Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 112, views: 17.445 •

Minister Opstelten van Veiligheid en Justitie wil niet dat bedrijven en organisaties aangifte doen tegen hackers met goede bedoelingen, die veiligheidsproblemen aankaarten. Wel moet de hacker dan niet verdergaan dan nodig om het beveiligingsprobleem aan te tonen.

Ivo OpsteltenAls hackers kwetsbaarheden op een 'verantwoorde wijze' kunnen melden bij bedrijven en organisaties, kan dat 'in belangrijke mate bijdragen aan het verhogen van de veiligheid van deze systemen'. Dat schrijft minister Ivo Opstelten van Veiligheid en Justitie in een brief aan de Tweede Kamer. Hij wil daarom dat organisaties geen aangifte doen tegen zogenoemde ethische hackers die beveiligingsproblemen aantonen en komt daarom met een leidraad. Dat had hij eerder al toegezegd.

Daarbij is het wat Opstelten betreft wel belangrijk dat hackers niet verdergaan dan noodzakelijk. Veranderingen aanbrengen in een systeem, gegevens kopiëren, verschillende keren toegang verschaffen tot een systeem of toegang delen met anderen zijn uit den boze, evenals social engineering en het plaatsen van backdoors. Van bedrijven verwacht Opstelten dat ze adequaat op meldingen reageren, deze zo snel mogelijk bij de juiste afdeling neerleggen en melders op de hoogte houden van de voortgang. De richtlijn suggereert bovendien dat bedrijven ethische hackers een beloning kunnen geven voor het melden van een probleem. In de eerste plaats is het de bedoeling om een beveiligingsprobleem te melden bij een bedrijf, maar lukt het niet, dan kan het Cyber Security Centrum in Den Haag daarbij helpen.

In zijn Kamerbrief spreekt Opstelten zich uit voor responsible disclosure: het openbaar maken van bepaalde details van een beveiligingsprobleem, maar pas nadat een beveiligingsprobleem wordt opgelost en zonder dat persoonsgegevens openbaar worden gemaakt. Wat de minister betreft moeten een melder van een datalek en een organisatie daarover afspraken maken, waarbij de melder de organisatie genoeg tijd moet geven om een beveiligingsprobleem op te lossen. Voor een lek in software suggereert hij een standaardtermijn van 60 dagen, voor hardwareproblemen een halfjaar. Als een lek niet of nauwelijks op te lossen is, kan het nodig zijn om het helemaal niet in de publiciteit te brengen, vindt de minister.

Omdat het om een leidraad gaat, kan de overheid niet afdwingen dat organisaties geen aangifte doen tegen ethische hackers. "Maar dit moet hackers meer houvast bieden", zegt woordvoerder Edmond Messchaert van het Ministerie van Veiligheid en Justitie. "Tot nu toe was er bij incidenten vaak onduidelijkheid of er wel of niet aangifte zou worden gedaan. Dat proberen we hiermee weg te nemen. Al is dit geen uitnodiging aan iedereen om maar te komen rondneuzen."

Messchaert denkt dat bedrijven de leidraad zullen volgen. "Het is in het eigen belang van bedrijven dat ze op een goede manier omgaan met beveiligingsproblemen. Dat is puur economisch bedrijfsbelang." In bepaalde sectoren, zoals de financiële wereld en in de telecom, gebeurt dat volgens hem al. Volgens de woordvoerder gaat minister Opstelten het beleid 'promoten' bij zijn collega-ministers, om de overheid zover te krijgen het beleid intern in te voeren.

Daarnaast gaat Opstelten met het Openbaar Ministerie om de tafel over de vraag wanneer hackers wel en niet worden vervolgd. Maar, zegt Messchaert, "In onze rechtsstaat heeft het Openbaar Ministerie de bevoegdheid om zelf de afweging te maken of er strafvervolging wordt ingesteld. Daar wordt niet aan getornd."

Reacties (112)

Reactiefilter:-11120109+194+216+30
Veranderingen aanbrengen in een systeem, gegevens kopiëren, verschillende keren toegang verschaffen tot een systeem of toegang delen met anderen zijn uit den boze, evenals social engineering en het plaatsen van backdoors.
Er mag dus geen druk uitgeoefend worden op een bedrijf wat het gewoon niet op wilt lossen. Vrijstelling dus voor de incapabele bedrijven.

Oke ze hebben het NCSC nog achter de hand, maar aan wiens kant staan die?
Als een lek niet of nauwelijks op te lossen is, kan het nodig zijn om het helemaal niet in de publiciteit te brengen, vindt de minister.
En daar ging het laatste beetje respect wat ik ministers had...

@tweakers het is niet 'Cyber Security Centrum' maar 'National Cyber Security Centrum', daarom heet het ook NCSC en niet CSC...

[Reactie gewijzigd door watercoolertje op 3 januari 2013 14:37]

Vooral het "gegevens kopiëren" en "verschillende keren toegang verschaffen" is nogal lastig in de praktijk te brengen. Dat betekent dus dat wanneer je bijvoorbeeld naar een journalist wil stappen met je verhaal, je geen enkel bewijs kunt aanvoeren.
Bewijs leveren in 'nogmaals toegang verschaffen in het systeem', valt volgens mij onder het stuk ethiek. Je moet je 'hack' zelf ook testen...
lijkt me ook niet echt etisch hacken als je naar een journalist ga. etisch hacken is een lek vinden, dit aan het betreffende bedrijf melden en het dan verder niet naar buiten brengen maar intern oplossen. dat jij het blijkbaar voor geld aan de buiten wereld wil verkopen valt volgens mij niet echt onder etisch.
Als het bedrijf er niet aan doet dan stap je naar de media om ze alsnog te dwingen er iets aan te doen. Wat is daar onethisch aan?
als je dan met alle geweld naar de media zou willen (wat ik me niet voor kan stellen, als het je puur om de veiligheid te doen is) kun je ook gewoon naar de media met jou brief of email die je naar de betreffende beheerder heb gestuurd. daarvoor heb je totaal geen enkel bewijs nodig van de website zelf dat je er ook werkelijk geweest ben.
Als een bedrijf er niets aan wil doen, is dat hun eigen verantwoordelijkheid. Dan laat je het lek voor wat het is, en dan moet het bedrijf zelf maar uitmaken of ze er iets aan gaan doen. Jij bent geen eigenaar van dat bedrijf en jij bepaalt niet wat voor acties zo'n bedrijf maar moet gaan nemen.

Wat Opstelten zegt is: Iemand die hackt mag een lek signaleren. Maar zij mogen niet reageren, of voor eigen rechter gaan spelen, want dan wordt het strafbaar.
Als een bedrijf er niets aan wil doen, is dat hun eigen verantwoordelijkheid.
Uuuuhhh... als MIJN gegevens in die database staan, dan denk ik daar toch iets anders over !

Als deze etische hacker binnen kan komen, dan kan een niet-ethische hacker dat ook ! Wanneer een bedrijf dan geen zin heeft de problemen op te lossen, dan kan de druk van de media heel welkom zijn.

Een etische hacker moet een bedrijf waarschuwen en het de kans geven problemen op te lossen. Wanneer dat uit blijft, dan moet deze hacker ook de mogelijkheid hebben de media te benaderen.
Daarbij mag hij wat mij betreft voor de jounalist de werking van de hack aantonen. Uiteraard moet de hack-methode zelf natuurlijk geheim blijven voor het grote publiek, maar het feit dát er een lek is absoluut NIET !

[Reactie gewijzigd door T-men op 3 januari 2013 17:09]

Daar ben ik het wel mee eens. Als ik een lek vind waar het betreffende bedrijf niet veel mee doet dan ben ik niet lang klant. Maar als een co-klant een lek vindt dan mag het lek niet openbaar worden, want dan word ik en het bedrijf benadeeld. Mijn gegevens staan immers in die database. Helemaal niet naar de media gaan is ook niet wenselijk want hoe moet ik dan weten dat ik zaken doe met een gatenkaas? Als er onzin word geschreven over een bedrijf kan het bedrijf een smaad klacht indienen en bepaald de rechter wel of we te maken hebben met een boze werknemer. Dus wel naar de media maar niet met bewijs lijkt mij het beste van beide werelden.
Maar zoals je kunt lezen 'moet' je dan ook contact op hebben genomen met die ncsc, die gaan dan mogelijk ook contact op nemen met het bedrijf, ze zijn immers tegenwoordig wel verplicht om beter om te gaan met data en veiligheidslekken..
Hmmm... Ik kan minister Opstelten niet omlaag modden :(
Maakt niets uit aangezien het een leidraad is.
Hacken is nog steeds verboden dus als het bedrijf (of je nu bewijs aanlevert bij de journalist of niet) je aanklaagd kan je alsnog de sjaak zijn.

Ik verwacht hier niet heel veel van en hoop dat hackers doorblijven gaan op een manier die steeds vaker voorkomt: bedrijf op de hoogte stellen, geen (kwetsbare) gegevens publiceren, en achteraf bekend maken wat er lek was.
Deze leidraad laat mij wachten tot het moment er een hacker zo 'slim' is hierop te gokken en uiteindelijk toch aangeklaagd word.
Wat ik niet snap is dat we toch allemaal wel weten dat 'hacken' strafbaar is. Maar als je kan 'hacken' kan je er toch ook voor zorgen dat je zo goed als niet traceerbaar bent en dat je vervolgens vrij simpele methodes kan gebruiken om anoniem een bedrijf op de hoogte te stellen van de betreffende beveiligingsgaten.

Het probleem is gewoon dat teveel van deze 'hackers' (lees: Scriptkiddies) hun eigen naam gebruiken omdat ze gewoon mediageil zijn. Heeft helemaal niets met ethisch hacken of een voorliefde voor veiligheid te maken.
Mee eens. Etisch hacken is in mijn ogen het volgende.

Je komt achter een lek, al dan niet per ongeluk.

Je kan dit lek herhalen (anders is het eigenlijk geen hack).

Je meld het aan het bedrijf.
Nu heb je een paar opties, namelijk het bedrijf lost het op, laten we zeggen binnen 1 maand. En eigenlijk moet elke datalek binnen een week opgelost zijn.
Zo niet vind ik dat je het recht hebt om de data te kopieren. En het nog een keer te melden. Is er dan nog niks gedaan is het bedrijf gewoon nalatig, en mag er bewijs worden geleverd om duidelijk te maken wat er mis is en dat er iets mis is. In welke vorm dan ook. Dus ook via de media.

De minister heeft het licht gezien maar durft er nog niet naartoe te komen. Je mag wel de fouten vinden, moet ze melden (terecht) maar wanneer een bedrijf dan gewoon er niks mee doet. (en als een bedrijf iets belangrijk genoeg vind kan zo goed als alles binnen 2 dagen opgelost zijn) moet een bedrijf ook onder druk gezet kunnen worden.
Waarom zou je naar een journalist moeten stappen? Als de deur bij je buren open staat waarschuw je toch ook gewoon de buren en niet iemand anders?
Rare vergelijking. Ja je gaat eerst de buren waarschuwen en die zullen je waarschijnlijk dankbaar zijn en de deur dicht doen. Maar het wordt een ander verhaal als ze geen slot op hun deur hebben, het vertikken om een slot te installeren (kost geld) en ze hebben iets kostbaars van jou geleend dat bij hen in huis staat. In dat geval ben jij er bij gebaat dat je buren een slot op hun deur hebben.

Bedrijven die bijvoorbeeld persoonlijke gegevens verwerken/opslaan die moet je eventueel kunnen dwingen om hun systeem beter te beveiligen als er een lek is. Het is mooi als ze het vrijwillig doen, maar ze doen gewoon een kosten/baten analyse en dan komen ze soms tot de conclusie dat het goedkoper is om het probleem maar te laten zitten. Als dan alleen hun eigen data in gevaar is dan is het hun eigen probleem, maar stel het gaat om een verzekeraar of zoiets, dan liggen jouw gegevens misschien op straat.

Er mag van mij best een certificaat ingevoerd worden (als dat er niet al is). Wil je als bedrijf gevoelige data verwerken? Prima, laat maar zien dat je de beveiliging op orde hebt dan krijg je een certificaat. Toont iemand later aan dat er een lek is en je vertikt het om het lek te dichten omdat het geld kost? Prima, lever het certificaat maar weer in. Zodra een bedrijf stilgelegd kan worden omdat ze niet veilig handelen, zal een bedrijf er alles aan doen om wél de beveiliging in orde te hebben. Ik werk zelf in de farmaceutische industrie en daar zijn bedrijven als de dood dat de FDA of andere organisatie langskomt en een "warning letter" geeft. Het stil leggen van het bedrijf is zowat het ergste wat een bedrijf kan gebeuren in mijn branche, dus intern wordt er veel aan gedaan om alles op orde te hebben. Zou je zoiets ook hebben in de IT sector, met veiligheidsinspecties door externe partijen, dan zou de situatie denk ik niet zo rommelig zijn als nu met elke keer weer nieuws over lekken.
Je hebt dus liever dat de hackers je gegevens (en dat van enkele duizenden anderen onschuldige mensen/klanten) op het internet zet? Ik vindt het wel goed dat ze de hackers beperkingen opleggen maar tegelijkertijd beschermen tegen aangiftes geven inruil dus zegmaar voor die "beperkingen".
Nee, maar er is wel een klein verschil tussen NIKS mogen publiceren en ALLE gegevens...
Nee dat ook weer niet, maar zonder gekopieerde gegevens heb je inderdaad geen bewijs en geen pressie-middel zodat luie bedrijven er niks aan gaan doen.
Je heb geen gegevens nodig om een bewijs te leveren of er een beveiligingsgat in zit, je beschrijft gewoon technisch wat het gat is en hoe het eventueel opgelost kan worden.
Maar hoe kom je aan het idee, dat jij als hacker even mag bepalen wat een 'lui' bedrijf moet doen?

Als iemand zijn fiets niet op slot zet in de stad, dan mag ik die persoon daarop wijzen. Ik signaleer, dat een persoon een slot op zijn fiets moet zetten, want anders wordt de fiets gestolen. Wat ik niet mag doen is, zijn/haar fiets even stelen om te bewijzen dat het kan. En dan ook nog de media erbij gaan roepen. Ik ga toch geen pressie uitoefenen op iemand die zijn fiets niet op slot wil zetten?

Bij fysieke goederen is het compleet helder voor mensen, maar als het om softe goederen gaat niet?
Die analogie van die fiets is wel een beetje scheef. Als je die fiets nou eens verandert in een auto, en je in die niet afgesloten auto een klapper met persoonsgegevens van een willekeurige groep internetgebruikers legt, dan klopt het weer. En in zo'n geval mag er best pressie op de eigenaar van die auto worden uitgeoefend. Bedrijven horen zo zorgvuldig mogelijk met je persoonsgegevens om te gaan en het niet dichten van een lek valt in mijn ogen onder nalatigheid. Niks mis met naar de media stappen in zo'n geval.

Als je door het lek alleen bij gegevens kunt komen waar niemand anders dan het bedrijf zelf schade aan kan lijden, wordt het een ander verhaal. Helaas gaat het meestal om gebruikersdatabases.
Nee dat ook weer niet, maar zonder gekopieerde gegevens heb je inderdaad geen bewijs en geen pressie-middel
Dat bewijs heb je ook niet nodig.
Je kan je hack prima demonstreren aan een journalist en daarmee alle bewijs leveren.

Bovendien heb je aan gekopieerde gevens als bewijsvoering niets.

Ze zouden b.v. van een andere database afkomstig kunnen zijn (is eerder gebeurd) en je kan ze toch niet openbaar maken. Tenminste niet als je werkelijk een etische hacker pretendeert te zijn.

[Reactie gewijzigd door T-men op 3 januari 2013 17:23]

In het artiekel staat duidelijk dat de hackers geen enkele bescherming krijgen. Het blijft aan de bedrijven of ze de hackers aan klagen of niet. De leidraad laat alleen zien dat de overheid achter deze bepaalde groep etische hackers staat die het alleen doen om de bedrijven te wijzen op lekken.
Niet helemaal, de Leidraad waar de minister mee komt bevat als vast punt dat je in je beleid moet zetten "Als u conform bovenstaande handelt, nemen wij geen juridische stappen tegen u." En daar kun je een bedrijf dan echt aan houden.
uhm, zoals hier al is gezegd, een leidraad is een leidraad, opstelten kan daar niet een bedrijf mee forceren om in die gevallen geen aangifte te doen, daarvoor moet het eerst een wet zijn waarin bedrijven veplicht worden om die leidraad te volgen..
In het artiekel staat duidelijk dat de hackers geen enkele bescherming krijgen.
Dit soort uitspraken door de minister (!) geven gewicht aan een wet (of verminderen die juist)
Een rechter houdt rekening met de geest van de wet, niet de letterlijke tekst. Een rechter zal dus bij een eventuele veroordeling meewegen of de betreffende hacker zich heeft gehouden aan deze door de minister aangegeven richtlijnen.

Er is dus wel degelijk sprake van een soort bescherming door de uitspraken van Opstelten.

edit:
moet een reaktie zijn op "Etruscian, donderdag 3 januari 2013 14:27", hierboven

[Reactie gewijzigd door T-men op 3 januari 2013 17:19]

Volgens mij maken de meeste eerst melding, wachten dan 3 maanden, posten dan de eerste X records, al dan niet opgeschoond van wachtwoorden en als er dan nog niks gebeurt de rest. Maar het verschilt van geval tot geval.
Je hebt dus liever dat de hackers je gegevens (en dat van enkele duizenden anderen onschuldige mensen/klanten) op het internet zet?
Ik prefeer dat ten allen tijden boven niet weten dat ze ergens bij de maffia liggen en dat m'n rekening volgende week geplundert is.

Het is maar net hoe je wilt leven. Struisvogel politiek is echter het meest voorkomende levensmotto volgens mij momenteel (mensen gaan niet dood, mogen al helemaal niet gewond raken en mocht je dat toch zien heb je meteen 3 jaar slachtoffer hulp nodig... zodat je daarna weer kunt bevestigen dat je alles kunt controleren/sturen - de arrogantie alleen al :/).

Het mag in ieder geval duidelijk zijn dat de meeste bedrijven nooit zullen melden dat je gegevens potentieel al bij 100'en hackers met minder ethische bedoelingen liggen. Als je wacht tot je kunt kiezen tussen goed en kwaad zul je nog even moeten wachten ben ik bang. Tot het einde van het universum gok ik zo. Meestal moet je kiezen tussen 2 kwaden en de minst kwade vind ik dan persoonlijk het prettigst.
Maar hoe bepaal je wat de minst kwade is?

In het geval dat een hack niet op te lossen is, zal in heel veel gevallen de minst kwade oplossing juist het niet publiceren van de hack zijn.
die ivo opstelten heeft er ook de ballen verstand van.
wanneer krijgen we mensen die verstand van zaken hebben op IT gebied in de regering!
denk dat we dan nog wel een generatie of 2 moeten wachten voordat we echte knowers hebben die er een beetje nuchtere kijk op hebben
Ik vind het juist een opmerkelijke uitspraak van Opstelten, waar ik het zowaar mee eens ben. Als je gaat vernielen of druk uitoefenen dan ben je geen white hat hacker meer, dan ben je een crimineel. Als een bedrijf geen actie onderneemt op de gemelde problemen dan dient de hacker het probleem aan te kaarten bij CBP en/of justitie, wegens nalatigheid. Alleen zij mogen druk uitoefenen.
druk uitoefenen om een lek te fixen kan men ook op manieren doen waarbij het bedrijf zelf geen schade hoeft te lijden, behalve dan misschien wat imagoschade. En daar is imho ook niets mis mee. Met deze informatie bijvoorbeeld naar de pers stappen en hen tonen wat je hebt zou wel degelijk mogelijk moeten zijn en zet ook druk op een firma.

Problemen met CBP/Justitie is dat het soms net iets te lang kan duren voordat zij actie ondernemen terwijl het toch belangrijk is dat een lek zo snel mogelijk gedicht word.
Imagoschade is ook schade, wat vaak tot financiële schade zal leiden. Dus meteen naar de pers rennen en/of het van de grote toren te gaan schreeuwen ipv het eerst bij betreffende bedrijf aan te kaarten is waarschijnlijk niet slim.
Het gaat om bedrijven die willens en wetens niets doen aan het lek. Die mogen best wat imagoschade lijden. Deze gegevens via de pers naar buiten brengen vind ik daarom ook een prima idee, daar zitten namelijk (als het goed is) altijd wel mensen bij die weten hoe ze om moeten gaan met dit soort gegevens en de schade voor individuen beperken.

Ik vind het dus juist prima wat Opstelten hier doet: ik kan me voorstellen dat het voor white hat hackers ook lastig kan zijn om te bepalen hoe ze moeten handelen. Nu is hier een richtlijn voor, zodat je houvast hebt. Na 60 dagen is het blijkbaar acceptabel om te gaan lekken, als er niets tegen het lek gedaan wordt.
Ik vind het persoonlijk een beetje vreemd. In de echte wereld staan we ook niet toe dat mensen je voordeur openen om te checken of de deur wel op slot zit.

Natuurlijk hebben "white hackers" wel een functie. Maar laat de overheid dan een speciale security-controle groep beginnen waar white hackers mogen solliciteren. De manier die Opstelten voorstelt klinkt mij een beetje als een goedkope en onstructurele manier om problemen op te lossen.
Een fysieke inbraak is totaal niet te vergelijken met een hack van een systeem dat op internet aangesloten is om tal van redenen, en daarom kun je moeilijk op basis daarvan zeggen dat het vreemd is. Die verschillen zijn o.a. op basis van toegankelijkheid (iemand uit China of Rusland kan vanuit zijn luie stoel bij websites van Nederlandse bedrijven), anonimiteit (diegene uit China of Rusland hoeft niet herkenbaar in te breken maar is niet te traceren) en sociale controle (vanwege anonimiteit valt dit niet te corrigeren of te voorkomen door politie of omstanders).

Nee, iedereen die enigszins verstand heeft van security weet dat security-by-obscurity (dat doe je eigenlijk door te verbieden om in hoekjes van het internet rond te snuffelen) in het algemeen een waardeloos concept is. Degenen die naar zo'n verbod luisteren zijn degenen van wie je het minst te vrezen hebt, en doordat veiligheidslekken minder snel aan het licht komen help je juist de echte criminelen die die lekken misbruiken. Vergelijk dat maar met een fysieke beveiliging, waarbij je vertrouwt op de goedheid van de mens (in een onveilige buurt ga je liever niet wonen als je waardevolle spullen opslaat) en op sociale controle (het risico om gezien/gepakt te worden is wat inbrekers tegenhoudt).

En hoe veel capaciteit denk je dat zo'n speciale security-controle-groep dan moet hebben om alle websites te controleren? Zie je een gebouw voor je á la pentagon? Dan ben ik benieuwd waar je de miljarden vandaan haalt om dat te financieren. En anders denk ik dat je de grootte van het internet een beetje onderschat. :P

[Reactie gewijzigd door bwerg op 3 januari 2013 15:20]

Zo'n speciale security-controle-groep bestaat al tientallen jaren. Ze heten accountants en hun taak is de bedrijfsintegriteit te controleren. En ook op IT gebied moeten accountants controles uitvoeren. Bij ons wordt dat elk jaar gedaan.

Zou je deze controles verder uitbreiden en verplichten voor bedrijven, dan heb je denk ik niet eens zo'n security groep nodig. Je zou zulke accountant controles dus verder moeten aanscherpen en misschien ook de accountant bureaus verplichten om zich open te stellen als landelijk maar anoniem meldpunt. Dan kunnen hackers/scriptkiddies met goede bedoelingen daar hun bevindingen melden en de accountants kunnen de bedrijven verder aanspreken.

Dat heeft bovendien als voordeel, dat de pijnpunten jaarlijks terugkerend onderzocht kunnen worden.

[Reactie gewijzigd door Noeandee op 3 januari 2013 16:54]

En ook op IT gebied moeten accountants controles uitvoeren.
Daar zie ik weinig van terug, genoeg bedrijven die bij een audit binnen 10 minuten door de mand vallen (veel gevallen van SQL-injectie e.d. gemeld de laatste jaren). En naar mijn weten wordt niet elke website van elke ZZP'er, gemeente of organisatie onderzocht.

Als dat uitgebreid wordt is dat een veel betere oplossing dan een overheidsinstelling zelf "alle websites" laten onderzoeken ja. Dan nog zul je niet elk stukje software bereiken, dus je zult het toch ook altijd van vrijwillige white hat hackers moeten hebben.
fysiek of niet fysiek maakt niet uit, volgens de wet mag je niet inbreken op iemand anders zijn computer, dat noemen ze computervredebreuk , breek je in bij een huis dan heet het huisvredebreuk.... Dat JIJ daar anders over denkt is een hele andere zaak..
Ik zeg toch niet dat het legaal is, ik zeg dat het onzin is. En het is niet best als de wet onzin is, of op onzin gebaseerd is. Een wet is geen verantwoording voor moraal, dat werkt juist andersom, en discussiëren over wat er in de wet staat is dan ook zinloos. Discussiëren over wat erin hoort te staan is wel zinnig.

En waar trek je de grens dan? Als iemand een opzichtige URL veranderd (volgnummertje ophogen) en zo op een "verboden" deel van een site terecht komt maakt het niet uit dat het niet fysiek is, maar je zit nou eenmaal op een plaats waar je niet hoort te zijn dus is het computervredebreuk? Nee dus. En technisch gezien zijn veel simpele hacks niets anders: je vraagt gewoon informatie van een server, en die server is zo slecht ingericht dat ze je die informatie ook sturen. Dat kan ik moeilijk inbreken noemen. Of is het ook diefstal als ik vriendelijk honderd euro van de bank vraag en dat ook krijg?

Stiekem is internet veel te complex om simpele begrippen als "inbraak", "toegang", "eigendom", etc. te spreken zonder onduidelijkheid. Jammer, maar de wet kan techniek eigenlijk niet bijbenen op dit gebied. Vandaar ook dat zaken als cookiewetgeving en wetgeving tegen hacken altijd falen (dus niet het gewenste effect hebben).

[Reactie gewijzigd door bwerg op 3 januari 2013 22:20]

In de echte wereld staan we ook niet toe dat mensen je voordeur openen om te checken of de deur wel op slot zit.
Wel, alleen zijn het meestal journalisten die dat doen, en dan niet bij privé-personen, maar bij organisaties die een min of meer algemeen belang dienen - Alberto Stegeman werd ook niet vervolgd toen hij zich wederrechtelijk toegang verschafte tot besloten delen van Schiphol (link).

Het gaat er ook niet om dat iedereen maar zo digitaal bakstenen door ruiten mag gaan keilen. Hacken - computervredebreuk - blijft gewoon verboden. Het gaat erom dat de melding van een hack niet met terugwerkende kracht tegen de hacker gebruikt kan worden, terwijl de hack zelf helemaal niet is opgemerkt, net zoals de uitzending van 'Undercover in Nederland' vanwege zwaarwegend maatschappelijk belang niet tegen Stegeman gebruikt kon worden terwijl zijn 'infiltratie' zelf helemaal niet is opgemerkt.

[Reactie gewijzigd door Iknik op 3 januari 2013 15:04]

de reden dat hij niet vervolgt is,is omdat schiphol geen aangifte had gedaan. ook een journalist mag niet zomaar de dingen doen die stegemans soms uithaalt, maar personen/bedrijven doen vaak geen aangifte ivm nog meer mogelijk negatieve aandacht..
de reden dat hij niet vervolgt is,is omdat schiphol geen aangifte had gedaan.
Dat is niet waar, er is wel aangifte gedaan (bron).

De reden is dat het algemeen belang zwaarder woog dan de strafbare feiten, dat staat ook letterlijk in het artikel dat ik aanhaalde:

"Volgens het OM hebben Stegeman en zijn collega destijds wel strafbare feiten gepleegd, maar weegt het journalistieke belang zwaarder dan de strafbare feiten."

Het mag dus niet, maar omdat er een maatschappelijk belang mee gediend is dat het toch gebeurde, wordt het door de vingers gezien. Net als met hacken: het mag niet, maar wanneer er een algemeen belang mee is gediend wordt het - mits zorgvuldig gedaan - door de vingers gezien.
ook een journalist mag niet zomaar de dingen doen die stegemans soms uithaalt, maar personen/bedrijven doen vaak geen aangifte ivm nog meer mogelijk negatieve aandacht..
Het eerste klopt, het tweede misschien ook, maar dat is hier dus niet aan de orde, want er is wel aangifte gedaan. Het ontbreken van een aangifte is ook niet waarom journalisten 'meer' mogen dan gewone burgers. Journalisten hebben een bepaalde maatschappelijke functie, namelijk om de macht te controleren. Ze hebben daarom ook uit hoofde van die functie bepaalde rechten die niet-journalisten niet hebben, bijvoorbeeld:

"De Hoge Raad der Nederlanden heeft [...] uitgemaakt dat een journalist in een getuigenverhoor een vraag niet behoeft te beantwoorden als hij daardoor het risico loopt dat zijn bron bekend wordt." (bron), iets dat gewone burgers niet mogen, dat is strafbaar als meineed; zo simpel als jij het stelt is het dus niet.

Deze leidraad regelt informeel net zo'n soort uitzondering voor ethische hackers.

[Reactie gewijzigd door Iknik op 4 januari 2013 07:38]

Ik vind het persoonlijk een beetje vreemd. In de echte wereld staan we ook niet toe dat mensen je voordeur openen om te checken of de deur wel op slot zit.
Maar het is in de echte wereld niet verboden om aan de klink te rammelen. In de digitale wereld wordt dat gelijk een 'aanval' genoemd... en als je dan onverhoopt de deur open doet, er is niemand thuis en je legt een briefje op de deurmat met "Hallo, sorry voor de overlast, maar je voordeur was nog van het slot, de buurman" zal geen hond je aangeven als inbreker.
En als ze dat wel doen, dan lacht de politie je uit...
De hacker mag de spreekwoordelijke voordeur openen en even rondkijken. Om daarna een briefje achter te laten. MAAR bestanden kopiëren vind ik een wat andere zaak, dan een briefje neerleggen binnen. Dat betekent dat er gestolen is en dus strafrechtelijk ingegrepen dient te worden.
Maar het is in de echte wereld niet verboden om aan de klink te rammelen.
Nou.... eens zien hoe er gereageerd wordt wanneer jij in een parkeergarage even aan de deurklinken van alle auto's gaat voelen of de auto wel correct afgesloten is.
Ik hoop echt dat je dat even aan de blauwe petten uit mag gaan leggen.

Het verschil is het simpele feit dat in een database vaak privacy gevoelige informatie van derden is opgeslagen. Terwijl als jij je voordeur niet op slot doet het vaak je eigen TV is die verdwijnt.

Een etische hacker zal daarom makkelijker zijn verhaal uit kunnen leggen bij een dergelijke database. Bij een database met allemaal bedrijfsgeheimen wordt het al weer wat moeilijker.

Het vershil tussen de digitale en de 'werkelijke wereld' is niet zo groot in deze.
Dat riekt naar chantage wat jij wenst. Dat vind ik toch net zo erg als een lek waar weinig mensen daadwerkelijk hinder van ondervinden. Misschien vind ik dat zelfs erger.
Je kunt beter zeggen dat bedrijven verplicht moeten worden gesteld om het lek te fixen in het geval van een "ethische hack".
Je kunt beter zeggen dat bedrijven verplicht moeten worden gesteld om het lek te fixen in het geval van een "ethische hack".
Dat is ook echt controleerbaar als de hacker niks naar buiten mag brengen :) Wie gaat het bedrijf dan verklikken zich niet aan de regels te houden...
[...]
Er mag dus geen druk uitgeoefend worden op een bedrijf wat het gewoon niet op wilt lossen. Vrijstelling dus voor de incapabele bedrijven...

Wat een prutsers hebben het toch voor het zeggen :S
En naar de media stappen is geen vorm van druk uitoefenen? Ik moet zeggen dat ik ministers over het algemeen onzin uit vind kramen als het ICT betreft. Maar dit is toch wel een zeer goede uitspraak.
dat mag dus strax niet meer, gezien je geen db dump kunt maken, zou je die hack in het bij zijn van een 2e keer moeten doen (wat dus OOK niet mag volgens opstelten)...

kortom alle middelen om druk uit te oefenen zijn weg...
Hoezo zou dat wel mogen? Dat is niet de plaats van de hacker...

Tuurlijk kun je wel wereldkundig maken dat je toegang hebt gekregen en als dat niet genoeg is een tipje van de sluier oplichten in het openbaar; aangezien er dan altijd wel "foute" hackers en scriptkiddies op afkomen is er dan genoeg druk om het alsnog op te lossen.

Een soort meldpunt voor dit soort problemen zou ook wel op z'n plaats zijn; Dan kan een ethische hacker een probleem bij de overheid melden waardoor er bewijs is dat een bepaald lek is aangetoond en gemeld bij een bedrijf. Dat kan belangrijk zijn om aan te tonen dat een bedrijf wellicht nalatig is geweest bij oplossen van het lek. Ook kan de overheid er dan druk achter zetten (dat zou ook haar taak moeten zijn, niet de taak van een privépersoon!)

Het CBP meer bevoegdheden (en middelen) geven hierin zou geen slecht idee zijn.
Wat een prutsers hebben het toch voor het zeggen
het blijven dan ook politiekers zonder enige vakkennis, net zoals managers moeten ze op de mening van technische mensen afgaan en in dat oogpunt snap ik zijn standpunt wel. Het probleem blijft dat hij de andere kant van de medaille niet ziet
Misschien ziet hij deze wel maar is hij toch tot dit besluit gekomen.
Ik vind het een goede stap.
Ook vind ik het goed dat hackers die toch vertrouwelijke data publiceren vervolgd worden. Ongeacht hoe de beveiliging bij dit bedrijf ingeregeld is. Er zijn andere manieren op de veiligigheid af te dwingen.
dit is een vrijgeleide om overal maar te gaan proberen inbreken. Zou jij het leuk vinden dat ik je ff kom melden dat ik je brommerslot heb gelockpicked? Security kan gekraakt worden, dat weet iedereen, maar om het omzeilen ervan dan ook maar ineens te minimaliseren is fout.

In de strafwet is er nog altijd zoiets als poging tot inbraak.
[...]
Er mag dus geen druk uitgeoefend worden op een bedrijf wat het gewoon niet op wilt lossen. Vrijstelling dus voor de incapabele bedrijven.
Incapabel betekent dat je het niet kunt, en jij hebt het over bedrijven die het niet willen, twee heel verschillende dingen.
Kortom komt het er dus op neer dat deze minister het gratis testen van de beveiliging van een bedrijfs- syste(e)men toestaat, dat is niet goed voor de werkgelegenheid.
Tja, wat is ethisch?

Ik denk dat Minister Opstelstel met de wijze 'aantonen en aangeven maar verder niets' wel een goede lijn aan geeft. Maar er zal altijd worden gezocht naar loopholes door zowel hackers als bedrijven. Als je een lek vind en openbaar publiceerd en gelijktijdig het bedrijf in licht is dit dan goed of fout bijvoorbeeld. Moet je als hacker het bedrijf redelijkerwijs de tijd geven het zelf op te lossen voor het openbaar te publiceren?

Het is altijd wat gissen op dat gebied.
Dat is dan aan de rechter. Het OM zal met deze uitspraak in de hand waarschijnlijk ook niet zo snel meer tot strafvervolging overgaan. Het staat een bedrijf wel vrij om een civielrechtelijk procedure te beginnen, maar ook dan is het aan de rechter.

Dat kan voorkomen dat not-so-white-hat hackers de grenzen gaan opzoeken; men zul nu meer op zijn hoede zijn nu de grens vager is.
"Als je een lek vind en openbaar publiceerd en gelijktijdig het bedrijf in licht is dit dan goed of fout bijvoorbeeld."

Dit is dus fout.

Letterlijk in de tekst:
In de eerste plaats is het de bedoeling om een beveiligingsprobleem te melden bij een bedrijf, maar lukt het niet, dan kan het Cyber Security Centrum in Den Haag daarbij helpen.

In zijn Kamerbrief spreekt Opstelten zich uit voor responsible disclosure: het openbaar maken van bepaalde details van een beveiligingsprobleem, maar pas nadat een beveiligingsprobleem wordt opgelost en zonder dat persoonsgegevens openbaar worden gemaakt.
Ofwel, niks publiceren, maar melden bij het bedrijf, en desnoods bij het CSC. Openbaar maken pas na langere tijd (zie alinea na wat ik gequote heb)
aan de ene kant, mooi natuurlijk maar dit moedigd natuurlijk ook de wat minder gespecialiceerde "hackers" aan om bedrijven te proberen te hacken.
als je oude tools uit backtrack gebruikt bijvoorbeeld op nieuwere systemen heb je kans op vreemde storingen of fouten.
daar schiet niemand wat mee op en de systeembeheerders worden ervoor aangekeken.
Ondertussen zijn ze zelf wel bezig met die knacker van de 50+ partij. Lekker bezig.

[Reactie gewijzigd door actionInvoke op 3 januari 2013 14:17]

Aan de ene kant: Cool, kan er inderdaad goed voor zorgen dat belangrijke site's mischien wat bter beschermd worden.

Aan de andere kant: Vaag dat digitaal inbreken zonder schade/diefstal dus wel mag/ word gedoogd.
Maar als ik zonder problemen een winkel/kantoor binnen kan komen zonder braakschade/diefstal ik wel word opgepakt en berecht. 8)7
Dat is juist het leuke dat ze een leidraad maken en geen wet.

Het is meer een vinger naar de goede richting voor bedrijven hoe zij hiermee om moeten gaan.
Het zelfde voor deze etnische hackers. Zoals ook in het artikel staat :

"Tot nu toe was er bij incidenten vaak onduidelijkheid of er wel of niet aangifte zou worden gedaan. Dat proberen we hiermee weg te nemen. Al is dit geen uitnodiging aan iedereen om maar te komen rondneuzen."

Als een hacker dus wat vindt en hiermee verantwoord mee om gaat en bedrijven kunnen dan ook het met open armen ontvangen.

Natuurlijk zegt deze leidraad niks over hackers die kwaadwillend hiermee omgaan. Die zijn dan ook gewoon nog steeds strafbaar.

Ik vind dit gewoon een nuttige zaak. Ik hoop dat hiermee onschuldige hackers dan ook onschuldig kunnen blijven en dat bedrijven dit als een kans zien en niet als een bedreiging!

edit: Een overheid kan niet een bedrijf opleggen om iets te moeten doen binnen x aantal dagen. Als er een lek zich heeft plaatsgevonden ( dus er is persoonlijke data beschikbaar op het internet ) dan pas zijn zij strafbaar. Dat vind ik!

[Reactie gewijzigd door Roysten op 3 januari 2013 14:28]

Laatste hangt er vanaf wat je erna doet en van het bedrijf. Genoeg bedrijven die je juist zullen bedanken als je zegt dat die nooduitgang niet dicht zit.

Je kan de white hats wel aanvallen, maar je bereikt er niks mee. Je kan beter een white hat langs krijgen die je op je fouten wijst, dan er een black hat langs komt die de gegevens jat of je systeem sloopt.

Als ik ergens binnen kan komen meld ik het netjes. Ik hoef helemaal geen presentje of bedankt te worden, als is het natuurlijk fijn als het wel gebeurd. Alleen aangifte doen omdat ik je wijs op je eigen fouten is weer het andere uiterste.

Bedrijven zijn verplicht om prive-gegevens goed te beschermen. Als een doorsnee hacker erin kan komen zijn de bedrijven dus zelf strafbaar en dan gaan ze die hacker die het meld aanklagen? :S
Ben ik met je eens!

Als er een wet is dat je een persoon of bedrijf een boete kan opleggen vanwege nalatigheid. Dan mogen ze dat maar een even extra gaan duidelijk maken voor in de ICT.

Dat natuurlijk alleen als er een zogenaamde White Hat iets heeft aangetoond en waar het bedrijf dus niks aan heeft gedaan. Diegene zou dan het moeten kunnen aankaarten bij justitie en ik hoop dat de druk dan zo hoog kan zijn dat diegene er wat aan moet doen!

Opstelten, aan het werk! Het is hetzelfde context, alleen is het digitaal!
Ik doel meer op het verschil "digitaal inbreken" vs "normaal inbreken"

Ze willen er dus naartoe dat, als ik meld aan bijvoorbeeld de gemeente waarvan ik de site heb gehackt op een relatief simpele manier, ze mij bedanken en niet aan hoeven te geven.

Punt is, ik heb wel de tools en know how nodig om erin te komen. Ik moet actief zoeken hoe ik de beveiligingen ga omzeilen (vage inputs/buffer overflows/ injects).
I.E. ik ben alsnog aan het inbreken.

Als je dat vertaald naar anoloog:
Ik heb lockpicks, breekijzer, zakmes enzo nodig om ergens binnen te komen.
Ik ga daarmee actief alle deuren en ramen langs.
uh... sounds familiar?

Stel ik kom binnen bij de gemeente, loop zonder problemen naar de archief kast en kan alles zo pakken maar doe het niet. Val ik dan ook onder deze regeling?
Ik laat toch alleen maar zien dat de gegevens niet veilig zijn?
Waarom zou het digitaal minder een probleem zijn?
"Punt is, ik heb wel de tools en know how nodig om erin te komen. Ik moet actief zoeken hoe ik de beveiligingen ga omzeilen (vage inputs/buffer overflows/ injects).
I.E. ik ben alsnog aan het inbreken."

Klopt, als je dan binnen bent, dan steel je niks en geef je het aan hoe je het hebt gedaan. Een bedrijf kan een hacker inhuren die eigenlijk hetzelfde doet. Oftewel het is wel gewenst! en als er iemand hierachter komt en dat aangeeft, dan is dat gratis beveiligingscontrole. Ik geloof dat dat best wel gewenst is, maar wordt verkeerd ontvangen door bedrijven/ niet goed uitgevoerd door de etnische hackers. Daarvoor dus die leidraad!

In vergelijking met huis situatie bijvoorbeeld is lastig te doen. Het is namelijk zo dat je jezelf niet tegen alles kan beveiligen. Ken je toevallig de reclame van een verzekeringsbedrijf die "preventieteams" heeft? Daar kan je het wel mee vergelijken. en ja inderdaad ik wil ook niet zoon gozer voor mijn deur die zit in te breken. Maar ik wil wel graag weten hoe en hoe ik mezelf daartegen dan kan beveiligen.

En ja er moet een lijn getrokken worden wat strafbaar is ( nalatigheid ) en wanneer niet. En daar is de politiek dus voor. En dat is dus heel moeilijk -> is iemand zelf verantwoordelijk of is iemand strafbaar omdat hij geen dubbel slot heeft?

In de ICT is de "deur" iets geavanceerder en kunnen meer gaatjes in zitten. En het heeft ook een ander gevoel natuurlijk dan voor een deur staan. Als je dan die gaatjes kan aangeven is dit mooi.
De leidraad is er dan om richtlijnen te geven hoe een hacker zich zou moeten gedragen als diegene een lek heeft gevonden. Voor het bedrijf is de leidraad er dan voor hoe hij deze persoon en deze informatie moet ontvangen.

"Stel ik kom binnen bij de gemeente, loop zonder problemen naar de archief kast en kan alles zo pakken maar doe het niet. Val ik dan ook onder deze regeling?"
Ik laat toch alleen maar zien dat de gegevens niet veilig zijn?
Waarom zou het digitaal minder een probleem zijn?

1: Het is geen regeling, het is een leidraad -> een aanbeveling.
2: Ja dan val je onder dezelfde context. Je bent een aangever van een beveiligingsprobleem en digitaal is dat probleem net zo erg. Je ziet zo vaak topics over persoonsinformatie op straat en dergelijke.

Het is gewoon een aanbeveling hoe etnische hackers moeten reageren naar bedrijven en andersom. Een goed initiatief dus!

edit: Het is zeer lastig om dit te vergelijken met een fysiek iets. Een beveiligingslek dat bekend is, is gewoon vragen om problemen. Een ingebroken raam kan je misschien een beetje zien als een ddos aanval. Je doet er misschien niet veel aan als het goed uitgevoerd is. Een bedrijf is ook beperkt kwa beschikbaarheid van geld en manschap of hij wel een zeer complex lek kan dichten. Alles kost geld.

[Reactie gewijzigd door Roysten op 3 januari 2013 15:46]

Maar als ik zonder problemen een winkel/kantoor binnen kan komen zonder braakschade/diefstal ik wel word opgepakt en berecht.
Een vergelijking met fysieke inbraak loopt bijna altijd mank, en is daarom een slechte basis voor een mening. Maar om de vergelijking toch een beetje recht te breien:

Als je kinderlijk eenvoudig en zonder enige controle een gebouw in kan lopen waar gevoelige informatie ligt (meestal van een 3e partij die het in goed vertrouwen aan de beheerder van het gebouw gegeven heeft), dan is de beheerder behoorlijk nalatig en zijn ze flink de zak.

Als het gaat om iemands privé-website, waar hij geen informatie van derden heeft, kun je nog beredeneren dat diegene lekker mag vertrouwen op gebrekkige beveiliging zonder dat jij die lekken openbaart. Dan nog is enkel constateren dat de beveiliging slechts is, weinig bezwaarlijk. Je neemt iemand ook niet kwalijk dat diegene constateert dat je voordeur open staat, dan moet je hem maar dicht doen. Wederom een slechte vergelijking, maar de front-end van een website is te zien als de voordeur van een website: je mag d'r best naar kijken, er op kloppen, etc. en als je dan iets raars vindt doe je echt niets fout.

[Reactie gewijzigd door bwerg op 3 januari 2013 15:00]

kortom opstelten heeft goed gekeken naar belgië om er zeker van te zijn dat mensen die een data-lek-check site bouwen nog steeds kunnen worden vervolgd... bovendien 60 dagen tussen ondekken en melden (lees publiceren) is belachelijk lang, en een half jaar is in de IT een eeuwigheid...

ivo heeft dus duidelijk nog niet de veiligheid van de burger in het belang, (eerder in het vizier)...

zelfs als je nog geen fix hebt voor een data lek MOET je iedereen die daar potentieel last van zou kunnen hebben op de hoogte stellen, maximaal een dag of hooguit 2 nadat een lek ondekt is...

dat je dan nog geen bewijs / of concept code zou moeten publiceren is een discussie appart, maar deze richtlijn in de huidige vorm, context, en in relatie tot andere regels en wetgeving is duidelijk een Wassen Neus!
Natuurlijk niet. Als een bedrijf een niet-gefixed datalek heeft, en je maakt dat bekend, dan komen alle hackers daar als vliegen op de stroop opaf. Je maakt het probleem daarmee alleen maar groter.
Het is ook niet 60 dagen tussen ontdekken en melden, het is 60 dagen tussen ontdekken en openbaar maken, dat is heel wat anders.
Die 1-2 dagen is tussen ontdekken en melden (bij het bedrijf). En die moet daarna gewoon de tijd krijgen om dat lek te dichten. Doet die niks, dan ga je naar het CSC. Niet naar de media.
Sorry,

Ik ga toch ook als bedrijf iemand aanklagen als ik weet wie het is die mijn raam gebroken heeft om aan te tonen dat het niet goed genoeg beveiligd is...

Wat een onzin dat je dus mensen die inbreken al is het digitaal niet zou mogen aanklagen!

Verder, het is strafbaar om je eigen auto deur niet af te sluiten. Waarom is het dan niet strafbaar wanneer het blijkt dat een server niet genoeg beveiligd is?

Mvg,
Het gaat niet om dat iemand een raam breekt..

Het gaat er juist om dat iemand jou attent maakt dat er een raam OPEN staat!
Nou ik denk dat je dat wel waardeert!


Is het strafbaar als je je huis niet afsluit? Denk het niet! Hetzelfde met je auto.

Als er dan wordt ingebroken of je auto wordt gestolen. Dan kan de verzekering zeggen, je eigen domme schuld.

Dat zou het zelfde moeten zijn met lekken in systemen.

Als er een lek is geweest, is het je eigen pakkie aan of zou zelfs bestraft moeten worden als er persoonlijke informatie op straat is gekomen
Beste,

Het is zeker strafbaar!

http://www.gva.be/nieuws/...o-niet-op-slot-boete.aspx
http://www.auto55.be/pg/11217-boetetarieven (kijk onder Overtredingen van de eerste graad (storend gedrag) - ¤ 50 boete)

Mvg,
Mooi , mogen ze dat inderdaad ook bij systemen toepassen! Kom maar op opstelten!

Edit: ik blijf op mijn oude statement xD aangezien ik dus in NL woon en dat dus een Belgische wet is! ( met referentie naar Stoney3K )

[Reactie gewijzigd door Roysten op 3 januari 2013 15:56]

Beste,

Het is zeker strafbaar!

http://www.gva.be/nieuws/...o-niet-op-slot-boete.aspx
http://www.auto55.be/pg/11217-boetetarieven (kijk onder Overtredingen van de eerste graad (storend gedrag) - ¤ 50 boete)

Mvg,
Wacht even, je hebt het nu wel over de Belgische wet. In Nederland mag je prima zo dom zijn om je auto niet op slot te zetten, als ze dan je autoradio/mobiel/navigatie eruit jatten ben je het wel zelf schuld...
Is het strafbaar als je je huis niet afsluit?
Naast dat het niet altijd legaal is (uitlokking van diefstal, geeft onrust etc.), zal je wel aansprakelijk gehouden kunnen worden voor eventuele schade. En veel datalekken betreffen lekken waarbij informatie over klanten, gebruikers, etc. voor het grijpen liggen. Dat levert schade op voor die personen, al denk ik niet dat je daar in de praktijk gemakkelijk een vergoeding voor krijgt.

En inderdaad, het is geen breken van een raam. De grootste denkfout in de vergelijking met fysieke inbraken is dat men denkt dat je er daadwerkelijk iets voor stuk moet maken. Nou, dat lukt niet over internet, je kunt alleen de opties gebruiken die jou vanaf de andere kant van je internet-kabel aangeboden worden. Ze boden je dus de optie om naar binnen te lopen, als een open raam. Een inbraak in een woning kan doordat een fysiek gebouw nooit perfect te beveiligen is, en je er met brute kracht altijd in kan komen. Maar een inbraak in software is een beveiligingslek, altijd (al wordt dat soms voor lief genomen omdat de kosten van perfectie nou eenmaal te hoog zijn, maar dat maakt het niet minder een lek).
Beste,

En toch denk ik dat dit een probleem is van de politie en niet van willekeurige hackertjes die onder de vlag "goede bedoelingen" de boel open gooien.

Als ik het dus goed begrijp, mag ik een slot wel testen of het te breken is en als het zo is zou ik de bewoner er attent op mogen maken? Die man die dat doet doet dat toch maar om 1 reden, om later terug te komen om alles leeg te halen.

In mijn ogen ben ik dan toch al aan andermans spullen geweest om het uit te proberen? Hetzelfde geldt voor het feit dat wanneer ik op een server logins / deurtjes gebruik om binnen te komen?

Mvg,

[Reactie gewijzigd door D.Ramakers op 3 januari 2013 15:26]

En toch denk ik dat dit een probleem is van de politie en niet van willekeurige hackertjes die onder de vlag "goede bedoelingen" de boel open gooien.
Dan onderschat je wat er allemaal onder de term "hacker" valt. Hieronder vallen ook academici, professionals en mensen die veel bijdragen aan (bijvoorbeeld) open-source communities, geen tieners die een leuk tooltje hebben gevonden op internet. De politie (of eigenlijk govcert) daarentegen heeft véél te weinig capaciteit en kennis, die hebben nu al geen tijd en geld om een marktplaats-oplichter op te sporen, laat staan dat die even het hele internet controleren. Dat is alsof je stelt dat we beter niet op verkeersborden kunnen vertrouwen maar we op elke straathoek een verkeersagent neer kunnen zetten: totaal onrealistisch, daarvoor heeft de politie een factor 1000 meer aan capaciteit nodig, als het niet meer is. De enige optie is om te accepteren dat verkeersdeelnemers en internetgebruikers/websitebeheerders een eigen verantwoordelijkheid hebben, en daar voorlichting, adviezen en wetgeving op af te stemmen.
Als ik het dus goed begrijp, mag ik een slot wel testen of het te breken is en als het zo is zou ik de bewoner er attent op mogen maken? Die man die dat doet doet dat toch maar om 1 reden, om later terug te komen om alles leeg te halen.
Zoals ik al zeg: de vergelijking met fysieke inbraak loopt mank. De front-end van een website is iets wat naar elke gebruiker, waar dan ook ter wereld, opgestuurd wordt. Als het al vergeleken kan worden, dan is dat bijvoorbeeld met de beveiliging van mijn OV-chipkaart: mag ik mijn eigen OV-chipkaart, die mij per post toegestuurd wordt, niet op een zolderkamertje onder de loep nemen? Mag ik op een hobby-bijeenkomst van slotenkrakers geen sloten proberen te openen, die ik gewoon in de winkel gekocht heb?

Daarnaast zijn er nog veel meer verschillen tussen digitale en fysieke inbraak. Het is geen wonder dat mensen met een beetje technische kennis van digitale beveiliging er heel anders naar kijken dan Jan met de pet, omdat die zich alleen op een verkeerde vergelijking kan baseren. En als daar wetgeving op wordt gebaseerd biedt dat alleen schijnveiligheid, veiligheidslekken worden dan slechts onder de mat geschoven terwijl echte criminelen ze kunnen blijven gebruiken. Dat biedt geen enkel voordeel, alleen nadelen.

[Reactie gewijzigd door bwerg op 3 januari 2013 16:03]

Typische nederlandse domme uitspraken weer.
Neem zo'n hacker in dienst!!!
Wat men in America ook doet..
Ik geloof dat het tijd wordt dat er is iemand met verstand van IT in de politiek komt. Twee maanden om een (softwarematig) veiligheids probleem op te lossen als termijn is bizar. Bedrijven zullen juist van dit soort termijnen misbruik maken, ook bij serieuze lekken, en zeggen dat het niet naar buiten gebracht had mogen worden omdat de twee maanden nog niet over waren...
Security problemen moeten in alle gevallen zo snel mogelijk opgelost worden, dat is geen tijdsframen van maanden of weken, maar uren of hooguit dagen.
Niet alles is (helaas) zo simpel zoals jij het voorstelt. Twee maanden is voor een complex een prima termijn in mijn ogen, de hardware termijn van 6 maanden vind ik daarentegen weer lang, maar ik vermoed dat hij meer doelt op zaken als de OV-chipkaart etc., en niet specifiek op servers/computers.
Ligt eraan wat het is in mijn ogen.

Als het een server is die aan het web hangt met prive gegevens erop (bijna alle dus) vind ik dat je het of snel moet fixen of de boel offline moet halen zolang het niet gerepareerd is.
Oplossen kan op diverse manieren, en hoeft (als tijdelijke maatregel) niet direct op de bron opgelost te worden (Ondanks dat dit niet een juiste oplossing is, kan dit wel gebruikt worden om er in ieder geval voor te zorgen dat het misbruik van een issue niet verder gedaan kan worden).
Mijn ervaring met dit soort problemen is dat ze over het algemeen relatief eenvoudig zijn op te lossen, maar bedrijven liever je een lange brief (eventueel via een advocaaat) sturen om wel niet te vertellen waar je allemaal fout mee bezigt bent. Zodra dat gedaan is, gaan ze mogelijk eerst is kijken wat er aan de hand is. En als ze dan is een vrij uurtje over hebben gaan ze er misschien is over nadenken het op te lossen.

Sowieso is een groot deel van de oplossing het voorkomen, zoals bijvoorbeeld in het geval van de ov-chipkaart. En naar mijn mening moet zo'n lek dan ook, wanneer het vooraf bekend is dat slechte hardware gebruikt wordt, ook gewoon binnen een zeer korte termijn worden opgelost, ondanks dat dat dan een hoop geld/inzet kost. Het had immers voorkomen kunnen worden door in eerste instantie onderzoek te doen naar het gebruik van de hardware.
Sowieso is een groot deel van de oplossing het voorkomen, zoals bijvoorbeeld in het geval van de ov-chipkaart. En naar mijn mening moet zo'n lek dan ook, wanneer het vooraf bekend is dat slechte hardware gebruikt wordt, ook gewoon binnen een zeer korte termijn worden opgelost, ondanks dat dat dan een hoop geld/inzet kost. Het had immers voorkomen kunnen worden door in eerste instantie onderzoek te doen naar het gebruik van de hardware.
Waarom, in het geval van de OV-chipkaart? De schade die vervoersbedrijven oplopen vanwege oplichting is veel minder dan de kosten van een betere beveiliging, dus dit was gewoon een bewuste keuze. Een perfecte beveiliging is leuk in theorie maar in de praktijk is het ook wel belangrijk wat dat kost. Een niet-digitale beveiliging is ook nooit perfect en daar klaagt niemand over, daarbij is het ook een kosten/baten-afweging. Daarbij heeft de verantwoordelijke partij dus helemaal geen baat bij voorkomen, want dat kost netto meer geld dan niet voorkomen (en een goedkopere beveiliging).

[Reactie gewijzigd door bwerg op 3 januari 2013 22:32]

Mee eens. Maar als dat niet gebeurt, heb je nog steeds geen recht als hacker om het dan maar openbaar te maken. Dan kan je naar het CSC.
Mee eens. Maar als dat niet gebeurt, heb je nog steeds geen recht als hacker om het dan maar openbaar te maken. Dan kan je naar het CSC.
... En geeft het CSC je enige garanties dat het tegen dat bedrijf (al dan niet juridische) stappen gaat ondernemen?

Of krijg je dan gewoon hetzelfde antwoord als van het bedrijf: Dank je wel voor je input.
Het ligt er ook maar helemaal aan wat de ernst van het lek is: welke gegevens zijn er gelekt, hoe eenvoudig is de hack in de praktijk uit te voeren, wat is de kans dat deze ontdekt wordt... Sommige hacks zijn theoretisch interessant maar zijn eigenlijk weinig riskant, minder dan risico's die er zijn bij fysieke doelwitten (en die worden ook voor lief genomen omdat je nou eenmaal niet alles kunt voorkomen). De termijn lijkt me dus nogal afhangen van de situatie.

Als de een overheidssite met persoonsgegevens over alle burgers voor SQL-injectie vatbaar is lijkt me "per direct offline" ook een redelijke termijn, ja. :P

@geenstijl: Over de hardware kun je bijvoorbeeld ook denken aan SCADA-systemen, waarvan men zich afvraagt wat er nu met al die lekken moet gebeuren. Soms is er een publieke infrastructuur op gebaseerd, die jaren kost om te bouwen. Zet je dat dan stil of zo? Nou nee, dan liever een risico-analyse en dan eventueel op lange termijn verbeteren. Fouten gebeuren nou eenmaal, een perfectionistische theoretische-beveiligings-expert zal het niet leuk vinden maar spullen vervangen kost gewoon geld.
Er zou een site vanuit de overheid opgezet moeten worden waar mensen kunnen melden dat ze iets hebben gevonden.

Het valt me namelijk op dat je vooral hoort van de gevallen waarin het bedrijf in kwestie niet reageerde op de hacker, waarna de hack openbaar gemaakt word, waarna 'iedere crimineel' erachteraan gaat om het te misbruiken.

Zet een platform op waar je kunt melden dat je een lek heb gevonden, maak het zo dat iedereen kan kijken waarin de lekken zijn gevonden, maar alleen de overheid en de beheerder van dat systeem kunnen de details in zien. Zal het natuurlijk ff een beetje gedoe zijn met het toelaten van beheerders door de overheid, maar dan nog.
Dit zou inderdaad een mooie tussenoplossing zijn.
Er wordt inderdaad veel meer gehacked door white hats dan er in het nieuws komt en in de gros van de gevallen neemt het bedrijf de melding goed op.

Diegene die we horen zijn juist de gevallen waar dat niet gebeurde.

Op dit item kan niet meer gereageerd worden.



Populair: Gamescom 2014 Gamecontrollers Websites en communities Smartphones Beheer en beveiliging Sony Microsoft Games Besturingssystemen Consoles

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013