Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Nederlander krijgt 377 dagen detentie wegens ddos-aanval met Mirai-botnet

Een twintigjarige man uit Den Haag is door de rechtbank uit die stad schuldig bevonden aan het uitvoeren van ddos-aanvallen met behulp van een Mirai-botnet. Drie aangevallen sites probeerde hij af te persen.

De rechtbank van Den Haag achtte bewezen dat de verdachte in 2016 en 2017 meer dan eens de beschikking had over een Mirai-botnet. Daarmee voerde hij ddos-aanvallen op verschillende niet nader genoemde sites uit. Bij drie sites die platgingen, eiste hij samen met een ander bitcoins om een einde te maken aan de aanvallen. De Hagenaar maakte bovendien reclame met zijn 'ddos-dienst' en verdiende geld door deze ter beschikking te stellen.

De verdachte wist daarnaast in te breken in een server van zijn school en/of het leerlingensysteem Magister. Daarbij kreeg hij toegang tot privémailadressen en -telefoonnummers van personeelsleden van de school.

De rechtbank past het adolescentenstrafrecht toe, omdat de verdachte zeventien jaar was toen hij twee van de bewezen verklaarde aanvallen uitvoerde en hij tot zijn negentiende jaar de beschikking over een Mirai-botnet had. Hij krijgt 377 dagen jeugddetentie, waarvan 360 voorwaardelijk. Dat is minder dan de eis van het OM van 24 maanden.

De verdachte gaf al aan een straf te accepteren en mee te willen werken aan controles 'om verder te kunnen gaan met zijn leven en zijn opleiding software-engineering voort te zetten'. De in beslag genomen pc, Fujitsu-laptop en HTC One van de verdachte worden verbeurd verklaard.

Door Olaf van Miltenburg

Nieuwscoördinator

07-03-2019 • 17:10

103 Linkedin Google+

Reacties (103)

Wijzig sortering
Ik heb laatst ingebroken op het schoolportaal van onze middelbare school, dus ik schrok toch wel even toen ik dit artikel las. Ik denk dan ook dat deze straf meer verhelpt dan alleen deze jongen een les te leren, maar dat het ook mensen meer laat nadenken.
Wij hadden goede bedoelingen en zijn er goed mee weg gekomen, maar het kan dus ook heel anders uitpakken.

Lesje is geleerd :)

[Reactie gewijzigd door SirJesse93 op 7 maart 2019 17:27]

Inbreken met goede bedoelingen? Het blijft inbreken.
Ik vraag me soms wel af waneer iets hacken wordt.

Wij als iter’s hebben allemaal wel eens urls of link aangepast om te kijken wat nog meer op server of site staat.

Soms als ik in een hotels ben check ik voor de fun de beveiliging. gewoon uit interessen om te kijken welke systemen ze gebruiken of om te kijken hoe het gebrouwen is. En soms zonder dat je er naar op zoek bent en bijzondere dingen doet. Rol je zonder opzet tegen een vergeten open netwerkt share of bots je op camera’s zonder login of bijv admin admin.

Ik bedoel een architect bekijkt ook uit oprechte interessen de fundering en gebruikte materialen en hoe een gebouw gebouwd is. Ziet soms ziet hij ook rekenfoutje en zwaken punten of een overbelast punt/balkon in een hotel.

[Reactie gewijzigd door xbeam op 7 maart 2019 19:25]

"Een hacker, ook wel kraker of cracker genoemd, is een persoon die binnendringt in een computernetwerk door de beveiliging te omzeilen. Niet altijd met de bedoeling om illegaal informatie toe te eigenen, maar veelal om aan te tonen dat het netwerk onvoldoende beveiligd is."

In principe hebben wij in de broncode gekeken, links aangepast, gevens ingezien, zonder toestemming van school. We hebben dan wel toestemming gekregen van medeleerlingen om bij hun gegevens te bekijken, maar gezien school verantwoordelijk is voor deze gegevens waren we volgens hen aan het 'hacken', omdat we zonder toestemming van de verantwoordelijke gegevens inzagen.
Snap ik,

Maar je begrijpt mijn vast een beetje. Als een bouwvakker of timmerman kijkt hoe trap of kast gebouwd is vindt iedereen dat normaal en beroeps interessen.

Maar zodra wij als iter’s een blik werpen op iets om hoe iets gebouwd is en welke materialen er gebruikt zijn. Zijn we als we niet oppassen een hacker en of erger een crimineel.

Wat mij betreft is de grens van wanneer kijk je te goed of te diep is veelste vaag.

[Reactie gewijzigd door xbeam op 7 maart 2019 19:28]

Als ik vergeet mijn deur op slot te draaien, en er stapt vervolgens een timmerman bij mij naar binnen om eens te kijken hoe mijn trap of kast in elkaar steekt, dan mag dat ook niet.

Heb het er even bij gezocht: Atrtikel 138 ab
Het gaat er om dat je je opzettelijk (je had het kunnen voorkomen) en wederrechtelijk (je hebt geen toestemming) toegang verschaft. Wat je beschrijft zijn situaties waarin je weet, of redelijkerwijs had kunnen weten, dat je geen toestemming had. Dat je met het aanpassen van een url een pagina kan zien die niet voor iedereen is bedoeld is uiteraard een uiterst brakke beveiliging, maar net als mijn deur die ik even vergeet op slot te draaien, geeft dat je geen recht om eens rond te kijken.

Er zullen best situaties zijn waar die grens vaag is overigens. Maar veel van de dingen waarvan jij aangeeft dat je ze doet, daar kun je tot 2 jaar cel voor krijgen. De wetgever is niet zo gecharmeerd van jouw 'beroepsmatige interesse'.
Ben ik toch niet met je eens.

Een beetje met url's spelen, eens zien wat windows netwerk vertoont, een port scan zelfs: dat is geen inbreken. Dat is rondneuzen in wat er op straat ligt. Dan heb je nog geen beveiliging doorbroken. Dat er teveel op straat ligt is niet de schuld van de nieuwsgierige scharrelaar.

Je kan er over discussiëren of een welcome123 'aanval' in een hotel het doorbreken van beveiliging is.
Gevoelsmatig zeg ik van niet: dat noem ik het doorbreken van geen beveiliging. Een organisatie die z'n huiswerk zo slecht gedaan heeft verbeurt z'n rechten. Maar bij iemand's thuisnetwerk hoor je dat niet te flikken, je weet dat 80% zo lek is als een mandje, maar je blijft er met je poten vanaf.
Lastig.
Je mag het met me oneens zijn, maar Ik maak die wetten niet!

De reden waarom ik eigenlijk poste is dat ik me uit de tijd van die computervrede breuk wet herinner dat er destijds specifiek vergelijking werd gemaakt met de huisvredebreuk wetgeving. Daar doet het er niet toe of je vergeten bent je deur op slot te draaien, de sleutel onder een bloempot hebt gelegd, of dat een inbreker 20 beveiligingssystemen heeft moeten omzeilen - in al die gevallen mag de inbreker volgens die wet niet binnenkomen. (Gratis tip: Voor een uitkering van een verzekering doet het er wel toe).

Om die reden zou het er dus ook in de ICT niet toe moeten doen hoe goed / slecht een systeem beveiligd is, en wordt daar in de wet dus geen enkele kwalitatieve eis aan gehangen. Maw het argument dat iets makkelijk toegankelijk, slecht beveiligd, of - in jouw woorden - op straat ligt, is volgens de wetgever irrelevant.
Wat verder nog wordt meegewogen is de vraag wat je de intenties zijn en wat je met de vergaarde informatie doet. Om bij de vergelijking met huisvredebreuk te blijven: Als je vermoedt dat de schuur van de buren alleen met een haakje "op slot zit", je dit controleert en vervolgens bij de buurman aanbelt met die boodschap dan zal geen rechter je huisvredebreuk aanwrijven. Als je een dag later hetzelfde merkt, een oude krant uit de bak naast de achterdeur vist en opnieuw aanbelt met de boodschap "kijk eens buurman, deze komt uit je oudpapierbak. Als ik een kwaadwillende was dan zou ik je hele schuur leeg kunnen jatten. Houd daar rekening mee want in onze buurt wonen niet alleen maar vrome koorknaapjes," zal de rechter je misschien vermanend toespreken maar verder niet.

Het wordt een ander verhaal als je die buurman direct of indirect schade toebrengt door de schuur leeg te jatten of iemand over de deur van je buurman vertelt en diegene vervolgens de schuur plundert.

Misschien is het leuk om de lemma's over White hat hackers en Hacker ethics te lezen.
> Een organisatie die z'n huiswerk zo slecht gedaan heeft verbeurt z'n rechten.

Is totaal niet waar. Dat iets slecht beveiligd is geeft jou niet het recht binnen te dringen. Als er ergens een blokkade voor staat, op welke manier dan ook, dan is het niet de bedoeling dat je daar naar binnen gaat en dat is iets wat je kwalijk genomen kan worden.

Ik kan ook heel makkelijk over zo'n bouwhek klimmen maar dat geeft mij niet het recht om zo een afgesloten bouwplaats op te lopen.
Aan m'n voordeur kommen voelen of ik die wel op slot gedaan heb (en zelfs dit bij de hele straat)
vind ik toch niet kunnen.
Het zijn vragen he of beter gezegd hypotheses om aan te geven dat dingen heel diffuse zijn in de it.

Om even in jouw vergelijking te je loopt niet zomaar een openstaan de deur binnen om naar de trap te kijken.

Je ben in hotel en uit genodigd om gebruik te maken van het netwerk en ze je hebt bij de reseptie net de sleutel van je deur en netwerk gekregen.

Dus om jou voorbeeld te gebruiken.

Je hebt zelf een meubel maker uit genodigd om koffie te komen drinken en zijn vakmans oog valt op je klasieke goed of slecht gebouwde gebouwde trap.

Is dat dan strafbaar en hacken.
Mij punt is dat dit voor in de IT zeer vaag is

[Reactie gewijzigd door xbeam op 7 maart 2019 20:35]

Ik zal je hypothetische meubelmaker even een stevige zet geven, want volgens mij is ie stapjes aan het doen richting de vraag 'wanneer is iets kijken, en wanneer is het toegang verschaffen'.

Als daar daadwerkelijk discussie over mogelijk is, dan is het in ons kikkerlandje uiteindelijk een rechter die daar uitspraak over doet.

IANAL, maar als je mijn 2ct daarover wilt: Als je met 'kijken' dingen ziet waarvan je redelijkerwijs kan vermoeden dat het niet de bedoeling is dat je die ziet, dan is het een vorm van kijken die wel eens uitgelegd zou kunnen worden als toegang verschaffen.
Precies,

Maar soms zijn dingen zo slecht beveiligt dat je al door normaal gebruik digen ziet waarvan je weet dat het niet bedoeling is dat je ze ziet.

Ik als leek zou bijv denken die trap is stevig en een krakende trap breekt niet. Maar een goede timmerman zal bij de trap op lopen direct horen dat de trap levens levens gevaarlijks en op instorten staat.

Zo is het ook in de it.
Soms loop door een trap hekje waarvan het slot zo gammel is dat het rammelt Maar door je it specialisme en werk als timmerman of sloten maken is het heel natuurlijk dat je een keer extra het hekje open en dicht doet om te hoor aan de rammel wat mis mee is.

Wat je eigenlijk zegt is dat je als timmerman en slotenmaker je dus even mag stoppen en kijken waarom het hek niet goed sluit.

Maar als it’er moet je dus doorlopen en net doen alsof je niets hebt gehoord of gezien.

Het verschil tussen rammelen en kijken waarom iets rammelt. Of net zo lang schudden tot dat een slot wat redelijk dicht zit door het harde schudden toch open gaat is. Wat mij betreft te onduidelijk.

Dat het harde schudden niet mag ben ik het mee eens. Maar wanneer is het hard schudden of voorzichtig rammelen?

Dat blijf ik veelste vaag vinden in Nederland. Daardoor worden er veel veiligheid lekken niet gemeld.
Je loopt als iter het risico dat bij het netjes zeggen dat er iets niet goed beveiligt is het risco dat je nog wordt aangeklaagd ook.

Terwijl de timmerman een bosje bloemen en leven lang gratis koffie krijgt. Omdat netjes door geeft dat het trapgekje niet goed sluit omdat de Trap verzakt is.

[Reactie gewijzigd door xbeam op 8 maart 2019 00:26]

Aan de andere kant, denk ik dat een slotenmaker ook niet gewaardeerd wordt als hij gaat kijken of hij random sloten kan openen :P
Snap je punt maat niemand vindt vreemd als hij even uit intresse aan zijn hotel deur rammelt om te kijken wat de welk type slot en wat kwaliteit is.

En hij als voor de grap test/kijk hoe makelijk hij zijn eigen kamer deur open krijgt. Kunnen mensen zelfs nog lachen als zegt dat hem 2 min en knipoog kosten.

Niemand die het beschuldigt van inbreken en pogin tot diefstal.

Mijn punt is voornamelijk waar ligt de grens en het verschil van rammelen aan je eigen hotel deur slot en inbreken voor een iter.

Voorbeeld vraag mag je met telefoon net werk scannen op ip adressen en kijken wat voor apparaten er oo netwerk zitten.

En mag je dan bijv het ip adres van een camera in browser ingeven om te kijken welk merk/versie het is?

En als hij open staat en kan mee kijken door op vieuw te klikken.

Mag dat ? Of ben al een hacker?
Ben niet echt een ITer maar ik zou toch een mening geven die niet gehinderd is door kennis van zaken.

Kijk waar de vergelijking spaakloopt is dat als iemand gaat proberen de deur van zn eigen kamer open te krijgen dan is dat misschien opmerkelijk maar niet zozeer verkeerd.
Wat een ITer doet op het netwerk van het hotel is het equivalent van de slotenmaker die aan het slot van de buren zit te prutsen. Tenminste daar komt het op neer. Je hebt een sleutel gekregen voor hoterkamer nummer zoveel dus dat betekend dat niet automatisch dat je die sleutel moet proberen op alle andere deuren om te kijken of die open gaan. Daar heb je die sleutel niet voor gekregen.

De IT variant daarvan is dat je een sleutel krijgt tot het netwerk zodat je kan internetten. Niet als doel om te kijken of dat netwerk wel goed is dichtgetimmerd. Dat lijkt onschuldig in eerste instantie maar straks kom je gevoelige informatie tegen. Informatie die niet voor jou bedoeld is. Dat is hetzelfde als bij de buren dat slot proberen los te maken en als dat lukt je buurvrouw in de douche aantreffen.
Ja en nee.

Je geeft precies het probleem aan. De maatschappij heeft te wijnig kennis om het abstracte begrijpen wat nu echt hacken (inbreken ) en rammelen is.

Het rammelen word te vaak gezien als inbreke of hacken en omdat mensen het begrijpen is het gelijk eng.

Weer terug naar de slotenmaker en hotel kamer vergelijking

Bij een verkeerd geconfrigeerde firewall/gateway loop ik als internet gebruiker van het hotel risco op verleis data of nog erger verlies geld door spoofing of een man in the middel.

Dat een slotenmaker aan het slot rammelt om kijk hoe goed het slot is. En dan vanuit zijn professie kan inschatten of het veilig is zijn spullen onbeheerd in de kamer achter te laten. En als het geen veilig slot en hij meld dat bij receptie is er niets aan de hand.

Maar wanneer iter dus checkt hoe het internet slot( de gateway) werkt. Waardoor hij kan beoordelen of het veilig is en zijn bankzaken te regelen vanuit zijn hotel kamer.

Is dat dus strafbaar en als hij ziet dat slot zo slecht is dat dat ander gasten exht gevaar lopen. Mag of durft hij dus niets te zeggen omdat er kans bestaat dat ook nog eens strafrechtelijk vervolgt wordt.

Wat hij fysiek doet is niet inbreken maar uitbreken. Hij is fysiek al binnen. Dat hij voor dat rammelen aan de gateway inbreekt op de gateway. kijken of een gateway vatbaar is voor de standaart veel gebruike exploids is technische inbreken op router. Maar eigenlijk het dit zelfde als dat een sloten maker rammelt aan het slot om te kijken hoe goed hij sluiten.
Ik snap je punt inderdaad.

In principe is het gewoon kijken hoe iets werkt, in andere beroepstakken is dat niet gelijk strafbaar.

Echter gaat het binnen de IT vaak om gevoelige informatie welke in theorie meer schade kan aanrichten als het bekijken van het onderstel van een auto.

Maar inderdaad, het is vrij lastig om een grens te trekken tussen wat wel mag en wat niet mag.
Sorry,

Een hacker heeft totaal niets te maken met een cracker.
Hackers zijn in feit knutselaars, waarbij in de volksmond eerder gekeken worden naar personen die computersystemen aanvallen en erop inbreken. Naargelang de ingesteldheid kan je spreken van white hats, grey hats en Black hats.

Een cracker is iemand die de beveiliging van software tracht te omzeilen voor persoonlijk gewin, om licenties te omzeilen of er malware in te stoppen. Men spreekt hier meer van criminele bedoelingen.


Deze opsplitsing is misschien wat kort door de bocht, maar er is we degelijk een verschil.


Iemand die een ddos-aanval doet, is geen van beide. Je hebt gewoon resources nodig en toegang (al dan niet publiek) tot de dienst die je wil aanvallen.
Sorry,

20 jaar geleden was ik het met je eens;
10 jaar geleden misschien ook nog wel.

Maar ondertussen? Er is nog steeds een klein clubje dat probeert uit te leggen dat hackers whizzkids zijn, en crackers inbrekers van netwerken / computers. Maar ze krijgen het er niet door bij de rest van de wereld; google eens op 'hacker woordenboek', velen, zelfs van Dale, spreken je tegen.

Als iedereen na al die jaren nog steeds overtuigd is dat hackers de inbrekers zijn, en crackers iets waar je een laag boter en een plak kaas op doet.... Tsja, taal leeft, ik laat het los, de meerderheid krijgt gelijk deze keer.
Maar hoe noem je de nerds dan die alleen maar dingen uit elkaar halen om te zien hoe iets werkt of dingen verbouwen om alternatieve toepassingen te vinden? Die oa. ook pleiten voor het recht op reparatie en voorstander zijn van open-source software omwille van de transparantie?

Uitvinders?

Tweakers? :+
Onderzoekers, echter gaat het dan om je eigen eigendommen, en niet om die van iemand anders.
Onderzoekers, echter gaat het dan om je eigen eigendommen, en niet om die van iemand anders.
Ware het niet dat fabrikanten steeds meer proberen om "jouw" eigendommen weer toe te eigen als zijnde van de fabrikant...

Is het rooten van een Android-telefoon of het jailbreaken van een iPhone computervredebreuk? Ik denk dat je twee verschillende antwoorden krijgt als je het aan een gebruiker of aan de legal department van Apple vraagt.
Het is een lastige situatie, want voor elk van jouw dingen gelden andere regels, doordat het andere acties zijn.
Ik ga even heel kort door de bocht, maar het is ongeveer als volgt :

Broncode bekijken = sniffing ; mag.
links aangepast (URL snooping) = sniffing ; mag. (discutabel)
gegevens inzien zonder toestemming van school (inloggen met een account, waar jij geen toestemming voor hebt) = computervredebreuk ; mag niet.

port scan = sniffing ; mag
port aanvallen om toegang te verschaffen = hacken ; mag niet
port gebruiken om op een login pagina te komen & credentials van user X invullen = computervredebreuk ; mag niet
port gebruiken als bevoegde gebruiker = normaal ; Business as usual

edit; typo
Belangrijk om te beseffen is :
Computervredebreuk ≠ Hacken

[Reactie gewijzigd door w0nnapl4y op 8 maart 2019 11:06]

bedoel je nu dat iedere leerling van de school op de hoogte was van jouw hack ?
Nee, dat niet. Echter alle docenten.
White hacking binnen school zou an sich kunnen, MITS IT / Systeembeheer hier van weet EN goedkeuring geeft ;)

(Uiteraard zal wel gevraagd worden om een korte demo te geven hoe het gelukt is)
Wij waren aan het grey hacken, gezien de ICT er niets van wist :P. We hebben ze later een lijst gegeven met alle fouten in het systeem waar ze blij mee waren.
Hopelijk hebben jullie in dit grijs gebied genoeg ethiek om niet in vertrouwelijke gegevens te grasduinen.
Alleen van medeleerlingen die toestemming hadden gegeven aan ons :P.
Het systeem is niet van de leerling waar je toestemming van had. De data ook niet trouwens.
Fijn dat ze positief hebben gereageerd.

Ik heb eens een lek gevonden en misbruikt om te kijken wat ik kon verder. Toen ik vertelde aan systeembeheer dat ik alle documenten van leerlingen en leraren kon inzien, zeiden ze dat ik dat dan maar niet moest doen. Toen ik eenmaal een USB stick met 8gb aan documenten van leraren en leerlingen aanleverde werden ze erg boos, maar de volgende dag was het gefixt.

Zo te lezen goed vanaf gekomen, al vind ik de actie in het artikel wel veel ingrijpender. Zijn sanctie komt neer op 17 dagen zitten.

Edit: ik heb de documenten niet bekeken, enkel gedownload naar een USB stick.

[Reactie gewijzigd door skunkopaat op 7 maart 2019 17:52]

Ik heb zo ongeveer hetzelfde uitgevonden. Toen wij (we waren met zn tweeën), hebben we alleen gegevens ingezien van mensen van wie we toestemming hadden. Daarna zijn we verder gaan zoeken of we op dezelfde manier nog veel kwalijkere dingen konden vinden.
Je beredenering klopt niet, je bent nog steeds onder white hat bezig. Over gray hat kan je spreken als je in eerste instantie onder white hat opereert, maar toch de boel misbruikt om een aardig zakcentje/iets anders voordeligs aan over te houden (twee gezichten).

[Reactie gewijzigd door Baris op 8 maart 2019 06:20]

Grey hacken is geloof ik goede bedoelingen hebben, maar geen toestemming hebben.

Of andersom, zoals jij zegt idd; slechte bedoelingen hebben maar wel toestemming hebben (om te white hacken :P)
Klopt, daarom verbaas ik me ook hoe makkelijk we er vanaf zijn gekomen. Alleen een excuusje en beloven het niet meer te doen :P.
Hoe oud waren jullie toen 13 jaar, want je bent nu 15?

Of klopt je profiel niet?

[Reactie gewijzigd door AmigaWolf op 7 maart 2019 20:21]

Ik ben net 16, HAVO 5 :).
Sorry ja 16 jaar dat bedoel ik, dacht nog aan 2018.
de enigen die mogen inbreken zijn de politie en inlichtingen diensten.

toch ?
Daar kwam je erg makkelijk van af.
Een vriend van me heeft een paar maanden geleden het netwerk van de school plat gelegd en hij was 3 dagen geschorst.

Een groepje leerlingen (waaronder ik) bij mij op school weet het administrator wachtwoord wat op letterlijk elke pc op school gebruikt word. Het is een heel simpel woord (een dier). De systeembeheerder weet al 6 jaar dat dit wachtwoord bij leerlingen bekend is en hij heeft het nog steeds niet aangepast.

[Reactie gewijzigd door MarnickS op 7 maart 2019 19:03]

Ja inderdaad.
Nou heb ik geen misbruik gemaakt en/of andere mensen gehinderd (in tegenstelling tot je vriend :)). Maar toch ben ik er inderdaad makkelijk vanaf gekomen.

Niet dat ik het graag erger had gewild, maar het feit dat ik niet geschorst ben is toch wel fijn ;).
Och, systeembeheer op scholen stelt vaak niets voor en dat weten ze ook. Zelf heb ik ook iets dergelijks uitgespookt 20 jaar geleden op school, in de brugklas. Alles werkte daar toen met Novell Netware en de beheerder had er duidelijk bar weinig verstand van. Na wat ongein op het matje geroepen met mijn collega-“hacker”. Even flink foei gezegd en we mochten een maand niet op de PCs op school.

Als school moet je dergelijke zaken ook niet te hard afstraffen. Het is vooral puberaal gedrag van ICT-nerds. Corrigeren is prima, maar het “talent” moet je niet te veel ontmoedigen.
Och, systeembeheer op scholen stelt vaak niets voor en dat weten ze ook. Zelf heb ik ook iets dergelijks uitgespookt 20 jaar geleden op school, in de brugklas. Alles werkte daar toen met Novell Netware en de beheerder had er duidelijk bar weinig verstand van.
Die NetWare-netwerken van 20 jaar geleden stelden ook echt niks voor als je het met tegenwoordig vergelijkt. Wij waren dikke maatjes met de systeembeheerders en die waren zelf de grootste hackers -- tot op het punt aan toe dat ze op elke PC in het computerlokaal een aparte Novell-share hadden ingesteld zodat we in de pauze met 30 man konden Quaken. :Y)
is toevallig meikever het wachtwoord?
Oh hey jij bent de broer van Stefan!

[Reactie gewijzigd door MarnickS op 8 maart 2019 09:13]

Ja klopt haha.Toen ik daar op school zat hadden ze dat wachtwoord al :Y)
Dat ging volgens mij meer om de intentie het netwerk plat te leggen, met het feit dat dat gelukt is als bewijs. :+
Ik herinner me iemand een jaar of 25 geleden die op de hele school de cdrom-la's tegelijk wist te openen. Die moest verplicht voor de klas een technische uitleg geven over hoe je dat doet. (Een paasvakantie kauwgom steken was de andere optie)

[Reactie gewijzigd door blorf op 8 maart 2019 20:10]

Ik denk dat jouw actie een iets ander kaliber is dan bovenstaand artikel. Iets met bewust een site aanvallen met afpersing als doel.

@SirJesse93 Waarom schrijf je dit hier zo open. Niet handig mocht een potentieel werkgever een keer graven.

[Reactie gewijzigd door M14 op 7 maart 2019 17:20]

(Potentieel) werkgevers mogen niet graven naar sollicitanten. Ze mogen zich alleen baseren op door sollicitant verstrekte informatie of informatie verkregen met instemming van de sollicitant.
Wat een onzin... Natuurlijk mag je een naam op google intypen... De code van de NVP is geen wet en is verouderd.... Hoe zie je dat voor je: iedereen wordt tegenwoordig via linkedin benaderd maar je mag niet naar een profiel kijken?

In mijn vakgebied (milieu-advies) kan je je toch niet voorstellen dat iemand in zijn vrije tijd een klimaat-ontkenner is? Of dat een rechts-radicaal komt te werken in een asielzoekerscentrum, om maar iets te noemen?

En natuurlijk zijn er genoeg banen waar het inderdaad helemaal niet uitmaakt hoe je over maatschappelijke discussies denkt.
I stand corrected. Ik heb van twee werkgevers vernomen dat zij zich aan deze regels dienden te houden, maar heb het zelf nooit nagetrokken. Het zou niet misstaan als een wet, overigens.

Ik zie niet in waarom iemand bij voorbaat afgewezen zou moeten worden bij een asielzoekerscentrum als rechts-radicaal. Laat de sollicitant tijdens zijn gesprek maar duidelijk maken waarom hij daar goed op zijn plek denkt te zijn.
Daarom staat er in veel vacature-advertenties ook dat de potentiele werkgever of recruiter zich het recht voorbehoud om informatie te zoeken op sociale media. Dan geeft je impliciet toestemming door te solliciteren. Of ze er mee weg komen wanneer ze je op basis van de gevonden informatie afwijzen is een tweede, maar kom daar maar eens achter. Ze zullen je een standaard afwijzing sturen met de mededeling dat ze voldoende sollicitanten hebben die beter bij het gezochte profiel passen.
Denk ik ook, maar ergens ook wel gelijk. Weliswaar niet op dit niveau, maar ik kon makkelijk geschorst worden voor een flinke tijd (wat niet handig is vlak voor de examens) en met gemak een aangifte tegen ons worden gedaan.

Edit: Waarom ik er zo open over schrijf? Ik denk niet dat een werkgever dit niet zo heel erg vind zolang maar weet dat je fout zat, of dat iets niet heel handig was.

[Reactie gewijzigd door SirJesse93 op 7 maart 2019 18:26]

Ik denk niet dat hij "Ik ben SirJesse93 van Tweakers" op zijn CV zet.

Nee ik zet mijn Tweakers username ook niet op mijn CV :P
offtopic: ik de mijne wel.

Edit: helemaal vanboven zelfs, een van de eerste regels. Gooi er wel een spatie bij, om het wat moeilijker te maken :+

[Reactie gewijzigd door bramvandeperre op 7 maart 2019 22:16]

Ik denk dat het afpersen het zwaarste weegt, het DDoS'en opzich minder.
Met de DDoS-aanvallen zijn niet alleen storingen veroorzaakt bij de betreffende websites, maar wordt bovendien schade toegebracht aan de bedrijven achter die websites. Bij de DDoS-aanvallen maakte de verdachte gebruik van botnets, waarmee dus ook schade is toegebracht aan de geïnfecteerde computers en andere apparaten. Bovendien veroorzaken deze aanvallen veel ongemak. De verdachte heeft hier geen oog voor gehad en heeft hierbij niet alleen doelloos (kijken of het kan), maar ook zeker vanuit het oogmerk er zelf aan te kunnen verdienen, gehandeld. Dit rekent de rechtbank de verdachte aan.
Voor hacken, geen schade veroorzaken en zo min mogelijk inzien en meteen melden en er vooral geen misbruik van maken hoef je geen 2 jaar de cel in.

Kijk bijvoorbeeld eens hoe het NCSC er mee omgaat, https://www.ncsc.nl/incid...e-disclosure-melding.html

[Reactie gewijzigd door GrooV op 7 maart 2019 17:23]

DDoS zal vooral in civiele zaken ernstige problemen kunnen opleveren. De schade die je bij bedrijven veroorzaakt kan snel zeer hoog worden en die gaan dat op jouw willen verhalen.
Jij runde hopelijk geen botnet en deed niet aan afpersing van websites?

Dit is toch wel van heel andere orde dan een beetje klooien op een webportal. Overigens zijn er ook manieren om legaal naar beveiligingsproblemen op websites te zoeken, misschien is een cursus ethical hacker wel iets voor je.

[Reactie gewijzigd door GekkePrutser op 7 maart 2019 18:59]

Nee inderdaad niet :),

Ik probeer het ook niet te vergelijken, ik probeer alleen wel te zeggen dat dit soort berichten volgens mij andere mensen wel kan laten afschrikken om zich van dit soort praktijken te weerhouden.
Ongeautoriseerd toegang zowel fysiek als digitaal zijn gewoon strafbaar. Overigens zelfs met een verkregen sleutel (fysiek, pasje, gebruikersnaam/wachtwoord/et cetera) is het strafbaar.
Ik ben een keer in de problemen gekomen omdat ik niet gestudeerd had voor een programmeer examen op school, dat via computers op school werd afgenomen. Ik was een jaar of 16 toen, het was het 5de jaar middelbaar in België.

Ik had toen veel mentale problemen en ik kon de focus niet opbrengen om te studeren. Uit paniek heb ik toen het schoolnetwerk gesaboteerd door een simpele ARP spoof via mijn laptop op het draadloze netwerk. (bij ARP spoofing vervals je het MAC address in TCP/IP packets waardoor bij een slecht geconfigureerd netwerk je nu al het verkeer voor een bepaald IP adres naar je eigen systeem kunt omleiden, het hele school netwerk verzond toen al zijn pakketjes naar mijn laptop en toen werkte er niks meer)

Medestudentje heeft mij verklikt. Flinke strafstudie te pakken en een 0 op mijn examen .... :(

Nu ja, lesje geleerd. Je bent jong en je doen domme dingen .... maar die systeem administrator van het school had zijn netwerk toch echt wel wat beter kunnen afstellen hoor ....
Geweldig verhaal, ik geloof je ook, want je verteld ongeveer dat, wat veel SysAdmins, in de praktijk, fout doen...... :D }> :+ :*) 8-)
Ik vind dat het meer een les moet zijn voor de systeembeheerders op scholen dan voor de leerlingen.

In een grijsverleden hebben wij een keer de printer server uit de lucht gehaald om hem vervolgens weer in de lucht te brengen als Counter Strike server. Het heeft de systeembeheerder een aantal weken tot maanden geduurd voordat hij dat in de gaten had en toen maar bij ons moest aankloppen waarom hij geen toegang meer had. Zo draaide wij ook scripts op alle school systemen die op willekeurige momenten van die netsend berichten liet zien en de CD-tray open gooide. Allemaal eigenlijk alleen mogelijk omdat de systeembeheerder helemaal niets had dicht getimmerd, in de gedachte "zo slim zijn ze niet".

Maar uiteindelijk is het weer een typische Nederlandse "foei, niet meer doen"-straf. Hij krijgt 377 dagen jeugddetentie, waarvan 360 voorwaardelijk. Dus hij hoeft maar 17 daagjes op vakantie bij justitie. Wat een handige advocaat natuurlijk wel naar 0 had kunnen lullen in verband met dagen in voorarrest etc.

Uiteindelijk wordt de jongen gestraft voor het slechte werk van de systeembeheerder.
De in beslag genomen pc, Fujitsu-laptop en HTC One van de verdachte worden verbeurd verklaard.
Hier zie ik dan het nut niet van in. Het zijn niet echt spullen van grote waarde welke verkregen zijn door de strafbare handelingen.

Overigens kan ik me prima vinden in de straf. Het is een flinke tik op de vingers, maar die jongen krijgt nog wel de kans om wat van z'n leven te maken.
Het zijn hulpmiddelen die vermodelijk gebruikt zijn bij het uitvoeren van illegale activiteiten. Dat deze verbeurd verklaard worden mag dus niet zo opmerkelijk zijn. De waarde doet niet ter zake. Ze zullen allesinds niet opnieuw gebruikt worden om illegale feiten mee te plegen.
Maar met die redenatie kun je ook z'n bureau, schoenen en onderbroek in beslag nemen. De goederen zijn zo alledaags. Als het nu een of andere speciaal voor deze toepassing gebouwde zender was.... Of heel specifiek inbrekersgereedschap... Dan had ik er wel begrip voor.
Zo gaat dat nu eenmaal. Als jij een wietplantage hebt, wordt je gieter ook verbeurd verklaard, net als de groeilampen e.d. Tools of the trade, ook al zijn ze voor andere dingen te gebruiken. Schoenen en buro niet. Dat valt in een andere categorie.
Het zijn hulpmiddelen die vermodelijk gebruikt zijn bij het uitvoeren van illegale activiteiten.
Het is apparatuur die noodzakelijk is voor de werkelijke hulpmiddelen: de software en gegevens die hij heeft gebruikt. Dat zal wel niet meer op die apparatuur staan, dus in die zin is/bevat die niet (meer) de hulpmiddelen die hij heeft gebruikt.
Praktisch gezien is de inbeslagname niet meer dan een geldboete bovenop de opgelegde straf.
Ik vind het ook raar. Het zijn geen unieke hulpmiddelen die niet meer repliceerbaar zijn. Tools om een DDOS aan te sturen e.d. zijn met een beetje moeite nog steeds te vinden.

Hetzelfde als van een inbreker zijn gereedschapskist verbeurd wordt verklaard. Leuk en aardig, maar bij een willekeurige bouwmarkt, discounter of kringloop kan weer een nieuwe gereedschapskist worden gekocht.

Ik vraag me wel af wat er met de data erop wordt gebeurd. Foto's, administratie, zijn schoolwerk, e.d. . Lijkt me iets te persoonlijk om zomaar verbeurd te verklaren.

[Reactie gewijzigd door RoestVrijStaal op 7 maart 2019 21:37]

Die data ben je kwijt tenzij grote uitzondering en toestemming van OvJ. Denk aan een script of bedrijfsadministratie.
17 dagen dus feitelijk? Waarschijnlijk had hij al langer in voorarrest gezeten (PS leuk die details van de merken laptop en telefoon van de veroordeelde.)

[Reactie gewijzigd door litebyte op 7 maart 2019 17:19]

3 dagen voor verhoor (gebruikelijk) en waarschijnlijk tot twee maal toe een verlenging van een week (ook niet ongebruikelijk).
Ik vermoed dat enkel het voorarrest is geteld. ;)

Maar wel een strafblad, en meteen 'n jaar achter het hek zodra je opnieuw de fout in gaat.
Maar wel een strafblad, en meteen 'n jaar achter het hek zodra je opnieuw de fout in gaat.
Inderdaad... maar als ik hem was, zou ik een baan in computerbeveiliging bedrijf vinden en als hij iets wil hacken om te controleren of het niet lek is, heeft hij gewoon een goedkeuring (dus toezicht) nodig.
Op die manier belandt hij niet meteen in cel!
Of hij kan iemand vragen om voor hem te typen, op die manier overtreedt hij helemaal geen wetten!!!! :P
Maar arme collega wel, TENZIJ hij bij computerbeveiliging werkt EN hij is geautoriseerd om te hacken, dan is het geen probleem.
Ik zou zo'n persoon voorlopig in geen enkel IT gerelateerd bedrijf meer aannemen. Dit is gewoon crimineel gedrag geweest wat niet meer onder de noemer 'digitaal kattenkwaad' valt.
Het was ook niet per ongeluk, gewoon met voorbedachte rade en bewust. Ik ben het wel met je eens. Heeft niets met kattekwaad te maken. Ondanks dat een jaartje zitten niet echt weinig is, het signaal is nu wel gegeven dat beetje ddos-en zonder afpersen dus niet veel risico meebrengt. Wat ik heel jammer vind. Ik snap dat het niet ^ zo is. Maar zo zullen velen het wel zien.
Niet veel risico? Op je 20e een jaar in de bak vind ik anders best heftig.
Hij krijgt geen VoG, dus het is uitgesloten dat 'ie iets met serieuze computersecurity gaat doen, de komende jaren.

Je voorstel is vergelijkbaar met voorstellen dat iemand die zonder rijbewijs dronken een fietser het ziekenhuis in gereden heeft chauffeur bij het scholierenvervoer moet worden. Dat gaat ook niet door, daar hebben we wetten voor. (Ook de VoG.)
Een vog is gerelateerd aan de functie waar een persoon mogelijk in werkzaam wordt. Als hij badmeester, conducteur, chauffeur etc wil worden is m.s. deze zielige daad niet beperkend voor een vog verklaring.
Functies met gevoelige informatie, technische functies van maatschappelijk belang (ict bij grote bedrijven etc), tja, daar heeft deze puber een lange weg te gaan...
Tsja, dat werkte tien jaar geleden ;) tegenwoorig heb je daar overal 'n beste achtergrondcheck omdat je met gevoelige informatie in aanraking komt.
Dat valt tegen.

In 25 jaar in de BI, waar je doorgaans heel brede toegang hebt, heb ik maar twee keer van een achtergrond check geweten. Een keer overheid, een keer bank. De rest vraagt hooguit om een VoG, lang niet altijd, maar de laatste tijd wel vaker. Nog nooit meegemaakt dat er om een vernieuwing van een verlopen VoG werd gevraagd.
Inderdaad... maar als ik hem was, zou ik een baan in computerbeveiliging bedrijf vinden...
Over het algemeen willen die graag een VOG zien, en laat dat nou net iets zijn waar je je kans heel mooi op verspeeld hebt met dit soort acties.
Nu staat de deur open voor de getroffen bedrijven om hem civielrechtelijk aan te pakken.
Iets wat ze hopelijk gaan doen.
Nogal pretentieuze kop; die 377 dagen krijgt ie nu niet, maar als ie nog een keer iets flikt.
Het hangt hem boven het hoofd, en hopelijk is dat genoeg om zich vanaf nu te gedragen.
(De werkelijke 17 dagen lijken me overigens ook geen pretje, maar dat pakt toch wat minder, als kop)
pretentieuze kop
zeg maar gewoon leugenachtige clickbait titel !
Man, ik hoop dat ie ervan geleerd heeft.
Bepaalde VOG's ga je nu nooit meer krijgen. Vergeet menig baan maar, integriteit is compleet beschadigd en dat kun je nooit meer herstellen in de ogen van menig instantie.
Lachwekkende straf. Wedden dat die 17 dagen voorarrest was.

Overheid doe kosten/baten analyse, zinloze vervolging, verspilling van resources.
De emotionele kant wordt hier niet zichtbaar. Grote kans dat deze jongen zijn acties oprecht spijt. Goed, je kunt de discussie nog voeren dat iedereen spijt bekend. Maar is het dan spijt voor de daden of het feit dat je bent gepakt?

Hoe-dan-ook heeft de jongeman een strafblad. Gezien zijn vervolgopleiding kan dat nog problemen opleveren met het krijgen van aan VOG. Ook het aanvragen van verzekeringen en dergelijke kan moeilijk(er) zijn. Want ook die mogen je nu weigeren.

Er is dus zeker wel een 'onzichtbare' straf. Hij is immer veroordeeld. De jeugddetentie vind ik echter te mild. Hij is twee jaar, gericht, bezig geweest met afpersing nota bene. Daar had zeker minder laks naar gekeken mogen worden.
De emotionele waarde van de slachtoffers is ook niet zichtbaar, lijkt me dat die leidend moeten zijn. Lastig om in een "spijt" te geloven, een DDOS op deze manier inzetten is geen simpel vandalisme, het toont een sadistisch karakter.
Lachwekkende straf. Wedden dat die 17 dagen voorarrest was.
Dat is heel mogelijk...
:')
Wat is jouw voorstel dan? Dit soort zaken ongestraft laten of een hogere straf (die de samenleving nog meer kost)?
Ik las eerst 1337 dagen :Y)
Waarom 377 ?
Doe dan 1337...


Te laat 8)7

[Reactie gewijzigd door NoUser op 7 maart 2019 18:13]

Het heeft niks met hacken te maken natuurlijk en ik ben verre van een deskundige maar bij ons op school heb ik eens bedacht dat de pc's op school geformatteerd konden worden.
We hadden windows waarin ms-dos niet toegankelijk was en deze computer ook niet.
Ik heb via een .bat bestand het commando Format c: uitgevoerd en hoefde alleen maar op y te drukken.
Nog niet eens 30 seconden werk.
Melding van gemaakt maar ik was de boosdoener natuurlijk, als het gebeurde "wisten" ze dat ik het was.
Vond het wel een strakke actie eerlijk gezegd XD.
Nooit meer wat van gehoord en ook niet geprobeerd.

Was in 1996 ofzo.


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True