Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 130 reacties

Een 20-jarige student computerwetenschappen uit Canada is van school gestuurd nadat hij een beveiligingsprobleem had ontdekt in een computersysteem van zijn hogeschool. De kwetsbaarheid maakte het voor kwaadwillenden mogelijk om privégegevens te ontfutselen.

De student, Ahmed Al-Khabaz, zegt volgens de National Post geen kwaad in de zin te hebben gehad. Hij stuitte op het beveiligingsprobleem toen hij een app aan het ontwikkelen was die studenten eenvoudiger toegang moest bieden tot hun account in het computersysteem dat onder meer door zijn hogeschool, Dawson College, werd gebruikt. Het computersysteem, Omnivox, is volgens hem slecht geprogrammeerd en biedt kwaadwillenden zonder al te veel technische kennis toegang tot privégegevens van studenten, waaronder naw-gegevens en burgerservicenummer. Het systeem wordt gebruikt op veel hogescholen in de Canadese provincie Quebec.

Toen de student in oktober de problemen samen met een medestudent aankaartte bij de schoolleiding, werd hij aanvankelijk gefeliciteerd met het vinden van het lek. Toen Al-Khabaz een paar dagen later echter de penetratietestingtool Acunetix gebruikte om te kijken of de webapplicatie nog steeds kwetsbaar was, werd hij onmiddelijk gebeld door de ceo van het bedrijf dat Omnivox ontwikkelde. Die dreigde volgens Al-Khabaz de politie te bellen, tenzij de student een geheimhoudingsverklaring zou ondertekenen. Dat deed hij.

De ceo van het bedrijf, Edouard Taza, zegt dat Al-Khabaz beter had moeten weten, maar rekent het hem niet te zwaar aan: "Het is duidelijk dat er geen kwade bedoelingen in het spel waren. Hij maakte simpelweg een vergissing", zegt hij tegen de National Post. De schoolleiding van Dawson College was het daar niet mee eens. Van de vijftien docenten van het departement computerwetenschappen stemden er veertien mee in om Al-Khabaz van school te sturen, vanwege het gebruik van de penetratietestingtool.

Al-Khabaz klaagt dat hij nooit een kans heeft gehad om zijn acties toe te lichten; hij heeft het gevoel dat de hogeschool vooral probeerde om de zaak in de doofpot te stoppen. Omdat hij van school is gestuurd, is hij niet in staat om naar een andere hogeschool te gaan. "Mijn academische carrière is compleet verwoest", aldus de student volgens de National Post. De studentenvakbond van de hogeschool is het met Al-Khabaz eens. De hogeschool was volgens de National Post niet bereikbaar voor commentaar.

Reacties (130)

Reactiefilter:-11300123+190+212+30
Moderatie-faq Wijzig weergave
Hmm. dit is zeer zeker een ontmoedingingsbeleid zonder grond...
Een lek vinden, melden...
Vervolgens verplicht een geheimhoudingsverklaring tekenen (is die wel geldig gezien zijn leeftijd???)

Maar alle gekheid op een stokje:

- melden (goed gedaan naar mijn idee)
- geheimhouding tekenen (dicutabel)
- testen na een paar dagen, waarschijnlijk zonder melding vooraf (zeer discutabel tot fout, hoe kan een bedrijf in een paar dagen, na een melding op iedere school een patch uitrollen die getest is tegen misbruik en mogelijke gaten die gecreërd worden met de patch...)

Kortom goed begonnen maar een beetje afgedwaald van het nette pad...
Al vind ik het als docenten wel slecht om hem van school af te trappen, een vriendelijk verzoek om ergens anders heen te gaan had ook gekund, desnoods met wat drang...
Of je doet verstandig: afspreken met de student dat hij van het lek blijft tot de patch is uitgerold en als dit is gebeurd dan pass je de student een 200 dollar om te pogen er weer in te komen. Maar de app zal wel zo lek zijn dat je er in no-time tientallen andere lekken uithaalt. Daarom zal die geheimhoudingsverklaring wel getekend moeten worden.
Een patch uitrollen binnen enkele dagen, afhankelijk van de prioriteit en ingewikkeldheid kan. Ik denk dat hij voelde dat deze zaak een zeer hoge prioriteit had, omdat het een persoonlijke kwestie is geworden. Zijn eigen naw gegevens staan ook onveilig in t systeem, maar hij had t mischien wel eerst kunnen melden voordat hij t controleerde...
Als de patch al beschikbaar is, dan zal een school meestal met een paar dagen wel een uitrol kunnen doen.

Maar als de patch nog geschreven moest worden, dan red je dat niet als je ook nog eens netjes wil testen.
Het is inderdaad vaak wel mogelijk en zo niet dan offline halen! Zie DigiD hun laatste probleempje, erg netjes (voorheen was dat ook anders) offline en gelukkig binnen een dag een patch beschikbaar en klaar. Men gaat wel iets harder werken als het systeem niet "gebruikt kan worden".
Vind het jammer dat hij van school gestuurd is, maar:

"Toen Al-Khabaz een paar dagen later echter de penetratietestingtool Acunetix gebruikte om te kijken of de webapplicatie nog steeds kwetsbaar was, werd hij onmiddelijk gebeld door de ceo van het bedrijf dat Omnivox ontwikkelde."

Als hij dat niet had gedaan was er niks aan de hand geweest. Maargoed vind het sneu voor die student.
..dus is zijn carriere prematuur verwoest, ondanks dat hij geen schade veroorzaakte.

lekker disproportioneel.

en de mensen die het lek hadden moeten fixen maar dat niet deden? die veroorzaakten pas potentiele schade. maar daar hoor je niets over.

*kuch*KROM als een hoepel!
is het niet vreemd dat hij direct gebeld wordt door de CEO?
Hoe kan dat zo snel getraceerd worden plus het nummer achterhaald worden?
en waarom de CEO? tis niet alsof die iets beters te doen heeft. Lijkt een beetje opgezet...
Denk eens even na voor je wat roept!

Hoe zou dat bedrijf nu ooit van te voren kunnen bedenken dat die jongen na een paar dagen een penetratietesting tool gaat draaien?

Zoiets kun je niet opzetten.
penetratietools detecteren is inderdaad opzet.
Lijkt je dat vreemd?
Hmmm, beetje apart. Waarom niet aan het personeel vragen hoe het is met de status van het lek. Snap de sanctie wel voor het gebruik van de tool. En de overige leraren zien het waarschijnlijk niet in context maar puur als een aanval.
dat is zoiets als dat jij een bank binnenloopt en zegt dat je weet hoe je pinpassen moet kraken en zegt hoe ze het op moeten lossen (maar dat kost ze wel tijd en geld)

vervolgens kom je een week later terug om te vragen of het opgelost is.
ik kan je nu al vertellen dat je te horen krijgt dat het zo is al weet ik dat de bank het niet zou doen totdat het ze meer geld gaat kosten als ze het niet direct oplossen.

die school en dat bedrijf willen gewoon winst maken en ze werken liever 1 gozer weg dan geld te investeren in een oplossing.
deze oplossing kost ze niets en wie gaat er nu controleren of het lek echt gedicht is ?
niemand hij was immers de enigste die ervan wist.

iemand de mond snoeren is in deze wereld veel makkelijker.
als je dit soort dingen aan het bedrijf verteld moet je dan ook altijd een backup plan hebben om zeker te weten dat je niet genaait word.
bijvoorbeeld een servertje bij een vriend die op een bepaalde datum mails verstuurt met de waarheid.
en mensen vergeten ook nog altijd de waarde van een telefoon gesprek opnemen.
het word al jaren tegen ons gebruikt waarom gaan wij het niet voor ons gebruiken :)

klinkt misschien wat paranoide maar het is helaas gewoon noodzaak in deze wereld waar alles tegen elkaar word afgewogen door grote bedrjven die tich advocaten hebben.

[Reactie gewijzigd door computerjunky op 21 januari 2013 20:07]

Hmmm, beetje apart. Waarom niet aan het personeel vragen hoe het is met de status van het lek.
Iets aan dit incident doet me denken dat hij geen eerlijk antwoord had gekregen.

[Reactie gewijzigd door Ook al Bezet op 21 januari 2013 11:15]

of een half antwoord.

Het wordt afgedaan met:
'we/ze zijn er mee bezig, even geduld a.u.b'
'het komt wel goed'
'wordt aan gewerkt'

het liefst nog met de waarschuwing (op volgorde van dreiging):
'je hebt er goed aan gedaan om het te vinden, meer kan je niet doen'
'ga niet verder zoeken'
'hou je gedeisd'
'hou je er verder erbuiten, het zijn jouw zaken niet'

en een gevolg:
'anders wordt je van school getrapt.'
'kan je de studie vaarwel zeggen'
'kan je iets anders zoeken'
e.d.

Leuk zulke reacties, heb je ook erg veel aan terwijl je gegevens open en bloot liggen.

[Reactie gewijzigd door Wallioo op 21 januari 2013 12:07]

Of hij had een volledig eerlijk en open antwoord gekregen.

Het is wel erg makkelijk om meteen het slechtste te denken van de school en de leerling tot heilige te verklaren.

Er is gewoon te weinig informatie om hier een oordeel over te vellen.

Hij had natuurlijk ook gewoon de school van tevoren kunnen vragen of het niet interessant zou zijn zo'n penetratietesting tool te draaien om te kijken of er nog meer lekken zijn.

Zoiets vooraf bespreken is blijkbaar iets wat bij de mensen hier niet in het hoofd komt? Iedereen vind het maar normaal dat je zoiets ongevraagd doet?
en jij vind het niet normaal dat je ano nu bepaalde dingen niet meer automagisch voor lief neemt, we leven hier niet meer in de jaren 60 hoor, wiet is hardstikke niet-normaal meer, love en peace zijn ver te zoeken...
Discutabel zou ik zeggen. Wellicht had hij moeten stoppen nadat hij erachter was gekomen dat het systeem een lek / lekken bevat. Doordat hij vervolgens een stap verder ging door een penetratietool te gebruiken wekt hij natuurlijk wel de indruk 'het verder te willen uitbuiten'. Helemaal bij leraren die er weinig verstand van hebben.

Aangezien hij wel het bedrijf en de studentenvakbond achter zich heeft geef ik hem wel een goede kans dat hij met het in beroep gaan succesvol kan zijn.
Het gaat om een instelling die computerwetenschappen geeft. Daarbij zou je verwachten dat die wel een context kunnen zien.

Het is wel jammer dat de instelling geen commentaar wil geven want dit blijft nu een eenzijdig nieuwsbericht. Wie weet wat die student met die penetratietool heeft uitgespookt.
Zelfs al is het beroep succesvol, met 14 van de 15 docenten tegen hem zal hij nooit zijn diploma halen.
Zelfs al is het beroep succesvol, met 14 van de 15 docenten tegen hem zal hij nooit zijn diploma halen.
Niet aan die school nee, maar na een succesvol beroep maakt hij wel veel meer kans om bij een andere school weer opnieuw te kunnen beginnen.
ALs ik het goed lees betekend het wanneer je in Canada van school gestuurd wordt dat je ook niet naar een andere school kan. Hierdoor kan hij dus niks. Wanneer dit ingetrokken wordt kan hij anar een andere school en daar zijn studie afronden.

Natuurlijk is er eigenlijk maar één oplossing goed als docenten inderdaad tegen hem zijn en hij in het gelijk gesteld wordt. De 14 docenten van school sturen.
De indruk om het verder uit te willen buiten kan je alleen opwekken als mensen echt nul procent verstand gebruiken. Als de gebruiker de beveiligingslek zelf meld, is het al duidelijk genoeg dat er geen idee tot misbruik achter zit. Als je dan vervolgens gefeliciteerd wordt met het melden van het lek word je ook enkel aangemoedigd dat je iets goeds hebt gedaan en gemotiveerd om wellicht nog verder te helpen.
met een penetratietool help je niet echt...
Dat kunnen ze zelf wel en is snel te detecteren.
dom dus!
dom dus!
net als jouw reactie, sorrie dat ik het zeg maar als je de nuances niet ziet heb je werkelijk geen idee waar je over praat,

als je er vanuit mag gaan dat hij het recht heeft om controle te houden over zo'n legaal lek waarom zou je dan niet een gemakkelijk te detecteren tool gebruiken, je staat immers in je volste recht, het zou pas dom en argwaanwekkend zijn als je het signaal eerste de halve wereld rond zou sturen en je proberen te verbergen.

dat deze school blijkbaar bestaat uit wereldvreemde it-debielen zonder enig moreel beseef en enkel angst voor hun eigen baantje was misschien te voorzien, maar zeker niet zo evident zoals jij en anderen het proberen te doen voorkomen, of waar je mogelijk zelfs hardnekkig in geloofd?

je opmerking is dus behalve inhoudsloos op z'n minst veel te rechtlijnig
Knap staaltje koppigheid zeg.. Mag toch hopen voor die jongen dat dit rechtgezet gaat worden
Idd, een rechtzaak aanspannen.
Een rechtzaak gaat 'ie verliezen...

Hij heeft pen-testing tools losgelaten op infrastructuur die niet van hem was. Ongetwijfeld tegen het schoolreglement in.

En als 'ie aan de rechter probeert uit te leggen wat 'ie nou precies heeft gedaan zal hij ontdekken dat dat best lastig is ;-)

Het is natuurlijk heel spannend - scannen en zien wat er allemaal open staat op andermans server, maar het mag niet...

Merk overigens op dat 't pen-testing tool dat de student gebruikte (Acunetix) best prijzig is. Prijzen starten bij 1445 dollar. Of zou 'ie die ook gekraakt hebben?

http://www.acunetix.com/ordering/

[Reactie gewijzigd door Tukkertje-RaH op 21 januari 2013 11:03]

Als je samen met mede-studenten dergelijke dingen altijd al interessant vind... dan zijn de kosten voor zo'n licentie gedeeld door bijvoorbeeld 10 alweer een stukje voordeliger. Sterker nog, genoeg studenten die samen met andere ergens een systeem huren bij een of andere hoster om van daaruit te werken... bijvoorbeeld alleen al om render-werkzaamheden te doen waarvoor je anders op je studentenkamer een flinke (niet betaalbare) unit had moeten staan.

Laten we het bij het hacken houden... nu maak je de student nog uit voor dief ook zonder dat daar ook maar een enkel bewijs voor is.
En het zou best kunnen dat de computer science department licenties heeft voor gebruik in practica in testomgevingen. Neemt natuurlijk niet weg dat de jongen verkeerd bezig is geweest, wellicht dat scholen in de technische sector eens wat meer aandacht moeten besteden aan computer ethics & legalities. Teveel mensen denken nog steeds dat wat op het internet gebeurt niet voor het 'eggie' is...
Beetje off-topic maar er is een 'Free Trial' te downloaden op de website dus om hem meteen te beschuldigen van gebruik van illegale software gaat wat ver.
Soms moet je leren zwijgen over bepaalde dingen als je weet dat het je in moeilijkheden kan brengen. Het zou zo niet mogen zijn, maar al snel zal je dat in het leven ondervinden.
Inderdaad. Dit zal wel weer gedownmod worden, maar het is de realiteit: als je een lek vindt kun je daar het beste niks mee doen. Als de gegevens die blootgesteld zijn voor jou persoonlijk van belang kunnen zijn, dan maak je een kopie (zo mogelijk vanaf een anonieme locatie) voor je persoonlijk gewin, en als dat niet zo is, dan laat je het zitten.

Dat de verantwoordelijke(n) ooit mogen branden in de hel. Tegelijk met alle CEO's, schoolhoofden, politici en rechters en alle anderen die ertoe bijdragen dat het openbaren van lekken nog steeds nadelig uitpakt voor de ontdekker.
Dat de verantwoordelijke(n) ooit mogen branden in de hel.

daarom downmod!
On-topic. Daarom +1.

Je ziet overigens in alle culturen dat klokkenluiders de zwarte piet krijgen toegespeeld.
In China verdwijn je
In Noord Korea krijg je levenslange opsluiting (daar meestal een paar jaar)
In westerse landen is het ietsjes milder: Assange kan nog best lang leven, ondanks dat het wachten is op zijn arrestatie.
Helaas.

Geef die jongen een visum/paspoort en inburgeringscursus, dan heet ik hem van harte welkom als student in Nederland! Blijkbaar heeft hij wel wat nodig is om beveiliging te testen, dus als ik een IT bedrijf had, zou ik graag eens met hem praten!
Geef die jongen een visum/paspoort en inburgeringscursus, dan heet ik hem van harte welkom als student in Nederland! Blijkbaar heeft hij wel wat nodig is om beveiliging te testen, dus als ik een IT bedrijf had, zou ik graag eens met hem praten!
ik had het niet beter kunnen verwoorden.
klopt, we leven in een waardeloze wereld vol waardeloze mensen, de enige manier om niet zelf de nadelen te ondervinden is meegaan in egoisme en misantropie. jippie.
</een_verbitterd_slachtoffer>
The only thing for evil to triumph is for good men to do nothing
@biglia:

Wanneer problemen niet meer kunnen worden aangekaart doordat bedrijven* (groot geld) daar buitenverhouding zware sancties op kan zetten gaan we met zijn allen achteruit ipv vooruit.

* scholen zijn ook "groot geld" die aan machtsmisbruik doen, ook hier in NL.
Ehm... liever wachten tot de een of andere pseudo-terrorist het lek vind, de gegevens binnenhaalt en doorverkoopt, en dan de site plat legt? En vervolgens de een of andere tekst in de trend van "je zult eeuwig branden" neerzetten of zo?

Juist dat de jongen aan de bel heeft getrokken is een goed teken, ik hoop ook dat iedere potentiële klokkenluider voor beveiligingslekken in het vervolg als waardevol wordt betiteld. Deze fratsen vind ik schraal en lelijk van de school. Carrière naar de maan door aan de bel te trekken.

Laat ze liever gezamelijk energie steken in een gezamelijke oplossing:
- Hoe kon de student bij de gegevens? Met welke progs / methode?
- Wat kan de software leverancier er aan doen om het te dichten?
Dit gaat wel erg ver. Wanneer je een tool voor goede doelen gebruikt mag dit geen aanleiding zijn voor het wegsturen van iemand. Zover ik weet is het niet eens illegaal. Die CEO van dat bedrijf gaat ook echt te ver hierin: slecht geprogrammeerd is slecht geprogrammeerd. Ik vind het een enorme misser van de school.
Ik weet nog wel dat ik een waarschuwing kreeg van de hoge school utrecht en een gesprek met een decaan omdat ik een tentamen opdracht op een floppy had ingeleverd waarop een ZIP file stond. Het geheel was te groot en met comprimeren paste het wel.

Onder het mom, wij werken niet met ZIP files want daar kan een virus in zitten.
Probeer dan de ICT docente zonder een ruk verstand van pc's, die gelijk kinderporno roept bij het zien van een banner van een verkeerd geklikte link(een of andere serials website). Ik zat er naast maar mijn account en dat van de halve klas werd gelijk geblokkeerd, een duo éénstrepers op visite, dozijn interviews.

Scholen en computers, uitermate slechte combo.
De CEO van het bedrijf heeft niet meegedragen aan het van school sturen van deze student, maar heeft hem alleen bedreigd dat hij naar de politie zou stappen als hij geen geheimhoudingsverklaring zou tekenen. Dit kan natuurlijk ook minder brutaal zijn gegaan dan hier wordt vermoed. Natuurlijk is het niet netjes, maar geen enkel bedrijf zal er blij van worden als je ze gaat proberen te hacken.

De school daarintegen is het geen misser, maar een enorme blunder. Door iemand van school te sturen is het probleem niet opgelost, maar alleen maar erger geworden. Het gebruiken van een tool is niet in alle gevallen legaal, maar voor dit soort doeleinde moet er wat milder mee om worden gegaan zoals de CEO van het bedrijf heeft gezegd.
plus dat dit nu dus bekend is geworden, en er dus mogelijk nog veel meer problemen ontstaan hierdoor, die jongen moest nu wel aan de bel trekken voor zijn eigenbelang maar alle anderen zijn dus nu wel kwetsbaarn,

(dat is niet zijn schuld btw maartoch) ik hoop dat de CEO hem nu niet alsnog gaat aanklagen wegens bruek van de geheimhoudingsplicht. een hele vieze zaak die stinkt aan alle kanten.
jongen bedoelt het niet kwaad, en doet het goede en wordt dan van school getrapt.

tenzij er bewijs is dat hij nu wel echt met malafide intenties bezig was is dit echt compleet idioot.
"geen enkel bedrijf zal er blij van worden als je ze gaat proberen te hacken"

Ik herinner me dat Microsoft een aantal jaar geleden reclame maakten om Win7 te hacken, en iedereen dat een lek vond kreeg 100000¤
Een goedkope manier om hun software tegen hacken te beschermen. Ze betalen enkel als er een lek gevonden wordt, wie weet hoeveel mensen het probeerden zonder geluk.

Ook is het goeie reclame voor hun product, ze tonen dat ze er vertrouwen in hebben.


OnTopic:
De leerkrachten die de student uit het school hebben gesmeten hebben ongelijk. Als hij dit lek niet gemeld zou hebben zou hij nog op school zitten, hij is te goed geweest.
Maar dat de softwarefabrikant niet heeft ingegrepen is mij ook een raadsel.

De vraag blijft: vanaf welk punt is programmeren hacken?
vanaf het moment dat je een penetratie tool gebruikt aan de andere kant heeft hij het volste recht om te controleren of de systemen / met in begrip van zijn prive- gegevens na het melden van zo'n lek (dat nu eenmaal kan gebeuren) nu wél degelijk worden beschermt, je mag immers op zijn minst verwachten dat er pleisters op de wonden zijn geplakt tot er een geneesheer naar kan kijken, denk aan beter / strengere firewalls en andere / lapmiddelen.

of 'een paar dagen' redelijkerwijs genoeg is is zaak tussen deze jongen en de overige partijen, maar het simpele feit dan ie zonder wederhoor van school zou zijn getrapt zegt mij wel iets over de gemiddelde it-dino die daar wellicht rond zal lopen. bij ons op school werden we door enkele jongere docenten aangemoedig alles te kraken wat er te kraken viel en altijd waakzaam te blijven voor onze online-privacy. er zouden ooit nog eens bedrijven komen die werkelijk met de mooiste smoezen zouden komen om te moeten weten welk soort inleg kruisje onze moeders zouden gebruiken (iets dat destijds onze jongen tiener hartjes van walging en kotsneigingen vervulgen.

inmiddels heb je bedrijven als google en facebook, waar je op zich prima mee kunt werken als je die bovenstaande les constant in acht neemt en er ook naar handeld. google weet van mij niet meer dan 20 tot hooguit 30 procent waarvan de helft op zijn minst onbetrouwbaar zal blijken en zeker niet meer dan 1% van die kennis had ik eigenlijk liever voor me ge houden. hoe dat komt? ik denk eerst 10x na voor ik iets op twitter zet, facebook is me vreemd en mijn online profielen zijn doorgaans nog onnoukeuriger dan de smoezen die een gemiddelde tiener gebruik om zijn aanstand schoonmoeder niet te hard tegen het zere been te stoten als..... nu ja die analoog zal ik verder laten voor wat ie is...
Het is niet illegaal nee, maar de student had de hogeschool op de hoogte moeten stellen dat hij de penetratietool opnieuw ging gebruiken om op veiligheid te testen. Dan had hij veel ellende kunnen voorkomen.

Ik gebruikte jaren terug een penetratietool om de veiligheid van een Nederlandse commerciële site onverwachts te controleren. De bouwer van die site dreigde ons bijna met rechtzaken - omdat hij zich niet had kunnen voorbereiden waarschijnlijk - en na lang praten hebben we de zaak recht kunnen trekken.

Ik heb toen geleerd dat onverwachts een penetratietest uitvoeren geen goed idee is, ook al heb je de beste bedoelingen. Het is beter vooraf alle betrokken partijen in te lichten wat je van plan bent ... scheelt veel ellende achteraf.
Dus een inbreker moet van tevoren aangeven wanneer hij gaat inbreken?

Mompelt iets over "defeats the purpose"....
Het is beter vooraf alle betrokken partijen in te lichten wat je van plan bent ... scheelt veel ellende achteraf.

Waarbij de meeste betrokken partijen je vertellen dat je geen enkele toestemming krijgt en als je het toch probeert word je voor het gerecht gesleept.
Zodoende blijven 90% van de servers vol gaten zitten, wachtend op iemand die een penetratietest uitvoert en er vervolgens met allerlei gegevens vandoor gaat.
Het punt is meer dat je het ongevraagd hebt gedaan, niet of het onverwacht was. Een bedrijf kan ook niet ruiken welke bedoelingen je hebt en dan nog. De veiligheid van een systeem is in de eerste plaats de verantwoordelijkheid van de eigenaar. Wanneer je toevallig, tijdens normaal gebruik, je op iets stuit, kun je dat eventueel melden. Ongevraagd uitgebreide veiligheidtests doen is echter over de streep.

Het is een afgezaagd voorbeeld, maar wanneer je je buurman betrapt op een "inbraakveiligheidstest" van je woning, sta je waarschijnlijk ook niet te juichen bij dergelijke bemoeizucht.

Tenslotte moet je er niet automatisch vanuit gaan dat je als held wordt binnengehaald vanwege je ontdekking. Ben vroeger ook wel eens wat "slordigheden" tegengekomen bij een onderwijsinstelling (kunnen inloggen bij de administratie met een testaccount bijv.). Aangezien de ICT daar normaal al zo chagrijnig en klantonvriendelijk was, heb ik daar nooit wat van gemeld. Teveel risico dat ze mij de schuld in de schoenen zouden schuiven. :P
Ik neem aan dat jouw buurman niet zijn gevoeldige gegevens bij jou thuis heeft liggen... Het gaat hier over een administratiesysteem met gevoelige data, data waarmee identiteitsvervalsing mogelijk zou kunnen zijn. Dat van alle studenten, welke geen keuze hebben of hun gegevens daar opgeslagen worden. Het systeem wordt immers op de meeste scholen daar gebruikt zoals in het artikel genoemd.

Uiteraard is de eigenaar van het systeem dan verantwoordelijk voor de veiligheid, als in, als het niet veilig is dan zou hij een probleem moeten hebben. Het testen of de opslag van jouw eigen gegevens enigszins veilig is en dat dan nog openlijk doen ook, inclusief melding van een lek, lijkt mij dan ook niet onredelijk. Het zou wat zijn als we toch een EPD in gaan voeren, en niemand mag testen of het veilig is, dat is de "verantwoording van de eigenaar".

[Reactie gewijzigd door Arne op 21 januari 2013 12:59]

En wanneer is het gebruik van zo'n tool met goede bedoelingen? Als je betrapt wordt? Het lijkt me niet onredelijk dat men op een school stelt dat het gebruik van dit soort middelen niet is toegestaan tenzij er vooraf toestemming verleend is. Gebruik je het zonder toestemming, heb je pech.

En slecht geprogrammeerd of niet, een poging tot inbraak in een computersysteem blijft gewoon illegaal. Wat mij betreft is die CEO redelijk correct, het is gewoon een stommiteit van die student en misschien hard dat men hem zo aanpakt maar het risico wat de student zelf nam door dit soort tools te gebruiken.
En wanneer is het gebruik van zo'n tool met goede bedoelingen? Als je betrapt wordt?
Goede bedoelingen lijken me wel evident als je éérst het lek al hebt gemeld bij de schoolleiding.

Gek genoeg maakt dit in Amerika niets meer uit: een tool die als doel/mogelijkheid heeft het omzeilen van beveiliging (ook al is die beveiliging er niet, de bedoeling was dat hij er wel was) is per definitie al illegaal in dat bizarre land.
Dit gebeurde in Canada, zoals het artikel minstens 2x vermeld.
Nee, Canada ligt op het continent Noord Amerika, niet in Amerika.

De term Amerika (zonder Noord of Zuid) wordt doorgaans gebruikt om naar de Verenigde Staten te verwijzen. Zowel Google Maps (link) als de Van Dale zijn het hier mee eens.

[Reactie gewijzigd door knirfie244 op 21 januari 2013 13:43]

Het gaat hier niet over Amerika, de jongen zat op een Canadese school..
En hij zegt dat Canada in Amerika ligt.
Canada is IN Noord-Amerika.
Dat is niet gelijk aan Amerika zelf.
Off-topic/afknap:
Zucht. Amerika is toch het gehele continent links van ons?
Zuid-Amerika, Midden-Amerika, Noord-Amerika. Zullen we dan ook stellen dat in Noord-Amerika zowel de VS als Canada zijn?
Het is echt een kwestie van definitie.

On-topic: Blunder van de school. Blunder van de software-maker. Duidelijk geval van dat mensen het niet leuk vinden om op de vingers getikt te worden. Helemaal door een jonger iemand.
Oh kom op zeg, lees even waar men op reageert! Het is overduidelijk in deze context dat het om de VS gaat en niet om het continent. De wet die zegt dat het illegaal is om beveiligingen te kraken is namelijk van hun, niet van Bolivia of van welk ander land dan ook dat in de twee continenten die als Amerika aangeduid worden ligt, en waarschijnlijk dus ook niet van Canada.
dus als jij een gaslek van een openbare leiding (die toevallig door jouw tuin loopt), vermoed en dit meld aan de energie maatschappij ben je een terrorist als je eens goed naar die lijding gaat kijken...

(*verklaring mensen die bij een gasleiding kijken zullen die wel willen saboteren en dus zijn ze terroristen.... )....
In de meeste bedrijven is het verboden om zonder toestemming dergelijke tools te gebruiken, en inderdaad reden voor ontslag. Als 'iedereen' wanneer ze het maar willen zo'n security-testen gaat doen, is het voor hackers veel gemakkelijker om onopgemerkt te blijven, en bij een echte aanval kan het opsporen van de aanvaller moeilijker worden door een overvloed van gegevens van 'ter goeder trouw' uitgevoerde scans.
Bovendien is het inderdaad achteraf heel gemakkelijk om te zeggen dat je de beste bedoelingen had.
Of het 'rechtvaardig' of 'menselijk' is om in dit geval onmiddellijk de strengst mogelijke straf boven te halen is wel een andere vraag.
Juist en dat schrikt iedereen af, omdat het illegaal is :? beetje CDA benadering van alle problemen, voorlopig zat dat lek er al en was de boel kwetsbaar, hij heeft het een paar dagen later geprobeerd om te achterhalen of het opgelost was, dat was het dus niet en heeft hij gemeld en dat wordt hem kwalijk genomen en kost hem zijn school, conclusie volgende keer niets meer melden en de boel gewoon op zijn beloop laten, als de boel dan echt klapt omdat er echte hackers de boel gaan verzieken is het jammer voor de school en mag de hele schoolleiding het Amerika gaan uitleggen, waardoor de boel volledig naar de ballen is. Jij weet van niets en kan gewoon door gaan met studeren, CDA probleem opgelost :Y
En wanneer is het gebruik van zo'n tool met goede bedoelingen? Als je betrapt wordt? Het lijkt me niet onredelijk dat men op een school stelt dat het gebruik van dit soort middelen niet is toegestaan tenzij er vooraf toestemming verleend is. Gebruik je het zonder toestemming, heb je pech.

En slecht geprogrammeerd of niet, een poging tot inbraak in een computersysteem blijft gewoon illegaal. Wat mij betreft is die CEO redelijk correct, het is gewoon een stommiteit van die student en misschien hard dat men hem zo aanpakt maar het risico wat de student zelf nam door dit soort tools te gebruiken.
De eerste keer werd hij blijkbaar niet betrapt, maar de tweede keer wel. Wat heeft de student geleerd? Dat hij beter zijn mond had gehouden en gezien de houding van de school had hij beter gewoon een dump van de data genomen om die eventueel te verkopen of door te spelen aan één of andere hackers groepering voor de fun. In dat geval komt dit verhaal op tweakers onder een andere titel. Gegevens studenten provincie Quebec liggen op straat.

Op het werk hebben mijn collega en ik ook al een aantal dingen gemeld. Achteraf hebben we ook testen gedaan om te zien of het lek werkelijk gedicht werd. Ik verwacht geen prijs voor zulke acties, maar verwacht hier ook niet voor ontslagen te worden eerlijk gezegd. Je hebt 3 keuzes, niks doen, testen uitvoeren of testen uitvoeren en niks zeggen, waarbij juridisch gezien, niks doen de enige juiste oplossing is. Testen en niks zeggen is het ergste.
Als je weet dat er met goede kans ergens een enorm lek zit met lekker veel privacygevoelige medische gegevens of creditcardnummers en je doet vervolgens helemaal niets, (waarbij je er uiteraard vanuit kan gaan dat het slechts een kwestie van tijd is voordat er iets grof fout gaat,) ben je dan al niet verwijtbaar fout bezig?
Ik kan me nog iets herinneren over niets doen bij misdrijven/wantoestanden die leiden tot misdrijven.

Waarbij dus inderdaad gezegd moet worden dat het testen an sich ook strafbaar is en aangepakt kan worden, en het hoogstwaarschijnlijk ook echt aangepakt word als je gepakt word, en beter dan vertellen (ofwel bekennen) word het voor meneer agent toch echt niet, dus dat moet je echt niet doen.

Damned if you do, damned if you don't.
nou, als je de eula van EA na leest dan word je bij niets zeggen ook al afgestraft.
"Het is duidelijk dat er geen kwade bedoelingen in het spel waren. Hij maakte simpelweg een vergissing"
Maar je belt wel de politie(of dreigt ermee) 8)7

Ik zou de details van 't lek direct door sluizen naar Anonymous, in ruil voor zijn 'dankbaarheid'...
"De ceo van het bedrijf, Edouard Taza, zegt dat Al-Khabaz beter had moeten weten, maar rekent het hem niet te zwaar aan: "Het is duidelijk dat er geen kwade bedoelingen in het spel waren. Hij maakte simpelweg een vergissing", zegt hij tegen de National Post

De schoolleiding van Dawson College was het daar niet mee eens. Van de vijftien docenten van het departement computerwetenschappen stemden er veertien mee in om Al-Khabaz van school te sturen, vanwege het gebruik van de penetratietestingtool."

Ja ja, de CEO van het beveiligingsbedrijf (die er het meeste belang bij heeft om die jongen het zwijgen op te leggen) pleit hem vrij maar 14 van de 15 IT docenten willen hem weg hebben? Ik heb een vermoeden hoe dat ging: de schoolleiding heeft ergens een reglement waarin staat dat ongeoorloofd gedrag reden kan zijn om iemand van school te sturen, ze vragen de IT docenten of het gebruik van een penetratietool ongeoorloofd gedrag is, 14 zeggen "ja, maar hij heeft uiteindelijk niets verkeerds gedaan", waarop de schoolleiding weer vraagt "maar jullie vinden het in principe wel ongeoorloofd gedrag", waarop de docenten "ja, in principe wel" antwoorden. Vervolgens stuurt de schoolleiding de student van school en zeggen ze dat ze de steun hebben van 14 van de 15 IT docenten, dit komt op de voorpagina, een paar dagen later zeggen die docenten dat ze helemaal niet is gevraagd of de student van school moest worden gestuurd, maar dat komt ergens in een hoekje op pagina 15...

De schoolleiding maakt hier ook nog eens de klassieke fout te denken dat je zoiets in de doofpot kunt stoppen, het wordt alleen maar erger wanneer die student z'n frustratie bij de media gaat uiten, zoals nu gebeurd is. Uiteraard zal niemand de schoolleiding aanspreken op hun bestuurlijke incompetentie en mogen ze hun riante salarissen en extraatjes gewoon houden...

Dat de CEO van het beveiliginsbedrijf de student een geheimhoudingsverklaring liet tekenen slaat ook echt nergens op: een vrije markt kan niet functioneren als de consument geen informatie krijgt over de gebreken van bedrijven. Maar ja, dit zal ook wel weer onbestraft blijven...
De ceo van het bedrijf, Edouard Taza, zegt dat Al-Khabaz beter had moeten weten, maar rekent het hem niet te zwaar aan: "Het is duidelijk dat er geen kwade bedoelingen in het spel waren. Hij maakte simpelweg een vergissing", zegt hij tegen de National Post.
Da's het verhaal van de CEO, maar Al-Khabaz zegt dat in het telefoongesprek het volgende werd gezegd:
He told me that I could go to jail for six to twelve months for what I had just done and if I didn’t agree to meet with him and sign a non-disclosure agreement he was going to call the RCMP and have me arrested. So I signed the agreement.
En dat klinkt me toch wel een stuk minder vriendelijk in de oren... De waarheid zal wel ergens in het midden liggen, maar gezien de belangen (CEO van bedrijf dat privacy-gevoelige software maakt met serieus beveiligingslek vs student die allemaal 10'en haalt) geloof ik toch eerder het verhaal van Al-Khabaz.

Op dit item kan niet meer gereageerd worden.



LG Nexus 5 (2015) Apple iPhone 6s FIFA 16 Microsoft Windows 10 Home NL Star Wars: Battlefront (2015) Samsung Gear S2 Skylake Samsung Galaxy S6 edge+

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True