Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Security-onderzoeker die WannaCry stopte bekent schuld over eigen malware

De security-onderzoeker die de killswitch van de WannaCry-ransomware ontdekte, maar gearresteerd werd vanwege het maken van zijn eigen malware, bekent nu schuld. In ruil voor een schuldbekentenis omtrent malware uit 2015, worden andere aanklachten teruggetrokken.

Marcus Hutchins, ook bekend onder de username MalwareTech, ontdekte na een analyse van de WannaCry-malware dat deze contact zocht met een domeinnaam die nog niet geregistreerd was. Hij besloot uit te zoeken wat er gebeurde als hij dat wel deed en het resultaat was dat de ransomware zijn opmars over de wereld stopte. De malware richtte veel schade aan en Hutchins' ontdekking werd dan ook behoorlijk gewaardeerd. Dit was in mei van 2017.

De Britse Hutchins werd echter drie maanden later in Las Vegas gearresteerd door de FBI. Dit op verdenking van het maken, verspreiden en beheren van de Kronos-bankingmalware tussen 2012 en 2015. Later kwamen daar nog meer aanklachten bij, waaronder het maken van de malware Upas Kit en liegen tegen de FBI.

Hutchins bekent nu schuld op twee fronten: deel uitmaken van een samenzwering om malware te maken en om die te verspreiden. In ruil daarvoor laten aanklagers acht andere aanklachten vallen. Dat schrijft ZDNet op basis van stukken die ze bemachtigd en gepubliceerd hebben. Ook op zijn eigen website publiceert Hutchins zijn bekentenis. "Ik heb spijt van deze handelingen en neem de volle verantwoordelijkheid ervoor. Sinds ik volwassen ben geworden, gebruik ik deze vaardigheden alleen nog voor constructieve doeleinden", schrijft de 24-jarige man.

Hutchins had tot nu toe altijd stellig schuld ontkend en beweerde dat de FBI hem had ondervraagd terwijl hij uitgeput en onder invloed van alcohol was. De agenten zouden hem ook misleid hebben over het ware doel achter het verhoor. De resultaten van dat verhoor zijn echter alsnog in de rechtszaal beland als bewijsmateriaal. Hutchins kan per aanklacht waarvoor hij nu schuld bekent tot vijf jaar celstraf krijgen en tot 250.000 dollar boete opgelegd krijgen.

De WannaCry-ransomware heeft voor honderden miljoenen euro's aan schade aangericht. De Windows-kwetsbaarheid waar het gebruik van maakte, was eigenlijk al gedicht door Microsoft, maar WannaCry wist alsnog wortel te schieten dankzij systemen die achterliepen op updates.

Door Mark Hendrikman

Nieuwsposter

20-04-2019 • 10:46

145 Linkedin Google+

Submitter: Radiant

Reacties (145)

Wijzig sortering
Heel vaak lees je bij berichten over jeugdigen die computercriminaliteit plegen: 'Joh zo'n talent moet je niet straffen, maar een baan geven!'.
Zou iemand dit talent nog een baan willen geven, vraag ik me dan af?
Denk aan de piramide van Maslow.

Ik wil eerst zien dat mensen zich ethisch en moreel gedragen, dan pas ben ik benieuwd naar wat ze kunnen.

Ethiek, moraliteit, normen en waarden, het zijn de basis fundamenten waar we op bouwen. Dat kun je niet compromitteren door (ex)criminelen in te huren. Je geeft dan een heel negatief signaal af. Je compromitteert je kernwaarden.

En dat is ook een slag in het gezicht van al die andere mensen die zich wél netjes gedragen. Zij bouwen aan iets en jij gaat dit dan bedreigen door 'rotte appels' naar binnen te halen. Je bedreigt (onderling) vertrouwen.

Niet dat mensen niet hun leven zouden kunnen beteren. Maar je weet nooit met wie je te maken hebt. Dan neem ik liever geen risico en ga ik met 'bewezen' mensen in zee. Die zijn er genoeg.

De wereld draait uiteindelijk niet op een paar briljante individuen, maar op de overgrote morele meerderheid, de 'gewone en vaak onzichtbare mensen' die misschien niet enorm uitblinken en de voorpagina halen, maar betrouwbaar zijn en goed werk afleveren.

Voor mij is talent weinig waard als je normen en waarden al gecompromitteerd zijn.
Wie gedraagt zich altijd ethisch en moreel? En is het een garantie dat mensen die zich 'altijd' ethisch en moreel gedragen hebben dat ook blijven doen? Mensen kunnen veranderlijk zijn.

Hij heeft als tiener het randje opgezocht en is erover gegaan, en hopelijk heeft hij ervan geleerd. Eigenlijk heel eenvoudig in de IT, het lijken toch maar vaak nulletjes en eentjes, beetje de spanning van 'kijken of het lukt'. Voor mij is dat anders dan iemand die een paar jaar bankovervaller is geweest bijvoorbeeld, ook al kan de schade gelijk zijn. Niet dat 't niet strafbaar moet zijn, zeker wel.

Ik ken meerdere mensen in mijn omgeving die als tiener hebben lopen hacken, cijferssyteem op school binnengedrongen en cijfers aangepast, click-programma's gemaakt om advertentieclicks en daarmee centen te genereren, of een duur softwareprogramma hacken en de beveiliging eruit slopen, dat soort dingen. Allemaal immoreel en onethisch gedrag. Nu zijn 't keurige en verantwoordelijke huisvaders. Met een goeie baan in de IT, want ze weten en kunnen veel, meer dan veel 'braverikken' die alleen maar goed opgelet hebben op de opleiding. Ze zijn nooit gepakt, dat is 't verschil met Hutchins. Ze kunnen zich voordoen als 'moreel en ethisch', niemand die weet dat ze dat vroeger niet waren. En als ze er maar van geleerd hebben is het geen probleem meer, integendeel zelfs.
De kans dat mensen die zich in het verleden bewezen moreel hebben gedragen zich in de toekomst immoreel gaan gedragen is waarschijnlijk veel kleiner dan mensen die al bewezen hebben dat ze over de grens kunnen gaan.

Zo simpel is het wat mij betreft.

Natuurlijk geven resultaten uit het verleden geen 100% garantie over de toekomst, maar het gaat niet om 100% en perfectie, maar om het streven.

Dat je als tiener misschien eens iets hebt gedaan, daar ben ik iets milder over, dan ben je in ontwikkeling. Maar als ik kan kiezen tussen de brave en de stoute tiener dan weet je mijn keuze. Moraliteit is belangrijker dan talent, wat mij betreft.

Ga je op het HBO/Universiteit (18+) lopen hacken aan cijfersystemen dan ben je gewoon bewust crimineel.

[Reactie gewijzigd door Q op 21 april 2019 15:42]

Hier zijn al meerdere problemen:

Moreel is subjectief: een kennis van me die bij shell werkt vindt het moreel verantwoord dat shell deals maakt met corrupte landsbestuurders. Het is altijd subjectief tot hoever je moreel moet gaan. (Moet je afval scheiden, geen auto meer hebben, ecologische voetafdruk verkleinen etc, allemaal morele kwesties waar iedereen anders over denkt).

Hoe weet je of iemand moreel is. Iemand heeft geen strafblad, dat betekent nog niet dat hij op dat moment niet gewoon stiekem fraudeert. En die mensen vallen ook onder de groep: moreel bewezen mensen totdat het tegendeel is bewezen.

Niet echt relevant maar wel handig voor de opsomming.
Moreel is relatief: over de tijd leert men, wordt je opeens vader/moeder dan gaat je moreel opeens heel hard veranderen. Of bijvoorbeeld afgelopen jaar is ons moreel tegen CO2 uitstoot heel veranderd.

Het leven is niet zwart en wit.
We hebben het hier louter over de situatie of je iemand moet inhuren met een strafblad.

Dat mensen zonder stafblad altijd lief zijn: nee, maar de kans is veel groter dan mensen met een strafblad. Mensen met een strafblad hebben bewezen over de morele grens te kunnen gaan, dus die vertrouw ik veel minder.

Voor mensen met een strafblad is de werkelijkheid dat ze geen vertrouwensfuncties kunnen bekleden. De meeste IT-ers bekleden een vertrouwensfunctie gezien hetgeen waarmee ze in aanraking komen.

Zo simpel is het.

Sommige dingen zijn soms veel meer zwart/wit dan mensen willen doen voorkomen. Waarom mensen dat doen weet ik niet.

[Reactie gewijzigd door Q op 21 april 2019 21:56]

Mensen leren door te proberen, je probeert het als je het erg interessant vind of leuk.
Als puber wil je trappen tegen wat je kent, tegen je ouders en grote bedrijven. Dat je dan gaat proberen of je als klein snotneusje slimmer kan zijn dan een groot bedrijf, vind ik heel begrijpelijk. Dat deze jongen dat toen ook deed, en daarna besloot dat hij zijn kennis en kunde voor het goede wilde inzetten vind ik iets heel moois. Dat hij nu wordt opgesloten ondanks dat hij zo'n enorme malwargroep te pakken heeft gekregen, dat snap ik niet. Hij is een held nu, en 3 maanden na zijn heldenactie gooit de FBI hem de cel in....
Ik gaf al aan dat je als puber nog wat speelruimte hebt omdat je gewoon geestelijk nog niet volgroeid bent.

Maar Malwaretech was volwassen toen hij zijn malware schreef en dat hij WannaCry tegen heeft gehouden maakt zijn eerdere gedrag niet goed.

Als jij eerst een bank overvalt en later iemand van de verdrinking redt dan ga je toch echt de cel in voor die overval. Het zijn ongerelateerde zaken.
"De kans dat mensen die zich in het verleden bewezen moreel hebben gedragen zich in de toekomst immoreel gaan gedragen is waarschijnlijk veel kleiner dan mensen die al bewezen hebben dat ze over de grens kunnen gaan. "
Is geen steekhoudend argument. Het is niet mogelijk te bewijzen dat je iets niet hebt gedaan.

Bovendien bewijzen dat iets wel is gedaan is lang niet altijd mogelijk.

Er zit dus een grote mate van onzekerheid in iemands verleden. Is iemand die geen justitieel verleden heeft wel echt onschuldig? En waaraan dan wel? Hoe weet je dat zeker?
Je mist helaas het punt.

Bij het filteren van mensen laat ik in ieder geval mensen weg die een strafblad hebben. Dat scheelt al een boel risico.

Dat geeft geen garanties, ook mensen zonder strafblad kunnen toch stout zijn, maar het punt is dat je in ieder geval geen bewezen criminele aanneemt, mensen die bewezen hebben over de grens te kunnen gaan.

Dat is alles.

Het gaat dus helemaal niet om absolute zekerheid, zoals je suggereert, maar om in ieder geval de 'rotte appels' te vermijden.
Nee jij mist het punt. Je hebt een aantal aannames gedaan die niet met feiten gestaafd zijn.

"Bij het filteren van mensen laat ik in ieder geval mensen weg die een strafblad hebben. Dat scheelt al een boel risico. "

Hoezo? Hoe weet je wat iemand heeft gedaan of wat hem over de schreef heeft getrokken?
Wie weet heeft iemand een misstap begaan op heel ander dan werk gebied? Volgens mij zie je dat niet zo snel.

Ik vind het een heel oppervlakkige en lage kwaliteit mening, om als uitgangspunt te hebben dat mensen dus altijd gedrag zullen herhalen.
Sterker nog het doet me denken aan wat Al Bundy in een aflevering van "married with children zei": Remember kids, it aint cheating if you dont get caught.
Dat is denk ik de kern van je verhaal. Als je maar niet gepakt wordt is alles prima in orde.
Waarom zou ik mensen overwegen in dienst te nemen in een vertrouwensfunctie die een strafblad hebben als ik ook kan kiezen voor mensen die dat niet hebben? :?

Sterker nog, ik laat de vacature liever vacant dan dat ik een ex-crimineel inhuur. En dat is ook de praktijk, er zijn zaken waarin een compromis niet mogelijk is.

Denk jij dat je bij de politie aan de slag kunt als agent met een strafblad?

Ik denk niet dat dit voor komt. Sterker nog, teveel contact met Hells Angels kan al reden zijn om je niet aan te nemen als Agent.

Overigens kun je een VOG krijgen als de aard van de overtreding / misdrijf wat op je strafblad staat je functie niet in de weg staat (hangt van het beroep af). Maar gezien de vertrouwensfunctie van ICT-ers zal dat je meestal niet redden.

https://www.nrc.nl/nieuws...-vergeten-1555534-a936720

[Reactie gewijzigd door Q op 23 april 2019 18:51]

Tijdens de IRT affaire was de politie de grootste drugsimporteur in Nederland.
Hoe weet je dat dat niet veranderd is?

De DEA had goede contacten met het Sinaloa cartel die in ruil voor informatie rustig hun gang konden gaan.
Met andere woorden het Sinaloa cartel werkte voor de DEA.

"Bij het filteren van mensen laat ik in ieder geval mensen weg die een strafblad hebben. Dat scheelt al een boel risico. " is een vals argument.
Omdat je niet weet waarom ze een strafblad hebben. Ook weet je ab-so-luut niet zeker of degeen zonder strafblad geen crimineel is, misschien is hij alleen beter in het ontlopen van vervolging.

Niet dat je zeker weet dat iemand zonder strafblad toch wel iets op zijn kerfstok heeft. Maar het zo maar vertrouwen op een juridische status is niet verstandig. Het is, lijkt mij steeds een individuele afweging.

Leuk voorbeeld: de bankier van oa de ING die massaal drugsgeld hebben witgewassen hebben ... geen strafblad. Toch zou je die op geen enkele functie willen inzetten waar vertrouwen nodig is. Sterker nog de meeste van hen hebben gewoon hun baan nog. Hetzelfde geldt voor de LIBOR zwendelaars.
Je kunt er allemaal andere onderwerpen bijhalen maar nu treedt je totaal buiten de context van de discussie en die zaken zijn gewoon niet relevant, dat je het verschil in context niet ziet vindt ik opmerkelijk.

Verder: ik schrijf net nog dat bij een VOG wordt gekeken naar het werk en de aard van de overtredingen / misdrijven op een strafblad en de functie waar het om gaat!

Er wordt dus WEL rekening mee gehouden. Maar in de context van een vertrouwensfunctie zoals de meeste ICT functies, laat staan security functies, maak je geen kans. Misschien met ernstige verkeersovertredingen of dronken achter het stuur zitten maar ook dat betwijfel ik.

Het is waar dat je van mensen zonder strafblad niet weet of ze echt wel te vertrouwen zijn. Maar zoals ik al eerder aangaf is de kans groter dat iemand met strafblad niet te vertrouwen valt. Die heeft bewezen dat hij/zij over de grens kan gaan. Het is een gevalletje kansrekening / statistiek en risico.

Je kunt het niet uitleggen als je als bank een veroordeelde hacker inhuurt en vervolgens moet bekennen dat hij/zij ook jou stiekem heeft gehacked en miljoenen heeft gestolen. Dan sta je even goed met je bek vol tanden. Je wilt mensen met een onberispelijk trackrecord.

Als een VOG 'schoon' terug komt dan is er geen enkele reden om iemand niet aan te nemen, aangenomen dat die persoon verder door het sollicitatie proces is gekomen. We geven doorgaans mensen het voordeel van de twijfel.

Iemand met een schoon strafblad geeft gewoon meer zekerheid dan iemand zonder strafblad. En dat is hoe het nu ook werkt overal.

Maar let ook even op mijn eerste post: kijk maar eens naar de score en hoeveel mensen het er mee eens zijn. 2e post onder de frontpage. Het zou jou aan het denken moeten zetten.

[Reactie gewijzigd door Q op 23 april 2019 21:48]

Slecht verhaal.
Sowieso is het argument "kijk maar naar de scores van mijn post"... geen argument. Het is zo dat hier regelmatig kwalitatief zeer slechte meningen hoog scoren. Populair zijn is geen maatstaf voor waarheid of een goede beargumentering.

Dat je dat niet weet, dat zegt al heel veel over de kwaliteit van jouw denken. En die is laag dus. Ik zeg het er maar even bij.

Het is bijzonder triest dat je blijkbaar niet snapt waarom het niet vervolgen van bankiers en ambenaren /overheidsdiensten wel on topic is. Het is on topic omdat blijkbaar niet iedereen hetzelfde wordt behandeld.

Een strafblad is niet gelijk aan een VOG, je bent dus al een flinke stap terug aan het zetten. Een VOG kan je na een bepaalde termijn gewoon krijgen (10 jaar volgens mij) Dus zelfs dat verhaal is geen steekhoudend argument.

"Iemand met een schoon strafblad geeft gewoon meer zekerheid dan iemand zonder strafblad. En dat is hoe het nu ook werkt overal." juist iemand die in it security werkt zou moeten weten wat het verschil is tussen veiligheid en de illusie van veiligheid.
Natuurlijk is mijn post geen inhoudelijk bewijs voor de waarheid van mijn positie.
Nee, de score van mijn post laat zien dat jij misschien hier onder valt:
https://en.wikipedia.org/wiki/Dunning–Kruger_effect

Ik probeer je er op te wijzen dat jouw denken niet klopt en omdat dit blijkbaar niet lukt met talloze voorbeelden (die je negeert) probeer ik je te laten zien dat wat zelfreflectie niet verkeerd zou zijn.

Dat je niet snapt hoe je een discussie voert en dat je niet zomaar *ongerelateerde* zaken er bij kunt halen die totaal buiten de context vallen, is jammer. Dat mensen soms niet gelijk worden behandeld is een totaal ander probleem en heeft niets met deze context te maken.

Een strafblad bepaald grotendeels of je een VOG krijgt of niet. Dus ik zet helemaal geen stap terug. Hoe kom je hierbij?

Statistisch gezien is het heel simpel: mensen die crimineel gedrag hebben vertoond zullen eerder wederom crimineel gedrag vertonen dan mensen zonder crimineel verleden.
Je neemt een stap terug omdat je blijkbaar het verschil tussen VOG en strafblad niet eens snapt.
Er is een verschil tussen de twee.

Je kan wel net doen alsof jij een mening van enige kwaliteit hebt, maar mijn betoog laat zien dat je mening van hele lage kwaliteit is.
Je hebt blijkbaar moeite met het goed kunnen posten van een link. Volgens mij spreekt dat boekdelen over je intellectuele capaciteit.

"Statistisch gezien is het heel simpel: mensen die crimineel gedrag hebben vertoond zullen eerder wederom crimineel gedrag vertonen dan mensen zonder crimineel verleden. "
In de groep mensen die crimineel gedrag hebben getoond zit een groep beroepscriminelen. Die zullen niet snel een vaste baan willen hebben.
Er zal ook een hele grote groep mensen in zitten die een keer over de schreef zijn gegaan. Die zullen niet tot herhaling geneigd zijn.

Maar het grotere punt is dat de normering van gedrag is in de kern aan willekeur onderworpen. Dat snap je gewoon niet. Als je op een universiteit rechten studeerd krijg je in de eerste les bestuursrecht een verhaal als "wat is het verschil tussen een overheid en een roversbende?" het antwoord: "legitimiteit"
Das ff een stukje filosofie 1ste jaars uni. Misschien moet je daar over nadenken, als je daar een paar jaar over hebt gedacht snap je misschien ook mijn voorbeelden wel.
Ik betwijfel het, ik denk dat je een paar decennia nodig hebt.
Die link is stuk omdat tweakers.net de "-" verkeert interpreteert. Dus tja, beetje voorbarige conclusie.

Verder snap je duidelijk statistiek niet:
Statistisch gezien is het heel simpel: mensen die crimineel gedrag hebben vertoond zullen eerder wederom crimineel gedrag vertonen dan mensen zonder crimineel verleden.
Het is dus redelijk, verstandig en rationeel om dergelijke mensen te weren voor kritische functies.

Dit is door onderzoek aangetoond, maar jij reageert daar niet op omdat het je niet uitkomt.

Ik denk dat dit speelt: jij of iemand die je dierbaar is heeft een strafblad en dat probeer je nu goed te lullen. Dát, of je snapt het echt helemaal niet.

Vertel, zit ik er naast of niet? ;)
Ja je zit er naast.
Mijn verhaal is tweeledig. Ten eerste is je selectiecriterium geen vog= geen baan ofwel wel vog wel baan.
Terwijl je bijvoorbeeld na een bepaalde tijd wel weer een vog krijgt.
Dus jouw criterium deugt niet. Ook niet voor je eigen verklaarde doel.
Namelijk integere candidaten selecteren. En, dat snap je gewoon niet.

Dat zegt wat over je manier van denken: je bent rechtlijnig en kan niet abstract denken. Dat lijkt me een probleem als je manager bent in een security omgeving..

Er is een gevleugelde uitspraak: er zijn leugens, grove leugens,.. en dan is er statistiek.

Bovendien ben ik, gesjeesd weliswaar, opgeleid als jurist. Dan wordt je met je neus op de feiten gedrukt, de feiten zijn dat recht, autoriteit, allemaal heel relatief is. De reden dat er misdaad is, is omdat groepen en overheden behoefte hebben aan klandistiene producten en diensten.
Ik las laatst dat er per dag 4 kilo coke in Amsterdam er door heen gaat. Das niet Jan met de pet die die troep consumeert he.

Voor mij zou het zo zijn dat ik bij kandidaten voor een kritieke functie hele diepe gesprekken zou hebben over integriteit, en ik zou zorgen dat ik cursussen lichaamstaal enz achter mijn kiezen had.
Juist om de goede selectie te maken, en te zorgen dat ik niet alleen geen niet integere kandidaat de functie geef, maar bijvoorbeeld ook zorg dat mijn mensen niet chantabel zijn. Die groep mensen lopen nog veel meer gevaar om gevoelige gegevens of procedures uit te laten lekken of te misbruiken.

En je kan een boek schrijven over hoe simpele insteken de schijn van veiligheid creeren, maar heel onveilig zijn. Dat is mijn punt. Misschien snap je het nu.
Ik ben geen manager in een security omgeving, waar schreef ik dat?

Ik krijg de indruk dat jij denkt dat ik denk dat ik puur iemand aan zou nemen als iemand een VOG krijgt, maar dat heb ik nooit beweerd. Natuurlijk is een VOG slechts een component in een sollicitatie traject, waarbij nog veel meer komt kijken: is iemand wel geschikt voor de functie en daar zijn nog veel meer criteria voor. Misschien begrijp ik jou weer verkeerd, maar het is zeker niet zo dat ik zeg of denk if VOG: baan = True. Dat zou gekkigheid van mijn kant zijn.

Je strafblad wordt schoon afhankelijk van het delict na x jaar: hoe langer iemand zich netjes heeft gedragen, hoe groter de kans dat deze ook zich netjes blijft gedragen, dat is de gedachte. Mensen krijgen dus een 2e kans maar dat is ook fair. Je ziet ook dat een VOG-weigering er toe leidt dat mensen zich daarna echt beter gaan gedragen, hun leven beteren. De gedachte is dat hoe langer het delict terug in de tijd is, de kans op recidive afneemt. Mensen kunnen hun leven best beteren. En hoe erg het allemaal is hangt af van de functie waarop iemand solliciteert. In deze context van dit artikel krijg je vast geen voordeel van de twijfel, kritische functies vereisen zwaardere criteria.

En zo komen we weer terug bij je oorspronkelijke post, laten we daar eens naar kijken in meer detail.

Dit is mijn uitspraak waar je in eerste instantie op reageerde:
"De kans dat mensen die zich in het verleden bewezen moreel hebben gedragen zich in de toekomst immoreel gaan gedragen is waarschijnlijk veel kleiner dan mensen die al bewezen hebben dat ze over de grens kunnen gaan. "
Ik sta achter die stelling, die is nergens ontkracht, maar je kunt 'm beter opschrijven, dat geef ik toe: "crimineel gedrag in het verleden is indicatief voor toekomstig crimineel gedrag. Recidive. Is dit onjuist volgens jou als jurist zijnde?

Het punt is fundamenteel het zelfde, maar nu niet met de 'negatieve bewijslast' waar je over klaagt.
s geen steekhoudend argument. Het is niet mogelijk te bewijzen dat je iets niet hebt gedaan.
De context is dat mensen standaard worden vertrouwd. Dat is de norm. Dat is hoe onze samenleving werkt. Op basis van vertrouwen. En dat gaat best goed. De meeste mensen zijn netjes, zijn geen criminelen.
Er zit dus een grote mate van onzekerheid in iemands verleden. Is iemand die geen justitieel verleden heeft wel echt onschuldig?
We gaan er vanuit dat mensen onschuldig zijn totdat het tegendeel is bewezen. Zo werkt het toch? Dat weet jij toch als jurist?

Het gaat wel eens fout, maar in de meeste gevallen gaat het prima/goed.
En waaraan dan wel? Hoe weet je dat zeker?
De fout zit 'm in de insinuatie dat wij 'zeker' moeten zijn. Dat zijn we nooit 100%. In deze context klopt het idee dat je niet kunt bewijzen dat iemand iets niet heeft gedaan. Maar dat hoeft ook helemaal niet.

Nogmaals: we gaan er vanuit dat mensen onschuldig zijn totdat het tegendeel is bewezen.

En dat 'tegendeel' komt soms naar boven en dan krijg je soms geen VOG.

Overigens leuk feitje: de VOG zelf is niet eens zo'n heel goed filter middel, weigering komt relatief weinig voor. Maar de VOG heeft een sterk afschrikwekkende werking: veel mensen met shit op hun kerfstok solliciteren überhaupt niet op functies die een VOG vereisen. :)

Als we dan naar de context kijken van dit artikel, een security medewerker die dus in een super vertrouwelijke positie verkeerd, dan zal iemand veel minder snel het voordeel van de twijfel krijgen als er 'shit' naar boven komt. Vaak is een VOG ook helemaal niet afdoende en wordt een zwaarder antecedenten onderzoek ingezet, heb ik ook twee keer gehad (duurt maand of twee).

[Reactie gewijzigd door Q op 24 april 2019 23:41]

"hoe langer iemand zich netjes heeft gedragen, hoe groter de kans dat deze ook zich netjes blijft gedragen"
Is echt een misvatting. Het enige dat je met zekerheid kan zeggen (zeker in tijden waarin vervolging willekeurig en disfunctioneel is. Pakkansen zijn achteruit gehold) dat iemand niet gepakt is. Je kan niet stellen dat iemand zich netjes gedragen heeft.

Ik had op een ander forum (ging over klimaat) een gesprek over climategate. Waarin werd gesteld dat gelekte mails in feite gestolen waren.
Iemand die wordt vervolgd voor het stelen van documenten zoals "collateral murder" (Manning) of de mails van de democratische partij in de VS (Seth Richards) of climategate, zijn juist uitermate integere personen die je juist in een security omgeving zou willen hebben. Tenminste als je geen klanten hebt die zeer oninteger zijn.

"Ik sta achter die stelling, die is nergens ontkracht, maar je kunt 'm beter opschrijven, dat geef ik toe: "crimineel gedrag in het verleden is indicatief voor toekomstig crimineel gedrag. Recidive. Is dit onjuist volgens jou als jurist zijnde?"
Dit gaat zeker regelmatig op. Een inbreker heeft een vak, het is wel een illegaal vak, maar er is expertise bij betrokken. Voor een hacker is het ook nodig om expertise te hebben. Maar is het een veel grijzer gebied, de vraag is dan waarom, hoe, wanneer is er ingebroken door de hacker, en wat heeft hij met de gegevens gedaan?
Een hacker moet ergens zijn expertise vandaan halen. De expertise kan niet worden opgebouwd door legaal te handelen. Er kan alleen maar ervaring worden opgedaan door te hacken. Maw iedereen die in dat veld werkt is een "schurk". Het verkrijgen van een VOG voor die functie, zou je dan ook meer moeten zien als een symbool van competentie op een bepaald moment.
Ik maak er een grapje van, maar het is wel ernst.

"Overigens leuk feitje: de VOG zelf is niet eens zo'n heel goed filter middel, weigering komt relatief weinig voor. Maar de VOG heeft een sterk afschrikwekkende werking: veel mensen met shit op hun kerfstok solliciteren überhaupt niet op functies die een VOG vereisen." Ja das leuk, maar wat is het netto resultaat? Dat die mensen dus in hun vrije tijd, toch weer gaan doen wat niet mag. Alleen dan gesterkt door de ervaring van het gepakt zijn. In die zin is een justitieel traject ook een opleidingstraject. Zeker als er sprake is van celstraf waarin de dader andere daders tegen komt.
De gevangenis wordt ook wel eens de hoge school van/voor de misdaad genoemd.

"Vaak is een VOG ook helemaal niet afdoende en wordt een zwaarder antecedenten onderzoek ingezet, heb ik ook twee keer gehad (duurt maand of twee)." Ja een screening door de Mareschaussee of de AIVD oid. Vaak bestaat die uit het bellen van vrienden collega's en andere bekenden "is pietje wel te vertrouwen" "ja" bedankt voor uw tijd". Misschien dat er tegenwoordig wel het internet verkeer een maand of 2 wordt gevolgd (Narus devices .. met packet selection en machine learning :D) en de logs van je ISP worden opgevraagd en of wordt gehacked, geen idee van de laatste 3.

Om inderdaad terug te keren naar het artikel:
De praktijk van vervolging in de VS heeft heel weinig te maken met een rechtsstaat. Er is daar een plea cultuur, omdat advocaatkosten niet op te brengen zijn voor de meeste mensen. De toegewezen advocaten komen om in het werk, en dus sturen die ook aan op een plea deal.
De man is waarschijnlijk niet schuldig aan wat dan ook, immers als hij zelf malware software met crimineel oogmerk had geschreven was hij een van de weinigen die wel geld had voor een goede advocaat.
Het is handig om te quoten met de Q-tag. Dit is nu een onleesbare lap text.

Verder zie ik eigenlijk niet veel nieuws behalve een hoop misvattingen.
Een hacker moet ergens zijn expertise vandaan halen. De expertise kan niet worden opgebouwd door legaal te handelen. Er kan alleen maar ervaring worden opgedaan door te hacken. Maw iedereen die in dat veld werkt is een "schurk".
Er zijn voldoende tools beschikbaar om hacken te leren zonder de wet te overtreden. Als je security expert / ethisch hacker wilt worden hoef je helemaal niet stout te zijn. Het spijt me maar je bent helaas niet goed op de hoogte.
Ja das leuk, maar wat is het netto resultaat? Dat die mensen dus in hun vrije tijd, toch weer gaan doen wat niet mag.
Wat ik al eerder schreef: mensen beteren hun leven om wel voor een VOG in aanmerking te komen of ze moeten gewoon ander werk doen. Het kan zijn dat ze stout blijven. Maar dat maakt niet uit, aan de bak komen ze niet op een vertrouwensfunctie en daar gaat het om.
Ja een screening door de Mareschaussee of de AIVD oid. Vaak bestaat die uit het bellen van vrienden collega's en andere bekenden "is pietje wel te vertrouwen" "ja" bedankt voor uw tijd".
Dit vind ik een beetje gemakkelijke borrelpraat voor op feestjes, hoe je dergelijke screenings afdoet, zonder het te staven met bewijs dat het niets voorstelt. Ik ga dit verder negeren.
De praktijk van vervolging in de VS heeft heel weinig te maken met een rechtsstaat.
Je trekt allemaal veel te snel conclusies en doet aannames (als hij die code had gemaakt had hij geld voor een goed advocaat) die nergens op gebaseerd zijn en je niet kunt bewijzen. Allemaal speculatie en borrelpraat.
Ik had op een ander forum (ging over klimaat) een gesprek over climategate. Waarin werd gesteld dat gelekte mails in feite gestolen waren.
Iemand die wordt vervolgd voor het stelen van documenten zoals "collateral murder" (Manning) of de mails van de democratische partij in de VS (Seth Richards) of climategate, zijn juist uitermate integere personen die je juist in een security omgeving zou willen hebben.
Er zijn genoeg mensen met goede security kennis / hacking skills die niet crimineel zijn, wel ethisch handelen, deze mensen horen gewoon in de gevangenis thuis en niet vertrouwelijke posities te bekleden binnen bedrijven.

[Reactie gewijzigd door Q op 25 april 2019 17:40]

Ik heb al gezegd dat ik gesjeesd ben.

Maar goed, nu we het toch weer over persoonlijke kwaliteiten hebben.. Jij hebt eerst gesuggereerd dat je manager bent in een security bedrijf, daarna heb je dat tegengesproken.

Je geeft duidelijk aan dat je niet goed kan denken. Het is vlak, blijft bij de "officiele lijn" en niet bij de praktijk. Je kan niet denken in abstracties of concepten.

Dan blijkt heel duidelijk dat je het verhaal belangrijker vindt dan realiteit. Je hebt het over VOGs alsof dat een of ander magisch apparaat is dat er voor zorgt dat je mensen integer zijn.

Je verteld dat hacken kan zonder hacken.. dit is echt evidente onzin. Lopen, maar dan zonder benen te gebruiken. Zien zonder ogen. Tuurlijk.

Nou feliciteer jezelf nog maar een keer. Dan hebben we dat ook weer gehad. Ik denk alleen niet dat een bedrijf iemand als jij in het kader moet hebben. Dat werkt niet. Op zijn hoogst kan je de assistent van de teamleider zijn.
Ik haalde mijn opmerking over mijn twijfels over jurist-zijn weg want alhoewel ik het meen voegde mijn opmerking weinig toe aan de discussie verder. Ik ben/was de betekenis van 'gesjeesd' vergeten.

Ik suggereer nergens dat ik security manager zou zijn, maar als je mij kunt quoten dan zie ik dat graag terug.

Ik ben een 'soort van' ethisch hacker geweest en om die kennis op te doen hoef je echt niet daadwerkelijk ongevraagd systemen op het internet te hacken. Ik heb het idee dat je niet goed begrijpt wat hacken precies is en wat het inhoudt.

Er zijn veel test websites te downloaden met bewust gaten ingebouwd om door jou ontdekt te worden:

https://www.owasp.org/ind...ory:OWASP_WebGoat_Project

Zo kun je leren hacken zonder andere mensen tot last te zijn :)

Met die kennis kun je vervolgens op verzoek (en dus met toestemming) proberen om je klant te hacken. Je bent ethisch dus als je een lek vind en bij vertrouwelijke informatie kunt komen, dan gooi je dat niet op ebay maar rapporteer je dat netjes aan de klant + aanbevelingen om dat te fixen. :D

[Reactie gewijzigd door Q op 25 april 2019 17:52]

Whatever dewd. Het was al duidelijk dat ik klaar met je ben. Maar voor jou blijkbaar niet.
Ja, prima. Je verhaal gaat op. Voor mensen die clickers schrijven.

Zodra je een backdoor inbouwt om schade te beperken, weet je dondersgoed waar je mee bezig bent.

En zelfs als hij het dan perongeluk in werking stelde, had hij ook gelijk betreffend domein kunnen registreren ipv pas na 3 maanden.

Net zoals er verschil zit tussen kinderen die deurtje bellen en kinderen die ramen ingooien of autobanden lek steken, zit ook hier nogal een niveau verschil.

Hij heeft geluk met de straf die hij krijgt. De miljoenen schade die hij heeft veroorzaakt, zijn eeuwig verloren.
de killswitch zat in wannacry niet in de malware die hij bekend heeft. die killswitch kwam hij achter na analyse volgens zijn eigen woord en anders is ook niet bewezen.
Wat een onzin, stoplicht integriteit. dit kan ik gewoon niet verteren. ben je toevallig ook zo eentje? dat een makkelijke weg kiest als het kan?
Mooi in theorie maar in de praktijk klopt dit voor geen meter.

Beste voorbeeld zijn de normen en waarden van gelovigen. Mensen die zich een hoog moraal aanmeten. Toch zijn er veel kinderen het huis uitgezet omdat ze gay zijn. Om maar te zwijgen van dat massale misbruik van de kerk en getuigen van Jehova.

Wat is netjes gedragen? Misschien heb ‘jij’ met uw grote voetafdruk al meer van de aarde gestolen dan die hacker die bewust ecologisch leeft.
Het gaat er om dat je als overheid of bedrijf moet proberen te voorkomen dat je criminelen inhuurt.
Het kan heel slim zijn om een ex-crimineel in te huren. Een ex-fietsendief die op scholen uitlegt hoe je fietsen het beste beschermt, een ex-zakkenroller bij de politie die helpt bij het trainen van agenten, of een ex-malwaremaker die helpt bij het beveiligen van banksystemen. Allemaal kunnen ze zeer waardevol zijn als ze op een goede manier worden ingezet. En dat is juist omdat ze aan de verkeerde kant hebben gewerkt en info / denkwijzen hebben die erg verschilt van mensen die altijd moreel correct hebben gehandeld en gedacht. Een uitstekende bescherming tegen criminaliteit is leren denken als een crimineel, en denken als een crimineel gaat makkelijker als een ex-crimineel daarmee helpt. :)
Er is een verschil tussen iemand inhuren voor consultancy (extern) en iemand ook echt aannemen binnen een bedrijf, waarbij deze persoon een vertrouwenspositie bekleed.

Nog steeds ben ik het oneens met het inhuren van dieven en andere criminelen. Nergens voor nodig.

Ik heb lang in de security gezeten en je kun jezelf die mindset wel eigen maken als law-abiding-citizen.
Wij werkten expliciet met mensen met een schoon/leeg strafblad en daar hielden we ons aan. Onze klanten zouden dat ook nooit geaccepteerd hebben.

Wij hadden letterlijk een slogan in de trand van "de vaardigheden van een hacker met de betrouwbaarheid van een notaris".

Dat hele ex-criminelen inhuren voor consultancy vind ik zelf een beetje een mooi sprookje, het is niet nodig en ik zou het zelf ook nooit doen. Die kennis is ook te verkrijgen langs bonafide wegen.
Zou iemand dit talent nog een baan willen geven, vraag ik me dan af?
Dat betwijfel ik, en het is ook uitermate onwenselijk om criminelen/criminaliteit te belonen door ze een baan te geven.

Je wil namelijk dit soort types niet in je organisatie hebben, waar ze bij je data kunnen. Ze hebben namelijk al aangetoond de verantwoordelijkheid niet aan te kunnen, en zich van wet- en regelgeving helemaal niets aan te trekken. Wil je zo iemand echt toegang geven tot je bedrijfskritische gegevens?

Mooi dat hij bekend heeft, ben benieuwd wat de strafeis en uitspraak zal zijn. Gezien de grote schade die deze man heeft aangericht met zijn malware zal die vermoedelijk niet echt mals zijn.
Hutchins was 17
[...]
Dat betwijfel ik, en het is ook uitermate onwenselijk om criminelen/criminaliteit te belonen door ze een baan te geven.
Hutchins was 17 toen hij zijn malware schreef, ik weet niet of jij je nog kunt herinneren hoe jij was toen je 17 was, maar ik weet wel van mijzelf dat ik over de jaren een aantal keer een radicale verandering van gedachten heb gehad. Volwassen worden zeg maar, als je brein volgroeid is. Als wij voor de rest van ons leven afgerekend zouden worden voor de dingen die we deden toen we 17 waren, zouden we een sneue wereld hebben...
Hutchins was 23 jaar, zie https://www.engadget.com/...cs=ohtAGUi00Nuy36PP0mpZ8Q

Met zijn eigen malware is hij door gegaan tot hij 20 was.

Op je 20e/23e ben je echt wel volgroeid, en op die leeftijd dien je toch echt wel de consequenties van je misdrijven te kunnen overzien. We hebben het hier niet overi emand die een rolletje drop bij de AH steelt, maar over iemand die voor vele miljoenen euor's aan schade heeft aangericht over de hele wereld.

Nog even los van leeftijd, is het sowieso onwenselijk om criminaliteit te belonen met een baan. Wat denk je dat er dan gebeurtt als je dat doet? Dan gaan er meer opstaan, want die zien dat je een baan krijgt als je een misdrijf pleegt. Zo geef je een faliekant verkeerd signaal af.

[Reactie gewijzigd door wildhagen op 20 april 2019 11:29]

Op je 20e/23e ben je echt wel volgroeid, en op die leeftijd dien je toch echt wel de consequenties van je misdrijven te kunnen overzien.
Neen, bij de meeste mensen zijn de hersenen pas voldoende ontwikkeld rond hun 26ste, en kunnen ze pas dan de gevolgen van hun daden volledig inschatten.

Doe eerst wat onderzoek voor je zulke zaken zegt. Je praat alsof je een ruime achtergrond hebt met criminologie en recidivisme, maar het is duidelijk dat je zelfs enkele basiszaken uit de psychologie nog niet eens weet...
Neen, bij de meeste mensen zijn de hersenen pas voldoende ontwikkeld rond hun 26ste, en kunnen ze pas dan de gevolgen van hun daden volledig inschatten.
Dat is dus dik overdreven.

Ja, het is inderdaad aantoonbaar dat mensen nog vaardigheden kunnen leren op hun 26ste, en zelfs op 65-jarige leeftijd. En dat kan zelfs gepaard gaan met de groei van nieuwe neuroen, ook op 65-jarige leeftijd.

Maar dat de meeste mensen op 25-jarige leeftijd nog steeds niet in staat zijn om hun daden te kunnen overzien? Kom op zeg. Genoeg mensen die het op hun 18e al kunnen. Er zijn mensen met leerachterstanden, en daar wil je op individuele basis het jeugdrecht inderdaad kunnen rekken tot 26.

De enige reden die ik zie om 26 als bijzondere grens te behandelen is om een onderscheid te maken tussen een achtergebleven ontwikkeling en psychopathie. Als je op je 27ste die gevolgen nog steeds niet kunt overzien, dan wordt het tijd dat de samenleving het gaat hebben over permanente opsluiting. Het is onaannemelijk dat het dan nog beter wordt. Maar zoals gezegd, het gaat dan om heel erg kleine aantallen.
Al die specialisten in allerlei onderwerpen hier!
Gelukkig bestaat er zoiets als de interwebben, als je iets niet weet vind je vast wel een betrouwbare bron die je op weg kan helpen.
Ja, dank je. Dat bevestigt precies wat ik zeg. Dat gaat over volledig ontwikkeld, niet voldoende ontwikkeld.

Raad eens? De bulk van de 12-jarigen heeft al voldoende ontwikkeling om het verschil tussen goed en fout op hoofdlijnen te kennen. Je hoeft geen gepromoveerd rechtsfilosoof daarvoor te zijn. Tegen 18 jaar moet je zelfs voldoende ontwikkeling hebben om het verschil te zien, én te beseffen dat er consequenties verbonden zijn aan je gedrag.
Neen, dat is niet dik overdreven. Dat is wetenschappelijk aangetoond. En je kan gerust nog nieuwe dingen aanleren na je 26ste. Ik heb het tegendeel nooit beweerd.

Doe een boek erover open, zou ik zeggen...
In de praktijk maakt dat weinig uit. De wet legt de lat voor "volwassen" ook niet bij 26.
Maar de rechter kijkt wel naar persoonlijke omstandigheden. Ja je bent volwassen voor de wet als je 18 bent, maar je krijgt echt niet zo'n hoge straf dan als je 30 bent met een baan.

[Reactie gewijzigd door NotCYF op 21 april 2019 11:49]

Die grens ligt afhankelijk van de maatstaf inderdaad bij 18 (of 21) volgens de wet en 23 (soms 26) volgens de psychiatrische wetenschappen

Verder is er hier sprake van schuldbekentenis volgens Amerikaans strafrecht dat betekent dat zijn schuld door het om is 'gekocht / afgeperst' itt het Nederlandse / Europese recht is chantage / afpersen./ bedreigen voor een bekentenis heel normaal en wordt er niet of nauwelijks getoetst of een verhoor aan de 'grondwettelijke' normen voldeed dan had je maar een duurdere advocaat moeten nemen

Verder ben ik het zeer oneens met het idee dat computerspecialisten die ooit in de fout zijn gegaan een levenslang stigma verdienen

Bedrijven en organisaties die zulke mensen kunnen gebruiken zijn prima in staat deze mensen een tijdje extra te controleren tot ze bewezen hebben dat ze van hun fouten en hun straf hebben geleerd

[Reactie gewijzigd door i-chat op 20 april 2019 22:34]

Voor mijn gevoel ging deze discussie over "wat terecht zou zijn", dus vanuit de ethiek gezien, niet zozeer over de juridische vraag "wat zegt de wet".
Klopt, maar leeftijd kan wel door de rechter in acht genomen worden voor de strafbepaling.
Voldoende ontwikkeld en volgroeid zijn verschillende benaderingen in een complex onderwerp. Daarbij verschilt het per persoon aangezien niemand gelijk is in groei en ontwikkeling. Dus hoe bekend ben je dan zelf met de materie als je een andere tweaker beschuldigd dat die eerst eens wat onderzoek zou moeten doen en zelf ook maar wat schrijft. Kom dan graag ook zelf met een onderbouwing van jou gelijk en gebruik termen niet door elkaar.

Inhoudelijk vraag ik me af wat deze discussie als bijdrage is aan de vraag of iemand die tussen 17 en 21 juridisch fout zat. Dus om het inhoudelijk te maken: zou je iemand die als jong volwassene voor miljoenen aan schade veroorzaakt en veroordeling heeft uitgezeten belonen met een baan als de slachtoffers nog wachten op enige vergoeding? En zo ja, onder welke voorwaarden?

[Reactie gewijzigd door kodak op 20 april 2019 16:50]

Het verschil zit natuurlijk in de strafmaat tussen 5 jaar cel en dan is het klaar of een levenslang stigma en nooit meer een baan

Dat je zelfs als 15jagige de jeugdgevangenis in kunt laat wel zien dat je oud genoeg bent voor rekenschap dat er überhaupt jeugdrecht bestaat laat zien dat er onderscheid nodig is

Waar de grenzen liggen is uiteindelijk aan de rechters en de wetenschap maar zelfs mensen die bankingmalware maken verdienen hun kans op rehabilitatie anders kunnen we ze beter direct afmaken
Het is geen binair iets, en het zal uiteraard ook van persoon tot persoon verschillen. Vergelijk het met het Kournikova virus. Dat deed weinig behalve zichzelf verspreiden, desondanks richtte het nog steeds schade aan. Daarvan kan je zeggen: Niet zo handig, maar hij was nog jong toen hij het maakte, en het verhaal van niet volgroeide hersenen. Hier gaat het over het maken en verkopen van banking malware. Elke 10 jarige weet dat dat fout is en er geen excuus voor is om dat te doen. Oftewel leuk dat zijn hersenen toen nog niet volgroeid waren, maar hij was ook niet geestelijk gehandicapt, dus hij moest prima weten dat dat gewoon fout is.
De Britse Hutchins werd echter drie maanden later in Las Vegas gearresteerd door de FBI. Dit op verdenking van het maken, verspreiden en beheren van de Kronos-bankingmalware tussen 2012 en 2015.

In 2012 was Hutchins toch echt 17...
Dat klopt, maar zoals je kon lezen ging hij tot 2015 door, en toen was hij toch echt ruimschoots volwassen en volgroeid.

Hij had ook zichzelf aan kunnen geven toen hij de foutheid van zijn acties inzag, om verdere schade te voorkomen. Maar dat deed hij niet, hij koos ervoor om er jarenlang mee door te gaan. Ook nadat Kronos als bekend was, en de gevolgen ervan (financieel). Dat is een behoorlijk bewuste keuze geweest. Had hij zich toen aangegeven had het wellicht gebruikt kunnen worden als verzachtende omstandigheid, maar als je ondanks de berichtgeving tóch door blijft gaan met het verspreiden van de malware, zegt dat wel iets over de intenties.

Dan moet je je afvragen of iemand met zulke intenties wel toegang zou moeten hebben tot zeer gevoelige data van bedrijven, met alle risico's vandien.

Zou jij als ondernemer het risico willen lopen dat hij er met je bedrijfsdata vandoor gaat, of andere mensen toegang geeft tot jouw netwerk, met alle gevolgen voor jouw bedrijf vandien (rechtzaken, failliesement, schadeclaims, reputatieschade etc etc)?

En dan heb he nog de signaalwerkng. Als je zo iemand een baan geeft, geef je het signaal dat criminaliteit loont (het levert immers een baan op). Dat lijkt me niet echt een heel wenselijk signaal.
Zou jij als ondernemer het risico willen lopen dat hij er met je bedrijfsdata vandoor gaat, of andere mensen toegang geeft tot jouw netwerk, met alle gevolgen voor jouw bedrijf vandien (rechtzaken, failliesement, schadeclaims, reputatieschade etc etc)?
Daarom krijgt hij ook niet een baan bij een bank aangeboden, maar eerder als security professional etc.
En dan heb he nog de signaalwerkng. Als je zo iemand een baan geeft, geef je het signaal dat criminaliteit loont (het levert immers een baan op). Dat lijkt me niet echt een heel wenselijk signaal.
Je begrijpt dat je hiermee direct ook een ander signaal afgeeft : De "eerlijke" samenleving heeft geen interesse in jouw kwaliteit, ga maar tuintjes schoffelen oid. Terwijl de onderwereld wel interesse in zijn kwaliteit heeft.
Daarom krijgt hij ook niet een baan bij een bank aangeboden, maar eerder als security professional etc.
En ook dat gebeurd veelal niet. Dit soort mensen hebben in de praktijk al bewezen niet betrouwbaar te zijn. Vergeet ook niet wat een stigma een veroordeling met zich mee brengt. Bij veel bedrijven zal je juist als secuity professional niet meer aan het werk komen omdat er bv een screening nodig is.
Dat zijn dan heel domme bedrijven / banken.

Als je security goed genoeg is dan komen ze niet bij de waardevolle spullen en als je security niet goed genoeg is dan kom je erachter op een manier / tijdstip die jij zelf bepaalt.

Een black-hat hacker heeft toch net een andere motivatie / denkwijze dan een white-hat hacker. En dan kan je je daarvoor afsluiten in een gecontroleerde test-omgeving, maar in de echte wereld spelen die black-hat hackers ook mee en tja, die ben je dan nog nooit tegengekomen.
Waarom zou dat dom zijn? In vrijwel alle high secure omgevingen is screening heel normaal. Zou je ook criminelen aannemen bij de politie of als rechter? Zo werkt de wereld nu eenmaal. Iemand die al heeft bewezen niet betrouwbaar of integer te zijn is in het bedrijfsleven over het algemeen niet welkom. De reden ligt voor de hand natuurlijk.
Waarom zou dat dom zijn?
Omdat je elke serieuze test uit de weg gaat. Je test alleen met mensen die het nooit hebben of zullen uitvoeren, waardoor het geen representatieve test is.
Zou je ook criminelen aannemen bij de politie of als rechter?
Totaal iets anders, politie en rechters moeten een bepaalde moraliteit voorstaan.
Zo werkt de wereld nu eenmaal. Iemand die al heeft bewezen niet betrouwbaar of integer te zijn is in het bedrijfsleven over het algemeen niet welkom. De reden ligt voor de hand natuurlijk.
Zo werkt de serieuze security wereld nou net niet.
Een keurmerk wat zegt dat een inbreker slot x niet in 5 minuten open krijgt dat wordt niet opgebouwd uit het feit dat een stel padvinders het niet in 5 minuten open krijgen, dat wordt opgebouwd uit het feit dat mensen met een bepaald niveau (en dat is white en black) het niet open krijgen.
En voor bepaalde niveau's zijn er nu eenmaal meer black (of voormalig black) dan 100% white hackers (heeft iets met verdiensten / effort te maken)
Het wordt een welles nietes verhaal op deze manier. De serieuze security wereld werkt precies zoals ik zeg. Er is geen reden om aan te nemen waarom een white hat hacker geen uitvoerige test kan uitvoeren. Kans op onderbrekingen en verstoringen kunnen gewoon contractueel worden vastgelegd. Jouw verhaal doet vermoeden dat je denkt dat een black hat hacker per definitie meer verstand van zaken heeft dan een white hat wat totaal niet klopt. Sterker nog; het enige verschil is de inzet van de kennis voor slechte / schadelijke dan wel meer positieve zaken.
Als je security 'goed genoeg is' dan heb je dus geen security professionals meer nodig, wat zouden ze dan nog moeten testen als je alles al zo goed op orde hebt dat je een crimineel wel los kan laten en alsnog kan monitoren wat hij doet, dat zou je dan als dat een niet ingehuurde crimineel is toch ook doen...
Juist die 'andere motivatie / denkwijze' van een blackhat is wat je niet wilt in een bedrijf, waar de whitehat hacker je systeem test en voor je werkt zal de blackhat hacker je systeem om zeep helpen of data jatten...
Het is alsof je een seriemoordernaar inhuurt bij de Politie want hij kan zo goed schieten, heeft dus veel meer ervaring met op echte 'doelwitten' te schieten dan op de schietbaan te oefenen op kartonnen platen, punt is dat hij op een dag zijn collega en een aantal burgers neerknalt...
Juist die 'andere motivatie / denkwijze' van een blackhat is wat je niet wilt in een bedrijf, waar de whitehat hacker je systeem test en voor je werkt zal de blackhat hacker je systeem om zeep helpen of data jatten...
Je wilt het wellicht niet in je bedrijf, maar je wilt het wel in een serieuze security test.
En daarmee krijg je de situatie dat een bedrijf als een bank hem niet wilt hebben, maar een security testing bedrijf juist wel.
Een goede security test heeft het risico om je systeem om zeep te helpen. Zoniet, dan kan je het zo goed door een aantal tuinmannen zonder enige IT-ervaring laten doen. Nul risico, nul nut echter ook.

En je voorbeeld is krom omdat het je daar om de actie zelf gaat. Terwijl het hier om de kennis en denkwijze gaat.
Dus whitehat hackers hebben niet de kennis om een systeem te testen? Dan huur je toch echt de verkeerde whitehats in.

Voorbeeld werkt prima omdat iedereen kan leren om op een kartonnen doel te schieten, maar je seriemoordernaar heeft de 'denkwijze' om op levende mensen te schieten... Oftewel beide zijn niet te vertrouwen en dat hebben ze al heel duidelijk laten zien.

Ander voorbeeld: analoge security tester oftewel inbreker. Jij huurt dus niet een beveiligingsbedrijf en slotenmaker in maar een veroordeelde inbreker om je huis te beveiligen...
En daarmee krijg je de situatie dat een bedrijf als een bank hem niet wilt hebben, maar een security testing bedrijf juist wel.
En waar denk je dat die security test bedrijven vervolgens aan het werk moeten? Bij opdrachtgevers als bijvoorbeeld banken welke geen diensten afnemen vanwege de genoemde screening.
Een goede security test heeft het risico om je systeem om zeep te helpen. Zoniet, dan kan je het zo goed door een aantal tuinmannen zonder enige IT-ervaring laten doen. Nul risico, nul nut echter ook.
Nee dat klopt (ook) niet. Een goede test toont kwetsbaarheden aan. Iets om zeep helpen is niet altijd even moeilijk. Iets goed (door) testen en de juiste conclusies en aanbevelingen doen is dat wel.
Terwijl het hier om de kennis en denkwijze gaat.
Precies, en dat is niet per definitie is waar een white-hat hacker verschilt van een black-hat.
Afsluiten in een gecontroleerde testomgeving is natuurlijk geen representatieve test. Penetratietests doe je ook in productie omgevingen. Het eventuele risico dek je contractueel af of je laat een vrijwaringsverklaring tekenen.

Een black-hat hacker heeft zoals je aangeeft een andere motivatie; namelijk eigen gewin, het berokkenen van schade etc. Dat is net iets wat je bij een goede test niet kunt gebruiken.
Als je security goed genoeg is dan komen ze niet bij de waardevolle spullen en als je security niet goed genoeg is dan kom je erachter op een manier / tijdstip die jij zelf bepaalt.
Klopt helemaal. Daarom laat je o.a. penetratietest en audits uitvoeren. Dit heeft echter geen enkele relatie tot een black hat insteek zoals jij die schetst.
Die security professional die vervolgens voor de bank een opdracht doet...
Security professionals die bij een bank aan het werk gaan worden doorgaans gescreened. Dergelijke opdrachten kan je met een veroordeling wel vergeten.
Dat is dan ook heel het punt dat ik probeer te maken. Als security professional gaat het lastig worden.
Als hij zichzelf had aangegeven in 2015, had hij WannaCry niet kunnen stoppen vanuit de gevangenis.

Dan zou de extra schade van WannaCry een stuk hoger zijn geweest dan waar hij nu schuld voor bekend.
Als dan... redenaties zijn compleet zinloos.

Dan moet je namelijk maar het hele strafrecht afvoeren, als iemand namelijk niet de ultieme misdaad pleegt dan kan die in de gevangenis zitten waardoor hij de ultieme misdaad van iemand anders niet kan voorkomen.
Jij mag het zinloos vinden. Ik vind het in dit geval relevant dat deze persoon de maatschappij veel kosten heeft bespaard.

Je realiseert je wel dat hij niet de gene is die WannaCry heeft gemaakt en gedistribueerd heeft is, maar de gene die het stopte.

De veroorzaakte kosten zijn niet gepubliceerd, maar gezien de onbekendheid van de genoemde stukjes software lijken mij die zeer beperkt.

Elke goede programmeur heeft ooit wel eens gekeken hoe zijn software andere software kan beïnvloeden, software geschreven die grapjes met de gebruiker uit haalde en gekeken hoe software zich over een netwerk kan verspreiden.

[Reactie gewijzigd door djwice op 20 april 2019 17:22]

23 toen hij de killswitch van Wannacry ontdekte. Veel jonger toen hij zijn eigen malware maakte en verspreidde.
Bovendien was Kronos niet zomaar een virusje voor de lol, of voor de spanning van het hacken.

Het was een virus dat bankinloggegevens steelde. En dus gebruikt werd om geld te stelen van mensen zoals jij en ik. En in de praktijk: De op computergebied zwakkeren in de samenleving zoals ouderen die het toch al allemaal niet meer zo snappen. Dat vind ik absoluut iets dat zwaar bestraft moet worden net zoals inbraak of bankroof.

[Reactie gewijzigd door GekkePrutser op 20 april 2019 22:12]

Mannen blijven altijd kinderen heb ik mij wel eens laten vertellen...
Op je 20e/23e ben je echt wel volgroeid
20e nee, 23e... Maybe...

Ligt heel erg aan de persoon. op mijn 22e nog een vrij radicaal 'lampje' gaan branden, wat me tot op de dag van vandaag nog van nut is. Op m'n 24e een bedrijfje begonnen en daar niet altijd de beste keuzes gemaakt, een hoop van geleerd, maar ik zou het zeker niet 'volgroeid' willen noemen. Ik vermoed dat dit (voor mij) pas achter in de 20'er jaren tot een stabiele fundering heeft geleid. Het is niet zozeer dat 'jongeren' niet weten dat iets crimineel gedrag is (als dat wel zo is mist er iets in je opvoeding), maar dat je brein nog iets andere prioriteiten stelt dan je dat op latere leeftijd doet. Het idee dat je toch niet gepakt wordt, het niet zo spannend is wat je doet of dat je idealistische overtuigingen belangrijker zijn dan die van de rest van de maatschappij.

Het issue is niet zo zeer dat er crimineel gedrag is geweest, maar wat voor crimineel gedrag. Malware kan je onder afpersing of algehele vandalisme van persoonlijk of bedrijfseigendommen. Dat eerste wordt altijd zwaar gestraft, dat laatste ligt er aan hoe erg het is... Heb je zitten taggen, krijg je een taakstraf, blaas je een auto (van iemand anders) of twee op met vuurwerk, dan begint men heel andere straffen te overwegen. Heb je in een paar nachten de ramen van 500 woningen ingegooid, dan gaat men met heel andere middelen meppen...

Maar we hebben allemaal in onze jonge jaren dingen gedaan die strafbaar zijn, of je je dat nu realiseert of niet. De vraag is wat en wat voor scope...
20e nee, 23e... Maybe...
Voor de volledigheid, de "23" is in deze discussie volkomen irrelevant, dat is de leeftijd waarop ie Wannacry stopte; er is niemand die hem daarvoor wil aanklagen. De enige relevante leeftijden zijn 17 (toen ie begon met malware schrijven) en 20 (toen ie daarmee stopte; daarna heeft ie (daar is iedereen het volgens mij over eens?) geen misdaden meer gepleegd).
Zoals eerder aangegeven is het wat kort door de bocht om te zeggen dat iemand op zijn 23ste ruimschoots volwassen en volgroeid is. Uit eigen ervaring kan ik vertellen dat dit bij mij in ieder geval niet zo was.

Ook denk ik niet dat dit soort mensen een baan krijgt in plaats van straf. De straf komt altijd, dus over lonen zou ik niet perse spreken. Daarbij wordt je als computer crimineel op een wachtlist gezet waarbij je activiteiten in de gaten worden gehouden.

Het ligt dus iets genuanceerder.
Toen ik 17 was ik bezig met studeren en werken voor minimumloon. En ja ook daar deed ik wel eens iets wat niet mocht. Maar nooit met iets wat zoveel schade aanrichten.
Compleet mee eens. Dat verhaal van brein volgroeid vind ik wel in zekere mate onzin. Ik deed nog gekke dingen toen ik 35 was, gelukkig nooit gepakt daarvoor. Het is meer leren van je fouten en je maakt meer fouten als je niet bent opgevoed en alles zelf moet uitzoeken, zeker op 17. Denk dat we het daar meer moeten zoeken. M.a.w. wees niet zo benepen en geef zeker deze man een tweede kans! Ik weet een goeie: denk niet dat je goed bent omdat je niet slecht kan doen (om wat voor reden dan ook). Heb veel respect voor de slechte die besluit goed te doen. Dát moeten we propageren! Niet: eens een boef altijd een boef! Ik heb zo'n hekel aan die kleinzieligheid.
Ze hebben namelijk al aangetoond de verantwoordelijkheid niet aan te kunnen
Is dat zo? We doen allemaal achterlijke dingen als puber/adolescent waar we de gevolgen op dat moment niet altijd van (kunnen) overzien.
Mooi dat hij bekend heeft
Onder welke dwang? Ik vertrouw het niks...
[...]

Is dat zo? We doen allemaal achterlijke dingen als puber/adolescent waar we de gevolgen op dat moment niet altijd van (kunnen) overzien.
Hij was toen (2015) 20 jaar, dan ben je geen puber meer... op je 20e hoor je je toch echt wel volwassen te kunnen gedragen, en op die leeftijd kan je echt de gevolgen wel overzien hoor.

Daarnaast is er natuurlijk een verschil tussen een normale puberale streek en het aanrichten van vele miljoenen euor's aan schade over de hele wereld door dit soort misdrijven. Dit gaat vér boven wat je als een kwajongensstreek zou kunnen tpyeren.
[...]

Onder welke dwang? Ik vertrouw het niks...
Dit is wellichtr een leuke complottheorie, maar heb je ook bewijs dat er dwang is toegepast? Hij had ook gewoon de keuze kunnen maken door deze deal niet aan te nemen. Ik lees nergens dat hij daartoe gedwongen zou zijn door wie dan ook.

[Reactie gewijzigd door wildhagen op 20 april 2019 11:28]

Dit is wellichtr een leuke complottheorie, maar heb je ook bewijs dat er dwang is toegepast? Hij had ook gewoon de keuze kunnen maken door deze deal niet aan te nemen. Ik lees nergens dat hij daartoe gedwongen zou zijn door wie dan ook.
Dat hangt er vanaf hoe je "dwang" definieert. Maar hij is een plea agreement aangegaan en dat systeem is, voorzichtig gezegd, ontzettend vatbaar voor misbruik. Waar het op neer komt is dat de politie justitie *) tegen de verdachte zegt "Wij hebben geen zin om ons werk te doen, dus we gaan niet bewijzen dat je schuldig bent; maar je gaat toch de bak in, want je gaat "vrijwillig" schuld bekennen. Waarom zou je dat doen? Nou, omdat je maar voor een paar aanklachten schuld hoeft te bekennen. En als je dat niet doet? Tja, dan zijn we ontzettend geïrriteerd en nemen we wraak door onze frustratie bot te vieren en ons uiterste best te doen je voor alle aanklachten zo hard mogelijk te straffen.".

Er zijn gevallen bekend waarin onschuldigen alsnog schuld hebben bekend. En dan heb ik het niet over "onschuldig" in de zin "schuld is niet bewezen", maar echt "onschuld is bewezen" (meestal doordat de echte dader later alsnog gepakt is). Hoe vaak dit in totaal gebeurt (maar waarbij het niet aan het licht komt) is onmogelijk in te schatten. In veel van die gevallen gaat het overigens om mensen die verdacht werden van iets waar de doodstraf op staat; de plea agreement ondertekenen zorgde ervoor dat ze die in elk geval niet konden krijgen. Maar alsnog stemden ze in met tientallen jaren in de gevangenis voor iets wat ze helemaal niet gedaan hadden. Dat lijkt me voldoende onderbouwing voor het feit dat mensen keihard onder druk worden gezet om akkoord te gaan met zo'n plea agreement (of je dat "dwang" wilt noemen moet je zelf weten) én dat deze truc gebruikt wordt als helemaal niet duidelijk is of de verdachte ook daadwerkelijk de dader is.

*) Ontzettend slordig taalgebruik gecorrigeerd n.a.v. reactie hieronder.

[Reactie gewijzigd door robvanwijk op 21 april 2019 03:20]

[...]
Waar het op neer komt is dat de politie tegen de verdachte zegt "Wij hebben geen zin om ons werk te doen, dus we gaan niet bewijzen dat je schuldig bent; maar je gaat toch de bak in, want je gaat "vrijwillig" schuld bekennen. Waarom zou je dat doen? Nou, omdat je maar voor een paar aanklachten schuld hoeft te bekennen. En als je dat niet doet? Tja, dan zijn we ontzettend geïrriteerd en nemen we wraak door onze frustratie bot te vieren en ons uiterste best te doen je voor alle aanklachten zo hard mogelijk te straffen.".
politie? De politie straft? Nee, dat is niet wat de politie doet. Die gaan niet over de strafmaat.

De politie wil je wel graag achter tralies zien verdwijnen (goed voor percentage van arrestanten die veroordeeld worden), maar hoeveel jaar is hun praktisch een rotzorg. Dat is dus hun reden voor de plea deal.
Je hebt helemaal gelijk, heb zat documenten gezien dat er onschuldige mensen de gevangenis in gaan, en ook onder grote druk schuld bekend hebben, ook als ze het niet gedaan hebben.

Dat is ook een van de rede dat ik tegen de dood straf ben, ook daar blijkt uit dat er onschuldige mensen dood aan gegaan zijn.
In 2015 is hij er mee gestopt, duidelijk meer verstand gekregen dus over de tijd. Toen hij er mee begon was hij een stuk jonger, we doen allemaal domme dingen als we jong zijn, zoals hierboven al meerdere keren beschreven.

Dat jij er dan steeds op terug moet komen dat hij tot 2015 doorging is iets heel anders. Hij besloot op die leeftijd te stoppen, niet te starten.
In 2015 is hij er mee gestopt, duidelijk meer verstand gekregen dus over de tijd. Toen hij er mee begon was hij een stuk jonger, we doen allemaal domme dingen als we jong zijn, zoals hierboven al meerdere keren beschreven.
We doen inderdaad allemaal domme dingen, maar de meeste domme dingen verorozaken geen miljoenen euro's aan schade, wereldwijd gezien.

Er is een verschil tussen een onschuldige puberactie, of een misdrijf zoals dit.

Fijn dat hij gestopt is, en dat is inderdaad positief, maar het feit blijft wel dat hij wel anoniem is gebleven, en zichzelf niet heeft gemeld. Dat is dan weer iets minder netjes natuurlijk.
Het is juist heel voorspelbaar gedrag. Hij had zich in een positie gebracht waarin 'bekennen' alleen maar negatieve gevolgen zou hebben. Je moet dan een ontzettend sterk karakter hebben om de klok te luiden over jezelf.
Fijn dat hij gestopt is, en dat is inderdaad positief, maar het feit blijft wel dat hij wel anoniem is gebleven, en zichzelf niet heeft gemeld. Dat is dan weer iets minder netjes natuurlijk.
Dat kun je ook niet van iemand verwachten. Dat staat zelfs in de wet (jezelf aangeven als de politie je nog niet eens op het spoor is valt mijns inziens helemaal onder "meewerken aan je eigen veroordeling").

Op het moment dat ie opgepakt werd, was ie al lang en breed gestopt én was bezig een carrière op te bouwen waarbij hij zijn kennis op een goede manier inzette. Meer kun je volgens mij niet verlangen.
Dit is wellichtr een leuke complottheorie, maar heb je ook bewijs dat er dwang is toegepast?
Nee natuurlijk niet! Maar dat houdt niet in dat ik het maar voor de volle 100% moet vertrouwen...
Heb je redenen om aan te nemen dat er in dit geval niet vertrouwd hoeft te worden op de waarheid van de bekentenis? Je komt zelf met het voorbeeld van dwang, dus waardoor vermoed je dat er in deze zaak dan sprake van dwang zou kunnen zijn?
[...]


Hij was toen (2015) 20 jaar, dan ben je geen puber meer... op je 20e hoor je je toch echt wel volwassen te kunnen gedragen, en op die leeftijd kan je echt de gevolgen wel overzien hoor.

Daarnaast is er natuurlijk een verschil tussen een normale puberale streek en het aanrichten van vele miljoenen euor's aan schade over de hele wereld door dit soort misdrijven. Dit gaat vér boven wat je als een kwajongensstreek zou kunnen tpyeren.

[...]


Dit is wellichtr een leuke complottheorie, maar heb je ook bewijs dat er dwang is toegepast? Hij had ook gewoon de keuze kunnen maken door deze deal niet aan te nemen. Ik lees nergens dat hij daartoe gedwongen zou zijn door wie dan ook.
Nou ben niet helemaal met je een dat je op je 20ste jaar helemaal volwassen moet wezen, ook aangezien je hersenen nog steeds door groeien en pas afsterven rond je 26/27 jaar.

Je hersenen functioneren het best als je rond de 22 jaar oud bent en vertonen vijf jaar later al de eerste tekenen van achteruitgang.

https://www.nu.nl/wetensc...p-27-jarige-leeftijd.html
welke dwang? Ik vertrouw het niks...
Onder de dwang dat je zonder een bekentenis een duidelijk hogere straf krijgt. Welke samenzwering ruik jij?
Is het niet juist zo dat mensen met de juiste begeleiding weer aan een baan helpen en zo op het juiste pad te houden, dat de kans op herhaling van crimineel gedrag een stuk minder wordt?
Ja, begeleiding is wel wenselijk, maar het lijkt me dan wel verstandig dat dat niet in de IT gebeurt, maar in een ander vakgebied.

Dit gezien zijn verleden, en de tientallen miljoenen euros schade die hij wereldwijd heeft aangericht.

Sowieso moet je criminaliteit niet zomaar gaan belonen met een baan. Wat denk je dat er dan gebeurt? "Ow, ik kan geen baan vinden. Laat ik een misdrijf plegen, dan krijg ik wellicht wel een baan". Dan open je de hekken voor meer van dat gedrag.
Hmm, beetje zoals boeren of mensen die tegelen vragen om te gaan programmeren ... Interesse ligt er niet dus het beste is dat ze middelmatig worden.

We krijgen te horen in mijn branche (IT consultancy) dat je beter excellent wordt in iets waar je goed in bent dan middelmatig in iets dat goed op brengt...

Ik zal het anders zeggen, als de schilder bij u in het zwart (Cash zonder factuur dus) is komen schilderen is, hier voor overgedragen en schuld bekend heeft.

Nadat hij zijn boete doening heeft moeten doen (boete, gevangenisstraf, wat het ook was). Ga jij dan zeggen, tja we kunnen u niet meer vertrouwen als schilder, dus nu een andere carrière kiezen... in de petrochemie!

[Reactie gewijzigd door Icekiller2k6 op 20 april 2019 11:57]

Zwartwerken heeft niets met het schilderen te maken.

Stel het in jouw voorbeeld eens anders: Een schilder die misbruik maakt van het vertrouwen (toegang) dat hij krijgt via zijn werk, door zijn klanten te bestelen. Zou je die nog als zelfstandig schilder laten werken in de toekomst?

Voor dit soort dingen zijn VOGs juist bedoeld.

[Reactie gewijzigd door GekkePrutser op 20 april 2019 22:30]

De gedachte is juist dat reclassering helpt om herhaalgedrag te voorkomen. Schat je de kans op recidive groter of kleiner in als niemand hem een baan aan wil bieden?
Ach, belangrijke banen waar hij schade aan kan richten zullen iha om een vog vragen, en die krijgt hij dus nooit meer. Dat probleem is wel opgelost.
Nooit Catch Me If You Can gezien?
"Ow, ik kan geen baan vinden. Laat ik een misdrijf plegen, dan krijg ik wellicht wel een baan". Dan open je de hekken voor meer van dat gedrag.

Ik denk dat weinig mensen met de talenten om op die manier een baan aangeboden te krijgen de bovenstaande gedachte hebben gehad.....
Ik neem eerder deze kerel aan dan één van die vele middelmatige brave IT'ers.
. Ze hebben namelijk al aangetoond de verantwoordelijkheid niet aan te kunnen, en zich van wet- en regelgeving helemaal niets aan te trekken.
Dat is de hele mindset van een hacker en op die leeftijd bijna niet meer dan normaal. In mijn tienerjaren was ik ook aan het hacken. Het is op die leeftijd meer een technische uitdaging en een obsessie om te kijken hoe je beveiliging kan omzeilen. In het geval van programmeren van malware is het kijken of je theorie het zou doen in de praktijk. Zelden draait het om geld, want dat heb je op die leeftijd überhaupt zelden nog gezien.

Inmiddels begeleid ik hoger opgeleide programmeurs. De lui die nooit de hackersmentaliteit hebben gehad, maar die daardoor ook vaak steekjes laten vallen als het op beveiliging aankomt(die kijken naar totaal verkeerde zaken en missen een heleboel). De kennis die ik in mijn tienerjaren heb opgedaan gebruik nog steeds dagelijks. Als je precies weet waar zwakke punten in het systeem zitten dan is dat enorm waardevol.

Je hebt een hacker nodig om hackers te stoppen.

[Reactie gewijzigd door BarôZZa op 20 april 2019 20:48]

Dát vind ik te kort door de bocht.

Dit is een kwestie van gevoelsmatige pakkans.
Sowieso is het rationele deel van je hersenen pas uitontwikkeld rond je 25e. Tot die tijd heb je wat mij betreft dus gewoon nog te maken met 'niet 100% volwassenen'.
Deze kerel heeft dus tussen zijn 17- en 20-jarige leeftijd wat narigheid uitgevoerd.. Om hem daarvoor meteen af te schrijven als 'nutteloos persoon' die niks meer aan de maatschappij kan bijdragen is ÉCHT onzin. Het feit dat hij Wannacry heeft gestopt is wat mij betreft al genoeg reden om die stelling als invalide te verklaren.

Wanneer ik over het wegennet rijd (van 50km/u weg tot snelweg) zie ik dat zeker zo'n 5-10% van de mensen zich niet aan de maximale snelheid houd... zijn al deze mensen kansloos en moeten we die weren uit het bedrijfsleven?

Hoeveel van de nu 30ers of 20ers en zelfs ook 40ers heeft wel niet illegaal gedownload; films, games, muziek?... zijn al deze mensen kansloos en moeten we die weren uit het bedrijfsleven?

Hoeveel tieners halen wel niet eens wat kattenkwaad uit dat 'illegaal' is?... állemaal kansloos?
Aan de andere kant maakt een goede stroper nog niet noodzakelijk een goede boswachter. Sowieso heeft zijn reputatie grote schade opgelopen en zal het moeilijk zijn om hem in de toekomst te vertrouwen.

Het feit dat hij WannaCry gestopt heeft doet evenwel geen afbreuk aan zijn verleden. Hij heeft fouten gemaakt en zal de gevolgen daarvan moeten leren dragen. Het is niet omdat je enkele goede dingen hebt gedaan dat alle zonden daarmee ineens vergeven zijn, dat het ineens kan en mag lijken alsof er nooit iets gebeurd is. Als hij in de toekomst ergens wordt aangenomen in een IT functie met toegang tot gevoelige informatie/systemen en de werkgever kent zijn verleden, je mag er zeker van zijn dat hij nog jaren onder een vergrootglas zal liggen.
Mja, dat spreekt uiteraard voor zich. Verantwoordelijkheid dragen voor je eigen daden is mijns inziens erg belangrijk. Dat hij onder een vergrootglas ligt spreekt ook voor zich. Dat dit een kosten/baten afweging is voor een eventuele werkgever vind ik ook logisch (is hij goed genoeg en productief genoeg om de extra kosten die het toezicht met zich mee brengen te verantwoorden).

Om echter te zeggen 'hij moet putjesschepper worden' of zoiets stoms zoals Zer0 hierboven suggereert vind ik een nogal malafide statement.
Aan de andere kant maakt een goede stroper nog niet noodzakelijk een goede boswachter. Sowieso heeft zijn reputatie grote schade opgelopen en zal het moeilijk zijn om hem in de toekomst te vertrouwen.
Maar dat komt meer omdat boswachter uitgebreider is dan anti-stroper.

Een goede stroper zal (als hij dat wil) wel een goede anti-stroper kunnen zijn en vanuit dat oogpunt boswachters adviseren.
Tot die tijd heb je wat mij betreft dus gewoon nog te maken met 'niet 100% volwassenen'.
Maar dat is wat anders dan nul procent volwassen. Rond je 17e/18e jaar mag je ondertussen toch wel een redelijke volwassenheid verwachten, en enig besef van goed/fout. Als je het graag in procenten uitdrukt, wellicht 80/90%
m hem daarvoor meteen af te schrijven als 'nutteloos persoon' die niks meer aan de maatschappij kan bijdragen is ÉCHT onzin.
Volgens mij doet niemand dat, er wordt alleen gesteld dat je hem wellicht geen baan in de ICT aan moet bieden.
Natuurlijk kan hij nog wat aan de maatschappij bijdragen, er zijn nog genoeg andere banen, al wast het vuilnisman, putjesschepper of TED-talker :P
Dan wil je niemand meer aannemen, iedereen download wel eens wat of heeft een programma opgenomen met zijn videorecorder...
Zeker niet op basis van dergelijke criminele feiten. Je wil je als bedrijf daar zeker niet aan verbinden.
Langs de andere kant is het ook niet zo dat hij persé "verbrand" is voor de rest van z'n leven. Als hij nog wat presteert in de positieve zin, zijn er vast bedrijven die hem willen "vergeven" en het vertrouwen schenken. Tijd heelt alle wonden...
In bepaalde sectoren natuurlijk niet meer. De beroepen met een verklaring omtrent gedrag zouden wat mij betreft afvallen in verband met de voorbeeld functie.

Wel straffen, daarna weer een kans geven.
Zoek hem eens op op Youtube / Twitch zou ik zeggen en trek je conclusie dan. Wat ik zag was een prima kerel die anderen probeert het vak van mallware analysis te leren. Als ik een mallware analysis en/of security firm zou hebben dan zou ik hem zeker een baan aanbieden :)

Linkje: https://www.youtube.com/channel/UCLDnEn-TxejaDB8qm2AUhHQ

[Reactie gewijzigd door bloq op 20 april 2019 19:58]

Met honing vangt men geen vliegen luid het spreekwoord.
Als iemand echt talent heeft dan moet je die gewoon een kans geven maar wel zorgen dat hij/zij toch niet de verkeerde dingen gaat doen ofwel voor de Amerikaanse overheid laten werken.
Ehm, het spreekwoord is dat je met azijn geen vliegen vangt. Overigens is dat een gevalletje myth busted, wijnazijn werkt juist prima.
Zou iemand dit talent nog een baan willen geven, vraag ik me dan af?
Sure. Ik denk dat er zat mensen zijn die iemand een 2e kans gunnen. Of dat er zat bedrijven zijn die zijn talenten kunnen gebruiken. Met de nodige safe-guards is het wel te doen. Betaal hem in aandelen.. :+
Hij heeft een zeer goed betaalde baan..
Ik denk het wel; hij heeft immers bewezen dat hij (ook) goed is in het stoppen van malware.
Dit geeft wel aan hoe het US "rechtssysteem" werkt: chantage, chantage, chantage. Iemand in de val lokken door hem/haar op een onbewaakt moment uitspraken te ontlokken (waarschijnlijk grootspraak) en dit daarna als drukmiddel te gebruiken. Dit is niet de eerste keer dat plea bargaining als middel tot een gemakkelijke weg tot veroordeling wordt gebruikt.

"The 'trial penalty' seeks to facilitate guilty pleas by guilty defendants [...and ironically...] disproportionately, collectively, penalizes innocents, who reject on fairness grounds some offers their guilty counterparts accept."
Schuld bekennen (zeker als je onschuldig bent) is inderdaad in het Amerikaanse systeem vaak de beste manier om een betrekkelijke lage straf te krijgen.

Maar, ongeacht het Amerikaanse systeem, in dit geval heeft Hutchins ook wel een paar domme dingen gedaan na zijn arrestatie. Dat krijg je als je je juridische kennis van YouTube en TV series haalt. Een hoop daarvan is flauwekul en brengt je makkelijk dieper in de problemen. Verder heeft hij vanuit de gevangenis een telefoongesprek gevoerd met een kennis waarin hij heeft gezegd dat hij ooit wat code geschreven heeft die in malware is gebruikt. Die telefoonlijnen worden natuurlijk gewoon afgeluisterd dus had justitie ineens een mooie opname met details over wat hij vroeger had uitgespookt.
Ja je wordt met de series zoals law en order gebrainwashed, al die gasten die gaan praten met de politie. En is maar 1 ding wat je zegt, lawyer. Pas als je die hebt, gaat hij met de politie praten, jij zegt geen woord, alleen de advocaat aan het woord. Alleen in de UK (en andere landen?) kan het je verdediging schaden wordt je voorgelezen, maar ook daar geldt, lawyer first, talk later
Nope, ook het VK valt onder het EVRM. Je hebt het recht op een advocaat, en het uitoefenen van dat recht mag niet bestraft worden. Ik denk ook niet dat een rechter zich daar aan gaat bezondigen, het zou zo maar tot vrijspraak in hoger beroep kunnen leiden.

En verder is het niet "jij zegt geen woord". De regel is "je zegt geen woord, totdat de advocaat jou vertelt wat je moet zeggen". Zwijgen kan wél tegen je gebruikt worden, maar alleen als je het volhoudt.
De cautie die je in de UK(Engeland en Wales) krijgt, maakt geen voorbehoud totdat je advocaat er is. Je kan ter plekke van na je aanhouding door de politie worden bevraagd, en als je dus geen antwoord geeft (omdat je op een advocaat wilt wachten) kan dat tegen je worden gebruikt, zo interpreteer ik dit.

You do not have to say anything. But it may harm your defence if you do not mention when questioned something which you later rely on in court. Anything you do say may be given in evidence.
"it may harm your defence" - dat is dus de essentie. Zwijgen kan niet tegen je gebruikt worden, maar je loopt het risico dat je daarmee je eigen verdediging dwars zit. Ontlastende feiten zijn geloofwaardiger naarmate ze eerder vastgelegd worden.

Maar het probleem met die logica is dus dat je als leek niet goed kunt beoordelen wat ontlastend is.
Een beetje laat, maar waarom zijn ontlastende feiten minder geloofwaardig als ze later bekend worden? Dat vind ik vreemd. En de politie is er niet om jou vrij te ontlasten, maar om iemand als schuldige aan te wijzen, en dat kan jij zijn.

En er zijn situaties waarin het niet handig is om ontlastende feiten te vroeg naar voren te brengen.
het lastig om een goed voorbeeld hiervan te vinden maar ik denk dat de zaak van Lucia de B er 1 is. De onverklaarbare sterfgevallen waren waar Lucia de B. niet bij aanwezig werden weggelaten uit het dossier. Als die gevallen onderdeel van het patroon werden gehouden, dan was het zeker geweest dat zij het niet gedaan had, want voor een aantal gevallen had ze een alibi. Echter doordat het alibi tijdens het onderzoek naar voren kwam, heeft men die gevallen van het patroon uitgesloten. Als haar alibi bij de rechtszaak naar voren was gekomen, werd er een groot gat in de patroon theorie geschoten en had de uitspraak wel eens anders kunnen zijn....
Ontlastende feiten zijn niet tijdsgebonden. Dat is het probleem niet.

Het gaat hier meer over subjectieve zaken zoals opzet. Als jij direct na een ongelukje verklaarde waarom je handelde zoals je handelde, dan is het aannemelijker dat die reden correct is. Een reden die je pas in de rechtzaak inbrengt kan verzonnen zijn om opzet te verdoezelen.
Ja, nu weten we nòg niet of 'ie 't echt gedaan heeft.
Als justitie in de VS een plea bargain aanbiedt is het wijs deze te accepteren.

Veel misdrijven kennen een minimale straf die veelal hoger is dan wat in de plea bargain wordt aangeboden.

Als in de plea bargain een straf van drie jaar wordt afgesproken en je bij het verliezen van een rechtszaak tegen 20 jaar aankijkt dan zou je, ook als je onschuldig bent, wel drie keer nadenken voordat je de plea bargain afwijst. Het risico om te verliezen is te hoog.
De security wereld was helemaal niet blij toen hij dat domain registreerde. Vanaf dat moment konden researchers niet meer achterhalen waar de malware heen connecten.
Dus hij heeft het toen lopende onderzoek enorm gefrustreerd met zijn actie.
Dat lijkt me een broodje aap. Heb je bronnen? Bij een grote wond in je lichaam van ze ook eerst het bloeden stoppen voor ze naar de oorzaak kijken.

Je laat niet willens en wetens malware / virussen of cryptolockers zich verder verspreiden of mensen afpersen. Daarbij, voor onderzoek hoef je je DNS-server maar even wijs te maken dat het betreffende kill-switch-domein niet bestaat en klaar is Clara. Kun je rustig verder onderzoeken.
Waarop baseer je dat de security wereld niet blij was? Het registreren van het domein voorkwam dat dat de malware zich verder ging verspreiden. En het gaf de eigenaar van het domein inzicht dat anderen niet hadden. Het is dus niet zo simpel dat de security wereld helemaal niet blij was.
Vanaf dat moment konden researchers niet meer achterhalen waar de malware heen connecten.
Als mensen malware onderzoeken gebeurt dat vrij gecontroleerd, in dat geval zet je gewoon in je DNS server die gebruikt word dat het domein niet bestaat --> Klaar.
Ik vind dit wel erg verdacht, je ziet soms scenario's waar de aanklachten onterecht zijn maar ze de negatieve aspecten laten vallen en je laten gaan als je schuld bekend. Het feit dat de overige aanklachten er zijn en nu worden laten vallen kan een intimidatie truuk zijn geweest zodat het niet lijkt alsof hij onterecht zo is behandeld.

Het volgende stuk is dan ook erg opmerkelijk in dit scenario : "Hutchins had tot nu toe altijd stellig schuld ontkend en beweerde dat de FBI hem had ondervraagd terwijl hij uitgeput en onder invloed van alcohol was. De agenten zouden hem ook misleid hebben over het ware doel achter het verhoor. De resultaten van dat verhoor zijn echter alsnog in de rechtszaal beland als bewijsmateriaal. Hutchins kan per aanklacht waarvoor hij nu schuldig pleit tot vijf jaar celstraf krijgen en tot 250.000 dollar boete opgelegd krijgen."

Ik heb dus het vermoede dat er meer achter zit dan wat hier blijkt en geloof niet per definitie dat hij daadwerkelijk om een legitieme reden schuld heeft bekend.
Zou hij niet gewoon achter 'WannaCry' hebben gezeten om zo eeuwige roem te behalen?
Op de één of andere manier lijkt dit artikel te willen weerspiegelen dat MalwareTech de maker is van WannaCry wat helemaal niet het geval is. Hij heeft schuld bekent voor andere malware die hij wel geschreven heeft. Hij heeft gewoon naam gekregen als "savior van wannacry".

Beetje misleidend artikel vind ik, kan aan mij liggen.
Ik denk als jouw systeem/bedrijf door zijn malware platgelegd is/geld afhandig is gemaakt, dat je daar heel anders over denkt. Een 17jarige tegenwoordig is al lang niet meer zo naief als 50 jaar geleden juist door de media en internet.
Een 17 jarige heeft nog steeds een nog niet uitontwikkeld brein. Vandaar ook dat het jeugdstrafrecht nog steeds bestaat.

[Reactie gewijzigd door mae-t.net op 22 april 2019 15:10]

maar door zijn actie (oplossing voor het probleem vinden) heeft hij zichzelf verraden.
Nee, dat is absoluut NIET wat hier aan de hand is.

Je haalt twee dingen door elkaar: Wannacry (die niet door Malwaretech is geschreven, maar wel door hem uitgeschakeld is) en een ander stuk malware (waarvan we de naam volgens mij niet weten, die wel door Malwaretech is gemaakt en waarvoor ie is opgepakt).
bedankt voor de duidelijkheid en verbeteren van mijn verhaal! heb de tekst nog eens gelezen. dit leest veel prettiger als ik al weet hoe het zit. ik had hiervoor al meerdere malen gelezen maar snapte er niet veel van.

en ik vind het geweldig dat ie wannacry gestopt heeft. ik weet niet wat zijn eigen geschreven malware doet. maar ik denk dat wannacry vele malen erger is dan zijn eigen creatie. dus dat ze hem nu zo behandelen vind ik schandalig, eerst zat voeren en ondervragen over iets anders en dan die antwoorden tegen hem gebruiken.
ik vind de straf wel laag
Welke straf? Er is nog niet eens een proces geweest, dus ook nog geen strafeis, laat staan een uitspraak.

Hij heeft nu alleen bekend, nu moet de strafeis en de uitspraak dus nog volgen. Dat die niet mals zal uitpakken lijkt me vrij voorspelbaar en terecht, gezien de miljoenenschade wereldwijd, maar die 50 jaar lijkt me toch echt ietwat overdreven.
Je krijgt -1, maar bij het lezen van het verhaal krijg ik ook sterk de vibe dat hij deze deal heeft gedaan om erger te voorkomen. Ongeacht of hij het nu wel of niet zelf gedaan heeft.

We zullen dit nooit zeker gaan weten.Maar deze plea ruikt niet fris.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Microsoft Xbox One S All-Digital Edition LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Politiek en recht

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True