Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 98 reacties
Bron: Skynet, submitter: DaCode

Een 25-jarige Nederlandse hacker heeft van de Hasseltse correctionele rechtbank een milde straf gekregen, zo laat Skynet weten. De hacker was erachter gekomen dat bestanden van Dexia's software voor internetbankieren makkelijk toegankelijk waren, en meldde dit beveiligingslek bij Dexia. Dexia diende hierop echter een klacht in. De Belgische rechter nam in de zaak de goede bedoelingen van de hacker mee waardoor de straf is opgeschort, terwijl ook een schadeclaim van Dexia afgewezen werd.

Hacker kleinDe rechter achtte namelijk niet bewezen dat de hacker ingebroken had om zichzelf te verrijken of om schade toe te brengen, maar juist om Dexia te overtuigen van de onveiligheid van het systeem. Dexia zelf kon melden dat het systeem niet meer in gebruik is waardoor het beveiligingsprobleem zich niet meer voor zal doen.

Moderatie-faq Wijzig weergave

Reacties (98)

Ik vind het vrij schandalig dat Dexia de persoon probeert te vervolgen omdat hij een beveiligingslek aangaf.

Stel je voor dat ik 's nachts door een woonwijk loop en een deur op een kier zie staan (ik woon in amsterdam en ik vind dat vrij onveilig), ik doe de deur wat verder open en roep vervolgens naar binnen "Pardon, u voordeur staat op een kier.", de eigenaar doet de deur dicht en ik wordt vervolgens opgepakt wegens inbraak/huisvredebreuk. Belachelijk!

Heel netjes van de rechtbank, en ik kan je wel vertellen dat ik never-nooit-niet business zal doen met Dexia.
Ben het eens met ZerO & atomik, deze vergelijking gaat zo niet op.

Je moet je voorstellen dat iemand bij jou thuis inbreekt door de deur te forceren met enige kracht en intentie. En daarna dus naar binnen loopt (en waarschijnlijk weer direct naar buiten).

Hij is dus binnen geweest en is daarmee net een stap (drempel) te ver gegaan. Dat had hij niet mogen doen dit is inbraak.

De rechter geeft hiermee voor toekomstige gevallen een duidelijk signaal af waar precies de grens hoort te liggen voor 'barmhartige hackers'.

Wie zou het pikken dat elk willekeurig persoon zomaar aan jouw deur en ramen mag voelen om te zien of ze wel op slot staan?
Leuk voorbeeld, maar niet erg "to the point" in mijn ogen. Dit is geen huis, van "huisvredebreuk" kan dan ook geen sprake zijn. Dit is software, finacieele software vanwaar je een zekere veilige werking mag verwachten. Enige manier om die veiligheid te testen is om het te trachten te kraken. Doe je dat niet, zit je opgescheept met een onbetrouwbaar produkt. Net zoals credit-cards etc.etc. , waarvan ons op de mouw gespeld word (werd?) dat het zo "veilig" is. We weten ondertussen wel beter, blind vertrouwen op de industrie is buitengewoon naief.
Het is idd geen huis, maar een computersysteem. Vandaar dat men ook wel spreekt van computervredebreuk.
In beide gevallen betreedt je terrein waar je niet mag komen zonder toestemming van de eigenaar.
Je hebt gelijk als je zegt dat de beveiliging eigenlijk alleen maar getest kan worden door hem te proberen te kraken, maar daar zijn bedrijven voor.
...maar daar zijn bedrijven voor ....

Die blijkbaar hun werk niet goed genoeg doen . . .
Ik denk niet dat het zo'n duidelijk gat was dat hij zo naar binnen kon wandelen. Waarschijnlijk heeft hij echt wel een paar tooltjes gebruikt om zichzelf toegang te verschaffen.
Om de analogie door te trekken: Hij ziet een deur en denkt, zou die wel stevig zijn? Gaat vervolgens met zijn stalen neuzen of een koevoet in de weer en merkt dat de deur eigenlijk nog heel eenvoudig uit zijn hengsels is te rammen en vervolgens belt hij aan met de mededeling dat de deur kapot is en dat men hem beter kan vervangen door een steviger exemplaar.

Op deze manier bezien is het wel degelijk strafbaar wat hij doet....
Je zou ook gewoon aan kunnen bellen en wachten tot er iemand naar de deur toe komt.
Zelfde geld voor de hacker, hij heeft ingebroken op het systeem om aan te tonen dat het kon. dat had hij niet hoeven doen, hij had ook het bedrijf op de hoogte kunnen stellen van het gat, zonder er gebruik van te maken.
Dat zou inderdaad kunnen, maar dat is not the point. Het punt is dat de intentie goed was, iemand helpen. Dat de persoon die je helpt dat niet altijd op prijs zal stellen kan ik me ergens nog voor stellen, maar dat je wordt aangeklaagd vind ik veel te ver gaan. Op deze manier zal men wel twee keer nadenken voordat je, je nek uitsteekt voor een ander. Lekkere samenleving komen we dan in te leven!

We hebben in het verleden wel eens te horen gekregen dat mensen moesten ingrijpen als ze iemand in elkaar getrapt zien worden (er zijn al heel wat slachtoffers gevallen dmv zinloos geweld). Waarom zou men dat doen als het heel reel is dat je vervolgens wordt aangeklaagd?

Als ik die rechter was geweest dan had ik Dexia ook aardig op de vingers getikt.
"The Point" is dat er helemaal niet genoeg informatie is, dus dat jij dat zo helemaal niet kan zeggen.

Misschien heeft die kerel een helehoop lopen hacken, en is het meer vergelijkbaar met eerst over de schutting klimmen, dan over de greppel springen, dan een pasje tussen de deur schuiven, magneetje bij het alarmsysteem, sneaky langs de hond en met een alu deken langs het infrarood alarmsysteem en vervolgens vertellen:

"Kijk meneer, uw beveiliging is niet goed, je komt zo binnen!"
Het punt is dat de intentie goed was, iemand helpen.
Als je het zo bekijkt is het dus niet erg als je inbreekt in een huis om een kop koffie voor de bewoners te zetten. Je intentie is tenslotte goed?
Wat ik bedoel is dat iets met een goede intentie doen het niet minder strafbaar maakt. Wel kan een rechter die goede intentie meenemen in zijn beoordeling, wat in deze zaak dus ook het geval is.
Je zou ook gewoon aan kunnen bellen en wachten tot er iemand naar de deur toe komt.
Zelfde geld voor de hacker, hij heeft ingebroken op het systeem om aan te tonen dat het kon. dat had hij niet hoeven doen, hij had ook het bedrijf op de hoogte kunnen stellen van het gat, zonder er gebruik van te maken.
incorrect, als hacker zijnde duw je meer tegen een deur om te kijken of hij open of dicht zit. (want meer zie je niet). en ja, dan kan het topje van je vinger binnen komen in het huis.

wat jij voorstelt is: "meneer Dexia, zijn uw computers beveiligd?", waarop meneer Dexia antwoord geeft: "Ja jongetje, maar bemoei je maar met je eigen zaken".
Gelukkig, ze zouden vanuit dexia hem moeten betalen voor het ondekken van de lek. Ik ben natuurlijk tegen hacken omdat het vaker verkeerd dan goed gebruikt word(iig wat in het nieuws komt), maar sommige hackers doen er geen verkeerde dingen mee(zoals dit). Als ik een groot bedrijf was zou ik standaard iemand laten hacken om zo achter de lekken te komen.
Als je betaald wilt worden voor dit soort activiteiten, moet je je hack activiteiten afstemmen met de opdrachtgever. Een professionele beveiligingsevaluatie expert gaat niet zonder opdracht de IT beveiliging controleren. Als je dan een beveiliging weet te omzeilen ben je gewoon aan het inbreken en dus strafbaar.
Wees blij dat ze dat doen. Blijkbaar word er te weinig getest op veiligheid van dit soort produkten of ze besteden er te weinig aandacht aan en/of ze hebben de know-how niet in huis. Iig is het blootleggen van deze lekken door een goedwillende hacker altijd beter dan dat dat door kwaadwillende personen gebeurt. Als je aan je auto een veiligheidsgebrek ontdekt en dat meld aan de fabrikant, ben je toch ook niet strafbaar :?
Als iemand bij jou thuis gaat inbreken om aan te tonen dat de beveiliging ontoereikend is, ben je dan ook zo blij dat men dat doet? Denk het eigenlijk niet...
Maar als ik aan een bedrijf geld betaal om daar een kluis te huren die unieke spullen van me bevat en dan toont iemand mij aan dat die kluis helemaal zijn geld niet waard is dan zal ik die persoon bijzonder dankbaar zijn omdat anders een ander het had kunnen doen door de inhoud van m'n kluis mee te nemen. Als nu die persoon in plaats van naar mij naar dat kluisverhuringsbedrijf gaat en hen uitlegd hoe ze hun kluizen beter beveiligen dan zou dat bedrijf bijzonder dankbaar moeten zijn!

\[verduidelijking:]
Wat ik maar wil zeggen: mijn eigen persoonlijke computer is niet echt goed beveiligd, maar dat is niet zo erg, dat is mijn probleem. Als je echter een bank bent heb je een verantwoordelijkheid tegenover een heeel aantal mensen en die moet je dragen! Als iemand je helpt om die te nemen, zonder je echt schade te berokkenen moet je die dankbaar zijn!
[Reactie op Mo]

Dan worden er dingen kapot gemaakt. Hier niet... :)
Je moet het niet vergelijken met inbreken, maar met een deur die open staat.

Stel: Je loopt straks langs een huis, waarbij de deur open staat en de bewoners dat (blijkbaar) niet weten. Je loopt naar binnen en vertelt tegen de bewoners dat de deur open staat. Dan heb je toch een goede daad verricht, in plaats van een inbraak?


(Reactie is eigenlijk op ^Mo^)
Mooizo. Goed oordeel van de rechter, IMHO. Bedrijven die nalatig is (en volgens mij strafbaar zou moeten zijn daarvoor), hebben vaak de neiging om de klokkenluider op te hangen. Deze kerel heeft heel netjes gehandeld door het lek eerst aan het bedrijf te melden (op internet posten had ook gekund).
Een 25-jarige Nederlandse hacker heeft van de Hasseltse correctionele rechtbank een milde straf gekregen..
En zo hoort het!
Mooizo. Goed oordeel van de rechter, IMHO.

Hmm. Volgens mij hoort het niet zo.
De jongen had 'vrijgesproken' moeten worden, met als opmerking dat het alsnog niet toegestaan is om 'ongevraagd' in te breken (alsof er iets is dat 'toegestaan' inbreken heet) en dat hij dus in het vervolg anders moet handelen.

Toch zonde van die 'milde' straf...

// prima Ardanwen ;-) //
Ok :). Mooizo, een stap in de goede richting. Volgende knakker graag vrijspraak, en bedrijf aangeklaagd voor schending privacy.

Beter zo? :).
Toch zonde van die 'milde' straf...
Het blijft een misdaad, die rechter heeft waarschijnlijk z'n best gedaan om er het beste van te maken, maar geen straf geven kan hij gewoon niet doen.
Toch zonde van die 'milde' straf...
Inderdaad - want die man zit nou formeel wel met een strafblad: een veroordeling wegens computercriminaliteit. Dat zou negatief uit kunnen pakken bij bv. solliciteren.

Als ik hem was, zou ik in hoger beroep gaan. :7
Ik geloof niet dat die rechter het echt begrepen heeft. Deze hacker heeft een wet overtreden, hij is in een systeem geweest waar hij niet in mocht. Nu, de bedoeling van het opleggen van een staf is gedeeltelijk om anderen te ontmoedigen hetzelfde te doen. Dit gebeurt nu niet, doordat een milde staf is opgelegd. Gevolg (vrees ik): het aantal hack pogingen bij Dexia en andere ondernemingen in Belgie zal toe nemen omdat er nu jurisprudentie in het voordeel van de hackers is (minder kans dat ze zware straffen krijgen).

Trouwens: die hacker claimt wel dat hij geen schade heeft aangericht, maar is dit ook vastgesteld?

edit:
woordje vergeten
Eerst de boel tillen en dan jezelf aangeven, ja dat zou slim zijn. Alsof het dan niet erg makkelijk word om zijn gangen na te trekken. Dus jij hebt liever dat de lekken niet gevonden worden :? Oftewel; alleen gevonden worden door mensen die er echt kwaaie bedoelingen mee hebben ?
Want zeg nou eerlijk, denk jij dat die bedrijven zo secuur en zorgvuldig met de veiligheid omspringen ?
Eerst de boel tillen en dan jezelf aangeven, ja dat zou slim zijn.
Alsof hij niet even wat logs gewist kan hebben en voor wat backdoors gezorgd kan hebben.

Bovendien: hiervoor bestaan bedrijven die gespecialiseerd zijn in penetration testing, zoals hieronder ook al opgemerkt.

edit:
taalfout
En zo hoort het!

Echte hackers, zoals deze bewijzen alleen maar een dienst.
Dexia... Dexia... Dexia... was dat niet dat clubje met lease-aandelen, waardoor mensen bij verlies naast hun inleg kwijt ook nog eens een torenhoge schuld rijker waren?
Beetje dubieus was dat.
Nee, Dexia is de onfortuinlijke Begische bankgroep die het Nederlandse Legio Lease overnam.
Pas later, vlak na de overname (toevallig?) begonnen enkele (ex-)Legio-Lease klanten te morren en te procederen.
Beweerden dat ze te weinig risico-informatie hadden gekregen over (uiteindelijk verlieslatende) beleggingen.
Tja. Slimme Hollanders (verkopen die handel, voor we voor het gerecht gesleept worden) of domme Hollanders (geld lenen om aandelen te kopen ?!?), je beslist zelf...
Het idee was dus dat er niet verteld werdt dat je een lening aan ging. Er werdt verteld dat je bedrag x moest inleggen. Dat er aandelen gekocht werden en dat het redement op y lag.

Dat het geld dat je moest inleggen eigenlijk gewoon de afbetaling van de lening was die zij voor jou afsloten is niet verteld.
inderdaad off-topic, maar als je niet weet waar je over praat: reageer dan niet....

Als je 10.000 Euro investeert kun je in een extreem geval alles kwijtraken, akkoord, daar hoor je ook niemand over.
Dat er met veel meer geld gespeculeerd werd en je dus achteraf zelfs nog 40.000 Euro bij moest betalen, dat was een ander verhaal!

Dat Legio Lease pakket was een makkelijke optie voor mensen zonder verstand van beleggen, en die moet je dergelijke extreme risico's heel goed uitleggen.
Dat is dus zeker niet gebeurd, zelf 10.000 Euro in World Online pompen was veel veiliger geweest, logisch he?

Een terecht onderzoek, dit was oplichting, met vage beloftes en incomplete documentatie....
Maar staat wel in je contract, anders is het niet rechtsgelding. En je hoort een contract gewoon te lezen voor je tekent.
lezen != begrijpen.

En het blijft onverstandig om een contract dat je niet begrijpt zomaar te ondertekenen.

(edit: Reactie op van Dee, die net omlaag gemod is)
Uh fout, ik heb zelf zo'n plan (helaas).

Het probleem is niet dat dat je niet verteld werd, dat werd je wel degelijk. Je werd keihard voorgelogen, dat is het probleem. Heb de verkoper zeker 5 keer uitgezaagd over de punten waar het fout kon en hij vertelde me 5 keer keihard dat dat niet kon en dat dat afgedekt was en dat als het van de overheid zou mogen ze het zwart op wit zouden geven.

Zo slecht is het idee niet.... Het is alleen risico vol beleggen... en tja, als de markt dan fout uitpakt... (bij de mensen die klagen liepen de leases net af op het moment dat de markt net ingestort was).
het is sowieso al een goed teken als je als bedrijf degene die je VRIENDELIJK en MET GOEDE BEDOELINGEN wijst op een ernstig lek in je security aanklaagt, en niet eens de moeite nemt zijn melding te controleren.

prutsers.
Dexia Bank == Legio Lease

En als "vijand" tegen Legio Lease (Dexia dus) zit weer de stichting LeaseVerlies, die probeer(t/de) om de verloren centen terug te halen.
Idee voor een op te richten bedrijf !

Vorm een tussenpersoon tussen bedrijf en hacker.
Geef vergoeding aan hacker voor melden beveiligingslek, verkoop info over veiligheidslek door aan bedrijf.
Bedrijf kan geen klacht indienen aangezien naam hacker niet bekend is.

Gat in de markt :)
Dan krijg je wel dat dat bedrijf word vervolgd wegens uitlokking... Om winst te maken moedigen ze vast hackers aan! ;)

Toch breekt een hacker in in een systeem, dat is op zich al illegaal. Stel je oma valt in huis, ligt daar al de hele dag buiten bereik van de telefoon, en een inbreker vind haar. Die krijgt toch echt een straf, hooguit met verzachtende omstandigheden (als ie natuurlijk meteen 112 belt dan, en niet oma eerst beroofd of zelfs de kop in slaat). De inbreker blijft fout, natuurlijk.
Maar in dit geval natuurlijk wel een goede veroordeling. En Dexia is net als Microsoft (en al die andere bedrijven die bang zijn dat aandelen meteen naar beneden donderen door een aangetoond lek... of meer lekken ;) ) gewoon bang dat hun bedrijf in diskrediet komt.
Er zijn dacht ik hackers die juist op deze manier proberen hun brood te verdienen: Inbreken in systeem en dan naar het bedrijf toe stappen met de mededeling dat ze een gat hebben gevonden.
\[paranoia-mode]
Voor ze dat doen bouwen ze natuurlijk meteen een andere ingang in, zodat ze een tijdje later weer terug kunnen komen
\[/paranoia-mode]
:+
Helaas, dit wordt reeds geruime tijd gedaan..
http://www.cleo-and-nacho.com/xpweb/cquis_main/attack.htm is een van de vele bedrijven die dit voor je regelen.
Ze spreken niet van een 'hack', maar hebben het over 'Penetration Testing'. Dit gebeurt niet door een programma, maar door een team van 2 tot 3 'handige mannetjes'.
Is dat bedrijf dan niet medeplichtig aan het hacken?
de verkoop van info over het lek als afpersing worden opgevat..
Ook kan de rechter het bedrijf in deze vrij makkelijk dwingen de naam van Mr Hacker bekend te maken aan de rechtbank.

Gat in de markt? Denk eerder een gat in je bankrekening. Je gaat je geld kwijt te raken aan juridische kosten die je ongetwijfeld gaat krijgen.
Dexia... Dexia... Dexia... was dat niet dat clubje met lease-aandelen, waardoor mensen bij verlies naast hun inleg kwijt ook nog eens een torenhoge schuld rijker waren?
Beetje dubieus was dat.
Wie met geleend geld aandelen gaat kopen loopt nu eenmaal dat risico. Stond allemaal in de voorwaarden (ja in leesbaar Nederlands)

Natuurlijk is het vervelend voor die knul dat ie gestraft wordt, aan de andere kant had de rechter volgens mij geen keus. Want hacken is toch strafbaar, ongeacht de bedoelingen? Ik neem tenmiste niet aan dat hij eerst toestemming had gevraagd bij Dexia.
Euh? Toestemming vragen?

"Dag Dexia, mag ik even proberen in te breken in uw computersystemen? Niets gevaarlijks hoor, enkel om te testen of de beveiliging OK is..."

Ik laat je raden wat hun antwoord zal zijn - misschien slepen ze je wel voor de rechtbank voor het uiten van dreigementen, of zo...
Dexia diende hierop echter een klacht in.
Dexia had degene moeten zijn die een schadeclaim had moeten betalen voor dit soort achterlijk gedrag.
Maar bij Dexia denken ze blijkbaar dat ze andere mensen afschrikken met zulk soort 'grote bek gedrag'.

Was er niet laatst een ander bedrijf dat een beetje te hard van stapel liep vanwege een domeinnaam?
Volgens mij staat er op Skynet dat de straf opgeschort is, met andere woorden dat hij vrijuit gaat en niet een "milde straf" krijgt zoals in de titel staat.
Wat een gare gasten bij dat bedrijf.
Ok, hij heeft wel ingebroken bij het bedrijf, maar alleen maar om ze te helpen.

Gaan we de mensen die proberen te helpen (en er zelfs ook zelf nog beter van worden omdat ze er een kick van krijgen) tegenwoordig aanklagen?

Begint een beetje Amerikaans te worden al dat aanklagen tegenwoordig :(

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True