Have you ever seen that lame security?

[el-half]

I recently came on a site with this as a result of a portscan:
TCP: 63.xxx.xx.xx[21-ftp]
TCP: 63.xxx.xx.xx[22-ssh]
TCP: 63.xxx.xx.xx[23-telnet]
TCP: 63.xxx.xx.xx[25-smtp]
TCP: 63.xxx.xx.xx[80-www-http]
TCP: 63.xxx.xx.xx[111-sunrpc]
TCP: 63.xxx.xx.xx[113-auth]
TCP: 63.xxx.xx.xx[587-submission]
TCP: 63.xxx.xx.xx[725]
TCP: 63.xxx.xx.xx[873-rsync]
TCP: 63.xxx.xx.xx[1114-mini-sql]
TCP: 63.xxx.xx.xx[2049-nfs]
TCP: 63.xxx.xx.xx[3306-mysql]
TCP: 63.xxx.xx.xx[6711-backdoor]
also the serverstatus of the server (apache) was accessible.
I'm sure it's easy to hack it but I didn't try.
I mailed the webmaster about the problems and the director of the company(wow, they took it very serious) replied. I don't understand that a server can be that open, it' s just not human any more. I'm not posting the adress of the site so some malicious kiddie can't deface the site or something

[MrLinus]

**Poster has been pm'd to remove/hide IPs**

[VictorKaum]

el-half while so many open ports are probably a risk, some comments:

first, it's in Belgium forbidden (telecommunications and electricity law) to scan servers. They can argue your attempts are causing losses to the company, if they are, they can sue you. I don't think many firms will do this, specialy since you helped them out. Only a remark, it's not allowed in Belgium and is mostly in the AUP of your ISP.

second, all those open ports doesn't necesarily mean you can walk right in... it's possible that they are running very good deamons on all those ports. I doubt it, but it's possible.

Anyway good idea to email and notify them.

[el-half]

I don't know anything about laws concerning computers in Belgium do you know a link to a site that contains information about what is allowed and what not? Belgian laws seem to be very strict

[VictorKaum]

hmmm... I will have a look for you. I know back in the eighties people got convicted for 'steeling electricity' cause there was no other law. I think they use this precedent now for scans. Their logic: you are steeling server electricity (resources = money) from a company.

You can read it all in:
VAN EECKE, P., DUMORTIER, J., (2003) "De implementatie van het Europese verdrag cybercriminaliteit in de Belgische Wetgeving", Computerrecht, 2003, 2, p. 123-133. Uitg. Kluwer BV, Deventer.

For Belgium the BIPT is responsible for ICT security, the law from 28 november 2000 decides about ICT security issues.

Sorry people this is law language so I'm not going to translate to English, I will provide it in Dutch and French like in the Belgian Law.

Voor België staat het BIPT in voor de telecommunicatie, netwerk en computerbeveiling
Wat de wetgeving betreft, moet de wet van 28 november 2000 inzake informaticacriminaliteit worden vermeld (Belgisch Staatsblad van 03/02/2001).

Voor jouw is in het bijzonder artikel 3 van toepassing;
§ 3. Poging tot het plegen van het misdrijf, bedoeld in § 1, wordt
gestraft met gevangenisstraf van zes maanden tot drie jaar en met
geldboete van zesentwintig frank tot vijftigduizend frank of met een
van die straffen alleen.
§ 3. La tentative de commettre l’infraction vise´eau §1 er et est punie
d’un emprisonnement de six mois a` trois ans et d’une amende de
vingt-six francs a` cinquante mille francs ou d’une de ces peines
seulement.


Dit wil eigenlijk zeggen dat poging tot een deface van een website je tot maximum 3 jaar cel kan kosten.

Verder van toepassing op jouw scan:

Art. 550bis. § 1. Hij die, terwijl hij weet dat hij daar toe niet gerechtigd
is, zich toegang verschaft tot een informaticasysteem of zich daarin
handhaaft, wordt gestraft met gevangenisstraf van drie maanden tot
een jaar en met geldboete van zesentwintig frank tot vijfentwintig
duizend frank of met een van die straffen alleen.
Wanneer het misdrijf, bedoeld in het eerste lid, gepleegd wordt met
bedrieglijk opzet, bedraagt de gevangenisstraf zes maanden tot twee jaar.
a` un syste`me informatique ou s’y maintient, est puni d’un emprison-nement
de trois mois a` un an et d’une amende de vingt-six francs a`
vingt-cinq mille francs ou d’une de ces peines seulement.
Si l’infraction vise´e a` l’aline ´a 1 er , est commise avec une intention
frauduleuse, la peine d’emprisonnement est de six mois a` deux ans.


So in general, yes Belgium laws are very strict. If you interpret them to the letter, a simple scan can cost you from 1 Euro to 1250 Euro and between 6 months and 3 year in prison. But I think they will not see a scan as an attempt (like mentioned in article 3 or a security breach like mentioned in 550bis, so you will probably don't come in trouble). A log in or an actual deface is something else... better have permission or hide very well, lol.

Damm this is freaky I better read it better myself... even the use of someone elses proxy could be heavily punished:

Art 6.
§ 3. Hij die zich in een van de gevallen bedoeld in de §§ 1 en 2 bevindt
en :
1° hetzij de gegevens die worden opgeslagen, verwerkt of overge-dragen
door middel van het informaticasysteem op enige manier
overneemt;
§ 3. Celui qui se trouve dans une des situations vise´es aux §§ 1 er et 2
et qui :
1° soit reprend, de quelque manie`re que ce soit, les donne´es stocke´es,
traite ´es ou transmises par le syste`me informatique;

2° hetzij enig gebruik maakt van een informaticasysteem van een
derde of zich bedient van het informaticasysteem om toegang te
verkrijgen tot een informaticasysteem van een derde;
2° soit fait un usage quelconque d’un syste`me informatique appar-tenant
a` un tiers ou se sert du syste`me informatique pour acce´der au
syste`me informatique d’un tiers;

3° hetzij enige schade, zelfs onopzettelijk, veroorzaakt aan het
informaticasysteem of aan de gegevens die door middel van het
informaticasysteem worden opgeslagen, verwerkt of overgedragen of
aan een informaticasysteem van een derde of aan de gegevens die door
middel van het laatstgenoemde informaticasysteem worden opgesla-gen,
verwerkt of overgedragen;
wordt gestraft met gevangenisstraf van een jaar tot drie jaar en met
geldboete van zesentwintig frank tot vijftigduizend frank of met een
van die straffen alleen.
3° soit cause un dommage quelconque, meˆme non intentionnelle-ment,
au syste`me informatique ou aux donne´es qui sont stocke´es
traite ´es ou transmises par ce syste`me ou au syste`me informatique d’un
tiers ou aux donne´es qui sont stocke´es, traite ´es ou transmises par ce
syste`me;
est puni d’un emprisonnement de un a` trois ans et d’une amende de
vingt-six francs belges a` cinquante mille francs ou d’une de ces peines
seulement.

[el-half]

Wow, I didn't know that you could get sued just for trying to hack, I always thought you only got sued when you actually did something. 3 years in jail just for trying to deface isn't that a bit too strict? Whatever, maybe this will stop belgian people from cracking computers.

[VictorKaum]

For all Belgian people like el-half wondering what the laws on ICT and security are, I have attached the law from 28 nov 2000 in pdf. You can get it from the ministry of economy, departement information systems too.