Veiligheidsadviseur Bush komt op voor hackers

jank wees ons op een artikel van de Telegraaf waarin verteld wordt dat Richard Clark, veiligheidsadviseur van de Amerikaanse president Bush, hackers heeft aangemoedigd hun kraakpogingen door te zetten. Hij wil zelfs onderzoeken of hackers juridische bescherming kunnen krijgen.

Hacker Wie nu denkt dat Clark het doodvonnis van vele websites heeft getekend moet nog even doorlezen. Clark denkt namelijk dat vele beveiligingslekken niet gerepareerd zouden kunnen worden als hackers deze niet aan het licht zouden brengen. Er worden dan ook een paar regeltjes gesteld: hackers zouden, als ze een lek vinden, dit onmiddelijk bij de betreffende softwareproducent moeten melden. Reageert de fabrikant niet, dan kan de hacker het lek bij de overheid melden. Het lek misbruiken is natuurlijk niet toegestaan.

Echter, nog niet alles is in kannen en kruiken. Zo is het bijvoorbeeld de vraag hoeveel informatie aan het publiek (en aan andere hackers) gegeven moet worden. Moet alle informatie over een lek worden vrijgegeven, of moet er alleen verteld worden dat het lek bestaat? Ook de reactie van de softwarebedrijven kan een probleem vormen:

Bedrijven reageren ieder op hun eigen manier op hackers. Sommige softwaremakers belonen hackers voor het opsporen van veiligheidslekken, terwijl andere dreigen met juridische stappen. Tegen dit laatste moeten hackers volgens Clark beschermd worden.

Reacties (42)

Verwijderd 2 augustus 2002 22:45

Zo te zien wel eindelijk iemand die het verschil tussen hackers en crackers ziet, het werd tijd.

Helaas kan in Nederland dat verschil niet goed worden gemaakt....
In de Nederlandse wet zijn Hacker & Cracker min of meer gelijk aan het engelse Cracker. Dat houdt dus in dat zowel de Hacker als de Cracker in Nederland potentieel vervolgd kunnen worden.

Persoonlijk denk ik dat die regelgeving gemaakt is door iemand die geen fluit afweet van computers en dacht dat 't hetzelfde was....

deadinspace @Verwijderd • 3 augustus 2002 04:53

Tijd om dat eens te corrigeren dan.

Definitie van de term hacker.
Definitie van de term cracker.

Hackers zijn die mensen waarvan er een paar rondhangen op t.net en GoT; ècht goede tweakers zeg maar.

Crackers weten ook veel van computer, maar gebruiken dit voor totaal verschillende doeleinden.

siebrand 2 augustus 2002 20:38

Dit past allemaal prima in de discussie 'Full disclosure' versus 'Responsible disclosure' (versus Non disclosure). Deze man heeft blijkbaar een paar artikelen gelezen en heeft de macht om ook buiten het beveiligingswereldje aandacht te krijgen. Dat is goed. Zijn ideeen zijn helemaal niet nieuw.

Ik vind het wel weer bijzonder bekrompen dat een niet door een fabrikant opgelost probleem

bij de overheid

gemeld moet worden. Dat is niet open genoeg. Sinds wanneer is een overheid trouwens open als het om internationale concurrentie gaat? Als een fabrikant niet reageert, heeft iedere gebruiker van het produkt het recht te weten dat de fabrikant van zijn produkt geen aandacht wil schenken aan het oplossing van een gemeld beveiligingsprobleem. Deze meldingen worden meestal gedaan op mailinglijsten als Bugtraq of NTBugtraq.

Het lijkt me een bijzonder slecht idee WEL bekende maar niet gefixte lekken alleen bekend te laten zijn bij een slecht groepje hackers, het bedrijf dat het produkt heeft gemaakt en een overheid. Als gebruiker van een produkt werk je dan met een tijdbom.

Meer:
- Resonsible disclosure;
- Responsible Vulnerability Disclosure Process RFC draft
- Proposal - The Responsible Disclosure Forum door Russ Cooper, NTbugtraq moderator

Verwijderd 2 augustus 2002 22:18

Ik vind deze opmerkingen van deze persoon zeer verstandig. Kijk zelf eens rond en denk eens na hoeveel er door software in ons leven geregeld wordt. Stel je eens voor dat al jouw medische info door een beveiligingslek in de software op straat komt te liggen, terwijl je die informatie het lieft niet aan je werkgever wil laten zien.

Als er door een overheid restrictief tegen mensen wordt opgetreden, die de beveiligingslekken en fouten in software naar buiten brengen wordt opgetreden, dan schiet niemand in deze samenleving er tegen op.

Waarom, omdat klanten met niet werkende software blijft zitten, en software vendors geen incentive meer hebben om de kwaliteit van hun produkten serieus te nemen. Als iemand een lek in de software vindt, en dit op een verantwoorde manier meldt, dan vind ik dat hij niet vervolgd mag worden voor het inbreken in computers.

Mocht je dit raar vinden, als die persoon die in een systeem inbreekt, en schadelijke dingen uithaalt door bijvoorbeeld netwerken lam te leggen of electronische data te vervalsen, dan zijn er zonder de wet op de computercriminaliteit voldoende aanknopingspunten voor strafrechtelijke vervolging.

Verduistering en valsheid in geschrifte gelden ook voor het electronische tijdperk.

tofus 2 augustus 2002 19:43

Hmmm....eerst maar eens even de kat uit de boom kijken en zien welke kant dit verhaaltje op gaat lopen. Wanneer politici met zulk soort voorstellen komen, is het altijd gepast om dubbel op je hoede te zijn, voordat je uitbarst in een spontane bui van vrolijkheid.

...dat heet paranoia, en voor de meeste hackers is dat een hele gezonde eigenschap ;p

blaatenator @tofus • 2 augustus 2002 21:26

Onlangs is nog een stel onderzoekers aangeklaagd door HP, omdat ze een buffer overflow exploit vonden in HP's Tru64, waardoor iedereen schijnbaar makkelijk SU rechten kan krijgen.
HP gooide het gemakshalve maar op de

DMCA, aangezien ze daar al iemand met suc6 de mond mee hadden gesnoerd (Bruce Perens).
Triest...
Toch goed dat er iig nog een verstandige amerikaan rondloopt op 'hun' aarde

BlackBurn 2 augustus 2002 19:36

Zo te zien wel eindelijk iemand die het verschil tussen hackers en crackers ziet, het werd tijd.

Fl4sh3r @BlackBurn • 2 augustus 2002 19:38

Helemaal mee eens.

Iedereen denkt altijd meteen aan crackers als ze het woord hacker horen.

Dit stoort enorm, en hierdoor ontstaat er veel onduidelijkheid rond beveiliging en het ontdekken van beveiligingslekken.

Verwijderd @Fl4sh3r • 2 augustus 2002 19:51

Iedereen denkt altijd meteen aan crackers als ze het woord hacker horen

Wat eigenlijk raar is, want zoveel lijkt computerinbraak toch niet op een biscuitje

Verwijderd @Verwijderd • 2 augustus 2002 20:31

En het is ook zeker geen koekje...maar misschien heb je later wel een appeltje met ze te schillen..

Complex hoor

Verwijderd @BlackBurn • 2 augustus 2002 23:18

Yes, eindelijk iemand die de eerste pagina's van een goed linux-handboek gelezen: verschil tussen hackers en crackers.

hacker is iemand die hackt, hacken is zoveel mogelijk leren van computersystemen. Dus eigenlijk zijn tweakers, goede admins, computerstudenten,... allemaal hackers.

cracker is iemand die crackt, cracken is het misbruiken van de skillz van de hacker. Dat zijn dus de "slechterikken" banken kraken en geld uithalen, sites kraken en de voorpagina aanpassen,...

BlackBurn @Verwijderd • 3 augustus 2002 09:01

hmm, ik heb juist altijd gehoord, dat hackers wel inbreken in computersystemen, maar dan zonder schade aan te richten en als ze een lek hebben gevonden, dit zsm aan de admin laten weten.

Crackers daar in tegen, maken misbruik van de lekken, die een hacker heeft gevonden. Een cracker probeert ook zo veel mogelijk schade aan te richten.

Ik vind dus niet van me zelf dat ik me een hacker mag noemen, ik breek immers niet in in computersystemen, maar probeer daarin tegen wel zoveel mogelijk te leren van computersystem.

Dit is iig zoals ik het altijd begrepen heb.

Verwijderd @BlackBurn • 3 augustus 2002 09:19

Een hacker is gewoon iemand die heel erg goed in zijn specialisme is. Als jij bijvoorbeeld helemaal waas bent van graphics, en daar helemaal in uoitblinkt, en gewoon een teringbende programma's met bijbehorende assecoires beheert, ben jij ook gewoon een hacker.

bamboe @Verwijderd • 4 augustus 2002 10:16

Helaas is in werkelijkheid lastig om het verschil tussen een hacker en cracker te bewijzen.
Op het moment dat je bij een site binnen bent geweest, dan heb je ook de kans gehad om een glimp op te vangen van hun "geheime" bedrijfsinformatie.

JoMr3 @Aetje • 2 augustus 2002 20:23

Loop niet te hard van stapel. Deze man heeft slechts een mening, er is geen wet ofzo die je als hacker nu ineens bescherming geeft.

Spinner @JoMr3 • 2 augustus 2002 23:42

En laten we niet de thread over de RIAA en die wetgeving vergeten, waar we 't er over eens zijn dat een amerikaanse wet niet van toepassing is op niet-amerikaanse burgers.
Dat geldt ook wanneer zo'n wet hackers zou beschermen.

Verwijderd 2 augustus 2002 22:27

Zal maar oppasen als je een lek aanmeld bij een of andere fabrikant of bedrijf in amerika en je krijgt vervolgens een uitnodiging om naar amerika te komen om het een en ander uit te leggen aan de beheerders.
Eenmaal aangekomen in NY tsjakaaa zitten de hand boeien om je polsen heen en worden je rechten uit gelegt.
Het is net wat tofus al vermelde wees op je hoede, en pas aanmelden als het daadwerkelijk ook bij het internatiole gerechts hof bekend is en wordt geaccepteerd.
Het is in ieder geval een stap in de goede richting.

Verwijderd 2 augustus 2002 20:00

Maar mag een hacker een security lek eerst uitbuiten voordat ie het meldt bij het bedrijf?

Dus stel je hacked VISA pleegt voor een paar ton creditcard fraude, meldt dan het lek en ga vrijuit?

kvdveer @Verwijderd • 2 augustus 2002 20:06

Fout: Je ontdekt een bufferoverrun in de software van VISA, je meldt het aan het bedrijf. Sommige bedrijven worden dan al 'boos'.

Dit gaat trouwens niet specifiek over de configuraties van bepaalde netwerken, maar meer over softwareproducten in het algemeen.

Waarschijnlijk is dit in reactie op de kwestie tussen SNOsoft en HP. SNOsoft had een beveiligingslek ontdekt in de software van HP. Het heeft dat toen gemeld aan HP, maar HP deed er niets aan. Om die reden heeft SNOsoft de melding ook gepost op bugtraq (dè beveilidings-mailinglist). Vervolgens dreigde HP om SNOsoft aan te klagen. Dat is inmiddels van de baan, vanwege de kritiek die HP toen kreeg op bugtraq.

PcDealer @Verwijderd • 2 augustus 2002 20:08

Een bedrijf mag natuurlijk geen echte schade lijden door toedoen van een hacker.

Jelmer @Verwijderd • 2 augustus 2002 20:12

Dan is het al geen hacken meer, maar cracken... (moedwillig schaden)

10us 2 augustus 2002 19:38

Zou dit dan de eerste amerikaan onder Bush zijn die iets zinnigs zegt.

PageFault @10us • 5 augustus 2002 09:06

Pas op, dit klinkt mooi, maar ik gok dat de meeste hackers niet gaan doorgeven dat de beveiliging, waar ze door gekomen zijn, niet deugd. Niet alle hackers hacken voor "de sport", sommige doen het met een ander (onwettelijk) doel. In dat laatste geval zullen ze zeker geen melding maken.

Verwijderd 3 augustus 2002 13:57

Ik vind het persoonlijk nogal onzinnig om hackers meteen heilig te verklaren, als mijn voordeur openstaat hoeven ze niet naar binnen te lopen om mij dat te vertellen, ze mogen wel aanbellen en buiten blijven staan, maar een hacker probeert eerst wel degelijk uit of het een echt lek is en hij een "onschuldige" voet naar binnen kan zetten.

Hackers doen inmiddels meer kwaad dan goed naar mijn mening, als een fabrikant niet reageert dan vinden ze het vaak nodig de info publiekelijk te maken en hun algemene trucjes worden onvermijdelijk overgedragen aan crackers, je weet niet altijd met wie je praat, en ze scheppen graag op tegen elkaar.

De beveiligingen die je tegenwoordig moet inbouwen om je verder totaal niet interessante site/netwerk te beschermen tegen 'goed-bedoelde' hackerberichtjes in wordpad ingetypt op je desktop, om vooral te laten zien hoe geweldig ze zijn, kosten veel tijd/geld terwijl een cracker op zo'n netwerk echt niks te halen zou hebben.

Hackers hacken NIET om de wereld te verbeteren en omdat ze oude dametjes ook in het weekend helpen oversteken, maar omdat het betweterige mannetjes zijn die vooral willen laten weten dat ze beter zijn dan de betreffende sysop.

Birk @Verwijderd • 4 augustus 2002 21:00

Misschien een late reactie, maar je hebt het niet helemaal juist in mijn opinie...

Crackers zijn de mensen die stoer willen doen, willen laten weten aan de rest van de wereld dat ze jou hebben gehacked, dit doen ze door bijvoorbeeld in te breken op een homepage en dan de tekst hierin te veranderen...

Hackers daarentegen vinden het een uitdaging om de fouten te ontdekken, maar gebruiken dan meestal geen "oude" fouten in het systeem (dat zijn crackers)...

De hackers proberen dan ook niet jou kleine netwerkje te kraken maar fouten te vinden in de software die jij gebruikt zodat deze beter kan worden gemaakt zodat ook jij veilig kan zijn met een nieuwe versie...

Dangerous_Dave 3 augustus 2002 16:06

Schuift het ook nog iets als je een lek vind?
Je gaat het toch niet voor niks doen??

BlackBurn @Dangerous_Dave • 3 augustus 2002 22:35

Ik denk dat de meeste hackers het niet voor geld doen, maar puur voor de kick. Het is in principe gewoon een hobby, waar je normaal gesproken niet zoveel mee verdiend, maar er zijn wel een aantal mensen die er hun beroep van hebben gemaakt en ingehuurd worden door bedrijven.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (42)

Sorteer op:

Weergave: