer ik mijn diensten aanbied in een persoonlijk geschreven unieke email die ik verstuur naar een potentiële klant is dat spam??? Dat lijkt me toch heel sterk...

(ik ben trouwens niet de vraagsteller voor de duidelijkheid)
Toch is het zo: https://www.acm.nl/nl/onderwerpen/telecommunicatie/internet/regels-voor-verzenders-van-e-mailberichten/

Oplossing: per post mag het wel. Of bel even met de vraag of je een mailtje mag versturen, en aan wie.
28-07-2016, 09:09 door _R0N_
Afgezien van het feit of het toegestaan is of niet.

Weet je hoeveel mail ik per week krijg van "bedrijven" die mij security adviesen geven over mijn websites?
Die gaan allemaal de recycle-bin in..

Als ik een scan wil laten uitvoeren vraag ik daar zelf wel om, een mail struren naar bedrijven met daar in linkjes nara rapportjes en of contact informatie gaat geen klanten opleveren eerder een nominatie permanente blacklist..

Je kunt beter jezelf op de ouderwetse manier introduceren ipv de deur inschoppen en roepen dat de deur rot is..
28-07-2016, 14:06 door Anoniem
Zoals het nu is, is dat een prachte situatie om een (ongewenste) status-quo in stand te houden. Brakke websites kunnen niet aangepakt worden nog op brakheid worden aangesproken mits de website eigenaars daar zelf toe gaan besluiten. Meestal is het punt om dat te doen pas aangebroken als ze door een paar grote AV-boeren worden geblokkeerd. Een slechte web-reputatie lappen ze aan de laars. Wat nog erger is het direct in ontkenningsmodus draaien, zuiver wegens gebrek aan kennis, inzicht of nog erger complete incompetentie. Niemand die kennelijk aan zo'n situatie iets wil veranderen, de graaier die gebruik wil maken van de onveiligheid om stealth de buit binnen te halen wil liever niets veranderen of beter nog is gebaat bij nog meer "verdommelijking en onveiligheid".
De onderwijsinstituten laten het ook lekker liggen, de onderzoekers blijven lekker zitten op hun kennis. De enige die het goed voor elkaar hebben zijn de malcreanten, zij hebben al lang een beter model gevonden en varen daar wel bij.
Trekken we de parallel eens door. Zie ik ergens een bouwval staan waar het balkon elk moment vanaf kan vallen met alle nare mogelijke gevolgen van dien, mag ik dat niet mededelen aan de eigenaar, want ik stel me bloot aan vervolging. Ik ben niet zelf op het balkon geweest, ik heb het alleen maar gehoord van mensen die daarop geweest waren. Mijn vraag is wie houdt er eigenlijk toezicht op websites die een gevaar zijn voor potentiële bezoekers? Hoe moet zo'n schoonmaakadviessite eigenlijk opgezet worden? Mag alleen de overheid dit? Die laat toch een heleboel liggen!
Providers doen weinig, bulkhosters nog minder, adtrackers zijn helemaal niet te vertrouwen. Wat dan?
28-07-2016, 20:15 door Ron625
Door Anoniem:Als je gaat portscannen pleeg je gewoon een delict.
Sinds wanneer?
Het staat mij vrij, om te controleren, of de deuren in mijn straat op slot zitten.
Een deur openen is iets anders.
Ook kijk ik regelmatig in auto's bij mij in de straat, of de deze zijn afgesloten, zoniet dan bel ik even aan, om te waarschuwen.
28-07-2016, 21:25 door Anoniem
Door Anoniem: Waarom bieden Sucuri en Quttera etc. dan gratis scans aan met een link naar hun (betaalde) dienstverlening?

Die 'scannen' 1 pagina en wat linkjes op het hoofddomein. Dat kun je amper een scan noemen, meer een normale opvraag die wat oplettend gedrag geeft. Een echte scan zal op die 1e pagina kan zo 300 tot 2.000 requests geven, afhankelijk of er wat query parameters zijn.

Denk niet dat je iemand snel zult horen klagen over die 1 pagina opvragers.
Ook een 'passive' Burp proxy-doorloop van een site zal nooit een probleem opleveren (die valt niet eens op), maar een 'active' scan wel.
28-07-2016, 21:31 door Anoniem
wanneer ik mijn diensten aanbied in een persoonlijk geschreven unieke email die ik verstuur naar een potentiële klant is dat spam???

Vraag je wel af: hoe snel zou een bedrijf hier op ingaan?

Als je iets 'netjes' meldt en gewoon je handtekening met bedrijf eronder zet is dat een stuk minder opdringerig.
Of ben ik de enige waar 'opdringerige' bedrijven altijd meteen op de black-list worden gezet ;)
29-07-2016, 02:03 door Anoniem
Een paar vraagjes aan de gewaardeerde poster hierboven de anoniem van 21:15 door gecursiveerde:.

Ik heb altijd begrepen dat voor een security scan, dus een echte uitgebreide pen-test, er in elk geval expliciete schriftelijke toestemming moet bestaan voor het doen van zo een scan van de eigenaar van het te scannen volle domein. En dat betreft dan in ieder geval geen eenvoudig Intellitamper scannetje neem ik aan.
Maar met een verzameling van wat u noemt eenvoudige third party "koude" pagina scans, response header scan, Cloaking scan, iFrame scan, spam link scan, script scan, SRI scan, HTML scan, certificaat scan, DNS scan, clickjacking scan, DOM-XSS scan etc. kan toch al snel aangetoond worden dat er aan heel wat websites nog de nodige beveiligingsverbeteringen aan te brengen zijn. Ik zie nog verschrikkelijk veel te luid sprekende server headers, naamservers met versie info, DROWn en andere exploits, CMS met verkeerde instellingen, aantasting van het "same origin" principe, inline javascript, vooral veel gemiste updates en patches en zelfs verlaten en niet langer onderhouden code. En dit door de mand vallen gebeurt echt niet alleen bij de zogenaamde amateur sites met amateuristisch WordPress CMS onveiligheid en af te voeren jQuery bibliotheken. Over IDs tracking lekken wil ik het niet hebben, het is bar. En nog veel log-ins gaan in klare tekst over de lijn, zelfs bij de nieuwe site van ons aller AD. SE-redirects en defacements en hacks worden ook nog veel te vaak aangetroffen. Direct toegang tot geuploade bestanden, geen dedicated hosting, samen op een IP met een heel scala aan domeinen, waar rotte appels tussen kunnen zitten, en het risico lopen van een algemene IP-blokkering.
Ik noem zo maar een paar zijstraten. Hoe gaan we dit aanpakken en wat doet de beveiligingswereld? Ik loop af en toe op een Hoge School voor IT Studies rond en ik zie daar niet veel activiteit of educatie in deze richting.
Moedeloos word ik ervan en u?
29-07-2016, 10:20 door Ron625 - Bijgewerkt: 29-07-2016, 10:21
Inderdaad moedeloos word je er van.
Wat te denken van de foute HTML codes, doordat de code gemaakt wordt met een WYSIWYG editter die geen goede code afgeeft, of een template van een CMS, waar al de nodige syntax fouten inzitten.
De meeste hobbyisten testen de website op IE, als het werkt is het goed, denken ze.
Een controle op de validator van het W3C, is helaas een uitzondering.
Een website moet er ook alle browsers hetzelfde uitzien, het mag geen verschil maken, of ik IE, Opera, FireFox, Midori, of Safari gebruik.
Browser herkenning is dan ook de grootste onzin die ik kan bedenken, voldoe gewoon aan de standaard, dan heb je alles.
29-07-2016, 12:33 door Anoniem
Door Anoniem:
Maar dat je deze persoonlijke overtuiging hebt betekent niet dat de meeste mensen het er mee eens zijn.

De "meeste", en waar baseer jij die persoonlijke overtuiging op? Het handje vol internet gebruikers dat op security.nl zit?

Dat is een slechte vergelijking. Een betere is dat alle deurklinken en ramen ongevraagd getest worden. Dat is sociaal onacceptabel gedrag.

Mmm... raar want de lokale buurtpreventie en politie doet dit jaarlijks en meld dit zelfs met een briefje in je brievenbus! Buurtpreventie zijn normale burgers uit jou buurt die gedreven zijn om de wijk veilig te houden, vergelijk dit maar met security specialisten die ervoor streven om websites en organisaties veilig te houden.

Dus jij hebt tijd over en je wilt talloze meldingen extra op je NIDS afhandelen. Besef dat ongevraagde scans niet schalen. Er is niemand die zegt: zo is het wel genoeg! Dit is dezelfde discussie als die over het al dan niet bestaan van goede virussen. De consensus was destijds dat die niet bestaan en dat is nog zo.

Dan moet je misschien wat vaker dit soort software gebruiken, ELKE aanval is te schalen ipv 1000x per seconde 1000x per minuut, ipv 100.000 contact formulier checks 10, etc. En die "niemand" moet de specialist zijn die de scan uitvoerd!

Dat criminelen ook scans uitvoeren is geen argument om het dan ook maar ongevraagd te doen.

Dit is zeker een goed agrument! Kwaadwillende zeggen niks die jagen je op kosten en beroven je van gevoelige informatie, geld en andere zaken. Wanneer een goedwillende specialist ELKE crimineel voor kan zijn en dit meld wordt je van die ellende bespaard. Heb je enig idee wat het kost zeker met de nieuwe datalek meldplicht voor bedrijven?

Het klinkt misschien raar voor jou dat er mensen zijn die graag andere mensen helpen zonder hier iets voor terug te verwachten, maar die zijn er toch wel degelijk.
29-07-2016, 14:14 door Anoniem
Het is opvallend dat mensen hier zo verschillend in staan. Eigenlijk wordt het tijd voor het onmogelijk maken van het hebben en onderhouden van een website zonder aan zekere veiligheidsvoorschriften te voldoen. Jammer voor de amateurs en degenen die het niet nodig vinden, maar zelfs met een brommer ga je niet meer zonder certificaat aka rijbewijs de weg op. Wat leren we ze dan aan bij zo'n verplichte website opleiding? Ik denk o.a. dat men altijd volledig dient te patchen en updaten, parameter used queries gebruiken, alle inkomende en uitgaande data checken en coderen of uit HTML strippen, de serverkant valideren, info beschermen tegen brute kracht aanvallen, complexe wachtwoorden gebruiken. U begrijpt het wel waar we heen willen, dit wordt het theoretisch deel, 7 bladzijden tekst hoe jezelf te beschermen tegen hackers en defacers. Het praktische certificaat krijg je als jouw website een check heeft gehad en na een pentest veilig bevonden en dan pas mag je het Internet op. Zelfde soort procedure doorlopen ook allle hosters en we hebben een beter en vooral veiliger internet. Ik zie ron625 al als HTML online-instructeur. "Geslaagd, mijnheer, mevrouw. Blijf altijd verder goed opletten en sta veilig binnen de infrastructuur, het wereld wijde Internet wacht nu echt op u". Door te mijmeren over zoiets, wordt het me ineens allemaal duidelijk wat er nu vaak nog aan schort. De "Barend Blufs" onder ons willen dit wel, nu de rest nog.
29-07-2016, 18:49 door Anoniem
Voor die meneer die het allemaal zo goed weet:
Weet je wat nog veel erger is dan al die afschuwelijke ellende die je met websites ziet?
Mensen die tekst als 1 blok zonder enige indeling op een forum plaatsen. Als ik zo'n epistel per mail
zou ontvangen van een wannabe security analist dan zou ik niet warm lopen hem in te huren.
29-07-2016, 22:02 door Anoniem
Aan anoniem van 18:29

Zeker weer zo'n beslisser uit de Communicatie en Media hoek.
Als de boodschap je niet bevalt, ga je alinea's tellen of spelling controleren.

Niet ieder heeft voor forum boodschappen de beschikking over een tekstverwerker.
Ze zitten op een bepaald moment op een eenvoudige android misschien.

En ik weet heus wel hoe ik thans, althans en geenszins moet schrijven
en dit zonder spellingscontrole. Zoveel is me vroeger nog wel bijgebracht.

Succes met het afbranden van posters, die u niet liggen.

Ik zou ook niet graag medewerker bij u zijn.
04-08-2016, 13:32 door devias
Als ik ongevraagde scans zie dan krijgt de abuse afdeling van dat IP adres toch echt een mailtje. Of het gaat de FW in.
04-08-2016, 14:00 door Anoniem
Door devias: Als ik ongevraagde scans zie dan krijgt de abuse afdeling van dat IP adres toch echt een mailtje. Of het gaat de FW in.

Als medewerker van zo'n abuse afdeling van een ISP hier in .nl kan ik je verzekeren dat bij dat soort meldingen er op bepaalde knopjes gedrukt gaat worden. Iets met /dev/null ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.