Ius mentis Homepage | Categorieën | Lijst A-Z | Willekeurig artikel | Herpubliceren? | Over deze site | Blog | Contact
 

De portscan als strafbare voorbereiding

Een port scanner is een van de meest gebruikte tools van de tegenwoordige hacker. Port scans worden toegepast om vast te stellen welke TCP- en UDP-poorten op externe systemen luisteren en zijn een mogelijke indicatie dat er een gerichte aanval op een geautomatiseerd systeem, het doelsysteem, op handen is. Binnendringen in een computersysteem is strafbaar als computervredebreuk. Echter, in het Wetboek van Strafrecht is geen bepaling opgenomen die de portscan strafbaar stelt.

Het hangt van de omstandigheden van het geval af of de port scan wordt gebruikt voor het plegen van een ander strafbaar feit, zoals het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk (art. 138ab, lid 1 WvSr). Er kan dan sprake zijn van poging met betrekking tot het plegen van dat andere delict. Indien de port scan kan worden gezien als een voornemen van de dader tot het binnendringen in de computer, het vernielen van een geautomatiseerd werk, het vernielen van gegevens of afluisteren, dan kan strafbaarheid ontstaan op grond van poging. Dit artikel is een bewerking van de scriptie van jurist Jaap Timmer over de strafbaarheid van portscannen.

Inhoudsopgave

Hoe werkt portscannen

Voordat een geautomatiseerd systeem kan worden gehackt, moeten drie essentiële stappen genomen worden door de hacker. Ten eerste moet de footprint van het systeem worden vastgesteld. Daarna kan de eigenlijke port scan worden uitgevoerd, om zo vast te stellen welke services er actief zijn. Daarna kan de hacker zijn aanval richten op de bekende zwakke plekken van de actieve services.

Footprinting

De eerste stap is het vaststellen van een profiel van het gebruik van de doelsystemen. Dit heet footprinting. Bij een delict als diefstal zullen dieven niet gewoon een bank binnen gaan en vragen om geld. Ze zullen eerst alle mogelijke moeite doen om informatie over de bank te vergaren: routes en aflevertijden van het geld, vluchtwegen, kortom alles wat maar van belang kan zijn om de overval succesvol te laten verlopen.

Succesvolle hackers volgen dezelfde methode. Ze moeten een massa informatie verzamelen om een doelgerichte, chirurgische aanval te kunnen uitvoeren. Ze proberen dan ook zoveel mogelijk te weten te komen van de beveiligingsaspecten van een organisatie. Technieken die gebruikt kunnen worden zijn onder andere het uitvoeren van whois-queries en het downloaden van DNS-zoneoverdrachten om een lijst op te stellen van de netwerken met bijbehorende individuele IP-adressen. Deze technieken verstrekken hackers waardevolle informatie, zoals namen, telefoonnummers, IP-adresgroepen, DNS-servers, mailservers en e-mailadressen.

De portscan

Als het opstellen van een profiel vergelijkbaar is met het doorzoeken van een gebouw door een inbreker die op zoek is naar informatie kan scannen, de tweede stap, worden vergeleken met het op alle muren kloppen om alle deuren en ramen te vinden die open staan. Port scanning is het proces waarbij verbinding wordt gemaakt met TCP- en UDP-poorten op het doelsysteem om vast te stellen welke services er actief zijn en zich in een LISTEN-toestand bevinden.

Voor port scanning zijn verschillende scantechnieken ontwikkeld; ieder met een verschillende vorm en volledigheid van de verbinding met het doelsysteem. Deze verschillende vormen en volledigheid van de verbinding dienen er ten eerste voor om de actieve poorten te bepalen en ten tweede om het risico van ontdekking te beperken. Een van de meest gebruikte port scanners is nmap van Fyodor.

Enumeratie

Als de indringer met behulp van technieken en tools voor port scanning erachter is gekomen welke doelsystemen en services actief zijn, zal deze zijn aanval richten op de bekende zwakke plekken van de actieve services. Dit proces wordt enumeratie genoemd en gebeurt veelal door zogenaamde vulnarability scanners. Bij enumeratie is er sprake van actieve verbindingen met doelsystemen en gerichte queries. Als zodanig kunnen ze gelogd of anderszins geregistreerd worden. Enumeratie wordt meestal gebruikt om namen te verzamelen van gebruikersaccounts om bijvoorbeeld hiermee wachtwoorden te raden, om informatie te verzamelen over verkeerd geconfigureerde bronnen, bijvoorbeeld onbeveiligde bestandsshares, of om te zoeken naar oudere softwareversies met bekende beveiligingsproblemen zoals webservers met mogelijkheden voor een buffer-overflow.

Het belangrijkste verschil tussen enumeratie en het hierboven genoemde footprinting en scanning zit in de mate waarin in een systeem wordt binnengedrongen. Bij enumeratie is er sprake van actieve verbindingen met systemen en gerichte queries. Als zodanig kunnen ze gelogd of anderszins geregistreerd worden. Enumeratietechnieken zijn vaak besturingssysteemspecifiek en dus sterk afhankelijk van de informatie die tijdens een port scan is achterhaald.

De poging tot misdrijf

In het Wetboek van Strafrecht is geen bepaling opgenomen die de portscan strafbaar stelt. Afhankelijk van het oogmerk van de portscan kan deze activiteit worden gezien als poging tot het plegen van een misdrijf.

Geen strafbepaling over portscans

Een portscan wordt gebruikt om te onderzoeken welke mogelijke onbeveiligde poorten er op een geautomatiseerd systeem zijn. Er wordt bij een portscan geen enkele verdere actie ondernomen. Er is aldus niet direct sprake van het binnendringen in een geautomatiseerd werk (art. 138ab WvSr), gegevensaantasting (art. 350a en b WvSr), het veroorzaken van een stoornis in de werking van een geautomatiseerd werk (art. 161sexies WvSr) of het aftappen en opnemen van gegevens (art. 139c en d WvSr). Portscannen is dus geen zelfstandig misdrijf.

Begin van uitvoering

Artikel 45, lid 1 Wetboek van Strafrecht luidt: 'Poging tot misdrijf is strafbaar wanneer het voornemen van de dader zich door een begin van uitvoering heeft geopenbaard'. Uit de wet zelf valt dus niet op te maken wat precies onder poging moet worden verstaan. In art. 45 WvSr wordt in feite volstaan met het noemen van een tweetal voorwaarden voor strafbaarheid van de poging, te weten dat er een voornemen van de dader moet zijn, hetwelk moet blijken uit een begin van uitvoering. Openbaren moet hier worden geduid als 'doen kennen' of 'uiten'. Het ziet op een naar buiten gerichte gedraging die opgemerkt kan worden: 'openbaren' in tegenstelling tot 'geheel in het verborgene'.

Vrijwillige terugtred

Vervolgens wordt in art. 46b WvSr de poging alsnog straffeloos verklaard als die uitvoering waarmee een begin is gemaakt niet tot voltooiing van het misdrijf heeft geleid tengevolge van omstandigheden die van de wil van de dader zelf afhankelijk zijn: vrijwillige terugtred. Als de eenmaal begonnen uitvoering echter wordt gestuit door omstandigheden die uitsluitend buiten de eigen invloedssfeer van de dader zijn gelegen dan is de poging dus wél strafbaar.

Voltooide en onvoltooide poging

Binnen de wettelijke voorwaarden voor de strafbare poging kunnen zich zeer uiteenlopende situaties voordoen. Aan de ene kant zijn er de situaties waarin de dader niet tot voltooiing van het voorgenomen misdrijf is gekomen, terwijl er van zijn kant wel al het mogelijke is gedaan om die voltooiing te bereiken: in deze situaties wordt gesproken van een 'voltooid' poging. Dit doet zich bijvoorbeeld voor als het slachtoffer extra sterk blijkt te zijn en de dader er een onmogelijke kluif aan heeft de betrokkene te beroven. Aan de andere kant doen zich situaties voor waarin al in een vroeg stadium van de uitvoering van het misdrijf een verhindering optreedt om dit te voltooien. In dat geval spreekt men van 'onvoltooide poging.' Hierbij kan men denken aan een oplettende buurman die een stel inbrekers betrapt die nog maar net begonnen zijn met de inbraak en daarom wegvluchten.

Voorgenomen misdrijf

Er zijn twee belangrijke restricties aan de (mate van) strafbaarheid van de poging gesteld die beide zijn te herleiden tot het feit dat een niet voltooid delict als minder ernstig feit geldt dan een voltooid delict. In de eerste plaats is poging uitsluitend strafbaar als het om een voorgenomen misdrijf staat. Poging tot overtreding is niet strafbaar daar overtreding op zichzelf al een geringere graad van onrecht betreft zodat strafbaarstellen overtrokken zou zijn. In de tweede plaats kent art. 45 WvSr voor het geval van poging een verlaging van het op het desbetreffende misdrijf toepasselijke strafmaximum met een derde. Hieruit valt echter allerminst te concluderen dat poging een strafverlagende omstandigheid zou zijn. Integendeel, poging tot misdrijf betekent een uitbreiding van strafbaarheid omdat zonder de regeling van de poging er helemaal geen sprake van een strafbaar feit zou zijn.

De portscan als poging

Portscannen kan soms aangemerkt worden als strafbare voorbereidingshandeling, als poging tot het plegen van een misdrijf. Het zal echter van de omstandigheden van het geval afhangen of de portscan wordt gebruikt voor het plegen van een ander strafbaar feit (bijvoorbeeld hacken). Het zal echter bijzonder lastig zijn om de opzet van de verdachte aan te tonen (het vereiste voornemen van de verdachte om het systeem binnen te dringen of andere strafbare handelingen te verrichten).

Oogmerk om te hacken

Het oogmerk is een belangrijk onderscheidend criterium om te bepalen of er sprake is van een strafbare voorbereidingshandeling. Het oogmerk om te hacken houdt bijvoorbeeld in dat iemand ook het doel heeft om het strafbare feit te plegen. Het beroepsmatig gebruikmaken van technische hulpmiddelen, door bijvoorbeeld informatiebeveiligers of systeembeheerders, die ook voor het plegen van een strafbaar feit (kunnen) worden ingezet, betekent niet direct dat er sprake is van een strafbare voorbereidingshandeling. In dit geval zal er namelijk geen sprake zijn van het oogmerk om een strafbaar feit te plegen.

Sneaky scans als bewijs van oogmerk

Waaruit is het voornemen van een hacker bij een port scan af te leiden als van voornemen slechts wordt gesproken met betrekking tot situaties die niet tot een voltooid misdrijf hebben geleid? Het bewuste willen en weten van een hacker bij een port scan kan mijns inziens worden onderkend door een aantal opties die aan Nmap kunnen worden meegegeven en in een router, een firewall of een Intrusion Detection System (IDS) gelogd kunnen worden. Het detecteren van dergelijke scantypes kan naar mijn mening een zeer sterke indicatie zijn dat het voornemen van de hacker erop gericht is om opzettelijk en wederrechtelijk een geautomatiseerd systeem binnen te dringen.

Nmap biedt de mogelijkheid om de frequentie van scans in te stellen, bijvoorbeeld op een moment dat er weinig of geen systeem beheerders aanwezig zijn of dat de port scan wordt uitgevoerd met voldoende tijd tussen de verschillende scans om geen argwaan te wekken. Daarnaast biedt Nmap de mogelijkheid om 'sneaky' scans uit te voeren. Dit zijn scans die niet of slecht opgemerkt kunnen worden door firewalls of Intrusion Detection Systems (IDS's). Een hacker kan tevens een port scan met Nmap uitvoeren met verschillende decoys of een gespoofed IP-adres, waardoor de scan van een ander IP-adres afkomstig lijkt te zijn dan van het werkelijke IP-adres van de hacker of de te verzenden packets fragmenteren waardoor het wederom moeilijker wordt voor een firewall of IDS een port scan op te merken.

Tenslotte, en dat is wellicht de meest zichtbare aanwijzing dat een hacker doelbewust op zoek is naar kwetsbare doelsystemen of netwerken, kan een hacker Nmap de optie meegeven specifiek te scannen op bepaalde poorten met bekende services waarvan bekend is dat er beveiligingslekken zijn ontdekt ten aanzien van die services.

Het voornemen van de portscan

Van voornemen wordt echter slechts gesproken in geval van situaties die niet tot een voltooid misdrijf hebben geleid, zodat het veel moeilijker is om het bewuste willen en weten te reconstrueren. In het geval van een poging tot inbraak in een geautomatiseerd systeem kan men zich de vraag stellen of de hacker met deze port scan het voornemen had om een geslaagde poging tot inbraak in een geautomatiseerd systeem te plegen.

Aantonen van het voornemen

Het aantonen van dit voornemen, en dus het aantonen van de opzet op alle bestanddelen in de delictsomschrijving van art. 138ab, lid 1 WvSr, blijft problematisch omdat het gronddelict niet voltooid is. Indien men uitgaat van een normatief opzet-begrip zoals door de Hoge Raad gehanteerd in het Inrijden op agent-arrest (HR 6 februari 1951, NJ 1951, 475) dan kan een en ander een anticipatie op een bepaald te verwachten causaal verloop betekenen op basis van een normatieve interpretatie van een bepaald specifiek type port scan door de hacker: gezien de omstandigheden worden, naar de ervaring leert, door een specifiek type port scan de kwetsbare plekken in een geautomatiseerd systeem onthuld en kan mijns inziens aan de handeling qua teneur tevens de intentionaliteit ten aanzien van het opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd systeem worden gezien.

Criteria voor aantonen van voornemen

Port scans kunnen echter pas uitgevoerd worden als de hacker ervoor zorgt dat hij de beschikking verkrijgt over een port scanner om te kunnen scannen naar online systemen en vervolgens ook een directe verbinding maakt met het doelsysteem door een port scan uit te voeren op dit doelsysteem. Deze fase van voorbereidingshandelingen, die wel reeds een bepaald voornemen zouden kunnen verraden, maar daarnaast nog zo veel onzekerheid herbergen omtrent de daadwerkelijke intentie van een hacker dienen in het belang van de rechtszekerheid straffeloos te blijven. Indien echter de eerste port scan wordt gevolgd door de hieropvolgende fasen waarbij:

  1. Sneaky port scans met decoys door de hacker worden uitgevoerd op dit ontdekte doelsysteem waarvan hij inmiddels door de eerste scan weet welke poorten er luisteren naar inkomende verbindingen en hierbij door de hacker de optie meegegeven wordt om het OS te bepalen en bij de output van de port scan de optie meegegeven wordt om zo veel mogelijk informatie te verkrijgen om de versies van de services te bepalen en
  2. Daarna door de hacker de optie meegegeven wordt specifiek te scannen op d�e luisterende poorten waarvan hij inmiddels weet dat er services op draaien die een verouderde versie betreffen en waarvan bekend is geworden dat er beveiligingslekken ten aanzien van die versies zijn ontdekt en
  3. De port scan door de hacker wordt uitgevoerd op tijdstippen dat het risico op ontdekking zo klein mogelijk is, bijvoorbeeld 's-nachts als er weinig of geen systeembeheerders aanwezig zijn of de port scan over een lange tijd uitgevoerd wordt zodat de port scan geen argwaan wekt,

zijn deze naar mijn mening, gezien de uiterlijke verschijningsvorm waaruit de intentie van de hacker blijkt, zeker als uitvoeringshandelingen te kwalificeren.

Het criterium van de uiterlijke verschijningsvorm is in wezen gerelateerd aan de indruk die een goede waarnemer, die de gemiddelde burger geacht wordt te zijn, ter plaatse zou hebben gekregen omtrent de verwerkelijking van een bepaald misdrijf. De uiterlijke verschijningsvorm van een dergelijke port scan is echter dermate gecompliceerd dat een goede analyse alleen door systeembeheerders kan worden uitgevoerd en niet door een gemiddelde burger kan worden beoordeeld. De beoordeling van de feiten en het juridisch kwalificeren ervan vindt echter niet in het luchtledige plaats, maar geschiedt vanuit opvattingen die men heeft over het 'behoren'. In casu gaat het daarbij om opvattingen aangaande de vraag of bepaalde gedragingen straffeloos mogen blijven. Die vraag kan natuurlijk slechts aan de orde komen voor zover wettelijke bepalingen ruimte laten voor dergelijke normatieve oordelen. De bepalingen met betrekking tot de poging laten een dergelijke ruimte.

Gerelateerde artikelen

Gespecialiseerd advies nodig?

Heeft u na het lezen van dit artikel nog vragen, of zit u met een juridisch probleem waar u advies over wilt? Neem dan contact op met ICT-jurist Arnoud Engelfriet, auteur van dit artikel.

© Arnoud Engelfriet. Dit werk mag vrij worden verspreid en gepubliceerd zoals bepaald in de licentievoorwaarden.

Laatste wijziging:
16 december 2016