Australische tiener die inbrak bij Apple-systemen krijgt geen celstraf

De Australiër die vorig jaar, toen hij zestien was, inbrak bij de systemen van Apple, hoeft niet de gevangenis in. De rechter vond dat de jongen berouw toonde en meewerkte aan het onderzoek van de autoriteiten.

Wel kreeg hij een voorwaardelijke straf van acht maanden opgelegd. De rechtbank had hem twee jaar cel voor een van de ten laste gelegde delicten en twaalf maanden voor het andere kunnen opleggen, schrijft Bloomberg. De rechter benadrukt echter dat bij minderjarigen de focus op rehabilitatie ligt. De jongen bekende anderhalve week geleden de twee delicten gepleegd te hebben.

De jongen stond terecht voor het ongeoorloofd aanpassen van data en het zonder toestemming toegang verkrijgen tot data. Hij wist vanaf 2015 tot en met vorig jaar enkele keren binnen te dringen bij systemen van Apple en daar grote hoeveelheden data, waaronder authenticatiesleutels te stelen.

De jongen gaf aan een grote fascinatie te hebben voor Apple. Hij wist op afstand de interne systemen te benaderen via een vpn-verbinding van Apple-personeel. Een tweede persoon zou hem geholpen hebben de data weg te sluizen via een ssh-tunnel. De Australische politie heeft bewijs tegen de handlanger naar het Openbaar Ministerie gestuurd. Het onderzoek loopt nog en kan meer verdachten opleveren.

Lees meer

Reacties (51)

SilverRST 27 september 2018 19:25

16 jaar en al kunnen inbreken bij Apple systemen... Dat is echt een bijzondere gave, geen twijfel. Maar erg teleurstellend dat het dan weer voor verkeerde doeleinden wordt gebruikt.

Fox @SilverRST • 27 september 2018 19:37

In dit geval eerder slechte security protocol bij Apple, hij is binnen gekomen in een aantal systemen d.m.v. ssh te routen naar één van de systemen van een handlanger die daar werkt. Voor iemand met administrator privileges is dit vrij gemakkelijk gedaan, kwestie van een ssh poort openzetten en credentials aanmaken en dan kan een willekeurig iemand als gebruiker inloggen op het systeem. Uiteraard wordt dit allemaal gelogged voor de superadmin dus vrij eenvoudig te zien wie hier achter zit zoals nu het geval. Maar dan is het kwaad eigenlijk al geschied.

Er zijn verschillende methoden om ssh clients op andere systemen in het netwerk te detecteren, extra interne authenticatie requirement voor grote externe datastromen en / of ssh connecties alleen toe staan via een hardened gateway met white-list protocol. Geen van deze maatregelen blijken hier te zijn genomen.

[Reactie gewijzigd door Fox op 31 juli 2024 06:21]

Menesis @Fox • 27 september 2018 19:55

Toch raar dat dat zomaar kan. Zouden ze geen fysieke (USB) sleutels voor VPN vereisen bij een bedrijf als Apple? + een vooraf geïnstalleerd certificaat op de machine die verbinding maakt (type Safenet)?
Blijkbaar niet..

[Reactie gewijzigd door Menesis op 31 juli 2024 06:21]

COW_Koetje @Menesis • 27 september 2018 20:07

En het mooie vind ik dat als ik zeg dat Apple niet te vertrouwen is (net als elke andere speler op de markt) je meteen gebashed wordt.
Apple bestat uit mensen en als mensen besluiten om dit soort dingen te organiseren lukt het ze ook.
Je kan niet tegen dit soort kwaadwillende praktijken jezelf 100% wapenen. Er moet een level of trust zijn.
Daarom kan geen enkele Apple fanboy blijven roepen dat Apple 100% waterdicht is en dat het daar wel veilig is.
Als je zelf geen goede stappen onderneemt is je data nergens veilig.

Blokker_1999

Politiek en recht
Beveiliging en antivirus
Apple

@COW_Koetje • 27 september 2018 20:12

Dan is niemand te vertrouwen. Wanneer we het over vertrouwen hebben dan hebben we het in de eerste plaats over hoe een bedrijf met onze data omgaat. Dat er fouten in de beveiliging zitten is spijtig genoeg normaal. Ik heb nog niet veel bedrijven gezien waarvan ik denk dat ze de beveiliging perfect op orde hebben.

COW_Koetje @Blokker_1999 • 27 september 2018 20:19

Dat is precies wat ik bedoel. Helaas bij meerdere discussies hier op Tweakers ben ik erachtergekomen dat mensen die Apple bezitten met hand en tand blijven verdedigen dat alles veilig is bij Apple. Met als argument dat het niet verkocht wordt en daarom je privacy 100% gewaarborgt wordt.
Meerdere malen heb ik geprobeert duidelijk te maken dat dit niet bestaat zolang er mensen zijn die toegang hebben tot de content. In dit geval Apple medewerkers (of zelfs anderen). En als deze met opzet de beveiliging omzeilen is je privacy net zoveel waard als bij elk ander bedrijf. (Meestal is Google de pispaal vanwege android).
Maar dit is breder dan Apple. Dit gaat inderdaad om elke vorm van informatie die we aan derden geven. Ik heb bijvoorbeeld ambtenaren misbruik zien maken van de informatie waar ze toegang tot hadden. Bekendste verhaal hierin is hoe een ambtenaar een "blijf van mijn lijf" huis kon opsporen waar zijn vrouw verbleef en alle gevolgen van dien. En dat is maar 1 voorbeeld. Iederen binnen de IT hoe discreet ook heeft dit soort voorbeelden. Vaak niet heel ernstig maar dat kunnen ze wel worden als het ineens om een groot bedrijf gaat zoals Apple.

Menesis @COW_Koetje • 27 september 2018 20:38

Naja, toch valt er wat te zeggen dat het ene bedrijf gratis diensten levert op basis van marketing, waardoor er dus grote interesse in jouw gegevens is, en je bij het andere bedrijf dik betaalt, maar waar dus geen interesse in jouw gegevens is. Dat wapent je natuurlijk niet tegen het verhaal uit dit artikel, maar zegt wel wat over het gebruik van je gegevens afgezien van dit artikel.
Het zou bijv mooi zijn als Apple en Google aan echte encryptie beginnen, zodat alleen jij een private key hebt. Alleen lullig als je die key kwijt raakt.

[Reactie gewijzigd door Menesis op 31 juli 2024 06:21]

robvanwijk

Politiek en recht

@Menesis • 27 september 2018 21:12

Het zou bijv mooi zijn als Apple en Google aan echte encryptie beginnen, zodat alleen jij een private key hebt. Alleen lullig als je die key kwijt raakt.

Voor zover ik in kan schatten is dat (in elk geval bij Apple) al het geval. Een paar jaar geleden heeft Apple op Black Hat een presentatie gegeven waarbij ze gedetailleerd uitleggen hoe iDinges (en de iCloud backup daarvan) beveiligd zijn.

Te oordelen naar de vragen uit het publiek is de enige echte zwakte een kritieke bug in de code die op de hardware security modules draait; dat is weliswaar te fixen, maar dat kost een heleboel tijd (en al die tijd blijft misbruik mogelijk). En in alle eerlijkheid, het is een bewuste afweging (kiezen tussen twee kwaden) en de gemaakte keuze is zeker te verdedigen.

Sir Guinhill @Menesis • 28 september 2018 09:28

Voor Google Chrome is het met de Synchronisatie van je gegevens tussen ingelogde locaties al mogelijk om met een Private key die jij invoert je synchronisatie te encrypten.
Recent achter gekomen, meteen aangezet.

Audione0 @COW_Koetje • 28 september 2018 08:22

Ik ben van mening dat alles te hacken is. Beveiliging wordt door "slimme" mensen bedacht en uitgevoerd, wat dan ook weer door net wat "slimmere" mensen gehack kan worden.. Beetje kat en muis spel waar geen eind aan komt..

Zelf heel wat apple producten maar geen fanboy. Het is naief te denken dat bedrijven zoals dit 100% waterdicht zijn. Eigenlijk geen 1!

RaJitsu @COW_Koetje • 28 september 2018 10:35

Even voor de goede orde; verkopen van je data doen geen van de grote partijen. Waarom zouden ze dit ook doen? Ik als het oudere data is, is het nog steeds iets van een eigen database die van waarde is een site de afnemende partij ook aan anderen aangeboden kan worden.

Het gaat in de regel om toegang geven tot tools waarmee de data geraadpleegd kan worden of simpelweg een ad-dienst waarbij bijv. Google aanbiedt reclames aan te bieden voor hun klanten aan de juiste mensen en daarover de relevante gegevens terugcommuniceert.

HenkEisDS @Blokker_1999 • 28 september 2018 00:39

Dat zeg je goed. Niemand is te vertrouwen en iedereen heeft een prijs. Vandaar dat je bij serieuze beveiliging werkt met meerdere personen die niets kunnen zonder minimaal één ander persoon.

Menesis @COW_Koetje • 27 september 2018 20:34

100% gaat niet lukken inderdaad, maar ze kunnen wel beter dan dit. Volgens mij is mijn werk beter beveiligd dan het hoofdkantoor van Apple.

Krulliebol @COW_Koetje • 28 september 2018 16:26

Voor een deel zit de veiligheid juist in designmaatregelen waardoor lekken sowieso niet mogelijk is. Zo wordt de analyse van foto's alleen lokaal op je device uitgevoerd en worden je vingerafdrukken zelfs op een aparte chip in je toestel opgeslagen. Omdat ze nooit naar Apple verstuurd worden, kunnen ze bij een eventuele hack ook niet uitlekken.

COW_Koetje @Krulliebol • 28 september 2018 21:19

Ik ken de reclames van Apple.
En als jij denkt dat je daardoor veilig bent en dat deze nooit gehacked zullen/kunnen worden dan wens ik je veel succes. Leg dat maar eens uit aan de mensen wiens telefoon door de FBI/CIA nu worden gelezen terwijl ze dachten dat het veilig was.
Of de mensen die gebruik maakten van een speciale service waarmee ze absoluut veilig zouden zijn.

Krulliebol @COW_Koetje • 29 september 2018 02:22

Dat zeg ik toch helemaal niet?

Ik zeg alleen dat bepaalde designkeuzes ervoor zorgen dat de gevaren van een hack op een centrale server wat minder groot zijn (maar absoluut niet nul).

Jeroen hofman @Fox • 27 september 2018 23:19

IDD In dit geval eerder slechte security protocol bij Apple,
Hij wist vanaf 2015 tot en met vorig jaar enkele keren binnen te dringen bij systemen van Apple en daar grote hoeveelheden data, waaronder authenticatiesleutels te stelen.
Sinds het digitale tijdperk gaat er de laatste tijd wel heel veel mis en blijkt het nog steeds mogelijk binnen te komen en daar het benodigde halen.
Ik denk dat de genade klap niet lang uit blijft, zelfs de Aarde kreunt en zucht in dit digitale tijdperk en al het gewicht van de rotzooi.
er is inmiddels heel wat gepasseerd van dit soort berichten, is het geen DDOS dan is het weer een bank of ander instelling, of bedrijf, overheid waar ongenodigde hun buit hebben gehaald
Banken, enz... noem het maar op .
Tja het raampje van mijn auto was niet geheel gesloten en daardoor heeft men toch de deur open gekregen.
Als ik nu ook zie en lees hoe makkelijk het is om een auto key te kopiëren
tijdens dit schrijven komt Nicola tesla op, was toen ook nog allemaal bedenken proberen en, maar ja das de hele mensheid al. Maar dit digitale tijdperk heeft al een hoop ellende voortgebracht waar menig persoon slacht offer van is geweest en nog dagelijks zijn trauma aan heeft.
De troon rede was overigens weer een hilarisch zien, maar te zwijgen over het live debat op onze kijkbuis wat ver offtopic ging en ....

kon het ook niet meer volgen waar ging het over

Staan elkaar in de zeik te nemen dus wordt het debat maar even onderbroken $_/-\o_$
ging dan wel niet over Apple maar volg het soms allemaal niet meer, ook dit jaar is de auto afgekeurd omdat er 0,1 procent teveel hoest bij, in de uitlaat werd gemeten.
Even naar een VW wij D maken geen praatjes

[Reactie gewijzigd door Jeroen hofman op 31 juli 2024 06:21]

robertwebbe

@SilverRST • 27 september 2018 19:37

Volgens mij heeft hij gewoon op slinkse wijze de accountgegevens van een VPN verbinding in handen weten te krijgen en is toen gaan rondneuzen.

r2504 @robertwebbe • 27 september 2018 19:41

Daar lijkt het inderdaad op maar het staat natuurlijk stoer in een titel... inbreken bij Apple

COW_Koetje @r2504 • 27 september 2018 20:09

Social enginering is een veel gebruikte hacking techniek en werkt beter dan de meeste technische oplossingen. En daarom blijft het inbreken. Dus de titel klopt.

Edwin @COW_Koetje • 28 september 2018 00:32

Ik blijf me altijd verbazen hoe erg social engineering onderschat wordt.
Mijn niet bepaald technische vader heeft zo per ongeluk mijn contactgegevens bij mijn (inmiddels ex-)webhost aangepast.

Gewoon even een berichtje dat het niet klopte en men paste het voor hem aan. Een kwaadwillende had dit natuurlijk uit kunnen buiten. (domeinnamen overdragen, logins opvragen en evt data aanpassen, etc.)

xoniq @r2504 • 27 september 2018 19:57

Het is maar wat je inbreken noemt. Je zou het kunnen vergelijken met een fysieke tunnel naar Apple HQ, waar alleen een deur is met toegangskaarten (de login dan wel SSH key), eenmaal die deur voorbij middels een gestolen/onrechtmatig verkregen kaart, kan je heen en terug, terwijl er wel camera's hangen (logging op de servers).

Veel meer is het niet, het is misbruik maken van medewerker gegevens.

Sandertr @SilverRST • 27 september 2018 20:14

T'ja het is niet omdat veel mensen niet goed weten hoe die dingen werken en hoe je erdoor kan geraken dat het speciaal is?
Zie het als een voordeur als die niet goed gesloten is of op een kier staat kan je er ook in aan 16 jaar.

Edwin @SilverRST • 28 september 2018 00:40

Blijkbaar lukte het hem al in 2005, toen zal hij 14 geweest zijn als ik het goed lees.

Zelfs al zou hij een simpel trucje gebruikt hebben dan is het bijzonder dat een 14-jarige dat voor elkaar krijgt en het het 2 jaar lang mogelijk blijft. Het is ook niet echt de bakker uit het dorp waar hij inbreekt zegmaar.

Single_Core @SilverRST • 28 september 2018 15:31

Niets speciaal gebeurd hier, toegang verkregen via een ander persoon en vervolgens data binnentrekken via SSH. Het was 'een gave' geweest indien ze hem niet hadden gepakt.

kellbott @SilverRST • 27 september 2018 19:36

Je kan t een gave noemen, maar dit bewijst wel dat de beveiliging van Apple echt niet zo goed is als ze beweren xd

nils83 @kellbott • 27 september 2018 19:47

Waar beweert Apple dat hun netwerk beveiliging top is? Je haalt verschillende zaken door elkaar...

Zer0 @nils83 • 27 september 2018 22:18

Alles wat belangrijk is.
Veilig en beschermd.
https://www.apple.com/nl/icloud/

Apple zegt dat iCloud veilig is, en dat is hun netwerk.

Knakworst007 @SilverRST • 27 september 2018 23:22

Begin van zijn carriere in Cyber Sec

Krulliebol @Knakworst007 • 28 september 2018 16:06

Of misschien wel juist het einde

Verwijderd 27 september 2018 19:21

Dat willen inbreken als tiener kan ik mij vanalles bij voorstellen. Puur als uitdaging voor jezelf. Dat wegsluizen van data echter.. dan krijg ik toch een ander idee van je motieven.

Verwijderd @Verwijderd • 27 september 2018 19:36

Een tweede persoon zou hem geholpen hebben de data weg te sluizen via een ssh-tunnel.

Ik denk dat juist die tweede persoon meer interesse gehad heeft in de data dan die jonge inbreker met enkel zijn fascinatie.

stresstak @Verwijderd • 27 september 2018 20:33

'Helpen' suggereert dat de inbreker het wel wilde maar hulp nodig had.

robvanwijk

Politiek en recht

@stresstak • 27 september 2018 21:01

Misschien even afwachten of ze die tweede persoon ook vinden en wat er in die rechtszaak naar voren komt. Nogal een verschil of het een andere tiener was die dacht "als we toch binnen zijn, dan wil ik "souvenirs" hebben ook", of dat het een bekende crimineel is die wel gegevens van Apple wou hebben, zelf niet binnenkwam en "meeliftte" op deze jongen. In beide gevallen kun je het omschrijven als "helpen", maar (lijkt mij) toch een gigantisch verschil in hoe je het wilt bestraffen.

Knakworst007 @robvanwijk • 29 september 2018 14:40

De eerste was een katvanger meen ik

laptopleon @Verwijderd • 28 september 2018 10:31

Komt inderdaad over alsof een Apple-medewerker deze jongen toegang heeft gegeven, zodat die het stelen voor hem kon doen, met de bedoeling zelf buiten beeld te blijven.

De meeste romantische hacker-verhalen blijken bij nader inzien neer tr komen op 'social hacking', een eufemisme voor de eeuwenoude babbeltruc.

SuperDre @Verwijderd • 27 september 2018 22:29

Maarja, dat accepteren we toch ook niet als ze dat bij jouw huis zouden doen, dus waarom wel bij een digitaal systeem. Je hebt gewoon weg te blijven als je daar niets te zoeken hebt of bent uitgenodigd om te proberen in te breken..

Acradavos 27 september 2018 20:30

Vroeger kreeg je nog wel eens een baan aangeboden. Als ik althans de berichten van 10 jaar geleden moet geloven.

stresstak @Acradavos • 27 september 2018 20:37

En nu krijg je geen celstraf. Dat is ook mooi.

Dragony @stresstak • 27 september 2018 21:27

Jammer voor die kerel, had ie toch wat eerder moeten leven en moeten inbreken. Ach ja.

Verwijderd 28 september 2018 11:06

Prachtig, vooral met die reacties erbij op het artikel hier over dit misdrijf. Ja de hacker zal de bak in gaan en lange gevangenisstraf, of ja die krijg een goede baan bij Apple...

TRAXION 28 september 2018 14:40

Misschien is persoon in kwestie een katvanger ? Of ben ik dan de enige die deze optie overweegt.

Een minderjarige als zondebok neerzetten is toch een ideale truuk om zelf buiten Schot te blijven.

Eerst maar eens zien welke informatie er nog vrij komt.

SiGNe 27 september 2018 21:17

Zo'n gozer moet je een baan geven bij de overheid, daar komen ze altijd goede IT'ers tekort.

Superkanjo @SiGNe • 28 september 2018 00:34

Zo'n gozer moet je een baan geven bij de overheid, daar komen ze altijd goede IT'ers tekort.

Eens dat personen die dit soort acties uit kunnen voeren talenten hebben, maar ik ben van mening dat je nooit iemand moet belonen voor het uitvoeren van een misdrijf. Wie zegt dat hij ook niet bij een nieuwe werkgever wat "vriendjes" naar binnen weet te sluizen of data naar buiten?

Gerrit T. @Superkanjo • 28 september 2018 07:49

[...]

Eens dat personen die dit soort acties uit kunnen voeren talenten hebben, maar ik ben van mening dat je nooit iemand moet belonen voor het uitvoeren van een misdrijf. Wie zegt dat hij ook niet bij een nieuwe werkgever wat "vriendjes" naar binnen weet te sluizen of data naar buiten?

Het is al gebleken dat hij blijkbaar vatbaar is om overgehaald te worden dit soort dingen te doen, het enige wat verandert de volgende keer (want die komt er) is dat hij nog sneakier zal zijn.
Trouwens, elke hacker gaat er vanuit dat ie niet gepakt zal worden.

SiGNe @Superkanjo • 28 september 2018 21:20

Een misdrijf moet je niet belonen maar dan maak je er een taakstraf van..

lmartinl @SiGNe • 28 september 2018 14:52

Zo'n gozer moet je een baan geven bij de overheid, daar komen ze altijd goede IT'ers tekort.

Kunnen we als tweakers ophouden met dit soort uitspraken bij zaken waarin 'de' lijn gecrossed wordt? Het stigma dat ergens inbreken tot baankansen zal leiden draagt nergens aan bij.

1. Als werkgever zou ik iemand die zich laat verleiden tot 'black hat'-hacking zeker niet toelaten tot mijn infrastructuur
2. Als de 'standaard Nederlander' dit blijft roepen zullen jongeren zich geneigd voelen te willen bewijzen / denken dat ze er voor beloond gaan worden zonder goed de gevolgen te overzien. Als kind ben je nu eenmaal niet direct over lange termijn/carriere aan het nadenken. En guess wat, dit zorgt weer voor minder security experts op de wereld met witte hoedjes op.

[Reactie gewijzigd door lmartinl op 31 juli 2024 06:21]

FastRDust @cmegens • 27 september 2018 22:06

Ligt eraan Op welke afdeling dat je zit

cmegens @FastRDust • 27 september 2018 22:59

Zeker, dat zeg ik ook, veel goede banen bij de overheid in IT zijn er niet. Ze zijn er, maar er zijn ook veel plekken waar echt slecht IT beleid wordt gevoerd.

[Reactie gewijzigd door cmegens op 31 juli 2024 06:21]

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (51)

Sorteer op:

Weergave: