Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Hackers niet meer welkom sinds nieuwe copyrightwet

Kevin Finisterre, consultant van het beveiligingsbedrijf Secure Network Operations, zal voortaan wel twee keer nadenken voordat hij een ontdekt beveiligingslek openbaar maakt of een ander bedrijf informeert over zijn bevindingen zo lezen we bij C|Net. Hij vertelde Hewlett Packard afgelopen zomer over twintig beveiligingsfouten in het eigen Tru64 besturingssysteem. Nadat HP de patches klaar had publiceerde één van Kevin's collega's een van de lekken. Met de nieuwe Amerikaanse Digital Millennium Copyright wet in de hand dreigde HP vervolgens met een aanklacht. In een brief werd gesproken over een boete van 500.000 dollar of een gevangenisstraf van maximaal vijf jaar. Het was de eerste keer dat deze wet werd toegepast op deze manier.

Veel hackers opereren op de grens van de wetgeving. Een hacker zal een keuze moeten gaan maken: gaat hij zich aan de wet houden als een zogenaamde 'White hat' of zal hij kiezen voor de strafbare zwarte kant. Behalve de nieuwe wet is de verbeterde security van bedrijven en de verhoogde controle op het naleven van de wetgeving van invloed. De amerikaanse regering ziet het nut van het ontdekken van gevaarlijke bugs door derden, maar gelooft toch meer in strakkere regels:

Hacker Even the White House has weighed in on the controversy. While acknowledging the need for third-party discovery of flaws, President Bush's cybersecurity team believes that more stringent ethics need to be the rule, rather than the exception.

"We are reaching a crossroad where decisions have to be made as to which way people are going to go: Are they going to continue to function as a security consultant or go to the dark side?" said Howard Schmidt, vice chairman of the White House's Critical Infrastructure Protection Board.

That sentiment is echoing across the once-vast gray area where the majority of today's serious hackers toil. With law enforcement and corporate legal departments increasingly on the attack, many security experts are worrying that the next bug they discover or tool they create could get them sued or prosecuted.

Door

58 Linkedin Google+

Submitter: Jurroon

Bron: C|Net

Reacties (58)

Wijzig sortering
Dat is het zelfde als dat iemand aan de deur komt en zegt dat je deur niet op slot zit !! Ga je die dan gelijk aangeven ? |:(
Nee, het is alsof je de beveiligingsdienst van een gebouw inseint dat er een deur openstaat, en als die een week later nog steeds niet dicht is, de eigenaar van het pand verteld dat de beveiliging z'n werk niet doet. Als die beveiligingsdienst daar een gewoonte van maakt dan is iedereen er bij gebaat dat het in de krant komt.
wel als diegene het in de krant of op internet zet.

voor de melding aan HP is HP ook niet naar de rechter gegaan. Wel toen hij het breeduit publiceerde......
"hij"
Klinkt alsof die man dat zelf heeft gedaan, terwijl er in het artikel staat dat
....publiceerde één van Kevin's collega's een van de lekken.....
Oftewel, deze man is gewoon slachtoffer van zijn eigen goedheid, omdat iemand anders het nodig vond oneigenlijke dingen (publicatie in dit geval) met die wetenschap te doen.
maar pas _na_ dat de patches gereleased waren, _als_ klanten van HP netjes hun systemen upgraden is er dus niets aan de hand.

persoonlijk ben ik voor het publiceren van dergelijke lekken, het houdt de systeembeheerders wakker en zorgt ervoor dat ze patches direct instaleren zodra ze er zijn. Dat zorgt er dus voor dat systemen beter beveiligd worden.

installeer je een patch niet en je wordt 'rooted', tja, dan is het je eigen domme schuld. Wakker blijven is het motto nog altijd in dit vak (last time I checked)
Je installeert een patch pas op een productie systeem als de patch geen nadelige gevolgen heeft gehad op je test-opstelling.
Daar zit dus misschien wel een week tussen ;)
dan meer dat iemand je verteld dat het type slot wat je gebruikt niet deugt en zo open te krijgen is EN DAT dan in de krant zet, niet dat jij dat slot hebt, want er wordt hier toch ook niet verteld welke bedrijven er gebruik van maken
De deur zal allang dichtgedaan zijn, voordat het openbaar zou worden. ;)
Het is meer als: Op straat gaan roepen dat het huis van xxx niet dicht zit. Helemaal gaat deze vergelijking niet op. Een betere vergelijking is roepen op straat dat alle volvo's van het type [x] open te krijgen zijn als ze op slot staan.
Maar dan wel nadat Volvo er iets aan heeft gedaan, en alle auto's van dat type veilig zijn, mits de patch is geinstalleerd.

Wat mij betreft kan die hele DMCA toch het raam uit, net als alle andere "terrorisme" wetgeving.
Nee, het is eerst aan Volvo vertellen dat hun sloten niet deugen. En pas als Volvo het probleem gefixt heeft en bereid is om de boel te repareren bij alle betrokken auto's, OF als Volvo er niets aan doet, dan pas roept de 'hacker' dat Volvo xyz brakke sloten hebben om zo de gebruikers of volvo te dwingen maatregelen te nemen.
Als je de vergelijking dan helemaal wilt afmaken zou je er ook nog bij moeten zetten dat de bezitters van een Volvo zelf naar de garage moeten, en zelf de aanpassing aan hun autodoen met behulp van een door Volvo samengesteld pakketje.....
Probleem is alleen dat ik in geen enkele Volvo ooit een floppy-, CD-, DVD-, of ander soort drive heb gezien, waarmee je de patch in het systeem kan laden.
Een mailtje met de patch naar volvo@mijn-oprit.nl wil ook maar niet aankomen :+
Ook ik ben voor vrije publicatie. Maar laten we het eens van de andere kant bekijken. Een gevonden bug wordt meestal pas misbruikt na publicatie.

Maar als je publicatie verbiedt zou er wel een wet bij moeten komen dat de software-bouwers binnen een bepaalde tijd met een oplossing voor de bug moeten komen. De bug ontdekker stuurt dan zijn melding niet alleen naar het bewuste bedrijf maar ook naar een onafhankelijk orgaan die toeziet tot het optijd beschikbaar stellen van een patch.

Als je beide wetten instelt denk ik niet dat wij er slechter van worden.
Leuk, eerlijk idee...maar in de werkelijkheid niet uitvoerbaar. Waarom? Omdat je altijd tegen een bug aanloopt die simpel lijkt, maar meer tijd kost om te verdelgen dan dat je zou denken. Dus er is geen maatstaf voor "op tijd beschikbaar stellen van een patch". Ergo, je zou dan een onwerkbare wet hebben.
Dit is OUD nieuws, en HP heeft de aanklacht al ingetrokken:

http://yro.slashdot.org/article.pl?sid=02/08/02/0156235&mode=thread&ti d=173

Uit hun persbericht:
4) Where and how the DMCA should be applied is a matter of great controversy. The reported letter to SnoSoft was not consistent or indicative of HP's policy. We can say emphatically that HP will not use the DMCA to stifle research or impede the flow of information that would benefit our customers and improve their system security.
Dus bij HP valt inmiddels al weer veilig lekken te publiceren...Move along now..
Jesus, de laatste drie verhalen hier op t.net worden door een debiel gemoderereed...echt storend: overbodig, troll etc waar dat ZEKER niet van toepassing is...Kan ik dit ergens aangeven?
Okaaaay Dus als je als hacker een beveligings fout ondekt in een os, kan je dit niet meer naar buiten brengen? Nou, dit is ook een manier om Windows "Bug Vrij" en "lek dicht" te maken...NOT
Dit was al een tijd zo hoor... :z

Sommige software fabrikanten negeren lekken liever dan dat ze ze dichten. Als een "hacker" zo'n lek dan openbaar maakt is ie ineens strafbaar.
Testcase nodig: Softwarebedrijf heeft dit lek in de software ingeprogrammeerd. Softwarebedrijf medeplichtig aan mogelijk maken van hacks.
Het gaat over TRU64 van HP, dus ik snap niet helemaal wat Windows er mee te maken heeft... :?
het gaat hier niet zozeer om het besturingssysteem waarvoor een beveiligingsfout wordt gevonden maar om die wet. Als je dus een windows beveiligingsfout vindt en die publiceert kun je angeklaagd worden en maximaal 5 jaar cel krijgen voor deze wet.

De meeste van deze hackers rapporteren het eerstaan de makers zelf en als er een patch voor is publiceren ze het zodathet publiek ook weet wat voor fout erin zit en dat die patch het oplost. Maar hp is nu gewoon vreselijk onbeschoft bezig door iemand die keurig aan hun de fout heeft gerapporteerd vervolgens aan te geven.
[lekker offtopic]

Bij microsoft mag het natuurlijk alleen als je bij de elite hoort en een echt MVP bent :)

http://www.tweakers.net/nieuws/23551/?highlight=microsoft+MVP

[/lekker offtopic]
tis alleen maar een amerikaanse wetgeving de meeste bedrijven hebben een europese of oosterse vestiging
dan geef je het daar toch , aan dat valt buiten de machten van de vs
In Europa is een soort DCMA-wet al aangenomen, de EUCD (European Union Copyright Directive). De lidstaten van de EU moeten het binnen een bepaalde tijd implementeren.

Lang maar zeer informatief topic over digitale wetgeving.
Erg lezenswaardig. Vrolijk word je er echter niet van.
niet perse lijkt me.

het lijkt me vrij makkelijk (in de VS althans) om een bedrijf aan te klagen omdat de vestiging in India een exploit heeft gepubliceerd.

de DMCA is zo absurd leip opgezet dat zelfs dat nog wel moet kunnen. (zijn er uberhaupt nog wel beperkingen op het 'handhaven' van alles wat maar enigzins onder de DMCA valt?)
Vaag hoor...de pers heeft toch ook de persvrijheid. Ik vind het een slechte zaak dat mensen die helemaal geen reet van een bepaald onderwerp af weten, zulke uitspraken durven te maken...en dan zelfs er een wet voor maken (en aannemen).
Ja idd de DMCA word dan niet voor niets gezien als een bedreiging van de vrijheids van menings uiting. Wat het mijn inziens ook is.
Verder zal het per definitie strafbaar stellen van het "white hat" hacken alleen maar bijdragen dat deze eerder overstappen naar de darkside... want ja je hebt immers toch al de wet overtreden waarom niet even wat CC gegevens er bij pakken als bonus.
Ik vind het een slechte zaak dat mensen die helemaal geen reet van een bepaald onderwerp af weten, zulke uitspraken durven te maken...en dan zelfs er een wet voor maken (en aannemen).
Wat denk jij? dat de regering van alle onderwerpen alles afweet? Nee hoor, bestuurders worden over het algemeen niet gehinderd door enige kennis van zaken! :+
Nou dat is dus duidelijk. In het vervolg zou ik in elk geval geen melding meer maken naar het bedrijf, maar het anoniem op 2600 of andere fora posten. Dan _moeten_ ze het wel snel aanpassen, en hangt jouw geen straf boven het hoofd.
dat is idd wel waar we naar toe gaan ja

ik vind het schandalig dat HP zelfs maar over zoiets denkt, iemand helpt je, jij betaald hem daar niet eens voor, en als deze persoon dat dan openbaar maakt (wat volgens mij wettelijk mag) dan klaag je hem aan?

beetje sneu
Lekker zo doorgaan: dan gaat straks iedereen vanzelf Open Source Software gebruiken!
Of niet... niemand weet (nu) nog wat DMCA is en wat het inhoud... als Windows Longhorn met DRM uitkomt, denkt iedereen: ,,Beter dan Windows XP, wow upgraden mijn bak!".

Ik bedoel, who cares about DMCA? Als je tegen iemand verteld wat DMCA inhoud, dan nemen ze me niet serieus.(toch wordt ik serieuser genomen na het laten zien van deze website: http://www.anti-dmca.org/).

Plus dat de meeste mensen over Linux denken dat het te moeilijk en te buggend is, en over Mac OS dat het langzaam, buggend en incompatibel met alles is.
Laat ze maar, ze komen er vanzelf wel achter. Wanneer steeds minder mensen willen en kunnen helpen aan het ontdekken en verhelpen van bugs in OS'es, gaan ze vanzelf op hun bek.
Dit is struisvogelpolitiek en zal alleen maar averechts werken, maar laat het dan maar een keer _echt_ schade aan richten.

Misschien leren ze er dan van.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*