Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 130, views: 50.484 •

Een 20-jarige student computerwetenschappen uit Canada is van school gestuurd nadat hij een beveiligingsprobleem had ontdekt in een computersysteem van zijn hogeschool. De kwetsbaarheid maakte het voor kwaadwillenden mogelijk om privégegevens te ontfutselen.

De student, Ahmed Al-Khabaz, zegt volgens de National Post geen kwaad in de zin te hebben gehad. Hij stuitte op het beveiligingsprobleem toen hij een app aan het ontwikkelen was die studenten eenvoudiger toegang moest bieden tot hun account in het computersysteem dat onder meer door zijn hogeschool, Dawson College, werd gebruikt. Het computersysteem, Omnivox, is volgens hem slecht geprogrammeerd en biedt kwaadwillenden zonder al te veel technische kennis toegang tot privégegevens van studenten, waaronder naw-gegevens en burgerservicenummer. Het systeem wordt gebruikt op veel hogescholen in de Canadese provincie Quebec.

Toen de student in oktober de problemen samen met een medestudent aankaartte bij de schoolleiding, werd hij aanvankelijk gefeliciteerd met het vinden van het lek. Toen Al-Khabaz een paar dagen later echter de penetratietestingtool Acunetix gebruikte om te kijken of de webapplicatie nog steeds kwetsbaar was, werd hij onmiddelijk gebeld door de ceo van het bedrijf dat Omnivox ontwikkelde. Die dreigde volgens Al-Khabaz de politie te bellen, tenzij de student een geheimhoudingsverklaring zou ondertekenen. Dat deed hij.

De ceo van het bedrijf, Edouard Taza, zegt dat Al-Khabaz beter had moeten weten, maar rekent het hem niet te zwaar aan: "Het is duidelijk dat er geen kwade bedoelingen in het spel waren. Hij maakte simpelweg een vergissing", zegt hij tegen de National Post. De schoolleiding van Dawson College was het daar niet mee eens. Van de vijftien docenten van het departement computerwetenschappen stemden er veertien mee in om Al-Khabaz van school te sturen, vanwege het gebruik van de penetratietestingtool.

Al-Khabaz klaagt dat hij nooit een kans heeft gehad om zijn acties toe te lichten; hij heeft het gevoel dat de hogeschool vooral probeerde om de zaak in de doofpot te stoppen. Omdat hij van school is gestuurd, is hij niet in staat om naar een andere hogeschool te gaan. "Mijn academische carrière is compleet verwoest", aldus de student volgens de National Post. De studentenvakbond van de hogeschool is het met Al-Khabaz eens. De hogeschool was volgens de National Post niet bereikbaar voor commentaar.

Reacties (130)

Reactiefilter:-11300123+190+212+30
Het is niet illegaal nee, maar de student had de hogeschool op de hoogte moeten stellen dat hij de penetratietool opnieuw ging gebruiken om op veiligheid te testen. Dan had hij veel ellende kunnen voorkomen.

Ik gebruikte jaren terug een penetratietool om de veiligheid van een Nederlandse commerciële site onverwachts te controleren. De bouwer van die site dreigde ons bijna met rechtzaken - omdat hij zich niet had kunnen voorbereiden waarschijnlijk - en na lang praten hebben we de zaak recht kunnen trekken.

Ik heb toen geleerd dat onverwachts een penetratietest uitvoeren geen goed idee is, ook al heb je de beste bedoelingen. Het is beter vooraf alle betrokken partijen in te lichten wat je van plan bent ... scheelt veel ellende achteraf.
En wanneer is het gebruik van zo'n tool met goede bedoelingen? Als je betrapt wordt? Het lijkt me niet onredelijk dat men op een school stelt dat het gebruik van dit soort middelen niet is toegestaan tenzij er vooraf toestemming verleend is. Gebruik je het zonder toestemming, heb je pech.

En slecht geprogrammeerd of niet, een poging tot inbraak in een computersysteem blijft gewoon illegaal. Wat mij betreft is die CEO redelijk correct, het is gewoon een stommiteit van die student en misschien hard dat men hem zo aanpakt maar het risico wat de student zelf nam door dit soort tools te gebruiken.
Een rechtzaak gaat 'ie verliezen...

Hij heeft pen-testing tools losgelaten op infrastructuur die niet van hem was. Ongetwijfeld tegen het schoolreglement in.

En als 'ie aan de rechter probeert uit te leggen wat 'ie nou precies heeft gedaan zal hij ontdekken dat dat best lastig is ;-)

Het is natuurlijk heel spannend - scannen en zien wat er allemaal open staat op andermans server, maar het mag niet...

Merk overigens op dat 't pen-testing tool dat de student gebruikte (Acunetix) best prijzig is. Prijzen starten bij 1445 dollar. Of zou 'ie die ook gekraakt hebben?

http://www.acunetix.com/ordering/

[Reactie gewijzigd door Tukkertje-RaH op 21 januari 2013 11:03]

Het probleem is zolang dit soort acties zo worden behandeld. (gestraft in plaats van beloond) Kan je toch zo een bedrijf niet serieus nemen? Allemaal leuk en aardig dat die CEO zegt dat hij een fout heeft gemaakt, en dat er geen kwade bedoelingen waren.

Dus in plaats van die jongen een dank je taart en bloemen te sturen wilde hij een getekende geheimhouding en een dreiging. Mooie bal.

Voordat hij dat contract getekend had, even opzoeken wie de top 5 klanten zijn van Omnivox, daar even een paar mailtjes heen met de stand van zaken van hun duur betaalde software, kom nou.
Je haalt wel een paar dingen door elkaar:
- Het uitvoeren van een penetratietest, zonder toestemming, is gewoon strafbaar. Daar mag het bedrijf de politie voor inschakelen.
- De NDA (geheimhouding) is niet om iets te verbergen maar om te voorkomen dat het lek aan het licht komt voordat het gedicht is. Als de student het 5 minuten na het ontdekken op internet gooit worden er vast hele databases gestolen met alle gevolgen vandien. Mogelijk was dat ook strafbaar geweest.
- Het is de beslissing van de school om de student van school te gooien. Daar heet die CEO niets mee te maken. Als ik het goed begrijp staat de CEO zelfs aan de student zijn kant.

Uiteraard jammer voor de student dat het zo moet aflopen. Gewoon een jong iemand die een inschattingsfout maakt. Daar zou een college van "wijze" professoren ook zo over moeten oordelen overigens. Ik denk dus dat we een stuk van het verhaal missen :)
het ging over zeer gevoelige ID gegerateerde info van mensen op die school DUS ook ZIJN gegevens.. ieder weldenkend mens weet dan dat hij het volste recht zou moeten hebben om te te zien op een snel ingrijpen van het bedrijf en de school... want morgen staat de FBI misschien wel voor z'n duur omdat iemand onder zijn naam ali-chemicalie het land in probeerde te smokkelen...

toe zien of het lek daadwerkelijk al behandeld was lijkt me niet meer dan logisch, en wat ik nog het jammerlijkste van die verhaal vind is dat we 'nooit' zullen weten hoe lang die leerlingen nog onveilig zullen zijn (?geweest?)
dom dus!
net als jouw reactie, sorrie dat ik het zeg maar als je de nuances niet ziet heb je werkelijk geen idee waar je over praat,

als je er vanuit mag gaan dat hij het recht heeft om controle te houden over zo'n legaal lek waarom zou je dan niet een gemakkelijk te detecteren tool gebruiken, je staat immers in je volste recht, het zou pas dom en argwaanwekkend zijn als je het signaal eerste de halve wereld rond zou sturen en je proberen te verbergen.

dat deze school blijkbaar bestaat uit wereldvreemde it-debielen zonder enig moreel beseef en enkel angst voor hun eigen baantje was misschien te voorzien, maar zeker niet zo evident zoals jij en anderen het proberen te doen voorkomen, of waar je mogelijk zelfs hardnekkig in geloofd?

je opmerking is dus behalve inhoudsloos op z'n minst veel te rechtlijnig
Ehm... liever wachten tot de een of andere pseudo-terrorist het lek vind, de gegevens binnenhaalt en doorverkoopt, en dan de site plat legt? En vervolgens de een of andere tekst in de trend van "je zult eeuwig branden" neerzetten of zo?

Juist dat de jongen aan de bel heeft getrokken is een goed teken, ik hoop ook dat iedere potentiële klokkenluider voor beveiligingslekken in het vervolg als waardevol wordt betiteld. Deze fratsen vind ik schraal en lelijk van de school. Carrière naar de maan door aan de bel te trekken.

Laat ze liever gezamelijk energie steken in een gezamelijke oplossing:
- Hoe kon de student bij de gegevens? Met welke progs / methode?
- Wat kan de software leverancier er aan doen om het te dichten?
On-topic. Daarom +1.

Je ziet overigens in alle culturen dat klokkenluiders de zwarte piet krijgen toegespeeld.
In China verdwijn je
In Noord Korea krijg je levenslange opsluiting (daar meestal een paar jaar)
In westerse landen is het ietsjes milder: Assange kan nog best lang leven, ondanks dat het wachten is op zijn arrestatie.
Helaas.

Geef die jongen een visum/paspoort en inburgeringscursus, dan heet ik hem van harte welkom als student in Nederland! Blijkbaar heeft hij wel wat nodig is om beveiliging te testen, dus als ik een IT bedrijf had, zou ik graag eens met hem praten!

Op dit item kan niet meer gereageerd worden.



Populair: Vliegtuig Luchtvaart Crash Smartphones Sony Apple Games Politiek en recht Besturingssystemen Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013