Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

OM: houd logbestand bij ethisch hacken bij

Het Openbaar Ministerie adviseert mensen die op zoek gaan naar lekken in systemen, een logbestand bij te houden. Zo kunnen ze aantonen dat ze zich aan eisen voor responsible disclosure houden en eventueel strafvervolging ontlopen.

Het Openbaar Ministerie zet op een rij wat wel en niet mag bij het zoeken naar bugs, lekken en andere kwetsbaarheden in ict-systemen. Daarbij wijst het OM erop dat gericht zoeken niet zomaar mag, tenzij de eigenaar van het systeem uitdrukkelijk toestemming heeft gegeven.

Wie wel op eigen gelegenheid op zoek gaat naar lekken, hoeft geen juridische stappen te verwachten als het om systemen gaat van organisaties die beleid hebben voor coordinated vulnerability disclosure of responsible disclosure en als de hacker zich aan de voorwaarden van dat beleid houdt. Dat moet de ethische hacker dan aan kunnen tonen. "Het is daarom handig om al je stappen bij te houden in een logbestand", aldus het OM.

Het openbaar maken van kwetsbaarheden gaat altijd in samenspraak met de organisatie en als een organisatie een tijd niks van zich laat horen na een melding kan de hacker desnoods contact opnemen met het NCSC, stelt het OM verder. Daarnaast mag een onthulling niet afhankelijk zijn van een beloning: "Dus ook als je geen geld krijgt moet je de vertrouwelijkheid respecteren."

De pagina is opgesteld na een zaak waarbij een it'er vervolgd werd voor computervredebreuk, na het vinden van een lek in de site van het Centraal Bureau voor Genealogie. Een beroep op ethisch hacken slaagde niet, onder andere omdat de man niet proportioneel handelde. De rechter legde uiteindelijk geen straf op.

Door Olaf van Miltenburg

Nieuwscoördinator

18-10-2018 • 18:35

78 Linkedin Google+

Reacties (78)

Wijzig sortering
Het zou fijn zijn als voor de verandering eens wat gedaan wordt om ethisch hacken aantrekkelijker te maken. Vanuit de overheid en het bedrijfsleven krijgen je vrijwel constant de suggestie dat ze maar al te graag van het hele concept af willen.
Het zou fijn zijn als voor de verandering eens wat gedaan wordt om ethisch hacken aantrekkelijker te maken. Vanuit de overheid en het bedrijfsleven krijgen je vrijwel constant de suggestie dat ze maar al te graag van het hele concept af willen.
De overheid heeft hiermee richtlijnen gepubliceerd hoe je kan ethisch hacken zonder dat je bang hoeft te zijn voor vervolging. Hoe meer aantrekkelijk wil je het hebben?
Omdat je nu, ook al bedoel je het goed, alsnog de fout in kan gaan en een straf kan verwachten.
Even heel kort door de bocht: dan moet je niet de fout in gaan. Het is niet anders dan bij andere zaken waarbij de overheid (wij met z'n allen dus) regels heeft opgesteld. zo kan je bijvoorbeld tig redenen verzinnen waarom je te hard hebt gereden, maar die maximumsnelheid blijft in principe van toepassing. Dat is hier niet anders. Het is bekend wat mag en wat niet mag. Kleine moeite om je als ethische hacker te verdiepen in de materie. Doe je dat niet, dan kan je ook twijfelen hoe serieus je aan het ethisch hacken bent of dat het een uit de hand gelopen hobby is
Als ik met mijn lockpicking skills aantoon dat jouw voordeur niet veilig is, en dat laat weten door je huis binnen te gaan en een briefje op de keukentafel achter te laten. Ben je dan blij met mijn acties of zou je me een inbreker noemen?

Als ethische hacker moet je je gewoon netjes gedragen. Daar zijn duidelijke regels voor opgesteld. Je opereert op de grens van wat legaal is, dus dat je moet opletten is logisch.
... als de voordeur wagenwijd open staat een briefje binnen achterlaten met "hey, laat de deur niet open, ik had zo met je TV weg kunnen lopen, mvg "anonieme wildvreemde" " dan zou ik dat best redelijk vinden.
Nu was ik onder de indruk dat de echt goede sport lockpickers eigenlijk elk slot wel open krijgen. YouTube lockpickinglawyer en bosnianbill.

Goede lockpickingskills tonen wat mij betreft weinig aan, aangezien het deze twee figuren slechts een paar minuten kost om de (ook volgens hen) beste cilinder sloten open te krijgen.
als je eens verder gaat verdiepen zie je dat ethische hackers niet gepakt worden, maar zelf komen met hun bevindingen.
die "kneusjes" die ze weten te pakken zijn geen ethische hackers maar doodgewone hackers die al dan niet slechte bedoelingen hebben, en blijkbaar ergens een steekje hebben laten vallen bij het voorkomen van aanwijzingen die naar henzelf leiden. en dan komen ze vervolgens eventueel met de smoes dat het ethisch was.
Toch zou elk bedrijf liever hebben dat zijn systeem gehackt werd door een ethische hacker, dan door een echte hacker.
Eigenlijk zou er eerder een standaardisatie van beloningen moeten komen voor het melden van gaten in de beveiliging. Dit maakt het lucratiever om geslaagde inbraakpogingen te melden. Als de beloningen ook aantrekkelijk zijn en een beetje in verhouding staan tot de mogelijke schade, dan wordt ethisch hacken misschien aantrekkelijker dan een beetje hacken om de spanning.
Vanuit het bedrijfsleven zijn er nu zelfs bedrijven die hackers inhuren om hun netwerk periodiek eens onder vuur te nemen.
Ik denk dat je je daar ernstig op verkijkt; veel bedrijven vinden het compleet prima als ze 'on-ethisch' gehackt worden. Het zal ze werkelijk aan het spreekwoordelijke achtereind roesten. Zolang dergelijke lekken vervolgens maar niet -snel- publiek bekend worden. Hacks zijn namelijk gewoon aan de orde van de dag en een ingecalculeerd (dus prioritair genegeerd) risico. Jup ;(

Dit zijn boude uitspraken, daarom een ietsje onderbouwing erbij:
Er is nu vanwege Europese commotie een meldplicht datalekken. Die plicht is er alleen als een data lek "waarschijnlijk een risico oplevert voor de rechten en vrijheden van de betrokkenen." Dus als het misschien een risico oplevert mag een bedrijf de kop in het zand houden. Daarbij worden meldingen in principe niet openbaar gemaakt.
Maar volgens het AP werden er in de opstartende fase (2017), dus toen veel bedrijven überhaupt nog weigerden hun wettelijke plichten na te komen, al 10.000 datalekken gemeld. Omdat dus veel ook helemaal niet gemeld wordt is zelfs dat getal slechts een fractie van de datalekken die feitelijk hebben plaatsgevonden.

Dus méér dan 25 -gemeldde- datalekken pèr dag, iedere dag, 365 dagen per jaar. - In een opstartende fase. In een landje met krap 17 miljoen inwoners, en het publiek wordt niet ingelicht over hoeveel slachtoffers er waren iedere keer.

Met overigens een AP die eerder al eens aangaf minimaal vijfmaal zoveel personeel als huidig nodig te hebben voor enigszins adequaat toezicht en handhaving. De AP die ook trouwens al eens een brandbrief stuurde aan de tweede kamer met de strekking dat de Nederlandse Overheid bewust en effectief de onafhankelijkheid van de AP ondergraaft (middels wetgeving die indruist tegen de Europese GDPR (de wet op de Uitvoering AVG)). Kortom, de gevestigde belangen weten van geen wijken, en massale lekkage aan alle kanten is 'de rigeur' in bedrijvenland. :Y)

[Reactie gewijzigd door BStorm op 18 oktober 2018 22:32]

Datalek is niet perse een overtreding van wet computercriminaliteit.

Het aantal aangiftes is nihil (volgens OM/Politie zelf) en van de aantal aangiftes komt vrijwel niets bij de rechter terecht (volgens OM/Politie zelf).

Legitimeren van "ethisch hacken" is aan vorm van verleggen van verantwoordelijkheid van de overheid..... het roept bedrijven op om een "ethisch hack beleid" erop na te houden, omdat je dan "gratis getest" kunt worden en daarmee erger kunt voorkomen, wat voor overheid het voordeel heeft dat ze nog minder hoeven te handhaven.....

Andere kant van het verhaal als er ECHTE incidenten zijn kunnen ze het niet zelf oplossen....

De komst van Russen is een leuk voorbeeld, het is maar dat de Engelsen kennelijk kunnen zien wie er in Nederland aankomt / vertrekt anders had niemand bij onze overheid geweten dat men stonden te wardriven in Den Haag..... Die hadden net zo goed kunnen roepen "we staan ethisch te hacken" ....
Dit.

Begrijpelijk dat elke situatie anders is en niet letterlijk elke situatie dus kan worden beschreven in de wet, maar de grens tussen 'waarschijnlijk' en 'misschien' is wel heel rekbaar en voor veel interpretatie vatbaar.

Wat mij betreft is dat geen toeval. Je zal toch eens echt moeten gaan handhaven als overheid, stel je voor, harde doelen halen en consequenties nemen. Ik krijg van de wijkagent 3/4 van de tijd niet eens een reactie bij geluidsoverlast.
Als iemand mij porten scant gebruikt hij mijn resources en daar mag hij voor gestraft worden.


Als ik morgen aan je voor en tuindeur zit en door je ramen kijk zou je dan accepteren als ik zeg "don't worry ben een ethische hacker"
Tja je plaatst zelf je server in het publieke internet dat kan je ook niet doen...

Dan is een search engine ook illegaal omdat die op port 80 een request doet naar robots.txt... wat voor wereld wil je leven. Bouw dan maar je eigen internet : koop je eigen land en maak je eigen wetten als je niet wilt dat mensen door je voorraam van je huis heen kijken..
Je auto op straat parkeren is geen uitnodiging als iemand langs auto loopt en portieren controleert pleegt hij gewoon een pogingsdelict.

Dat is geen "ethische preventie van inbraak".
Tja en er naar kijken mag ook niet, want dan verander ik de manier hoe licht reflecteert. zonlicht dat reflecteert van mijn ogen en dan op de auto kaatst, dat is ook illegaal en pleeg ik vandalisme op de lak van je auto.

Kortom: Er is geen eerlijke vergelijking tussen auto en een server op het internet. we stellen regels op en daar moet iedereen zich aan houden, of het individu dat nu leuk en eerlijk vindt of niet (me included :'( ).

[Reactie gewijzigd door joelharkes op 19 oktober 2018 09:31]

Niet eerlijk? Een volwaardige handshake is het zelfde als aan iemand portier trekken.

Voor de letter van de wet maakt (nogmaals) de intentie, methode niets uit.

Gelukkig kun je het OM.middels artikel 12 dwingen om tot vervolging over te gaan indien iemand het bij je gaat proberen.

Men moet gewoon van andermans spullen afblijven.
Voor de letter van de wet maakt (nogmaals) de intentie, methode niets uit.
Gelukkig dient de wet naar de geest, en niet naar de letter geinterpreteerd te worden. En dan maakt intentie dus wel uit
Men moet gewoon van andermans spullen afblijven.
En hoe zie je dat voor je op internet? Eerst schriftelijk toestemming vragen voordat je een website bezoekt? O, nee, dat kan niet, want dan moet je mijn brief lezen en beantwoorden, en dan maak ik dus gebruik van jouw resources. Dus jij bezoekt alleen websites waarvan de eigenaar jou op zijn eigen initiatief toestemming heeft verleend om dat te doen? Dat is namelijk de enige manier waarop jij niet ongevraagd gebruik maakt van andermans resources.
Nu maak je het onnodig ingewikkeld, en dat snap je zelf ook wel.

Het punt is dat een webserver een doel heeft; webpagina's voorschotelen.
Als jij daarnaar gaat SSHen op poorten die niet ter zake doen, terwijl jij daar geen afspraak over hebt met de eigenaar, is dat niet ok.

Het is in de vergelijking precies het verschil tussen
- Tuinpad oplopen en aanbellen, versus
- De tuin in lopen en proberen of de deur of het raam open is.

Bij het laatste geval bel ik de politie.
Als jij daarnaar gaat SSHen op poorten die niet ter zake doen, terwijl jij daar geen afspraak over hebt met de eigenaar, is dat niet ok.
Nee, in theorie niet, inderdaad.

Nu de praktijk. Wat heb je liever, dat je er achter komt dat je voordeur niet op slot was doordat je buurman dat 'illegaal' heeft geprobeerd en jou een berichtje stuurt, of doordat je toko is leeggehaald? Want als je je deur open laat staan gebeurt dat laatste sowieso, vroeg of laat. En dan kun je wel je buurman laten arresteren doordat hij geprobeerd heeft je te waarschuwen, maar ik denk dat je daarmee verder van huis bent.

Ik snap best dat het gevoelsmatig wat lastig ligt. Maar met zo'n 'harde lijn' bereik je alleen maar dat iedereen z'n oogkleppen op doet en we niks anders kunnen doen dan putten dempen nadat alle kalveren verdronken zijn.

Je moet ook niet vergeten dat niet maar zo alles wat je met de beste bedoelingen doet ook ethisch hacken is. Ethisch hacken houdt in dat je geen millimeter verder gaat dan strikt noodzakelijk. Als ik vanaf de straat iets zie waardoor ik het vermoeden krijg dat jouw deur open staat is het dus al illegaal om jouw tuin in te lopen om dat te verifiëren - en, andersom, als ik vanaf de straat niks kan zien waardoor ik zou kunnen vermoeden dat jouw deur wel open staat moet ik met een heel goed verhaal komen waarom ik dan jouw tuin in gelopen ben om dat toch te proberen. Jouw tuin in lopen is onder de regels van ethisch hacken in een heel erg beperkt aantal gevallen te rechtvaardigen. En toevallig is het aan jouw server vragen welke services hij biedt (een poortscan) er daar eentje van.

De vuistregel is dat alles wat jouw server uit zichzelf aan mij teruggeeft als ik erom vraag onder ethisch hacken valt - ook als ik vraag om iets waar jij als beheerder geen rekening hebt gehouden. Als jij alleen pagina 1, 2 en 3 bereikbaar hebt gemaakt en ik met page.php?id=4 jouw hele privé-boekhouding te pakken heb is dat gewoon ethisch, ook al vind jij dat dat niet mag omdat er geen linkje naar is. (Als je daarentegen met bijvoorbeeld UUID's zou werken en ik zou moeten gaan bruteforcen om jouw geheime documenten te bemachtigen mag het weer niet).

Als ik zelf actie moet ondernemen (ergens inloggen, bijvoorbeeld), of jouw server dingen wil gaan laten doen in plaats van alleen maar mij antwoord geven (mail versturen om aan te tonen dat jij per ongeluk een open relay hebt bijvoorbeeld) is het dat niet meer (tenzij de eigenaar van die server een policy heeft dat dat wel mag).

[Reactie gewijzigd door Iknik op 19 oktober 2018 14:52]

[...]
Wat heb je liever, dat je er achter komt dat je voordeur niet op slot was doordat je buurman dat 'illegaal' heeft geprobeerd en jou een berichtje stuurt, of doordat je toko is leeggehaald? Want als je je deur open laat staan gebeurt dat laatste sowieso, vroeg of laat. En dan kun je wel je buurman laten arresteren doordat hij geprobeerd heeft je te waarschuwen, maar ik denk dat je daarmee verder van huis bent.
Ik heb liever dat mensen uit mijn tuin blijven als ze
- geen post komen brengen
- niet komen aanbellen

Met "ethische" reden door mijn tuin gaan lopen is simpelweg niet ok, onder geen enkele voorwaarde.
Er is wel wat meer nodig dan aan deuren voelen im een pogingadelict te doen

Er wordt echt wel naar de feiten en omstandigheden gekeken
Een website met stopautodiefstalzelf.nl en kaartjes in je broekzak met; waarom zat deze auto niet op slot

En het kan wel degelijk ethisch - hacken zijn
Kijken mag best hoor. Zolang je maar niet op mijn grond staat en de plantjes in mn voortuin plat staat te walsen.
Waar baseer je je opmerking op? Ik ken geen plekken in het bedrijfsleven die hier echt negatief tegenover staan. Natuurlijk heb je af en toe wel eens een nieuwsbericht over een bedrijf wat niet happy is maar dat is, naar mijn ervaring, geen representatief beeld van het bedrijfsleven
Hmm, dus al die multinationals doe miljoenen jaarlijks kwijt zijn aan security maatregelen doen dat met plezier?
Nee, die zijn blij dat de producten die ze maken en gebruiken worden gehackt door ethische hackers :p ze zetten zelfs bounty programma's op.

Die security maatregelen zijn juist om de andere kwaadwillende buiten de operatie te houden.

Het probleem is veelal de scheidingslijn. Wat is gewoon netjes gedrag en wat niet? Het is naar mijn mening afhankelijk van het type probleem en het risico terwijl het voor de media/politiek wordt neergezet als simpele principe kwestie
"security" bedrijven maken geen structurele oplossingen, immers als je iets oplost verdien je er niet meer aan.

"Ethische hackers" zijn mensen met een minderwaardigheidscomplex door een term te misbruiken voor iets wat niet perse met computers te maken heeft.

Maar goed er is een hele economie ontstaan en kansarmen moeten nu ook een boterham verdienen....

Tegenwoordig krijg je een t-shirt als je een Cross-site issue vind.... terwijl je een one-liner kunt schrijven die elke site voor je kan vinden en daarmee een hele garderobe voor je hele wijk kunt regelen.....

Het is te gek voor woorden.
Ik hack met een Commodore 64, dan ben je sowieso een 80's verantwoorde hacker. :')
Het probleem is dat als je gepakt wordt, dat het dan inbraak is. Zo niet dan ben je een etische hacker.
Dit volgt dus op dit:
nieuws: Rechter legt geen straf op aan it'er die werd vervolgd na melden van ...

Daar zegt de rechter dat hacken niet is toegestaan (computervredebreuk), maar in dit geval maakt de rechter een uitzondering omdat het hacken voldoet aan een aantal criteria. Dat wil dus zeggen dat elk incident individueel beoordeeld moet worden en dat de bewijs last van intentie bij de hacker ligt. Als je onvoldoende aan kan tonen wat je intenties zijn dat het OM dan naar de rechter zal stappen.

Ik weet niet wat ik van deze situatie moet vinden. Enerzijds is het goed, want ook white hat hackers kunnen wel eens dingen doen die niet door de beugel kunnen. Anderzijds is het natuurlijk wel een belemmering voor beveiligings- en wetenschappelijkonderzoek. De hacker/onderzoeker moet bij elke stap goed nadenken of wat hij/zij wel te verdedigen is.

[Reactie gewijzigd door SizzLorr op 18 oktober 2018 19:26]

Juridisch-technisch gezien zegt de rechter dat hacken niet is toegestaan, ook in dit geval niet. De uitspraak is "Schuldig zonder strafoplegging". Dat is geen vrijspraak. De dader heeft een strafblad.

Uiteraard moet elk geval individueel behandeld worden. Dat is niet alleen bij hacken het geval, het is één van onze grondrechten.

Ik zie ook niet in waarom dit een belemmering is voor onderzoek. Elke wetenschapper die ethische of juridische grenzen opzoekt weet dat het essentieel is om vooraf een plan te hebben, en dat bovendien door onafhankelijke derden te laten beoordelen vóórdat je begint. De meeste universiteiten hebben daarvoor permanente ethische commissies.
Op de TU/e heb je geen permanente ethische commissie, zover ik weet in Delft ook niet. Ethische commissies zijn meestal aangesteld bij alpha studies, veelal bij medische- ,sociale- en geesteswetenschappen. Bij de TU's hebben ze commissies voor wetenschappelijke integriteit maar dat is iets anders. Er is wel een landelijke toetsingscommissie en daarnaast kan op de TU/e en TU Delft de decaan en het faculteitsbestuur om een ok gevraagd worden. Die zullen er dan een aantal instanties bij betrekken. Van een permanente commissie is geen sprake, op een TU kan dat ook niet want elk onderwerp is anders en zal je er experts bij moeten betrekken die verstand hebben van dat onderwerp.

Je hebt recht op individuele behandeling, maar in de praktijk is dat toch net anders. Als jij al de zoveelste inbreker bent die op camera is gepakt dan gaat het OM daar natuurlijk geen moeite voor doen, die gaat op de lopendeband. Als jij de zoveelste hacker bent en duidelijk sporen hebt achter gelaten dan gaat het OM ook geen moeite doen. Daar gaat dat stukje over, over de bewijslast van intentie. Dat iemand heeft gehacked, maar dat duidelijk en aantoonbaar deed vanuit een bepaald maatschappelijk belang zal reden zijn voor het OM niet over te gaan tot vervolging, daar houdt de circus dan op voor meeste white hat hackers. Het OM kan niet iemand veroordelen, ze kunnen alleen naar de bewijzen, wetten en jurisprudentie kijken en aan de hand daarvan besluit om wel of niet tot vervolging over te gaan Dat is waar het hier om gaat, of het OM overgaat tot vervolging, niet of de rechter tot een bepaalde conclusie zal komen. Er is nu jurisprudentie gezet welke het OM zal volgen. Dat is wat het OM probeert te zeggen, in alle andere gevallen zullen ze naar de rechter moeten stappen omdat de rechter nu zegt dat alle vormen van hacken computervredebreuk is, ook white hat.

Dat deze persoon is veroordeeld dat zeg ik ook, computervredebreuk, alleen in dit specifieke geval zijn er enkele criteria waardoor de rechter geen straf oplegt, dat is duidelijk.
Daar zegt de rechter dat hacken niet is toegestaan (computervredebreuk), maar in dit geval maakt de rechter een uitzondering omdat het hacken voldoet aan een aantal criteria.
Als de rechter deze persoon vrij zou spreken dan zou de rechter juist zeggen dat white hat hacken toegestaan is en dat de criteria voor white hat hacken de genoemde zijn. Dus ik snap even niet wat je daar probeer te zeggen. Het zou wel een hele rare situatie zijn dat de rechter zegt dat iets niet is toegestaan, maar daarop die persoon niet veroordeeld.

Wat je nu als onderzoeker moet doen is zeer doelgericht te werk gaan en ook zeer secuur documenteren waar je mee bezig bent. Terwijl meeste hacks (onbekende hacks) toch echt een kwestie is van: "gooi er maar een hoop zooi tegen aan en kijk wat er gebeurt" of "hey mij viel iets raars op, laat ik eens kijken wat ik er allemaal mee kan doen".
Daarmee heeft het handelen van de verdachte op zichzelf bezien een niet onbelangrijke bijdrage geleverd aan de beveiliging van privacygevoelige gegevens van 80.000 personen, wat de rechtbank aanmerkt als het dienen van een wezenlijk maatschappelijk belang.

........

een script geschreven en uitgevoerd waarmee hij de volledige vriendendatabase van [benadeelde] heeft opgevraagd én overgenomen. De verdachte heeft hierover desgevraagd verklaard dat het binnenhalen van de gehele database nodig was om de omvang van het datalek en de aard van de gelekte gegevens te kunnen beoordelen. De rechtbank is echter van oordeel dat het handelen van de verdachte veel verder is gegaan dan noodzakelijk was om het door hem beoogde doel te bereiken. Toen hij erin was geslaagd om handmatig enkele records op te vragen, had de verdachte ermee kunnen volstaan dat aan [benadeelde] te melden. Het was immers niet aan hem, maar in de eerste plaats aan [benadeelde] zelf, om de omvang van het lek te achterhalen.

[Reactie gewijzigd door SizzLorr op 19 oktober 2018 06:44]

Huishoudelijke vraag. Sinds wanneer draagt Leiden het predicaat 'TU'?
Delft bedoel ik, thanks.
ik snap even niet wat je daar probeer te zeggen. Het zou wel een hele rare situatie zijn dat de rechter zegt dat iets niet is toegestaan, maar daarop die persoon niet veroordeeld.
Dat kun je raar vinden, maar dat is precies wat er gebeurt bij een "schuldig zonder strafoplegging".

Dat is fundamenteel iets anders dan een vrijspraak. Een volgende verdachte kan zich beroepen op jurisprudentie uit eerdere zaken, net zoals het OM. Dan maakt het verschil tussen vrijspraak of veroordeling veel uit. Bij de hoogte van de strafmaat daarentegen tellen individuele factoren veel meer. Dat kan een volgende verdachte niet zomaar aanvoeren.
Hij wordt dus wel veroordeeld? Want anders zouden we het hebben over een vrijspraak. Welke is het nou?

[Reactie gewijzigd door SizzLorr op 19 oktober 2018 12:52]

De hacker van het Centraal Bureau voor Genealogie is veroordeeld en dus schuldig. Dat zeg ik al de hele tijd.

Wat het OM in het artikel hierboven zegt is dat je als de gehackte organisatie regels heeft voor responsible disclosure en je volgt als hacker die (bedrijfs)regels, dan vervolgt het OM je niet, en komt het niet eens tot een schuldvraag. Dat is dus fundamenteel anders dan in jow artikel over het Centraal Bureau voor Genealogie
Waarom zou ik dat dan raar moeten vinden?
Ik gebruik vaak ttyrec, om mijn sessies op te nemen.
Dit doe ik voornamelijk, om later terug te kijken wat ik nou gedaan heb. Maar denk dat het voor dit ook wel nuttig is.
Ja, ik ben voornamelijk in de terminal bezig.

[Reactie gewijzigd door wica op 18 oktober 2018 22:42]

Tenzij je meerdere terminals en sessies tegelijk hebt draaien kun je dan niet beter met "history" uit de voeten? Je shell houd het toch al bij wat je doet en wat je gedaan hebt, toch? Waarom dan opnieuw het wiel willen uitvinden?
Nee, je .bash_history is nou niet echt betrouwbaar.
- default maar iets van 500 regels history.
- Je history file wordt overschreven, door de laatste sessie die je sluit.
- Je history bewaard niet, wat de output van je opdracht is.
- zet een spatie voor het command, en het komt niet in je history terecht.

Dus is naar mijn mening, niet nuttig :)
Zet je audit instellingen aan :)
Toch niet acct/sa ?
Mm, dit is ook één van de dingen die ze je aanleren bij diverse cursussen en trainingen voor penetration testers en ethical hackers - zorgen dat je altijd toestemming van de eigenaar van de omgeving hebt om dit te doen.
Dus als ik de volgende keer ga inbreken neem ik het op op video want dan ben ik een ethische inbreker ?
Ergens moet je een grens trekken. Een voortuin oplopen zou je ook inbreken kunnen noemen. We nemen, cultureel, de grens van voordeur en deurbel.

Het OM adviseert nu ook voor een bepaalde houding, een cultuur. En iemand wijzen dat de voordeur niet op slot staat is wat anders dan binnen snuffelen en achteraf pas uitleggen.
Google is ook een 'ethisch' hacker. Regelmatig vinden ze bugs bij Microsoft en communiceren dat ook. Maar als Microsoft naar Google's mening niet snel genoeg een bug fixed, dan publiceren ze de bugs. Mijns inziens op het randje van ethisch...

(Trouwens andersom worden ook wel bugs gezocht/gevonden, al is Google er meer bedreven in...)
En wat heeft wat het ene Amerikaanse bedrijf bij een ander Amerikaans bedrijf doet te maken met hoe ons openbaar ministerie hier mee om gaat?
Beide bedrijven hebben zowel personeel als systemen op Nederlands grondgebied onderhevig aan Nederlandse wetten. Het is heel goed mogelijk dat een Nederlandse Google-Hacker een Nederlandse Microsoft server hackt.
Hoe is dat minder ethisch? Als Google de bug kan vinden kan de rest van de wereld het ook. Hoe langer een kwetsbaarheid niet gepatched is, hoe groter de kans dat er misbruik van gemaakt wordt.

Het publiceren van bugs is (lijkt het) puur een pressiemiddel om ervoor te zorgen dat de bugs zo snel mogelijk worden opgelost.
Dat is niet alleen Microsoft hoor waar ze dat bij doen, maar alle bugs die niet binnen 90 dagen (!) gepatcht worden door de fabrikant / auteur(s).

Laten we eerlijk zijn, 3 maanden is best een behoorlijke tijd. Zeker als al die tijd een zero-day (want daar gaat het hier om, zie ook het Wikipedia lemma) openstaat klaar voor misbruik door anderen..
Ben benieuwd of ze dat ook doen bij bugs die ze binnen google zelf vinden maar zo complex zijn dat ze niet binnen 90 dagen te fixen zijn.
Dat is natuurlijk een beetje een onzinnige opmerking. De bugs van andere bedrijven worden openbaar gemaamt omdat Google waarschijnlijk niet weet of het andere bedrijf er aan werkt, of het gewoon negeert. Het doel van het openbaar maken is het bedrijf aansporen tot actie. Aangezien ze van zichzelf wel weten of ze ergens aan werken, is het niet nodig om zichzelf aan te sporen tot actie.
Als onethisch hacker kun je dit zien als advies om gemanipuleerde logbestanden te generated waarin je onethische handelingen niet te zien zijn.
Ik denk dat het wel handig is dat je logbestanden kloppen met wat een eventueel gehackt bedrijf als logs heeft. Als Facebook in de logs heeft staan dat jij 30 miljoen records hebt gescraped en jij in je logs hebt staan 2 records dan kon dat nog weleens interessant worden.
Eh...
"beleid hebben voor coordinated vulnerability disclosure of responsible disclosure "

dus organisateis die geen beleid hebben, daar ben je als etisch hacker nog steeds vogelvrij? b.v. als je per ongeluk op 1 of andere el cheopo webshop merkt dat je bij gegevens van andere klanten kunt door een id in de url op te hogen, maar die webshop geen beleid heeft. Of je wijzigt de prijs in de submit... (gebeurd nooit meer anno 2018? ;) )

En als het beleid wat ze hebben jouw helemaal niet als redelijk klinkt? als er absurde regels in staan, waar alle verantwordelijkheden op de hacker worden afgeschoven en alle termijnen en communicatie naar de organisatie?

Overingens, ja, een log is handing, maar het kan uiteraard zijn dat je als hacker dingen doet die als resultaat opleveren dat alles veilig is. Moeten die ook in de log?
Een logfile bijhouden? Dat is de taak van de beheerder. Als die geen logfile bijhoudt is het een .....
We hebben er al een naam voor whitehat en blackhat. Lekker als iedereen en zijn moeder hackers "slecht" vindt vanwege de media maar moeten we nou echt het woord "ethisch" er aan vast plakken?
Whitehat en blackhat zijn jargon, het is zo gek nog niet dat er synoniemen voor leken worden uitgevonden. Als je naar de dokter gaat, wil je ook dat-ie gewoon verstaanbaar nederlands spreekt...
Allemaal leuk en aardig; feit is dat hacken al jaren in elke vorm van media synoniem staat voor het inbreken of kraken van systemen. De lezers van deze media zullen het worst wezen of deze "hackers" in werkelijkheid crackers, blackhat hackers, whitehat hackers, etc. zijn. Hackers zijn hackers.

die 0,00001% van de bevolking die wil dat het beestje bij zijn juiste naam wordt genoemd, heeft simpelweg pech!
Het gaat om een beroep. Het is leuk als het je niks kan schelen of er een verschil zit tussen whitehat en blackhat maar dat is net alsof je politie en criminelen op een hoop gooit en zeg dat de een ethisch crimineel is en de ander gewoon crimineel.
We moeten er voor zorgen dat we een lijst bijhouden zodat we onderscheid kunnen maken tussen de goede en slechte......

-Wat doet U voor werk?
-Ik ben een whitehat hacker
-Oh dus je bent een dief?
-Euh nee ik krijg gewoon een salaris en zorg ervoor dat U zo veilig mogelijk op het internet kunt browsen
-Maar ik hoor alleen dat hackers slecht zijn. U doet dus ethisch slechte dingen?
-Laat maar.........
Als je dan gaat zeuren over de betekenis van hacker, moet je de orginele betekenis van het woord opzoeken en je daaraan houden. Een hacker is iemand die dingen doet met een systeem welke de auteur/uitvinder nooit zo bedoeld had ermee. Denk aan je koffiepot aan het netwerk hangen en zo regelen dat je koffie klaar (en warm) is als je van je stoel af gaat en naar beneden loopt.

Dat het woord "hacken" later iets anders (tot twee maal toe) is gaan betekenen is een beetje jammer.
Hoe Is het aanvallen van een systeem zoals het niet bedoel is om te kijken of je erin kan komen anders dan het definitie wat je aangeeft?
Het is juist de aanduiding van whitehat en blackhat dat het gaat om computer netwerk gerelateerd zaken als je het hebt over hacken.
Het probleem ligt in dat ene geval dat je bezig bent op een computer netwerk om iemands data of geld te stelen en het hele concept hacken omzeep helpt en daarmee een stigma creëert dat hacken criminele gedrag is.
Je moet jezelf ook Internet Security Analist noemen. Snapt iedereen. ;)
Kan ik gewoon mijn zwarte pet ophouden...
Penetratie-tester, doe het ook goed in de club ;)
Daarom is het vaak raadzaam om -als ITer naar digileek- te beschrijven wat je doet of waaraan je werkt dan wat je bent :)

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True