Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Crackas With Attitude-lid krijgt twee jaar gevangenisstraf in VS

Een 23-jarig lid van de groep Crackas With Attitude heeft twee jaar celstraf gekregen in de Verenigde Staten. Hij is veroordeeld voor het inzetten van onder meer social engineering om toegang te krijgen tot accounts van hooggeplaatste overheidsfunctionarissen.

Het Amerikaanse ministerie van Justitie meldt dat de veroordeelde, die ook wel bekendstond als Incursio, op 10 januari zijn schuld heeft bekend met een zogenaamde plea agreement. Hij maakte samen met een andere man, onder meer bekend als D3f4ult, deel uit van de groep Crackas With Attitude. De twee werden vorig jaar opgepakt. D3f4ult bekende op 6 januari en wacht nog op zijn straf, die op 28 juli wordt uitgesproken.

De veroordeling geldt voor verschillende misdrijven, waaronder het toegang verkrijgen tot de accounts van de functionarissen, hun families en tot computersystemen van de overheid. De veroordeelde heeft bovendien namen en contactinformatie van tienduizenden medewerkers van de ministeries van Justitie en Binnenlandse Veiligheid gepubliceerd, aldus het bericht.

De mededeling maakt geen vermelding van de precieze doelwitten van de twee veroordeelden. Crackas With Attitude claimde eerder toegang te hebben tot verschillende accounts van James Clapper, het hoofd van de Amerikaanse inlichtingendiensten. Dit werd vorig jaar bekend. Ook hadden ze toegang tot de Yahoo-account van Clappers vrouw en hadden ze zijn telefoonnummer doorgeschakeld naar een mensenrechtenorganisatie.

Daarvoor bleken leden van de groep ook toegang te hebben gehad tot het AOL-e-mailacount van CIA-topman John Brennan. Later kwam naar voren dat ze ook inzage hadden verkregen in informatie over arrestanten en mogelijke terroristische activiteiten.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Sander van Voorst

Nieuwsredacteur

Feedback • 03-07-2017 13:0036

03-07-2017 • 13:00

36 Linkedin Google+

Lees meer

18-jarige Brit krijgt twee jaar celstraf voor hack op accounts ex-CIA-hoofd Nieuws van 20 april 2018
FBI arresteert twee vermeende leden Crackas With Attitude Nieuws van 9 september 2016
Britse politie arresteert tiener voor hacken Amerikaanse veiligheidsdiensten Nieuws van 12 februari 2016
Tiener had toegang tot accounts van topman Amerikaanse inlichtingendiensten Nieuws van 13 januari 2016
CIA-hackers stalen ook gegevens van arrestanten en terroristen Nieuws van 7 november 2015
Tieners claimen toegang te hebben gehad tot privémailbox van CIA-directeur Nieuws van 20 oktober 2015
Meer producten en artikelen
Politiek en recht Netwerk en systeembeheer Verenigde staten

Reacties (36)

-Moderatie-faq
-136036+124+24+30Ongemodereerd3
Wijzig sortering
+1Overlord2305
3 juli 2017 13:24
Lijkt mij dat ze hier compleet de verkeerde hebben veroordeeld. De functionarissen zouden op hun kop moeten krijgen (en flink ook) dat ze hun spul zo slecht hebben beveiligt dat een groepje twintigers er door middel van social engineering, zijn ingekomen.
Ik zeg niet dat ze een medaille zouden moeten krijgen maar het lijkt mij toch juist dat je dit soort mensen zou willen inhuren als security advisors of weet ik veel wat zodat je niet weer zo'n beveiligings probleem hebt IPV dat je ze in de bak gooit voor wat in essentie gewoon een non-crime is.

[Reactie gewijzigd door Overlord2305 op 3 juli 2017 13:25]

+2The Zep Man

@Overlord23053 juli 2017 13:29
Ik zeg niet dat ze een medaille zouden moeten krijgen maar het lijkt mij toch juist dat je dit soort mensen zou willen inhuren als security advisors of weet ik veel wat zodat je niet weer zo'n beveiligings probleem hebt IPV dat je ze in de bak gooit voor wat in essentie gewoon een non-crime is.
Uit het artikel:
De veroordeling geldt voor verschillende misdrijven, waaronder het toegang verkrijgen tot de accounts van de functionarissen, hun families en tot computersystemen van de overheid. De veroordeelde heeft bovendien namen en contactinformatie van tienduizenden medewerkers van de ministeries van Justitie en Binnenlandse Veiligheid gepubliceerd, aldus het bericht.
Dat is het voornaamste waarop ze hem pakken en waarom hij zich niet kan beroepen op dat hij de beste bedoelingen had.

Als gray hat hacker (immers: geen toestemming) moet je ontzettend oppassen met de acties die je verricht als die terug traceerbaar zijn naar jezelf. Eén actie die op papier illegaal is en die je niet in redelijkheid en billijkheid kan verklaren, en ze hebben je. Je krijgt vervolgens alle schuld toegewezen. Neem de eerste zin:
De veroordeling geldt voor verschillende misdrijven, waaronder het toegang verkrijgen tot de accounts van de functionarissen, hun families en tot computersystemen van de overheid.
Hiermee zou je nog weg kunnen komen in een land met rechtsspraak gebaseerd op redelijkheid en billijkheid, mits je het minimale doet om de hack duidelijk te maken en de betrokken partijen hiervan op de hoogte stelt. Als de betrokken partijen niets doen, dan zou je naar de pers kunnen stappen. Nog steeds is het dan niet te verantwoorden om gegevens verkregen via de hack te vernietigen, te wijzigen of te publiceren.

En als je in een land bent waar redelijkheid en billijkheid minder spelen dan moet je je houden aan de letter van de wet of anoniem en ontraceerbaar te werk gaan, zeker als je hooggeplaatste overheidsfunctionarissen het gevoel geeft dat ze in het ootje zijn genomen.

[Reactie gewijzigd door The Zep Man op 3 juli 2017 14:07]

+2MSalters

@The Zep Man3 juli 2017 18:44
Hiermee zou je nog weg kunnen komen in een land met rechtsspraak gebaseerd op redelijkheid en billijkheid
Het gaat hier over strafrecht, niet over civielrecht (contracten tussen twee partijen). "Redelijkheid en billijkheid" hoort bij het laatste. In het strafrecht heb je andere andere principes, zoals "wettig en overtuigend bewezen" en op z'n Amerikaans "You've got the right to be silent. Anything you say can and will be used against you".

Fundamenteler is het probleem dat je een "grey hat hacker" probeert te verdedigen. Zelfs de white hat handelt in strijd met de wet. Een white hacker kan echter aanvoeren dat hij niet in z'n eigen belang handelt, maar uitsluitend om een groot maatschappelijk belang te dienen. Dat is nog geen waterdichte verdediging, want het basisprincipe blijft dat de wet geld voor iedereen. Een grey hacker die zich niet kan beroepen op schone handen kan die verdediging niet gebruiken.
+2Tribits
@MSalters3 juli 2017 23:52
[...]

Het gaat hier over strafrecht, niet over civielrecht (contracten tussen twee partijen). "Redelijkheid en billijkheid" hoort bij het laatste. In het strafrecht heb je andere andere principes, zoals "wettig en overtuigend bewezen" en op z'n Amerikaans "You've got the right to be silent. Anything you say can and will be used against you".
Dat slaat alleen maar op het grondrecht dat een verdachte niet aan zijn eigen veroordeling mee hoeft te werken. Wettig en overtuigend wordt voornamelijk afgedekt door de voorwaarde dat het bewijs 'beyond a reasonable doubt' moet zijn. Redelijkheid en billijkheid zijn overigens niet per definitie termen die per definitie alleen in het civielrecht gebruikt worden.

White hat hackers kunnen in Nederland volledig volgens de wet handelen, alleen zitten daar wel behoorlijk wat voorwaarden aan. Zodra je de vrijheid neemt om een paar records meer te bekijken dan strikt noodzakelijk is ben je al geen white hat meer. En dat grijze gebied is iets dat de wet niet dus geen enkele grey hat kan zich in de praktijk op zijn onschuld beroepen.
+1CMD-Snake
@Overlord23053 juli 2017 13:53
Lijkt mij dat ze hier compleet de verkeerde hebben veroordeeld. De functionarissen zouden op hun kop moeten krijgen (en flink ook) dat ze hun spul zo slecht hebben beveiligt dat een groepje twintigers er door middel van social engineering, zijn ingekomen.
Als we deze lijn doortrekken kan een inbreker ook vrijgesproken worden, want had jij maar een beter slot op je voordeur moeten doen. Of een beter alarm kopen voor je auto. Of ouderen die vallen voor een babbeltruc hadden ook maar scherper moeten zijn dat het oplichting betrof.

Hoe goed of slecht beveiliging is maakt niet dat wat deze gasten hebben gedaan minder illegaal is.
Ik zeg niet dat ze een medaille zouden moeten krijgen maar het lijkt mij toch juist dat je dit soort mensen zou willen inhuren als security advisors of weet ik veel wat zodat je niet weer zo'n beveiligings probleem hebt IPV dat je ze in de bak gooit voor wat in essentie gewoon een non-crime is.
Dat oude argument weer. Nee, deze jongens moeten niet beloond worden met een baantje. Ze moeten hun straf uitzitten, ze hebben een misdaad begaan. Op deze manier kunnen we elke crimineel belonen met een baan. Bovendien, het is niet alsof de hack heel hoogstaand is geweest. Social engineering kan vrijwel iedereen met een gladde babbel.
+1micla
@CMD-Snake3 juli 2017 16:12
[
Als we deze lijn doortrekken kan een inbreker ook vrijgesproken worden, want had jij maar een beter slot op je voordeur moeten doen. Of een beter alarm kopen voor je auto. Of ouderen die vallen voor een babbeltruc hadden ook maar scherper moeten zijn dat het oplichting betrof.
Maar die lijn is natuurlijk niet op die manier door te trekken; als jou huis/auto leeggeroofd wordt en nadien blijkt dat je deze zelf niet goed ( voldoende ) had (af)gesloten, krijg je ook gewoon 0 op het rekest van de verzekeraar. Oftewel; je mag zelf op de blaren zitten. Dat mag wat mij betreft bij functionarissen die hen werk niet goed doen ook gewoon...
+2Blokker_1999

@micla3 juli 2017 17:01
Maar maakt dat dat de dief alsnog geen schuld treft voor de diefstal? Dat de verzekering moeilijk gaat doen wil ik je nog meegeven, maar daarom is de dief niet minder in fout. Hier speelt net hetzelfde. Daarnaast is social engineering niet zomaar iets waar je je met wat software tegen kunt beveiligen. Met procedures kan je al veel afvangen, maar ook weer niet alles.
+1CMD-Snake
@micla3 juli 2017 20:56
Maar die lijn is natuurlijk niet op die manier door te trekken; als jou huis/auto leeggeroofd wordt en nadien blijkt dat je deze zelf niet goed ( voldoende ) had (af)gesloten, krijg je ook gewoon 0 op het rekest van de verzekeraar.
Ik heb het niet over verzekeringen, maar over strafbaar zijn in de ogen van de wet. Als ik de sleutels in het contact van mijn auto laat zitten zal de verzekering niet blij worden, maar als iemand die auto meeneemt is en blijft het diefstal. Daar wordt geen korting gegeven als het te makkelijk was.
0micla
@CMD-Snake3 juli 2017 23:02
Ik heb ook nergens gezegd dat ik vind dat je dan niet strafbaar zou zijn. Ik geef enkel aan dat de schuld niet altijd eenzijdig is. Niet meer en niet minder..
+1MartijnHavinga
@Overlord23053 juli 2017 13:28
Wie zegt dat er niet "stevig gesproken" is met de desbetreffende functionarissen?
Inbreken is 1, als je dingen daadwerkelijk gaat aanpassen / lekken / etc. ben je geen whitehat meer.
0bonus
@MartijnHavinga3 juli 2017 15:08
Ik denk dat er dan ook wel een straf op zijn plaats zou zijn voor de desbetreffende functionarissen en dat mag dan ook best publiekelijk worden gemaakt.
Als waarschuwing voor andere en om te laten zien dat het mes aan 2 kanten snijdt.

[Reactie gewijzigd door bonus op 3 juli 2017 15:10]

+1kazz1980
@Overlord23053 juli 2017 15:11
Het maakt niet uit hoe lek beveiliging is, je hebt met je jatten van andermans spullen af te blijven....
Als jij je voordeur open laat staan mag een dief nog altijd je huis niet leeghalen... En hadden ze het met goede bedoelingen gedaan en netjes bij de autoriteiten melding gemaakt van het lek, dan was er wellicht nooit rukbaarheid aan gegeven en hadden ze een bedankje ontvangen en wie weet een baan.
Door zichzelf illegaal toegang te verschaffen én de verkregen informatie vervolgens wereldkundig te maken zijn ze echt te ver gegaan en is de veroordeling dus geheel terecht.
+1zwoerdkop
@Overlord23053 juli 2017 17:00
"Lijkt mij dat ze hier compleet de verkeerde hebben veroordeeld. De functionarissen zouden op hun kop moeten krijgen (en flink ook) dat ze hun spul zo slecht hebben beveiligt dat een groepje twintigers er door middel van social engineering, zijn ingekomen."

Hackers zijn in de ogen van de tweakende libertariërs altijd de held. Altijd. Functionarissen, zij die het vermaledijde gezag vertegenwoordigen, zijn altijd degene die veroordeeld moeten worden. Altijd.

Hoe zit het met de zelfreflectie van tweakende libertariërs? Welke psycholoog ontrafelt dat even in een minuutje? En is het niet eens tijd geworden om dit verschijnsel een naam te geven?

[Reactie gewijzigd door zwoerdkop op 3 juli 2017 17:02]

0tigermonk
@Overlord23053 juli 2017 17:28
Lijkt mij dat ze hier compleet de verkeerde hebben veroordeeld. De functionarissen zouden op hun kop moeten krijgen (en flink ook)

functionaris: '(hogere) ambtenaar in overheidsdienst' en 'iemand met een hoge functie in een politieke partij'

^ als je dit zou lezen.. wat denk je dan werkelijk wat deze mensen te horen krijgen: goh dat was niet zo'n handige actie (...) volgende x niet meer doen hoor want dat is wel 'een beetje dom'

nope.. deze mensen treft geen blaam..

als ze hoog genoeg in het systeem zitten (en daar gaan we bij deze partij dan maar even vanuit) dan zullen ze daar niks over horen of lezen in welk artikel dan ook.
die mensen zijn bijna onaantastbaar dus van dit soort 'kleine' dingen (wachtwoord verlullen dmv social engeneering) krijgt iig de hoge piet geen aantekening op zn eindejaars rapport.

dat is 1 ding wat zeker is.
0MSalters

@tigermonk3 juli 2017 18:51
Vergeet niet, de top is een pyramide: 1 punt (in de VS, de president), daaronder een kleine laag en daaronder steeds grotere groepen. De kans op promotie is redelijk verkeken als je dit soort blunders uithaalt. Je "rapport" aan het einde van het jaar is nooit formeel, maar diegene die beslist over promotie slaat je stilletjes over. En als 4 jaar later alle posities opnieuw ingevuld worden, dan heb je een goede kans dat je zelfs je huidige positie kwijtraakt - weinig baanzekerheid aan de top.
0tigermonk
@MSalters3 juli 2017 21:19
hangt nogmaar net af hoe 'hoog' je in die top zit..

als jij het over een piramide hebt..

dan zal ik maar niet beginnen over de absolute top waar als je daar eenmaal zit je gewoon onschendbaar bent ;) #illuminatieenzoietsofzo xD
0Gamebuster
3 juli 2017 13:03
Overheidssystemen worden pas veilig wanneer de verantwoordelijke personen voor het behouden van IT veiligheid worden vastgezet bij grove nalatigheid, net zoals de daders.

[Reactie gewijzigd door Gamebuster op 3 juli 2017 13:04]

+1Grauw
@Gamebuster3 juli 2017 13:07
Je kan de boel beveiligen zoveel je wil, maar uiteindelijk blijft de mens over als zwakste schakel. En dat wordt deze hacker dus verweten, dat hij social engineering heeft toegepast om binnen te komen.

[Reactie gewijzigd door Grauw op 3 juli 2017 13:08]

+1Gamebuster
@Grauw3 juli 2017 13:12
Bij "social engineering" zijn er 2 daders: De hacker die een persoon misleidt, en een persoon die erin trapt. Bij grove nalatigheid moet daar dus op gestraft worden, of die gegevens moeten niet toegankelijk zijn voor de persoon.

[Reactie gewijzigd door Gamebuster op 3 juli 2017 13:12]

+1Grauw
@Gamebuster3 juli 2017 13:13
Nee, er is een dader en een slachtoffer. Je kan niet iemand grove nalatigheid verwijten omdat die door social engineering misleid wordt.

[Reactie gewijzigd door Grauw op 3 juli 2017 13:14]

+1themac1983
@Grauw3 juli 2017 13:18
Is een beetje een "per geval" dingetje lijkt mij,

Als ik jouw een mailtje stuur, dat ik de salaris administratie van jouw bedrijf nodig heb, neem ik aan dat je deze niet geeft, ook al beweer ik van de belastingdienst te zijn. Doe je dat wel, dan kan dat best als nalatigheid gezien worden.

Maar er zijn veel subtielere manieren van social engineering, waar je het iemand inderdaad niet heel kwalijk kunt nemen dat ze erin trappen.

Maar die laatste zin, daaruit blijkt dus dat iemand geheime informatie op zijn AOL mail account had,..... Als dat geen nalatigheid is, weet ik het ook niet meer.
+1MartijnHavinga
@themac19833 juli 2017 13:31
Dat wordt nergens vermeld. In een van de gelinkte artikels staat dat ze toegang kregen tot een dataportal met die gegevens. Wellicht gebruikte iemand hetzelfde wachtwoord voor meerdere accounts, maar dat de gegevens op een AOL mail account beschikbaar waren staat nergens.
0Grauw
@themac19833 juli 2017 13:29
Precies, per geval. Er kan natuurlijk inderdaad van nalatigheid sprake zijn, maar alleen het feit dat je misleid wordt is dat echt niet.

Overigens weet ik niet veel van deze zaak af, maar volgens mij staat er nergens dat er geheime info op zijn AOL-account stond. Alleen dat de hackers zich er toegang tot hadden verschaft. Als ik op de "kwam"-link klik blijkt daaruit dat de geheime informatie later via een dataportal is verkregen.

[Reactie gewijzigd door Grauw op 3 juli 2017 13:32]

0Gamebuster
@Grauw3 juli 2017 13:15
Maar wel dat het mogelijk is. Waarom staan er overheidsgegevens in dat Yahoo account?
+1xxxneoxxx
@Gamebuster3 juli 2017 14:28
Misschien/waarschijnlijk een gevalletje zelfde credentials gebruikt. Aangezien AOL en Yahoo in het verleden beide slachtoffer zijn geworden van een hack waarbij usernames + passwords uitgelekt zijn..

100% zeker weet je het nooit, maar zoiets zou mij niet verbazen in ieder geval. Tegenwoordig is een slecht afgeschermd facebook profiel al genoeg om bij een groot gedeelte van de bevolking met ene beetje proberen tot een werkend wachtwoord te komen op basis van de informatie daar.
+1Jorgen
@Gamebuster3 juli 2017 13:19
Sorry, maar als jij voor de gek gehouden wordt, ben je dan ook een dader? Volgens mij ben je dan slachtoffer. Nalatig? Misschien. Naief of goedgelovig? Zeker. Maar een dader? Vind ik wel een vergaande stelling.
+1falconhunter

@Gamebuster3 juli 2017 13:12
Overheidssystemen worden pas veilig wanneer de verantwoordelijke personen voor het behouden van IT veiligheid worden vastgezet bij grove nalatigheid, net zoals de daders.
Is dat dus diegene die gevallen is voor social engineering? (daar gaat het hier over) Dan mogen we wel snel gevangenissen gaan bouwen want het merendeel van de mensen is daarvoor vatbaar. Of de IT manager en alle manager daarboven? Nemen we de aandeelhouders ook meteen mee omdat die wellicht aangedrongen hebben tot verlaging van de IT kosten?

[Reactie gewijzigd door falconhunter op 3 juli 2017 13:13]

+1Gamebuster
@falconhunter3 juli 2017 13:15
Ik heb het overigens enkel over "Grove Nalatigheid".

Stel, jij download een dump van vertrouwelijke overheidsgegevens en mailt deze naar je prive mail. Vervolgens wordt jouw prive mail gehackt via social engineering, dan vind ik dat grove nalatigheid.

Niet meteen in het gevang, maar je moet er ook niet zonder kleerscheuren vanaf komen.
+1.oisyn

@Gamebuster3 juli 2017 14:44
Niemand zegt ook dat dat niet het geval is. Als jij grove nalatigheid vertoont kun je gewoon aangeklaagd worden. Het punt is dat je stelling gewoonweg niet klopt: het is niet plots ineens veilig als je ernaar handelt.
+1BillyTheClit
@Gamebuster3 juli 2017 13:14
Dacht ik niet: je gaat gewoon niemand meer vinden die de verantwoordelijkheid nog gaat willen dragen. Daardoor worden de systemen erg onveilig.
+1Gamebuster
@BillyTheClit3 juli 2017 13:17
Jawel hoor. Mensen die specialisten zijn in hun vak, overheidsdata serieus nemen en het niet mogelijk maken dat door fout van 1 persoon gevoelige data lekt. Uiteraard krijg je daar ook wat meer centjes voor.

Ook heb ik het over grove nalatigheid. Als jij je best hebt gedaan wat je realistisch kan verwachten, en je alsnog gehackt wordt: So be it. Maar wanneer je "overheidsgegevens.xls" in je prive Yahoo hebt staan met wachtwoord "123456", dan mag je echt wel even over de pijnbank

[Reactie gewijzigd door Gamebuster op 3 juli 2017 13:18]

0bArAbAtsbB
@Gamebuster3 juli 2017 13:05
een AOL en Yahoo emailadressen...zijn natuurlijk geen overheidssytemen!
0Gamebuster
@bArAbAtsbB3 juli 2017 13:12
Wel als je er overheidszaken mee doet. Opnieuw, grove nalatigheid

[Reactie gewijzigd door Gamebuster op 3 juli 2017 13:13]

0bArAbAtsbB
@Gamebuster3 juli 2017 13:28
maar dat staar er dus niet!
+1bazkie_botsauto
3 juli 2017 15:09
Wat mij betreft mag hij een strafvermindering voor die geweldige groupname :*)
0bArAbAtsbB
3 juli 2017 13:04
tja...wie zijn billen brandt...moet op de blaren zitten!

Op dit item kan niet meer gereageerd worden.

Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True