Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 197, views: 21.870 •

Het Europees Parlement wil het verspreiden van software die is bedoeld om te hacken verbieden. Een richtlijn daarvoor moet later dit jaar worden aangenomen. Op het plegen van cyberaanvallen moet jaren gevangenisstraf komen te staan.

Hoewel het bezit van de tools op zich niet verboden wordt, zal het gebruik of verspreiden van tools bedoeld voor hacken wel een strafbaar feit zijn, blijkt uit de tekst (Nederlandstalige versie) van het voorstel. Het gebruiken van dergelijke tools voor het testen van de beveiliging zal wel legaal blijven. Op het uitvoeren van hacks en cyberaanvallen komt een gevangenisstraf van twee jaar te staan als de gevolgen niet heel ernstig zijn, tot ten minste vijf jaar als deze als lid van een criminele organisatie uitgevoerd worden. Als de hack als een 'onbeduidend geval' te beschouwen is, geen schade veroorzaakt dus, moet geen straf opgelegd worden, waarmee onder andere ethische hackers beschermd worden. Het voorstel werd aangenomen met vijftig stemmen voor en een tegen.

In het voorstel staat ook dat bedrijven voortaan verplicht worden om privacygevoelige gegevens goed te beveiligen. Lidstaten van de Europese Unie moeten het mogelijk maken dat consumenten bedrijven aanklagen als zij slordig zijn omgesprongen met persoonlijke gegevens. Eerder werden al strengere privacyregels gepresenteerd. Die verordening is nog niet aangenomen.

Dat betekent niet dat het voorstel op deze wijze wordt aangenomen. Daarvoor moet eerst een deal worden gesloten met de raad van ministers. Het voorstel toont echter wel aan in welke richting het Europees Parlement denkt en de kans is groot dat de richtlijn binnen enkele jaren in deze of licht gewijzigde vorm kracht van wet krijgt. Als de richtlijn wordt aangenomen, krijgt politiek Den Haag over het algemeen enkele jaren om de details van de richtlijn in de Nederlandse wet te krijgen.

Reacties (197)

Reactiefilter:-11970190+1111+221+30
1 2 3 ... 7
Ze zijn gek. Hoe moet ik dan in godsnaam security en penetratie tests uitvoeren? Dat doe ik juist door te hacken, met de tools die ontwikkeld zijn om te hacken. Ik doe het alleen in opdracht van de eigenaar van dat systeem (en tegen een riante betaling).
Ik denk dat ze je niet gaan aan klagen als je iemands systeem gaat testen in opdracht van de eigenaar van het systeem.
Die nuancering lees ik nergens. Bovendien, hoe ga je aan die tools komen als het verspreiden ervan illegaal wordt (goed, die zijn dan natuurlijk nog steeds te vinden, maar even los daarvan)? Je kunt ze niet meer legaal verspreiden, want de verspreider kan niet controleren of de gebruiker ze goedaardig of kwaadaardig gebruikt.
Met een beetje gezond verstand kun je er wel van uit gaan dat er uitzonderingen vallen voor legaal whitehat hacken. Anders zijn we straks alleen nog maar slechter af.
Gezond verstand en eigen interpretatie zijn geen rechtsgeldige argumenten, helaas.
Gezond verstand en eigen interpretatie zijn geen rechtsgeldige argumenten, helaas.
Inderdaad... dit is weer typisch een voorbeeld is van alle messen verbieden omdat er door kwaadwillenden ook mensen mee neergestoken kunnen worden. Alle medicatie verbieden omdat sommige mensen er (zelf)moord mee plegen. Alle glassnijders en koevoeten verbieden omdat er ook mee ingebroken kan worden :/

Sowieso is dit symboolpolitiek, sterker nog: beargumenteerbaar contraproductieve schijnwetgeving van mensen die (zoals gebruikelijk helaas) niet weten waar het over gaat en die denken het ei van Columbus gevonden te hebben om daarmee wel ff de madness van de dag (Anonymous) te gaan fixen.

Wat zijn "hacktools"?? Als je de veiligheid van bijv. een website of web-facing server wil doortesten heb je tools nodig waarmee portscans en penetratietesten kunnen worden gedaan, waarmee SQL-injection kan wordt uitgetest etc. Dat zijn precies de tools die hackers dus ook gebruiken.
Ofwel: goedwillende beveiligers hebben dit soort toepassingen keihard nodig als ze ook maar een poging willen wagen om de kwaadwillende hackers voor te blijven. Deze zullen dus zowel gemaakt als gedistribueerd moeten blijven worden. Men gaat er gewoon aan voorbij dat "hacktools" en "security-test"-tools zo ongeveer hetzelfde ding zijn.

Hoe belachelijk dit soort wetgeving is toonde Geenstijl een tijdje terug (onbedoeld) nog aan met een stappenplan om via Google niet-publieke/geheime info van websites boven water te krijgen. klik. Tja, daarmee kan Google dus tot de "hacktools" gerekend worden, ofwel: verbieden dan maar EU? 8)7

De voorbeelden:
* Software voor het 'stelen' van wachtwoorden illegaal? Dit soort software kan volkomen legitiem zijn, niet alleen voor het testen van security, maar ook bijvoorbeeld in een situatie waarin (master)passwords vergeten zijn of zijn zoekgeraakt.
* Software voor het 'beheren van botnets'? Waarin verschilt dit met software voor het beheren van een multi-systeem netwerk, renderfarm, distributed computing, cloud-computing?
Of wordt het pas strafbaar als de ontwikkelaar zijn illegaal-bedoelde tools lekker 1337 "P4$$w0rdH4xx0r" en "B0tN3tC0ntr0llz00rrr" noemt ofzo? En voor alle gemak meteen even zijn NAW gegevens in een "About"-boxje zet voor justitie. Wel zo herkenbaar :Z

Plus wie gelooft er nou echt dat een serieuze hacker zich hierdoor laat afschrikken? Hoe realistisch is het dat die figuren achter Anonymous sinds vandaag angstig bibberend achter hun computertjes denken "oh jee, oh jee, nu gaan we het krijgen"? Om te beginnen raakt deze wetgeving niets wat buiten de EU staat. Een beetje hacker voert zijn aanvallen niet vanaf z'n eigen machine uit. Daarnaast snapt een beetje hacker ook wat encryptie en sand-boxing is, zowel van zijn verbinding als van zijn gegevens. Dus zelfs als ze zijn machine te pakken krijgen dan moet de hacker een behoorlijke nul zijn wil justitie zonder meer incriminerende tools op zijn machine vinden nadat deze wetgeving live is.
De enigen die hier echt door geraakt worden zijn degenen die dit soort toepassingen voor legitieme doeleinden nodig hebben & ontwikkelen. Want ook die worden met dit soort wetgeving gecriminaliseerd.

@mjtdevries:
Ik heb de tekst wel degelijk gelezen en het veranderd niets aan bovenstaand. Het komt neer op: je mag een mes wel gebruiken om kip te snijden ("for testing"), maar niemand mag het je verstrekken/verkopen (versprijding/distributie van "hacktools" wordt verboden). De hele nota gaat voorbij aan de legio legale en wenselijke doeleinden van wat de EU "hacktools" noemt, omdat er 'toevallig' ook onwenselijke dingen mee kunnen (net als met een mes, zaag, koevoet of hamer). En op die grote gapende wond van onbegrip plakt men dan die kleine artikel 10 pleister.
Let wel: Het illegale gebruik van "hacktools" - het (met kwade intentie) hacken van informatiesystemen zelf - is al lang bij wet verboden. Daar dient deze wetgeving dus niet voor, deze richt zich op de tools die (ook) voor kwaadwilend hacken gebruikt kunnen worden. En dat is dus een fundamentele fout.

Zie ook de tekst: [...] does not intend to impose criminal liability where the offences are committed without criminal intent, such as for testing [...]
Met andere woorden: gebruik wordt in deze nota als een "offence" gezien, die wordt voorbijgekeken als het "testen" betreft. Dat is hetzelfde als het gebruik van een mes als "offence" zien, welke wordt voorbijgezien als dat gebruik toevallig kip snijden betreft. De (IT) wereld is niet zo specifiek en zeker niet zo zwart/wit.

Het is gewoon, zoals ik al schreef: contraproductieve symboolwetgeving die niets zal uitrichten behalve de branche verder beschadigen door allerlij onzekerheden rond legaliteit van gebruik/distributie van dit soort tools te creeeren. Duidelijk geschreven door nitwits die IT gewoonweg niet snappen.

[edit2 @mjtdevries]
Je gaat totaal niet in op mijn argumenten en mist duidelijk het hele punt van mijn betoog:
Het is net zo onzinnig om zich te richten op het verbieden van maken/verspreiden van "hacktools" als het is om zich te richten op het verbieden van het maken/verspreiden van messen en koevoeten (immers: rovers/dieven gebruiken die om je te beroven en in je huis in te breken nietwaar, net zoals kwaarwillende hackers "hacktools" gebruiken om op jouw computernetwerk in te breken). Of om de "kwaadaardige ontwikkelaars" (wat een terminologie) van "hacktools" (of: messen en koevoeten) te willen aanpakken.

Let wel: Het illegaal gebruik van zowel "hacktools" als messen en koevoeten is al lang bij wet verboden. Daarnaast is er ook al wetgeving rond criminele organisaties, en het met crimineel oogpunt verstrekken van 'tools' (messen, koevoeten, "hacktools") met het oog op begaan van misdaden. Dat is ook exact hoe het moet blijven. Een ontwikkelaar waarvan banden met bijv. Anonymous worden aangetoont, en waarvan wordt bewezen dat hij welbewust hacktools aan leden van Anonymous verstrekt heeft zal ook onder huidige wetgeving veroordeeld worden.
Echter: De doelstelling van de EU om nu het maken en verspreiden van "hacktools" (definieer dat om te beginnen maar eens sluitend) aan banden te leggen is - hoewel het voor de leek/nitwit fantastisch klinkt - gewoonweg nonsense en tevens contraproductief.

Jammer dat je jouw duidelijk onbegrip over bovengenoemd koppig blijft verwarren met dat ik dat stukje pleister van een artikel 10 zogenaamd niet gelezen zou hebben.

[Reactie gewijzigd door Cheetah op 30 maart 2012 07:36]

En in de haast om als eersten hier bovenaan lekker te gaan blaten heeft natuurlijk niemand de moeite genomen om de tekst waarnaar gelinked word in het artikel eens te gaan lezen.

Want uiteraard hebben ze in het parlement wel rekening gehouden met legale tools om beveiligingen te testen etc.
Zoals blijkt uit de volgende tekst:
(10) This Directive does not intend to
impose criminal liability where the
offences are committed without criminal
intent, such as for testing in accordance
with law or protection of information
systems, or where the withholding of an
authorisation for access to a system
constitutes an abuse of rights by itself.
En zo zitten er nog de nodige teksten in.

[edit: @cheetah]
Het is gewoon, zoals ik al schreef: contraproductieve symboolwetgeving die niets zal uitrichten behalve de branche verder beschadigen door allerlij onzekerheden rond legaliteit van gebruik/distributie van dit soort tools te creeeren. Duidelijk geschreven door nitwits die IT gewoonweg niet snappen.
Je probeert nu net te doen alsof je het wel had gelezen, maar je claim is gewoon duidelijk niet waar. Het parlement geeft gewoon duidelijk aan dat er niks mis is met het maken en gebruiken van dit soort tools voor legale doeleinden. Jouw bewering dat het allerlei onzekerheden geeft rond het gebruik/distributie van dit soort tools is daarmee dan ook grote flauwekul.
Duidelijk geschreven door een nitwit die vol emotie pas achteraf gelezen heeft wat er eigenlijk door het parlement gezegd is.

Het is overduidelijk wat het parlement wil. Niet alleen de criminelen pakken die op heterdaad betrapt worden bij het hacken, maar ook de kwaadaardige ontwikkelaars pakken die bv de tools voor zombienetwerken etc maken. Dat laatste is op dit moment vrijwel niet mogelijk.
En tegelijkertijd zorgen ze er voor dat er ook artikelen in zitten zodat goedaardige gebruik van "hack" tools nog als vanouds mogelijk blijft.

Als jij een betere tekst weet om beide doelen te bereiken, stuur die dan eventjes naar ze op.

[edit: edit @ cheetah]
Het is gigantisch irritant als je steeds je eigen post zit te editen ipv gewoon een nieuwe reactie te schrijven. Daarmee is het onmogelijk om een discussie chronologisch door te lezen en word de hele discussie onduidelijk. Ik ben nu helaas gedwongen om ook te editen, maar het is echt heel irritant.

[Reactie gewijzigd door mjtdevries op 30 maart 2012 09:34]

Censuur op welke informatie dan ook is altijd een heilloze weg en het zal naar alle waarschijnlijkheid geen enkel probleem oplossen.
Als niemand geen proof of concept voor een software beveiligingslek mag openbaarmaken, is er geen enkel drukmiddel meer om leveranciers te dwingen om het probleem op te lossen.
Ja maar het punt is, ze kiezen wel de bewoording "offences". Guapper gaf al aan dat dit criminaliseert.
Wat je krijgt is een soort gedoogconstructie zoals we in ons land rond wiet hebben.
De ICT beveiliger's positie wordt op losse schroeven gezet en kan juridisch aansprakelijk worden gesteld, bijvoorbeeld als er onenigheid ontstaat tussen de opdrachtgever en de beveiligingsexpert.

Waar dit uiteindelijk heen gaat is dat overheden en de EU controle krijgen over internet omdat iedereen, met name iedereen die gebruik moet maken voor de uitoefening van zijn werk, die deze tools gebruikt, gecontroleerd dient te handelen bij dat werk door de overheid. We kijken voer je schouder mee of je nu hackt of gewoon beveiligingswerk organiseert. Ik noem dat een vorm van controle die je niet moet willen en het is praktisch ook niet uitvoerbaar. Het alternatief wordt dan dat beveiligers allemaal moeten werken voor de overheid die dan op die manier bedrijven beveiligt...dat ICT'ers ambtenaren worden.

Daar gaat je vrije internet.
En nu gebruik ik een tool als webslayer voor pentesting op mijn eigen webservers. Diezelfde tool kan ik echter ook loslaten op de site van een ander, en dan ben ik ineens 'strafbaar'. De tool heb ik echter nodig voor het eerste.

Hetzelfde voor nmap, de portscanner die standaard met elk *nix OS wordt meegeleverd. Als sysadmin heb je dat ding gewoon regelmatig nodig, als hacker is het een handige tool. Verboden of niet?

Of wat dacht je van Puppet? Puppet gebruik ik voor het beheren van complete netwerken, maar is juist daarom ook uitstekend inzetbaar om bijvoorbeeld een botnetje aan te sturen. Een kleine wijziging op de Puppetmaster, en alle 'puppets' gaan iets anders doen. Ook maar illegaal maken dan? Dan kunnen er aardig wat techbedrijven de tent sluiten, omdat hun beheer staat of valt met tools als Puppet en CfEngine.

De huidige wetgeving biedt voldoende mogelijkheden om 'cybercriminelen' aan te pakken. Extra wetgeving die auto's gaat verbieden omdat je er ook mensen mee dood kan rijden of ramkraken mee kan uitvoeren hebben we echt niet nodig, en gaat ook niemand helpen.
Misschien eerst de tekst eens lezen waar naar gelinkt wordt in het artikel? De amendementen volstaan hier. Er staat dat je de tools mag gebruiken om te testen.
(10) This Directive does not intend to
impose criminal liability where the
offences are committed without criminal
intent, such as for testing in accordance
with law or protection of information
systems, or where the withholding of an
authorisation for access to a system
constitutes an abuse of rights by itself.
edit: sorry blijkbaar ook al door Rinzler gepost iets verder, had ik gemist.

[Reactie gewijzigd door bbc op 29 maart 2012 14:06]

"Does not intend"
= is niet bedoeld om

Maar kan er natuurlijk wel voor misbruikt worden, dat is natuurlijk ruim uitlegbaar, en dan moet je maar hopen dat er per geval goed bekeken wordt wat wel en niet onder testen valt, door een rechter die er doorgaans geen bal van snapt, dat zie je nu bij genoeg rechtzaken al.

"explicetely excludes testing" was al beter geweest.

[Reactie gewijzigd door mike_mike op 29 maart 2012 14:19]

Dat zeg ik ook niet. Ik zeg alleen dat we er wel van uit kunnen gaan dat ze niet zomaar alle hacking tools per definitie gaan verbieden. We hebben ze ook nodig voor internet security. Ze gaan hackingtools verbieden die een dreiging vormen voor bedrijven die er vatbaar voor zijn, en ze gaan slecht gebruik van hacking tools zwaarder bestraffen.
Exact.

Wat ik graag zou willen weten: er zit dus 1 clueful persoon in het EP. Wie is dat? Was de stemming openbaar? Zo ja, waar kunnen we die vinden? Kan ik op die persoon stemmen?

Ik ben verder reuze benieuwd hoe ze "hacking software" gaan definieren. Tellen browsers ook? Telnet dan?

Edit: gokje dat dit het antwoord is

[Reactie gewijzigd door Wilke op 29 maart 2012 13:55]

Met jouw gezond verstand wel, de vraag is of ze dat in Brussel ook beseffen. Die hebben die nuancering niet, als het woord "hacken" erin voorkomt is het per definitie slecht.
En hoe ga je controleren dat iemand alleen maar whitehat is?
Certificering kost meestal een hoop geld, kleine organisaties hebben dan het nakijken.

Wat is een tool gericht op hacken? Met telnet kan je ook al een hoop aanrichten.
Dit dus, binnen de doelgroep die ze hiermee willen raken, raken ze alleen scriptkids die andermans tools gebruiken om te "hacken". Professionele/ervaren hackers schrijven hun eigen tooltjes of hebben die niet eens nodig!
Niet mee eens, met penetration testing tooling kan de gemiddelde systeembeheerder zijn security testen, volgens jouw beredenering heeft een bedrijf daar dan ineens een dure specialist voor nodig.
Ervan uitgaande dat die specialist het bezit van illegale tools kan afkopen...

Probleem met software is dat deze on-the-spot herschreven kan worden. Certificering bij illegaal verklaren gaat een probleem worden.

Fysieke middelen verbieden is niet zo'n probleem. Vuurwapens alleen aan het leger en politie geven werkt wel, daar is het illegaal verklaren buiten die regelingen gewoon te controleren / bekrachtigen.

Maar in het geval van illegale code / tools is er naast een onzichtbare zwarte markt ook nog gewoon een hoop zelfbouw. Een inflitratiescript is sneller zelf te knutselen indien er kennis is, dan een vuurwapen / illegale substantie. Bij de laatste fysieke goederen is namelijk de productiefaciliteit nog te vinden / illegaal te verklaren. Maar code heeft geen grondstof en je kunt moeilijk SDK's of SDE's illegaal verklaren, want dan is zelfs notepad.exe gevaarlijk.

Prima idee, maar totaal onuitvoerbaar dus. En ik denk dat Brussel zwaar onderschat hoe hard whitehat en zelfs grayhat's nodig zijn voor de digitale veiligheid.
Zoals ik het lees willen ze de hack software verbieden. Of je dat ergens koopt of zelf schrijft zou dan niets uitmaken. Het zou even illegaal zijn.

Uiteindelijk is het een nutteloze regel die alleen maar averechts werkt. Het hacken zelf is in veel gevallen al verboden. Toch worden er systemen gekraakt. Dat zal niet veranderen als je de software ook verbiedt.
Wat je wel veroorzaakt is dat professionals minder mogelijkheden krijgen om hun eigen beveiliging te testen.
Er zijn genoeg bedrijven die werknemers hebben om de beveiliging van de zelfgemaakte software te testen en goed gereedschap is ook bij dit soort werk verdomd handig.

Deze wetgeving klinkt als een gevalletje FUD, symptoombestrijding en struisvogelpolitiek in één.
Hier sla je de spijker op de kop:
hoe kan je controleren of iemand alleen maar whitehat is.

Dat kan je dus inderdaad niet, althans niet op "voorhand", een whitehat zal waarschijnlijk dezelfde tools gebruiken als een blackhat, over dezelfde kennis beschikken als een blackhat en zelfs deels dezelfde motivatie (de kick ergens binnen te komen bv) maar zal daarnaast een sterk gevoel van ethiek hebben om naast gratificatie van de eigen behoefte ook ervoor te zorgen dat het lek gedicht wordt. Door bijvoorbeeld eerst de instantie aan te schrijven en eventueel later nog de publiciteit te zoeken.

Het jammerlijke is dat dus juist dat ethische gevoel totaal niet meetbaar is, daar het bij een whitehat ethiek een deel van de drijfveer is is dat bij een blackhat persoonlijk gewin of puur en alleen de kick (wat weer destructief gedrag kan uitlokken).

Als je het gaat binden in certificeringen zal je alleen maar je hoeveelheid whitehats beperken, het wordt namelijk duur om gecertificeerd te zijn. Een high skill hobbyist zal dus niet snel over de certificaten beschikken die hem vrijpleiten.
En in welke zin houdt een certificeringssysteem daarnaast blackhats tegen om ook certificaten te behalen ? Sterker nog, het zal gunstig kunnen zijn voor blackhats dat er een certificeringssysteem bestaat, ze zullen eerder vrijgepleit zijn van verdenking indien er geen direct bewijs is en een vrijbrief geven voor allerhande net niet strafbaar gedrag zonder dat dit verdenking kan opleveren.


Uiteindelijk zal het niets veranderen aan de huidige situatie qua internet criminaliteit met als enige bijkomende verandering dat de hoeveelheid whitehats wel is af zou kunnen nemen wat de slagkracht om lekken te dichten en gaten te vinden drastisch kan doen afnemen.

Daarnaast is er nog de mogelijkheid dat mensen die zich nu whitehat zouden richten zich meer en meer blackhat zullen gaan gedragen omdat ze bij voorhand al gecriminaliseerd worden, de stap om dan over te gaan op echte criminaliteit kan daardoor wel eens kleiner worden. Helemaal in de "kwetsbare" groep die "hackers" vaak nou eenmaal zijn: jong, getalenteerd, niet altijd even goed begrepen dus met een nog niet volledig ontwikkeld moreel besef en een hogere behoefte zichzelf te bewijzen.
Het enige verschil tussen een Blackhat en een Whitehat is:toestemming.
edit: reactie op zvbhvb

Hier ben ik het absoluut niet mee eens, in mijn ogen is een whitehat ook iemand die systemen hackt zonder toestemming en de betreffende bedrijven/instanties inlicht en helpt de gaten te dichten.

Zo kan ik mijzelf goed voorstellen dat ik het DigiD systeem of het GBA systeem zou proberen te hacken puur omdat ik weet dat al mijn gegevens er in staan en ik totaal gebrek heb in vertrouwen in de kwaliteit van de Nederlandse overheid in het beveiligen in IT systemen.

Juist de mensen met hoge skills die zich betrokken voelen tot een systeem (door direct belang of andere redenen) moeten de mogelijkheid behouden om de veiligheid van deze systemen te blijven verbeteren met of zonder toestemming!

[Reactie gewijzigd door terror538 op 29 maart 2012 14:07]

@terror538
Helaas, Whitehat hackers dienen eerst toestemming te vragen. Wellicht ben je in de war met grayhat die zonder toestemming probeert binnen te dringen en als het lukt de eigenaar van het systeem op een (hopelijk nette, discrete) manier hiervan verwittigt.

Zeker deze grayhatter zal denk ik last gaan ondervinden van deze strengere maatregelen. Dit, omdat deze in eerste instantie toch een illegale activiteit uitvoert. Nu staat er wel een uitsluitsel clausule in voor ethical hackers, maar dat zijn dus weer die Whitehat hackers.
Juist de mensen met hoge skills die zich betrokken voelen tot een systeem (door direct belang of andere redenen) moeten de mogelijkheid behouden om de veiligheid van deze systemen te blijven verbeteren met of zonder toestemming!

Voor een bedrijf die echt wel meer te doen heeft als alleen de beveiliging monitoren is er op het moment van testen onmogelijk de intentie van degene die aan het wrikken is te evalueren. Bovendien zijn lang niet alle bedrijven even gecharmeert als men een vinger op de zere plek legt.
Ook ben je ondanks goede bedoelingen nog steeds strafbaar zonder vrijbrief.

Wil je effect hebben is enige coordinatie wel op zijn plaats. Een situatie waar iedereen elkaar voor de voeten loopt is hoogst onwenselijk.

Er zijn ook genoeg mensen die zich wel degelijk betrokken voelen en toch niet eigenhandig zonder toestemming de beveiliging checken. Zo zou je een onderzoek kunnen doen naar de onderliggende technologie en de bevindingen openbaren.
Uiteraart zonder tool te publiceren:-). Je zou poc´s kunnen schrijven en mailen naar buqtraq. Een beetje admin is geabonneert op meerdere security lists.
@zvbhvb

Daartussen zit nog de qrayhat, de whitehat zonder de toestemming van de eigenaar van de systemen, met de intentie om kwetsbaarheden aan het licht te brengen bij de organisatie.

Voorbeeld van greyhat hacking: ik zie achter een url ?userid=3000 staan, vul daar 3001 in en krijg de gegevens van een ander te zien, dit meld ik vervolgens bij de beheerder. Een ander voorbeeld is het invoeren van SQL-statements in invoervelden, puur om te kijken of de input klakkeloos overgenomen wordt in de query en er op die manier SQLi uit te voeren is.

Pas op: Anonymous,Lulzsec etc. is geen greyhat hacking, een greyhat zal nooit een database dumpen naar pastebin met honderden inloggegevens om een statement te maken, of een website bekladden, dat valt onder cracking en 'hacktivisme'.

[Reactie gewijzigd door donny007 op 29 maart 2012 14:44]

Met een beetje gezond verstand kun je er wel van uit gaan
Jij verwacht gezond verstand van politici? Optimist!

Daarnaast zijn het ook meer dan eens de whitehats die in de avonduren een zwarte pet op hebben.
Een richtlijn is een richtlijn en moet heel duidelijk dat soort uitzonderingen bevatten.
Helaas is dat vaak niet duidelijk genoeg.

Je kan het ook zo zien, bekijk lockpicking is, de tools daarvan kun je gewoon online kopen. Het breken van een slot kan gedaan worden door iemand die je daarvoor opdracht geeft maar ook door een dief. De tools zijn echter vrij verkrijgbaar en zou dat niet zo zijn krijg je dus weer problemen met mensen die er wel legaal gebruik van maken.
We hebben het hier over politiek, en media. Die lezen hack, en slaan door.
Ik heb ook een keer in een artikel gelezen dat de KLPD geen onderscheid maakt tussen 'ethical hackers' en de echte blackhats met kwade bedoelingen, die jongen had dus een lek ontdekt in het beveiligingssysteem van een universiteit, en heeft dat aan die mensen daar gemeld, maar hij werd toch nog opgepakt door de KLPD... Ik hoop dat ze daar snel verandering in gaan brengen, en daar onderscheid in gaan maken, of tenminste mensen aannemen die er verstand van hebben...
Anders zijn we straks alleen nog maar slechter af.
Ook dat heeft overheden er nooit van weerhouden rare maatregelen te bedenken en wetten te maken.

En zelfs al zou je een vergunning moeten hebben -zoals een wapenvergunning bijvoorbeeld-, weerhoudt niets mij om een wapen te kopen, te verkopen, te ruilen of te gebruiken. Zo ook software.
Inderdaad, alleen de legale security specialisten zijn de dupe; hackers houden zich per definitie niet aan de wet. En ja, die komen toch wel aan hun tools (of bouiwen ze zelf), zie bijvoorbeeld de Zeus of Carberb botnet kits.
Heb je het voorstel ook daadwerkelijk bekeken?
(10) This Directive does not intend to impose criminal liability where the offences are committed without criminal intent, such as for testing in accordance with law or protection of information systems, or where the withholding of an authorisation for access to a system constitutes an abuse of rights by itself.
Given the possibility to use programmes in dual forms, i.e. for legal as well as criminal purposes, the possession of a tool should as such not be punishable. In addition, the purpose of the actions described in this article should only be punishable when it is clearly aimed at committing an offence.
Dus ik voorzie weinig problemen om door te blijven gaan met het hacken, in de zin van beveiliging testen.

Bron: De eerste link in het Tweakers artikel.
Ja, maar hoe ga je iemand beoordelen op "intent". Dan heeft deze illegaal verklaring dus helemaal geen zin over de huidige regelgeving waarin staat aangemerkt "dat je niet mag hacken".

Nu kan iedere student dus gewoon blijven hacken met "illegale" tools die dus voor studie doeleinden alsnog legaal verklaard gaan worden. Iedereen die een cursusje webserver onderhoud volgt bij een paid-subscription dienst als Safaribooks of Lynda.com kan voor deze omweg aangemerkt worden, dus eigenlijk zijn tools dan altijd weer recht te praten.
Heb je het voorstel ook daadwerkelijk bekeken?
En heb jij mijn post ook daadwerkelijk gelezen, en nagedacht over de implicaties? Ze willen het gebruik, maar ook de verspreiding gaan verbieden. De uitzondering die je hier quotet gaat alleen over het gebruik. Maar hoe geraak je aan de tools als verspreiding al verboden is? Deze hele uitzondering is daarmee dan ook een farce. De enige manier om in aanmerking te komen van deze uitzondering is als je zelf de tools hebt geschreven. Uit informatie die je zelf reverse-engineered hebt, want het verspreiden van informatie erover is ook verboden.

[Reactie gewijzigd door .oisyn op 29 maart 2012 13:11]

Dan lees het nog maar eens opnieuw. Zonder criminele intentie is dat helemaal niet verboden. Je moet geen problemen gaan zoeken waar er geen zijn.
Waarmee het mijns inziens een vrij zinloze wet is. Elke tool kan gebruikt worden om eigen systemen te testen op beveiliging, dus geen enkele tool heeft zuiver criminele intentie; i.e., alle tools mogen vrij gemaakt en verspreid worden. Bezit is al niet strafbaar gesteld om dezelfde rede.

Jij doelde denk ik op dit stukje, toch?
Member States shall take the necessary measures to ensure that the production, sale, procurement for use, import, distribution or otherwise making available of the following is punishable as a criminal offence when committed intentionally and without right for the clear purpose of committing any of the offences referred to in Articles 3 to 6:
Justification:
Given the possibility to use programmes in dual forms, i.e. for legal as well as criminal purposes, the possession of a tool should as such not be punishable. In addition, the purpose of the actions described in this article should only be punishable when it is clearly aimed at committing an offence.
Maar een tool als bijvoorbeeld LOIC, dat veel in het nieuws is geweest, "is an open source network stress testing tool" en heeft dus niet bij voorbaat een purpose of committing an offence.

Welke tools denken ze hier dan mee aan te pakken? Ik snap het doel niet helemaal. De aanvallen zelf zijn namelijk al strafbaar, en de tools worden alleen strafbaar op het moment dat er daadwerkelijk mee wordt aangevallen.

Ze stellen ook dat 'tools' heel breed opgevat moet worden.
Tools refer to, for example, malicious software, including botnets, used to commit cyber attacks. These tools represent only a few among many possibilities of attacking information systems.
Hoe is een botnet een tool? Snap ik ook niet. Bovendien, voor zover ik weet is het gebruik van virussen en worms om computers te infecteren ook al strafbaar, toch?

Er staan een aantal vaagheden in die ik niet helemaal begrijp. (ligt wellicht aan mij)

Ook zoals dit, wat er weer veel op lijkt dat ISPs liable zouden kunnen worden in bepaalde gevallen:
This includes, for example, support by service providers to shut down illegal systems or functions.

[...]

Notwithstanding voluntary cooperation between legal persons such as service providers and producers on the one hand and law enforcement bodies and judicial authorities on the other, Member States should define the cases in which the failure to act could constitute a criminal behaviour by itself.
Beetje vaag, maar zoals gezegd moet dat verduidelijkt worden.

Maar er staan ook een aantal goede opmerkingen in, zoals dat de beveiliging verbeterd moet worden en dat lidstaten een plicht krijgen om degelijke beveiliging op te zetten. Ik vraag me alleen af wat voor nut het hele verhaal over tools heeft. Wat is daar dan een voorbeeld van?
Je bekijkt het dat ook verkeerd, en daardoor komt het inderdaad verwarrend over. Een tool staat, en die wetgeving onderschrijft dat, NIET op zichzelf. Er worden hier telkens maar zinnetjes uit hun context gerukt (niet specifiek door jou, in het algemeen). Voor testdoeleinden en zonder criminele intenties mag je nog steeds alles doen. Dit gaat echt doelgericht "Aanvallen op informatiesystemen" en "instrumenten die die aanvallen mogelijk maken". En ook: Deze richtlijn beoogt niet de strafbaarstelling van feiten die gepleegd worden zonder criminele opzet. M.a.w. een botnet an sich is niet strafbaar. Een botnet gebruiken en verspreiden om er koffie mee te zetten is en blijft niet strafbaar. Een botnet verkopen aan iemand die het gebruikt voor criminele doeleinden (vul zelf maar in) is dat wel.
Ze stellen ook dat 'tools' heel breed opgevat moet worden.

Hoe is een botnet een tool? Snap ik ook niet. Bovendien, voor zover ik weet is het gebruik van virussen en worms om computers te infecteren ook al strafbaar, toch?

Er staan een aantal vaagheden in die ik niet helemaal begrijp. (ligt wellicht aan mij)
Er bestaan daarover nog geen gecoördineerde Europese richtlijnen. In sommige landen is de wetgeving daarover voldoende en duidelijk, in andere landen niet. Een richtlijn dient om dat voor heel Europa gelijk te trekken.

Only 12% of European web users feel completely safe making online transactions. Threats such as malicious software and online fraud unsettle consumers and dog efforts to promote the online economy. The Digital Agenda proposes a number of practical solutions, including a coordinated European response to cyber-attacks and reinforced rules on personal data protection.
Vanuit dat standpunt is de EU bezig met een heel scala aan acties en maatregelen, waarvan verbeterde Europese wetgeving een onderdeel is, om cybercrime internationaal beter aan te kunnen pakken. Tot nu toe lag die focus vooral nationaal.

En het klopt dat men de verantwoordelijkheid van ISP's nu ook op europees niveau wil verankeren. Nationaal gezien was dat al het geval.
Het eerste stuk wat je citeerd is een geamendeerd stuk uit het voorstel, de originele tekst luidt:
This Directive does not intend to impose criminal liability where the offences are committed without criminal intent, such as authorised testing or protection of information systems.
Zowel de originele vorm als de geamendeerde vorm spreken eigenlijk alleen van geauthoriseerd of "in accordance with law" beide laten geen ruimte over voor testen door derden (de whitehats) daarnaast vind ik "in accordance with law" een vage bewoording. Het is natuurlijk een richtlijn, dus de werkelijke implementatie in Nederland kan een heel andere vorm krijgen (zowel in positieve als negatieve zin), echter de tekst zoals die nu ligt is absoluut niet bevordelijk voor het testen van systemen zonder toestemming door derden (iets wat in mijn ogen een kracht in veiligheid is: dmv crowdsourcing de lekken en gaten dichten).

De tweede tekst die je citeerd is de motivatie voor het amanderen van artikel 7, ik zal de originele vorm en geamendeerde vorm citeren:
Member States shall take the necessary measure to ensure that the production, sale, procurement for use, import, possession, distribution or otherwise making available of the following is punishable as a criminal offence when committed intentionally and without right for the purpose of committing any of the offences referred to in Articles 3 to 6

Member States shall take the necessary measures to ensure that the production, sale, procurement for use, import, distribution or otherwise making available of the following is punishable as a criminal offence when committed intentionally and
without right for the clear purpose of committing any of the offences referred to
in Articles 3 to 6
Goed, in de niet geamendeerde vorm is bezit nog strafbaar gesteld, de geamendeerde vorm spreekt niet meer over bezit en spreekt over een "duidelijke intentie tot". Helaas is intentie dus niet te meten, daarnaast laat dit dus ook geen ruimte voor whitehats zonder authorisatie (wat ik dus zeer kwalijk vind).

Artikel 6 is trouwens een verbod op het zonder toestemming ontvangen van digitale data, in combinatie met artikel 7 kan dit dus een verbod inhouden op het delen van programmas die als doel hebben pakketten op een netwerk te ontvangen, zoals wireshark of wireless capture programmas.
Als de toevoeging "does not intend" voldoende is voor deze wet, dan is het dus ook voldoende om welke tool dan ook te verspreiden mits je er een note bij zet "Is not intended for hacking". Beide even legitiem..
Die nuancering staat er wel degelijk. Het gebruik ervan, dus als jij het op je eigen of cliënt zijn systeem gebruikt zal niemand klagen... Het gaat enkel alleen om als er aangifte tegen je word gedaan en het blijkt dat je inderdaad die tools gebruikt hebt dit strafbaar word. Wat nu dus nog niet het geval is.
Dit probleem hebben ze nu in Duitsland waar zo'n wet allang ingevoerd is.

nieuws: 'Duitse antihackwet maakt beveiligingsonderzoek illegaal'

Om deze reden zit bijvoorbeeld metasploit niet in de (open)SUSE distro.

IMO is dit een zeer slechte ontwikkeling.
Het wordt volgens mij hoog tijd dat er meer mensen met kennis van techniek in de parlementen komen (EU en EU landen).
Mijn gevoel is dat er erg veel pennenlikkers in zitten, die niet niet gehinderd worden door enige kennis van zaken,
hoe ga je aan die tools komen als het verspreiden ervan illegaal wordt (goed, die zijn dan natuurlijk nog steeds te vinden, maar even los daarvan)? Je kunt ze niet meer legaal verspreiden, want de verspreider kan niet controleren of de gebruiker ze goedaardig of kwaadaardig gebruikt.
van een leverancier buiten de EU
Dan heb je blijkbaar de tekst van de directive niet gelezen want daarin staat letterlijk:

(10) This Directive does not intend to impose criminal liability where the offences are committed without criminal intent, such as for testing in accordance with law or protection of information systems, or where the withholding of an authorisation for access to a system constitutes an abuse of rights by itself.

[Reactie gewijzigd door Orion84 op 29 maart 2012 13:09]

Lees dat nou eens goed.. Er staat letterlijk dat de daad zelf nog steeds als een "offence" gezien wordt. Het 'is niet de bedoeling' dat daar rechtsvervolging aan hangt, maar het wordt niet expliciet uitgesloten. Er wordt ook nergens uitgesloten dat je aansprakelijk gesteld wordt voor de gevolgen van deze 'offence', dus je kunt nog steeds te maken krijgen met schadeclaims, al dan niet reeel. Of met aantekeningen in je dossier, etc..
Misschien lees ik het niet goed, maar in amendment 7 staat het volgende:

"This Directive does not intend to impose criminal liability where the offences are committed without criminal intent, such as for testing in accordance with law or protection of information systems, or where the withholding of an authorisation for access to a system."

oh nvm, ik post weer eens eeuwen te laat

[Reactie gewijzigd door JeromeB op 29 maart 2012 15:04]

Echter wordt het delen van tools die gemaakt zijn voor dit doeleinde wel in 1 klap verboden.
Mogelijk zelfs het beschrijven van de werking van de tools (diepgaand technisch) en het publiceren van exploits (wat in mijn ogen alleen ethisch te verantwoorden is als je de maker van de software een redelijke periode geeft te patchen).

Ik zie hierin een zwarte dag voor de veiligheid van computernetwerken, iedereen die dit soort tools maakt met goede bedoelingen zal hierdoor de criminaliteit in geduwd worden en daardoor mogelijk stoppen met hun werk, lekken worden niet meer gepubliceerd en de motivatie voor software bouwers deze te patchen kan daardoor afnemen.
Mensen met een slechte intentie daarintegen zullen door gaan met hun werk, darknets zijn niet voor niets uitgevonden.

Voor mij is dit een duidelijke case van security through obscurity, haal de kennis en tools weg bij het normale publiek waardoor de gaten niet meer zichtbaar zijn, wat dus niet wegneemt dat ze er zullen blijven zijn.
Inderdaad, helemaal mee eens!

Het verbieden is zinloos, het maakt het net voor penetration testers 100x moeilijker om aan goede tools te komen en informatie in te winnen.

Bovendien is het helemal geen oplossing voor het echte probleem, dat zijn de security lekken, niet de tools!!!
Inderdaad, want criminelen storen zich niet aan een verbod.
Deze wet maakt het moeilijker systemen te beveiligen dus krijgen hackers het makkelijker.

Dat is toch precies wat ze niet wilden?
En minder netwerken die getest worden, ivm oplopende kosten van de testers die 4 keer zoveel gaan vragen ivm regelgeving etc.
Ik denk dat ze je niet gaan aan klagen als je iemands systeem gaat testen in opdracht van de eigenaar van het systeem.
Het maakt voor de wet niet uit of je verboden hacktools gebruikt om een systeem te hacken met instemming of zonder instemming van de eigenaar, zodra je een kopie
naar hun systemen maakt om je ding te doen dan verspreid je al en dús ben je strafbaar voor het verspreiden van hacksoftware.
Nee dat niet, maar hoe kan iemand nog aan de tools komen als het verspreiden ervan straks verboden is. Je moet juist op het moment dat er een nieuwe tool is deze mogelijk meteen kunnen binnehalen om jou eigen systeem te kunnen testen tegen de nieuwste bedreigingen
Je moet juist op het moment dat er een nieuwe tool is deze mogelijk meteen kunnen binnehalen om jou eigen systeem te kunnen testen tegen de nieuwste bedreigingen
Want jij download altijd alle virussen en gaat ze zelf ontleden?

Of, doe je net zoals ik, en draai je gewoon een virus-scanner en laat je die regelmatig updaten met de nieuwste definities?

Voor de security-bedrijven zal het gewoon nog mogelijk zijn om hun werk te blijven doen, zoals al meerdere keren in de reacties is aangegeven.
Ja, voor het mysql-virus...
Nee maar de gemiddelde consument weet echt niet wat hack software is.
En wat is eigenlijk hack-software, waar liggen de grenzen en hoe maak je dat de consument duidelijk?

De meesten downloaden er maar wat op los zonder te weten wat het is.
En hetgeen wat verspreid d.m.v. kwaadaardige software?

Misschien kunnen we dan meteen Windows ook maar verbieden ...

Dit soort regeltjes van de EU hebben we niks aan en zet geen zoden aan de dijk.
Ik begrijp niet dat ze hiervoor betaald worden met overdreven lonen.

Echte hackers pak je hier niet mee en onschuldigen worden de dupe door uit onwetendheid.
Er zullen vast wel uitzonderingen mogelijk zijn. Misschien kun je dit beter vergelijken met een verbod op handel in vuurwapens.
"Goedendag, mag ik uw nmap-vergunning even zien?"
Sja das de overheid he niet verder kijken dan hun neus lang is. Deze opmerking vind ik ook erg disputabel :

"Op het uitvoeren van een cyberaanval komt een gevangenisstraf van twee jaar te staan."

Hoe ga je dit dan bewijzen dat de gebruiker dit bewust heeft gedaan ? De grote DDoSS attacks worden namelijk gelaunched via Twitter/IRC met de melding drukt even op dit linkje, of sterker nog malware die zich verstopt heeft in je Systeem.
Simpel. Iedereen die op dat linkje drukt krijg 2 jaar, en twitter wordt verboden.

Ik hoop dat ze facebook hebben in de gevangenis..
Dus precies wat ik dacht. Wat gebeurd er nou met tools als Metaspl0it? Die zijn juist ontwikkeld voor penetratietesten.
Daarbij heb je ook verschillende pakketten zoals Nessus dat je hele netwerk extern en intern kan scannen.
Heb het idee dat ze hier weer totaal niet over na hebben gedacht.
Ik denk dat het idee erachter is dat je extra mogelijkheden hebt om hackers aan te pakken: als je bijvoorbeeld niet kunt bewijzen dat ze een site gehackt hebben, kun je meestal makkelijker bewijzen dat ze hacksoftware gebruikt hebben. Op deze manier zullen er dus minder hackers door de mazen van het net glippen. De bedoeling is waarschijnlijk niet om iedereen die eens een tooltje test op zijn eigen website te vervolgen.

Je moet dit wetsvoorstel dan ook zien in het kader van het verbeteren van de strijd tegen internetcriminaliteit, een steeds groter probleem. Persoonlijk denk ik echter dat bijvoorbeeld een Europese "hacktoolvergunning", analoog aan een wapenvergunning, een betere oplossing zou zijn, waarbij gedocumenteerd wordt wie welke tools mag gebruiken. Dan kun je criminelen (die geen vergunning zouden krijgen) wel straffen op het gebruik van hacksoftware, maar professionelen zoals jij kunnen dan legaal hun werk doen.
Dat zal zeker waar zijn, alleen heeft de geschiedenis wel aangetoond dat dit soort wettelijke stokken die voor een veel breder gebruik toepasbaar zijn na verloop van tijd vaak buiten de intentie van de wet gebruikt zullen worden.
Daarnaast is het een Europese richtlijn, die ieder land daarna weer moet implementeren, dat betekend dat die intentie (in bewoording) makkelijk verloren kan gaan in de vertaalslagen die gemaakt worden door de landen om de wet in te voeren.

De intentie van de wet zoals ze bedoeld is en het gebruik ervan na enkele jaren ligt vaak ver van elkaar af helaas, iets wat ook logisch is omdat de bedenkers van een wet of richtlijn niet de uitvoerders zijn. De uitvoerders nemen gewoon simpelweg niet 1 op 1 de intentie over, sterker nog, die doen een interpretatie van de wet. Jij interpreteert de wet nu als een middel om daadwerkelijke criminaliteit te stoppen door het dichten van mazen, een ander kan die wet juist totaal anders interpreteren.
Als je bezit van hacktools (software) in Europa wilt weren moet je ook alle sites buiten europa waar dat spul of sources te downloaden zijn gaan filteren.
Wil je daar naar toe?
Ik neem aan dat ze wel uitzonderingen maken hiervoor. Bepaalde software wordt dan gewoon wel toegestaan.
Dit is een typisch geval waar politici denken dat ze iets oplossen met wetgeving. Alsof er ook maar één black-hat hacker is die deze tools nu niet meer gaat gebruiken.

Lijkt wel een beetje Amerikaanse politiek... 'we hebben het verboden dus is het er niet'.
Die schrijven toch hun eigen tools?
Daarbij zal de definitie crack software nogal in een schemergebied zitten.
Ik denk dat er nog heel veel ogen en haken aan vast zitten.

Misschien kunnen we beter opnieuw het besturingssysteem gaan uitvinden
Ze zijn gek. Hoe moet ik dan in godsnaam security en penetratie tests uitvoeren? Dat doe ik juist door te hacken, met de tools die ontwikkeld zijn om te hacken. Ik doe het alleen in opdracht van de eigenaar van dat systeem (en tegen een riante betaling).
Ik mag hopen dat het een voorzet wordt tot een systeem van regulatie van hacktools. Dat je er dus een vergunning moet hebben. Zo wordt een security-researcher een soort van apotheker. Alleen als je aan bepaalde voorwaarden voldoet heb je een vergunning voor het in huis hebben van hacktools.

Of, als je wat dramatischer wil doen, zie het maar als vuurwapens. Die zijn ook streng gereguleerd in Europa.
Dat is toch niet te doen, dat je straks voor een simpele IDE een vergunning moet hebben omdat een stel mensen in het EP niet weet wat hacken is?
Dat is juist het hele domme van dit voorstel.... wat is hack software? Volgens mij bedoelen ze hier gewoon normale software mee dat voor valide doeleinden wordt gebruikt maar ook voor hacken zou kunnen worden gebruikt.

Hetzelfde zou zijn om messen te verbieden want daar kan je een moord mee plegen.
Lees de eerste regel van de eerste alinea eff

wil het verspreiden van software die is bedoeld om te hacken verbieden.

2e alinea

het bezit van de tools op zich niet verboden wordt, zal het gebruik of verspreiden van tools bedoeld voor hacken wel een strafbaar feit zijn,

Conclussie

test in opdracht van de eigenaar is niet hacken....
Als minister word er niet verwacht dat je kennis van zaken hebt voordat je iets verbied.
En ze komen er vanzelf op terug als alles en iedereen gehackt word straks omdat niemand zijn/haar beveiliging meer kan testen :P
Maar als je dat doet is het geen echte hacken meer, aangezien je het met toestemming van de eigenaren doet. Het gaat hier dus om een echte hacking poging zonder toestemming.. En dat is een goede zaak dus..
En hoe kom je legaal aan die tools?
als het zo belangrijk is dat jij die testen doet dan weet je ook dat dit geen enkel.probleem voor jou zou moeten vormen.
bedrijven hebben meest eigen software en al helemaal experts. althans bij ons wel. wij zijn allang blij dat niet elke goofy (zoals jou?) aan de software kan komen maar alleen experts. dat is ook het doel van dit alles
If you outlaw guns, only outlaws will have guns.
Kortom, door het verbieden van hack-software zal je helemaal niks bereiken. De criminelen zijn toch al crimineel bezig, dus die blijven gewoon doorgaan.
De mensen die dat willen bestrijden worden in hun mogelijkheden beperkt.

In Nederland mag je ook gewoon een koevoet hebben, maar hem gebruiken om in te breken is verboden. Het mag weer wel als je toestemming hebt van de eigenaar. Precies wat er dus nu gebeurd door beveilingsbedrijven.
Inderdaad. Reactief en ondoordacht, waarschijnlijk een scheet van boven in respons op de hoeveelheid overheidssystemen die gehackt zijn de laatste tijd. De tools illegaal maken zal daar geen verbetering in brengen... hacken is al strafbaar. Hiermee tref je alleen de ethische hackers (zgn whitehats) die gewoon niets meer uit kunnen voeren zonder ook strafbaar te zijn.

Gevolg: Zwakke sysadmins wanen zich veilig. Beveiliging verslapt verder... Struisvogelpolitiek.
Slecht nieuws dit. Dit betekent dat recovery software dus ook verboden wordt. immers, waar trek je de grens?
Die conclusie is prematuur. Een rechter zal eerst moeten oordelen dat recovery software bedoeld is om te hacken.

NB: zowel recovery software als hacken zijn bijzonder vage begrippen.
Dat is nu het vage aan deze gedachte. Hacken is een instelling, en daarbij kun je positief te werk gaan maar ook negatief.

Nu ben ik wel hartstikke benieuwd hoe hier invulling aan wordt gegeven want hacken an sich komt vaker voor dan je zou willen.
Niet alleen op standaard pc's, maar ook het rooten van telefoons, tunen van auto's etc.

In mijn optiek kun je al met de huidige wetgeving mensen vervolgen. Inbreken op een netwerk is gewoon inbraak, mocht je iets meenemen, al dan niet gekopieerd, dan is dat gewoon diefstal. Stelen bij een groot bedrijf kun je een economisch delict van maken. Er weer een wet bijschrijven compliceert het nodeloos en daarbij is niemand gebaat en het probleem blijft liggen.

Op een snelle en adequate manier de mensen vervolgen die negatieve bedoelingen hebben met genoeg mensen is veel beter en gaandeweg zal dmv precedenten het gerecht zijn werk doen.
waar trek je de grens? Wat is het primaire doel van een tool. Waarvoor is het ontwikkeld? Das hetzelfde als google vergelijken met tpv. Ja met beide kan je torrents vinden, maar de ene is er speciaal voor gemaakt en bij d andere is het een neveneffect.
Met compiler software en een text editor kan je al een nieuwe 'hack-tool' schrijven, wordt dit dan ook verboden?

In het ergste geval zal je deze tools niet meer precompiled kunnen downloaden, maar krijg je gewoon de source en de compile configuratie. Ik neem aan dat 'hackers' daar geen moeite mee hebben.
Idd, een andere grens lijkt me ook de ordehandhaving als ik een paar 'oudere' artikels bovenhaal:
nieuws: 'Politie breekt in op computers van verdachten'
nieuws: Duitse politie mag computers hacken

Als je dan leest dat de stemmen voor het voorstel 50 tegen 1 waren... Daar kan je weeral zien dat 90% er weer te weinig van af weet, de echt hackers hou je hier niet met tegen... Ik ben voor de EU, maar ik vind het niveau van de mensen die er zitten (op vlak van IT toch) echt ondermaats.
Het Europese parlement moet eens nadenken voordat ze dingen gaan roepen en zeker als het om ICT gaat .
Dit is sowieso een onderwerp waar het Europarlement zich m.i. niet mee te bemoeien heeft.
Zeer zeker, Zulke dingen mogen ze overlaten aan mensen die er verstand van hebben, en dan daarover kunnen discussieren.
en die zijn? in iedergeval niet de gemiddelde tweaker hier...
Ook al zouden ze het verbieden, het gebeurt toch wel ..
alleen is er dan dus een europese wet...
Ja hoor veel succes daar mee.
wat kun je met pentesttools niet wat je met hacktools kan.
Dan ook maar messen verbieden, en alles waar je ook maar iemand mee kan vermoorden.

Dity is toch geen oplossing, dan huur je toch een server buiten de EU en gebruik je de hack-software toch via het buitenland.
EN dus ook schroevendraaiers, hamers, bier en andere soorten alcohol. gewoon omdat het potienteel dodelijk kan zijn.
Onder de wapenwet valt een mes, als je dat op zak hebt op straat, ook gewoon onder Categorie IV.

http://www.rijksoverheid....elke-wapens-zijn-verboden
Bepaalde categorienen messen zijn wel degelijk verboden om op straat bij je te hebben. Denk aan vlindermessen met een extra lang lemmet. En inderdaad, die messen zijn verboden omdat die typisch gebruikt worden om iemand te verwonden/vermoorden.

En dat zo'n wet bestaat, wil desondanks niet zeggen dat je geen grote messen in de keuken kunt gebruiken.


Idem met deze wet.
Niet zozeer bepaalde categorieen, je mag bv ook geen aardappelmesje bij je hebben als je gaat stappen..
En dat zo'n wet bestaat, wil desondanks niet zeggen dat je geen grote messen in de keuken kunt gebruiken.
Aangezien er ook nooit mensen in de keuken verwond, gedood of vermoord raken.?

De standaard pavlov-reactie van de overheid weer. We worden gehackt, hacken verbieden.
Is dit inclusief de software van de politiekorps en overheden? Want die beschikken over de meest professionele software onder dit soort groepen. ( hackers hebben uiterraard professionelere software ) O-)
Ik kan het nut hiervan wel inzien maar het lijkt mij niet echt haalbaar. Er zal toch altijd wel ergens gedeeld worden neem ik aan.
En hoe zit het dan met IT security opleidingen? Ik weet dat die meestal wel een paar tools gebruiken om te 'hacken' (was op mijn hoge school zo). Ze moeten toch eerst weten hoe je binnen kan komen om er tegen te beschermen?
Dit werpt een derde vraag op: definieer "hack tools"
En wat is hack-software dan?
Valt vb Wireshark daar onder?
Wanneer is iets effectief "hack-software"?
Komt er dan een publieke lijst die je moet checken voor je iets download?

Verder zal zo een regel volgens mij ook de mensen die de veiligheid van eigen systemen willen/moeten testen serieus hinderen...
Dat is een hele goede vraag. Als ik connectieproblemen heb (bv met een server op het werk, of een lokale web server van een vriend) dan gebruik ik regelmatig Nmap om te kijken of de betreffende poort wel openstaat. Nmap is alleen ook erg goed te gebruiken door hackers. Mag dat in de toekomst ook al niet meer, omdat een hacker het wel eens zou kunnen gebruiken?
Dus mijn LoginWithoutPassword.exe is straks verboden! :-(

Zonder gein, inderdaad netwerksniffers (zijn de berichten die ik verstuur of via bv internetbankieren ontvang wel netjes versleuteld) , portscanning tools (staat mijn firewall wel goed dicht, die config is tenslotte best complex) en debuggers (waarom crasht mijn app telkens) kunnen daar dus nooit onder vallen.

Zijn er dan nog andere echt puur voor hacken bedoelde tools?
Dan host je toch je tools op een buiten-EU webserver? Probleem opgelost.
of gewoon niet hosten, maar bij je dragen op een usbstick ofzo.
Ik bedoel voor de auteurs van de tool. Die mogen dat dus niet meer verspreiden binnen de EU, nou dan host je het toch op een US server? Of dichter bij huis, Noorwegen of Zwitserland...

[Reactie gewijzigd door ebia op 29 maart 2012 12:22]

1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013