Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Student verkreeg tentamens door op computersysteem hogeschool in te breken

Door , 122 reacties

Een 22-jarige student van de hogeschool InHolland in Rotterdam heeft op het computersysteem van de onderwijsinstelling ingebroken om op die manier aan tentamens te komen. Zijn acties werden ontdekt doordat hij hierover sprak met medestudenten.

RTV Rijnmond meldt dat de jongen 'te loslippig was tegen andere studenten'. Daardoor kwam de hogeschool achter zijn activiteiten en werd besloten de jongen te schorsen. Uiteindelijk moest hij met zijn studie stoppen. Volgens Nu.nl volgde hij een studie veiligheidskunde. Volgens de school zouden er vaker hackpogingen ondernomen worden. Daarom zijn er nu aanvullende beveiligingsmaatregelen genomen.

Maandag vond er een zitting plaats in een zaak tegen de student en de rechter wil over twee weken uitspraak doen. Het Openbaar Ministerie eiste een werkstraf van 120 uur, waarvan 40 uur voorwaardelijk. De Officier van Justitie wilde bovendien dat de student onder toezicht van de reclassering komt, om 'zijn toekomst weer op de rails te krijgen'.

In 2014 werd eerder een Rotterdammer tot een maand celstraf veroordeeld voor het hacken van ongeveer tweeduizend computers. Hij plaatste toen een eindexamen Frans online. De rechter achtte hem indirect betrokken bij het stelen van examens op de Ibn Ghaldoun-school in 2013. De Officier van Justitie vergeleek de huidige zaak met dit eerdere voorval.

Door Sander van Voorst

Nieuwsredacteur

28-02-2017 • 13:46

122 Linkedin Google+

Reacties (122)

Wijzig sortering
In mijn hoedanigheid als ervaringsdeskundige heb ik hier net even een kort interview over gehad met de NOS op 3 (vanmiddag om 17.00 op de radio). Dat gaf mij natuurlijk ook even de mogelijkheid om wat te vragen aan de NOS :)

Ze vroegen mij om een reactie op deze hack. Mijn vraag terug was logischerwijs: wat heeft deze student nu precies gedaan wat te kwalificeren is als een hack? Heeft hij een wachtwoord gestolen, een exploitable vulnerability gevonden of heeft-ie simpelweg iets kunnen zien wat iedereen had kunnen zien maar wat een wat meer geavanceerde zoektocht vergt? De NOS weet dat niet omdat InHolland op dit moment niet wil ingaan op de precieze omstandigheden. Ik begrijp dat standpunt zolang de kwetsbaarheid niet is opgelost. Maar ik hoop wel dat ze dat later bekend maken.

Tegelijkertijd kan ik dus ook slecht een inhoudelijke reactie geven op de hack, juist omdat we niet weten wat er gebeurd is en of het wel een echte hack betreft. Het feit dat het OM overgaat tot vervolging betekent dat hij vermoedelijk iets strafbaars heeft gedaan, niet dat hij ook daadwerkelijk computervredebreuk zou hebben gepleegd. Ik heb mij bij de NOS beperkt tot een algemene beoordeling en heb aangegeven hoe onderwijsinstellingen dit een beetje kunnen voorkomen.
Computervredebreuk is in redelijk brede termen gedefinieerd.
quote: Wikipedia
Het wetboek omschrijft computervredebreuk als "opzettelijk en wederrechtelijk binnendringen in een geautomatiseerd werk of in een deel daarvan". Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
  • door het doorbreken van een beveiliging,
  • door een technische ingreep,
  • met behulp van valse signalen of een valse sleutel, of
  • door het aannemen van een valse hoedanigheid.
Dus ook een wachtwoord ergens social engineeren en daar vervolgens mee inloggen kan worden gevat onder computervredebreuk.

Ook bijvoorbeeld URL manipulatie is recentelijk onder computervredebreuk gevangen.
Verbinding maken met een open netwerk met naam "Privénetwerk, niet mee verbinden" o.i.d. is al computervredebreuk. Als je ook maar enigszinds had kunnen vermoeden dat het niet de bedoeling is wat je doet, is het al computervredebreuk.
Wie bent u of wat is uw functie als ik vragen mag? U hebt mij nieuwschierig gemaakt door te spreken over ervaringsdeskundige.
Zeg maar je hoor! :)

Ik ben Loran Kloeze en ik vind het moeilijk om een goed antwoord te geven omdat er aan mijn kant commerciële belangen spelen. Je vraagt mij bijna om een commercial af te draaien. Dat is niet mijn bedoeling maar is wel een beetje nodig om het goed uit te leggen. In het dagelijks leven adviseer ik kleinere bedrijven op het gebied van cybersecurity. Daarnaast test ik de beveiliging van websites van bedrijven en overheden. Verder geef ik toespraken bij bedrijven en onderwijsinstellingen e.d. over cybersecurity in de praktijk. Dat probeer ik toegankelijk te maken voor leken en mensen die dagelijks werken met een computer maar die geen verstand hebben van firewalls, iptables, ssh en andere server-gerelateerde zaken. Ik kan nog veel meer vertellen maar dan moet ik echt reclametijd inkopen bij Tweakers. :D

E.e.a. zorgt ervoor dat de media mij nog weleens vindt.

[Reactie gewijzigd door PCR op 28 februari 2017 15:54]

Ethical/White hacker dus, in feite? Ben jij niet ook al eens op (o.a.) NPO/3FM te horen geweest een paar weken geleden? :)
Jep, problematiek rond de Stemwijzer inderdaad. Dat hele verhaal met de 'peilingen' die iedereen op z'n computer had staan maar die je even goed moest op zoeken.
En ik maar denken 'ervaringsdeskundige' van het kopieren van de gegevens bestanden met examens op scholen...

Doe dan iets ludieks, een virus dat kleine komplimentjes uitdeelt bijvoorbeeld.
Dank voor je tip, ik neem het mee! En ja, je hebt gelijk, de naamsbekendheid was voor mij welkom. Sterker nog, ik heb er opdrachten aan over gehouden én ik word af en toe door de landelijke en regionale media gevraagd om mijn visie te geven. Dat vind ik leuk, het levert belangrijke contacten op en het is tegelijkertijd onbetaalbare reclame voor mij. Ik kan het iedereen aanraden. :)

[Reactie gewijzigd door PCR op 1 maart 2017 16:12]

een geval vind ik heel speciaal. opleiding informatica.
Ik vind dat dergelijke leerlingen niet gestraft kunnen worden voor het hacken van de school infrastructuur.
Onze school IT-verantwoordelijke en mijn leraar was tenminste sportief. Die vroeg er zelfs om. Bezorg mij de inhoud van ikbengehackt.txt en je krijgt 10% extra op je examens.
Die leeringen brengen toch maar dat in praktijk dat ze net geleerd hebben.
Tja wat zal ik er van zeggen. Het is in ieder geval zeker dat je denkt dat JIJ alles wel weet.

Reclame en aandacht betekent echt geen kwaliteit, meer mensen die er geen zak van snappen en die jij alles wijs kunt maken.

* RutgerM mompelt iets van BijDeHand
Goh als dit er toch allemaal was toen ik naar school ging zou ik nog jarenlang problemen hebben gehad. Ik vond het vroeger namelijk geweldig om na schooltijd een floppy disk van thuis mee te nemen en alle computers in de mediatheek te formatteren. Of het sturen van admin warnings naar medestudenten. Of nog leuker, bij ons op school werden applicaties als msn messenger geblokkeerd. Maar dit gebeurde op keywords, oftewel als er ergens msn op het scherm stond, kreeg je een melding of werd je geblokkeerd. Dit was eenvoudig te omzeilen door 3d party apps te gebruiken zoals trillian. En zo heb ik nog veel meer gedaan zoals aanpassen van accounts en ga zo maar door.

In mijn tijd werd dit alleen gezien als grappig of als een serieuze taak voor de sysbeheerders om de beveiliging aan te pakken. Overigens waren scholen destijds echt mega slecht beveiligd en waren bijna alle bestanden gewoon via het netwerk te bereiken (dit was op mijn middelbare school zo, maar ook op het mbo waar de ICT opleiding heeft gezeten nota bene).

Ik vraag me dan dus ook echt af of deze jongen ze nu dus echt gehacked heeft of dat hij gewoon bij de bestanden kon, al is het met een kleine omweg.
Tegenwoordig is de maatschappij, in navolging van de Amerikaanse, compleet gejuridiseerd en wordt iemand die "boe" roept bij wijze van spreken al door justitie aangepakt. Begrippen als "grapje", "ludiek" en "kwajongensstreek" kent men niet meer, dat wordt allemaal vertaald met "misdrijf".
ja het is wel aan het overhellen in de verkeerde richting.
Ja anders heb je een beetje hetzelfde idee als een grote snoep pot open op tafel zetten en tegen alle kleine kids zeggen dat ze er niks uit mogen pakken

Zorg er dus voor dat de pot goed dicht zit ;)
Idd eerst maar afwachten wat deze hack inhoudt..
Inderdaad, de enige hacker die ik zo op kan noemen is Henk Krol van 50 Plus. En die typte het wachtwoord in dat gelijk was aan de usernaam na een tip. 8)7
Ze zouden de jongen moeten belonen ipv straffen, ja hij deed iets verkeerds met de info die hij kon krijgen door in te breken op de systemen. Als ik de school was had ik op zn minst gevraagd of hij het team die voor de beveiliging vd systemen zorgt, aan te sterken!
Hij heeft 2 grote fouten gemaakt: het lek niet melden en misbruik van die informatie gemaakt.

Voor een veiligheidskundig zijn dat 2 belangrijke elementen om goed bezig te zijn. Op beide punten is hij dus keihard gefaald! Want wat doet hij als hij daadwerkelijk toegang tot hun systemen heeft? Zijn cijfers bijwerken? Je moet niet iedereen die hackt en daar misbruik van maakt nog naderhand belonen met een baan!

Daarbij hoeft het niet eens zo te zijn dat het lek niet moeilijk te ontdekken was. Enkel doordat men er niet naar keek, hebben ze het niet opgelost/voorkomen. Pas nu er daadwerkelijk aandacht voor is, kijkt men ernaar en lost met het op. En dan kunnen makkelijk te voorkomen fouten worden rechtgezet.

Ik vindt wel dat een werkstraf een beetje teveel is. Hij is immers al door school geschorts en kan zijn opleiding niet meer afmaken, wat ook al zwaar impact heeft. (en terecht overigens)
Ik vind je erg rigoureus in je opvatting. Een straf zou zeker op zijn plaats zijn maar het hoeft toch niet zo te zijn dat iemand er met de rest van zijn leven mee moet betalen? Dit kan een flinke domper zetten op het onderwijstraject van deze student. Een tijdelijke schorsing kan ik me nog wel in vinden.

Het was hoogstwaarschijnlijk een toevallige ontdekking van deze student. Vergelijk het met een gelegenheidsdief. Diefstal is diefstal maar het maakt ethisch wel wat uit of iemand uit het niets ineens wat steelt of dat alles vooraf is gepland. Daarbij mag ook wel naar leeftijd gekeken worden. Iedereen spookt wel wat uit in zijn jonge leven waar hij later van denkt dat dat geen slimme zet was. Als je jong bent, bega je nog wel eens een lapse of judgment, een onderschatting van de gevolgen van een ogenschijnlijk simpele daad. Laten we niet vergeten dat we allemaal jong zijn geweest.
Eh.. toevallige ontdekking? En het was zeker ook toevallig dat hij, van de ongetwijfeld ontzagwekkende hoeveelheid data op het schoolnetwerk, bij de tentamens uitkwam?

Juist van iemand die hier wat beter in thuis is mag je verwachten dat hij weet om te gaan met een lek – toevallig gevonden of niet – en die dus meteen meldt bij de systeembeheerder zodat er wat aan gedaan kan worden. Zeker als het klopt dat hij veiligheidskunde studeert.

Als iemand 22 is en studeert aan een hogeschool kun je zoiets niet meer vergoelijken met 'we zijn allemaal jong geweest'.

Als het bericht klopt, vind ik het terecht dat hij van de opleiding gestuurd is. Hoe kun je iemand opleiding tot veiligheidsexpert, die bewezen heeft niet met dergelijke verantwoordelijkheid om te kunnen gaan? Wil je zo iemand aan het werk zetten met jouw privacy-gevoelige bestanden?
Ik ben het hier mee oneens en ik vind het een standpunt uit de jaren 80 toen dit soort mensen werden aangenomen omdat ze zo slim zijn en daarvan gebruik gingen maken door te hacken. Ja, toen was hacken nog écht hacken :)

Dit is, als de rechter meegaat met de eis, een veroordeelde criminele hacker en zo moet hij de boeken ook in. Als dit toegelaten wordt of nog erger, beloond wordt dan kunnen we wat mij betreft de wetgeving rondom computervredebreuk opheffen. Daarbij, hij praat z'n mond nog voorbij ook. Dat zegt iets over de betrouwbaarheid van hem.

Wat iemand ook van InHolland vindt, de reputatieschade die zulke organisaties lijden is groot. InHolland beschikt daarnaast over veel privacygevoelige gegevens. Dat zijn niet alleen gegevens van studenten maar ook van personeel. Denk aan NAW-gegevens, salaris- en functioneringsdossiers e.d. Wat is de volgende stap voor deze jongen na het stelen van tentamens? Zo begint veel criminaliteit: het begin met een lolly en door de 'juiste' omstandigheden eindigt het misschien wel met auto's of andere waardevolle goederen.

De rechter mag wat mij betreft een voorbeeld stellen hier mocht er voldoende bewijs zijn. :)
Ik vind het onterecht dat nu de focus ligt op een 22 jarig slim studentje.
InHolland mag van geluk spreken dat deze jongen duidelijk nog de nodige ervaring mist.
Voor hetzelfde geld had hij z'n mond dicht gehouden en dergelijke gegevens aan derden doorverkocht.
Dan heb je nog een veel groter probleem.

InHolland is in dit geval zeer nalatig geweest in hun beveiliging.
Dat had naar mijn mening ook de kop van het nieuws item moeten zijn en niet andersom!
Kwestie van perspectief.
Of hacken tegenwoordig makkelijk of moeilijker is dan de jaren 80 is niet relevant.
Het gaat om het feit dat hij zo makkelijker informatie heeft kunnen bemachtigen (op wat voor manier dan ook)

Betekend nog niet dat deze jongen geen straf hoeft te krijgen, maar het is maar net waar je de nadruk op legt als media.

[Reactie gewijzigd door B_FORCE op 28 februari 2017 14:28]

InHolland is in dit geval zeer nalatig geweest in hun beveiliging.
Daarvoor moeten we eerst weten wat er precies gebeurd is. Er zit in mijn ogen een groot verschil tussen bijvoorbeeld het kraken van slecht beveiligde opslag en het raden van het wachtwoord van een docent.
Details zijn niet relevant.
Het feit dat iemand de gegevens heeft kunnen bemachtigen is al te ver.
Of dat nu raden is, mensen omkopen, hacken etc.
Feit dat een 22-jarig studentje zomaar binnenkomt is gewoon fout.

(net als dat deze student trouwens ook fout zit, laat dat duidelijk zijn)
Details zijn juist relevant, het voorbeeld geef je zelf. Is de hogeschool 'zeer nalatig' als ik een docent omkoop? Of als ik een docent chanteer? Bedreig? Met een wapen?

Dat het niet had mogen gebeuren is duidelijk. Hoe dit heeft kunnen gebeuren is dat niet en daarom zijn harde conclusies op dit moment te kort door de bocht.
Beetje kort door de bocht. Wachtwoord raden is alleen verwijtbaar bij InHolland als de password-rules erg slap zijn zodat "qwerty" een geldig wachtwoord is, of dat 2fa beschikbaar is maar niet aan is gezet "omdat dat onhandig is".

Je werkgever kan het niet kwalijk genomen worden dat jij omkoopbaar bent, je werkgever kan het niet kwalijk genomen worden als ik een wapen op je hoofd zet om in te loggen.. etc. Juist de details zijn relevant zeker als je iets als "InHolland is in dit geval zeer nalatig geweest" schrijft. Dan moet je juist weten hoe iemand binnen is gekomen.
(al zegt mijn onderbuik ook wel dat de beveiliging waarschijnlijk niet optimaal is geweest)
Tenzij bekend is hoe hij precies deze informatie heeft verkregen is het ietwat moeilijk om met onze vingers te wijzen. Als het daadwerkelijk een hack is of misschien met hardwarematige keyloggers kan ik me voorstellen dat ze achter hem aangaan. Omgekeerd als het een typisch gevalletje van semi-public beveiliging waar de IT is geregeld door een stel amateurs en dat hij via een zeer simpele methode in is gebroken mag je je afvragen of de schuld dan bij de student ligt.

Maar nogmaals niets is publiekelijk tot op heden en ik betwijfel dat we het ooit te horen krijgen. Het is wel weer een blammage imo voor InHolland.
Ik vind het onterecht dat nu de focus ligt op een 22 jarig slim studentje.

Weet niet waarom je denkt dat hij slim is. Hij is in ieder geval niet zo slim dat hij de tentamens kon maken zonder deze eerst te bemachtigen. Verder weet je niet hoe hij de tentamens heeft verkregen. Last, but not least, kun je je afvragen hoe slim je bent als je je toevlucht neemt tot strafbare handelingen en daarmee het risico loopt van school verwijderd te worden met een strafblad toe en dat vervolgens niet voor jezelf kan houden. Ik noem dat eerder dom.
InHolland is in dit geval zeer nalatig geweest in hun beveiliging.
Dat had naar mijn mening ook de kop van het nieuws item moeten zijn en niet andersom!
Zou je ook zo reageren als het om een fysiek object gaat, bijvoorbeeld een vliegtuigkaping? Dat laat zien dat de luchtvaartbeveiliging niet optimaal is. Of een huis? Inbraakpreventie is goed, maar als die niet optimaal is, is het slachtoffer dan zelf schuldig? Dat soort 'ze had een te kort rokje'-redeneringen gaan gewoon niet op.

Misschien is het een domme fout van InHolland, misschien is het onverantwoord slecht beveiligd of gebrek aan expertise daarover in de organisatie. Ze zullen zich er vast op bezinnen, net zoals ik mij zou bezinnen op extra inbraakbeveiliging als er in mijn huis is ingebroken. Dat maakt dieven niet minder dief.
Ik heb ook nooit beweert dat dit de dief minder een dief maakt?
(sterker nog, ik heb gezegd dat ik het terecht vond dat deze jongen straf krijgt)
InHolland mag van geluk spreken dat deze jongen duidelijk nog de nodige ervaring mist.
Voor hetzelfde geld had hij z'n mond dicht gehouden en dergelijke gegevens aan derden doorverkocht.
Dan heb je nog een veel groter probleem.
De strafeis van het OM is daar ook naar.
Inderdaad, het was een veel groter probleem geweest als'ie er een soort van handel in die tentamens op na had gehouden, dat had ook veel meer impact gehad (denk aan het ongeldig verklaren van reeds gemaakte tentamens etc., dan heb je het al snel over een miljoenenschade). Maar dan was de persoon in kwestie ook een heel ander pad ingeslagen en was de strafeis heel anders uitgepakt.
Ik was het met je eens tot de laatste zin.

Een voorbeeld stellen impliceert dat deze persoon harder aangepakt wordt dan normaal om af te schrikken. Of dat het extra in de publiciteit zou moeten komen, anders is het immers geen voorbeeld. Beide houdt in dat hij extra gestraft wordt tov anderen die hetzelfde hebben gedaan.

Hij hoort bij een veroordelinig conform de normen veroordeeld te worden en zonder dat er extra publiciteit aan wordt gegeven.
Dan heb ik dat verkeerd opgeschreven: mijn bedoeling is niet dat de rechter hier éxtra moet straffen. Ik onderschrijf je laatste alinea. De publiciteit is echter voor een groot gedeelte niet afhankelijk van de rechters.
De voorbeeldstelling vloeit voort uit het straffen zelf. De afschrikwekkende werking van het straffen is juist een van de redenen van het bestaan van strafrecht.

Maar inderdaad, geen éxtra straffen en dus ook geen éxtra voorbeeldstelling.
Och, z'n mond voorbijpraten is inherent aan studenten volgensmij, net als klagen over hoe slecht de school is.

Hiervoor een voorbeeld stellen lijkt me juist een slecht plan. Ik geloof in de goedheid van de mens en dus denk ik dat hij de school probeerde te hacken omdat hij een mogelijkheid zag. Geef hem dus inderdaad maar die 120 uur taakstraf, hij moest immers ook al met z'n studie stoppen.
Zolang het hele verhaal niet op tafel ligt, zou ik helemaal niks doen qua vervolging, beschuldigingen of wat dan ook, ook niet richting InHolland.

Was InHolland overigens niet de instelling waar zowieso vanuit de organisatie zelf al gesjoemeld werd met o.a. diploma's enkele jaren terug?
InHolland is een zeer grote instelling met vele scholen op vele locaties.
Bij een paar van die scholen was een paar jaar geleden de druk om rooskleurige cijfers aan het hoofdkantoor te rapporteren zo groot dat er te makkelijk diploma's werden uitgereikt.
Hoewel dat niet positief is voor InHolland, geeft dat totaal niet aan hoe het met de beveiliging van de ICT is gesteld.
Wat de jongen deed mag niet, maar had ook niet mogelijk horen te zijn.

De vergelijking met een open deur is te makkelijk, want er is geen extra vaardigheid voor nodig. En overigens, onbevoegd gebruik maken van die open deur mag dan strafbaar zijn, over wie hem open liet denkt men toch "wat stom". Dus toch weer die twee aspecten van strafbaarheid en ontoereikende beveiliging.

Rekening houdend met het ontregelend effect van digitalisering op de maatschappij zou zowel de manier van straffen, als het gebruik maken van de expertise, waarover de jongen wellicht beschikt, daarop toegesneden kunnen worden. Want één van de huidige kenmerken van digitalisering is dat geïnteresseerde individuen niet zelden inventiever blijken te zijn dan de overgrote meerderheid van bedrijven die verantwoording voor veilige digitalisering op zich nemen.

Ik zou dus zeggen zowel straffen, als onderzoeken hoe inventief de bewuste persoon is - in feite of de maatschappij iets aan zijn kennis heeft - en op grond daarvan al dan niet zijn talenten honoreren, wat nog weer iets anders is dan belonen.
"Wat de jongen deed mag niet, maar had ook niet mogelijk horen te zijn."

Kun jij ons vertellen wat de jongen deed? Het is nogal makkelijk om te zeggen "had niet mogelijk horen te zijn" maar zolang je niet weet wat hij gedaan heeft is de conclusie "Wat de jongen deed mag niet, maar had ook niet mogelijk horen te zijn." wat mij tetreft te kort door de bocht.

Maar graag hoor ik van je wat hij gedaan heeft, dat zal een hoop ophelderen.
Wat de jongen deed mag niet, maar had ook niet mogelijk horen te zijn.
En dat geldt voor elke inbraak, digitaal of niet? Elk huis kan worden ingebroken en elke computer kan gehacked worden. Ik denk dat we daar onderhand wel achter zijn.

Het idee om hackers te belonen is geheel achterhaald. Geen werkgever neemt iemand in zijn veiligheidsteam op als die veroordeelt is voor dit soort dingen. Diegene is bewezen niet betrouwbaar.
en tevens aan theobril

Mijn stellingname in het zinnetje is gechargeerd, en dat maakt dat in dat opzicht jullie opmerkingen steekhouden, maar mijn oogmerk was om de tweeledigheid zo bondig mogelijk zichtbaar te maken, er ondertussen van uitgaand dat de lezer zou aannemen dat ik alle eerdere reacties had gelezen.

Ook ik ben benieuwd naar de feiten. Mijn reactie spruit voort uit de discussie over schuld of verdienste van de jongen, dus straf of beloning. Ik pleit voor een bredere kijk: straf èn honorering. De uitkomst van hoeveel van het een en hoeveel van het ander hangt af van de werkelijke gang van zaken, die we inderdaad nog niet weten, maar dat doet aan het principe niets af.

Het gedecideerdheid in het tweede stukje van de zin "maar had ook niet mogelijk horen te zijn" behelst iets, dat ik van de Tweakers heb geleerd. Zo gauw het gaat over een hack of een besmetting of iets dergelijks, kan het slachtoffer rekenen op kritische opmerkingen over het niveau van zijn beschermende maatregelen. Ik zal er eens op letten of daar ook complimenten tussen zitten. ;)
De rechter mag wat mij betreft een voorbeeld stellen hier mocht er voldoende bewijs zijn. :)
Is er wel bewijs?
RTV Rijnmond meldt dat de jongen 'te loslippig was tegen andere studenten'. Daardoor kwam de hogeschool achter zijn activiteiten en werd besloten de jongen te schorsen.
Zouden ze het ook ontdekt hebben, moest hij niet loslippig geweest zijn? Er moeten dan toch ergens loggegevens met zijn ip adres aanwezig moeten zijn. Als dat er niets is, had hij bij de ondervraging toch kunnen zeggen dat hij enkel stoer wou doen bij zijn vrienden en dat het allemaal niet waar was.
Is er wel bewijs?
Als jij denkt dat de rechter iemand straft zonder daarvoor bewijs te hebben, heb je een zeer zwarte kijk op onze rechtsstaat.
En als je een bekentenis doet terwijl er geen enkel bewijs is dat jij dit gedaan zou hebben?
Een rechter moet enkel de wet bewaken.. en overtreders bestraffen.
Het geeft inelk geval aan dat elk relativeringsvermogen of gevoel voor humor ontbreekt op die opleiding. Als ik me zou orienteren op een studie zou ik dat zeker meenemen.

Toen ik studeerde (eind jaren 80-begin 90) was men daar veel relaxter in. Ik heb een keer een systeembeheerder kwaad gekregen die trots beweerde dat hij alle gevaarlijke tools van de computers verwijderd had en dat we er nu niks meer aan konden verprutsen. Onverstandige opmerking... hij was debug vergeten te verwijderen, op 8086 systemen waar je harde schijven nog echt low level kon formatteren).
Hoezo? Er is toch sprake van een vertrouwensbreuk?
@oef! dat was toch zn studie .... dat jij als school, waar dit soort studies gegeven worden, je examen materiaal slecht beveiligd hebt opgeslagen valt ook wel iets over te zeggen :')
Rare reactie als je het mij vraagt.
Gaan we iedereen die met 200 km/u over de snelweg racet voortaan een contract bij een formule 1 team aanbieden?
Natuurlijk een gek voorbeeld, maar hij doet willens en wetens iets illegaals, niet vanuit een 'white hacker testen of het veilig is' belang, maar gewoon uit eigen belang (en om stoer te doen misschien?) en je wilt diegene belonen?
@ashketchum22 nee, de studie veiligheidskunde (integrale veiligheid) heeft niets met cybersecurity te maken. Beschrijving volgens inholland van de opleiding:
Denk aan een groot popconcert of een zeer drukke tentoonstelling, waarbij mensen moeten kunnen genieten zonder dat ze zich zorgen hoeven te maken over of alles wel goed verloopt. Houd je van organiseren, runnen, regelen en coördineren? Ga je graag met mensen om en vind je het leuk ze te ondersteunen en waar nodig te helpen? Dan is de opleiding Integrale Veiligheid iets voor jou.
Nou ik zie toch wel een hoop cypersecurity kanten aan de beveiliging van grote evenementen.

Ticketverkoop (en checks op echtheid), radiocommunicatie, CCTV, toegangspoortjes tot afgesloten stukken, metingen van aantal bezoekers.. Allemaal zaken die tegenwoordig digitaal gaan en zwakke schakels kunnen hebben. Ik zeg niet dat zo'n coordinator daar volledig verstand van moet hebben (veel zaken worden door toeleveranciers geregeld) maar een beetje inzicht in de basis van cybersecurity zoals bijvoorbeeld een goed wachtwoordbeleid en hoe je gestolen porto's blokkeert e.d. lijkt me wel een vereiste. Zeker als je de eindverantwoordelijkheid hebt moet je er toch ook op toe kunnen zien dat je toeleveranciers goed bezig zijn.

[Reactie gewijzigd door GekkePrutser op 28 februari 2017 17:55]

Het is niet omdat ik mijn voordeur open laat dat jij mijn huis mag leegroven om mij te tonen dat dat fout is. Deze jonge man heeft wetten overtreden om vals te kunnen spelen. Dat moet je niet belonen.
ik zeg ook niet dat het niet fout is, maar dat houdt niet in dat je bij zo'n school toch op zn minst verwacht dat de beveiliging van dit soort documenten subliem is.
Maar als iemand een briefje in je keuken neerlegt met "ik zou voortaan de deur maar sluiten" hoef je ook niet meteen naar de politie te rennen.
Waar lees je dat de het examen materiaal slecht beveiligd is opgeslagen? Zowel in het artikel van Tweakers als in het bron artikel wordt niet gesproken over zijn werkwijze.

Als hij de tentamens van een open FTP server af heeft gehaald zou je van slechte beveiliging kunnen spreken, echter wanneer er specifiek malware geschreven is en naar een specifieke medewerker is gestuurd, dan kun je het de hogeschool niet kwalijk nemen dat dit gelukt is. Dit zou namelijk bij een groot aantal organisaties werken, zelfs als ze een bovengemiddeld goede beveiliging hebben. Persoonlijk vind ik airgapped machines om tentamens op te maken ook wat paranoide.

Beveiliging is altijd de afweging tussen kosten, werkbaarheid en veiligheid. Er is niet uit dit artikel op te maken dat hierin een verkeerde afweging is gemaakt.
De jongen had (hopelijk) een beloning gekregen, als hij dit lek had gemeld bij de IT afdeling van de school, of misschien bij een betrouwbare nieuws organisatie. Echter heeft hij dit niet gedaan, maar is hij gaan rondbazuinen over zijn kunde en verkregen informatie. Mogelijk is deze ook gedeeld met derden. Dat is niet de juiste aanpak.

Ik vind een schorsing en de straf zelf misschien nog iets hoog, maar op 22 ben je prima volwassen om de afweging te maken. Accepteer dan ook de gevolgen van je acties.
"als hij dit lek had gemeld bij.."Nogmaals: hoe weet je dat het een lek is? Wat weten tweakers toch veel wat andere mensen niet weten en wat ook niet in het artikel staat.
Een datalek is een heel breed begrip die zeker van toepassing is in dit verhaal. Of het middels een hack of social engineering heeft plaatsgevonden is niet eens relevant - beide vallen onder de definitie: "In de meeste gevallen gaat het om uitgelekte computerbestanden, al kan een gestolen geprinte klantenlijst evengoed een datalek vormen.
Andere voorbeelden: cyberaanvallen (incl. DDos), e-mail verzonden naar verkeerde adressen, gestolen laptops, afgedankte niet-schoongemaakte computers en verloren usb-sticks."
Keyloggers? Is met gebruik daarvan inloggegevens ontfutselen volgens jou ook een datalek? Dan hebben wij overduidelijk een ander idee van datalek.
Voor de duidelijkheid, dit is niet "mijn" definitie, dit is de wettelijke definitie. De methode is niet relevant, het type data is waar het om gaat.
in geval van een keylogger had hij dus zelf een keylogger moeten plaatsen en vervolgens moeten melden dat het hem gelukt was met een keylogger passwords te verkrijgen? "als hij dit lek had gemeld bij.."
Dat is als de persoon die zojuist bij je ingebroken heeft vragen om je te helpen een nieuw slot op je voordeur te plaatsen. Mocht je zo stom zijn, dan zou ik toch echt het aantal reservesleutels even tellen. Sowieso, sinds wanneer moet illegaal gedrag beloond worden? Echt van de zotte.
Juist ja, dus jij vraagt een inbreker die bij jou thuis de boel leegroofd ook of die even terug kan komen om te helpen met jouw huis te beveiligen.... think again...
Als het zijn eerste veroordeling zou zijn, dan kan je de straf nog omzetten naar iets positiefs.
Maar dit is niet de eerste keer, dus hards leers en straffen maar.
Waarschijnlijk is dit zijn eerste strafbare feit met meerdere hackpogingen. Staat nergens vermeld dat deze student al eens eerder is veroordeeld.
"een" Rotterdammer, niet "de" Rotterdammer, dus een ander persoon naar alle waarschijnlijkheid.
Daar staat dat er toen "EEN" Rotterdammer werd veroordeeld, niet dat het om dezelfde persoon gaat.
niet heel slim natuurlijk exames jatten en vervolgens opscheppen . Maar zou zeggen bied die jongen een baan aan als ethical hacker
zeker niet slim.. Moet ie zich toch ook eerst ethisch weten te gedragen..
Precies je laat een dief je huis ook niet bewaken toch?
Maar zou zeggen bied die jongen een baan aan als ethical hacker
Want hij is zo ethisch bezig geweest? :z
Toetsen van je school jatten ipv netjes te melden dat de beveiliging niet op orde is is natuurlijk niet heel ethisch he.
niet heel slim natuurlijk exames jatten en vervolgens opscheppen .
Niet slim, maar ooooh zo typisch. De meeste hackers vallen zo door de mand. Blijkbaar is zo iets stilhouden, moeilijk voor een mens.
Weinig ethisch aan het stelen van examens voor eigen gewin.

Als ie echt iets van zijn studie had opgestoken had hij het netjes gemeld.

De school heeft M.I. volledig correct gehandeld door hem van de opleiding te schoppen.
Het feit dat hij het school netwerk heeft gehackt en examens heeft gestolen valt hij al buiten de boot als ethical hacker, die had dat namelijk nooit gedaan. Mooi dat die van zn opleiding gekicked is, kan geen medelijden hebben met deze jongen, hij wist wat hij deed, en nou moet die de gevolgen er maar van ondervinden.
''veiligheidskunde'' Er is niks beters dan de veiligheid van je school testen niet waar?
Ik neem aan dat je op zo'n studie ook iets leert over responsible disclosure...
Dan moet je het wel meteen melden en niets met de informatie doen die je hebt gezien.
Opmerkelijk dat een student veiligheidskunde zijn studie toepast op zijn opleiding. Ook opmerkelijk dat de school de beveiliging van de studie veiligheidskunde niet op orde had. En hadden ze dat wel, dan had deze student niet kunnen hacken en nooit bij de tentamens kunnen komen waardoor hij ook niet zijn opleiding had moeten beëindigen. Ook zou hij dan niet voor de rechter gedaagd zijn geweest. Allemaal omdat InHolland het heeft nagelaten de beveiliging van tentamen documenten correct te beveiligen. Natuurlijk was het stout van deze student maar is het wel eerlijk om deze student zo hard te straffen omdat ie door de nalatigheid van de school bij de tentamens heeft kunnen komen?

Een goed gesprek en een verklaring laten tekenen waarin hij belooft nooit meer misbruik te maken van eventuele gebreken in de beveiliging van de IT van de opleiding veiligheidskunde zou afdoende moeten zijn. 120 uur taakstraf en uitsluiting van de opleiding is te zwaar als straf.
De studie veiligheidskunde (integrale veiligheid) heeft niets met cybersecurity te maken. Beschrijving volgens inholland van de opleiding:
Denk aan een groot popconcert of een zeer drukke tentoonstelling, waarbij mensen moeten kunnen genieten zonder dat ze zich zorgen hoeven te maken over of alles wel goed verloopt. Houd je van organiseren, runnen, regelen en coördineren? Ga je graag met mensen om en vind je het leuk ze te ondersteunen en waar nodig te helpen? Dan is de opleiding Integrale Veiligheid iets voor jou.

[Reactie gewijzigd door Puc van S. op 28 februari 2017 14:08]

Beste Xellence: hoe weet je dat de beveiliging niet op orde was? Het is een onderwijsinstelling, niet ford Knox. Zo lang je niet weet hoe hij de beveiliging omzeild heeft, is het wat mij betreft te vroeg om te stellen dat de beveiliging niet deugt. Er rijdt iemand met een vrachtauto een kerstmarkt op dus de beveiliging van de kerstmarkt deugt niet? Blikbaar, want het is gelukt dus de beveiliging deugt niet en bij ford Knox zou dit nooit gelukt zijn dus hadden ze het maar net zo moeten beveiligen als eerdergenoemd ford en de beveiliging van Inholland deugt niet. Zoiets?
Het hacken zelf had niet bestraft gemoeten mits hij het aan de leiding had aangegeven, dat hij vervolgens tentamens steelt is hartstikke slecht en moet gewoon zwaar bestraft worden.

Dat hij vervolgens het tegen zijn medestudenten uitlekte is helemaal dom, als je je school hackt had je wel beter moeten weten lijkt mij!
Het hacken zelf moet wel degelijk bestaft worden. Misschien alleen voorwaardelijk maar wel het is iets onwenselijks, strafbaars dat we niet willen aanmoedigen dus een straf is passend.
Vandaar dat ik ook zeg dat het dan wel aangegeven moet worden aan de beheerders/leiding.
Ach, fraude, bedrog, opschepperij... ik denk dat hij al klaar is voor de echte professionele wereld waar dit alledaagse kost is. De bedoeling van een school is studenten klaarstomen op die wereld.
Als je 'white hacker' wilt zijn heb je toch nog je ethiek. Ga je niet dat soort stomme/domme/illegale dingen doen en houd je je mond. Hij heeft hier al bewezen dat hij dat niet kan. Straffen dus, zoals iedereen die zulke dingen doet ;)
quote: 'Volgens de school zouden er vaker hackpogingen ondernomen worden. Daarom zijn er nu aanvullende beveiligingsmaatregelen genomen."

En dat gebeurde niet al na de eerste keer? Lijkt mij toch een vrij kwalijke zaak. Volgens mij moeten ze naar mijn idee vaker gewoon een audit doen van een security.
Dit is geen hackpoging, het is namelijk gelukt...

Ik zou op zijn vingers slagen en zijn jaren laten overdoen dat hij al gedaan heeft (want die kunnen allemaal vals zijn), maar hem van het school smijten is er toch wat over...
De school is gewoon wat in hun gat gebeten voor een probleem dat aan HUN ligt (hun veiligheid)


Maar de verantowordelijkheid bij de student alleen zetten is te hard.

Iedereen maakt fouten tijdens zijn studententijd

Admin-edit:Opmerkingen over moderaties horen thuis in Frontpagemoderatie.

[Reactie gewijzigd door Bor op 3 maart 2017 10:40]

Net zoals een huis verantwoordelijk is voor de inbraak? Domme opmerking |:(
Als de bewoner van het huis de deur niet goed op slot doet, ligt het aan de bewoner, niet het huis. In dit geval dus om een systeem (=huis) en degene die dat beheerd (=bewoner).
Als de deur niet op slot is kan het per definitie geen inbraak zijn, de braak zal ontbreken. :+

Bij inbraak breek je namelijk iets open om het binnen te dringen. Zonder de braak is het huisvredebreuk/insluiping.

Overigens als je alleen de deur openbreekt en niet naar binnen gaat is het ook geen inbraak, maar vernieling.

En om nog verder te gaan: inbraak != diefstal. Als je iets meeneemt is het diestal met braak (een verzwarende omstandigheid).

Als je een valse sleutel hebt, is het ook geen braak.

[Reactie gewijzigd door Omega Supreme op 28 februari 2017 14:45]

Als de bewoner van het huis de deur niet goed op slot doet, ligt het aan de bewoner, niet het huis. In dit geval dus om een systeem (=huis) en degene die dat beheerd (=bewoner).
Ben ik niet met je eens, dat ik de deur niet op slot draai is nog geen uitnodiging voor anderen om binnen te komen en mijn spullen mee te nemen. Als je er zo over denkt praat je feitelijk alle misdaad goed, want iemand die bestolen wordt had betere sloten moeten aanschaffen, iemand die neergestoken wordt had niet in het donker over straat moeten lopen en iemand die voor zijn donder geschoten wordt had maar niet zonder kogelwerend vest moeten rondlopen. Het is toch van de zotte dat steeds vaker de schuld bij het slachtoffer wordt neergegooid? |:( 8)7
Het is vreemd maar zo gaat dat ook volgens de wet, dat noemt namelijk aanleiding geven / uitlokken (in de val lokken mag daardoor ook niet / honeypots)
-1 is voor offtopic zaken, leer het gebruiken ...
Leg je het andere mensen uit, terwijl je het zelf niet eens weet! 8)7
En lees alsjeblieft je reacties terug voordat je ze post...
Heeft hij er ook iets mee gedaan? Zo niet dan vind ik het een beetje extreem, maar hij had het wel ook aan moeten geven though!..
Toch is het niet goed wat hij gedaan heeft. Je leert immers "veiligheidskunde". Wat hij had moeten doen dus is dit netjes aankaarten en vervolgens er een aantal studiepunten mee verdienen. Geen examens lopen stelen en vervolgens opscheppen. Dat is geen ethische hacker, maar een loser aka prutser. Geen wonder dat hij naar de reclassering moet, zijn instelling is verkeerd. Dit had ie juist super in zijn voordeel kunnen laten werken.

[Reactie gewijzigd door FlyEragon op 28 februari 2017 13:53]

Als ik op HBO Veiligheidskunde zoek:

"Met een diploma veiligheidskunde kun je aan de slag als beleidsmedewerker, preventiemedewerker of coördinator. Dit kan zowel in het bedrijfsleven als in de non-profitsector. Het is voor veiligheidskundigen niet makkelijk om een baan te vinden. Zij moeten vaak lang zoeken en als zij een baan vinden is deze vaak niet op hbo-niveau. Het salaris is meestal wel redelijk. Weinig afgestudeerden zijn blij met hun startpositie. Veel studeren dan ook nog door. Dit lijkt verstandig gezien de langzaam verbeterende prognoses."

Waarom bieden we in godsnaam dit soort studies (IMHO is alleen een studie op een universiteit een studie) aan ?

Ja ze zijn van de straat.... maar wel in de WW straks.
In de WW kom je alleen als je voorafgaand aan je werkloosheid een bepaalde periode gewerkt hebt. Studie telt niet als werk. Dit klinkt inderdaad als de HBO variant van beveiliger, erg veel vraag zie ik daar ook niet in.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*