Crackas With Attitude-lid krijgt twee jaar gevangenisstraf in VS

Een 23-jarig lid van de groep Crackas With Attitude heeft twee jaar celstraf gekregen in de Verenigde Staten. Hij is veroordeeld voor het inzetten van onder meer social engineering om toegang te krijgen tot accounts van hooggeplaatste overheidsfunctionarissen.

Het Amerikaanse ministerie van Justitie meldt dat de veroordeelde, die ook wel bekendstond als Incursio, op 10 januari zijn schuld heeft bekend met een zogenaamde plea agreement. Hij maakte samen met een andere man, onder meer bekend als D3f4ult, deel uit van de groep Crackas With Attitude. De twee werden vorig jaar opgepakt. D3f4ult bekende op 6 januari en wacht nog op zijn straf, die op 28 juli wordt uitgesproken.

De veroordeling geldt voor verschillende misdrijven, waaronder het toegang verkrijgen tot de accounts van de functionarissen, hun families en tot computersystemen van de overheid. De veroordeelde heeft bovendien namen en contactinformatie van tienduizenden medewerkers van de ministeries van Justitie en Binnenlandse Veiligheid gepubliceerd, aldus het bericht.

De mededeling maakt geen vermelding van de precieze doelwitten van de twee veroordeelden. Crackas With Attitude claimde eerder toegang te hebben tot verschillende accounts van James Clapper, het hoofd van de Amerikaanse inlichtingendiensten. Dit werd vorig jaar bekend. Ook hadden ze toegang tot de Yahoo-account van Clappers vrouw en hadden ze zijn telefoonnummer doorgeschakeld naar een mensenrechtenorganisatie.

Daarvoor bleken leden van de groep ook toegang te hebben gehad tot het AOL-e-mailacount van CIA-topman John Brennan. Later kwam naar voren dat ze ook inzage hadden verkregen in informatie over arrestanten en mogelijke terroristische activiteiten.

IT-banen

Reacties (36)

Overlord2305 3 juli 2017 13:24

Lijkt mij dat ze hier compleet de verkeerde hebben veroordeeld. De functionarissen zouden op hun kop moeten krijgen (en flink ook) dat ze hun spul zo slecht hebben beveiligt dat een groepje twintigers er door middel van social engineering, zijn ingekomen.
Ik zeg niet dat ze een medaille zouden moeten krijgen maar het lijkt mij toch juist dat je dit soort mensen zou willen inhuren als security advisors of weet ik veel wat zodat je niet weer zo'n beveiligings probleem hebt IPV dat je ze in de bak gooit voor wat in essentie gewoon een non-crime is.

[Reactie gewijzigd door Overlord2305 op 25 juli 2024 20:34]

The Zep Man

Netwerk en systeembeheer
Politiek en recht
Verenigde staten

@Overlord2305 • 3 juli 2017 13:29

Ik zeg niet dat ze een medaille zouden moeten krijgen maar het lijkt mij toch juist dat je dit soort mensen zou willen inhuren als security advisors of weet ik veel wat zodat je niet weer zo'n beveiligings probleem hebt IPV dat je ze in de bak gooit voor wat in essentie gewoon een non-crime is.

Uit het artikel:

De veroordeling geldt voor verschillende misdrijven, waaronder het toegang verkrijgen tot de accounts van de functionarissen, hun families en tot computersystemen van de overheid. De veroordeelde heeft bovendien namen en contactinformatie van tienduizenden medewerkers van de ministeries van Justitie en Binnenlandse Veiligheid gepubliceerd, aldus het bericht.

Dat is het voornaamste waarop ze hem pakken en waarom hij zich niet kan beroepen op dat hij de beste bedoelingen had.

Als gray hat hacker (immers: geen toestemming) moet je ontzettend oppassen met de acties die je verricht als die terug traceerbaar zijn naar jezelf. Eén actie die op papier illegaal is en die je niet in redelijkheid en billijkheid kan verklaren, en ze hebben je. Je krijgt vervolgens alle schuld toegewezen. Neem de eerste zin:

De veroordeling geldt voor verschillende misdrijven, waaronder het toegang verkrijgen tot de accounts van de functionarissen, hun families en tot computersystemen van de overheid.

Hiermee zou je nog weg kunnen komen in een land met rechtsspraak gebaseerd op redelijkheid en billijkheid, mits je het minimale doet om de hack duidelijk te maken en de betrokken partijen hiervan op de hoogte stelt. Als de betrokken partijen niets doen, dan zou je naar de pers kunnen stappen. Nog steeds is het dan niet te verantwoorden om gegevens verkregen via de hack te vernietigen, te wijzigen of te publiceren.

En als je in een land bent waar redelijkheid en billijkheid minder spelen dan moet je je houden aan de letter van de wet of anoniem en ontraceerbaar te werk gaan, zeker als je hooggeplaatste overheidsfunctionarissen het gevoel geeft dat ze in het ootje zijn genomen.

[Reactie gewijzigd door The Zep Man op 25 juli 2024 20:34]

MSalters

Politiek en recht

@The Zep Man • 3 juli 2017 18:44

Hiermee zou je nog weg kunnen komen in een land met rechtsspraak gebaseerd op redelijkheid en billijkheid

Het gaat hier over strafrecht, niet over civielrecht (contracten tussen twee partijen). "Redelijkheid en billijkheid" hoort bij het laatste. In het strafrecht heb je andere andere principes, zoals "wettig en overtuigend bewezen" en op z'n Amerikaans "You've got the right to be silent. Anything you say can and will be used against you".

Fundamenteler is het probleem dat je een "grey hat hacker" probeert te verdedigen. Zelfs de white hat handelt in strijd met de wet. Een white hacker kan echter aanvoeren dat hij niet in z'n eigen belang handelt, maar uitsluitend om een groot maatschappelijk belang te dienen. Dat is nog geen waterdichte verdediging, want het basisprincipe blijft dat de wet geld voor iedereen. Een grey hacker die zich niet kan beroepen op schone handen kan die verdediging niet gebruiken.

Tribits @MSalters • 3 juli 2017 23:52

[...]

Het gaat hier over strafrecht, niet over civielrecht (contracten tussen twee partijen). "Redelijkheid en billijkheid" hoort bij het laatste. In het strafrecht heb je andere andere principes, zoals "wettig en overtuigend bewezen" en op z'n Amerikaans "You've got the right to be silent. Anything you say can and will be used against you".

Dat slaat alleen maar op het grondrecht dat een verdachte niet aan zijn eigen veroordeling mee hoeft te werken. Wettig en overtuigend wordt voornamelijk afgedekt door de voorwaarde dat het bewijs 'beyond a reasonable doubt' moet zijn. Redelijkheid en billijkheid zijn overigens niet per definitie termen die per definitie alleen in het civielrecht gebruikt worden.

White hat hackers kunnen in Nederland volledig volgens de wet handelen, alleen zitten daar wel behoorlijk wat voorwaarden aan. Zodra je de vrijheid neemt om een paar records meer te bekijken dan strikt noodzakelijk is ben je al geen white hat meer. En dat grijze gebied is iets dat de wet niet dus geen enkele grey hat kan zich in de praktijk op zijn onschuld beroepen.

CMD-Snake @Overlord2305 • 3 juli 2017 13:53

Lijkt mij dat ze hier compleet de verkeerde hebben veroordeeld. De functionarissen zouden op hun kop moeten krijgen (en flink ook) dat ze hun spul zo slecht hebben beveiligt dat een groepje twintigers er door middel van social engineering, zijn ingekomen.

Als we deze lijn doortrekken kan een inbreker ook vrijgesproken worden, want had jij maar een beter slot op je voordeur moeten doen. Of een beter alarm kopen voor je auto. Of ouderen die vallen voor een babbeltruc hadden ook maar scherper moeten zijn dat het oplichting betrof.

Hoe goed of slecht beveiliging is maakt niet dat wat deze gasten hebben gedaan minder illegaal is.

Ik zeg niet dat ze een medaille zouden moeten krijgen maar het lijkt mij toch juist dat je dit soort mensen zou willen inhuren als security advisors of weet ik veel wat zodat je niet weer zo'n beveiligings probleem hebt IPV dat je ze in de bak gooit voor wat in essentie gewoon een non-crime is.

Dat oude argument weer. Nee, deze jongens moeten niet beloond worden met een baantje. Ze moeten hun straf uitzitten, ze hebben een misdaad begaan. Op deze manier kunnen we elke crimineel belonen met een baan. Bovendien, het is niet alsof de hack heel hoogstaand is geweest. Social engineering kan vrijwel iedereen met een gladde babbel.

micla @CMD-Snake • 3 juli 2017 16:12

[

Als we deze lijn doortrekken kan een inbreker ook vrijgesproken worden, want had jij maar een beter slot op je voordeur moeten doen. Of een beter alarm kopen voor je auto. Of ouderen die vallen voor een babbeltruc hadden ook maar scherper moeten zijn dat het oplichting betrof.

Maar die lijn is natuurlijk niet op die manier door te trekken; als jou huis/auto leeggeroofd wordt en nadien blijkt dat je deze zelf niet goed ( voldoende ) had (af)gesloten, krijg je ook gewoon 0 op het rekest van de verzekeraar. Oftewel; je mag zelf op de blaren zitten. Dat mag wat mij betreft bij functionarissen die hen werk niet goed doen ook gewoon...

Blokker_1999

Politiek en recht
Verenigde staten
Netwerk en systeembeheer

@micla • 3 juli 2017 17:01

Maar maakt dat dat de dief alsnog geen schuld treft voor de diefstal? Dat de verzekering moeilijk gaat doen wil ik je nog meegeven, maar daarom is de dief niet minder in fout. Hier speelt net hetzelfde. Daarnaast is social engineering niet zomaar iets waar je je met wat software tegen kunt beveiligen. Met procedures kan je al veel afvangen, maar ook weer niet alles.

CMD-Snake @micla • 3 juli 2017 20:56

Maar die lijn is natuurlijk niet op die manier door te trekken; als jou huis/auto leeggeroofd wordt en nadien blijkt dat je deze zelf niet goed ( voldoende ) had (af)gesloten, krijg je ook gewoon 0 op het rekest van de verzekeraar.

Ik heb het niet over verzekeringen, maar over strafbaar zijn in de ogen van de wet. Als ik de sleutels in het contact van mijn auto laat zitten zal de verzekering niet blij worden, maar als iemand die auto meeneemt is en blijft het diefstal. Daar wordt geen korting gegeven als het te makkelijk was.

micla @CMD-Snake • 3 juli 2017 23:02

Ik heb ook nergens gezegd dat ik vind dat je dan niet strafbaar zou zijn. Ik geef enkel aan dat de schuld niet altijd eenzijdig is. Niet meer en niet minder..

MartijnHavinga @Overlord2305 • 3 juli 2017 13:28

Wie zegt dat er niet "stevig gesproken" is met de desbetreffende functionarissen?
Inbreken is 1, als je dingen daadwerkelijk gaat aanpassen / lekken / etc. ben je geen whitehat meer.

bonus @MartijnHavinga • 3 juli 2017 15:08

Ik denk dat er dan ook wel een straf op zijn plaats zou zijn voor de desbetreffende functionarissen en dat mag dan ook best publiekelijk worden gemaakt.
Als waarschuwing voor andere en om te laten zien dat het mes aan 2 kanten snijdt.

[Reactie gewijzigd door bonus op 25 juli 2024 20:34]

kazz1980 @Overlord2305 • 3 juli 2017 15:11

Het maakt niet uit hoe lek beveiliging is, je hebt met je jatten van andermans spullen af te blijven....
Als jij je voordeur open laat staan mag een dief nog altijd je huis niet leeghalen... En hadden ze het met goede bedoelingen gedaan en netjes bij de autoriteiten melding gemaakt van het lek, dan was er wellicht nooit rukbaarheid aan gegeven en hadden ze een bedankje ontvangen en wie weet een baan.
Door zichzelf illegaal toegang te verschaffen én de verkregen informatie vervolgens wereldkundig te maken zijn ze echt te ver gegaan en is de veroordeling dus geheel terecht.

Zwoerdkop @Overlord2305 • 3 juli 2017 17:00

"Lijkt mij dat ze hier compleet de verkeerde hebben veroordeeld. De functionarissen zouden op hun kop moeten krijgen (en flink ook) dat ze hun spul zo slecht hebben beveiligt dat een groepje twintigers er door middel van social engineering, zijn ingekomen."

Hackers zijn in de ogen van de tweakende libertariërs altijd de held. Altijd. Functionarissen, zij die het vermaledijde gezag vertegenwoordigen, zijn altijd degene die veroordeeld moeten worden. Altijd.

Hoe zit het met de zelfreflectie van tweakende libertariërs? Welke psycholoog ontrafelt dat even in een minuutje? En is het niet eens tijd geworden om dit verschijnsel een naam te geven?

[Reactie gewijzigd door Zwoerdkop op 25 juli 2024 20:34]

Anoniem: 582487 @Overlord2305 • 3 juli 2017 17:28

Lijkt mij dat ze hier compleet de verkeerde hebben veroordeeld. De functionarissen zouden op hun kop moeten krijgen (en flink ook)

functionaris: '(hogere) ambtenaar in overheidsdienst' en 'iemand met een hoge functie in een politieke partij'

^ als je dit zou lezen.. wat denk je dan werkelijk wat deze mensen te horen krijgen: goh dat was niet zo'n handige actie (...) volgende x niet meer doen hoor want dat is wel 'een beetje dom'

nope.. deze mensen treft geen blaam..

als ze hoog genoeg in het systeem zitten (en daar gaan we bij deze partij dan maar even vanuit) dan zullen ze daar niks over horen of lezen in welk artikel dan ook.
die mensen zijn bijna onaantastbaar dus van dit soort 'kleine' dingen (wachtwoord verlullen dmv social engeneering) krijgt iig de hoge piet geen aantekening op zn eindejaars rapport.

dat is 1 ding wat zeker is.

MSalters

Politiek en recht

@Anoniem: 582487 • 3 juli 2017 18:51

Vergeet niet, de top is een pyramide: 1 punt (in de VS, de president), daaronder een kleine laag en daaronder steeds grotere groepen. De kans op promotie is redelijk verkeken als je dit soort blunders uithaalt. Je "rapport" aan het einde van het jaar is nooit formeel, maar diegene die beslist over promotie slaat je stilletjes over. En als 4 jaar later alle posities opnieuw ingevuld worden, dan heb je een goede kans dat je zelfs je huidige positie kwijtraakt - weinig baanzekerheid aan de top.

Anoniem: 582487 @MSalters • 3 juli 2017 21:19

hangt nogmaar net af hoe 'hoog' je in die top zit..

als jij het over een piramide hebt..

dan zal ik maar niet beginnen over de absolute top waar als je daar eenmaal zit je gewoon onschendbaar bent

#illuminatieenzoietsofzo xD

Gamebuster 3 juli 2017 13:03

Overheidssystemen worden pas veilig wanneer de verantwoordelijke personen voor het behouden van IT veiligheid worden vastgezet bij grove nalatigheid, net zoals de daders.

[Reactie gewijzigd door Gamebuster op 25 juli 2024 20:34]

Grauw @Gamebuster • 3 juli 2017 13:07

Je kan de boel beveiligen zoveel je wil, maar uiteindelijk blijft de mens over als zwakste schakel. En dat wordt deze hacker dus verweten, dat hij social engineering heeft toegepast om binnen te komen.

[Reactie gewijzigd door Grauw op 25 juli 2024 20:34]

Gamebuster @Grauw • 3 juli 2017 13:12

Bij "social engineering" zijn er 2 daders: De hacker die een persoon misleidt, en een persoon die erin trapt. Bij grove nalatigheid moet daar dus op gestraft worden, of die gegevens moeten niet toegankelijk zijn voor de persoon.

[Reactie gewijzigd door Gamebuster op 25 juli 2024 20:34]

Grauw @Gamebuster • 3 juli 2017 13:13

Nee, er is een dader en een slachtoffer. Je kan niet iemand grove nalatigheid verwijten omdat die door social engineering misleid wordt.

[Reactie gewijzigd door Grauw op 25 juli 2024 20:34]

themac1983 @Grauw • 3 juli 2017 13:18

Is een beetje een "per geval" dingetje lijkt mij,

Als ik jouw een mailtje stuur, dat ik de salaris administratie van jouw bedrijf nodig heb, neem ik aan dat je deze niet geeft, ook al beweer ik van de belastingdienst te zijn. Doe je dat wel, dan kan dat best als nalatigheid gezien worden.

Maar er zijn veel subtielere manieren van social engineering, waar je het iemand inderdaad niet heel kwalijk kunt nemen dat ze erin trappen.

Maar die laatste zin, daaruit blijkt dus dat iemand geheime informatie op zijn AOL mail account had,..... Als dat geen nalatigheid is, weet ik het ook niet meer.

MartijnHavinga @themac1983 • 3 juli 2017 13:31

Dat wordt nergens vermeld. In een van de gelinkte artikels staat dat ze toegang kregen tot een dataportal met die gegevens. Wellicht gebruikte iemand hetzelfde wachtwoord voor meerdere accounts, maar dat de gegevens op een AOL mail account beschikbaar waren staat nergens.

Grauw @themac1983 • 3 juli 2017 13:29

Precies, per geval. Er kan natuurlijk inderdaad van nalatigheid sprake zijn, maar alleen het feit dat je misleid wordt is dat echt niet.

Overigens weet ik niet veel van deze zaak af, maar volgens mij staat er nergens dat er geheime info op zijn AOL-account stond. Alleen dat de hackers zich er toegang tot hadden verschaft. Als ik op de "kwam"-link klik blijkt daaruit dat de geheime informatie later via een dataportal is verkregen.

[Reactie gewijzigd door Grauw op 25 juli 2024 20:34]

Gamebuster @Grauw • 3 juli 2017 13:15

Maar wel dat het mogelijk is. Waarom staan er overheidsgegevens in dat Yahoo account?

xxxneoxxx @Gamebuster • 3 juli 2017 14:28

Misschien/waarschijnlijk een gevalletje zelfde credentials gebruikt. Aangezien AOL en Yahoo in het verleden beide slachtoffer zijn geworden van een hack waarbij usernames + passwords uitgelekt zijn..

100% zeker weet je het nooit, maar zoiets zou mij niet verbazen in ieder geval. Tegenwoordig is een slecht afgeschermd facebook profiel al genoeg om bij een groot gedeelte van de bevolking met ene beetje proberen tot een werkend wachtwoord te komen op basis van de informatie daar.

Jorgen @Gamebuster • 3 juli 2017 13:19

Sorry, maar als jij voor de gek gehouden wordt, ben je dan ook een dader? Volgens mij ben je dan slachtoffer. Nalatig? Misschien. Naief of goedgelovig? Zeker. Maar een dader? Vind ik wel een vergaande stelling.

Anoniem: 310408 @Gamebuster • 3 juli 2017 13:12

Overheidssystemen worden pas veilig wanneer de verantwoordelijke personen voor het behouden van IT veiligheid worden vastgezet bij grove nalatigheid, net zoals de daders.

Is dat dus diegene die gevallen is voor social engineering? (daar gaat het hier over) Dan mogen we wel snel gevangenissen gaan bouwen want het merendeel van de mensen is daarvoor vatbaar. Of de IT manager en alle manager daarboven? Nemen we de aandeelhouders ook meteen mee omdat die wellicht aangedrongen hebben tot verlaging van de IT kosten?

[Reactie gewijzigd door Anoniem: 310408 op 25 juli 2024 20:34]

Gamebuster @Anoniem: 310408 • 3 juli 2017 13:15

Ik heb het overigens enkel over "Grove Nalatigheid".

Stel, jij download een dump van vertrouwelijke overheidsgegevens en mailt deze naar je prive mail. Vervolgens wordt jouw prive mail gehackt via social engineering, dan vind ik dat grove nalatigheid.

Niet meteen in het gevang, maar je moet er ook niet zonder kleerscheuren vanaf komen.

.oisyn Moderator Devschuur® @Gamebuster • 3 juli 2017 14:44

Niemand zegt ook dat dat niet het geval is. Als jij grove nalatigheid vertoont kun je gewoon aangeklaagd worden. Het punt is dat je stelling gewoonweg niet klopt: het is niet plots ineens veilig als je ernaar handelt.

BillyTheClit @Gamebuster • 3 juli 2017 13:14

Dacht ik niet: je gaat gewoon niemand meer vinden die de verantwoordelijkheid nog gaat willen dragen. Daardoor worden de systemen erg onveilig.

Gamebuster @BillyTheClit • 3 juli 2017 13:17

Jawel hoor. Mensen die specialisten zijn in hun vak, overheidsdata serieus nemen en het niet mogelijk maken dat door fout van 1 persoon gevoelige data lekt. Uiteraard krijg je daar ook wat meer centjes voor.

Ook heb ik het over grove nalatigheid. Als jij je best hebt gedaan wat je realistisch kan verwachten, en je alsnog gehackt wordt: So be it. Maar wanneer je "overheidsgegevens.xls" in je prive Yahoo hebt staan met wachtwoord "123456", dan mag je echt wel even over de pijnbank

[Reactie gewijzigd door Gamebuster op 25 juli 2024 20:34]