Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 61 reacties, 21.279 views •

Een Roemeense hacker die heeft ingebroken in de systemen van onder meer de NASA, de ESA, het Pentagon en MySQL, krijgt een voorwaardelijke celstraf van twee jaar. Ook moet de hacker een boete van omgerekend 93.000 euro betalen.

De Roemeense hacker Manole Razvan Cernaianu, beter bekend als TinKode, is in zijn thuisland Roemenië veroordeeld tot een voorwaardelijke celstraf en het betalen van een schadevergoeding. Dat blijkt uit een samenvatting van de zaak op de website van het Roemeense ministerie van justitie, waaruit Computerworld citeert.

De hacker, die geheime informatie heeft buitgemaakt en die op zijn eigen website plaatste, kreeg van de rechter zes voorwaardelijke gevangenisstraffen opgelegd van een tot twee jaar voor een aantal vergrijpen, zoals het inbreken op een beveiligd computersysteem. Omdat de vergrijpen op hetzelfde moment werden begaan, wordt de voorwaardelijke straf gemaximeerd op twee jaar cel. Begaat de Roemeen in de komende vier jaar een vergelijkbaar misdrijf, dan moet hij de straf uitzitten.

Daarnaast moet de hacker een flinke, onvoorwaardelijke schadevergoeding betalen, van omgerekend 93.000 euro. Het meeste geld gaat naar MySQL-eigenaar Oracle en de NASA. De hacker heeft altijd volgehouden geen kwaad in de zin te hebben gehad en probeerde in sommige gevallen de gehackte bedrijven op de hoogte te stellen van kwetsbaarheden die hij vond.

Reacties (61)

Reactiefilter:-161061+151+210+30
Moderatie-faq Wijzig weergave
Even voorop dat dit geen Ethical Hacking is, op moment dat je data van andere moedwillig kopieert en verspreid ben je gewoon strafbaar en terecht.

En ik ben zelf Certified Ethical Hacker en MrWillow inderdaad screenshots maken kan strafbaar zijn alleen niet als je de informatie ongevraagd krijgt aangeboden.

ofwel ik kwam een keer bij een gaming site en 1 in de 3 keer kreeg ik php code en zag dat ze short tags gebruikte en in mijn vermoeden dus op 1 van de 3 front ends php short tags is off hadden staan. waardoor ik hun sql username en password voorgeschoteld kreeg.

Dan kijk je als ethical hacker dus even in de whois van wie die site is, belt ze even op kost wat moeite langs de telefoniste te komen. (Zeker bij spelletjes sites) en dan leg je even uit wat er aan de hand is. Je gaat dus niet proberen of het werkt en connectie maken en hun database kopieren als bewijs. Ongevraagd connectie maken ook met default wachtwoorden mag niet. (Alleen in opdracht van het bedrijf)

Maar als ik een website opvraag en ik krijg gegevens ondanks dat die niet voor mij bedoelt zijn kan ik er niets aan doen. Hacks en scripts ongevraagd gebruiken mag gewoon niet dan zet je een eigen test server op met bepaalde versies en probeer je het daarop.

En de beveiliging wordt keer op keer verbeterd, maar goed ik had ook liever dat ze nooit in me auto of huis konden inbreken. Feit is dat het nog steeds gebeurt. Inderdaad ben ik het eens dat de priority van IT mensen nog vaak ligt op werkend krijgen en niet op beveiliging. Bewust blijven maken en stap voor stap verbeteren.

even ter verduidelijking en het voorbeeld wat ik gaf was een simpele en een erg slordige van het bedrijf.

Maar in alle gevallen beschrijf je de methodiek, en kopieer je dus geen data die niet van jouw is. Ook bij penetration testen e.d. beschrijven we altijd onze methodieken en leveren die aan het bedrijf. Je hebt dus absoluut geen data nodig als bewijs als je een lek wilt dichten. Op moment dat ze data gaan kopieren is het hooguit als bewijs aan de rest van de wereld dat het ze gelukt is. Dus nergens voor nodig als je doel als Ethical Hacker is het gat te dichten.

[Reactie gewijzigd door e.cools op 8 oktober 2012 17:06]

e.cools zegt:
Ongevraagd connectie maken ook met default wachtwoorden mag niet. (Alleen in opdracht van het bedrijf)

Jij gaat ooit een bedrijf tegenkomen dat jou aan gaat klagen ondanks dat jij toestemming hebt gekregen. Het argument is dan "degene die jou (telefonisch of per mail?) toestemming heeft gegeven was niet bevoegd om toestemming te geven". Jouw verweer: "ja maar hij sprak wel namens uw bedrijf". Tegenargument: "volgens de regels van de bureaucratie ben ik verplicht om u toch wettelijk aan te klagen".

Een manager weet niet hoe de vork technisch gezien in de steel zit en ziet al gauw iets aan voor een hack. Zelfs als je thuis je router open hebt staan en iemand maakt 'gratis' gebruik van jouw internetverbinding, dan ziet een manager dat als "hacking". Op grond van dit soort ultrastomme geestelijk gestoorde redeneringen en om geen gezichtsverlies te lijden tegenover zijn klanten, klaagt het bedrijf jou aan. Jij hebt geen 30k euro op je bankrekening staan om de advocaatskosten te betalen. Je krijgt geen prodeo-advocaat want je hebt een bovenmodaal salaris. Als je ZZP-er bent worden al je PC's en hardeschijven in beslag genomen. Tot dat de rechter een vonnis heeft uitgesproken mag je uit veiligheidsredenen niet binnen een straal van 20 meter komen van een computer, dus je kunt bij voorbaat al niet werken. Uiteindelijk win je een jar later de rechtzaak, maar ben je wel je huis en je baan kwijt. Dit is geen ondenkbaar scenario. De krantenartikelen vertellen nooit wat er over 2 jaar van een ethical hacker is geworden die ten onrechte is opgepakt. Ik wil wedden dat Tweakers over 2 jaar geen update geeft over de hacker van bovenstaand artikel. Even voor de duidelijkheid, ik kan op basis van dat artikel niet goed beoordelen of hij ECHT geheime info op zijn website heeft geplaatst of dat het bijvoorbeeld de menukaart van de kantine was die hij op zijn website heeft geplaatst. In beide gevallen zal de NASA zeggen dat het gaat om ultrageheime info waarmee uiterst veel schade kan worden toegebracht aan de VS en zijn onderdanen en dat dit gaat om een extreem terroristische daad. Als het gooien van een waxinelichthouder naar de koningin hier in Nederland al kan leiden tot ruim een jaar cel, dan is deze hacker er toch goed van afgekomen met een boete van 96k euro aan de NASA en MySQL. Als ik het artikel goed begrijp heeft de "hacker" de info op zijn website geplaatst uit frustratie omdat hij geen reactie kreeg op zijn melding, in tegenstelling tot andere ethische hacks waarbij hij wel reactie kreeg van een bedrijf.

Ik ben iemand die van nature heel graag anderen helpt op forums en IRC, ik verspreid mijn kennis en doe vrijwilligerswerk, ik help mensen IRL met computerproblemen. Maar ik ga niet vrijwillig bedrijven helpen als er zoveel voorbeelden zijn van ethical hackers die in de problemen zijn geraakt vanwege hun hulpvaardigheid. Stank voor dank moet keihard afgestraft worden en dat kan alleen maar gebeuren als alle ethical hackers ophouden om bedrijven te 'helpen' zodat die bedrijven eens flink worden aangevallen door echte Chinese hackers. Ondanks de weinige wetten die bedoeld zijn om ethical hackers te beschermen is jouw positie toch zwak.

Jij wil de put dempen voordat het kalf verdrinkt. Maar wij ICT-ers moeten het spreekwoord in stand houden door eerst het kalf te laten verdrinken. Handel volgens het spreekwoord en ga alsjeblieft niet het spreekwoord veranderen want je bent geen taalkundige. Wat ik zeg klinkt krom, maar het recht is nou eenmaal krom. Daar kun jij niets aan veranderen. Alleen samen kunnen we iets veranderen.
Inderdaad heb je gelijk dat dit ook Juridisch een moeilijk onderwerp is, en het woord hacker in de maatschappij algemeen verkeerd is begrepen. Buiten dat ik denk dat dit een script kiddy is geweest die met Backtrack waarschijnlijk een aantal Meta-expoits heeft losgelaten. Zijn de woorden hacker en cracker een beetje verwatered. Waardoor iedereen bij hacker gelijk aan boosaardig denk en de ter Ethical Hacker over het algemeen betekend dat je security doet.

Wat deze jongen heeft gedaan hoe dan ook en met welke beste bedoelingen misschien dan ook is geen ethical hack. Bij een Ethical hack beschrijf je het mogelijk probleem en de methodiek die je gebruikt en kopieer je nooit en te nimmer data van een bedrijf. Ook niet als het bedrijf je vraagt hun systemen te testen, en het is alleen een Ethical Hack als het bedrijf je vraagt het systeem te testen. (Tuurlijk zorg je dat je in de KvK checked of de persoon teken bevoegd is en in welke mate hier heb ik inderdaad Advocaten voor)

An ethical hacker is usually employed by an organization who trusts him or her to attempt to penetrate networks and/or computer systems, using the same methods as a hacker, for the purpose of finding and fixing computer security vulnerabilities. Unauthorized hacking (i.e., gaining access to computer systems without prior authorization from the owner) is a crime in most countries, but penetration testing done by request of the owner of the targeted system(s) or network(s) is not.

NASA heeft geen toestemming gegeven -> dit is geen Ethical hack.

Dus mijn punt 1 was je hebt geen data nodig om een hack of exploit te bewijzen. Dit doen dus alleen "Hackers" die meer willen dan alleen een security leak dichten.

Ik test zoiezo niet ongevraagd systemen van bedrijven met exploits. Dit kan je inderdaad alles koste wat je hebt en ik ben gekke henkie niet.

Dan zeg je je moet bedrijven niet helpen. Als ik toevallig iets zie wat mij aanduid dat er problemen zijn. En ik gaf een heel simpel voorbeel het kan ook iets zijn als ik op een bladzijde een sql error krijg die mij aanduidt dat ze een bepaalde versie van software draaien waar ik bugs van weet etc. Dan stel ik het bedrijf inderdaad op de hoogte. Ik heb dan niets anders juridisch gedaan dan een aangeboden bladzijde opgrvraagd. Ik ga niet testen of het zo is. Ik zeg alleen deze melding doet me vermoeden dat je die versie van drupal gebruikt of die versie van mysql of dat je bladiebla doet.

Ik kopieer de melding, eventeel een artikel verwijzing met de betreffende exploit en wijs het bedrijf op de mogelijkheden. Ik ga dus niet testen of ik het kan of dat ik dingen informatie kan kopieren.

Ik help daar niet perse het bedrijf mee, maar ook de klanten van het bedrijf zodat we allemaal wat veiliger zijn. En als ik het tegen kom is het voor mij 5 minuten werk.

Ik help ook andere mensen met computers al verzwijg ik soms dat ik in de IT werk, geeft me wat meer rust op verjaardags feestjes :)

Ik zei daarbij dat als je screenshots maakt en dus informatie kopieert je de kans hebt dat je strafbaar bent.

Vaak is het geven van een url voldoende.

Als het iets dringenst is als een mysql password dan kies ik er voor even te bellen.

Mooi dat je vrijwilligers werk doet, ben zelf een ex blauwe barret, heb wat voor ontwikkelings organistaies gewerkt, 5 geadopteerde kinderen in africa, een school in india etc en alles kost me minder dan me advocaten kantoor :P Maar wat iemand precies doet etc is een beetje besides the point.

Ik heb ook wel genoeg levenservaring om te weten dat recht en rechtvaardigheid ver uit mekaar liggen . In sommige landen het het rechts van de sterkste is en in sommige het recht van de rijkste omdat ie 3 jaar tot die bodem procedures die advocaten kan betalen en links en rechts beslag op wordt gelegd.

En ik vindt dat als je data kopieert en op je website zet (buiten dat je een rund bent) je gestraft mag worden want dan pronk je met je diefstal. En ik vindt de straf ook nog buiten de geldboete erg laag, al weet ik niet goed wat je met computers nerds moet doen ze in een gevangenis met criminelen van andere aard lijkt me ook een beetje overdreven. Maar voorwaardelijk vindt ik ook wel weer makkelijk.

In elk geval dat je kan inbreken betekend niet dat je het mag. Ook al is het digitaal. Je roept om recht maar als ik sterker ben en iemand in elkaar kan slaan mag het toch ook niet. Zo moeilijk is het niet een beetje fatsoen te houden in de wereld.

En ik heb ook wel een kattekwaad uitgehaald en een paar fietssloten open maken en wisselen met die van de buren om te kijken of ik het kon toen ik 14 was. Ik heb zijn leeftijd niet opgezocht maar ik vindt wel dat je een beetje rekening mag houden dat sommige mensen volwassen moeten worden en als tiener het leuk is als je iets kan.

En dus nee je moet altijd proberen de put te dempen voordat het kalf verdrinkt want je hebt niet de (boer) direct ermee (indirect 1 van ze kalven kwijt) maar dus het kalf. De eindgebruiker die de bank met zijn centjes vertrouwd. Sony met zijn gegevens etc etc.

dus
1) kopieer niets (steel niet van anderen)
2) wijs mensen op hun fouten, ik heb er ook genoeg en leer graag van anderen
3) wie goed doet komt misschien goed tegemoet, en als dat niet zo is en ik me huis kwijt ben hoop ik dat iemand me een bruine boterham geeft.
Mensen denken te makkelijk.

Publiceren etcetera maakt niet alleen dat andere bedrijven er rekening mee kunnen houden, maar is ook een les voor andere hackers die er van leren, en ook weer uit worden gedaagd nog verder te gaan dan ze vaak al doen.

Zo wordt hacken steeds populairder en creŽer je een nog groter probleem. Door het in de doofpot proberen te stoppen houdt NASA die enorme stroom tegen.

Ik maak me verder geen zorgen om deze gast. Hij is fout geweest, zit zijn straf uit. Straks staat er een groot bedrijf bij hem op de stoep om 'm een leuk baantje aan te bieden en heeft ie zo die ton bij elkaar verdient. Hij heeft zich in ieder geval geprofileerd.
Bedrijven luisteren toch niet naar je als je een vermoeden hebt dat de beveiliging zwak is, en als je eenmaal binnen bent en het meldt hangt er een proces aan je broek, vooral in Amerika. Je kunt blijven claimen dat je puur een ethical hacker bent, je wordt gewoon betrapt terwijl je door het kelderraampje klimt zogezegd.
Wat mij ook keer op keer verbaast is de vreemde reactie van bedrijven. In de luchtvaartindustrie geldt het principe van delen. Als er door een probleem een vliegtuig neerstort, dan wordt dit onderzocht. De resultaten van het onderzoek worden gepubliceerd en gedeeld met de wereld, zodat alle andere maatschappijen maatregelen kunnen nemen en het probleem niet nog eens optreedt. Zeg maar het 'Once, but never again' principe. Dat is in die industrie vanzelfsprekend en iedereen snapt het ook het nut daarvan.

Maar als in informatiebeveiliging ergens een lek ontdekt wordt door en hacker en hij meldt dit aan de organisatie dan worden de details van de hack geheim gehouden en de hacker aangeklaagd. Ze moeten de hacker juist bedanken en het hele gebeuren publiceren, zodat anderen ook hun maatregelen kunnen treffen. Nu houdt men het geheim en kan het de buurman ook overkomen. En zo komen we uiteindelijk niet verder.

Als meneer Stegeman inbreekt in Schiphol en een nep-bom plaatst in het koninklijke vliegtuig snapt iedereen dat er een probleem is en schreeuwen we van de daken dat er iets moet gebeuren. Als het om een hack gaat, dan is het ineens anders, terwijl de potentiŽle gevolgen veel en veel erger kunnen zijn.

En natuurlijk begaat de hacker in essentie een illegale daad. Maar het is maar net hoe en waarom hij het doet. Als hij achter het lek komt en het bedrijf op de hoogte stelt en data gebruikt als bewijs voor zijn hack, dan zie ik geen kwaad en zou je als bedrijf blij moeten zijn. Doet de hacker foute dingen met de buitgemaakte data dan wordt het een ander verhaal.

Alhoewel ik mij zelf redelijk bescheten zou voelen, zou ik blij zijn als er op een dag aangebeld wordt door iemand die zegt dat hij heel eenvoudig in mijn huis kon inbreken en om dat te bewijzen heeft hij (bijvoorbeeld) een laptop meegenomen. Als hij de laptop netjes aan de deur weer teruggeeft en verteld waar mijn huis slecht beveiligd is, dan krijgt hij een kop koffie en een bloemetje. En als het beveiligingsprobleem er een is die anderen ook kunnen hebben (bijvoorbeeld een beveiligingssysteem dat heel eenvoudig uit te zetten is op afstand), dan zou ik het openbaar maken.
In plaats van veroordelen en stilhouden, moeten we bedanken en openbaar maken. Pas dan komen we ergens met beveiliging.

Onder het motto: Once, but never again!

Dat laat natuurlijk onverlet dat hackers die inbreken met foute bedoelingen natuurlijk wel aangepakt dienen te worden. maar ook in dat geval moeten de details van de hack wederom gewoon openbaar gemaakt worden. Op die manier kunnen anderen zich wapenen tegen dezelfde hack. Nu moet iedereen het wiel steeds opnieuw uitvinden en dat is zonde van tijd en geld.

[Reactie gewijzigd door Killer op 8 oktober 2012 10:45]

Die beveilings publicaties zouden niet heel interessant zijn:

- website liet sql injectie toe
- website liet sql injectie toe
- website liet sql injectie toe
- website liet sql injectie toe
- website liet sql injectie toe
- website liet sql injectie toe
- website liet sql injectie toe
- website liet sql injectie toe
- website liet sql injectie toe
- website liet sql injectie toe
- etc.
Of eerder zo,

publicatie: sql hole, sql hole, sql hole..

Plots een daadwerkelijk lek:
Houden voor de geheime diensten van de Amerikaanse overheid en definiŽren als sql hole.
Alsof sql injectie altijd ' or 1= 1 --; is...
Sql injection is een zeer interessant domein en ik ben best benieuwd hoe hij is binnengeraakt bij de NASA.
Bedrijven luisteren toch niet naar je als je een vermoeden hebt dat de beveiliging zwak is, en als je eenmaal binnen bent en het meldt hangt er een proces aan je broek, vooral in Amerika. Je kunt blijven claimen dat je puur een ethical hacker bent, je wordt gewoon betrapt terwijl je door het kelderraampje klimt zogezegd.
Maar volgens de lokale wet is het proberen in te breken gewoon strafbaar (net als in de US en in de meeste andere landen). Dus je mag best tegen een bedrijf zeggen dat je denkt dat hun beveiliging zwak is maar je mag het niet uitproberen. Als je dat dan wel doet en betrapt word moet je niet piepen. Heeft niet te maken met klokkenluiders maar met inbrekers. Als jij over een parkeerterrein loopt en alle auto's probeert te openen ben je ook niet op zoek naar een probleem in beveiliging maar ben je aan het proberen in te breken. Die misplaatste steun van tweakers voor dit soort crimineeltjes is verbazingwekkend.

Laten we er van uitgaan dat hij de beveilingsproblemen (zo die er waren) niet vond terwijl hij foto's aan het bekijken was op de NASA site he?
[...]

Laten we er van uitgaan dat hij de beveilingsproblemen (zo die er waren) niet vond terwijl hij foto's aan het bekijken was op de NASA site he?
Dat is de grote aanname die je maakt. Het kan zomaar zijn dat een 'hacker' via een broken link of zo onbedoeld op een deel van de site uitkomt waar meer mogelijk is dan wat eigenlijk publiek zo moeten zijn. Ik hoef echt niet aan de deur van elke auto te zitten om erachter te komen of deze op slot zit of niet, bij de meeste auto's is dat van buitenaf al te zien. Dan kun je gewoon niet meer spreken van inbraak (wat wordt er dan gebroken?) of insluiping, maar van constatering, wat vziw geen strafbaar feit is.

Het probleem is de mentaliteit die bedrijven erop na houden. Er wordt een serieus lek gemeld en die melding gaat regelrecht de prullenbak in. Bedrijven vinden het vervelend zoiets te horen omdat dat betekent dat ze kosten moeten maken om verbeteringen door te voeren. Dus houden ze het liever onder de pet, volledig voorbijgaand aan de mogelijkheid dat het lek al langer in het systeem zit en misschien al grootschalig misbruikt wordt, met alle gevolgen voor hun business/klanten van dien. Als uiteindelijk de klokkenluider genoeg heeft van de radiostilte van het bedrijf en het lek publiceert, dan komt het het bedrijf erg goed uit dat er wetten zijn die ze kunnen aangrijpen om deze 'hacker' dan maar een lesje te leren.

Bedrijven zouden juist blij moeten zijn dat dit soort lekken opgemerkt en vooral gemeld worden. Dit geeft hen de kans om de zaakjes op orde te stellen en dit ook wereldkundig te maken, wat, hoe je het ook bekijkt, alleen maar positief voor het imago kan zijn. Ja, belachelijk dat het lek kon bestaan. Dat lek komt toch wel naar buiten, of je dat leuk vindt of niet. Dus kun je het maar beter zelf opbiechten, en er gelijk bijvertellen dat je maatregelen hebt getroffen, dan dat je met je mond vol tanden staat, een 'onderzoek' start en ondertussen een blik advocaten op de persoon afstuurt die sympathiek en goedaardig genoeg was om je op de hoogte te stellen van het lek.
Toch geloof ik niet dat de vergelijking hier op zijn plaats is. Als het om 'gewone' auto's gaat, dan kan ik je vergelijking volgen. Als jij echter de auto van je advocaat ziet staan en je afvraagt of jouw dossier, dat in die auto ligt, niet al te makkelijk te pakken is, dan zou je even kunnen controleren of de auto op slot zit.

In veel gevallen gaat het niet om een beveiligingslek waarmee aan website gehijackt wordt, maar om het niet goed afsluiten van gegevens die eventueel privacygevoelig zijn.
Hij is niet betrapt bij het "door het kelderraampje klimmen", maar bij het "aanbieden van gemaakte buit", hoewel die analogie natuurlijk ook niet helemaal op gaat.
Uiteindelijk is het vaak de arrogantie van software bedrijven die hackers drijft tot het bewijzen van een lek. Daarmee gaan ze wettelijk vaak over de schreef.

Ik zou in dergelijke scenarios als bedrijf dan ook eerder gaan voor een beloning bij het aanbieden van een goed uitgewerkt proof of concept van een lek. Dat zou dan wel rechtstreeks aangeboden moeten worden en niet via de media.
Als de bedrijven echter niet-thuis geven dan zou ik ook snel voor publicatie gaan. Helaas voor hem deed hij dat op zijn eigen site en hiermee wordt hij waarschijnlijk ook harder gestraft dan als hij het via een derde partij nieuwsorganisatie had gedaan.
Om "beveiligslekken op te zoeken". Dat is toch de grootste larie van allemaal. Waarom zou je a. dit onbetaald doen, en b. je gaat toch ook niet fysiek aan mensen hun voordeur trekken om te kijken of die dicht is?
Zou je dat ook zeggen als iemand er door zoeken achterkomt dat de een bepaald type vliegtuig een erg probleem heeft? Of wacht je liever tot het ding neerstort en men er dan achter komt?

Beveiligingslekken zijn een veel groter probleem dan we denken. De potentiŽle schade die daar mee aangericht kan worden is groot.Maar we verkiezen het om maar te denken dat alles veilig is en verschuilen ons achter die schijnveiligheid.

En wat maakt het uit of iemand dit betaald of onbetaald doet? Ieder zijn ding. Er zijn ook mensen die onbetaald ratten kweken, terwijl je ze gratis in het riool kunt ophalen...
Niet iedereen is uit op geld, er zijn ook mensen die handelen uit interesse of ideŽle gronden.
Is hetzelfde dat hackers vaak tips geven over kinderporno zoals Anonymous dat wel eens doet.

Theoretische gezien win je hier persoonlijk toch ook niks mee Je wilt dit soort dingen voorkomen omdat er anders niets aan gebeurt. Gelukkig is niet elke persoon slecht en denken ze om andere.

Maar goed door dit soort nieuwtjes ga je soms wel twijfelen hoe ver je mensen wilt helpen. Je moet kiezen tussen jezelf in de penarie helpen of andere helpen.. dat is jammer.

[Reactie gewijzigd door linkkrw op 8 oktober 2012 11:37]

maarja, is het misschien niet anonymous die dan juist de kinderporno op de betreffende site heeft gepropt om mensen er aan te naaien.. denk daar ook maar eens over na, 'anonymous' zijn voor een groot deel helemaal geen lieverdjes, voornamelijk egotrippertjes..
De hacker heeft altijd volgehouden geen kwaad in de zin te hebben gehad en probeerde in sommige gevallen de gehackte bedrijven op de hoogte te stellen van kwetsbaarheden die hij vond.
Goed dat ie het geprobeerd heeft, maar dan moet je niet alsnog kattenkwaad gaan uithalen als je op bijvoorbeeld ťťn e-mail (om te zeggen dat je het geprobeerd hebt) geen reactie krijgt. Eigen schuld, dikke bult.
Eigen schuld dikke bult?! Zelf vergelijkbare situatie meegemaakt bij Interconnect; volledige toegang tot 300+ databases van klanten. Mailtje gestuurd naar diverse mailboxen. 0,0 reactie. Vervolgens nieuwe mail, met woorden; ik maak het publiekelijk! Werd ik binnen 5min. telefonisch terug gebeld met tekst en uitleg. Maar officieel bericht naar de klanten is nooit verstuurd, iets wat ik had gevraagd. Ik snap het dan ook helemaal; volgende keer direct publicatie opzoeken.
Ik doe niet mee aan dit soort ethical hacking. Je kunt nog zoveel goede bedoelingen hebben en duidelijk aantoonbaar maken dat je geen slechte bedoelingen had, maar door bureaucratie en de letter van de wet kun je wel degelijk in de cel belanden. Nogmaals: ondanks je aantoonbare goede bedoelingen. Soms kom ik per toeval weleens iets tegen op een website zonder dat ik op zoek was naar een beveiligingslek. Dan doe ik alsof ik niets heb gezien. Laat ze maar lekker ten prooi vallen van een echte hacker. Laat ze maar lekker stikken met hun beveiligingslek. Er zijn geen wetten die in het voordeel werken van de ethical hacker. Je hoort weleens dat de overheid op zoek is naar een hacker en zo. Ook daar blijf ik buiten, want je moet toch wel kunnen vertellen wat voor hacks je hebt verricht (CV). Mensen die in de paradoxale bureaucratische molen willen draaien en gigantische boetes willen krijgen moeten vooral op dit soort vacatures reageren.
Zelfs als je kunt bewijzen dat je goede bedoelingen hebt, dan wordt eerst je PC in beslag genomen om te kijken of jouw verklaring wel overeenkomt met wat er op je PC wordt aangetroffen. Je huis wordt doorzocht, alle plinten losgemaakt, en je mag de schade zelf betalen. Als het onderzoek over 6 maanden voorbij is, dan mag je een schriftelijk verzoek indienen om je PC weer terug te krijgen. Als het een beetje meezit met de bureaucratie, dan heb je je PC over een jaar weer terug en 10k euro aan advocaatskosten. Je krijgt geen vergoeding voor de schade, want er waren terechte redenen om aan te nemen dat je een echte hacker (of terrorist) was.
Vervelend hoor. Maar waren moeten " hackers" altijd doen alsof ze een god zijn? Als mensen zo'n e-mail ontvangen zal het misschien wel wat tijd kunnen kosten om te achterhalen of er daadwerkelijk iets mis is in het systeem van een bedrijf.

Je wil het bedrijf helpen, maar toch ook weer niet...
Geloof jij daar maar lekker in maar ik heb contracten onder ogen gehad met boetes van 10duizend euro per dag in het geval van een mogelijk data lek
Ja en jij starte je lappie op en opeens stonden daar 330 +databases voor je neus.
Nee moest eerst via Facebook de website van Interconnect liken, waarna ik een mailtje kreeg die ik moest activeren. Om via de itunes een app te downloaden. Daarbij krijg je een sms-actie code voor 4333, na versturen van sms kreeg ik een file met DB toegang :F :N :+ 8)7
Ik vind dat wel heel kort door de bocht - het artikel zegt niks over wat de hacker heeft aangericht, behalve dus dat hij data gestolen gekopieerd heeft. Er wordt in het artikel niet gezegd wat voor data hij nu precies gestolen heeft van de bedrijven, en wat hij ermee gedaan heeft.

In dit soort gevallen kan het heel goed dat hij echt geen kwaad in de zin had. De keuze voor een bedrijf als Oracle, maar ook voor NASA of ESA is snel gemaakt: publieke afgang omdat we zijn gehackt, of vragen we aan RoemeniŽ om de hacker in de cel te gooien.

Dan is er ook nog RoemeniŽ, die de VS gewoon klakkeloos helpt?

Natuurlijk kan het best dat Manole Razvan Cernaianu helemaal niet uit was op wat media-aandacht en gewoon flink wou cashen met mogelijk geheime data van NASA. Als dat het geval is denk ik dat een celstraf wel gerechtvaardigd is.

Mijn spreek absoluut geen Roemeens, en die site (http://portal.just.ro/Ins...=MjI1MDAwMDAwMDAwODIxMDU*) is te traag voor Google Translate, maar ik ben wel nieuwsgierig.
Er wordt in het artikel niet gezegd wat voor data hij nu precies gestolen heeft van de bedrijven, en wat hij ermee gedaan heeft.
Dit staat wel degelijk in het artikel
De hacker, die geheime informatie heeft buitgemaakt en die op zijn eigen website plaatste, kreeg van de rechter zes voorwaardelijke gevangenisstraffen opgelegd van een tot twee jaar voor een aantal vergrijpen, zoals het inbreken op een beveiligd computersysteem.
Ben persoonlijk nieuwsgierig wat hij exact heeft gevonden/geplaatst.
Maar tegelijkertijd ben ik het wel eens met de straf, dat hij de bedrijven op de hoogte heeft gesteld is goed, maar nog geen excuus om de data dan maar te kopieren en op eigen site te plaatsen.

Maar zoals Huismus al stelt, we weten niet de intenties van de man met deze data.
Wat heeft hij geplaatst dan? Misschien wel net voldoende om te laten zien dat hij er echt in geweest is, in de vorm van voor derden waardeloze data? Lijkt me toch niet ongebruikelijk bewijs te leveren voor een hack. Er staat nergens dat er iets is gepubliceerd waardoor die organisaties schade leden (anders dan imago schade).
Dat wordt inderdaad vaker gedaan. Een bewijsje aan de buitenwereld dat een bepaalde hack gelukt is. Vaak zijn dat voorpagina's en inhoudsopgaven of iets. Is ook een stukje statusverhoging of iets.
De vraag is waar de hoogte van deze boete (93.000 euro) op gebaseerd is. Ik neem aan dat deze hacker niet zoveel geld tot zijn beschikking heeft, of zou hij deze data doorverkocht hebben?
Als je data gekopieerd hebt waarvoor je niet bevoegd bent, dan ben je al fout bezig.
Ik kan me goed voorstellen dat je 'bewijs' zoekt en vervolgens kopieert, maar je moet je dan wel bewust zijn van het feit dat je dan ook direct strafbaar bezig bent met (gevoelige) informatie van een bedrijf of haar klanten.

[Reactie gewijzigd door Alphyraz op 8 oktober 2012 10:09]

Er moet in de wereld een betere bescherming komen voor klokkenluiders. Als de man de waarheid spreekt en echt nooit enig kwaad in de zin had is hij wel een beetje hardhandig aangepakt. Desondanks was het niet netjes dat hij de info meteen online plaatste. Lijkt erop dat de getroffen organisaties liever weer de tekenen van de lek de kop in drukken dan de boel patchen. Jammer... Het is al heel wat dat de Roemeen niet meteen aan de VS is uitgeleverd. Die hebben doorgaans erg snel het waanidee volledige jurisdictie bij dit soort zaken te hebben.
Eens. Aan de andere kant staat in het artikel dat hij een volledige website (welke ook nog eens geheim was) 1 op 1 op zijn eigen site heeft gezet. Niet erg netjes en i.m.o. ook goed dat de overheid hem leert dat dit niet de juiste manier is.
Wist de hacker dat de info geheim was? Stond er bovenaan "TOP SECRET"? Of ging het om de lijst met maaltijden van de kantine, onder het mom van "alle bedrijfsinformatie = geheime informatie"?

Het artikel is niet volledig.

De waxinelichtgooier is ook aangeklaagd onder het mom van "met een voorwerp van meer dan 6 ons kun je iemand ernstig verwonden" (Persrechter Den Haag) omdat hij de waxinelichthouder tegen de kogelvrije koets heeft gegooid met een flauwe boog. En als hij hetzelfde had gedaan bij het busje van de melkboer, dan had de melkboer 0 op het rekest gekregen bij de rechtbank.

Bureaucratie komt echt niet alleen maar in Nederland voor hoor.
Gevestigde orde is als de dood voor klokkenluiders, die zullen nooit bescherming geven. De Nederlandse overheid heeft dit GEZEGD te doen, maar zoals altijd doen ze het tegenovergestelde.

Crowdfunding is de enige oplossing om de klokkenluiders op de been te houden. U en ik, de "particulier" hebben niets te zeggen, maar samen zijn we onverslaanbaar.
Offtopic: Een klokkenluider is:
- ofwel een werknemer die misstanden in zijn bedrijf of organisatie naar buiten brengt (Van Dale), daarbij al dan niet anoniem;
- ofwel iemand die van binnen de handelende organisatie illegaal handelen, misstanden, of onrecht binnen bestaande machtssystemen openlijk aan de kaak stelt;
- ofwel iemand van buiten die als belanghebbende misstanden in een bedrijf of organisatie naar buiten brengt, al dan niet anoniem.
Bron: http://nl.wikipedia.org/w...er_(melder_van_misstanden)

Ontopic:
Deze persoon heeft aan de rechter kennelijk niet overtuigend naar voren weten te brengen dat hij handelde in het belang van de organisaties die hij hackte. Als ik dan lees dat hij informatie plaats op zijn eigen website (voor erkenning in de scene?) en in sommige gevallen (dus niet alle gevallen) de gehackte bedrijven op de hoogte bracht van de matige beveiliging dan overtuigt hij mij ook niet echt.
ach, pleurt op zeg, dit heeft niets te maken met klokkenluiders.. Ten eerste moet je al niet zonder toestemming gaan proberen te hacken, k doe je dat dan toch, en ben je echt netjes, dan doe je daarna NIETS! met de data die je geroofd hebt ongeacht of je wel of niet een antwoord hebt gehad van de betreffende instantie.
TinKode gaf ook priveles voor SQL-injection op diverse hackingsfora. Hij werd als ťťn van de beste SQL hackers gewaardeerd in onze huidige tijd. Hij bofte met die 2 jaar, zelfs met 4 jaar straf, de hoeveelheid websites die hij heeft gehackt/platgegooid zijn niet te vergelijken met de aanvallen beschreven in dit artikel.

Hij was de man, de enige wie het lukte om de database van MySQL met een SQL-injection binnen te dringen, hij is een held!

Nog even ter toevoeging: Hij reageerde ooit in een topic ''Why do you hack?'' met de reactie dat zijn daden voor recreatief gebruik zijn, niet als baan of als hacker-for-hire, hij deed het met een passie en veel plezier.
Zelf kan ik me weinig herinneren van de databases die hij online had gezet, meestal waren het defaces.

[Reactie gewijzigd door Jairdebest op 8 oktober 2012 19:08]

Excuses het is dan duidelijk geen scriptkiddy maar een Cracker.
Wat/Wie hij ook mag zijn, als je de database van de maker van databases weet te bemachtigen, dan verdien je heel wat respect in de online wereld :P
Daar zou ik de hack voor moeten uitzoeken, ga ik in elk geval vanavond niet doen.

MySQL is niet door Oracle gemaakt maar opgekocht.
Ik weet niet welke versie van MySQL NASA draaide en of die gebruikt heeft gemaakt van een know bug.
de maker van database hmm je geeft Oracle wel veel eer, maar het is 1 van de grotere.

De hack van NASA en MySQL is zoiezo niet onopvallend. Hangt natuurlijk ook ten dele af van hoe safe de programeurs werken. Dus niet alleen van Oracle. Je moet in een database nou eenmaal commando's geven en de meeste SQL injections bestaan uit dat de programeur de data zo doorzet zonder check. Dit is meer een programeer fout dan een database fout. Maar dan is het NASA nog geen kleine naam.

Dit doorzetten heeft baracude laatst nog gedaan en kwam weg met een onze firewall was in onderhoud. kop op jullie maken die dingen je hebt er minsten 400 op de plank liggen.

Waar ik voornamelijk op reageerde is dat ze hem Ethical hacker noemde omdat ie zei ik wilde de fout kenbaar maken.

Eerst had je Hacker -> alternatieve oplossingen bedenken en iets gebruiken waarvoor het niet bedoelt was.

Cracker -> hetzelfde maar voor eiegen gewin dan wel naams bekendheid.

Script kiddy iemand die een gemaakt programma gebruikt om in systemen binnen te komen

Toen werdt alles hacker

Toen kreeg je Black hats and White hats en daarna ook security specialisten Blue hats

Blue hats werden uiteindelijk Ethical hackers omdat het in opdracht van een bedrijf gebeurde

En nu gaan ze iemand die inbreekt data steelt en op zijn website plaatst Ethical noemen :)

en dan zeggen dat Ethical hackers moeten ophouden, dat vondt ik een beetje erg incorrect. Das hetzelfde als een inbreker politie agent gaan noemen omdat een politie agent ook weet hoe je moet inbreken en dan zeggen dat Politie agenten maar mensen niet moeten waarschuwen dat ze hun tas niet open op de rug moeten dragen ofzo.

Dat ze maar moeten wachten tot die dame op de markt berooft wordt en dan zeggen eigen schuld dikke bult. Want ander worden ze misschien aangeklacht voor die dame sexueel lastig vallen.
e.cools zegt:
en dan zeggen dat Ethical hackers moeten ophouden, dat vondt ik een beetje erg incorrect. Das hetzelfde als een inbreker politie agent gaan noemen omdat een politie agent ook weet hoe je moet inbreken en dan zeggen dat Politie agenten maar mensen niet moeten waarschuwen dat ze hun tas niet open op de rug moeten dragen ofzo.
Dit is geen goede vergelijking, want als mensen door de politie gewaarschuwd worden, dan klagen ze de politie niet aan. IT-ers die met de meeste oprechtheid een bedrijf waarschuwen kunnen wel degelijk een proces verwachten.

Stel dat TinKode niet de geheime informatie op zijn website heeft gezet, maar uitsluitend een link naar de geheime informatie. Zou hij dan uit juridisch oogpunt ook strafbaar zijn geweest? Wat is je mening?

Als je eerst de put dempt, dan red je de kalf en maak je de boer blij. Maar gaat de boer dan ook actie ondernemen om ander putten te dempen? Ik denk het niet.

Kijk naar Project-X in Haren. Elk weldenkend mens wist van tevoren dat dit flink uit de hand had kunnen lopen, zeker gezien de ervaringen uit het buitenland. Maar zolang er geen incident gebeurt in ons land kun je blijven waarschuwen en waarschuwen... het is verkwisting van je adem. Zie jij het gebeuren dat er preventieve wetten worden gemaakt voor een Facebookfeestje terwijl er nog nooit eerder een dergelijk groot Facebookfeestje hier in Nederland heeft plaatsgevonden? Neem bijvoorbeeld de Love Parade in Duisburg, Duitsland, waarbij 21 mensen dood gingen als gevolg van gedrang en paniek. Stel dat jij zegt "ik vind dat er preventieve wetten moeten komen om Nederlandse burgers te beschermen in zulke situaties, bijvoorbeeld op stranden, festivals, treinstations (op koninginnedag?) en andere plaatsen waar veel mensen bij elkaar komen", dan word je keihard uitgelachen. Pas als er een grote ramp hier in Nederland plaatsvindt is de tijd rijp om te praten over wetten.

Net zo kan elk weldenkend mens inzien dat de staatsschuld sinds 1900 alleen maar is blijven stijgen ongeacht welke partijen er in de regering waren, hetgeen wil zeggen dat er alleen maar meer bezuinigingen aan zullen komen. Elk weldenkend mens kan inzien dat zonder extreem grondige hervormingen deze bezuinigingen zullen leiden tot een wisse dood van de Nederlandse short-term-thinking-politiek zoals we die nu kennen. Maar het heeft geen zin om daar nu over te praten, want de tijd is nog niet rijp. Mensen moeten eerst ervaren dat kortetermijndenken leidt tot bezuinigingen, dat moet erkend worden door de overheid en er moet een ernstig iets plaatsvinden, bijv 80% werkloosheid, voordat het roer omgaat. Het kalf moet echt eerst verdrinken. Of zie jij aankomen dat de regering nu al met preventieve maatregelen komt om de staatsschuld aan te pakken en zichzelf daarbij in de voet schiet? Elke politicus wil zijn termijn uitzitten, zijn salaris opstrijken en daarna onder de radar verdwijnen. Problemen oplossen is voor de volgende coalitie. Als de begroting voor volgend jaar op orde is, dan hoeft de minister zich niet druk te maken over mensen die over 20 jaar pas met pensioen gaan. Dat bewijst de geschiedenis.

Als je als ethical hacker binnen een bedrijf werkt, dan heb je meer bescherming dan wanneer je als individu gaat hacken vanuit je zolderkamertje. Ik heb enerzijds wel respect voor wat je doet hoor... zeker wel... maar ik vraag me af of die stank-voor-dank-attitude van bedrijven helemaal geen impact hebben op jou. Waarom help jij mensen die, bij wijze van spreken, in jouw schoenen poepen?

[Reactie gewijzigd door Jael_Jablabla op 8 oktober 2012 21:56]

Bedankt voor de geschiedenis van naamgeving, had wel zin in een opfrisser :)
Het gaat er voornamelijk om dat zo'n iemand zoals hij eerder een had baan moeten krijgen bij die bedrijven i.p.v. een celstraf.

Ik weet nog goed dat toen de arrestatie van TinKode bekend werd, hij nog gewoon online op diverse fora was en ook nog aangaf dat de gearresteerde hem niet betrof. Het kan zijn dat dit een valse statement was om zo TinKode eruit te krijgen, zijn aandacht te prikkelen dat iemand weg loopt met zijn welverdiende roem.

Hetgeen waar de meeste 'Ethical Hackers' mee zitten is dat ze gewoon aan het spelen zijn met hun vaardigheden (of programma's) en met wat geluk een lek vinden in iets groots, daar dan uit nieuwsgierigheid in rondsnuffelen en iets vinden waarmee ze hun naam bekend kunnen maken zonder het bedrijf al te veel schade te laten opleveren.
Toen ik zelf een aantal lekken aan de webmaster van het IBAN had ge-maild, kreeg ik maar telkens geen bericht terug totdat ik ze opbelde en zij mij toegaven dat de mailtjes niet altijd binnen de 72 uur worden bekeken (was al 2 weken verder, maargoed).

[Reactie gewijzigd door Jairdebest op 8 oktober 2012 20:24]

als hacker, moet je zelf toch ook wel kunnen beveiligen ik snap dat neit :S . Je hackt in bij NASA en de pentagon, dan moet je zelf toch gewoon beveiligen :S
Wat moet je beveiligen dan?
je zelf beveiligen tegen dit. Zodat je niet gepakt word.
Je gaat tenslotte bij een groot instituut :S dan moet je dit toch wel weten.
Om te beginnen moet je de buitgemaakte informatie niet op je eigen website zetten. :+
Als je hier zoiets doet wordt je waarschijnlijk verminderd toerekeningsvatbaar verklaard.

Waarom gaat het meeste geld trouwens naar MySQL en de NASA? Heeft de hacker gebruik gemaakt van een foutje in MySQL en een slechte beveiliging op de site van de NASA, en ze krijgen nu geld om de problemen op te lossen?
En daar komt nog eens bij kijken dat het een win-win is voor de betrokken partijen; ze hebben de boef in de kraag kunnen vatten en gratis advies over een lek in hun beveiliging...
Die boete is wel heel erg hoog gezien het gemiddelde wat iemand verdiend in RoemeniŽ ongeveer §9600 per jaar is.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True