Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 43 reacties, 20.716 views •

De Franse Hadopi-organisatie heeft zijn band met TMG tijdelijk verbroken na een hack bij dat bedrijf. TMG brengt als enige het filesharinggebruik in Frankrijk in kaart voor de handhaving van de beruchte three-strikes-wet door de Franse overheid.

In het afgelopen weekend vond bij Trident Media Guard een hack plaats. Dit bedrijf verzamelt p2p-data voor de Hadopi-organisatie van de Franse overheid. De data wordt gebruikt bij de handhaving van de beruchte three-strikeswet, waarbij filesharers na drie keer betrapt te zijn met illegale bestandsuitwisseling, kunnen worden afgesloten van het internet.

De Franse beveiligingsonderzoeker Olivier Laurelli, ook bekend onder de naam Bluettouff, wist naar eigen zeggen op eenvoudige wijze veel data van een server van TMG te onttrekken. "Een virtuele machine lekte veel informatie zoals scripts, p2p-clients om nep-peers op te zetten, lokale fysieke adressen in het datacenter en zelfs een wachtwoord dat tot een groot beveiligingslek kan leiden." Volgens Laurelli was de beveiliging zo slecht dat de server wel een honeypot leek, bericht Torrentfreak.

TMG bleek niet alleen eigen gegevens te laten uitlekken, maar ook ip-adressen van filesharers die het in de gaten hield, claimde de Franse site Numerama. De secretaris-generaal van de Hadopi-organisatie, Eric Walter, liet daarop op Twitter weten als voorzorgsmaatregel de interconnectie met TMG op te schorten. Feitelijk betekent dit dat er geen ip-adressen van vermeende filesharers meer doorgestuurd worden naar Hadopi, zodat het three-strikesbeleid tijdelijk niet gehandhaafd kan worden.

TMG bagatelliseert de omvang van de hack tegenover ITEspresso. "De gegevens komen van een server van het bedrijf, die voor onderzoek en testdoeleinden gebruikt wordt",  zegt Alain Guislain, ceo en oprichter van TMG. De infrastructuur voor de dagelijkse werkzaamheden is volgens hem niet getroffen en de hack zou ook niet van toepassing zijn op het platform dat gebruikt wordt om, voor auteursrechthebbenden, inbreuken op p2p-netwerken onder de Hadopi-wet te verzamelen.

Reacties (43)

Zo simpel kan het niet zijn ?

Dus men hoeft gewoon toeleveranciers te saboteren/frustreren en je kunt een wet ondermijnen ?
Wil jij wetgeving handhaven op basis van data die mogelijk niet meer betrouwbaar is?
In wetgeving staan geen details.

Als handhaving alleen op basis van IP adres mogelijk is, kun je nooit individuen vervolgen.

Tenzij het geen wetgeving is maar een Notice-and-take-down verdrag/regeling is van hogerhand opgelegd. Die gericht is op afsluiten van verbinding.

In dat geval doet het er niet toe of data wel of niet betrouwbaar is.
Klinkt misschien vreemd, maar meeste notice-and-take-down hebben geen enkele juridische grondslag of zou een dergelijke toetsing doorstaan. Dus draaien ze het verhaal om, eerst afsluiten en de gedupeerde laten aantonen dat hij niets fouts heeft gedaan.
Dat doet dan niets af aan de verwachting dat men 'goede' data verwacht.
Goed kan het alleen zijn indien een rechter (in een rechtstaat tenminste) de verdachte veroordeeld op basis van die gegevens.

Maar nogmaals het is onduidelijk of het een wet is of een richtlijn.

[Reactie gewijzigd door totaalgeenhard op 17 mei 2011 12:22]

Goed kan het alleen zijn indien een rechter (in een rechtstaat tenminste) de verdachte veroordeeld op basis van die gegevens.

Maar nogmaals het is onduidelijk of het een wet is of een richtlijn.
of wanneer bijde partijen het als schikking overeen komen,

een voorbeeld is verkeers boetes... je schikt vaak voor een boete bedrag omdat je anders voor de rechter wordt gedaagd en indien bewezen - het risico loopt om meer te moeten betalen... (waaronder gerechtskosten)
Als handhaving alleen op basis van IP adres mogelijk is, kun je nooit individuen vervolgen.
Dat probleem hebben ze opgelost door individuen niet te vervolgen, maar af te sluiten van internet...
Handhaving op basis van een IP-adres is volgens mij al niet meer mogelijk omdat een rechter bepaald heeft dat een IP adres geen natuurlijk persoon is.

Daarbij zou een IP adres drie keer betrapt kunnen worden op het downloaden van illegaal materiaal maar zou het ook drie keer een andere persoon kunnen zijn, het handhaven van de wet op deze wijze is dus per definitie fout ....... een andere wijze zou ik me zo snel niet in kunnen denk !
In de VS heeft een rechter dat besloten terwijl een week later al een nieuwe zaak gestart werd die dit feit straal negeert.
Ik wist van het feit zich heeft voortgedaan in de VS, zover ik weet is een dergelijke uitspraak ook goed mogelijk in Nederland, tenminste voor zover ik de artikelen heb bekeken.

Van die nieuwe zaak wist echter nog niks af....
Het mooiste zou zijn de data te vervuilen met ip-adressen van franse politici. Als het internet van deze mensen hierna wordt afgesloten heb je de poppetjes aan het dansen.

Tevens het beste bewijs dat de data niet betrouwbaar is.
@totaalgeenhard.
Tuurlijk wel, als je een flitskastje kapot maakt, dan worden er ook geen mensen meer geflitst die te hard rijden.

De uitvoering van de wet frustreren is denk ik een hele goede beschrijving.

[Reactie gewijzigd door joppe.s op 17 mei 2011 11:33]

Die flitspaal staat op 1 plek en heeft alleen op die plek impact, dus de handhaving van de wet blijft gewoon doorlopen. Dit is toch van andere orde, door een hack bij 1 partij schorten ze handhaving enige tijd op.

Dat is gewoon een uitnodiging tot sabotage/frustreren. (online ben je minder benzine en autobanden kwijt = voordeliger)
Ach, het is toch een wet die zijn oorsprong in corruptie heeft dus echt rouwig dat de incompententie van een van de uitvoerders nu tot tijdelijk opschorting leid ben ik niet.
Is daarnaast uberhaupt al bewezen dat die wet leidt tot minder illegaal downloaden... en nog belangrijker tot meer legale aankopen??

Volgensmij krijg je hierdoor weer meer verhandelen van software op straat en schoolpleinen. en mensen die servers in het buitenland laten downloaden en deze vervolgens encrypted via een normale download naar hun eigen computer sluizen.

Dit ga je toch niet tegen... je kan beter een manier bedenken om mensen juist op een postieve manier aan te sporen legale content te kopen... door bijvoorbeeld geen 24 euro voor een cd te vragen maar 5 euro. Ik ben best bereid te betalen voor muziek en films... ik ga echter geen 40 euro betalen voor een blueray film die ik 1 keer kijk en vervolgens in de kast gooi om nooit meer bekeken te worden.

Het systeem wat er nu is slaat ook nergens op.
In dit geval is er niet eens sprake van sabotage. Simpelweg aantonen dat een server van TMG nogal slecht beveiligd is, is voldoende om de uitvoering tijdelijk stop te leggen.

Eigenlijk vind ik dit toch wel een goede reactie van HADOPI. Als er twijfel is over de kwaliteit van je aangeleverde data, kun je die data niet meer gebruiken om mensen te veroordelen. Het is nu dus aan TMG om het vertrouwen te herstellen en te zorgen dat dit soort issues niet meer kunnen voorkomen. Maar goed dus dat Hadopi haar verantwoordelijkheid neemt en het vervolgen tijdelijk stil legt totdat de problemen in kaart zijn gebracht. Dat zouden meer (semi-) overheidsinstellingen moeten doen.
ze zullen eigenlijk wel moeten, - die three strike regeling ligt voortdurend onder vuur een foutje dat als 'kwaadwillend' kan worden uitgelegt en ze zijn de klost bij het euopese hof...
Er is helemaal geen wet gefrustreerd....er is aangetoont dat de gegevens die worden verzameld niet veilig zijn. Om jouw voorbeeld van het kapot maken van het flitskastje kloppend te maken: Deze man heeft aangetoont dat het flitskastje gegevens lekt en dat de gegevens te makkelijk toegankelijk zijn waardoor je niet meer kunt garanderen dat de foto's juist zijn. Als iedereen foto's kan toevoegen en manipuleren dan houdt de foto geen stand in een rechtszaak.

Met andere woorden: door de slechte beveiliging en opzet frustreert dit bedrijf zichzelf, daar heeft het geen anderen bij nodig gehad. De onderzoeker die heeft aangetoond dat de manier van gegevens verzamelen en bewaren niet veilig genoeg gebeurt kun je niet verwijten dat hij de boel frustreert.
Er is wel iemand nodig. We weten allemaal dat er mensen zijn die hacken en zeggen dit te doen voor andere veiligheid. Ik geloof daar niet in want wie is daar gespecialeseerd in, precies de gene die zegt dit te doen om de veiligheid te controleren. Oké nu weten we dat er gehackt kan worden want hackers bestaan nu eenmaal. Dus het voordeel is dat we nu weten dat er gehackt kan worden. Maar voor wie? Niet voor de consument. Goed en slecht bestaat niet alleen een netwerk van bekrachten en gevolg.
Hacken is een term waarmee 'omzeilen' van een beveiliging wordt bedoeld. Dit kan op tal van verschillende manieren. Het veranderen van een id in een url kun je theoretisch al zien als hacken.

Vrijwel alle westerse landen kennen een democratie. Bij een democratie geven de burgers een select gezelschap extra rechten om zaken voor hun te regelen. Om het doorvoeren van wetten te vereenvoudigen kennen de meeste daarom een dubbel stelsel in de vorm van een kabinet en de resterende kamerleden. Deze kamerleden hebben als taak het kabinet te controleren.

Echter kan een burger een regering altijd ter verantwoording roepen als deze van mening is dat deze haar taak niet uitvoert. Democratie betekend niet automatisch maar alles doen wat het volk wilt, hoewel het tegenwoordig daar wel vaak op lijkt.

In het geval deze wet, zet de wetgever elektronische middelen in om overtredingen in kaart te brengen. Net zoals dat flitskasten netjes geijkt dienen te zijn, dienen alle verzamel methodes ondubbelzinnig te zijn, met andere woorden er mag geen twijfel zijn of hetgeen dat geconstateerd is correct is. Daarom worden bekeuringen ook verscheurd als blijkt dat een flitspaal niet op tijd opnieuw geijkt is. De kans de opwijkingen is erg klein, maar niet uit te sluiten.

In Frankrijk kun je wel verantwoord worden op basis van je IP. Als je je auto uitleent en iemand anders daarmee wordt geflitst ben jij in eerste instantie verantwoordelijk. En in frankrijk ben jij verplicht je computer en netwerk zodanig te beveiligen dan andere daar geen gebruik van kunnen maken. Vrijwel alle WiFi Access Points hebben de mogelijkheid om clients te filteren op basis van het MAC-address. Echter hebben de meeste hun beveiling beperkt tot WPA2. Een methode welke binnen enkele minuten is te kraken en dus als enigste maatregel dus niet als afdoende gezien kan worden.

Omdat deze hacker heeft aangetoond dat het blijkbaar eenvoudig om de 'bots' van TMG te misleiden, staat niet meer ondubbelzinnig vast dat de verzamelde IP's ook daadwerkelijk correct zijn. Ook in het geval van Hadopi wetgeving moet TMG de schuld kunnen aantonen als jij besluit om naar de rechter te gaan. Als jij dan middels de logs van je provider kunt aantonen dat jij niet online was op dat moment heeft dat zeer ver strekkende gevolgen. Om te voorkomen dat de Hadopi wet ongeldig wordt verklaard, kunnen beter de uitvoering van de wet opschorten dan als ineens blijkt dat er onterecht is afgesloten is.

Persoonlijk denk ik dat ze deze rust periode ook gebruiken om te kijken om er personen welke hun afsluiting gaan betwisten. En mogelijk vinden ze een moment van zelf-reflectie helemaal niet zo erg.. We doen allemaal dingen waarvan we achteraf zeggen dat het op een andere methode efficienter, beter of gemakkelijker was geweest..
Echter hebben de meeste hun beveiling beperkt tot WPA2. Een methode welke binnen enkele minuten is te kraken en dus als enigste maatregel dus niet als afdoende gezien kan worden.
Ik neem aan dat je WEP en WPA1 bedoelt, want WPA2 is normaal gesproken afdoende als beveiliging met een sterke passphrase.

Wat MAC filtering betreft, zodra de encryptie is doorgebroken, is het zeer gemakkelijk om de MAC adressen te bekijken van de bestaande apperatuur en daarna via MAC cloning alsnog het netwerk binnen te dringen. Je moet dan alleen een sterker signaal creeëren naar de router/AP toe, maar dat is vaak simpel te doen en soms volstaat de pringle-can methode al. Het gaat er tevens niet altijd om; om gebruik te maken van het netwerk, maar om mee te luisteren met de datastroom die gaande is.
privacy? waar dan? de overheid zal ons het goede voorbeeld laten zien over hoe we internet moeten gebruiken, dit blijkt maar weer.
Ain't technology wonderful :-).
Even inbreken en 127.0.0.1 op de lijst zetten }>
of 8.8.8.8 :p

[Reactie gewijzigd door Dirkxke op 17 mei 2011 11:54]

tijd voor een VPN verbinding naar een provider/server in een land waar ze niet zo moeilijk doen... niks deeppocket, verzamelen van gegevens... gewoon een klein 128bit encryptie muurtje
Ff in IJsland kijken...
Ik hoop dat je een satirische grap maakt.
Mja dan ben je ook illegaal bezig in Frankrijk. Ze hebben daar belachelijke wetten ivm encryptie :O

http://www.tc-forum.org/topicus/ru10tech.htm
En wij zouden onze database met alle vingerafdrukken in Frankrijk onderbrengen? Ben blij dat dat van de baan is!

Het is wel het standaard riedeltje dat er geroepen wordt:
"De gegevens komen van een server van het bedrijf, die voor onderzoek en testdoeleinden gebruikt wordt", zegt Alain Guislain, ceo en oprichter van TMG.
Ieder geval beter voor de Fransen dat ze even de vrijheid hebben! Hopelijk krijgen we in Nederland nooit een Three Strikesbeleid.
Mja dan ben je ook illegaal bezig in Frankrijk. Ze hebben daar belachelijke wetten ivm encryptie :O

http://www.tc-forum.org/topicus/ru10tech.htm
Dat is geschreven in 1998. Een jaar later heeft Frankrijk veel van de restricties laten vallen (bron: Frequently Asked Questions about Today’s Cryptography van RSA Laboratories). In 2000 zat Frankrijk qua encryptie en wetgeving op hetzelfde niveau als Nederland, België en Luxemburg.

[Reactie gewijzigd door The Zep Man op 17 mei 2011 13:40]

Ik hoop toch dat tmg niet alleen eigen bekende servers gebruikt (of dat hoop ik wel eigenlijk :p). Dan is ipfilter.dat wsl voldoende om er geen last van te hebben.
Tja, en dit is dus het probleem in zijn algemeenheid met handhaving met behulp van centrale gegevensverzamelingen. Dit is dan weliswaar relatief onschuldig, maar wat als er zoiets gebeurt met een centrale vingerafdrukken- of DNA-database? Berg je dan maar, identiteitsfraude aan de orde van de dag en je kunt er niets aan doen, je kunt onschuldige burgers die daar slachtoffer van worden niet even voorzien van nieuwe vingerafdrukken of nieuw DNA. Er hoeft maar één keer iets kleins mis te gaan en je creëert luilekkerland voor criminelen.
Een dergelijke database is heel wat anders als een server die actief bezig is met uitgaande verbindingen.

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBWebsites en communities

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True