Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ethisch hacker wordt niet vervolgd na hack op Twitter-account van Donald Trump

Ethisch hacker Victor Gevers wordt niet vervolgd voor het hacken van het Twitter-account van Donald Trump. Het Openbaar Ministerie gaat er vanuit dat Gevers het account wel binnendrong, maar daarbij geen strafbare feiten pleegde.

Het OM concludeert daarmee dat Gevers niet hoeft te worden vervolgd, schrijft de Volkskrant. Gevers werd vorige maand nog verhoord door het Team High Tech Crime van de politie, nadat hij in oktober stelde het Twitter-account van de Amerikaanse president Trump te zijn binnengedrongen. Dat deed Gevers door het wachtwoord simpelweg te raden. Het account was alleen beveiligd met het wachtwoord maga2020! en had geen tweestapsverificatie.

Gevers wilde tot nu toe behalve een aantal screenshots geen bewijs leveren voor de 'hack', omdat dat mogelijk strafbaar zou zijn. Het Openbaar Ministerie concludeert nu dat Gevers inderdaad niet strafbaar handelde en zich aan 'bijzondere omstandigheden hield'. De hacker nam contact op met verschillende partijen die verantwoordelijk waren voor de beveiliging van het account, zoals de geheime dienst, het Witte Huis en Twitter zelf. Ook gaf hij tips over het beter beveiligen van het account.

Daarmee hield Gevers zich aan de regels rondom coordinated vulnerability disclosure", stelt het OM nu het onderzoek is afgerond. "Het OM gaat ervan uit dat de hacker ook echt is binnengedrongen in het Twitter-account van Trump, maar daarbij heeft voldaan aan de criteria die in de rechtspraak zijn ontwikkeld om vrijuit te gaan", zegt het OM tegen de Volkskrant.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Tijs Hofmans

Redacteur privacy & security

16-12-2020 • 12:09

178 Linkedin

Reacties (178)

Wijzig sortering
Goed mandaat. Het is van de zotte om ethical hackers te vervolgen.

-edit- Mits diegene gewoon de regels heeft gevolgd en niet heeft gepost met het account, wat blijkbaar wel is gebeurd.

[Reactie gewijzigd door Vaal op 16 december 2020 13:15]

Fijn om iemand die beweerde dat hij mogelijk een tweet geplaatst heeft op het publieke kanaal van een politicus die erg negatief is voor die politicus terwijl er momenteel een verkiezing gaande was een ethische hacker te noemen. Je bent nog geen ethische hacker door jezelf een ethische hacker te noemen. Dergelijke inmenging in een buitenlandse verkiezing is nou net het soort iets waar we allemaal boos op Rusland over zijn. Relevante discussie hier: Nederlandse hacker op Trump account

Wat je moet weten over deze heer die Tweakers een 'ethisch hacker' noemt: Hij beweert te hebben gepoogd de amerikaanse verkiezingen te beïnvloeden door een tweet te plaatsen vanaf het account van Trump met een link naar een nepnieuws pagina met een extreem bizar verhaal. Trump zelf legde uit wat hij met een bepaalde term ('big T') bedoelde in de tweet die Gevers probeerde te claimen. Zowel het witte huis als ook Twitter beweren dat zijn claim een bedenksel van de beste heer is. Ik begrijp volkomen dat het Witte Huis momenteel niet de beste bron is, maar Twitter was in dezelfde periode geraakt door een PR technisch gezien veel pijnlijkere "hack" en heeft die niet onder de tafel geschoven, dus het idee dat Twitter over een dergelijk zaak zou liegen is min of meer ondenkbaar. Hij heeft twee keer beweert dat hij op Trumps twitter heeft ingebroken door het wachtwoord te raden, maar iedere keer was z'n 'bewijs' ongelofelijk zwak.

[Reactie gewijzigd door David Mulder op 16 december 2020 13:42]

Ik denk dat je hier iets voorzichtiger te werk moet gaan. "heeft gepoogd de amerikaanse verkiezingen te beïnvloeden" (sic). Je maakt hier een claim van intentie. En, het zou kunnen zijn dat hij dat ergens beweerd heeft, maar dan kan ik dat alvast niet vinden.

https://www.vn.nl/trump-twitter-hacked-again/
Gevers comes up with a plan to make sure that this time the White House responds. He refuses to say what he did exactly, but in a tweet that has now been removed, he alludes to the fact that he was the one to post the Babylon Bee tweet in Trump’s name. Shortly after, he posted a tweet in his own name, tagging Trump and Team Trump, saying the Babylon Bee-tweet could now be removed, as it had served its purpose.
Dit leest niet als een poging verkiezingen te beïnvloeden...

[Reactie gewijzigd door Helixes op 16 december 2020 12:47]

Als het waar zou zijn geweest dat hij die tweet schreef (niks wijst erop dat dat waar is): Hoe leest dat niet al een poging een verkiezing te beïnvloeden? Stel dat op het primaire publieke kanaal waarop Mark Rutte communiceert een chinese hacker de volgende tweet zou plaatsen: "Italie doneert €20 000 000 euro aan Wilders campagne om te voorkomen dat ik de volgende verkiezing win. https://www.babylonbee.com/italie-donatie-aan-wilders". Als de claim waar zou zijn geweest dan is dat natuurlijk wel een 'malicious' niet ethische actie. Zelfs als de chinese hacker zou beweren 'Oh nee, ik deed dat enkel om te tonen dat het systeem onveilig was' dan zou 1) niemand dat geloven en 2) dat niks eraan veranderen dat de actie zelf simpelweg een beïnvloeding van een verkiezing is.

Als je daadwerkelijk toegang hebt en je wilt bewijzen dat je die toegang hebt en je wilt geen publieke damage doen dan DM je gewoon vanaf dat account richting een flinke hoeveelheid officiële kanalen met je contact gegevens. Of je edit een oude tweet met een hash van bericht wat je richting officiele kanalen stuurt. Of als je het allemaal voor de media aandacht wilt doen dan stuur je een DM vanaf dat account richting nieuws organisaties.
Okee, maar we zijn het dus eens dat Gevers niet heeft beweerd te hebben gepoogd de verkiezingen te beïnvloeden. En, nog los van zijn beweringen waren de intenties dus ofwel goed (maar mogelijk slecht uitgevoerd) - dan wel te kwader trouw (wanneer hij loog over deze hack).

Nu we het eens zijn, denk ik dat je je originele reactie aan kan passen. Wat er ook gebeurd is, je legt deze man woorden in zijn mond. En er is al genoeg fake news beschikbaar op het wereld-wijde web.
Nee nee, want een tweet met misinformatie publiceren midden in een verkiezingstijd is natuurlijk zonder enig gevolg of invloed. :+

Daarnaast: het maakt ook niet uit of hij het wel of niet beïnvloedde eigenlijk. Als je werkelijk een ethisch hacker bent, dan stuur je sowieso geen publieke tweets uit; al helemaal geen vage tweets met misinformatie. Misbruik maken van je toegang op een manier die schade kan berokkenen is altijd uit den boze. Een DM sturen naar media-outlets als bewijs was een prima optie geweest die geen verdere schade aanricht; terwijl zo’n tweet dat wel doet.

Maar goed, Tweakers lijkt er een zakelijk belang bij te hebben en de auteur is, zoals velen - daar niet van, niet objectief richting Trump; dus dan is alles goed en geoorloofd en blijft het handje boven z’n hoofd gehouden dat ie ethisch zou zijn want “in het verleden is het altijd goed gegaan” en Tweakers zal nooit toe gaan geven dat ze nepnieuws geplaatst hebben; dus doen een double-down dat de hack plaatsgevonden zou hebben. Weet je wie hetzelfde argument had over “in het verleden was het zo goed” trouwens? De NOS toen ze Rian van Rijbroek bleven verdedigen over de anti-DDOS blockchain. :+ Afijn. (Ik vergelijk Gevers absoluut niet met dat mens trouwens, zeer zeker niet: één grove fout maken laat je niet meteen zo ernstig zakken ;), enkel dat Tweakers’ redenatie nogal krom is en ze daar maar in blijven volharden; elk bericht weer.)

Maar goed, die hele hack is waarschijnlijk een grote hoax gezien er nul bewijs voor is; er is nog meer bewijs dat er helemaal geen hack heeft plaatsgevonden. Maar je kan je dan afvragen; als het dus een grap is, en daar lijkt ‘t sterk op, en een ethisch hacker misbruikt z’n reputatie als ethisch hacker dan om schade (te proberen) aan te richten en weigert te corrigeren: is dat dan nog wel ethisch? :P Naja, de waarheid gaat hier nooit boven tafel komen; alles wijst er op dat er nooit een hack heeft plaatsgevonden dus dan is die tweet gelukkig ook nooit door Gevers verstuurd en daarmee heeft ie dus gelukkig geen misbruik van zijn macht als indringer gemaakt, maar nu heeft de grap wel lang genoeg geduurd... He f-ed up one way or another, just admit it.

[Reactie gewijzigd door WhatsappHack op 16 december 2020 13:49]

Ik begrijp dat je een punt te maken hebt over Victor Gevers en/of deze actie. Dat mag, maar staat een beetje los van de bewering die ik maakte. David Mulder beweerde zonder bewijs dat Gevers de intentie had om verkiezingen te beïnvloeden, en ik heb daar mijn kanttenkeningen bij geplaatst. Hij impliceerde trouwens daarmee ook dat hij wél gelooft dat de "hack" geslaagd was - waarmee ik begrijp dat je het minder met hem eens bent dan met mij. Enfin.

Ik neem verder afstand van de alternatieve lezingen in je reactie. I have no horse in this race...
"Beweert te hebben gepoogd" staat in mijn reactie, niet dus een bewering die ik ook maar in het minst geloof, maar je kunt niet stellen "oh, ik loog over m'n claim, dus eigenlijk ben ik gewoon een good guy". Als je een bepaalde actie claimt dan draagt dat ook gewoon een bepaalde betekenis. Ben het voor de rest compleet met WhatsappHack eens.
"Beweert te hebben gepoogd" staat in mijn reactie, niet dus een bewering die ik ook maar in het minst geloof, maar je kunt niet stellen "oh, ik loog over m'n claim, dus eigenlijk ben ik gewoon een good guy".
Als je denkt dat Helixes dat bedoelt dan heb je hem verkeerd begrepen. Hij bedoelt dat je aan het feit dat dat hij een poging gedaan heeft om Trump z'n account te hacken niet direct kunt afleiden dat hij een poging gedaan heeft om de verkiezingen te beïnvloeden.

EDIT: Voor de duidelijkheid, het doet er dus niet toe of die poging al dan niet geslaagd is (en in zekere zin niet eens of hij die poging écht heeft ondernomen).

[Reactie gewijzigd door Patriot op 16 december 2020 13:52]

Uit het originele artikel: nieuws: Nederlandse hacker claimt wachtwoord geraden te hebben van Twitter-ac...
"Ik zeg niet dat het zo is, maar stel dat ik die tweet geplaatst heb", zegt hij tegen Vrij Nederland. "Dan moet Trump bekennen dat hij het Babylon Bee-artikel niet heeft gelezen en deze bullshit-tweet geplaatst heeft, óf hij moet bekennen dat iemand anders deze tweet heeft geplaatst."
Uit zijn eigen bewoording is een intentie af te leiden. Gevers zegt dat Trump hier een lose-lose uitspraak moet doen naar aanleiding van iets wat Gevers al dan niet gedaan heeft. Zijn intentie is dus dat Trump zichzelf gedwongen zwartmaakt. In verkiezingstijd is dat wel degelijk (poging tot) beïnvloeding.
Dat was om te voorkomen dat hij zou liegen over de hack, hij kan dan niet simpelweg zeggen "Nee hoor, ik ben niet gehackt." Dat er daardoor een lose-lose situatie ontstaat is vervelend voor Donald Trump, maar dat maakt het nog geen beïnvloeding van de verkiezingen.
En dat is dus zelfs met de wildste fantasie geen "ethisch hacken" meer te noemen.
Nee, je kunt het ook geen "pannenkoeken bakken" meer noemen maar dat was niet hetgeen dat ter discussie stond 8)7
Ik zie dat ik op het verkeerde aspect reageerde. Als het is gebeurd en opgelost volgens responsible disclosure ("Inmiddels heeft Gevers contact gehad met de Amerikaanse Secret Service en zou de kwetsbaarheid gedicht zijn.") is publicatie geen benodigd pressiemiddel meer. Om op zo'n moment twijfel te gaan zaaien over een verkiezingskandidaat, op het gebied van beveiliging of intelligentie, valt ver buiten responsible en valt zeker te zien als poging tot beïnvloeden van verkiezingen. Zeker als daarbij verschillende Nederlandse nieuwsmedia in het Engels over gaan schrijven met zeer uitgebreide rapportages die vervolgens internationaal viral gaan. Om ethisch, onafhankelijk en responsible te blijven had publicatie prima minder dan twee weken kunnen wachten tot na het sluiten van de stembussen. Als beïnvloeding van verkiezingen geen doel was, was er dus ook geen belang bij publicatie op zo'n moment echt heel vlak ervoor. Waarom is daar dan toch voor gekozen?
Om ethisch, onafhankelijk en responsible te blijven had publicatie prima minder dan twee weken kunnen wachten tot na het sluiten van de stembussen. Als beïnvloeding van verkiezingen geen doel was, was er dus ook geen belang bij publicatie op zo'n moment echt heel vlak ervoor. Waarom is daar dan toch voor gekozen?
Omdat er een zwaarwegend belang is voor de maatschappij om te weten dat de beveiliging van zo'n account niet goed op orde is. Als er berichten gepubliceerd worden kan dat verregaande gevolgen hebben.

Het feit dat de houder van de account dan ook verwikkeld is in een verkiezingsstrijd is misschien extra vervelend, maar dat maakt niet automatisch dat het beïnvloeden van de verkiezingen onderdeel was van de motivatie.
De beveiliging was ondertussen wel op orde, voor zover het dat eerst nog niet was, dus het zwaarwegende maatschappelijke belang is er niet meer. Dan kan publicatie dus wachten tot na de verkiezingen, zelfs als deze "hack" daadwerkelijk heeft plaatsgevonden.

Zowel het Witte Huis als Twitter hebben aangegeven dat er niks gebeurd is, en Twitter had sowieso vanwege de verkiezingen maatregelen ingezet voor "high-profile" accounts waardoor dit onmogelijk zou moeten zijn. Dat maakt het toch zeer onwaarschijnlijk dat het gebeurd is, en je moet wel met heel goed bewijs aan komen zetten dat er ondubbelzinnig gezegd kan worden dat Twitter liegt. Ze komen bij het OM niet verder dan een aanname. Dus dan moet er eigenlijk wel vanuit gegaan worden dat het niet gebeurd is. In dat geval is publicatie juist een pure beïnvloeding. Aangezien media tegenwoordig zelden fact-checkt en het nog zeldzamer is dat er grote publieke rectificaties gedaan worden, krijg je het effect dat alles wat je erover probeert te vinden wijst op "het is gebeurd en kandidaat X is een prutser".
De beveiliging was ondertussen wel op orde, voor zover het dat eerst nog niet was, dus het zwaarwegende maatschappelijke belang is er niet meer. Dan kan publicatie dus wachten tot na de verkiezingen, zelfs als deze "hack" daadwerkelijk heeft plaatsgevonden.
Dat vind ik discutabel, ik denk dat het ook heel belangrijk is om reeds opgeloste beveilingsproblemen van een dergelijke aard zo snel mogelijk te ontsluiten. Sterker nog, ik denk juist dat het wel te verdedigen is om het nog niet direct bekend te maken vóórdat het is opgelost, maar wel zodra het is opgelost. Hoe dan ook raken we nu een beetje op het spoor van "Hoe zou je het moeten doen" terwijl ik vooral probeerde te duiden waarom je niet zomaar die motivatie kon toeschrijven aan Gevers.
Zowel het Witte Huis als Twitter hebben aangegeven dat er niks gebeurd is, en Twitter had sowieso vanwege de verkiezingen maatregelen ingezet voor "high-profile" accounts waardoor dit onmogelijk zou moeten zijn. Dat maakt het toch zeer onwaarschijnlijk dat het gebeurd is, en je moet wel met heel goed bewijs aan komen zetten dat er ondubbelzinnig gezegd kan worden dat Twitter liegt. Ze komen bij het OM niet verder dan een aanname. Dus dan moet er eigenlijk wel vanuit gegaan worden dat het niet gebeurd is. In dat geval is publicatie juist een pure beïnvloeding. Aangezien media tegenwoordig zelden fact-checkt en het nog zeldzamer is dat er grote publieke rectificaties gedaan worden, krijg je het effect dat alles wat je erover probeert te vinden wijst op "het is gebeurd en kandidaat X is een prutser".
Ja, op zich helemaal mee eens maar dat is ver verwijderd van waar de discussie om ging :+
Sterker nog, ik denk juist dat het wel te verdedigen is om het nog niet direct bekend te maken vóórdat het is opgelost, maar wel zodra het is opgelost. Hoe dan ook raken we nu een beetje op het spoor van "Hoe zou je het moeten doen" terwijl ik vooral probeerde te duiden waarom je niet zomaar die motivatie kon toeschrijven aan Gevers.
Ik zeg ook niet dat het helemaal niet bekend gemaakt hoeft te worden. Sterker, dat vind ik prima. Alleen de timing steekt dus. Als je met zo'n high-profile account bezig bent is dat geen toeval, dus dan mag je m.i. best op de hoogte zijn van de eventuele impact van je bekendmaking als dat vlak voor de verkiezingen is. Er is dan als het goed is geen verschil tussen publiceren voor of vlak na de verkiezingen. Als de motivatie, zoals ik sterk vermoed dat die er is, er toch niet is, zullen we het op domheid of onwetendheid moeten houden van zowel Gevers als de Volkskrant en VN.
Volgens mij is er nog een verschil tussen "zou moeten weten dat het invloed heeft op de verkiezingen" en beïnvloeding van de verkiezingen als motivatie, waarbij van het eerste zeker sprake is maar van het tweede niet zonder meer.
Dat zie ik anders. Hoe ik het zie is je hebt voor- en tegenstanders van de zittende president. Wanneer je de extremen (en die zijn er nogal) negeert kom je uit op de gematigde, zwevende kiezer. De mens die uitgaat van onderbouwde logica zal hier ook onder vallen. Deze mensen hebben Trump de afgelopen 4 jaar op leugens kunnen betrappen. Het ontkennen van de klimaatverandering valt daar ook onder. Je kunt zeggen: klimaat interesseert mij niet en na mij de zondvloed. Dat is een andere insteek dan het ontkennen van. Treurig ook dat we onze tijd moeten verdoen aan dergelijke slechte argumenten. Kortom, dit betekent volstrekt niet dat je voorstander moet zijn van verregaande maatregelen om de klimaatverandering tegen te gaan; dit betekent dat je het probleem dient te onderkennen.

Als je die insteek, met dit voorbeeld in acht neemt, ja dan is Trump een leugenaar. En dit is niet het enige voorbeeld. Je ziet dit gedrag ook terug bij bedrijven: "nee hoor, we zijn helemaal niet gehackt" is een oude. Als je hackt kan het daarom verstandig zijn dat je bewijsmateriaal verzamelt. Wanneer je slachtoffer dan ook nog wereldwijd bekend staat als leugenaar (om het stukje onberekenbaar nog maar even weg te laten) dan is het volstrekt logisch dat er een kleine, ludieke, relatief onopvallende public trail is gemaakt.

Vroeger kwam dat ook voor. Een deface waarbij de gehele pagina overhoop lag was not done. Een subtiele deface waarbij een zinnetje werd veranderd daarentegen wel. En dat was niet altijd eenvoudig. Want je wilt dat het wordt opgemerkt, maar je wilt ook weer niet teveel aandacht of het te opvallend maken. Het voorbeeld dat ik elders aanhaal is van Frank en Peter die FreeBSD.org hackte en een subtiele deface deden. Vroeger was dat gewoon whitehat.

Dan nog een ander punt. Er zijn hier geen twee partijen. Het publiek heeft ook het recht te weten dat de beveiliging van een publiek person ontoereikend was. En in de huidige opzet van de strctuur is die nog wel eens degene met dikke vette pech, degene die het achteraf nog wel eens hoort. Als het al niet in de doofpot verdwijnt.

Tenslotte ligt het niet voor de hand dat Gevers publiciteitsgeil is. Hij heeft immers een sociale fobie. Ook heeft hij wel eens eerder mensen geholpen die politiek niet in zijn straatje of dat van Nederland past.
Probeer je nou serieus iets recht te praten op basis van dat jij het politiek niet eens bent met het slachtoffer? Iets minder dan de helft van de Amerikanen weet nog wel een goeie verstopplek voor jouw mening. Ik draai jouw logica even om: als Biden de zittende president was en Trump op weg was om de verkiezingen te gaan winnen, en Gevers had dan op dezelfde manier bij Biden's account ingebroken, had je het dan ook prima gevonden om dit vlak voor de verkiezingen groots internationaal bekend te maken? Dit nieuwsbericht gaat niet over de politieke keuzes gemaakt door iemand dus dat erbij halen is behoorlijk offtopic.

Ik probeerde het zoveel mogelijk neutraal te houden met termen als "verkiezingskandidaat" en "wereldleider" zonder al te veel in te gaan op wie dat precies is. Ik heb het op geen enkele manier over de standpunten van diegene, en in hoeverre ik het daar al dan niet mee eens ben. Dat soort zaken moet je los kunnen zien. Van elke andere wereldleider had je het volstrekt onacceptabel gevonden in verkiezingstijd. Je begint zelf al direct over de "zwevende" kiezer, dus die kan beïnvloed worden door zo'n bericht. Als niet-Amerikaan heb je op geen enkele manier enig recht om enige invloed uit te oefenen op Amerikaanse presidentsverkiezingen. Net zo min als niet-Nederlanders dat hier hebben.

Argumenteren dat iemand ooit of zelfs vaak eerder gelogen heeft betekent niet dat deze persoon niet de waarheid kan spreken. Dat maakt het voor hem onmogelijk om zich te verdedigen tegen wat voor claim dan ook. Dat maakt die claims niet automatisch waar. Volgens jouw logica mag wiskunde het raam uit gegooid worden als hij zegt dat 1+1=2. Hij is immers een leugenaar. Wat is jouw voorstel anders, wat voor bewijzen kan hij laten zien om aan te tonen dat de hack niet heeft plaatsgevonden, zodat jij hem gelooft? Kan dat überhaupt wel, of ben je daar te vooringenomen voor?

Ludieke publieke trails zijn wat mij betreft het einde van je carriere als "ethisch hacker". Geen discussie over mogelijk. Zeker niet als er niet ondubbelzinnig bij staat dat het "ludiek" is en niet echt is. Wat voor jou ludiek is is dat niet per se voor een ander, en op het account van een wereldleider zou een ludiek iets een ongelofelijke impact kunnen hebben. Bijvoorbeeld een artikel van The Onion over het nuken van een of ander land. Bedenk je hoe je het (als andere wereldleider bijv.) op zou moeten vatten als dat zonder enige context op zo'n account gepost wordt. Het is een satirische site, maar dat post je toch niet zomaar? Wat zou de betekenis erachter zijn? Waarom zou dat gepost zijn? Moet ik me zorgen gaan maken? Er zijn zat niet-publieke manieren om toch onweerlegbaar bewijs te maken (ook niet allemaal ethisch maar in ieder geval een stuk minder erg). Wat geeft jou het recht om jezelf voor te doen als een ander?

"Vroeger"... vroeger hadden we slaven en hadden vrouwen geen kiesrecht. Dat was toen ook "prima". Defacements waren vroeger ook niet prima, ook niet als je maar een klein stukje veranderde. Dat is 100% door de daders verzonnen. Op dezelfde manier is het ook niet prima om maar een klein dingetje uit een winkel te stelen zolang je niet het hele assortiment onder je jas stopt. Dat is het nooit geweest ook.

Het publiek heeft misschien het recht te weten dat dit gebeurd is, dat zou kunnen kloppen, dat weet ik overigens niet zeker. Maar dan moet eerst vaststaan dat het überhaupt gebeurd is, hoe dan ook moet dat met onweerlegbaar bewijs gebeuren, anders is het gewoon smaad en dat is strafbaar.

Waar je vandaan haalt dat Gevers een sociale fobie heeft weet ik niet, als dat zo is dan is hij daar heel goed aan aan het werken. Spreker zijn op een event lijkt me bij uitstek iets wat je niet doet met een sociale fobie. Op een event van Tweakers kan ik me daar dan iets meer bij voorstellen, omdat daar bovengemiddeld veel "gelijkgestemden met sociale fobie" zullen zijn, dus dat maakt de sociale barrière een stuk kleiner. Alleen vind ik het weer niet logisch om dan totaal voorbij te gaan aan Tweakers en in plaats daarvan contact te zoeken met grote mainstream media zoals de Volkskrant en Vrij Nederland, om daar zeer uitgebreid en stap voor stap uit de doeken te doen hoe je niet eenmaal, maar tweemaal op een identieke manier het Twitter-account van een president (dezelfde nog wel) bent binnengedrongen. Dan zeg je ook niet dat je extra bewijs hebt verzameld omdat je de vorige keer niet geloofd werd, zodat je deze keer wel geloofd wordt en je de publiciteit krijgt die je vindt dat jou toekomt. Dat zijn allemaal geen dingen die met een sociale fobie te maken hebben, des te meer met narcisme. En terwijl ik op zijn Twitter kijk om te zien of 47k volgers normaal is voor iemand met een sociale fobie, zie ik "Work for a cause, not applause" in z'n omslagfoto staan. Ironisch.
Ik zal alleen reageren op dit specifieke deel gezien ik de rest niet gelezen heb.
Probeer je nou serieus iets recht te praten op basis van dat jij het politiek niet eens bent met het slachtoffer?
Integendeel, het begin van mijn post gaat er niet over of ik het politiek wel of niet eens ben met het slachtoffer; het gaat er om of ik het wetenschappelijk eens ben met het slachtoffer. Daaruit is gebleken dat het woord integriteit niet in het woordenboek van het slachtoffer voor komt. Dat heeft weer tot gevolg dat je dat mee moet nemen in acties waarmee je indirect (en direct des te meer) met hem te maken hebt.

Dat lijk jij of niet te begrijpen, of je wilt het niet begrijpen, of je bent het er niet mee eens. Wat het ook mag zijn, een verdere discussie is dan wat mij betreft niet zinvol.
Bewijsvoering gaat in fatsoenlijke landen nog altijd volgens het principe "onschuldig tot het tegendeel bewezen is". Ook al liegt iemand alles bij elkaar, wil dat nog niet zeggen dat de ontkenning van een slecht gefundeerde claim van iemand anders een bevestiging van die claim is. Dat zou een heel gekke wereld opleveren. Daarnaast is bewijzen dat iets niet gebeurd is in de meeste gevallen onmogelijk en zal er bewezen moeten worden dat iets wel gebeurd is. Andersom: als hij de hack had erkend heeft deze volgens diezelfde logica niet plaatsgevonden.

Ik wil je vriendelijk vragen toch de rest van mijn post te lezen, of anders tenminste antwoord te geven op de volgende vraag:
Wat is jouw voorstel anders, wat voor bewijzen kan hij laten zien om aan te tonen dat de hack niet heeft plaatsgevonden, zodat jij hem gelooft?
Bewijsvoering [...]
Zo werkt het strafrecht (dat van toepassing is op Gevers). Het civielrecht werkt bijvoorbeeld al anders. We hebben bij de casus die ik noemde niet te maken met strafrecht, maar met wetenschap. Daar is geen onschuldig tot het tegendeel is bewezen van toepassing. Er is daarentegen wel een wetenschappelijke consensus over de klimaatverandering. Die consensus was er 30 jaar geleden ook al, want ik heb die op de basisschool gehad.

Het gaat er mbt het liegen ook niet om dat Trump over de hack wel of niet liegt. Je snapt mijn argument duidelijk niet. Het gaat er bij de persoon Trump om dat hij onbetrouwbaar en onberekenbaar is gebleken en niet schuwt de wetenschap volledig tegen te spreken. Daar moet je als hacker (Gevers in dit geval) rekening mee houden. Je moet er rekening mee houden dat hij gaat lezen. Dan is publiek bewijs handig. Het is echter ook gevaarlijk.

Zoals ik al zei: als jij zoiets fundamenteels over Trump niet in wilt zien (om wat voor reden dan ook), en in jouw post het daarmee met mij oneens wil zijn, en mij af wilt schilderen als een vooringenomen tegenstander van Trump omdat hij een klimaatontkenner is, dan ben jij IMNSHO niet voor rede vatbaar, en zijn wij uitgepraat.
Daar moet je als hacker (Gevers in dit geval) rekening mee houden. Je moet er rekening mee houden dat hij gaat lezen. Dan is publiek bewijs handig. Het is echter ook gevaarlijk.
Dat is dan dikke vette pech, hoe nobel je intenties ook, dat geeft je nog steeds op geen enkele manier het recht om je voor te doen als iemand anders, ongeacht wie of waarom, en gaat zeer, zeer ver buiten alle grenzen die de begrippen "ethisch hacken" en "responsible disclosure" afkaderen. Je bent het al met me eens dat het onder het strafrecht valt, de enige reden dat hij niet vervolgd wordt is omdat er geen bewijs is dat hij een tweet heeft geplaatst, dus ik snap niet helemaal waarom je precies dat toch blijft verdedigen.

Het gaat mij er niet om dat het Trump is, wat zijn opvattingen zijn, voor mijn part liegt hij zijn hele leven lang al alles bij elkaar en ontkent hij de wetenschap op elk mogelijk vlak. De persoon is volstrekt irrelevant. De functie die die persoon bekleed is een stuk relevanter, aangezien dat verstrekkende directe en indirecte gevolgen met zich mee kan brengen. Het is voor eenieder verboden zich voor te doen als een ander, ongeacht wie die ander is, hoe vaak die ander liegt en wat voor opvattingen die ander heeft. Of dat dan politieke of wetenschappelijke opvattingen zijn boeit geen hol. Als jij zoiets fundamenteels niet in wilt zien (om wat voor reden dan ook) en semantisch gaat mierenneuken over dat een wetenschappelijke opinie (klimaat is onzin) iets anders is dan een politieke opinie (fuck duurzaam, wij stoken olie), terwijl beide zaken opinies zijn met eenzelfde strekking en die verder nul invloed hebben op het al dan niet mogen voordoen als iemand anders (dat mag niet, punt) dan kunnen we inderdaad niet verder.

Wil je mijn vraag dus niet beantwoorden? Dan hoor ik dat graag. En ik vind het erg jammer dat je schijnbaar wel verwacht dat ik jouw hele verhaal lees, jij het mijne niet, en dat je mij vervolgens beticht van niet voor rede vatbaar zijn.
Okee, maar dan hangt je post wel op het bewijs dat hij heeft beweerd enige verkiezingen te willen beïnvloeden. Die intentie is nogal belangrijk, en lijkt de basis te vormen van je betoog.

De bronnen die ik heb wijzen een andere kant uit. Het lijkt er op dat hij die post heeft gemaakt om een reactie uit te lokken van de eigenaar van het account. Hoewel ik niet uitsluit dat die actie verkiezingen zou hebben kunnen beïnvloeden, is dat niet de intentie geweest. In die lezing is het wellicht een poging om mensen met slechtere intenties te verhinderen het zelfde te doen.

Maar dat is speculatie. Je bewering vraagt om een bron, en ik hou me warm aanbevolen.
Nee nee, want een tweet met misinformatie publiceren midden in een verkiezingstijd is natuurlijk zonder enig gevolg of invloed. :+
Als je naar trumps twitter account kijkt, zeker naar alle tweets met
This claim about .......... is disputed. Was the tweet waar het over gaat gewoon in de lijn der verwachting :+
Zijn oorspronkelijke reactie had wel een klein beetje anti-Trump sentiment tho :)
Lijkt mij erg naïef. Het is al velen malen geopperd in topics over Gevers' actie: hij had heel eenvoudig een paar DM's vanaf Trump's account naar de media kunnen sturen. Dat had een veel sterkere response opgeleverd en elke schijn van beïnvloeding voorkomen.

Wat we nu hebben is een heel vaag verhaal dat eigenlijk suggereert dat hij helemaal niets gehackt heeft. Mocht hij dat toch wel gedaan hebben dan is de gekozen actie buitengewoon slecht bedacht voor iemand die een ethisch hacker zou zijn: het heeft immers niets bewezen en had beïnvloeding kunnen veroorzaken.
In het artikel staat:
De hacker nam contact op met verschillende partijen die verantwoordelijk waren voor de beveiliging van het account, zoals de geheime dienst, het Witte Huis en Twitter zelf. Ook gaf hij tips over het beter beveiligen van het account.

Daarmee hield Gevers zich aan de regels rondom coordinated vulnerability disclosure", stelt het OM nu het onderzoek is afgerond. "Het OM gaat er vanuit dat de hacker ook echt is binnengedrongen in het Twitter-account van Trump, maar daarbij heeft voldaan aan de criteria die in de rechtspraak zijn ontwikkeld om vrijuit te gaan", zegt het OM tegen de Volkskrant.
Kortom, hij heeft netjes contact opgenomen met relevante instanties, heeft tips gegeven, en heeft zich aan CVD gehouden. Dan kun je toch spreken van een ethische hack, en een ethische hacker. De aanhalingstekens eromheen zijn subjectief.

Daarnaast zegt OM nav onderzoek THTC dat ze overtuigd zijn met bewijzen. Wie heeft er gelijk? Je bent niet gaan twijfelen nav dit bericht? Misschien ben jij vooringenomen?
Ik begrijp volkomen dat het Witte Huis momenteel niet de beste bron is, maar Twitter was in dezelfde periode geraakt door een PR technisch gezien veel pijnlijkere hack en heeft die niet onder de tafel geschoven, dus het idee dat Twitter over een dergelijk zaak zou liegen is min of meer ondenkbaar.
Het een sluit het ander niet uit. Ik ben overigens van mening dat deze hack PR-technisch gezien ernstiger is. Het andere euvel wat je meldt, heeft de gemiddelde Amerikaan niets mee. De gemiddelde Amerikaan heeft er wel iets mee wanneer de president van de VS via z'n main communicatiekanaal is gehackt (wat het wachtwoord was, en of dat een veilig wachtwoord was, zal ze al weer minder aanspreken). Dat laatste zorgt voor meer consternatie/ophef.
“Daarnaast zegt OM nav onderzoek THTC dat ze overtuigd zijn met bewijzen.”

Waar zeggen ze dat?
Nu.nl artikel
Het Openbaar Ministerie (OM) zegt ervan overtuigd te zijn dat de Nederlandse ethisch hacker Victor Gevers in oktober heeft ingelogd op het Twitter-account van de Amerikaanse president Donald Trump. Dat bevestigt een woordvoerder na berichtgeving van de Volkskrant. Onder meer het Witte Huis trok het inloggen op het Twitter-account in twijfel.

Het OM heeft die conclusie getrokken na een onderzoek door het Team High Tech Crime. [...]
Wacht even. Nu.nl linkt naar het artikel van de Volkskrant waarin staat dat het OM er van uit gaat dat de beveiligingsonderzoeker inderdaad het account heeft binnengedrongen. Nergens staat dat er overtuigend bewijs is. Maar in het artikeltje van nu.nl staat het er wel. Als nu.nl zelf contact had met het OM hierover is dat niet evident. Volgens mij is dat er gewoon bij verzonnen, zoals wel vaker bij nu.nl.

Edit: Artikel nu.nl is inmiddels gewijzigd.

[Reactie gewijzigd door Memori op 16 december 2020 15:15]

Dat zou kunnen.

Ze zeggen ook dat het wachtwoord MAGA2020! is. Terwijl ik het elders in lower-case zie. Dat is tegenwoordig vrijwel altijd van belang. Dus dat lijkt mij in ieder geval niet te kloppen. Frappant genoeg zegt het Volkskant artikel hetzelfde:
De Amerikaanse president gebruikte een bijzonder zwak wachtwoord (‘MAGA2020!’, afgeleid van zijn slogan Make America Great Again) en had geen extra beveiliging ingeschakeld – zoals tweestapsverificatie.
Tweakers.net gebruikt de lower-case variant:
Dat deed Gevers door het wachtwoord simpelweg te raden. Het account was alleen beveiligd met het wachtwoord maga2020! en had geen tweestapsverificatie.
Bij dit artikel van T.net nieuws: OM verhoort hacker Victor Gevers die Twitter-account van Donald Trump... staat het volgende:
Het onderzoek kijkt in de eerste plaats of de 'hack' wel heeft plaatsgevonden, maar ook of dat eventueel strafbaar is.
Gevers is verhoord door het Team High Tech Crime van de politie.
In het Volkskrant artikel staat:
Het OM gaat er vanuit dat de hacker, Victor Gevers, ook écht in het Twitteraccount van Trump zat – een bewering die door het Witte Huis, Twitter en verschillende Amerikaanse media in twijfel werd getrokken.
En, dat gezegd hebbende, komen we op het volgende heikele punt:
Eenmaal binnen, kon de Nederlander persoonlijke berichten van Trump inzien, namens hem tweeten en diens profiel veranderen. Gevers nam screenshots en maakte een schermopname terwijl hij toegang had tot het account. Daarna waarschuwde hij de president en de Amerikaanse veiligheidsdiensten voor het beveiligingslek.
Nou is het dus de vraag of hij dat aan THTC (die ook heus wel op de hoogte zijn dat Witte Huis en Twitter het ontkent) heeft laten zien. Wat denk jij? Ik denk dat zo'n screencast je vrij kan pleiten. Dat bewijs is moeilijker te faken dan screenshots. Ik denk ook te weten dat ze bij THTC kunnen zien of plaatjes en videos zijn gemanipuleerd.

[Reactie gewijzigd door Jerie op 16 december 2020 14:44]

Voor een ethisch hacker is het echt niet moeilijk om een kloon-site op te zetten met een certificaat wat op je eigen computer vertrouwd is, waarin je de stappen doorloopt om in te loggen en in een account komt. Een entry in je hosts-bestand of je lokale DNS-server erbij en ook de adresbalk klopt. Het makkelijkste wat hij aan niet-fakebaar bewijs had kunnen maken was een DM vanuit die account naar de aangeschreven nieuwsmedia en/of THTC (ik bedoel, als je ergens "bewijs" wilt stallen...). Ethiek is daarmee wel al zeer discutabel maar dat vind ik van de rest van de berichtgeving met zijn insinuaties ook. Het probleem is dat op dit moment op geen enkel manier te verifiëren is of in zo'n screen recording wel de echte site is opgenomen, en dat er maar twee partijen zijn die dit kunnen verifiëren of ontkennen, namelijk Trump en Twitter. Beiden zeggen van niet, en de laatste had bovendien eerder al extra beveiligingsmaatregelen aangekondigd voor accounts zoals die van de eerste, juist om dit soort simpele hacks te voorkomen.

Als je het over belangrijke verschillen hebt moet je de artikelen van VN en de Volkskrant eens vergelijken, in het artikel van VN staat een lijstje van zes geprobeerde wachtwoorden, waarbij de zesde werkte, terwijl in het artikel van de Volkskrant geen lijstje staat, maar daar kwam hij bij de vijfde poging al binnen. In de Volkskrant (niet bij VN) zegt hij vervolgens welke suggestie hij aan Trump heeft gedaan voor een "beter" wachtwoord, namelijk vrijwel hetzelfde wachtwoord als zijn allereerste poging uit het lijstje bij VN. Dat vind ik dan ook een erg vreemd advies, wat samen met de genoemde verschillen de geloofwaardigheid van beide artikelen enigszins onderuit haalt.

Hij claimt overigens in 2016 ook vlak voor de verkiezingen hetzelfde gedaan te hebben, wat het alleen nog maar onwaarschijnlijker maakt dat er, net als toen, nog steeds een poepsimpel wachtwoord (yourefired) zonder minimaal two-factor authentication op staat.

Het belangrijkste wat in al deze artikelen ontbreekt is de precieze conclusie van THTC. Ziet het er slechts aannemelijk uit, of achten ze echt bewezen dat hij is binnengeweest?

[Reactie gewijzigd door DataGhost op 16 december 2020 16:07]

Nu.nl zegt ook niet dat er overtuigend bewijs is, alleen dat het OM overtuigd is dat de hacker is binnengedrongen. Dat is hun vertaling van de zin “Het OM gaat er vanuit dat de hacker, Victor Gevers, ook écht in het Twitteraccount van Trump zat”

Edit: ben wel eens dat de vertaling van “gaat er vanuit dat” naar “is overtuigd” een redelijk vrije vertaling is.

[Reactie gewijzigd door cracking cloud op 16 december 2020 14:58]

Kortom, hij heeft netjes contact opgenomen met relevante instanties, heeft tips gegeven, en heeft zich aan CVD gehouden. Dan kun je toch spreken van een ethische hack, en een ethische hacker. De aanhalingstekens eromheen zijn subjectief.
Een ethische hacker is iemand die een systeem probeert te hacken nadat hij toestemming heeft gekregen hiervoor door de beheerder van dat systeem. Ik betwijfel sterk dat Trump hem de toestemming heeft gegeven om in zijn twitter account in te breken.
Een ethische hacker is iemand die een systeem probeert te hacken nadat hij toestemming heeft gekregen hiervoor door de beheerder van dat systeem
Dat is het helemaal niet. Dat is slecht een van de vele mogelijke definities, er zijn genoeg ethisch hackers die zonder toestemming vooraf ergens binnendringen en dat melden.
Ik vind dat alleen iets minder ethisch.
Tsja, dat is een kwestie van mening. Maar als je een fout vindt op een netwerk, het bedrijf opbelt en de fout doorgeeft, een oplossing aandraagt en het daarbij laat, dan lijkt het mij dat je dat bedrijf een stukje beter hebt gemaakt. Dat vind ik best ethisch klinken.
Maar dat is niet wat hier aan de hand is. Hier gaat iemand wachtwoorden op straat gooien, suggereren dat hij posts geplaatst heeft, en proberen iemand voor schut te zetten. Drie gevallen van onethisch gedrag. Jij bent hier degene met de vreemde mening.
Dat wachtwoord lag al op straat. De suggestie dat hij een post heeft gemaakt is waar of niet (en gezien het subject -notabene een klimaatontkenner- nogal logisch). Het voor schut zetten is jouw mening; ik ben het daar niet mee eens (ik kan me heel wat ernstigere dingen bedenken waarbij Trump voor schut had kunnen worden gezet). Maar iemand als Trump is eenvoudig voor schut te zetten. Veel kan hij immers niet hebben.
Waarom moet die laatste zin erbij. Chillax discussieer maar hou het netjes.
Dat wachtwoord heeft hij pas gepubliceerd na dat het veranderd was. Want hij heeft uiteindelijk respons gekregen, na contact met de NSA.

Een nonsens bericht zogenaamd retweeten is inderdaad niet netjes, ben ik met je eens. Of je daar Trump mee voor schut kan zetten betwijfel ik want hij doet dat zelf aan de lopende band.
White-hat hackers, on the other hand, are deemed to be the good guys, working with organizations to strengthen the security of a system. A white hat has permission to engage the targets and to compromise them within the prescribed rules of engagement.

White-hat hackers are often referred to as ethical hackers. This individual specializes in ethical hacking tools, techniques, and methodologies to secure an organization’s information systems.

Unlike black-hat hackers, ethical hackers exploit security networks and look for backdoors when they are legally permitted to do so. White-hat hackers always disclose every vulnerability they find in the company’s security system so that it can be fixed before they are being exploited by malicious actors.
https://blog.eccouncil.or...-do-white-black-and-grey/

Lijkt me vrij duidelijk. Je zou hem in het beste geval een grey hat hacker kunnen noemen. Maar dat vind ik persoonlijk een onzin term, je hebt toestemming of je hebt het niet.
Waarom is deze ene blogpost dé authoriteit over wat ethisch hacken inhoudt? Hoe definieer je toestemming?

En als je hun redenatie volgt dan is 'legally permitted to do so' hier ook van toepassing. Onder de Nederlandse wet mag je zonder uitdrukkelijke toestemming vooraf een hack uitvoeren, mits je de juiste regels volgt en intenties hebt. Precies zoals hier dus is gebeurd.
Ik snap niet dat jij een +2 krijgt.

Je kunt hier op de site van SANS.org lezen wat de definitie is van een White Hat hacker. Ethical hackers zijn white hat hackers.

Oke, wat is een white hat hacker volgens het zeer gerenommeerde SANS dan?
While the media likes to lump all hackers together, there are many different types. Some
differentiate between the good, or White Hats, as computer security professionals who seek to
protect computer systems by discovering the vulnerabLOLWLHVEHIRUHµWKHEDGJX\V¶ or Black Hats.
The main difference between White Hats and Black Hats is permission. White Hats and
Black Hats use the same skill set and techniques, but White Hats have permission to access the
computer systems; Black Hats do not. As every computer course will describe, the main word in
all definitions concerning hackinJLVµDXWKRUL]DWLRQ¶The law is clear and concise concerning
authorization. If a hacker has authorization, they are within the law. No authorization is illegal
and hints at malicious intent.
White hat hackers hebben dus autorizatie. Dat is een essentieel punt.

[Reactie gewijzigd door musiman op 16 december 2020 14:58]

Wat is permissie in dit geval? Is dat dat een bedrijf je proactief uitnodigt? Of is een algemeen RD-beleid al permissie? En hoe zit dat dan met de wet, zoals in dit specifieke geval? Want die geeft in Nederland ook permissie om te hacken mits je de juiste richtlijnen volgt.
Wanneer je volgens Nederlands recht mag hacken, geldt dat dan ook dat je bij buitenlandse bedrijven zomaar mag hacken? Ik ben geen jurist, maar dit lijkt me toch zéér onwaarschijnlijk. Twitter != Nederlands
Ik ben ook geen jurist maar wat hier gebeurt is mag blijkbaar dus wel volgens de Nederlandse wet. Want dat is letterlijk de conclusie van het OM.
Het OM zegt dat de verdachte niet strafbaar is. Dat is niet hetzelfde als dat het feit niet strafbaar is.

Vergelijk: het is verboden 120 te rijden in een woonwijk. Een crimineel zet mij een pistool op het hoofd en dwingt me met 120 hem de wijk door te rijden. Ik ben dan niet strafbaar want dit valt onder overmacht. Maar het feit blijft strafbaar.

Ik weet niet of het OM gekeken heeft naar de vraag of dit onder Nederlands recht valt. Waar vindt het binnendringen plaats, zou dan de vraag zijn. Dat kan in Nederland zijn (daar zat Gevers te typen) of in Atlanta (waar Twitters datacenter staat). In dat laatste geval zou Nederland volgens mij niet bevoegd zijn, maar dan had het OM niet gezegd dat hij niet strafbaar is.

Of het ging ze om de vraag of uitlevering zou kunnen, daarvoor moet het gepleegde feit én de dader in beide landen strafbaar zijn. (Binnen de EU ligt dat iets anders, maar dit zou de VS zijn.) Als de dader naar Nederlands recht niet strafbaar is dan wordt hij niet uitgeleverd.
Ik weet niet of het OM gekeken heeft naar de vraag of dit onder Nederlands recht valt. Waar vindt het binnendringen plaats, zou dan de vraag zijn. Dat kan in Nederland zijn (daar zat Gevers te typen) of in Atlanta (waar Twitters datacenter staat). In dat laatste geval zou Nederland volgens mij niet bevoegd zijn, maar dan had het OM niet gezegd dat hij niet strafbaar is.
Ook als hij zich buiten Nederland schuldig maakt aan computervredebreuk is de Nederlandse strafwet toepasselijk. Immers dit misdrijf is ook in de VS strafbaar.

Artikel 7 lid 1 Strafrecht: De Nederlandse strafwet is toepasselijk op de Nederlander die zich buiten Nederland schuldig maakt aan een feit dat door de Nederlandse strafwet als misdrijf wordt beschouwd en waarop door de wet van het land waar het begaan is, straf is gesteld.
Verhip, daar heb je gelijk in natuurlijk. Ik laat dit even langzaam op me inwerken.
Dit is een leuke vraag voor, bijvoorbeeld, @Arnoud Engelfriet
Ik ben ook geen jurist, maar dit lijkt me toch echt een gevall: zonder toestemming toegang verkrijgen bij een account. Dat heeft weinig met white hat / ethisch hacken te maken.
Dit zou betekenen dat het OM blijkbaar geen zin heeft om dit te vervolgen terwijl er wel degelijk grond voor is.
Er zit veel grijs tussen wit en zwart.

Ik vind het ook nogal flauw om nav 1 actie iemand meteen in een uiterste te zetten. Iemand als Rop Gonggrijp zou volgens deze definities ook een blackhat zijn.
No authorization is illegal and hints at malicious intent.
Is nogal tendentieus. "Hints at" moet je dan ook nog wederrechtelijk bewijzen. THTC heeft dat onderzocht, en OM besluit niet te vervolgen. Dan zou je tot de conclusie kunnen komen dat we hier niet te maken hebben met een zware crimineel of een vervolgbare actie.

Dan nog even over die definitie whitehat. Vroeger ging het alleen over responsible disclosure. Als dat goed zat, zat jij ook goed. Ook al had je geen toestemming. Dat is tegenwoordig allemaal vervaagt. Omdat deze industrie geprofessionaliseerd is.

Iemand die dealt in exploits, zoals grugq, dat vind ik pas een blackhat. Die koopt zero days en verkoopt ze aan overheden (inclusief repressieve landen) zodat die hun burgers in de gaten kan houden (met excuus is nog sneuer: als ik het niet doe, doet een ander het wel :+). Dat voorbeeld heeft zoveel meer impact dan het vermeende voorbeeld alhier, het is bijna lachwekkend. Ware het niet dat dat een serieuze kwestie is. ;(
Dan nog even over die definitie whitehat. Vroeger ging het alleen over responsible disclosure. Als dat goed zat, zat jij ook goed. Ook al had je geen toestemming.
Hmmm dat klopt volgens mij niet tenzij ik je verkeerd begrijp. Als er een RD-policy aanwezig was, dan had je per definitie dus toestemming. ;) Niet jij specifiek, maar iedereen heeft dat dan. :) Was die RD-policy *niet* aanwezig, dan kon je gewoon aangeklaagd worden als white-hat; zowel met of zonder publicatie van je bevindingen... En dat is helaas ook vaak gebeurd.
Voor mij is RD veel ruimer. Het gaat om de geest van RD, niet alsof het harde regels zijn. Vroeger was er ook niet eens een RD-policy. Als je bijvoorbeeld de hack van {} neemt op FreeBSD.org rond 2000 dan was dat een deface, maar het was wel een subtiele, en een technisch kunstje waar hij (samen met z'n maatje Peter van Dijk) een write-up over had gemaakt. Volgens huidige wormen zouden dat blackhats zijn. Ander voorbeeld: iemand die Mirai probeert uit te schakelen, en masse, zou ook een blackhat zijn. Allebei bullshit. Dat zijn whitehats. Misschien niet zo wit als wit, maar daarom hebben we tinten grijs.

Het RD gedoe, net zoals legal waiver, gaat over op safe spelen. Het feit dat je kunt worden aangeklaagd, betekent nog niet dat je ook schuldig wordt bevonden. Of je een legal waiver nodig hebt of niet staat wat mij betreft ook niet zwart op wit geschreven. Als ik op het internet met Shodan een password spray zou proberen, dan zou ik niet een legal waiver regelen, nee. En weet je wat het is WhatsappHack? Blackhats doen dat ook... maar die doen er heel vervelende dingen mee. Dus nogal kortzichtig om het dan maar niet te doen onder het mom van 'dan ben je geen whitehat'. Werkte de wereld maar zo simpel.
Omdat:
EC-Council has certified over 200,000 security professionals. Individuals who have achieved EC-Council certifications include those from some of the finest organizations around the world such as the US Army, the FBI, Microsoft, IBM, and the United Nations.

Many of these certifications are recognized worldwide and have received endorsements from various government agencies including the US Federal Government via the Montgomery GI Bill, National Security Agency (NSA) and the Committee on National Security Systems (CNSS). Moreover, the United States Department of Defense has included the CEH program into its Directive 8570 making it one of the mandatory standards to be achieved by Computer Network Defenders Service Providers
https://www.eccouncil.org/about/

Geen idee wat de Nerderlanse wetgeving juist inhoud maar als ik je goed begrijp mag ik zonder dat ik de toestemming heb gekregen zomaar Tweakers.net proberen te hacken. Stel ik word ontdekt door de administrator terwijl ik hiermee bezig ben dan hoef ik enkel te zeggen dat ik de beveiliging aan het testen was en het achteraf wel gemeld zou hebben moest ik iets hebben gevonden.
Bij een begrip als ethiek heeft het weinig nut om op hypothetische situaties in te gaan, maar in dit geval zou het aan de rechter zijn om te bepalen of je inderdaad echt de beveiliging aan het testen was. Daar zou je dan bewijs voor moeten aandragen: doe je dit vaker? Op welke manier was je van plan te werk te gaan? Ben je dit lek per ongeluk tegengekomen of ben je actief gaan proben en zo ja, waarom en in welke mate? Al die vragen komen hierbij kijken. Daarom:
mits je de juiste regels volgt en intenties hebt
Bij een begrip als ethiek heeft het weinig nut om op hypothetische situaties in te gaan
Juist wel. Bij het begrip ethiek probeer je in de discussie _juist_ grenzen op te zoeken. Om daar te komen zal je vrijwel altijd een hypothetisch event moeten beschrijven omdat deze als praktijkvoorbeelden niet voorhanden zijn.
Dat wist ik niet, mischien kan jij even de pagina 'ethiek' op wikipedia aanpassen want daar dat hypotehtische situaties vaak gebruikt worden i.p.v. van het Nederlandse wetboek om te bepalen of iets ethisch is of niet. Ik weet zelf niet hoe dat aanpassen juist moet. Je moet bij de 2de stukje van het stuk 2.1 'Bewijsvoering in de ethiek' op deze pagina:

https://nl.wikipedia.org/wiki/Ethiek#Methodologie

Het kan wel eens lastig worden waneer de rechter je die vragen stelt omdat je het twitter account van de president van de VS hebt gebruteforced om er daarna een tweet me te versturen waarvan de inhoud wel eens negatieve gevolgen voor hem had kunnen hebben. En dit allemaall kort voordat er gestemd zou worden over een 2de termijn van deze president die 4 jaar eerder werd verkozen in een verkiezing die deels beinvloed zou zijn geweest door hacking. En omdat het nog niet genoeg was vertel je het allemaal aan en journalist inclusief het wachtwoord dat op dat moment gewoon gewerkt zou hebben. Vervolgens publiceert deze dat in een Nederlands artikel waarna de gehele wereldpers het verhaal ook nog eens overneemt.

Ik denk niet dat een rechter jou meening zal delen dat er hier juist/ethisch gehandeld is.
Ik snap nog steeds niet waarom dit veel meer media-ophef heeft veroorzaakt in de VS, als het echt waar is (wat volgens het OM zo is). Waarom hebben grote media er amper over bericht, in tijden waarin elk bericht van Trump onder de loep wordt genomen? Het is nogal wat toch, dat iemand toegang had tot zijn Twitter?

[Reactie gewijzigd door Joost124 op 16 december 2020 17:09]

En triest dat deze Tweakers-auteur wederom een ondubbelzinnig onethische aktie als het op straat gooien van andermans wachtwoord, en daarmee te pronken, als ethisch blijft kwalificeren. Dat zegt iets over het bedenkelijke ethische nivo van de auteur en de redactie.
Jammer dat je zulke kwalificaties gebruikt. Ik heb al vaker aangegeven dat iemand die zijn hele carriere en reputatie heeft opgebouwd met CVD niet door één actie die sommigen als minder ethisch beschouwen (waarover je, getuige reacties hier, ook nog over kan debatteren) direct onethisch is. 'Ethisch hacker' is bovendien een containerbegrip zonder individuele klassificatie.
Ik moet eerlijk bekennen dat ik er ook gemakshalve vanuit ging dat een ethische hacker iemand is die probeert binnen te dringen in systemen in opdracht en met toestemming van de beheerders. Dat het een containerbegrip is, is mij volledig ontgaan en kan me lastig andere betekenissen voor het woord bedenken.

Kun je anders wat voorbeelden geven van hoe iemand ook ethische hacker kan zijn buiten de omschrijving zoals al meerdere mensen hier hebben aangegeven? Oprecht nieuwsgierig.

Edit:
En hackers die met CVD's werken schaar ik ook wel onder Ethische hackers.

... Ik geef je gewoon gelijk Tijs. Ik heb totaal verkeerd gelezen waar Mr. Bakkebaards reactie nu werkelijk over ging. Hij heeft ook duidelijk het artikel niet zo goed gelezen.

[Reactie gewijzigd door Muna34 op 16 december 2020 14:21]

Het hangt er sowieso vanaf wat je onder 'in opdracht en met toestemming' verstaat. Als je vooraf duidelijke afspraken maakt is het logisch, al zou ik dat eerder een pentester noemen. Maar als een bedrijf een algemeen RD-beleid heeft, is dat dan 'met toestemming'? Of wat als een bedrijf verwijst naar de richtlijnen van het NCSC verwijst?

Als een bedrijf geen RD-beleid heeft maar je vindt een lek, meldt dat, geeft oplossingen en redelijke termijnen om het te fixen en publiceert pas na een fix een blogpost, dan heb je geen toestemming gehad maar dat lijkt me niet bepaald onethisch.

'Ethisch hacken' heeft meer met de mindset te maken waarmee je een 'hack' uitvoert. Vandaar ook dat ik, binnen deze context, er geen enkele moeite mee heb Victor Gevers ethisch hacker te noemen. Alles wat hij doet komt namelijk vanuit een motivatie om veiligheid te vergroten. Ook in dit geval. Helaas willen sommige mensen dat hier niet geloven.
Hoe is het, er even puur voor de lol vanuitgaande dat die hack heeft plaatsgevonden (en dat is 99% zeker niet het geval.), doelbewust publiceren van tweets op het account van een wereldleider in verkiezingstijd “om hem te dwingen lose-lose te reageren” in godsnaam “vanuit een motivatie om de veiligheid te vergroten”? :+ Kom op zeg. Je kan je in veel bochten wringen om het wangedrag van Gevers in deze zaak goed te blijven praten, maar het gaat nu wel heel erg ver. :P “Ja meneer de rechter, ik schoot die man gewoon preventief in z’n rug vanuit een motivatie om de veiligheid te vergroten - echt waar!”. Kan toch niet :P

Ik kan er werkelijk met m’n hoofd niet bij hoe je dat ethisch kan noemen. En als het puur gaat om het verleden (maar dan moet je wel heel erg oppassen niet hetzelfde te doen als de NOS toen ze Rian van Rijbroek in eerste instantie bleven verdedigen “vanwege het verleden” terwijl Nieuwsuur intussen al nieuwe opnames aan ‘t maken was :+) dat je vindt dat één keer zwaar over de schreef gaan prima is: sure, daarin kan ik je ergens nog best volgen. Dat is een redelijk argument, een fuck-up maakt je inderdaad niet perse direct tot op het bot onethisch. (Al hangt het af van wat je precies flikt, en verkiezingen beïnvloeden is wel een behoorlijk groot probleem...) Maar dan moet je bij de artikelen in deze context van deze specifieke hack waar hij wel heel duidelijk fout zit dat woord wél gewoon weglaten ipv de nadruk er op te blijven leggen. In dit geval heeft hij dan namelijk alles behalve ethisch gehandeld. Dat wil je absoluut niet benoemen om zijn en Tweakers reputatie te beschermen (ipv toegeven nepnieuws te plaatsen), prima. Maar om dan expres wel erbij te blijven vermelden dat hij super ethisch is geeft lezers een compleet misplaatst idee dat wat Gevers zegt gedaan te hebben prima door de beugel zou kunnen als het werkelijk plaats had gevonden... En dat is gewoon een kwalijke zaak, want als het is gegaan zoals hij zegt dat het gegaan is: dan is er helemaal niets ethisch aan deze hele kwestie en kunnen mensen a.) een verkeerd beeld krijgen van wat (ethisch) hacken is, b.) het gevoel krijgen dat de grens van ethiek kennelijk heel ver op te rekken is als je maar een goede reputatie uit het verleden hebt.

Dus nee je hoeft Gevers niet meteen helemaal af te schrijven als ethisch hacker. Absoluut niet zelfs, want hij heeft zeker hele goede dingen gedaan. Iedereen maakt fouten, zeker waar. Maar je hoeft hem ook niet te verdedigen, op te hemelen en proberen iets op te poetsen op een moment dat hij heel fout bezig is. Dat is een beetje ‘t zelfde als iemand die z’n vrouw een blauw oog slaat een artikel daarover “liefdevolle man wordt niet vervolgd door OM wegens gebrek aan aangifte” te noemen omdat ie bij z’n vorige vijf vriendinnetjes een hele aardige vent was. :+ Sure, we weten niet wat er speelde en hij was in ‘t verleden heel aardig, maar die titel is op dat moment bij dat artikel gewoon volstrekt niet op z’n plek. Dus welke redenatie je ook hebt over wel/niet ethisch, op zijn minst is het compleet misplaatst om die term bij de artikelen over deze hoax/hack te blijven gebruiken, het straalt een compleet verkeerd bericht uit over wat ethisch hacken is.

[Reactie gewijzigd door WhatsappHack op 16 december 2020 15:26]

er even puur voor de lol vanuitgaande dat die hack heeft plaatsgevonden (en dat is 99% zeker niet het geval.
99% is jouw uit de lucht gegrepen getal, en jouw ongezouten mening. Dat is geen feit.

THTC en OM denken daar anders over.

Hierbij dient te worden opgemerkt dat THTC heeft moeten kunnen inzien dat hij integer heeft gehandeld. Daarbij moet je denken aan communicatie met Trump, Twitter, bewijs wat hij zoal heeft gedaan, en dat hij niet te ver is gegaan.
“Ja meneer de rechter, ik schoot die man gewoon preventief in z’n rug vanuit een motivatie om de veiligheid te vergroten - echt waar!”. Kan toch niet
Het neerschieten van een persoon is niet omkeerbaar. Een geplaatste tweet weghalen wel. Het een is ook eenvoudiger te bewijzen dan het ander. Kun je er veel smileys bijzetten, dat maakt je opmerking nog niet grappig of waar.

De persoon waar het over gaat staat verder bekend als ethisch hacker. Het is dan ook logisch hem/haar zo te blijven noemen, tot het tegendeel is bewezen. Het tegendeel is niet bewezen want hij wordt niet vervolgt door OM.
99% is jouw uit de lucht gegrepen getal, en jouw ongezouten mening. Dat is geen feit.
Niet uit de lucht gegrepen, er is slechts een hele kleine kans dat het verhaal echt waar is. Alle feiten bekeken en overwogen, is de objectieve conclusie simpelweg dat de kans dat er een hack heeft plaatsgevonden grenzend aan 0 is. Er is geen enkel bewijs geleverd, hij spreekt zichzelf steeds tegen, de defaults van Twitter zorgen ervoor dat a.) een zwak wachtwoord niet kan, b.) een wachtwoord van die lengte niet kan (te kort), Twitter ziet geen enkel bewijs voor een inbraak, het Witte Huis ontkent maar die zal ik negeren, het OM ziet geen reden tot vervolging en dat kan haast niet als er daadwerkelijk misinformatie is verspreid via het gehackte account van de president van een bevriend land en zo kan ik nog wel even doorgaan.

Omgerekend betekent dat dat als het wél is gebeurd: dan moet er echt astronomisch veel misgegaan zijn, moet ie verrekte veel mazzel hebben gehad en moeten meerdere verschillende partijen toch aan het liegen zijn. Als je dat zo allemaal opsomt en bekijkt vind ik het vreemd dat je mij gek aankijkt dat ik dan toch eerder geneigd ben sceptisch tegenover de claim van Gevers te staan dan er vanuit te gaan dat ie toch wel gelijk heeft en de rest allemaal liegt en toevallig alle beveiliging niet werkte, etc. etc.. :P Maar dat is je goed recht natuurlijk, altijd sceptisch blijven; ook tegenover mij. Want sure, misschien zit ik er wel helemaal naast. Maar je moet niet net doen alsof ik mijn mening en de feitelijke weergave van wat we in ieder geval wél zeker weten uit m'n duim zuig en nergens op gebaseerd is... Ik kan er ook niet aan doen dat de bevestigde feiten zijn zoals ze zijn en dat Gevers' verhaal heel vaag en onsamenhangend is.
THTC en OM denken daar anders over.
Nee? Ze zeggen dat ze op basis van het verstrekte verhaal er maar vanuit gaan dat de hack heeft plaatsgevonden, nergens zeggen ze dat hier ook daadwerkelijk bewijs voor hebben gezien of overtuigd zijn.
Het neerschieten van een persoon is niet omkeerbaar. Een geplaatste tweet weghalen wel. Het een is ook eenvoudiger te bewijzen dan het ander.
Je kan een tweet wel weghalen, maar dat maakt niet dat de situatie omgekeerd zou zijn; immers wordt, zeker bij zo'n high-profile account, elke tweet direct binnen een seconde na het plaatsen gescreenshot en gearchiveerd. En dan is het potentieel ernstige kwaad al geschied.
Kun je er veel smileys bijzetten, dat maakt je opmerking nog niet grappig of waar.
Er staat 1 smiley waarvan je de context overigens ergens anders heen verlegd (die slaat enkel op het "kan toch niet") en het was daarnaast een prima vergelijking om het in perspectief te zetten. :)
De persoon waar het over gaat staat verder bekend als ethisch hacker. Het is dan ook logisch hem/haar zo te blijven noemen, tot het tegendeel is bewezen.
Waar iemand vermeend om bekend staat vanwege acties uit het verleden zijn geen garanties voor de toekomst, zie ook Rian van Rijbroek. (Al vraag ik me nog steeds af of die ooit als expert te boek heeft gestaan, maar dat is wat de NOS beweerde. :+) Het tegendeel is eigenlijk al bewezen. Immers als de hack heeft plaatsgevonden, dan heeft hij naar eigen zeggen (je doet net alsof ik dat verzin... dat is niet het geval.) een tweet geplaatst om een lose-lose reactie uit te lokken. Dat is misbruik van je macht en in de verste verte niet meer "ethisch hacken". Heeft de hack NIET plaatsgevonden, dan wordt het discutabel of misbruik maken van je naam en goede eer om een ander in een kwaad daglicht te stellen (en niet tijdelijk, maar constant en het ook vol blijven houden) omdat de media je toch wel gelooft, niet evengoed onethisch is. Er is geen scenario waarin in deze zaak Gevers ethisch heeft gehandeld; dus daar de nadruk op leggen bij een artikel dat gaat over iets waar hij wél onethisch heeft gehandeld lijkt me absoluut misplaatst. Jij denkt van niet en vindt het allemaal prima wat er gebeurt is: okee, dan verschillen we daar over van mening.

Het grappige is ergens ook dat als hij wel heeft gehackt en het OM daar daadwerkelijk onomstotelijk bewijs voor heeft gezien en dit allemaal waar is: dan was het verhaal over die tweet kennelijk een leugen, want dat zou strafbaar zijn geweest. Dan blijft er potentieel weer smaad over. Er is geen winst meer te behalen. Afijn.

Kijk, jij negeert blijkbaar volledig wat Gevers notabene zélf heeft gezegd dat hij gedaan heeft. Bij het OM is ie dan kennelijk op z'n verhaal teruggekomen, het is ondenkbaar dat ze hem direct heenzenden met een "niets aan de hand" als blijkt dat hij nepnieuws heeft verspreid waarmee verkiezingen in de VS potentieel zijn beïnvloed... No way. Het zou hem wat mij betreft sieren als ie dan ook en publique zou toegeven dat het allemaal een grapje was ipv te volharden in misinformatie; zeker als de media het enkel accepteert omdat je een reputatie hebt. Maar goed, dat is zijn keuze.

Je moet het voor jezelf beslissen, maar ik zie geen enkel scenario waar Gevers goed heeft gehandeld. Heeft ie het wel gedaan? Dan onethisch want misbruik van macht. Niet gedaan? Dan, sure: discutabel, onethisch want misbruik van goede reputatie om journalisten te misleiden over een ander persoon; en daarmee het volk gezien het heel veel aandacht heeft gekregen. Om dan in deze context de nadruk te blijven leggen op hoe ethisch ie wel niet is, vind ik echt misplaatst. En ja daar kunnen onze meningen over verschillen.

Ten slot nog dit:
Het tegendeel is niet bewezen want hij wordt niet vervolgt door OM.
Het wel of niet vervolgen heeft naar mijn mening geen enkele invloed over het vraagstuk met betrekking tot de ethiek van deze kwestie...


En begrijp me trouwens niet verkeerd he. Ik weet dat Gevers heel veel goede dingen heeft gedaan op beveiligingsgebied, mensen waarschuwen (oa qua password leaks en recycling en dergelijken). Allemaal helemaal waar en ik denk ook niet dat hij een slecht persoon is. Verre van zelfs. Maar in deze zaak heeft hij de plank hoe dan ook, wat er ook werkelijk gebeurd is, volledig misgeslagen. En als je dat niet mag benoemen of het fout vindt dat er dan bij een artikel over een grove fout die hij gemaakt heeft het woord "ethisch" beter weggelaten kan worden, puur omdat hij een reputatie heeft uit het verleden: dat vind ik erg raar. Natuurlijk hoeft dit hem niet perse te blijven achtervolgen, al moet het wel onthouden blijven uiteraard, maar het is nu naar mijn mening volstrekt misplaatst om dat woord "ethisch" constant te blijven benadrukken terwijl hij hier echt fout zat... Al heeft ie tienduizend weeskindjes gered, dat neemt niet weg dat het in deze zaak misgegaan is; dan moet daar ook dusdanig over bericht worden en op z'n minst moet er dan een neutrale toon gekozen worden in plaats van hem ook in deze zaak te presenteren als knight in shining armour. Vind ik.

[Reactie gewijzigd door WhatsappHack op 17 december 2020 00:34]

De defaults van Twitter zorgen ervoor dat a.) een zwak wachtwoord niet kan, b.) een wachtwoord van die lengte niet kan (te kort)
Dit heb ik net getest. Niet alleen krijg je geen waarschuwing wanneer je maga2020! als wachtwoord instelt op Twitter, het wachtwoord wordt zonder meer gewijzigd in maga2020! De verklaring dat een simpel wachtwoord (doch met cijfers en een symbool) gebruikt wordt door een team ligt voor mij voor de hand, maar dat is wel speculatie ja. De rest van je post heb ik maar niet gelezen. Je lijkt vooringenomen.
Jij bent alleen geen high-profile account waar het wel om ging en waar maatregelen voor golden... Maar goed, laat maar zitten - dit heeft kennelijk geen zin. Ik vind het wel een beetje kinderachtig als je iemand aanvalt en die persoon jou netjes een reactie met uitleg en extra onderbouwing geeft je dan “ik ga je reactie lekker toch niet lezen!” roept. Zal onthouden in de toekomst niet uitgebreid op je in te gaan als je weer zomaar iets roept.

[Reactie gewijzigd door WhatsappHack op 16 december 2020 20:31]

Als ik iemand's reactie doorlees, en het lijkt een rant, en ik ga vervolgens beginnen met informatie verifiëren en het lijkt meteen niet te kloppen, en ik wil er op dat moment geen tijd meer aan besteden en met diegene over dat specifieke punt praten dan is dat mijn goed recht.

Wat ik heb getest is dat het wachtwoord wel degelijk zonder pardon werkt, zonder waarschuwing. Dat Trump een of ander bijzonder accountstatus had, daar heb ik geen bewijs van gezien. Het zou ook kunnen zijn dat hij dat heeft uitgezet ivm de campagne of z'n COVID of whatever. Dat weten we niet. We hebben de broncode ook niet...

Dan lees ik de theorie van ja maar Twitter had recent nog iets veel ergers meegemaakt, dan zouden ze dit ook niet onder de pet houden. Damage control zegt dat je niet meerdere keren negatief in het nieuws wilt komen. Simple as that.

Occam's Razor ben je ook bekend mee? Het OM ziet geen reden tot vervolging omdat er ethisch is gehandeld / gebrek aan bewijs. De subtiele Tweet is misschien niet al te netjes, maar nog steeds maakt dat het niet van een 10 een 1 om maar in schooltermen te spreken. Dat is het probleem in deze hele discussie. Er komen een boel heilige boontjes om de hoek kijken die iemand volledig afkraken op een kleine smet op een verder prima actie. Het is net zoiets als dat bij een gijzelingsactie een slachtoffer vrij komt en toch licht gewond raakt door eigen toedoen van het AT. Tja, pech, het gaat om het effect.

Het klinkt ook onlogisch dat iemand zijn of haar reputatie op het spel zou zetten voor een theatershowtje. Besef ook dat wanneer Victor Gevers als getuige wordt gehoord, hij niet mag liegen tegen het OM.
Ik had mijn eigen reactie inmiddels gecorrigeerd. Ik ging voorbij aan waar hij nu precies op doelde.
Ik heb al vaker aangegeven dat iemand die zijn hele carriere en reputatie heeft opgebouwd met CVD niet door één actie die sommigen als minder ethisch beschouwen (waarover je, getuige reacties hier, ook nog over kan debatteren) direct onethisch is.
Mijnheer komt er achter dat een goede reputatie, gelijk aan vertrouwen, komt te voet maar vertrekt ter paard.

Jammer voor mijnheer maar ik kan geen sympathie hebben voor de gevolgen van bewust ondernomen acties.
Ik snap ook niet dat hij bijv met de new york times of desnoods de trouw oid contact heeft gelegd via dm vanaf het trump account.

Eenvoudig te bewijzen, geen publieke schade.
Dat is niet ethisch, omdat je dan een derde het bestaan van de zwakheid onthult terwijl het slachtoffer nog van niets weet. De NYT zou misbruik van de informatie kunnen maken, is het idee.
Dat is een best interessante stelling. :) Zo had ik er zelf iig niet naar gekeken, ik keek enkel naar wat er vermeend gebeurd is (Gevers claimt publiek een tweet te hebben geplaatst met de bedoeling dat Trump er nooit zonder schade uit zou kunnen komen) en vond daarbij dat een DM sturen dan een veel betere oplossing was geweest, omdat er dan veel minder tot geen schade wordt aangericht. En omdat het andere zo extreem duidelijk niet ethisch was, beschouwde ik het sturen van een DM direct als een wél ethische oplossing. Maar "veel minder schade" betekent inderdaad nog niet perse "geen schade"*...En als ik jou stelling lees, dan is dat inderdaad eigenlijk ook wel discutabel ja... Dus in ieder geval bedankt voor dit nieuw inzicht/opnieuw laten redeneren - dit was eerder op deze manier volgens mij nog door niemand op die manier bekeken. :) Het blijft een dun lijntje tussen "goed" en "kwaad", haha. Maarja, wat moet je dan doen om het te bewijzen he... Dan wordt het wel moeilijk.

* = Al zou er uiteindelijk natuurlijk sowieso (reputatie)schade zijn ontstaan op het moment dat het bekend zou worden gemaakt, maar dat is niet de schuld van "the messenger" en daarmee niet van invloed op diens ethiek of het gebrek daaraan.

Om er op voort te borduren:
Dan is even interessant natuurlijk dat het met die redenatie soms heel lastig wordt om het ethisch juist te doen of is dat eigenlijk zelfs onmogelijk. Dan denk ik even aan zaken als Wiki/Publeaks. Heeft een Snowden dan bijvoorbeeld onethisch gehandeld. Enerzijds wel, anderzijds niet. Kan een onethische actie om een ander onethisch-evenement aan het licht te brengen elkaar opheffen. Anders kan je het nooit goed dan natuurlijk, maar wie bepaalt waar de grens ligt...? Normaal zou je zeggen de wet/een rechter, maar daar hebben we in 't verleden met dit soort materie gezien dat dat de plank ook flink mis kan slaan. :P

Moeilijke materie. Toch denk ik dat als hij een DM had gestuurd naar een toko als Tweakers en/of NYT met het uitdrukkelijke verzoek a.u.b. de informatie "onder embargo" te houden dat deze relatief respectabele media dat wel zou hebben gehonoreerd. Dan is de vraag "Dat de NYT er misbruik van zou KUNNEN maken, maakt het de actie van de DM sturen dan onethisch ook als de NYT er geen misbruik van maakt? Is puur het risico op misbruik lopen dan de onethische handeling? Of is dat risico verwaarloosbaar?" (Al is het makkelijk gokken natuurlijk als je eigenlijk zelf niet de gene bent die schade zal ondervinden.)

Enfin, nogmaals bedankt :)

[Reactie gewijzigd door WhatsappHack op 16 december 2020 18:35]

Je logt in. De kijkt voorzichtig rond in het account. Je maakt screenshots. Je logt uit. Je waarschuwt de eigenaar en instanties. Hoe noem jij dit als er geen poging tot tweeten is gedaan?
Mits je hebt vastgesteld dat de hacker in kwestie inderdaad ethisch handelde... En daar lijkt een rechtszaak een prima middel voor.
Ook een duur middel voor de beschuldigde, die zich dan blauw mag betalen aan advocaten.
Dat is het risico wat je neemt door de grenzen van de wet op te zoeken. Zelfs als het openbaar ministerie er verder geen zaak in ziet heb je ook nog bedrijven en een ander land dat voor de eigen rechten op kan komen.
Nee, dat is niet het risico wat je neemt door de grenzen van de wet op te zoeken. De grenzen van de wet opzoeken is niet strafbaar en heeft niets te maken met eigen schuld.
Als het OM een vervolging niet vruchtbaar acht dan is dat een fijne 'gate' voor het starten van een rechtszaak. Het zou immers krankzinnig zijn als ik jou onterecht beschuldig en jij daarvoor een hele rechtszaak moet voeren om je onschuld te bewijzen. Als er uit een vooronderzoek 0 bewijs komt, dan is het voor jou heel prettig als je gewoon normaal door kunt gaan met je leven.
De grenzen van de wet opzoeken is inderdaad geenszins strafbaar. Maar het probleem met het opzoeken van de grenzen van de wet is dat het niet altijd duidelijk is waar de grens zo heel precies ligt, en dat je dus voor een rechter kan komen die zal vaststellen of je links of rechts van de grens stond...
De randen van de wet opzoeken gaat om situaties waarbij iemand (al dan niet bewust) iets doet terwijl het voor iedereen die er mee te maken heeft niet duidelijk is of het nog wettelijk is toegestaan en er bijvoorbeeld een openbaar ministerie of rechter een verder oordeel over kan geven.

Dat het openbaar ministerie er verder niets in ziet wil nog niet zeggen dat een bedrijf, ander persoon of zelfs een ander land er niet anders over kan denken terwijl die het met de wetten vergelijkt. En dan kan er bijvoorbeeld een artikel 12 procedure gestart worden waardoor het alsnog bij de rechter kan komen of er kan om andere wettelijke onderbouwing een gevolg aan zitten dat een rechter alsnog gaat oordelen. Bijvoorbeeld verhalen van schade. Als je ongevraagd iemands spullen gebruikt om iemand anders een dienst te bewijzen wil dat nog niet zeggen dat je niet aansprakelijk bent voor de negatieve gevolgen.

Je kan het natuurlijk krankzinnig vinden dat naast het OM er nog meer mensen zijn die menen ergens recht of onrecht in te zien, maar dat je de mogelijkheid hebt om via de rechter voor je eigen rechten op te komen is ook een belangrijk deel van onze rechtsstaat.
Absoluut, maar ik vind de insinuatie dat het per sé terecht zou zijn om vervolgd te worden (je hebt het zelf opgezocht) te ver gaan. Dat was de reden van mijn reactie.
Vervolgen is de situatie waarbij iemand, ook buiten het OM om, op wettelijke grond recht kan proberen te halen door een ander aan te klagen. Dat heeft niet perse met insinuaties te maken, het is een gebruikelijke manier om tot een oordeel te laten komen wat recht of onrecht is.
Daarbij vraag ik me dan af waar je meent te lezen dat er een insinuatie zou zijn dat iemand vervolgd moet worden als ik of de tweaker waar ik op reageerde stelt dat het hoe dan ook kan gebeuren (risico) dat je bij de rechter staat om een uitspraak te krijgen of het wel of niet kon. Zeker op een onderwerp waar al heel lang discussie over is waar de grens ligt tussen wat nog wel en niet kan is het volgens mij wel een risico wat je neemt als je je er dan toch mee bezig gaat houden. Het lijkt me zelfs onredelijk om net te doen alsof je het niet kan verwachten terwijl hij zelf een van de meest uitgesproken personen is over de grens tussen ethisch bezig zijn en te ver gaan.
Het Openbaar Ministerie geeft aan dat er geen gronden zijn om deze man te vervolgen.

Dus zal het OM ook geen rechtszaak beginnen.

Als we jouw redenatie zouden volgen, dan roep ik dat jij mijn benen er af heb gezaagd.

En dan mag jij jezelf verdedigen in de rechtszaal, terwijl ik lekker ga wandelen, succes!

Het is maar goed dat er een OM tussen zit die kijkt of er überhaupt iets strafbaars gedaan is en of er ook maar enig bewijs is dat die kant op wijst.
Daarvoor zal er eerst een klacht moeten komen dat het account gehacked is. Hij treed nu zelf naar voren maar zonder aanklacht kan het OM ook weinig doen.
Laat ik nu gokken dat het witte huis geen klacht zal indienen omdat men dan moet toegeven gehacked te zijn en dat is iets dat men liever in de doofpot stopt.
Niet echt, want ze hebben nu niets meer te verliezen. ;)
Ze hebben toch ook niet verloren maar gewonnen, dus hebben ze toch iets te verliezen 8)7
Nee dat hebben ze al verloren door te winnen. :+ Maar misschien ook niet, want er komen alternatieve kiesmannen en ‘t congres kan het nog blokkeren... Ofzo. :P Maar voor stemmen maakt ‘t weinig uit nu, de stembussen zijn dicht. Behalve in Georgia dan, maar dat is puur voor de majority en het is voor de reps te hopen dat Trump dat niet voor ze verziekt. :+

[Reactie gewijzigd door WhatsappHack op 16 december 2020 15:30]

tja de parallelle realiteiten zijn voor sommigen dus schijnbaar echt realiteit
Zonder aanklacht en mét bewijs dat er iets strafbaars heeft plaatsgevonden kan er prima vervolgd worden, dat is geen enkel probleem. Anders zou het toch lastig worden om moord op te lossen, want het is best lastig aangifte doen als je dood bent :+
Ethische hacker is net zoiets als positieve discriminatie, er iets voorzetten maakt het niet ineens wel legitiem of goed.

Daarom prima dat het openbaar ministerie er naar kijkt en ook dat ze de intentie van de actie meenemen in de beslissing.

Los daarvan is dit nu wel echt erkenning voor Gevers dat de actie ook echt was.
"Ze gaan ervan uit dat hij is binnengedrongen" komt er eigenlijk op neer dat ze geen idee hebben, er is onvoldoende bewijs voor zowel wel als niet. Als je kijkt naar de verhalen die hij heeft opgehangen, waarbij hij sterk de suggestie wekte dat hij iets gepost had, of in ieder geval "meer bewijsmateriaal dan de vorige keer" verzameld heeft om zijn claim kracht bij te zetten, zou het bericht zijn "ze concluderen/bevestigen dat hij is binnengedrongen". Er is dus onvoldoende bewijs voor dat hij het account heeft binnengedrongen. Het maakt ook niet enorm veel uit, binnendringen an sich kan binnen de kaders van ethisch hacken legaal zijn dus daar hoeft geen diepgaand onderzoek naar gedaan te worden. Dat kan overigens alleen maar met behulp van Twitter en die ontkennen dat het gebeurd is of gebeurd kan zijn, waarschijnlijk door de extra beveiligingsmaatregelen die sowieso rond high-profile accounts waren genomen. Schijnbaar vinden ze dit bij het OM onvoldoende bewijs tegen, anders was de berichtgeving dat er überhaupt niks heeft plaatsgevonden.
Het overige "bewijsmateriaal" wat hij in de openbaarheid heeft gebracht is concreet alleen een screenshot van een instellingen-pagina, waarin een beschrijving staat die anders is dan de beschrijving van dat account zowel voor als na de "hack", met bovendien een andere lengte vanwege de ontbrekende vlag-emoji, die bij een copy/paste doorgaans niet meekomt. Erkenning vind ik dus nog heel ver gaan, en kijkend naar de gedane claims, "ethisch" ook.
Mocht het waar zijn dat ze er vanuit gaan op basis van een onderzoek van het THTC dan vind ik het nogal kort door de bocht om te zeggen dat ze 'geen idee hebben'.
Dat ligt er een beetje aan of hij daadwerkelijk iets gepost heeft vanuit dat account. Het hacken van willekeurig een account van een wereldleider en vandaaruit willekeurig iets posten kan significante impact hebben. Nu is het toevallig Trump, dus dan is het allemaal a'okay, maar het feit blijft dat dit niet volgens de richtlijnen voor ethisch hacken zou zijn. Ik ga er daarom voor nu vanuit dat er niets is gepost.

edit (excuses aan de upvoters) : Als dat toch gebeurd is, zoals initieel gesuggereerd, dan is deze vrijstelling de verkeerde keuze. Oppakken en opsluiten.

[Reactie gewijzigd door Oyxl op 16 december 2020 12:25]

Wat er helaas niet staat is of hij voor of op het moment dat hij probeerde dat account te gebruiken al bedacht had waarom hij dat deed. Dat lijkt me namelijk nogal relevant. Dat je achteraf kan aantonen dat je na het toegang krijgen ook diverse goedbedoelde acties hebt uitgehaald is natuurlijk leuk om je het onschuldig te laten lijken, maar daar nemen we ook niet zomaar genoegen mee als iemand ongevraagd je auto meeneemt of je huis binnen gaat zonder een plan te hebben.
Dat heeft hij vorige keer al aangegeven. Hij gaat regelmatig een rondje langs prominente accounts en probeert dan simpele wachtwoorden met het idee dat er misschien ooit één raak zal zijn.
Ik bedoel dat het openbaar ministerie daar helaas niet op in gaat. Hij (of ieder ander in dit soort situaties) kan beweren wat hij wil maar uiteindelijk komt het er op neer of dat voor het openbaar ministerie of rechter aantoonbaar en aannemelijk is. Er blijkt nu niet welke criteria er van toepassing waren, waarom en al helemaal niet of dit meer geluk dan wijsheid was.

Het lijkt mij een gemiste kans. Dat het openbaar ministerie terughoudend is om details openbaar te maken dat is begrijpelijk. Maar het lijkt me dat het openbaar ministerie ook de taak heeft om wat meer helderheid te geven zodat anderen kunnen leren. De reden dat ik dit opmerk is omdat hij zelf er kennelijk ook nogal vaag over doet wat er voor en tijdens het uitproberen geregeld is. Het komt over alsof het niet uit te sluiten is dat in een opwelling gebeurt en het ook een kwestie is van achteraf op tijd nog iets ethisch te doen richting de slachtoffers om het zo ook goed te praten. Als dat niet het geval is dan hoeft daar toch niet over gezwegen te worden?
Ik snap heel het probleem niet. Volgens berichtgevingen vanuit het Witte Huis was er toch niks gebeurd?
Het is de taak van het openbaar ministerie om mogelijk strafbare feiten op te sporen en te vervolgen, niet om een verdachte of mogelijk slachtoffer zomaar te geloven als een van de twee een duidelijke bewering doet dat er mogelijk iets strafbaars zou hebben plaatsgevonden.
Ze geloven hem niet, ze gaan er vanuit dat de 'hack' heeft plaatsgevonden en is dat (hypothetische) geval geven ze duiding over de mate waarin ze actie zouden ondernemen.
Totdat er bewijzen worden geleverd ga ik er vanuit dat het uit zijn grote duim komt. Maar uitgaande van de bewering denk ik dat het OM gelijk heeft.
Dat uitgangspunt is achteraf. Ik heb het er over wanneer en waarom het openbaar ministerie er een probleem begint te zien dat er mogelijk iets strafbaar zou kunnen zijn. En dat begint kennelijk met de aanleiding dat beide partijen iets verkondigen over een vermeende situatie. Ik denk niet dat je dan al kan stellen dat men er vanuit gaat dat er iets strafbaar zou zijn, minimaal dat het zo lijkt en het dus niet zomaar te negeren is alsof er niets aan de hand is.
Relevante discussie: Nederlandse hacker op Trump account

Relevant is om te weten dat Gevers beweerde een bepaalde tweet te hebben geschreven, waarover Trump later uitleg gaf in een tweede tweet wat hij (Trump) bedoelde met "Big T" (in de tweet die Gevers claimde zelf te hebben geschreven).

[Reactie gewijzigd door David Mulder op 16 december 2020 12:19]

Niet relevant lijkt me, de daad is door een Nederlander vanuit Nederland gedaan dus het Nederlandse OM heeft er wat over te zeggen.
Het om is ook op zijn woord afgegaan volgens het artikel dus 0 technische bewijzen. Volgens mij zijn er weinig technische mensen die hem geloven.

[Reactie gewijzigd door SBTweaker op 16 december 2020 16:19]

Is pro-actief werken hier niet beter ? "Beste klant, ik ga uw account hacken om te tonen hoe het veiliger moet." Waarop "de klant" dan zegt; "ok, doe maar.. we zien wel..".

Nu ga je echter eerst een (strafbaar) feit plegen en dan pas melden..

Is alsof je zou inbreken bij iemand en dan zeggen "het was om aan te tonen dat zijn deur niet veilig is".. I mean.. stel u voor als we echt in zo een wereld gaan leven...
Toevallig niet lang geleden bij m'n pa gebeurd. Politie agente ging in de hele wijk bij iedereen de schuur in, en belde vervolgens bij de voordeur aan om te zeggen dat ze dat gedaan heeft. Het idee was dat er beter op sloten gelet zou worden, ivm fietsdiefstallen, maar volgens mij was dat een nogal onwettige actie..

Dat gezegd hebbende; de digitale en analoge wereld zijn niet altijd 1:1 te vergelijken. Bij iemand z'n huis binnenstappen is een andere gradatie dan kijken of een account niet goed beveiligd is.
Ik zou nog wel een onderscheid kunnen maken tussen checken of de deur open is, en daadwerkelijk naar binnen stappen. Dat laatste lijkt me niet de bedoeling.
Dat ligt aan waar je vandaan komt. Hier is het heel gewoon dat als een deur (per ongeluk) open staat, je even naar binnen stapt en roept dat je 'm dichttrekt voordat je per ongeluk iemand buiten sluit.

Hier is trouwens midden in de Randstad.

[Reactie gewijzigd door Skit3000 op 16 december 2020 13:35]

Dat wordt een leuk verhaal bij de rechter als ze daar dan een kweektent met wietplanten vinden bijvoorbeeld. Niet echt een handige actie van mevrouw agente indd.
Voor zover ik weet mogen agenten dat niet. BOAs dan weer wel.
Buurtpreventisten ook niet per se, maar nemen die vrijheid ook nog wel eens.

[Reactie gewijzigd door boschhd op 16 december 2020 13:14]

Het internet zorgt voor nieuwe uitdagingen. "Inbrekers" wonen niet meer om de hoek, maar kunnen ook zo maar aan de andere kant van de wereld wonen. Daarmee wordt het speelveld significant anders: waar je eerst 17 miljoen potentiële inbrekers had zijn het er nu 7 miljard.

Daarnaast: een high profile account zal altijd aangevallen worden. Door de acties van Victor Gevers is op een verantwoordelijke manier aangetoond dat er kwetsbaarheden in het account van Trump zaten. Hij heeft zich op alle manieren aan de vastgelegde voorwaarden gehouden, waardoor er geen schade is ontstaan maar het "slachtoffer" wel op de hoogte is gebracht van het feit dat hij kwetsbaar is.
Er is al eerder ingebroken op het account van Trump. En het wachtwoord is toen veranderd en voor de rest is er geen bal aan de beveiliging gedaan.

Daarom kon het account nu weer gehackt worden.

Ja, het had niet gemogen (even onafhankelijk van hoe deze hack heeft plaatsgevonden en door wie etc.), maar dit soort accounts kan voor hele slechte dingen gebruikt worden, dus beveiliging moet echt 100% in orde zijn.
Die eerste vermeende hack was ook geen enkel bewijs voor. Daarnaast staat er op zulke accounts 2FA en Twitter zegt ook dat er helemaal geen vreemde activiteit is geweest; dus naar alle waarschijnlijkheid broodje aap. :)
Het is inderdaad de vraag of er gehackt is.

Het is overigens ook de vraag of er 2FA op zat. Er zouden meerdere personen gebruik van maken en de standaard sms per telefoon is dan wat lastig, dan krijg je “De Twitter-telefoon”.

Maar we zullen het waarschijnlijk nooit zeker weten.
Hoewel ik zelf vermoed dat je gelijk hebt, stelt Gevers dat 2FA op Twitter te omzeilen is: https://twitter.com/0xDUDE/status/1327907777176506368
Je hebt mensen die dat doen, maar dan niet bij Toos en Truus in de wijk maar bij bedrijven. de zo gehete pentesters worden dan ingehuurd om te kijken of het pand wle veilig is, in de meeste gevallen weten maar een hand vol mensen dat dit gebeurd, vaak alleen de directie. Het kan ook zijn dat de eigenaar van een bedrijf met meerdere vestigingen wil weten of alles wel veilig is en huurt mensen in om bij een aantal panden in te breken, in dat geval weet de toezicht houder van die vestiging niet dat het gebeurd. Zo kan je ook testen of de procedures wel goed worden gevolgd en of er wel goed wordt op gelet.

Maar.. in al die voorbeelden weet er altijd wel iemand wat er gaande is, en dat het geen echte misdaad is.
Toch ben ik blij dat bepaalde mensen een stapje verder gaan en bedrijven en diensten testen op hun veiligheid. Er zijn al een boel slecht beveiligde systemen ontrafeld door betreffende hackers.

Dat heb ik liever dan dat een zelfde persoon met kwade bedoelingen dit doet. Wat overigens al vollop gebeurt.

Waar je ook in dit geval (en vaker) geen rekening mee houdt, is dat de hacker in dit artikel netjes van te voren al proactief gecommuniceerd heeft en hier na meerdere keren aandringen geen antwoord op heeft gehad. Dat je dan alsnog kiest een bepaald deel naar buiten te brengen als hacker, is (imo) niet netjes.

Soms zal een hacker dan toch besluiten informatie met de buitenwereld te delen om zo met de juiste media aandacht ervoor te zorgen dat een beveiligingsprobleem snel wordt opgelost.
Iemands account binnendringen is in mijn ogen sowieso strafbaar of verwijtbaar, etisch of niet.
Wanneer je bij iemand in huis inbreekt maar niets meeneemt ben je alsnog vervolgbaar voor huisvredebreuk, dit zou digitaal niet anders moeten zijn. :|
En als in dat huis een knop zit om alle kernraketten af te vuren, waar op dat moment iedereen bij kan, denk je er dan nog steeds hetzelfde over?

Of is het maatschappelijk gezien misschien belangrijker dat aangetoond wordt dat dit huis niet goed beveiligd is en dat men dit huis nu eens eindelijk gaat beveiligen?
Ik begrijp waar je heen wilt, maar het gaat om een twitter account. Ik heb zeker wel begrip voor het maatschappelijk belang, ben erg blij dat wat mensen als Edward snowden en andere klokkenluiders gedaan hebben om de maatschappij te dienen. Echter neemt dit niet weg dat het alsnog niet mag, los van je doel of visie.

Voor hetzelfde geld zijn er mensen die hun eigen visie voor het maatschappelijk belang acteren, door 'etisch' te hacken of wat dan ook. Kijk bijvoorbeeld naar de protesten dat Covid-19 niet echt is en wat er gebeurde bij de toespraak van Rutte. Natuurlijk is het hun goed recht om te protesteren. Maar wat deze mensen vinden of geloven is niet per se van maatschappelijk belang, terwijl zij er zelf wel van overtuigd zijn.

Bovenstaand voorbeeld is een schot voor open doel natuurlijk, maar ik probeer alleen te zeggen dat maatschappelijk belang vrij relatief kan zijn voor een enkel persoon,groep / land / de wereld. Zeker gezien de huidige omstandigheden in de Verenigde staten, zoals @David Mulder als zei.
Ik begrijp waar je heen wilt, maar het gaat om een twitter account.
Ja, maar wel om het Twitter account van een van de machtigste mannen van de wereld.

Weet jij wat er gaat gebeuren als er via dat account opgeroepen wordt tot het doodmaken van één of andere regeringsleider? Noord Korea of zo?

Of als er wordt opgeroepen dat er iemand moet worden omgelegd, zoals een gouverneur van een staat die Trump niet leuk vindt? Of een support-oproep om wat minderheden de nek om te draaien?

Dan gaan er echt wel doden vallen.

Het is dus in het maatschappelijk belang dat er niet een of andere gek (anders dan de eigenaar ;) ) gekke uitspraken doet.

[Reactie gewijzigd door White Feather op 16 december 2020 16:09]

Wat het ergste is wat je kan bedenken lijkt me niet relevant, het gaat er om of er een maatschappelijk belang is en waar dat uit zou blijken. Ik denk dat moeilijk te ontkennen valt dat het account invloed heeft en een maatschappelijke waarde heeft voor de VS en mensen in Nederland.
"THIS ACCOUNT IS HACKED. Grtz H@CK3R.NL".

Zoiets was duidelijker geweest lijkt me. En minder gevaarlijk. (DM's naar de media zou nog beter zijn.)

Het plaatsen van een tweet die van Trump zelf af lijkt te komen is potentieel gevaarlijk en maakt het nagenoeg onmogelijk te bewijzen dat het account echt gehackt was. Het door jouw beoogde doel schiet je daarmee ook voorbij. Het blijft een erg vreemde keuze van Gevers om het zo te doen.
Het is maar goed dat we een wetboek hebben en het niet wordt bepaald door @Orphu's duim
In plaats van een dergelijk commentaar zou je ook kunnen verdedigen waarom dit juist niet zo zou moeten zijn of is. Misschien geef je mij wel het inzicht om mijn standpunt te kunnen veranderen. :)
Vervolgens als jij kan aantonen dat je Pentester bent en anoniem ben ingehuurd om dat pand te testen op eventuele beveilings problemen dan gaje ook vrij-uit :) Nu zal dat met twitter accounts niet zo zijn, maar je kan een digitaal platform niet met de fysieke wereld vergelijken.

Zolang de hacker in kwestie geen boosaardige intenties heeft, alles net aan de relevante partijen doorgeeft zodat zij de juiste stappen kan ondernemen om dit niet meer voor te laten komen is er niks aan de hand. Jouw hele online hebben en houwen ligt voor het rapen voor wie ook in de wereld, wanneer iemand bij jouw huis in wil breken zullen ze eerst naar jouw huis moeten komen of iemand moeten regelen die voor ze kan doen. Online is dit veel makkelijker gezien je je eigen huis niet uit hoeft.

Dat is het grootste en belangrijkste verschil in deze kwestie.
ja, idd. ongeoorloofde toegang, account vredebreuk of zoiets. Maar dan moet je wel access hebben tot de login logging data. En die log moet goed in elkaar zitten, met forensische cybertraces.

[Reactie gewijzigd door Bulkzooi op 16 december 2020 13:03]

Zoals je in het artikel kan lezen gaat het er daarbij niet alleen om dat je iets doet maar ook waarom en of dat het strafbaar maakt.
Volgens mij is dat het ook, maar wordt het in bepaalde gevallen simpelweg niet vervolgd. Dit kan ik mis hebben, maar ik heb altijd het idee gehad dat het meer een gedoogbeleid is. Je bent derhalve wel strafbaar, maar zult er in bepaalde situaties geen straf voor krijgen. Hetzelfde als wiet bezit. Het is illegaal om het te bezitten, maar als het minder dan 5 gram is wordt het spul eventueel in beslag genomen en vernietigd, maar je zult geen straf krijgen.
Dus nog steeds is er 0,0 bewijs dat die gast ooit in dat account heeft gezeten, wel jammer dat T.net dus nog steeds meegaat met 'hack op account', omdat alles en iedereen ontkent moet het dan maar waar zijn, want US ontkent alles?
Het OM gaat er vanuit
Leven wij niet in een land waar bewijs bepalend is? Assumption is the mother of all...

[Reactie gewijzigd door SinergyX op 16 december 2020 12:21]

Gezien de conclusie van het OM om het niet te vervolgen gok ik dat hij in ieder geval bewijs heeft kunnen overleggen dat er contact is opgenomen met de betrokken partijen (twitter, witte huis etc)

Het is daarna van geen belang voor het OM om te achterhalen of het binnendringen an sich heeft plaatsgevonden, aangezien dit naar hun mening voldoende gerechtvaardigd zou zijn geweest.
Het is daarna van geen belang voor het OM om te achterhalen of het binnendringen an sich heeft plaatsgevonden
Tuurlijk is dat wel van belang. Als je iemand wil vervolgen voor hacken, zul je eerst moeten bewijzen dat die persoon dat ook daadwerkelijk gedaan heeft.
OM zegt dat ze er wel vanuit gaan, maar dat is niet voldoende voor een rechtzaak. Dan moet je bewijs hebben, en nergens zeggen ze dat ze bewijs hebben.
Dan is een vervolging bij voorbaat kansloos. En dan kom je dus helemaal niet toe aan de vraag of het voldoende gerechtvaardigd zou zijn en je daarom wel of niet zou vervolgen.
Nee, het is van belang ALS je wil vervolgen. Dan moet je aantonen dat het strafbaar feit is gepleegd.
Om te bepalen of dergelijke handeling in lijn is met die opgestelde criteria voor ethisch hacken, volstaat het om te kijken naar wat hij gedaan heeft/zou hebben.
Nee. Als je geen enkel bewijs hebt, dan ga je je helemaal geen tijd steken in het bekijken of het overeen komt met de opgestelde criteria voor ethisch hacken. Dat is dan alleen maar pure tijdsverspilling.
Dat suggereert dat het bewijzen van de hack veel minder tijd kost dan het bepalen of de acties (al dan niet echt gebeurd) ethisch zijn.
Tsja..
Vaststellen dat je nul bewijs hebt is inderdaad veel sneller te doen dan afwegingen maken of acties ethisch zijn.
punt is toch dat hij er niet voor vervolgt wordt? Als het hem niet is gelukt heeft hij toch ook niets strafbaars gedaan en is het nogsteeds terecht dat hij niet vervolgt wordt?
Het OM vond het relevante bewijs voor vervolging bepalend genoeg. Als dat niet voldoende is hoor ik graag hoe je een efficient rechtsysteem voor dit soort zaken dan voor je ziet.

Of de media het als hack moeten rapporteren met het bewijs dat Gevers aan het leverde is een andere vraag.
Ik geloof er niks van dat hij in zijn account is geweest. Van trump snap ik dat hij zo'n wachtwoord gebruikt, maar van twitter snap ik niet dat ze niet eisen om 2 factor authenticatie aan te zetten bij zo'n hoog status account.
Dat eist Twitter wel en Twitter’s security team zegt ook geen enkele aanwijzing voor een hack te zien.
"Social Engineering" valt volgens mij nog steeds onder hacken :p
"Social Engineering" valt volgens mij nog steeds onder hacken :p
En influencing?
Idd een paar wachtwoorden uitproberen heeft niks met hacken te maken..
Ja hoor, dat zijn de eerste stappen van hacken. Die meestal niet succesvol zijn omdat te domme wachtwoorden niet zo heel vaak voorkomen bij belangrijke zaken. Daarna ga je verder hacken.
Als ik naar de koelkast loop voor Eine Königin unter den Bieren is dat nog geen marathon.

Ondanks dat voor beiden de eerste stappen (hehe) gelijk zijn.
Een paar wachtwoorden uitproberen word bruteforcing genoemd en is 1 van de meest gebruikte methodes waar hackers gebruik van maken. Het heeft dus alles met hacken te maken.
Inspect element :-).
Vermoedelijk gebruikt iemand als Trump overal hetzelfde wachtwoord, dus maga2020! opent/opende waarschijnlijk nog wel meer deuren.
Alle meningen ten spijt. Het OM vervolgt Victor Gevers niet na hun onderzoek. Je kunt vervolgens vinden wat je wilt, maar strafbaar is het niet zoals hij heeft gehandeld.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True