Student van school gestuurd na ontdekken beveiligingsprobleem
Een 20-jarige student computerwetenschappen uit Canada is van school gestuurd nadat hij een beveiligingsprobleem had ontdekt in een computersysteem van zijn hogeschool. De kwetsbaarheid maakte het voor kwaadwillenden mogelijk om privégegevens te ontfutselen.
De student, Ahmed Al-Khabaz, zegt volgens de National Post geen kwaad in de zin te hebben gehad. Hij stuitte op het beveiligingsprobleem toen hij een app aan het ontwikkelen was die studenten eenvoudiger toegang moest bieden tot hun account in het computersysteem dat onder meer door zijn hogeschool, Dawson College, werd gebruikt. Het computersysteem, Omnivox, is volgens hem slecht geprogrammeerd en biedt kwaadwillenden zonder al te veel technische kennis toegang tot privégegevens van studenten, waaronder naw-gegevens en burgerservicenummer. Het systeem wordt gebruikt op veel hogescholen in de Canadese provincie Quebec.
Toen de student in oktober de problemen samen met een medestudent aankaartte bij de schoolleiding, werd hij aanvankelijk gefeliciteerd met het vinden van het lek. Toen Al-Khabaz een paar dagen later echter de penetratietestingtool Acunetix gebruikte om te kijken of de webapplicatie nog steeds kwetsbaar was, werd hij onmiddelijk gebeld door de ceo van het bedrijf dat Omnivox ontwikkelde. Die dreigde volgens Al-Khabaz de politie te bellen, tenzij de student een geheimhoudingsverklaring zou ondertekenen. Dat deed hij.
De ceo van het bedrijf, Edouard Taza, zegt dat Al-Khabaz beter had moeten weten, maar rekent het hem niet te zwaar aan: "Het is duidelijk dat er geen kwade bedoelingen in het spel waren. Hij maakte simpelweg een vergissing", zegt hij tegen de National Post. De schoolleiding van Dawson College was het daar niet mee eens. Van de vijftien docenten van het departement computerwetenschappen stemden er veertien mee in om Al-Khabaz van school te sturen, vanwege het gebruik van de penetratietestingtool.
Al-Khabaz klaagt dat hij nooit een kans heeft gehad om zijn acties toe te lichten; hij heeft het gevoel dat de hogeschool vooral probeerde om de zaak in de doofpot te stoppen. Omdat hij van school is gestuurd, is hij niet in staat om naar een andere hogeschool te gaan. "Mijn academische carrière is compleet verwoest", aldus de student volgens de National Post. De studentenvakbond van de hogeschool is het met Al-Khabaz eens. De hogeschool was volgens de National Post niet bereikbaar voor commentaar.
Reacties (130)
Dit gaat wel erg ver. Wanneer je een tool voor goede doelen gebruikt mag dit geen aanleiding zijn voor het wegsturen van iemand. Zover ik weet is het niet eens illegaal. Die CEO van dat bedrijf gaat ook echt te ver hierin: slecht geprogrammeerd is slecht geprogrammeerd. Ik vind het een enorme misser van de school.
De CEO van het bedrijf heeft niet meegedragen aan het van school sturen van deze student, maar heeft hem alleen bedreigd dat hij naar de politie zou stappen als hij geen geheimhoudingsverklaring zou tekenen. Dit kan natuurlijk ook minder brutaal zijn gegaan dan hier wordt vermoed. Natuurlijk is het niet netjes, maar geen enkel bedrijf zal er blij van worden als je ze gaat proberen te hacken.
De school daarintegen is het geen misser, maar een enorme blunder. Door iemand van school te sturen is het probleem niet opgelost, maar alleen maar erger geworden. Het gebruiken van een tool is niet in alle gevallen legaal, maar voor dit soort doeleinde moet er wat milder mee om worden gegaan zoals de CEO van het bedrijf heeft gezegd.
De school daarintegen is het geen misser, maar een enorme blunder. Door iemand van school te sturen is het probleem niet opgelost, maar alleen maar erger geworden. Het gebruiken van een tool is niet in alle gevallen legaal, maar voor dit soort doeleinde moet er wat milder mee om worden gegaan zoals de CEO van het bedrijf heeft gezegd.
plus dat dit nu dus bekend is geworden, en er dus mogelijk nog veel meer problemen ontstaan hierdoor, die jongen moest nu wel aan de bel trekken voor zijn eigenbelang maar alle anderen zijn dus nu wel kwetsbaarn,
(dat is niet zijn schuld btw maartoch) ik hoop dat de CEO hem nu niet alsnog gaat aanklagen wegens bruek van de geheimhoudingsplicht. een hele vieze zaak die stinkt aan alle kanten.
jongen bedoelt het niet kwaad, en doet het goede en wordt dan van school getrapt.
tenzij er bewijs is dat hij nu wel echt met malafide intenties bezig was is dit echt compleet idioot.
(dat is niet zijn schuld btw maartoch) ik hoop dat de CEO hem nu niet alsnog gaat aanklagen wegens bruek van de geheimhoudingsplicht. een hele vieze zaak die stinkt aan alle kanten.
jongen bedoelt het niet kwaad, en doet het goede en wordt dan van school getrapt.
tenzij er bewijs is dat hij nu wel echt met malafide intenties bezig was is dit echt compleet idioot.
"geen enkel bedrijf zal er blij van worden als je ze gaat proberen te hacken"
Ik herinner me dat Microsoft een aantal jaar geleden reclame maakten om Win7 te hacken, en iedereen dat een lek vond kreeg 100000¤
Een goedkope manier om hun software tegen hacken te beschermen. Ze betalen enkel als er een lek gevonden wordt, wie weet hoeveel mensen het probeerden zonder geluk.
Ook is het goeie reclame voor hun product, ze tonen dat ze er vertrouwen in hebben.
OnTopic:
De leerkrachten die de student uit het school hebben gesmeten hebben ongelijk. Als hij dit lek niet gemeld zou hebben zou hij nog op school zitten, hij is te goed geweest.
Maar dat de softwarefabrikant niet heeft ingegrepen is mij ook een raadsel.
De vraag blijft: vanaf welk punt is programmeren hacken?
Ik herinner me dat Microsoft een aantal jaar geleden reclame maakten om Win7 te hacken, en iedereen dat een lek vond kreeg 100000¤
Een goedkope manier om hun software tegen hacken te beschermen. Ze betalen enkel als er een lek gevonden wordt, wie weet hoeveel mensen het probeerden zonder geluk.
Ook is het goeie reclame voor hun product, ze tonen dat ze er vertrouwen in hebben.
OnTopic:
De leerkrachten die de student uit het school hebben gesmeten hebben ongelijk. Als hij dit lek niet gemeld zou hebben zou hij nog op school zitten, hij is te goed geweest.
Maar dat de softwarefabrikant niet heeft ingegrepen is mij ook een raadsel.
De vraag blijft: vanaf welk punt is programmeren hacken?
vanaf het moment dat je een penetratie tool gebruikt aan de andere kant heeft hij het volste recht om te controleren of de systemen / met in begrip van zijn prive- gegevens na het melden van zo'n lek (dat nu eenmaal kan gebeuren) nu wél degelijk worden beschermt, je mag immers op zijn minst verwachten dat er pleisters op de wonden zijn geplakt tot er een geneesheer naar kan kijken, denk aan beter / strengere firewalls en andere / lapmiddelen.
of 'een paar dagen' redelijkerwijs genoeg is is zaak tussen deze jongen en de overige partijen, maar het simpele feit dan ie zonder wederhoor van school zou zijn getrapt zegt mij wel iets over de gemiddelde it-dino die daar wellicht rond zal lopen. bij ons op school werden we door enkele jongere docenten aangemoedig alles te kraken wat er te kraken viel en altijd waakzaam te blijven voor onze online-privacy. er zouden ooit nog eens bedrijven komen die werkelijk met de mooiste smoezen zouden komen om te moeten weten welk soort inleg kruisje onze moeders zouden gebruiken (iets dat destijds onze jongen tiener hartjes van walging en kotsneigingen vervulgen.
inmiddels heb je bedrijven als google en facebook, waar je op zich prima mee kunt werken als je die bovenstaande les constant in acht neemt en er ook naar handeld. google weet van mij niet meer dan 20 tot hooguit 30 procent waarvan de helft op zijn minst onbetrouwbaar zal blijken en zeker niet meer dan 1% van die kennis had ik eigenlijk liever voor me ge houden. hoe dat komt? ik denk eerst 10x na voor ik iets op twitter zet, facebook is me vreemd en mijn online profielen zijn doorgaans nog onnoukeuriger dan de smoezen die een gemiddelde tiener gebruik om zijn aanstand schoonmoeder niet te hard tegen het zere been te stoten als..... nu ja die analoog zal ik verder laten voor wat ie is...
of 'een paar dagen' redelijkerwijs genoeg is is zaak tussen deze jongen en de overige partijen, maar het simpele feit dan ie zonder wederhoor van school zou zijn getrapt zegt mij wel iets over de gemiddelde it-dino die daar wellicht rond zal lopen. bij ons op school werden we door enkele jongere docenten aangemoedig alles te kraken wat er te kraken viel en altijd waakzaam te blijven voor onze online-privacy. er zouden ooit nog eens bedrijven komen die werkelijk met de mooiste smoezen zouden komen om te moeten weten welk soort inleg kruisje onze moeders zouden gebruiken (iets dat destijds onze jongen tiener hartjes van walging en kotsneigingen vervulgen.
inmiddels heb je bedrijven als google en facebook, waar je op zich prima mee kunt werken als je die bovenstaande les constant in acht neemt en er ook naar handeld. google weet van mij niet meer dan 20 tot hooguit 30 procent waarvan de helft op zijn minst onbetrouwbaar zal blijken en zeker niet meer dan 1% van die kennis had ik eigenlijk liever voor me ge houden. hoe dat komt? ik denk eerst 10x na voor ik iets op twitter zet, facebook is me vreemd en mijn online profielen zijn doorgaans nog onnoukeuriger dan de smoezen die een gemiddelde tiener gebruik om zijn aanstand schoonmoeder niet te hard tegen het zere been te stoten als..... nu ja die analoog zal ik verder laten voor wat ie is...
Het is niet illegaal nee, maar de student had de hogeschool op de hoogte moeten stellen dat hij de penetratietool opnieuw ging gebruiken om op veiligheid te testen. Dan had hij veel ellende kunnen voorkomen.
Ik gebruikte jaren terug een penetratietool om de veiligheid van een Nederlandse commerciële site onverwachts te controleren. De bouwer van die site dreigde ons bijna met rechtzaken - omdat hij zich niet had kunnen voorbereiden waarschijnlijk - en na lang praten hebben we de zaak recht kunnen trekken.
Ik heb toen geleerd dat onverwachts een penetratietest uitvoeren geen goed idee is, ook al heb je de beste bedoelingen. Het is beter vooraf alle betrokken partijen in te lichten wat je van plan bent ... scheelt veel ellende achteraf.
Ik gebruikte jaren terug een penetratietool om de veiligheid van een Nederlandse commerciële site onverwachts te controleren. De bouwer van die site dreigde ons bijna met rechtzaken - omdat hij zich niet had kunnen voorbereiden waarschijnlijk - en na lang praten hebben we de zaak recht kunnen trekken.
Ik heb toen geleerd dat onverwachts een penetratietest uitvoeren geen goed idee is, ook al heb je de beste bedoelingen. Het is beter vooraf alle betrokken partijen in te lichten wat je van plan bent ... scheelt veel ellende achteraf.
Het punt is meer dat je het ongevraagd hebt gedaan, niet of het onverwacht was. Een bedrijf kan ook niet ruiken welke bedoelingen je hebt en dan nog. De veiligheid van een systeem is in de eerste plaats de verantwoordelijkheid van de eigenaar. Wanneer je toevallig, tijdens normaal gebruik, je op iets stuit, kun je dat eventueel melden. Ongevraagd uitgebreide veiligheidtests doen is echter over de streep.
Het is een afgezaagd voorbeeld, maar wanneer je je buurman betrapt op een "inbraakveiligheidstest" van je woning, sta je waarschijnlijk ook niet te juichen bij dergelijke bemoeizucht.
Tenslotte moet je er niet automatisch vanuit gaan dat je als held wordt binnengehaald vanwege je ontdekking. Ben vroeger ook wel eens wat "slordigheden" tegengekomen bij een onderwijsinstelling (kunnen inloggen bij de administratie met een testaccount bijv.). Aangezien de ICT daar normaal al zo chagrijnig en klantonvriendelijk was, heb ik daar nooit wat van gemeld. Teveel risico dat ze mij de schuld in de schoenen zouden schuiven.
Het is een afgezaagd voorbeeld, maar wanneer je je buurman betrapt op een "inbraakveiligheidstest" van je woning, sta je waarschijnlijk ook niet te juichen bij dergelijke bemoeizucht.
Tenslotte moet je er niet automatisch vanuit gaan dat je als held wordt binnengehaald vanwege je ontdekking. Ben vroeger ook wel eens wat "slordigheden" tegengekomen bij een onderwijsinstelling (kunnen inloggen bij de administratie met een testaccount bijv.). Aangezien de ICT daar normaal al zo chagrijnig en klantonvriendelijk was, heb ik daar nooit wat van gemeld. Teveel risico dat ze mij de schuld in de schoenen zouden schuiven.
Ik neem aan dat jouw buurman niet zijn gevoeldige gegevens bij jou thuis heeft liggen... Het gaat hier over een administratiesysteem met gevoelige data, data waarmee identiteitsvervalsing mogelijk zou kunnen zijn. Dat van alle studenten, welke geen keuze hebben of hun gegevens daar opgeslagen worden. Het systeem wordt immers op de meeste scholen daar gebruikt zoals in het artikel genoemd.
Uiteraard is de eigenaar van het systeem dan verantwoordelijk voor de veiligheid, als in, als het niet veilig is dan zou hij een probleem moeten hebben. Het testen of de opslag van jouw eigen gegevens enigszins veilig is en dat dan nog openlijk doen ook, inclusief melding van een lek, lijkt mij dan ook niet onredelijk. Het zou wat zijn als we toch een EPD in gaan voeren, en niemand mag testen of het veilig is, dat is de "verantwoording van de eigenaar".
Uiteraard is de eigenaar van het systeem dan verantwoordelijk voor de veiligheid, als in, als het niet veilig is dan zou hij een probleem moeten hebben. Het testen of de opslag van jouw eigen gegevens enigszins veilig is en dat dan nog openlijk doen ook, inclusief melding van een lek, lijkt mij dan ook niet onredelijk. Het zou wat zijn als we toch een EPD in gaan voeren, en niemand mag testen of het veilig is, dat is de "verantwoording van de eigenaar".
[Reactie gewijzigd door Arne op maandag 21 januari 2013 12:59]
Het is beter vooraf alle betrokken partijen in te lichten wat je van plan bent ... scheelt veel ellende achteraf.
Waarbij de meeste betrokken partijen je vertellen dat je geen enkele toestemming krijgt en als je het toch probeert word je voor het gerecht gesleept.
Zodoende blijven 90% van de servers vol gaten zitten, wachtend op iemand die een penetratietest uitvoert en er vervolgens met allerlei gegevens vandoor gaat.
Waarbij de meeste betrokken partijen je vertellen dat je geen enkele toestemming krijgt en als je het toch probeert word je voor het gerecht gesleept.
Zodoende blijven 90% van de servers vol gaten zitten, wachtend op iemand die een penetratietest uitvoert en er vervolgens met allerlei gegevens vandoor gaat.
En wanneer is het gebruik van zo'n tool met goede bedoelingen? Als je betrapt wordt? Het lijkt me niet onredelijk dat men op een school stelt dat het gebruik van dit soort middelen niet is toegestaan tenzij er vooraf toestemming verleend is. Gebruik je het zonder toestemming, heb je pech.
En slecht geprogrammeerd of niet, een poging tot inbraak in een computersysteem blijft gewoon illegaal. Wat mij betreft is die CEO redelijk correct, het is gewoon een stommiteit van die student en misschien hard dat men hem zo aanpakt maar het risico wat de student zelf nam door dit soort tools te gebruiken.
En slecht geprogrammeerd of niet, een poging tot inbraak in een computersysteem blijft gewoon illegaal. Wat mij betreft is die CEO redelijk correct, het is gewoon een stommiteit van die student en misschien hard dat men hem zo aanpakt maar het risico wat de student zelf nam door dit soort tools te gebruiken.
Oh kom op zeg, lees even waar men op reageert! Het is overduidelijk in deze context dat het om de VS gaat en niet om het continent. De wet die zegt dat het illegaal is om beveiligingen te kraken is namelijk van hun, niet van Bolivia of van welk ander land dan ook dat in de twee continenten die als Amerika aangeduid worden ligt, en waarschijnlijk dus ook niet van Canada.
Juist en dat schrikt iedereen af, omdat het illegaal is 
beetje CDA benadering van alle problemen, voorlopig zat dat lek er al en was de boel kwetsbaar, hij heeft het een paar dagen later geprobeerd om te achterhalen of het opgelost was, dat was het dus niet en heeft hij gemeld en dat wordt hem kwalijk genomen en kost hem zijn school, conclusie volgende keer niets meer melden en de boel gewoon op zijn beloop laten, als de boel dan echt klapt omdat er echte hackers de boel gaan verzieken is het jammer voor de school en mag de hele schoolleiding het Amerika gaan uitleggen, waardoor de boel volledig naar de ballen is. Jij weet van niets en kan gewoon door gaan met studeren, CDA probleem opgelost 
beetje CDA benadering van alle problemen, voorlopig zat dat lek er al en was de boel kwetsbaar, hij heeft het een paar dagen later geprobeerd om te achterhalen of het opgelost was, dat was het dus niet en heeft hij gemeld en dat wordt hem kwalijk genomen en kost hem zijn school, conclusie volgende keer niets meer melden en de boel gewoon op zijn beloop laten, als de boel dan echt klapt omdat er echte hackers de boel gaan verzieken is het jammer voor de school en mag de hele schoolleiding het Amerika gaan uitleggen, waardoor de boel volledig naar de ballen is. Jij weet van niets en kan gewoon door gaan met studeren, CDA probleem opgelost De eerste keer werd hij blijkbaar niet betrapt, maar de tweede keer wel. Wat heeft de student geleerd? Dat hij beter zijn mond had gehouden en gezien de houding van de school had hij beter gewoon een dump van de data genomen om die eventueel te verkopen of door te spelen aan één of andere hackers groepering voor de fun. In dat geval komt dit verhaal op tweakers onder een andere titel. Gegevens studenten provincie Quebec liggen op straat.En wanneer is het gebruik van zo'n tool met goede bedoelingen? Als je betrapt wordt? Het lijkt me niet onredelijk dat men op een school stelt dat het gebruik van dit soort middelen niet is toegestaan tenzij er vooraf toestemming verleend is. Gebruik je het zonder toestemming, heb je pech.
En slecht geprogrammeerd of niet, een poging tot inbraak in een computersysteem blijft gewoon illegaal. Wat mij betreft is die CEO redelijk correct, het is gewoon een stommiteit van die student en misschien hard dat men hem zo aanpakt maar het risico wat de student zelf nam door dit soort tools te gebruiken.
Op het werk hebben mijn collega en ik ook al een aantal dingen gemeld. Achteraf hebben we ook testen gedaan om te zien of het lek werkelijk gedicht werd. Ik verwacht geen prijs voor zulke acties, maar verwacht hier ook niet voor ontslagen te worden eerlijk gezegd. Je hebt 3 keuzes, niks doen, testen uitvoeren of testen uitvoeren en niks zeggen, waarbij juridisch gezien, niks doen de enige juiste oplossing is. Testen en niks zeggen is het ergste.
nou, als je de eula van EA na leest dan word je bij niets zeggen ook al afgestraft.
Als je weet dat er met goede kans ergens een enorm lek zit met lekker veel privacygevoelige medische gegevens of creditcardnummers en je doet vervolgens helemaal niets, (waarbij je er uiteraard vanuit kan gaan dat het slechts een kwestie van tijd is voordat er iets grof fout gaat,) ben je dan al niet verwijtbaar fout bezig?
Ik kan me nog iets herinneren over niets doen bij misdrijven/wantoestanden die leiden tot misdrijven.
Waarbij dus inderdaad gezegd moet worden dat het testen an sich ook strafbaar is en aangepakt kan worden, en het hoogstwaarschijnlijk ook echt aangepakt word als je gepakt word, en beter dan vertellen (ofwel bekennen) word het voor meneer agent toch echt niet, dus dat moet je echt niet doen.
Damned if you do, damned if you don't.
Ik kan me nog iets herinneren over niets doen bij misdrijven/wantoestanden die leiden tot misdrijven.
Waarbij dus inderdaad gezegd moet worden dat het testen an sich ook strafbaar is en aangepakt kan worden, en het hoogstwaarschijnlijk ook echt aangepakt word als je gepakt word, en beter dan vertellen (ofwel bekennen) word het voor meneer agent toch echt niet, dus dat moet je echt niet doen.
Damned if you do, damned if you don't.
In de meeste bedrijven is het verboden om zonder toestemming dergelijke tools te gebruiken, en inderdaad reden voor ontslag. Als 'iedereen' wanneer ze het maar willen zo'n security-testen gaat doen, is het voor hackers veel gemakkelijker om onopgemerkt te blijven, en bij een echte aanval kan het opsporen van de aanvaller moeilijker worden door een overvloed van gegevens van 'ter goeder trouw' uitgevoerde scans.
Bovendien is het inderdaad achteraf heel gemakkelijk om te zeggen dat je de beste bedoelingen had.
Of het 'rechtvaardig' of 'menselijk' is om in dit geval onmiddellijk de strengst mogelijke straf boven te halen is wel een andere vraag.
Bovendien is het inderdaad achteraf heel gemakkelijk om te zeggen dat je de beste bedoelingen had.
Of het 'rechtvaardig' of 'menselijk' is om in dit geval onmiddellijk de strengst mogelijke straf boven te halen is wel een andere vraag.
Ik weet nog wel dat ik een waarschuwing kreeg van de hoge school utrecht en een gesprek met een decaan omdat ik een tentamen opdracht op een floppy had ingeleverd waarop een ZIP file stond. Het geheel was te groot en met comprimeren paste het wel.
Onder het mom, wij werken niet met ZIP files want daar kan een virus in zitten.
Onder het mom, wij werken niet met ZIP files want daar kan een virus in zitten.
Knap staaltje koppigheid zeg.. Mag toch hopen voor die jongen dat dit rechtgezet gaat worden
Een rechtzaak gaat 'ie verliezen...
Hij heeft pen-testing tools losgelaten op infrastructuur die niet van hem was. Ongetwijfeld tegen het schoolreglement in.
En als 'ie aan de rechter probeert uit te leggen wat 'ie nou precies heeft gedaan zal hij ontdekken dat dat best lastig is ;-)
Het is natuurlijk heel spannend - scannen en zien wat er allemaal open staat op andermans server, maar het mag niet...
Merk overigens op dat 't pen-testing tool dat de student gebruikte (Acunetix) best prijzig is. Prijzen starten bij 1445 dollar. Of zou 'ie die ook gekraakt hebben?
http://www.acunetix.com/ordering/
Hij heeft pen-testing tools losgelaten op infrastructuur die niet van hem was. Ongetwijfeld tegen het schoolreglement in.
En als 'ie aan de rechter probeert uit te leggen wat 'ie nou precies heeft gedaan zal hij ontdekken dat dat best lastig is ;-)
Het is natuurlijk heel spannend - scannen en zien wat er allemaal open staat op andermans server, maar het mag niet...
Merk overigens op dat 't pen-testing tool dat de student gebruikte (Acunetix) best prijzig is. Prijzen starten bij 1445 dollar. Of zou 'ie die ook gekraakt hebben?
http://www.acunetix.com/ordering/
[Reactie gewijzigd door Tukkertje-RaH op maandag 21 januari 2013 11:03]
Beetje off-topic maar er is een 'Free Trial' te downloaden op de website dus om hem meteen te beschuldigen van gebruik van illegale software gaat wat ver.
En het zou best kunnen dat de computer science department licenties heeft voor gebruik in practica in testomgevingen. Neemt natuurlijk niet weg dat de jongen verkeerd bezig is geweest, wellicht dat scholen in de technische sector eens wat meer aandacht moeten besteden aan computer ethics & legalities. Teveel mensen denken nog steeds dat wat op het internet gebeurt niet voor het 'eggie' is...
Als je samen met mede-studenten dergelijke dingen altijd al interessant vind... dan zijn de kosten voor zo'n licentie gedeeld door bijvoorbeeld 10 alweer een stukje voordeliger. Sterker nog, genoeg studenten die samen met andere ergens een systeem huren bij een of andere hoster om van daaruit te werken... bijvoorbeeld alleen al om render-werkzaamheden te doen waarvoor je anders op je studentenkamer een flinke (niet betaalbare) unit had moeten staan.
Laten we het bij het hacken houden... nu maak je de student nog uit voor dief ook zonder dat daar ook maar een enkel bewijs voor is.
Laten we het bij het hacken houden... nu maak je de student nog uit voor dief ook zonder dat daar ook maar een enkel bewijs voor is.
Het probleem is zolang dit soort acties zo worden behandeld. (gestraft in plaats van beloond) Kan je toch zo een bedrijf niet serieus nemen? Allemaal leuk en aardig dat die CEO zegt dat hij een fout heeft gemaakt, en dat er geen kwade bedoelingen waren.
Dus in plaats van die jongen een dank je taart en bloemen te sturen wilde hij een getekende geheimhouding en een dreiging. Mooie bal.
Voordat hij dat contract getekend had, even opzoeken wie de top 5 klanten zijn van Omnivox, daar even een paar mailtjes heen met de stand van zaken van hun duur betaalde software, kom nou.
Dus in plaats van die jongen een dank je taart en bloemen te sturen wilde hij een getekende geheimhouding en een dreiging. Mooie bal.
Voordat hij dat contract getekend had, even opzoeken wie de top 5 klanten zijn van Omnivox, daar even een paar mailtjes heen met de stand van zaken van hun duur betaalde software, kom nou.
Je haalt wel een paar dingen door elkaar:
- Het uitvoeren van een penetratietest, zonder toestemming, is gewoon strafbaar. Daar mag het bedrijf de politie voor inschakelen.
- De NDA (geheimhouding) is niet om iets te verbergen maar om te voorkomen dat het lek aan het licht komt voordat het gedicht is. Als de student het 5 minuten na het ontdekken op internet gooit worden er vast hele databases gestolen met alle gevolgen vandien. Mogelijk was dat ook strafbaar geweest.
- Het is de beslissing van de school om de student van school te gooien. Daar heet die CEO niets mee te maken. Als ik het goed begrijp staat de CEO zelfs aan de student zijn kant.
Uiteraard jammer voor de student dat het zo moet aflopen. Gewoon een jong iemand die een inschattingsfout maakt. Daar zou een college van "wijze" professoren ook zo over moeten oordelen overigens. Ik denk dus dat we een stuk van het verhaal missen
- Het uitvoeren van een penetratietest, zonder toestemming, is gewoon strafbaar. Daar mag het bedrijf de politie voor inschakelen.
- De NDA (geheimhouding) is niet om iets te verbergen maar om te voorkomen dat het lek aan het licht komt voordat het gedicht is. Als de student het 5 minuten na het ontdekken op internet gooit worden er vast hele databases gestolen met alle gevolgen vandien. Mogelijk was dat ook strafbaar geweest.
- Het is de beslissing van de school om de student van school te gooien. Daar heet die CEO niets mee te maken. Als ik het goed begrijp staat de CEO zelfs aan de student zijn kant.
Uiteraard jammer voor de student dat het zo moet aflopen. Gewoon een jong iemand die een inschattingsfout maakt. Daar zou een college van "wijze" professoren ook zo over moeten oordelen overigens. Ik denk dus dat we een stuk van het verhaal missen
als die CEO dan ook een beetje imagoschade wil beperken dan bied hij deze jongen of een baan aan, of beter betaalt hij zijn nieuwe opleiding.
dat is goede PR waar mensen ook nog wat aan hebben.
edit: Ik zeg niet dat hij skilled is, maar hij mag toch wel enige beloning/schadecompensatie verwachten voor wat hij heeft gedaan???
hij wilde gewoon kijken of hij nog meer gaten kon ontdekken. en dat wss ook doorgeven.
dus in principe deed hij werk dat het bedrijf had moeten doen. en daar wordt hij nu voor gestraft...
dat is goede PR waar mensen ook nog wat aan hebben.
edit: Ik zeg niet dat hij skilled is, maar hij mag toch wel enige beloning/schadecompensatie verwachten voor wat hij heeft gedaan???
hij wilde gewoon kijken of hij nog meer gaten kon ontdekken. en dat wss ook doorgeven.
dus in principe deed hij werk dat het bedrijf had moeten doen. en daar wordt hij nu voor gestraft...
[Reactie gewijzigd door freaq op maandag 21 januari 2013 13:25]
Aangezien het bedrijf zelf het lek niet gevonden heeft terwijl zij ook kunnen beschikken over dezelfde standaard penetratietesttools, doet hij sowieso iets beter dan de werknemers van het bedrijf zelfWant met het draaien van standaard penetratie testing software bewijs je ineens dat je veel verstand van zaken hebt?
+1
en @freaq:
Ik hoop dat iemand hem inderdaad een baan aanbied voor dit verhaal. Zijn mensen die dat op deze manier aan een hele coole baan zijn gekomen.
en @freaq:
Ik hoop dat iemand hem inderdaad een baan aanbied voor dit verhaal. Zijn mensen die dat op deze manier aan een hele coole baan zijn gekomen.
@whitedog
Excuses, ik had inderdaad begrepen dat hij in OKT alles had gemeld en NU de penetratietest had gedaan (niet dat dat het beter had gemaakt, maar dan hadden ze het ondertussen kunnen oplossen)
Het lijkt mij ook dat die CEO dit alles kan oplossen door 1 belletje naar de school te plegen ja.
Excuses, ik had inderdaad begrepen dat hij in OKT alles had gemeld en NU de penetratietest had gedaan (niet dat dat het beter had gemaakt, maar dan hadden ze het ondertussen kunnen oplossen)
Het lijkt mij ook dat die CEO dit alles kan oplossen door 1 belletje naar de school te plegen ja.
Hij heeft eerst dat lek gevonden en toen pas dagen later gekeken of er wat aan gedaan was, hij heeft dus niet gelijk zonder overleg met de school die test gedraaid, daar zit een enorm verschil in.
Probleem ligt deels erin dat die gast die geheimhouding heeft getekend. Mijn reactie op zo'n voorstel zou zijn "Joh... vervelend voor je dat je over de zeik bent maar als je een rechtzaak begint wordt het misschien per ongeluk wel een 0-day lekje hoor ;-). Dus sorry en praat er eens over met je engineers". Die optie heeft ie nou niet echt meer...
Waarom ie echter ineens een penetratie tool nodig had is me overigens wel een raadsel, als ie het tijdens de ontwikkeling van die app kon zien had ie dat eigenlijk niet nodig... Dus volgens mij is hij niet zuiver op de graat...
Waarom ie echter ineens een penetratie tool nodig had is me overigens wel een raadsel, als ie het tijdens de ontwikkeling van die app kon zien had ie dat eigenlijk niet nodig... Dus volgens mij is hij niet zuiver op de graat...
[Reactie gewijzigd door Delgul op maandag 21 januari 2013 12:38]
het ging over zeer gevoelige ID gegerateerde info van mensen op die school DUS ook ZIJN gegevens.. ieder weldenkend mens weet dan dat hij het volste recht zou moeten hebben om te te zien op een snel ingrijpen van het bedrijf en de school... want morgen staat de FBI misschien wel voor z'n duur omdat iemand onder zijn naam ali-chemicalie het land in probeerde te smokkelen...
toe zien of het lek daadwerkelijk al behandeld was lijkt me niet meer dan logisch, en wat ik nog het jammerlijkste van die verhaal vind is dat we 'nooit' zullen weten hoe lang die leerlingen nog onveilig zullen zijn (?geweest?)
toe zien of het lek daadwerkelijk al behandeld was lijkt me niet meer dan logisch, en wat ik nog het jammerlijkste van die verhaal vind is dat we 'nooit' zullen weten hoe lang die leerlingen nog onveilig zullen zijn (?geweest?)
Discutabel zou ik zeggen. Wellicht had hij moeten stoppen nadat hij erachter was gekomen dat het systeem een lek / lekken bevat. Doordat hij vervolgens een stap verder ging door een penetratietool te gebruiken wekt hij natuurlijk wel de indruk 'het verder te willen uitbuiten'. Helemaal bij leraren die er weinig verstand van hebben.
Aangezien hij wel het bedrijf en de studentenvakbond achter zich heeft geef ik hem wel een goede kans dat hij met het in beroep gaan succesvol kan zijn.
Aangezien hij wel het bedrijf en de studentenvakbond achter zich heeft geef ik hem wel een goede kans dat hij met het in beroep gaan succesvol kan zijn.
Zelfs al is het beroep succesvol, met 14 van de 15 docenten tegen hem zal hij nooit zijn diploma halen.
ALs ik het goed lees betekend het wanneer je in Canada van school gestuurd wordt dat je ook niet naar een andere school kan. Hierdoor kan hij dus niks. Wanneer dit ingetrokken wordt kan hij anar een andere school en daar zijn studie afronden.
Natuurlijk is er eigenlijk maar één oplossing goed als docenten inderdaad tegen hem zijn en hij in het gelijk gesteld wordt. De 14 docenten van school sturen.
Natuurlijk is er eigenlijk maar één oplossing goed als docenten inderdaad tegen hem zijn en hij in het gelijk gesteld wordt. De 14 docenten van school sturen.
Niet aan die school nee, maar na een succesvol beroep maakt hij wel veel meer kans om bij een andere school weer opnieuw te kunnen beginnen.Zelfs al is het beroep succesvol, met 14 van de 15 docenten tegen hem zal hij nooit zijn diploma halen.
Het gaat om een instelling die computerwetenschappen geeft. Daarbij zou je verwachten dat die wel een context kunnen zien.
Het is wel jammer dat de instelling geen commentaar wil geven want dit blijft nu een eenzijdig nieuwsbericht. Wie weet wat die student met die penetratietool heeft uitgespookt.
Het is wel jammer dat de instelling geen commentaar wil geven want dit blijft nu een eenzijdig nieuwsbericht. Wie weet wat die student met die penetratietool heeft uitgespookt.
De indruk om het verder uit te willen buiten kan je alleen opwekken als mensen echt nul procent verstand gebruiken. Als de gebruiker de beveiligingslek zelf meld, is het al duidelijk genoeg dat er geen idee tot misbruik achter zit. Als je dan vervolgens gefeliciteerd wordt met het melden van het lek word je ook enkel aangemoedigd dat je iets goeds hebt gedaan en gemotiveerd om wellicht nog verder te helpen.
net als jouw reactie, sorrie dat ik het zeg maar als je de nuances niet ziet heb je werkelijk geen idee waar je over praat,dom dus!
als je er vanuit mag gaan dat hij het recht heeft om controle te houden over zo'n legaal lek waarom zou je dan niet een gemakkelijk te detecteren tool gebruiken, je staat immers in je volste recht, het zou pas dom en argwaanwekkend zijn als je het signaal eerste de halve wereld rond zou sturen en je proberen te verbergen.
dat deze school blijkbaar bestaat uit wereldvreemde it-debielen zonder enig moreel beseef en enkel angst voor hun eigen baantje was misschien te voorzien, maar zeker niet zo evident zoals jij en anderen het proberen te doen voorkomen, of waar je mogelijk zelfs hardnekkig in geloofd?
je opmerking is dus behalve inhoudsloos op z'n minst veel te rechtlijnig
Soms moet je leren zwijgen over bepaalde dingen als je weet dat het je in moeilijkheden kan brengen. Het zou zo niet mogen zijn, maar al snel zal je dat in het leven ondervinden.
Ehm... liever wachten tot de een of andere pseudo-terrorist het lek vind, de gegevens binnenhaalt en doorverkoopt, en dan de site plat legt? En vervolgens de een of andere tekst in de trend van "je zult eeuwig branden" neerzetten of zo?
Juist dat de jongen aan de bel heeft getrokken is een goed teken, ik hoop ook dat iedere potentiële klokkenluider voor beveiligingslekken in het vervolg als waardevol wordt betiteld. Deze fratsen vind ik schraal en lelijk van de school. Carrière naar de maan door aan de bel te trekken.
Laat ze liever gezamelijk energie steken in een gezamelijke oplossing:
- Hoe kon de student bij de gegevens? Met welke progs / methode?
- Wat kan de software leverancier er aan doen om het te dichten?
Juist dat de jongen aan de bel heeft getrokken is een goed teken, ik hoop ook dat iedere potentiële klokkenluider voor beveiligingslekken in het vervolg als waardevol wordt betiteld. Deze fratsen vind ik schraal en lelijk van de school. Carrière naar de maan door aan de bel te trekken.
Laat ze liever gezamelijk energie steken in een gezamelijke oplossing:
- Hoe kon de student bij de gegevens? Met welke progs / methode?
- Wat kan de software leverancier er aan doen om het te dichten?
@biglia:
Wanneer problemen niet meer kunnen worden aangekaart doordat bedrijven* (groot geld) daar buitenverhouding zware sancties op kan zetten gaan we met zijn allen achteruit ipv vooruit.
* scholen zijn ook "groot geld" die aan machtsmisbruik doen, ook hier in NL.
Wanneer problemen niet meer kunnen worden aangekaart doordat bedrijven* (groot geld) daar buitenverhouding zware sancties op kan zetten gaan we met zijn allen achteruit ipv vooruit.
* scholen zijn ook "groot geld" die aan machtsmisbruik doen, ook hier in NL.
On-topic. Daarom +1.
Je ziet overigens in alle culturen dat klokkenluiders de zwarte piet krijgen toegespeeld.
In China verdwijn je
In Noord Korea krijg je levenslange opsluiting (daar meestal een paar jaar)
In westerse landen is het ietsjes milder: Assange kan nog best lang leven, ondanks dat het wachten is op zijn arrestatie.
Helaas.
Geef die jongen een visum/paspoort en inburgeringscursus, dan heet ik hem van harte welkom als student in Nederland! Blijkbaar heeft hij wel wat nodig is om beveiliging te testen, dus als ik een IT bedrijf had, zou ik graag eens met hem praten!
Je ziet overigens in alle culturen dat klokkenluiders de zwarte piet krijgen toegespeeld.
In China verdwijn je
In Noord Korea krijg je levenslange opsluiting (daar meestal een paar jaar)
In westerse landen is het ietsjes milder: Assange kan nog best lang leven, ondanks dat het wachten is op zijn arrestatie.
Helaas.
Geef die jongen een visum/paspoort en inburgeringscursus, dan heet ik hem van harte welkom als student in Nederland! Blijkbaar heeft hij wel wat nodig is om beveiliging te testen, dus als ik een IT bedrijf had, zou ik graag eens met hem praten!
ik had het niet beter kunnen verwoorden.Geef die jongen een visum/paspoort en inburgeringscursus, dan heet ik hem van harte welkom als student in Nederland! Blijkbaar heeft hij wel wat nodig is om beveiliging te testen, dus als ik een IT bedrijf had, zou ik graag eens met hem praten!
The only thing for evil to triumph is for good men to do nothing
klopt, we leven in een waardeloze wereld vol waardeloze mensen, de enige manier om niet zelf de nadelen te ondervinden is meegaan in egoisme en misantropie. jippie.
</een_verbitterd_slachtoffer>
</een_verbitterd_slachtoffer>
Hmmm, beetje apart. Waarom niet aan het personeel vragen hoe het is met de status van het lek. Snap de sanctie wel voor het gebruik van de tool. En de overige leraren zien het waarschijnlijk niet in context maar puur als een aanval.
Iets aan dit incident doet me denken dat hij geen eerlijk antwoord had gekregen.Hmmm, beetje apart. Waarom niet aan het personeel vragen hoe het is met de status van het lek.
[Reactie gewijzigd door Ook al Bezet op maandag 21 januari 2013 11:15]
of een half antwoord.
Het wordt afgedaan met:
'we/ze zijn er mee bezig, even geduld a.u.b'
'het komt wel goed'
'wordt aan gewerkt'
het liefst nog met de waarschuwing (op volgorde van dreiging):
'je hebt er goed aan gedaan om het te vinden, meer kan je niet doen'
'ga niet verder zoeken'
'hou je gedeisd'
'hou je er verder erbuiten, het zijn jouw zaken niet'
en een gevolg:
'anders wordt je van school getrapt.'
'kan je de studie vaarwel zeggen'
'kan je iets anders zoeken'
e.d.
Leuk zulke reacties, heb je ook erg veel aan terwijl je gegevens open en bloot liggen.
Het wordt afgedaan met:
'we/ze zijn er mee bezig, even geduld a.u.b'
'het komt wel goed'
'wordt aan gewerkt'
het liefst nog met de waarschuwing (op volgorde van dreiging):
'je hebt er goed aan gedaan om het te vinden, meer kan je niet doen'
'ga niet verder zoeken'
'hou je gedeisd'
'hou je er verder erbuiten, het zijn jouw zaken niet'
en een gevolg:
'anders wordt je van school getrapt.'
'kan je de studie vaarwel zeggen'
'kan je iets anders zoeken'
e.d.
Leuk zulke reacties, heb je ook erg veel aan terwijl je gegevens open en bloot liggen.
[Reactie gewijzigd door Wallioo op maandag 21 januari 2013 12:07]
dat is zoiets als dat jij een bank binnenloopt en zegt dat je weet hoe je pinpassen moet kraken en zegt hoe ze het op moeten lossen (maar dat kost ze wel tijd en geld)
vervolgens kom je een week later terug om te vragen of het opgelost is.
ik kan je nu al vertellen dat je te horen krijgt dat het zo is al weet ik dat de bank het niet zou doen totdat het ze meer geld gaat kosten als ze het niet direct oplossen.
die school en dat bedrijf willen gewoon winst maken en ze werken liever 1 gozer weg dan geld te investeren in een oplossing.
deze oplossing kost ze niets en wie gaat er nu controleren of het lek echt gedicht is ?
niemand hij was immers de enigste die ervan wist.
iemand de mond snoeren is in deze wereld veel makkelijker.
als je dit soort dingen aan het bedrijf verteld moet je dan ook altijd een backup plan hebben om zeker te weten dat je niet genaait word.
bijvoorbeeld een servertje bij een vriend die op een bepaalde datum mails verstuurt met de waarheid.
en mensen vergeten ook nog altijd de waarde van een telefoon gesprek opnemen.
het word al jaren tegen ons gebruikt waarom gaan wij het niet voor ons gebruiken
klinkt misschien wat paranoide maar het is helaas gewoon noodzaak in deze wereld waar alles tegen elkaar word afgewogen door grote bedrjven die tich advocaten hebben.
vervolgens kom je een week later terug om te vragen of het opgelost is.
ik kan je nu al vertellen dat je te horen krijgt dat het zo is al weet ik dat de bank het niet zou doen totdat het ze meer geld gaat kosten als ze het niet direct oplossen.
die school en dat bedrijf willen gewoon winst maken en ze werken liever 1 gozer weg dan geld te investeren in een oplossing.
deze oplossing kost ze niets en wie gaat er nu controleren of het lek echt gedicht is ?
niemand hij was immers de enigste die ervan wist.
iemand de mond snoeren is in deze wereld veel makkelijker.
als je dit soort dingen aan het bedrijf verteld moet je dan ook altijd een backup plan hebben om zeker te weten dat je niet genaait word.
bijvoorbeeld een servertje bij een vriend die op een bepaalde datum mails verstuurt met de waarheid.
en mensen vergeten ook nog altijd de waarde van een telefoon gesprek opnemen.
het word al jaren tegen ons gebruikt waarom gaan wij het niet voor ons gebruiken
klinkt misschien wat paranoide maar het is helaas gewoon noodzaak in deze wereld waar alles tegen elkaar word afgewogen door grote bedrjven die tich advocaten hebben.
[Reactie gewijzigd door computerjunky op maandag 21 januari 2013 20:07]
Ben je als student oplettend, en wil je een beveiligingslek melden, wordt je zo behandeld. Daar zou je als school of bedrijf allang blij mee moeten zijn dat dit aan het licht komt. Zou me niks verbazen als hier in Nederland hetzelfde wordt omgegaan met zoiets dergelijks.
Ik hoop voor die jongen dat hij een kans krijgt het toe te lichten en alsnog verder kan. Dan maar met een rechtzaak!
Ik hoop voor die jongen dat hij een kans krijgt het toe te lichten en alsnog verder kan. Dan maar met een rechtzaak!
Daar hoef je niet teveel van te verwachten. Het is een feit dat dit soort fouten altijd mensen persoonlijk treft. Iemand bij het bedrijf (eigenaar of hoofd van progafdeling) iemand bij de school (hoofd ICT afdeling of verantwoordelijke voor ICT security). DIe fouten geeft men niet ruiterlijk toe maar men slaat keihard van zich af in de hoop dat het "aan iemand anders blijft plakken".
In nederland zijn de grote klokkenluiders ook door het slijk gegaan. Bos van Koop Tjuchem (bouwfraude) woont (of woonde) uiteindelijk in een caravan. Dan Fred Spijkers die sociaal werker van defensie die in 1984 weigerde te liegen over de dood van een soldaat door ondeugdelijke mijnen.
Mensen willen niet op fouten worden gewezen en als ze daarbij macht hebben dan is alles geoorloofd.
In nederland zijn de grote klokkenluiders ook door het slijk gegaan. Bos van Koop Tjuchem (bouwfraude) woont (of woonde) uiteindelijk in een caravan. Dan Fred Spijkers die sociaal werker van defensie die in 1984 weigerde te liegen over de dood van een soldaat door ondeugdelijke mijnen.
Mensen willen niet op fouten worden gewezen en als ze daarbij macht hebben dan is alles geoorloofd.
In Canada speelt dat nauwelijks een rol. Daar hebben mensen met zulke namen een wat betere imago dan hier.
Daar hebben mensen met zulke namen een wat betere imago dan hier.[Reactie gewijzigd door Relief2009 op maandag 21 januari 2013 11:53]
Ik denk dat hij daar beter zelf even niet aan kan beginnen en het beter over kan laten aan een groep als anonymus oid.
Maar idd, zijn eigen gegevens worden ook beveiligd door dat bedrijf en dan mag je wat mij betreft best wat aan het hek rammelen om te kijken of je gegevens niet zoiezo al open op straat liggen. Als je daar dan ook nog voor gestraft word terwijl je zelf het probleem hebt aangekaart dan is het wel duidelijk dat het zaakje stinkt.
Ik hoop dat deze jongen iig zijn studie naar behoren kan hervatten en zijn onterechte negatieve reputatie weer recht kan trekken.
Maar idd, zijn eigen gegevens worden ook beveiligd door dat bedrijf en dan mag je wat mij betreft best wat aan het hek rammelen om te kijken of je gegevens niet zoiezo al open op straat liggen. Als je daar dan ook nog voor gestraft word terwijl je zelf het probleem hebt aangekaart dan is het wel duidelijk dat het zaakje stinkt.
Ik hoop dat deze jongen iig zijn studie naar behoren kan hervatten en zijn onterechte negatieve reputatie weer recht kan trekken.
Haha ik had ook hetzelfde idee, eigenlijk zou men nu iedereen op moet roepen om collectief het systeem aan te vallen en misbruiken om deze school en ontwikkelaar een lesje te leren maar ja dat gaat ook ver gezien de informatie zoals NAW en BSN best privacy gevoelig is en de "slachtoffers" in dit geval hier niks mee te maken hebben gehad 
On-topic: Het is echt te gek voor woorden als het feitelijk op deze manier is gegaan als omschreven. Wees toch eens dankbaar als men de zogeheten white-hat hacks uitvoert. Nog even en we moeten het vastleggen internationaal met wetten en verplichte vergoedingen hier tegenover zetten om ontwikkelaars en dergelijken "aan te sporen" om beveiliging te verbeteren.
On-topic: Het is echt te gek voor woorden als het feitelijk op deze manier is gegaan als omschreven. Wees toch eens dankbaar als men de zogeheten white-hat hacks uitvoert. Nog even en we moeten het vastleggen internationaal met wetten en verplichte vergoedingen hier tegenover zetten om ontwikkelaars en dergelijken "aan te sporen" om beveiliging te verbeteren.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Apple Microsoft Sony Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
