Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 103 reacties, 32.396 views •

De KPN-hacker zag zijn acties als een kwajongensstreek. Dat denkt de teamleider van het Team High Tech Crime van de politie. "Ik denk niet dat hij de consequenties van zijn acties heeft overzien, terwijl het halve land in rep en roer was", aldus Pim Takkenberg.

KPN-hack"Je ziet dit wel vaker", zegt Takkenberg, "Het zijn vaak jongens die hacken grappig vinden, maar daarbij zien ze de effecten wel eens over het hoofd." Over de KPN-hacker zegt de teamleider: "Mijn inschatting is dat hij het zag als een kwajongensactie."

De KPN-hacker, een destijds 17-jarige uit Barendrecht, was een van die hobbyisten die vooral voor de lol aan het hacken was. Dat blijkt uit een reconstructie die deze maand in het politievakblad 24/7 verschijnt. In die reconstructie zegt Takkenberg: "Anderen sparen voetbalplaatjes, hij spaarde zo veel en zo groot mogelijke hacks."

De hacker brak vorig jaar in op honderden servers van KPN. Daarbij was hij in theorie in staat geweest om verkeer van KPN-klanten te onderscheppen, zoals Tweakers eerder berichtte. Ook had hij het vaste telefonienet kunnen manipuleren, waardoor toegang tot het noodnummer 112 in het geding zou zijn geweest. Dat heeft hij niet gedaan. "Hij heeft wel malware geïnstalleerd op de servers, en een Australiër de logingegevens van de KPN-servers overhandigd", benadrukt Takkenberg tegenover Tweakers, om aan te geven dat zijn bedoelingen zeker niet loepzuiver waren.

Ondanks dat de aanvaller het kwaad van zijn acties zelf mogelijk niet inzag, was het code rood op het moment dat de hack uitkwam, blijkt uit de reconstructie in het politievakblad. Een rechercheur zegt tegen het blad: "Gedachten vliegen door je hoofd: hoe erg is het, zal het telefoon- en internetverkeer in Nederland verstoord worden? Wordt het internet platgelegd? Dan kan niemand pinnen, dus ook geen boodschappen betalen?"

De hacker, die heeft bekend, staat in mei voor de rechter en de KPN-zaak is momenteel nog in behandeling. Zijn rechtszaak vindt achter gesloten deuren plaats, omdat hij minderjarig was ten tijde van het misdrijf. Uit de reconstructie blijkt dat de hacker vijf weken lang is verhoord. De hacker kon worden opgepakt dankzij een combinatie van slordigheid en trots: hij schepte in een chatgesprek met een Zuid-Koreaanse student op over zijn hacks. Die student tipte KPN via Twitter, waarna de politie werd ingeschakeld. De nickname die de Barendrechter gebruikte in het gesprek met de student, hanteerde hij later opnieuw. Dankzij een internettap merkte de politie dat, waarna de politie op 20 maart 2012 een inval deed en de hacker arresteerde.

Uit de reconstructie in 24/7 blijkt dat de Barendrechter binnenkwam in servers van KPN doordat automatische updates faalden. Eerder bleek al dat onveilige software de servers van KPN de das om deed. De hacker wist zichzelf ook toegang te verschaffen tot andere computersystemen, onder meer van universiteiten, waaronder de Zuid-Koreaanse universiteit waar de tipgever studeerde. Welke organisaties de hacker naast de universiteiten en KPN kraakte, is onduidelijk.

Lees meer over

Reacties (103)

Reactiefilter:-1103092+164+21+30
Bied die knul een baan aan, zou ik zeggen...
Een bank overvaller die niemand kwaad doet bied je toch ook geen baan aan als beveiliger.
Hij zat fout klaar.
Het verschil is wel dat er bij het aanvallen van het KPN netwerk specialisme nodig is en enig verstand van beveiliging. Aangezien zo'n manneke van 17 bij KPN binnen kan komen, lijkt het me slim om nog eens naar die IT afdeling daar te kijken en die jongen inderdaad een baan aan te bieden, wel onder toezicht natuurlijk. Hij heeft waarschijnlijk meer kennis van de beveiliging dan die afdeling daar.
Daarbij kan iedereen een bank overvallen, gewoon een geweer aanschaffen en binnen lopen bij de bank.
Deze hack was anders ook niet zo moeilijk, hij heeft waarschijnlijk gewoon standaard exploits gebruikt en het internet afgespeurd naar ongepatchte systemen. Ik deed niet anders toen ik 17 was (16 jaar geleden) alleen toen was er nog geen high tech crime unit en werd je niet gepakt ook al deed er iemand aangifte.

Dus een baan aanbieden vind ik overdreven. Iedereen kan een tooltje downloaden waarmee je kunt scannen op bepaalde dingen en vervolgens pas je wat exploits toe die je zo van internet plukt, bijv. metasploit is een heel populair pakketje.
Ben het helemaal met je eens. De meeste mensen doen het altijd voorkomen alsof zo'n jongen een super wizkid is die codes droomt, terwijl de realiteit is precies zoals jij het zegt. Download de juiste tools en laat die vervolgens al het werk voor je doen.

Hoeft in de meeste gevallen niet eens te betekenen dat je weet wat je doet.
Ben het helemaal met je eens. De meeste mensen doen het altijd voorkomen alsof zo'n jongen een super wizkid is die codes droomt, terwijl de realiteit is precies zoals jij het zegt. Download de juiste tools en laat die vervolgens al het werk voor je doen.

Hoeft in de meeste gevallen niet eens te betekenen dat je weet wat je doet.
Als dat waar is, dan hadden de security experts van KPN deze tools, ter controle, ook wel eens mogen downloaden en gebruiken op (een afgeschermd deel van) het eigen netwerk!
Grote omgevingen zoals KPN zijn helemaal kapot ge-ITILed. Voordat een beheerder iets mag doen in de productie-omgeving moet er eerst een trject van een paar maanden met testen ,en bureaucratie doorlopen worden. Waarbij de risico worden afgewogen tegen de baten. En aangezien de baten bij zo'n test niet bekend zijn is het heel lastig om toestemming te krijgen.
Helemaal met je eens. De beveiliging moet je overlaten aan de mensen die die systemen beheren en niet aan een stel managers die denken overal verstand van te hebben maar alleen theoretisch kunnen denken en handelen.

/rant
Je moet het ook niet overlaten aan de mensen die de systemen beheren. Je laat een software developer ook niet zijn eigen code testen.
ook mis.

developers en beheerders moeten eerst zelf hun code/systemen testen.
Pas dan vrijgeven aan een test groep en daarmee verder testen.
dan pas kan je een "externe audit" aanvragen.
De meeste mensen doen het altijd voorkomen alsof zo'n jongen een super wizkid is die codes droomt, terwijl de realiteit is precies zoals jij het zegt. Download de juiste tools en laat die vervolgens al het werk voor je doen.
Als dat het geval is (wat zeker zou kunnen), dan wordt het onderhand eens tijd om KPN aan te klagen wegens zware nalatigheid. Allemachtig, niet eens in staat om nota bene het landelijke vaste telefoonnetwerk te beschermen tegen scriptkiddies? Ik heb er geen woorden voor... ik schaam me voor mijn vakgebied :-(

Kleine nuance-edit: rechercheurs die bang zijn dat 17 jarige jongentjes met een dergelijke hack "het internet" en al het pinverkeer plat leggen zijn ook hun beroep niet waardig.

[Reactie gewijzigd door metaal op 23 februari 2013 22:51]

Ik keek ook even raar op toen ik dat gedeelte las. Maar waarschijnlijk is het gewoon een algemeen mede-werker/rechercheur, die komen overal kennis tekort niet alleen op IT gebied. Je zou toch denken dat ze daar op de politieacademie, wel de basis uitleggen. Vooral als je ziet hoe vaak documenten op straat komen te liggen door slordige beveiliging.
ach de politie opleiding heeft niets te maken met IT. Maar meer van sporen onderzoek. De mensen die bij de politie bij High Tech Crime werken zijn wel rechercheurs maar zullen nooit met een pistool in de handen lopen achter boeven aan.

Zij verzamelen alleen bewijs en zoeken uit wie dat heeft gedaan. Dan gaat een politie team zo'n persoon oppakken.
Anyway. Dit zal wel een persovoorlichter zijn, die dan tijdens de hack ineens een bericht krijg en dat de volgende dag bij de pers moet liggen om het volk in te lichten. Die zal hoogtens gevraagd hebben wat er in het ergste geval zou kunnen gebeuren.. Het Internet plat leggen bij de provider KPN. Waardoor KPN aangesloten Pin automaten niet meer werken e.d.
Vergeet ook niet dat als je een exacte beschrijving geeft van wat er gebeurt is, 99,9% van de lezers geen idee heeft waar het om gaat. Je moet dingen soms vereenvoudigen zodat zoveel mogelijk mensen zich er iets bij kunnen voorstellen.
Er is kennis en ervaring voor nodig, dat is correct. Maar iemand die tegen de wet handelt en er geen probleem mee lijkt te hebben ga je geen job geven waar vertrouwen in het personeel net zeer belangrijk is. Das een beetje als de kat bij de mel zetten.

Bijkomend is hij in staat om gaten in de beveiliging te vinden, daarom nog niet om deze gaten te dichten. Als je deze jongeman al een baan aanbied, dan eerder bij een beveiligingsfirma dat net teams in huis heeft dan heel de dag niets anders doet dan penetratietesten uit te voeren.

En ja, iedereen kan een geweer kopen en een bank overvallen, net zoals er honderden scriptkiddies zijn die gewoon scriptjes downloaden en beginnen met systemen aanvallen. De grote roven zijn ook specialistenwerk. Maar iedereen begint klein.
Bijkomend is hij in staat om gaten in de beveiliging te vinden, daarom nog niet om deze gaten te dichten.

Dat klopt. Maar dat hoeft dan ook helemaal niet zijn functie te zijn. Hij kan zich bijvoorbeeld nuttig maken door aan te tonen hoe hij binnen is gekomen in het netwerk en wat hij verder heeft gedaan. Dat zou hij dan ook (eventueel als consultant onder toezicht) kunnen uitvoeren in een team, bij andere opdrachtgevers.

Een andere medewerker, die wel verstand heeft van patchen e.d. zou dan een advies kunnen geven over hoe het gat gedicht kan worden en ervoor zorgen dat het niet meer voor kan komen (continuďteit waarborgen).
ga die jongen nou niet aanmoedigen.. Mogelijk zit hij ook op tweakers :+
Zoals Batiatus ook zegt hoeft degene die de gaten vindt niet degene te zijn die ze oplost. Een belangrijk deel van beveiliging is niet kijken of wat je beveiligd hebt allemaal goed beveiligd is en blijft maar om te kijken wat je nog niet beveiligd hebt. Net als het beveiligen van een gebouw kan je iemand inhuren die een stalen voor en achterdeur plaatst met elk 20 verschillende sloten, maar als elke crimineel met een schroevendraaier binnen 10 seconden je bovenramen open heeft heb je weinig aan die deuren. Juist door iemand in te huren die naar de zwakke punten zoekt kan je achterhalen waar de gaten zitten in je beveiliging.
onze millitairen lijken er ook geen moeite mee te hebben om mensen eventueel te doden,

dat deze jongen een straf verdiend lijkt me duidelijk... maar je moet hem ook niet in het zelfde bootje willen stoppen als een draaideur crimineel, dat is hij (nog) niet en je moet er eigenlijk alles aan willen doen om hem dat ook niet te laten worden...


hoeveel supper tallenten gaan er niet de fout in door gebrek aan 'uitdaging' 'levens doelen' en al dat geneuzel, gewoonweg uit pure verveling kijken of je aan de lanceer codes kunt komen van alle atoomraketten in de wereld.... gewoon 'OMDAT HET KAN' dat zou elke tweaker toch moeten begrijpen,


hoe misplaatst en gevaarlijk ook... het is voor sommigen een reeël doel... met mogelijk catastrofale gevolgen.. komt het omdat deze gasten net zo erg zijn als staling of hilter of kim yung ill... of simpelweg omdat ze niets zinnigers te doen hebben...
Batiatus, als ik het goed begrijp wil jij iemand die een strafbaar feit heeft gepleegd gaan belonen ervoor?

Ik ben het met je eens dat je die kunde van die knul moet gebruiken. Maar laat hem maar in de gevangenis tot in detail uitschrijven hoe hij het heeft aangepakt. Op deze manier straf je hem en krijg je, gratis, zijn kennis in huis. Dit zal dan onder de noemer 'dienstverlening aan de gemeenschap' kunnen vallen zodat hij een deel van zijn straf er mee kan compenseren. Weigert die knul dat dan moet hij maar een paar jaar extra brommen.
Batiatus, als ik het goed begrijp wil jij iemand die een strafbaar feit heeft gepleegd gaan belonen ervoor?

Dat is wel heel platgeslagen en een andere perceptie dan hoe ik er naar keek.

Het moet ook niet gezien worden als een beloning voor die jongen (en natuurlijk verdiend hij een straf) maar uiteindelijk zouden ze hem, na zijn vrijlating, wel nuttig kunnen gebruiken. Het moet natuurlijk niet zo zijn dat je, zonder hem te bestraffen, gaat belonen.
Het moet ook niet gezien worden als een beloning voor die jongen (en natuurlijk verdiend hij een straf) maar uiteindelijk zouden ze hem, na zijn vrijlating, wel nuttig kunnen gebruiken. Het moet natuurlijk niet zo zijn dat je, zonder hem te bestraffen, gaat belonen.
Straffen en belonen voor dezelfde daad, nee dat klinkt lekker.
zegt het vreemdelingen legioen je iets... voor HEEEEEEL erg veel mensen was het welzeker een 'beloning' je had namelijk ineens weer een doel in het leven, te eten en vrienden/kameraden. iets wat een heleboel van die schobbejakken wellicht nog nooit hadden gehad... bedelaars en halzensnijders als het waren...
Nu romantiseer je het vreemdelingen legioen wel een beetje erg.
Ja je hebt daar "kameraden" omdat je anders dood bent!
Het vreemdelingen legioen gaan mensen voornamelijk in, om hun verleden achter zich te laten.
Na je dienst kan je een nieuwe identiteit krijgen
Als je je straf hebt uitgezeten (in de gevangenis of juist ook door te werken), is je naam gezuiverd en verdien je een nieuwe kans. Die kans (of het bovengenoemde werk) kan je niet zien als beloning.
Daarbij kan iedereen een bank overvallen, gewoon een geweer aanschaffen en binnen lopen bij de bank.
Yeah, good luck with that.
@Batiatus: Ik kan je zeggen dat het niet aan de IT afdeling zelf lag maar aan het management dat faalde.
In plaats van dat ze die jongen een baan aanbieden zouden ze beter de figuren die verantwoordelijk waren voor de enorme wanprestatie op het gebied van beveiliging bij KPN ontslaan.
Ontsla jij ook je kinderen als je ze iets nieuws wilt leren? Of gun je ze de kans om van hun fouten te leren? Het is een dynamische wereld.
Patch management is niks nieuws en vrij basic. Zelfs zo basic dat het haast niks anders kan zijn dan falend management. Als manager krijg je dik betaald omdat je veel verantwoordelijkheid draagt. Dat is nogal overbodig als er geen consequenties tegenover staan wanneer je faalt of wel?
Ik zie ook niet echt wat mijn niet bestaande kinderen hier mee te maken hebben. Als die iets willen leren kunnen ze geboren worden en daarna wanneer de tijd rijp is een opleiding volgen.
Wat die jongen doet kan en mag niet, maar als je alle systemen het zelfde maakt en zaken centraal kan aansturen omdat het zo makkelijk is..... dat weet je dat een poortje open hebben staan op een dergelijke platform fataal kan zijn. Overigens wordt alle appartuur vandaag de dag in China gemaakt, in een paar fabrieken, is dat niet een veel groter potentieel gevaar?
Je bedoelt dat iemand die gewapend een x aantal mensen bedreigd met de dood, per definitie hetzelfde is als een 17 jarig mannetje achter een computer (ergens op een donker zoldertje) ?

Ik denk dat het niet zo simpel ligt. Wellicht dat die twee iets meer van elkaar verschillen dan jij doet voorkomen?

Of bied jij iemand die een bekeuring krijgt, omdat hij 83 km/h reed waar hij 80km/h mocht, ook geen baan aan als vrachtwagenchauffeur?
Je bedoelt dat iemand die gewapend een x aantal mensen bedreigd met de dood, per definitie hetzelfde is als een 17 jarig mannetje achter een computer (ergens op een donker zoldertje) ?
Beide zijn per definitie een overtreding van de wet en in dat opzicht gelijk.
...dan snap je toch iets niet, puur zwart wit (taalgebruik) heb je gelijk, maar dan ben jij bij deze volgens je eigen redenatie nu ook een crimineel omdat je ongefundeerd iemand al beschuldigd van dezelfde overtreding (wat dus niet kan omdat elke zaak een opzichstaand verhaal is)...........iemand die massamoordenaartje speelt is toch van hele andere orde dan iemand die zijn hand niet uitsteekt op de fiets als hij afslaat....
Als die man geen groot rijbewijs heeft dan ga ik hem geen baan als vrachtwagenchauffeur aanbieden omdat hij met z'n corsa 120 heeft gereden waar je 80 mag.
Behalve dan dat als hij het telefoon netwerk had plat gelegd automatisch melders (hartaanval, alarmering systemen, etc) niet meer hadden gewerkt en dan hadden er indirect wel slachtoffers kunnen vallen.

Zoals de politie woordvoerder heeft de hacker totaal niet gedacht over enkele negatieve gevolgen van zijn hack.

Daarbij als jij met een wapen een bank binnenloopt en voordat de overval zelf begint al wordt aangehouden, dan wordt je alsnog veroordeeld wegens het plegen van een bank overval. Omdat de hacker malware heeft geďnstalleerd op meerdere servers en daarnaast inlog gegevens aan anderen heeft gegeven is dit niet alleen pure nieuwsgierigheid.

Daarnaast zal deze hacker in de toekomst ook niet meer van Justitie een VOG voor informatica gerelateerde functies krijgen. Hij kan natuurlijk wel besluiten om later zelf zijn diensten commercieel aan te bieden als systeem/netwerk beveiliging tester, hoewel je dan wel meer skills moet hebben dan alleen een exploit kit kunnen gebruiken.
Zelfs als je je eigen diensten commercieel aanbiedt kan het niet krijgen van een VOG een (groot) probleem vormen. Er zijn namelijk ook bedrijven waar een VOG voor mensen die ingehuurd worden verplicht is.
Voordat je je wil mengen in het open debat, zou ik je wel willen vragen het hele voorgaande verhaal te lezen. Dan kom je zelf wel tot de conclusie dat de stelling die je hier op tafel gooit totaal niet vergelijkbaar is. Want om te hard te kunnen rijden, hoef je in feite alleen maar genoeg kracht in je rechterbeen te hebben om het pedaal diep genoeg in te drukken (schakelbak even daar gelaten). Voor het hacken van de servers va KPN heb je (of, dat wordt gesuggereerd, maar mijn inziens valt dat ook wel mee als ik de verklaring uit het artikel mag geloven) wel wat kennis nodig van het omzeilen van beveiliging.

Zoals gesteld wordt, hij pronkt met de hacks die hij maakte, dus dit was niet zijn eerste hobbyhack. Pronken met de boetes die je krijgt doe je (hoewel...) niet.
Waarom niet, eigenlijk?
Los van het feit dat de persoon in kwestie fout zat heeft ie overduidelijk meer inzicht in de beveiliging dan het huidige personeel. Kennis = geld. Laat em z'n eigen boete terugbetalen?

Overigens zit er een wereld van verschil tussen vanuit je luie stoel wat voorgebakken scriptjes tegen een server gooien en met een stel geweren en maskers een bankkantoor gijzelen.
Zullen we dan eerst de mensen verantwoordelijk voor de beveiliging en updates eruit schoppen? KPN is de laatste tijd toch al lekker bezig dus waarom op deze afdeling ook niet. Het zou mij ook niets verbazen dat het beheer middels een goedkoop contractje is uitbesteed zoals veel bij KPN....
Serieus? Hem een baan aanbieden omdat hij met wat scriptjes om kan gaan?
Serieus? Hem een baan aanbieden omdat hij met wat scriptjes om kan gaan?
Als er zo weinig voor nodig is om de servers van een groot telecom bedrijf te hacken dan is er veel mis met de IT beveiliging van dat bedrijf, en dan kan die knul z'n kennis van scriptjes wel bij dat bedrijf van pas komen.
Hij wist weldegelijk dat hij fout bezig was anders probeerde hij zich niet schuil te houden achter andere namen. Dus dat dit een kwajongensstreek is vind ik zeer dom en kort door de bocht. Hij moet simpelweg gewoon volgens de wet bestraft worden. Hij liep niet voor niks op te scheppen, dus mag hij nu ook als een opschepper lekker zijn straf uitzitten en eens heel goed nadenken wat hij heeft gedaan. Als hij net iets verkeerds had gedaan had het mensenlevens gekost, dus de daad is zwaar genoeg om hem te berechten volgens het volwassen recht. Helaas hebben we hier in Nederland een ziek en dom rechtssysteem die nogal domme dingen kan doen ondanks dat het strafbaar feit klaar helder is.
Nee dat werkt zo niet, eerst moet ie berecht worden en beboet waarna jij als werkgever dan "aanbied" de boete te betalen en jij voor een hongerloontje bij hem dat af komt werken.

En oh ja wel op voorwaarde dat je eerst ff haarfijn uitlegt hoe en wat je allemaal gedaan hebt zodat wij dat ook weer weten.

Baan aanbieden pffft? uit welke eeuw kom jij ;-)
"Hij heeft wel malware geďnstalleerd op de servers, en een Australiër de logingegevens van de KPN-servers overhandigd", benadrukt Takkenberg tegenover Tweakers, om aan te geven dat zijn bedoelingen zeker niet loepzuiver waren.
Niks kwajongens streek, het eerste is echt al strafbaar wegens computerhuisvredebreuk en het tweede kan duiden op het verkopen van de gegevens. Die 17 jarige 'jongen' is een volhardde crimineel volgens mij. Ben benieuwd of er nu meer gevallen bekend worden waarin hij een criminele rol heeft gespeeld.

Slechte zaak voor white hat hackers. Dit soort lieden zetten etische hackers telkens toch weer in een kwaad daglicht.
White hat hackers bestaan niet. Hacken moet nooit en te nimmer gezien worden als iets goeds. Wil je goed doen voor de sameleving dan doe je dat beter op een andere manier.
Euhm jij beledigd even een hele groep van computer-techneuten?
White hats bestaan wel degelijk en ze doen nuttig werk.

Niet dat dat joch een white hat is. Of kiddy of een black hat.

[Reactie gewijzigd door hackerhater op 23 februari 2013 15:32]

als je dat echt denk hoor je simpelweg niet op tweakers.net thuis.
maar dat zien we de laatste tijd wel meer, (met dank aan de redactie)...
dus als je zo vriendelijk wilt zijn terug te gaan naar fok.....
Euhm i-chat heb je het nu tegen mij of mystic101?
Ik zit namelijk al jaren op deze website.

[Reactie gewijzigd door hackerhater op 23 februari 2013 18:35]

Als hij het niet gedaan had, had iemand anders met misschien veel kwadere bedoelingen gedaan. Lekker door laten hacken die jongen, maar maak hem wel duidelijk dat hij het anders moet aanpakken.

Taakstraf: Laat hem een plan opstellen hoe hij het de volgende keer moet aanpakken en melden, en hoe KPN zijn beveiliging kan verbeteren!
'Dat is eerder een scriptie (om wellicht aan een baan te komen) dan een daadwerkelijk taakstraf.
Sterker nog: als hij het met zijn 17 jaar als hobbyist al gedaan heeft hebben professionals (inlichtingendiensten) uit andere landen dit zeker weten gedaan en doen ze het nog steeds maar dan met duidelijkere doeleinden. Het wordt tijd dat hier in NL de ogen eens open gaan voor de enorme economische en politieke schade die we oplopen door dit soort laksheid.
Als hij het niet gedaan had, had iemand anders met misschien veel kwadere bedoelingen gedaan.
Het is geen exclusief gebeuren, het gebeurt waarschijnlijk OOK door mensen met nog kwadere bedoelingen. Hacken is computervrede breuk, dat is verboden, wat hem dus geleerd moet worden is het zelfde wat elke andere crimineel geleerd moet worden: nooit meer doen!
Hacken is technologien of apparaten anders gebruiken dan dat waarvoor het bedoeld is, vereist een geest die out of the box kan denken en is iets dat aangemoedigd moet worden. Heb jij ooit wel eens een bierviltje onder een te korte tafelpoot gestopt?

Je bedoelt inbreken in computersystemen.
Je definitiebestand is verouderd. Hacken is computervredebreuk, en voor het creatief gebruiken van technologie zonder illegale bedoelingen is geen woord meer.
en wat maakt jouw de taalkundig authoriteit om 'dat' te bepalen...
Is deze reactie relevant aan de hier gestelde kwestie?
Hacken is sowieso strafbaar, ik ga ook niet bij de buren inbreken voor de lol om te laten zien dat hun sloten niet deugen. Ik denk dat die met name verrast is door het gemak waarmee je blijkbaar kan hacken bij het grootste landelijk netwerk. Vraag me ook af in hoeverre je KPN aansprakelijk kan stellen voor deze stomheid en het zegt wel wat over de kwaliteit van de bezetting.

Overigens bestaat er ook nog een tweede (fysiek) telefoonnetwerk wat voor calamiteiten gebruikt wordt en helemaal buiten het bestaande netwerk wordt gehouden. Dus in geval echt de pleuris uitbreekt kan er nog altijd gecommuniceerd worden tussen de mensen die de leiding hebben in calamiteiten.
Hij mag dan wel fout zijn met zijn hacken, maar wees blij dat hij het heeft gedaan. Als hij zich er meer in verdiept had en het een jaar later had gedaan, hadden ze hem misschien niet te pakken gekregen.

Ik ben altijd blij als mensen dit doen; het benadrukt de noodzaak van goede beveiliging. In het bedrijfsleven wordt het nog veel te veel gezien als 'gezeik dat geld kost' helaas.

Wat mij betreft bestraffen ze KPN en geven ze de hacker een serieuze waarschuwing.

Jij bent ook niet verzekerd als je deur open laat staan van je huis.
Jij bent ook niet verzekerd als je deur open laat staan van je huis.
Verzekeringsvoorwaarden hebben geen ene drol te maken met wat mag of niet mag.
jouw mening heeft daar ook geen droll mee te maken, maar in jouw ogen zijn militairen dus ook strafbaar ze moorden maar uit, hele kampen met lieve terroristjes worden afgemaakt als ze de kans krijgen...

dat er zoiets bestaat als context heb je blijkbaar nog niet helemaal geleerd, dus sucess met je zwart-wit-gedachten in het ECHTE leven.
Wel waar, want als voorwaarden onredelijk zijn of in strijd met de wet. Dus dat geeft het wel impliciet aan. Overigens wel typisch dat iedereen loopt te wijzen naar dat jochie. Of dat jochie was een genius en dan mag fox ict oid hem wel inhuren, of hij was een scriptkiddie.

In beide gevallen moeten er koppen rollen bij de kpn wegens lakse bescherming van persoonlijke/vertrouwelijke gegevens (dat is de kpn nl. Verplicht) en nog hardere klappen krijgen wegens slechte protocollen die niet de uptime van iets cruciaals als 112 niet kunnen garanderen.
Hij brak in op de servers. Oké. Als iemand dat ontdekt en vervolgens meld: held.
Maar deze jongen heeft inloggegevens doorgespeeld aan een Australiër en is zijn gang gegaan zonder iets te zeggen tegen KPN zelf! Ik zou 'm toch zwaarder aanpakken hoor!
De actie valt niet goed te praten... maar KPN moet zich de ogen uit haar kop schamen dat het onderhoud aan haar systemen waardeloos is en de kwetsbaar geworden 'oude' zooi niet werd voorzien van updates! Al lang hadden alle alarmbellen moeten rinkelen toen zou blijken dat de zooi faalde om updates toe te passen! En helemaal omdat eerder al duidelijk was dat KPN haar zaken niet op orde had en verouderde software haar de 'das om deed'! Dat getuigd ook niet van waarde hechten aan veilige en goede producten en diensten leveren!
Inbreken / hacken is strafbaar en de dader komt voor het gerecht.

De verplichting om informatie te beschermen, wordt helaas niet getoetst via het gerecht. Dit lijkt me een logisch gevolg. Inherent aan de gevoeligheid van de informatie zal hierop een straf moeten komen, bij niet voldoende bescherming.

In deze casus zal KPN dus een flinke boete moeten krijgen en moeten aantonen dat de beveiliging in de toekomst beter op orde is. KPN schaadt de privacy van vele gebruikers, en "speelt" zelfs met ons nationale alarmnummer.

Het mag duidelijk zijn dat van een burger in veel gevallen verplicht gegevens worden opgeslagen op computers. Hier is geen vrije keus. In het nu is de databeheerder "vogel vrij", en wordt het strafrechtelijke gericht op degene die hackt of het lek aangeeft.

[Reactie gewijzigd door kritischelezer op 23 februari 2013 12:18]

Je hebt zeker een punt, het enige probleem is dat het toetsen van 'verplichting om informatie te bschermen' nogal erg breed is, en dat er bijzonder specialistische kennis vereist is om dit goed te kunnen toetsen.

Wel zou het bepaalde bedrijven nog eens een paar keer extra doen nadenken over hun (non-)beveiliging.
Nederland heeft dan ook een lange historie als het gaat om de klokkeluider aan de hoogste boom ophangen.

Een recent voorbeeld is b.v. het bouwfraude schandaal.

Of deze jongenman als klokkeluider moet worden gezien is twijfelachtig maar per saldo heeft hij geen zaken gesloopt oid.
Hij is geen klokkeluider want hij heeft KPN niet ingelicht. Dus hij lijkt me gewoon strafbaar. Wat natuurlijk niet hoeft te betekeken dat hij een flinke celstraf krijgt ofzo, maar een flinke correctie is wel op zijn plaats.
Hij heeft wel degelijk zaken gesloopt. Malware installeren op servers en vervolgens de sleutels overhandigen aan iemand anders, in het buitenland nota bene? Dat is vakkundig slopen.

Die servers moeten vervolgens volledig opnieuw geinstalleerd worden om zeker te zijn dat de infectie weg is. Dat kost vele tien- zo niet honderdduizenden euro's aan manuren.
verkeerde plek hoe haal ik dit weer weg?

[Reactie gewijzigd door ZiggyDW op 23 februari 2013 13:09]

Ooit van vededigings strategie gehoord. Als het O.M er in trapt komt ie er met een lage straf vanaf. Het feit dat hij er over op schepte tegen een andere partij in deze, neigt naar intentie met opzet I.M.O. Dus geen kwajongens streek.

[Reactie gewijzigd door tuinboontje op 23 februari 2013 12:21]

Een baan aanbieden...tja. Als het bij de hack was gebleven en er geen doorverkoop van gegevens was geweest was dat wellicht een optie geweest. Het is echter net even te ver gegaan om een baan aan te bieden. Eerst een straf lijkt mij, dan zien we later wel verder.
Het is vooral de leeftijd denk ik. Het verschil tussen een spel en de realiteit is achter je beeldscherm niet zo groot, vooral niet als je 17 bent. Ik kan me voorstellen dat hij zich totaal niet heeft bezig gehouden met perspectieven omtrent zijn toekomstige carriere en er ook niet serieus bij heeft stilgestaan dat zijn technische kennis ook waardevol kan zijn zonder criminele activiteiten.

In mijn schooltijd waren we nog niet serieus online en stelde internet ook nog niet zoveel voor, maar ik weet zo goed als zeker dat er jongens rondliepen die ook tot dit soort dingen in staat waren en dat puur als entertainment zouden doen, zich niet bewust van de misdaadfactor.
Het grote "beveiligingsprobleem" is dat er op de wereld altijd een kleine groep is met een dermate uitgebreide kennis van zaken dat ze eigenlijk overal boven staan, ook boven een overheid. Je zou kunnen stellen dat we gewoon niet in staat zijn onze digitale systemen goed te beveiligen omdat ze feitelijk uit niets anders zijn opgebouwd dan elektrische signalen die gemanipuleerd kunnen worden. Daarbij is de informatie die nodig is om zo'n systeem te beveiligen evengoed bruikbaar om diezelfde beveiliging onklaar te maken.
Baan aanbieden waarom ?

Deze persoon heeft willens en wetens ingebroken en daarnaast ook nog MalWare op de systemen geplaatst en het wachtwoord aan derden gegeven.

Wordt zo moe van al die mensen die dan roepen van ach geef die persoon een baan want hij heeft meer verstand van de beveiliging dan de systeembeheerders.

Waarom in godsnaam het is gewoon een crimineel en het feit dat het vanachter een toetsenbord gebeurt maakt het niet romantischer oid..

Als ik inbreek bij iemand thuis waarbij ik het alarm systeem omzeil zeggen we toch ook niet , geef die man een man bij die fabrikant ?

Gewoon de bak in met die gozer !

[Reactie gewijzigd door oldsmelly op 23 februari 2013 12:59]

Moet je eens googlen op "bekende inbrekers" is net zo triest.
Zijn inbreker die goed in hun "vak" zijn. En nu HEEL VEEL geld verdienen met workshops en clinics op anti inbraak avonden (400euro per uur, en vrijwel elke dag volgeboekt door gemeentes, politie, ondernemers en woningbouwverenigingen)

Dit vind ik het zelfde als de hacker van het artikel. Schandig

[Reactie gewijzigd door Wieriemaster op 23 februari 2013 13:29]

only losers get jalous!
Get over it!
Kortzichtig en dom, dat vind ik er van. zonder mensen die zwakheden blootleggen blijft de beveiliging bij bedrijven zwak, zeer zwak. Alleen door de kwetsbaarheden aan te tonen, komen bedrijven in beweging, anders gebeurt er vrijwel niets.

Weet je waar je moe en gefrusteert van moet worden ? Van grote, professionele bedrijven die anno 2013 nog steeds systemen draaien die zo lek als een mandje zijn. Volgens mij leren ze het nooit....

Hierboven: van bekende, ervaren inbrekers leer je ook veel meer dan welke kluizenbouwer dan ook. Inbrekers/hackers bedenken nml. dingen om binnen te komen, waaraan een beveiliger wellicht nooit aan gedacht zou hebben. Zo leren de "good guys" om nog betere kluizen te bouwen en op internet nog veiliger systemen.

[Reactie gewijzigd door Madrox op 23 februari 2013 13:43]

Kortzichtig en dom vindt ik jou uitspraak..

Jij doet net alsof deze persoon het uit de goedheid van zijn hart deed .. om de kwetsbaarheden bloot te leggen.


WAKE UP...

Deze persoon deed het om MALWARE te plaatsen kortom gewoon een crimineel punt uit!
welkom in de echte wereld, blijf jij maar lekker in je eigen wereldje, - maar als de maatschappij echt goed in elkaar stak hadden naivelingen zoals jij niet eens wat te zeggen, immers als je niet in staat bent om de realtieit waar te nemen zoals is hoe moet je er dan over beslissen..

feit is dat dat de maatscahappij beter af is als dit soort jongens VOOR ons werken in plaats van tegen...

ze 20 jaar in de cel gooien om beinvloed te worden door diehard afpersers en moordernaars is daar geen goede invloedssfeer om deze jongen in te laten zien hoe fout hij zat...

een taakstraf, een strafblad en een tewerkstelling zouden beter voor hem (en voor ons) zijn.
dat is dus hacken onder toezicht, thuis geen pc mogen hebben tot hij bewezen heeft er weer eentje te verdienen...

van 'gevangenis regime' tot vrij leven met morele plichten. maar wel zover mogelijk buiten het criminele circuit ... dat je hem een baan aanbied wil nog niet zeggen dat ie vrij is om deze te weigeren...

in de vs is het bijv vrij normaal om dit soort jongens het leger in te schoppen, grote disipline weinig vrijheid, maar feitelijk wel 'een baan aangeboden gekregen' met cariere mogelijkheden.... en als je HEEEEEEL goed je best doet, raken die aanklachten uit het verleden misschien wel kwijt....
Nee vertrouwen op de "nobele" hacker is niet Naďef ?

Weet je wat als jouw creditcard wordt wordt gehacked en er wordt 5000 euro van je rekening afgeschreven door zo'n hakker met goede bedoelingen dan lullen we weer verder ok ?

Wat het is tenslotte niet te doen om het geld maar om de creditcard veiliger te maken toch ?

DREAM ON DUDE !!!
''21.20 uur – Van black hat naar white hat We verwelkomen de bekeerde hacker Rickey Gevers. Zijn eerste kennismaking met het Team High Tech Crime was wel anders – toen werd hij opgepakt...''

Wie weet zal de KPN hacker ook gaan werken voor het Team High Tech Crime, aangezien dit eerder is gebeurd.

Verder denk ik dat de KPN hacker een taakstaf zal krijgen van ong. 80-120 uur. Op die leeftijd voor een iets kleiner delict krijg je 40 uur (20 uur als je medeplichtig bent). Dat weet ik uit eigen ervaring haha.
Aleen omdat hij er geen kwaad in zag heeft hij niet zijn best gedaan zich zelf on traceerbaar te maken.
Geef die jongen een baan.
dit zijn jingens die willen helpen ....
Ik vrees aleen dat deze jongen zal worden gebrandmerkt door de overheid die helemaal geen intresse heeft in beveilging , met nog vervelnder zaken tot gevolg.
Want dit soort gesten hebben genoeg brains om de politie bij een volgende x voor altijd voor te blijven.

[Reactie gewijzigd door bluegoaindian op 23 februari 2013 13:42]

Ach, als ik niet toevallig een agent was tegengekomen had men mijn kwajongens-vuurwerkbom ook niet gevonden en had ik nooit bij HALT gezeten.

De impact is in beide gevallen groot áls het fout gaat, en in beide gevallen waren die gevolgen vantevoren niet goed ingeschat (behalve: "ik moet zorgen dat niemand er achter komt dat ík dit deed").

Het verschil is dat het hier een gevolg is van nalatigheid van een grote onderneming. In mijn optiek moeten beide bestraft worden.
Op basis van welke wet zou je KPN willen bestraffen?
Sorry, maar waaruit mag blijken dat deze jongen wilde helpen? Hij installeert Malware op de computers van KPN, geeft de inlog gegevens aan een Australiër. En meldt de fout vervolgens niet, zowel niet bij KPN als in de media.
Waaruit mag jij dan concluderen dat deze jongen KPN wilde helpen?

Hacken is bij wet sowieso niet toegestaan, ongeacht jouw bedoelingen. Als ik het slot van jouw voordeur open maakt met een masterkey of slottenkraak kitje, denk ik niet dat jij dat even tof vindt. Of zou je mij dan ook aanbevelen aan een slotenmaker voor baan?

Ik ben me er echt wel van bewust dat er white hat hackers zijn die echt willen helpen, maar deze jongen heeft geen één aanwijzing gegeven om hier de helpende hand te bieden. Hij heeft het alleen gemeld aan derden om te pochen. Daarnaast weet elke respecterende hacker dat hetgeen wat hij doet verboden is en dat er altijd een vervolging kan volgen naar aanleiding van zijn acties.
Kom nou toch....

MAILWARE plaatsen en er dan geen kwaad in zien ?
Ik zou je betoog nog wel kunnen volgen maarrrr..... het installeren van malware én het doorgeven van login gegevens van diensten van nationaal belang (hallo 112???) laten juist zien dat je zo iemand niet kan vertrouwen. Was hij na het vinden van het lek zelf naar de KPN gegaan om te vertellen hoe en wat er mis was, dan had hij daar nu waarschijnlijk al stage gelopen.
in zijn verdediging, als hij het kwaad er niet in zag, hoe kon hij dan kwade bedoelingen erbij hebben..

stel dat je een persoon tegenkomt die met magische kragen mensen gruwelijk kan martelen maar ook wereldvreede kan brengen...

als kind betrap je hem op het eerste..... zou je dan echt je kans op wereldvrede versplillen omdat het een klein crimineeltje is... ?????

of zou je proberen hem her op te voeden zodat ie uiteindelijk zijn fout inziet en zich ten goede keert...???
reacties met meer dan 1 vraagteken per zin maakt jou punt niet overtuigender.
1. malware plaatsen
2. login gegevens delen met iemand anders
3. opscheppen over de hack tegen wildvreemden
4. niet KPN op de hoogte brengen over de hack.

Da's zelfs één meer dan three strikes, you're out.
Dit verhaal ruikt dan ook naar standaardexcuses en goedkope uitvluchten. Een beetje als treiteraars die achteraf aan komen zetten met "ja, maar we wilden hem/haar alleen maar bang maken", "het was maar een grapje, echt hoor". :|
Het is een menselijke reactie om het eigen (foute) gedrag te vergoelijken en te bagatelliseren. Dat maakt dat soort "argumenten" echter nog niet waar.
@bluegoaindian:

Naast de vele typefouten heb je blijkbaar besloten om heel veel aannames in je betoog op te nemen. Je extrapoleert de voorlopige conclusie van 1 iemand naar het bijna totaal onschuldig zijn van de verdachte door te stellen dat hij er daadwerkelijk geen kwaad in zag, doordat hij zichzelf niet ontraceerbaar heeft gemaakt.

Andersom zou je kunnen stellen dat hij wellicht wel zo ontzettend dom was dat hij daar helemaal niet aan gedacht heeft, laat staan rekening mee gehouden heeft.

Conclusies trekken over een grote zaak op basis van een aanname van 1 iemand is nooit verstandig. Die aanname dan ook nog eens sterk doortrekken naar verdere, 100% gespeculeerde, eigen conclusies is een beetje dom.

Wat mij vaak opvalt is dat door verdachten en of opsporings instanties word aangegeven dat het allemaal niet zo slecht bedoeld was. Ik blijf het opmerkelijk vinden dat mensen daar nog intrappen.
Immers de eerste verdachte die aangeeft: ja ik wist waar ik mee bezig was en dat dit grote schade zou veroorzaken en ik daar terecht zwaar voor gestraft kan worden ,moet nog worden uitgevonden. Gek is dat toch..... :)

[Reactie gewijzigd door trm0001 op 23 februari 2013 20:51]

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBWebsites en communities

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True