Hacker voor de rechter na melden lek

In de VS staat een zogeheten 'witte hacker' voor de rechter na een klacht van de University of South Carolina, zo meldt Wired. De 25-jarige Eric McCarthy, een computerexpert die er een schijnbaar genoegen in heeft om zijn vrije tijd aan de poorten van servers te rammelen die hij op het internet aantreft, werd gepakt naar aanleiding van het melden van een beveiligingsprobleem met een database van de universiteit. De hacker overtrad daarmee Section 1030 van de Amerikaanse wet, die onbevoegden de toegang tot en het ophalen van informatie uit computersystemen verbiedt.

Computer met slot McCarthy neusde vorig jaar wat rond op de site van de University of South Carolina en kwam terecht op een pagina voor aankomende studenten. Hij besloot een truuk uit de oude doos te proberen waarbij databasecommando's via het inlogveld worden ingegeven. De meeste moderne databases zijn hiertegen beschermd maar de bewuste databank liet het toe. McCarthy hengelde vervolgens wat records binnen en deed een anonieme melding bij SecurityFocus.com, die er een artikel aan wijdde. De universiteit fixte het probleem en meldde de studenten dat hun gegevens mogelijk op straat waren beland. Daarop leek de zaak gesloten tot het systeembeheer van de universiteit de serverlogs besloot door te lichten. Omdat McCarthy geen moeite had genomen zijn sporen te wissen stond na enige tijd de FBI bij hem op de stoep die de hacker ondervroeg en vervolgens arresteerde.

Voor aanklager Michael Zweiback is de zaak zo klaar als een klontje: McCarthy had met zijn tengels van de studentengegevens af moeten blijven. 'Het is niet alleen dat hij toegang tot de database had gekregen en aantoonde dat dit mogelijk was, maar hij ging verder en haalde extra persoonlijke informatie van aangemelde studenten binnen. Als je dat doet dan kun je op vervolging rekenen', aldus Zweiback. Het is echter goed denkbaar dat McCarthy de records binnenhaalde om zijn argument dat de universiteit zijn zaakjes niet op orde had, kracht bij te zetten. Mogelijkerwijs waren zijn bevindingen bij gebrek aan dergelijk hard bewijs niet serieus genomen.

US Department Of Justice Het is niet de eerste keer dat Section 1030 wordt aangewend om een goedaardige hacker te vervolgen in plaats van te bedanken. In 2002 stond Stefan Puffer terecht wegens het aantonen dat het draadloze netwerk van de rechtbank in Harris County toegankelijk was voor aanvallers. Puffer verklaarde de gemeenschap een dienst te hebben willen bewijzen en werd na een kort juryberaad vrijgesproken. In 2004 was Bret McDanel de sigaar na het per e-mail informeren van klanten van zijn voormalige werkgever over een beveiligingsprobleem. De aanklagers beweerden dat McDanel Section 1030 had overtreden doordat hij zich toegang tot de e-mailserver van zijn voormalige baas had verschaft. De jury bevond hem schuldig en McDanel werd tot 16 maanden cel veroordeeld. Gelukkig voor McDanel namen de aanklagers echter de zeer ongebruikelijke beslissing om de veroordeling niet te onderschrijven.

Hoe de zaak-McCarthy uit zal pakken is lastig te voorspellen. Volgens de reporter van Wired, die optrad als McDanels advocaat, zullen de aanklagers niet alleen aan moeten tonen dat McCarthy zich zonder toestemming toegang tot de universiteitsdatabase verschaftte, maar dat hij daar een misdadige bedoeling mee had. Daar zullen de aanklagers vermoedelijk anders over denken.

IT-banen

Reacties (111)

111

109

Wijzig sortering

Verwijderd 11 mei 2006 00:08

... zullen de aanklagers niet alleen aan moeten tonen dat McCarthy zich zonder toestemming toegang tot de universiteitsdatabase verschaftte, maar dat hij daar een misdadige bedoeling mee had. Daar zullen de aanklagers vermoedelijk anders over denken.

Moet dat niet iets zijn als: "Daar zal de jury / de verdediging vermoedelijk anders over denken."?

Overigens belachelijk dit; zo moedig je mensen gewoon af om te helpen bij het verbeteren van de beveiliging.

edeboeck @Verwijderd • 11 mei 2006 00:46

Moet dat niet iets zijn als: "Daar zal de jury / de verdediging vermoedelijk anders over denken."?

Neen, hier wordt de reporter van Wired geciteerd die zegt dat de aanklagers _extra_ moeten aantonen dat McCarthy misdadige bedoelingen had. In de ogen van de verdediging heeft hij geen misdaad gepleegd omdat hij geen slechte bedoelingen had. De aanklagers zijn echter van mening dat de inbraak en het binnenhalen van de gegevens op zich al genoeg is.

beantherio @Verwijderd • 11 mei 2006 14:22

Overigens belachelijk dit; zo moedig je mensen gewoon af om te helpen bij het verbeteren van de beveiliging.

Ik denk dat deze meneer McCarty wat dat betreft heel erg de schijn tegen zich heeft: hij heeft immers gegevens gelekt richting een journalist. Wat heb je aan die 'helpers' als ze in feite hetzelfde doen als hackers met minder goede bedoelingen? Niets veel dunkt me.

Mathijs 11 mei 2006 00:08

Op deze manier meld op een gegeven moment niemand meer iets met goede bedoelingen en komen ze er gewoon altijd te laat achter doordat mensen met slechte bedoelingen misbruik hebben gemaakt van een misconfiguratie.

Het moet niet gekker worden...

Parasietje @Mathijs • 11 mei 2006 01:40

Inderdaad. Elke white hacker zou dus, bij het vinden van een lek, gewoon zover moeten gaan tot een complete hack en het wissen van alle gegevens, inclusief logs. Daarnaa een vriendelijk, anoniem mailtje:
"Je server is gewist. Ik ben binnengedrongen via dit en dat lek. Als je je server weer opnieuw installeert, denk dan dat je die lekken dichtmetselt ;-)
Met vriendelijke groet,
YOUR DADDY"

Warbug @Parasietje • 11 mei 2006 02:21

Ik wou dat ik hierin alleen de grappige kant kon zien, maar ik ben bang dat je hiermee alleen de huidige realiteit aanhaalt.

Welkom in de niuwe wereld die zijn boodschappers neerschiet!

Wie wil de volgende boodschapper willen zijn?

alt-92 @Warbug • 11 mei 2006 08:05

Zo nieuw is die niet, dat deden de Oude Grieken al

Whieee Moderator Apple Talk @Parasietje • 11 mei 2006 12:08

wat is het nut van het wissen van de DB. Beter insert je een record (Sinterklaas bijvoorbeeld), en stuur je de admin vervolgens een dump van de complete database toe. Je hebt niks gesloopt, toch je lek gemeld.

Als je de database wist kan de betreffende instantie voor aanzienlijke bedragen schade lijden en dan kun je sowieso op een aanklacht rekenen.

SuperDre @Mathijs • 11 mei 2006 16:55

Er is een verschil, hij heeft het nooit aan de universiteit gemeld volgens het artikel, maar meteen bij die website waarna er een artikel is verschenen waarna de universiteit het probleem heeft opgelost...

Als hij nou eerst de universiteit op de hoogte had gesteld dan was het wat anders geweest..

Tevens heeft hij misbruik gemaakt van het probleem door expres daarna gegevens uit de database te lezen...

Verwijderd 11 mei 2006 00:06

Hij had het iets correcter kunnen aanpakken door direct bij de universiteit de kwetsbaarheden te melden.

Door zich te verschuilen achten anonimiteit heeft hij zijn eigen integriteit (voor zover aanwezig) niet kenbaar gemaakt en is het dus begrijpelijk dat hij wordt aangepakt als iedere andere gegevensdief.

@parasietje:
Eens, de rechter zal er ook zeker rekening mee houden dat hij de shit niet heeft doorverkocht en verders geen kwade bedoelingen had, feit blijft echter dat hij zichzelf onechtmatig toegang tot andermans database heeft verschaft..
Een inbreker die 'snachts door jouw huis wandelt, niets steelt en vervolgens bij de bewonersvereniging meldt dat jouw hang en sluitwerk niet deugt blijft een inbreker en kan strafvervolging verwachtten.

@aartdeheus:
Het gaat hier om de rechtmatigheid van de acties van deze inbreker. niet over het patchgedrag van de gedupeerde.

Parasietje @Verwijderd • 11 mei 2006 01:38

Ik ga niet akkoord. Ik vind dat iemand die opzettelijk allerhande databases probeert te kraken, die gegevens doorverkoopt aan spammers, banken en verzekeringsbedrijven en zo misschien mensenlevens ruineert, een STUK harder moet aangepakt worden dan deze white hacker...

mjtdevries @Parasietje • 11 mei 2006 12:34

En waaruit concludeer jij dat deze hacker dat allemaal niet gedaan heeft?

Hij beweert wel dat hij een witte hacker is, (en tweakers neemt dat ook klakkeloos aan), maar daar zie ik nergens ook maar het minste geringste bewijs voor.

jiriw @mjtdevries • 11 mei 2006 13:39

De bewijslast ligt in dit geval bij de aanklager (en gelukkig maar, anders hadden we nu een samenleving waar de meeste dictators trots op zouden zijn)

Verder staat er, als je goed leest dat de universiteit heeft verklaard dat er mogelijk prive gegevens van studenten 'ontvreemd' zijn. Als er daadwerkelijk aanwijzingen zouden zijn dat de gegevens in de openbaarheid waren gekomen dan had de universiteit een heel andere verklaring afgelegd. Als deze hacker de gegevens uberhaubt nog heeft (wat ik betwijfel) dan is 'tie iig zo slim geweest ze niet openbaar te maken.

<edit: paragraafje verplaatst naar onder anders werd de post zo lang ... stond hier ook verkeerd. Sorry.>

Dan het hele inbreken probleem. Hoe kan je in godsnaam er achter komen of ergens wel of niet een beveiligings gat is als je niet eerst het uitprobeert? Op dat moment steel je dus al automatisch gegevens. Als je dat niet doet kan je ook niet vaststellen dat er een beveiligings gat is.

En dan nog een leuke analogie. De 'open deur' is mij iets te simpel. Ik houd het liever op een fiets die verplaatst wordt.

Jij hebt je fiets hinderlijk (server met lek) voor een groep netjes gestalde fietsen (gepatchte servers) geplaatst waardoor ik mijn eigen fiets niet uit het rek kan halen. Ik 'steel' je fiets 30 seconden om hem even netjes in het rek te zetten. Ik laat hierbij mijn vingerafdrukken achter (sporen) en vind de volgende ochtend de politie voor mijn deur. Jij hebt namelijk uitvoerig je fiets onderzocht en mijn afdrukken op je fiets gevonden en gaat er meteen maar van uit dat ik de intentie had je fiets te stelen.
Een crimineel (black hat) zou gewoon de hele fiets hebben meegenomen en niemand zou enig spoor vinden.

jiriw @mjtdevries • 11 mei 2006 13:51

jawel ... het antwoord op je vraag valt samen te vatten tot "onschuld tot schuld bewezen is". Je mag de bewijslast dus niet omdraaien ... en dat is precies wat je in je eerdere post doet.

Hij beweert wel dat hij een witte hacker is, (en tweakers neemt dat ook klakkeloos aan), maar daar zie ik nergens ook maar het minste geringste bewijs voor.

mjtdevries @mjtdevries • 11 mei 2006 21:49

Ik weet niet hoe jullie het in je hoofd krijgen om te denken dat ik daar anders over denk.

Waar het om gaat is dat goede journalistiek de feiten weergeeft en niet de mening van de reporter. En dat zien jullie over het hoofd.

Feit is dat die persoon BEWEERD dat ie een witte hacker is. Dan moet je DAT ook zo vermelden.

Dat tweakers vervolgens de rest van het verhaal neerzet alsof het een FEIT is dat hij een witte hacker is, is gewoon slechte journalistiek!

Dat mensen hier ook gaan discussieren alsof het een feit is dat hij een witte hacker zou zijn, is daarom ook niet juist.

Met name vanwege het feit dat hij een aantal zaken heeft gedaan die niet bij het typische gedrag van een witte hacker passen.

En wat betreft bewijslast: Ik draai helemaal niets om.

Ik beschuldig 'm nergens van, dus heb ik ook niets te bewijzen.
Met vaststellen dat er nergens bewijs is dat hij een witte hacker is, beschuldig ik 'm niet automatisch dat hij een zwarte hacker is.
Gezien jullie reacties vinden jullie blijkbaar dat dat dan wel automatisch zo is. Maar dan zijn jullie het dus zelf die de bewijslast omdraaien!

Parasietje stelt dat deze persoon een witte hacker is. De bewijslast voor die stelling ligt dus bij Parasietje.

Oh en blade181, in Nederland is het niet zo dat we iemand "onschuldig" noemen totdat het tegendeel bewezen is. We noemen zo iemand " verdachte"!!
(Anders zouden er dus allemaal onschuldigen in Nederlandse cellen zitten)
Vul ipv "onschuldig" de term "witte hacker" in, en je zult zelf ook begrijpen waarom het niet correct is, wat er in het artikel is gedaan.

mjtdevries @mjtdevries • 11 mei 2006 13:47

Dat is geen antwoord op mijn vraag.

Er is voor de aanname dat het een witte hacker net zo min bewijs als voor de aanname dat het een zwarte hacker is.

Beide aannames moet je dus niet doen.

Daar doet het feit dat de bewijslast bij de aanklager ligt, niets aan af.

blade181 @mjtdevries • 11 mei 2006 14:04

Hier in Nederland is het nog steeds zo dat mensen onschuldig zijn totdat het tegendeel bewezen is, ik weet niet hoe jij het in je hoofd krijgt om daar anders over te denken. En hoewel het incident in Amerika is ontstaan, leven wij hier in Nederland en bekijken wij nieuws op de Nederlandse manier en volgens nederlandse begrippen. In dit geval denk ik dat tweakers.net correct heeft gehandeld om het een witte hacker te noemen totdat het tegendeel bewezen is.

Verwijderd @Verwijderd • 11 mei 2006 08:23

wat the hell? Als je een gat in Windows vind en je meldt dat alleen bij MS dan komt er na negen jaar een patch. Als je het op bugtraq gooit duurt het een week of twee. Hoezo denk je dat het netter is als je het bij het bedrijf meldt? dan gebeurt er niets mee en ben je als samenleving veel langer onveilig.

Verwijderd @Verwijderd • 11 mei 2006 08:59

Gebruikelijk is om dat soort bugs inderdaad eerst aan het betreffende bedrijf te melden met de mededeling dat het na X tijd publiekelijk gemaakt zal worden, ongeacht of ze het gepatched hebben. Op die manier dwing je het bedrijf om vaart te maken.

Verwijderd @Verwijderd • 11 mei 2006 08:55

Hoeveel mensen er potentieel schade leiden door het publiekelijk publiceren van een zero day bug is natuurlijk niet relevant voor jou...

merethan @Verwijderd • 11 mei 2006 09:26

Hoeveel mensen er potentieel schade leiden door het publiekelijk publiceren van een zero day bug is natuurlijk niet relevant voor jou...

Maar in die 9 jaar (of in elk geval meer dan 2 weken normale patchtijd, 9 jaar is mischien wat overdreven maar we snappen waar het om gaat.) kunnne ook veel andere mensen het vinden die het vervolgens geheim houden, en er een paar maanden misbruik van kunnen maken.

In de 2 weken patchtijd kunnen mensen functies uitschakelen om het lek te deactiveren, of wat rommelen met de firewall enzo.

Verwijderd @Verwijderd • 12 mei 2006 08:45

re: hAl:

mensen er potentieel schade leiden door het publiekelijk publiceren van een zero day bug is natuurlijk niet relevant voor jou...

Hoeveel achterdeurtjes en niet gemelde gaten er in blackhat kringen bekend zijn is dan weer niet boeiend voor jou?

Als er een werkelijk stuk code gelanceerd wordt voor een zero day exploit, dan is er in elk geval snel een patch. Ik ben het met je eens dat er betere manieren zouden moeten zijn om dit soort dingen op te lossen, maar gewoon laten gaan en hopen dat er verder niemand op het idee komt is natuurlijk nóg fouter.

jiriw @Verwijderd • 11 mei 2006 13:57

Een inbreker die 'snachts door jouw huis wandelt, niets steelt en vervolgens bij de bewonersvereniging meldt dat jouw hang en sluitwerk niet deugt blijft een inbreker en kan strafvervolging verwachtten.

Vroeger heette dat sociale controle ... de 'inbreker' was je broer, je zus, bromsnor die z'n ochtendrondje maakte of je buurvrouw. Ze behoedde je voor een 'ramp' door je te zeggen dat je het misschien anders zou kunnen doen. Tegenwoordig is de mentaliteit 'Het zijn mijn zaken niet' en 'Hij krijgt z'n trekken wel thuis'.
En aangezien er geen politie of vriendelijk familielid op het internet is wat jou wijst op mogelijke problemen zijn 'white hats' dat wat er het dichtst in de buurt komt. Tenzij je een prive detective/security expert inhuurt. Maar daar moet je dan maar net het geld voor hebben. En zelfs veel (kleine) bedrijfjes/organisaties hebben daar onvoldoende financiele middelen voor.

<edit>@Pietje Puk (hieronder) ... misschien. Maar ja ... dan hadden we ook niet M (meld misdaad anoniem) en dergelijke instanties nodig... Hij meldde de hack bij een journalistieke organisatie met kennis in dat vakgebied. Anoniem, dus hij is niet iemand die rondloopt met een "Yay i'M 1337" syndroom... Het gebeurt wel vaker dat mensen die iets vinden 'wat niet hoort' dit bij de pers melden in plaats van de organisatie of rechtstreeks bij de politie (want daarbij is annonimiteit iig niet gegarandeerd) ... We weten de voorgeschiedenis niet... wie weet ervoer hij direct melden bij de universiteit als iets bedreigends? Geen idee... Maar hij heeft het gemeld ... anoniem en de universiteit is ingelicht en heeft de mogelijkheid gekregen de fout te herstellen. Wat die jongen verder met de gegevens gedaan heeft? Er zijn iig geen aanwijzingen dat hij ze 'geexploiteerd' heeft... zelfs niet dat ze nog in z'n bezit zijn. Alleen maar dat hij er de mogelijkheden toe had. </edit>

Verwijderd @jiriw • 11 mei 2006 14:09

Je kan stellen dat een hacker die (veel) gegevens steelt, de hack niet meld bij de gehackte organisatie en zaken anoniem meldt geen echte witte hacker is.

Nog even afgezien van de vraag of witte hackers een nuttige rol vervullen of enkel maar extra problemen scheppen en kostenverhogend werken.

d-snp 11 mei 2006 00:13

Waarom word hij een white hat genoemd? White hats halen geen prive informatie van mensen binnen. Die testen te exploit en stoppen dan en rapporteren het. De jongen word te goedaardig neergezet. Als je de fout ingaat dan moet je daarvoor boeten als je betrapt word.

Om even bij te lichten: Het aangeven van een beveiligingsgat geeft je nog niet het recht om gratis naar binnen te gaan en dingen die je leuk vind mee te nemen.

@Stevendefeij:
'Het is niet alleen dat hij toegang tot de database had gekregen en aantoonde dat dit mogelijk was, maar hij ging verder en haalde extra persoonlijke informatie van aangemelde studenten binnen.'
@Mensen als Parasietje
Daar zit dus een groot verschil tussen ja! en dat heeft ie dus overschreden, hij heeft zijn bewijs gehaald en is daarna nog verder gegaan volgens die man! ik snap niet hoe jullie hem nog steeds kunnen verdedigen terwijl het er zo duidelijk staat? wat moet ik nog meer vet maken!?

Overigens, hoe beschermen databases zich tegen sql injectie? dat lijkt me vrij onmogelijk. Zoiets is een klusje voor de frontend lijkt me.

Parasietje @d-snp • 11 mei 2006 01:44

Ik vind een groot verschil zitten tussen:
"Record 1 en 2 binnehalen als bewijs dat je binnen gedrongen bent."
vs.
"Record 1-12830 binnehalen en verkopen aan een Nigeriaans spam-bedrijf."

DoleBole @d-snp • 11 mei 2006 05:58

Bescherming tegen sql injectie is niet zo moeilijk. gewoon in de code van het inlogscherm controles doen op de input voordat je deze naar de database toe stuurt

alt-92 @DoleBole • 11 mei 2006 08:11

Never trust the clientside...
SQL injection vang je in je middleware of je DB af, niet aan de client kant.
Jij hebt namelijk geen enkele invloed op de client die $hacker gebruikt om die parameters mee te geven. Die heeft scheit aan invoervelden en doet 't bijvoorbeeld in de adresbalk.

Verwijderd @DoleBole • 11 mei 2006 08:56

Het komt nog steeds voor dat queries dynamisch worden samengesteld, en dan ga je nat:
sSql =
"select * from students
where username = " + sUserName +
" and password = " + sPassword

En dan inloggen met :
sPassword = "null; select * from students"
of:
sPassword = "Delete from students"

Gewoon een stored procedure gebruiken does the trick, geef string password en string username mee. Onmogelijk om dan nog sql injection toe te passen.

Verwijderd @Verwijderd • 11 mei 2006 15:56

Stored procedure?

Gewoon parameters gebruiken.
SQL injection is zo eenvoudig tegen te gaan. QuotedStr() gebruiken was ook al genoeg geweest.

Maar ja, je zult ze blijven tegenkomen

YaPP @DoleBole • 11 mei 2006 09:49

Bescherming tegen sql injectie is niet zo moeilijk. gewoon in de code van het inlogscherm controles doen op de input voordat je deze naar de database toe stuurt

Er hoeft niet eens controle uitgevoerd te worden.. De zaak moet goed ge-escaped worden! Dat houd in dat speciale tekens afgeschermd worden.

Dit probleem gaat veel verder dan SQL queries.

Het komt ook voor dat je HTML tekens kan invullen op websites, en de tekens letterlijk terugkomen op de pagina. Bij e-mail formulieren kun je een einde-regel teken meesturen, en zo doodleuk extra SMTP-headers toevoegen aan de e-mail waar dat e-mail adres ingevoegd wordt in het bericht. etc..etc.. ofwel, overal waar je strings invoegt kan je problemen verwachten..! (en dat bijv. een regeleinde niet in het tekstvak getypt kan worden wil niet zeggen dat je het niet handmatig kan opsturen

)

Maar over SQL in PHP: meestal zie je mensen het volgende programmeren

mysql_query( "select * from users where name='$name' and pass='$pass' " );

Dit is alleen niet veilig! Vul voor $pass maar de volgende tekst in:

' or true or id='

(dus eerst een quotje om de zaak af te sluiten, daarna or true, en dan or id=' om de query syntactisch correct te maken).
dan krijg je de volgende query:

mysql_query( "select * from users where name='$name' and pass='' or true or id='");

Deze query geeft dus altijd resultaten, en meestal is het eerste record de admin. Voor oude MySQL versies kun je "true" vervangen door "1".

De nette oplossing is dan ook:

mysql_query( "select * from users where name='" . mysql_real_escape_string($name) . "' and pass='" . mysql_real_escape_string($pass) . "' " );

of gebruik maken van PEAR::DB, die het hele probleem vermijd door queries te accepteren als

"select * from users where user='?' and pass='?'"

PEAR::DB vult zelf de vraagtekens in, zodat je nooit per ongeluk een escape-aanroep kan vergeten.

Milt @d-snp • 11 mei 2006 08:48

Een heel effectieve methode tegen SQL injection is ook gewoon geen dynamisch opgebouwde SQL queries gebruiken maar stored procedures. Bij het aanroepen van stored procedures wordt de data door de database library ge'escaped en is SQL injectie niet mogelijk.

Verwijderd @Milt • 11 mei 2006 13:59

Je bent de tweede al die over stored procedures begint. Hoewel het een oplossing is, is het vergaande overkill (en dus een teken van gebrekkige kennis

)

Geparameteriseerde queries zijn meer dan genoeg. Wat is een geparameteriseerde query. Iets als

Select * from users where username=? and password=?

Je houdt dan je flexibiliteit van dynamische queries maar de nadelen van samengestelde queries ben je kwijt. (En als bonus krijg je een performancewinst omdat het query plan hergebruikt kan worden)

Stevendefeij @d-snp • 11 mei 2006 00:16

Lijkt me moeilijk om een lek te testen helemaal zonder informatie binnen te halen.
En hij had nog veel verder kunnen gaan met informatie binnenhalen.

En het zelf bij de universiteit melden was misschien wel beter geweest maar als ze al zo moeilijk doen over deze manier van aanpakken hadden ze misschien zelfs dan wel een aanklacht ingedient.

Zo heeft hij zichzelf geprobeert tegen overdreven vervolgingsgedrag van de universiteit te beschermen.

En terecht zo blijkt.

ATS 11 mei 2006 00:08

Wat ik niet begrijp, is dat hij het probleem niet bij de universiteit maar bij een website meldde. Dat is een nogal domme zet vind ik eigenlijk. Ik kan me voorstellen dat je het zou melden bij zo'n site als die universiteit je melding negeert, maar voor mij zou het niet stap 1 zijn.

edit: te laat...

n4m3l355

Bedrijfsnieuws

@ATS • 11 mei 2006 00:19

MS onderneemt geen acties totdat ze publiekelijk worden aangegeven. Wie weet heeft hij het ook bij de uni aangekaart maar hebben zij dit links laten liggen en pas na het posten op de website onderneemt de uni pas actie. Hetgeen wat in de post staat is maar deels de waarheid, wat er daadwerkelijk gebeurd is zullen we waarschijnlijk nooit weten.
Ik vind het eerder dat de universiteit aansprakelijk zou moeten worden gesteld voor het openstellen van hun database naar het publiek, een injection flaw is zo oud als de wereld, dat dit mogelijk is zou gewoon bestraft moeten worden.

beantherio @n4m3l355 • 11 mei 2006 14:18

De universiteit bestraffen lijkt me wel erg de wereld op z'n kop zetten. Het bouwen van een onveilige systeem is geen misdrijf, maar het hacken van die systemen wel: de Amerikaanse wet is daar glashelder over. Het feit dat deze universiteit een bepaalde vorm van beveiliging heeft gebruikt maar dat de hacker deze bewust heeft omzeilt zal extra zwaar wegen. Je kunt zeggen dat het onverstandig is dat de universiteit z'n applicaties niet goed beveiligd heeft, maar hoeveel mensen hebben er geen ondeugdelijke sloten op hun huis zitten? Als dat iedere willekeurige persoon het recht geeft om je huis binnen te dringen dan krijgen we een gekke wereld dunkt me.

Verwijderd 11 mei 2006 00:44

Daarop leek de zaak gesloten tot het systeembeheer van de universiteit de serverlogs besloot door te lichten

Mooi begrijp dat hij ervoor wordt vervolgd maar die systeem beheerder kreeg van mij ook een schop na want die heeft dus echt zitten slapen

beantherio @Verwijderd • 11 mei 2006 14:33

Ik wil wedden dat de systeembeheerder niet de ontwikkelaar van het systeem was.En deze man verdient juist een pluim omdat ie wist na te trekken wie er binnengedrongen was.

engelbertus 11 mei 2006 02:26

als we de wet zpo letterlijk moeten nemen dat mensen die niets slechts hebben gedaan, en voor wat ze gedaan hebben geen enkele moeite hoefden te doen, of andere wetten f praktijken moesten bezigen die wel of ook illegaal zijn, strafbaar bezig zijn.

in nederland is het violgens mij bijvoorbeeld zo dat je niet in systemen van een ander mag binnendringen. in hoeverre is het bezoeken van een webserver dan binnendringen, en hoe weet ej van te voren of je er mag komen?

dat heeft dan weer te maken met dat een systeem afdoende beveiligd moet zijn om onbevoegden buiten te houden, en dat de beveuiliging niet te makkelijk te omzeilen mag zijn.

in dit geval was de database erg makkelijk binnen te komen, een oude truuk is erg makkelijk. je moet wel eerst op het idee komen, maar een idee hebben is niet strafbaar.

de universiteoit zou dus beschuldigd kunnen worden van het niet afdoende beschermen van prive gegevens van studenten.

as een nederlandse bank zo'n fout maakt.. wat zou er dan wel niet over in de krant staan?

ik vindt het aanklagen van de man dan ook niet zo handig.
systeembeheer had beter moeten weten dat hun systeem niet veilig genoeg was het probleem met de database is denk ik ruimschoots gedocumenteerd bij de leverancier ervan.

de logs die een aanval tonen zouden ook rgelmatig moeten worden nagekeken op onregelmatigheden, en zouden zodoende dus ook bekend geworden zijn, waarna de universiteit meteen afie zou kunnen ondernemen. je hebt echter wel bekwaam personeel nodig op dat moment.

wat inderdaad erg dom is, is dat de veiligheidsproblemen op een website werden gezet, ipv meegedeeld aan de universiteit.

als je de kwetsbaarheid publiekelijk bekend maakt weet je ook dat blackhats er als de kippen bij zullen zijn als e denken dat er iets van hun gading te halen is, en zodoende is de atie van deze whitehat aanleiding tot starfbaar toegang (geven) tot de gegevens in de database.
misschien geen kwade bedoelingen, maar zeker niet slim "gedacht" en mijns inzins evt verantwoordelijk voor enige schade, aan e privacy van de gegevens in de database.

i-chat @engelbertus • 11 mei 2006 09:13

neej die verantwoordelijkheid ligt dan nog altijd bij die mallotige onbewamen systeem prutsers.

security through obscrurity is gelukkig geen standaard beveiligings-methode,

dat deze jongen 't aan een website heeft gemeld is logisch, iedereen weet dat er heel wat grote bedrijven zijn en instellingen zijn die 't dan pas serieus nemen.

maar ik ben ieder geval van mening dat ongeacht of deze jongen schuldig wordt bevonden (en wordt gestraft, ja ook dat is soms nog wel 's mogelijk in de vs: veroordeling zonder strafmaatregel), die universiteit aansprakelijk moet worden gesteld voor het niet goed beveiligen van persoons-gegevens...

een boete, van ten minste 1000 dollar per mogeljik getroffen persoon lijkt me dan trouwens, geen onredelijke eis...

Mephisteus 11 mei 2006 00:09

Oftewel gewoon niets meer aangeven. Laat het maar gejat worden, ik zou mijn nek er niet voor uitsteken...

Verwijderd @Mephisteus • 11 mei 2006 09:24

Ja, maar het zijn ook *jou* gegevens op allerlei slecht beveiligde plekken!

Van online-winkel tot kabelbedrijf, van bevolkingsregister tot vereniging --- tientallen hebben jouw gegevens.

gabiballetje 11 mei 2006 00:10

Gaat ook nergens over, je doet wat goeds, je helpt ze door een lek te melden, wordt je aangeklaagd, ik hoop dat de rechter hem gewoon laat gaan, of een stout he niet meer doen speech geeft.
Ze willen waarschijnlijk gewoon pieken hebben of zo.

mjtdevries @gabiballetje • 11 mei 2006 12:45

En doe nu je roze bril eens af...

Je doet wat illegaals, je helpt ze niet omdat je het lek niet aan ze meld, je meldt het echter wel publiekelijk zodat ze flink wat reputatieschade lijden.

Het gaat dus duidelijk wel ergens over.

laurentbas 11 mei 2006 00:01

Tjah, doe je een keer iets goeds, krijg je dit..
laatste tijd trouwens opmerkelijk veel onzin nieuws uit de US of a...

SKiLLa @laurentbas • 11 mei 2006 00:20

Ik vind het ook een moreel dilemma; ik ben zelf ook (oa.) security expert; zeg maar een commerciele 'white hacker' en je werkt soms op of over de grens van het juridisch- en moreel-toegestane. En in NL is het dan relatief gezien nog goed vertoeven.

Wanneer is een 'hack' een misdaad ? Een website-audit doen met een contract met daarin schriftelijke toestemming voor een audit is nog altijd onderhevig aan de wet (en daarin staat dat je niet mag 'inbreken', bla bla bla) .

En in hoeverre is het invoeren van wat rare karakters in een login-veld ipv. een loginnaam in een HTML formulier het 'omzeilen' van een beveiliging ? Of het analyseren van malware die een EULA hebben die dit 'reverse engineren' verbiedt' ?

Die Eric was natuurlijk stom om het niet eerst bij de universiteit te melden

Maarja, klokkenluiders & brengers van slecht nieuws zijn al eeuwen de zondebok; kijk liever naar de oorzaak !

Verwijderd @SKiLLa • 11 mei 2006 06:55

Wat deze hacker doet is dus "iets kraken omdat anders iemand anders het zou doen"... Als ze gewoon elke hacker zwaar veroordelen, doet ook "die ander" het niet, en is alleen "deze hacker" in de fout gegaan... Oftewel gewoon veroordelen, laat-ie maar een andere hobby zoeken...

frickY @Verwijderd • 11 mei 2006 07:57

Black hat hackers (de slechte

) wissen over het algemeen hun sporen dusdanig uit, dat ze niet traceerbaar zijn.
Deze kerel heeft dat niet gedaan, omdat hij in zijn optiek niets verkeerds had gedaan en daarom nergens bang voor hoefde te zijn. Anders hadden ze hem ook nooit zomaar gevonden.

Verwijderd @Verwijderd • 12 mei 2006 10:38

maar hij steelt de fiets niet: hij zegt tegen de politie "heej kunnen jullie effe bij deze fiets wachten tot de eigenaar eris, hij staat niet op slot"

Verwijderd @Verwijderd • 11 mei 2006 09:26

Als ik een fiets steel omdat ie niet op slot staat en 'een ander het toch zou doen' dan ben ik net zo goed strafbaar.

Deze kerel zegt wel dat hij een goede hacker is, maar hij is het niet. Dat zegt hij pas nu hij gepakt is.

willyb @SKiLLa • 11 mei 2006 01:27

""En in hoeverre is het invoeren van wat rare karakters in een login-veld ipv. een loginnaam in een HTML formulier het 'omzeilen' van een beveiliging ? ""

Tja... dat vraag ik me ook af... want eigenlijk blijf je dan natuurlijk publiek bezig...
Als een huis z'n deuren wagen wijd open zet en er een bordje 'welkom' bij hangt... loop je dan naar binnen als je er toch moet zijn, of wacht je buiten tot iemand zegt dat je binnen mag...

Maarja, het blijft USA natuurlijk... hier dagelijks weet ik hoeveel aanvallen met e-mailscamming waar niets mee gebeurd, hebben ze wat te doen als ze dat moeten gaan oppakken (is ook on-eigenlijk gebruik van spullen).

TD-er

@willyb • 11 mei 2006 02:05

Ik weet niet of je het kunt omschrijven als een ruimte met een open staande deur waar je dan naar binnen loopt, of dat je alleen door de openstaande deur naar binnen kijkt.
In feite is dat laatste namelijk wat hij eigenlijk gedaan heeft, omdat hij dus informatie heeft kunnen zien zonder de sleutel te gebruiken of te kraken.

ILUsion @willyb • 11 mei 2006 07:44

@Atlantis95: je kan het inderdaad goedd vergelijken met een duer die je met een soort loper openmaakt, maar je bent vergeten te vertellen dat tegenwooordig de deuren ook met een chip-sleutel uitgerust kunnen worden zodat een loper daar niet zal werken. Ik bedoel daarmee: de beveliging van de DB was niet up-to-date: waarschijnlijk hebben ze niet gefilterd op SQL injection, waardoor je met een beetje inzicht kan binnengeraken.

Je zou dus evengoed kunnen vergelijken met een deur die je vastmaakt met een plakband of iets dergelijks: inbrekers kunnen makkelijk binnengeraken, je kan niet zeggen dat je er niets tegen gedaan hebt om onbevoegden buiten te houden, dus krijg je bij inbraak geen zak van de verzekering. Hier zou volgens mij dus hetzelfde moeten gelden: de beheerders hebben niet goed beveiligd: als je met een attack uit de oude doos binnengeraakt, dan heb je geen effectieve beveiliging, wat mij betreft en dus ook geen recht van spreken. Moest hij een relatief nieuwe truc gebruikt hebben, dan kun je nog zeggen dat je geen tijd hebt gehad om het te implementeren.

En de univeristeit verdient het wel om aan de schandpaal genageld te worden: ze zullen wel geld genoeg en 'experten' genoeg hebben om zoiets te voorkomen. Als je instellingen die onderwijs verlenen al niet eens hun computersystemen kunnen veilig houden, hoe wil je dan mensen opleiden die dat wel moeten kunnen ??

Verwijderd @willyb • 11 mei 2006 02:28

Zie het maar als een deur die wordt geopend met een loper, i.p.v. een usernaam en wachtwoord.

In het algemeen:
Tsja, ik kan me voorstellen dat de universiteit deze actie doet. Ze zijn wel publiekelijk aan de schandpaal geneageld.

theXE @willyb • 11 mei 2006 11:57

Je vergeet dat, hoewel er makkelijk binnen te komen is in een huis (met plakband beveiliging) door inbrekers, ze wel gepakt kunnen worden voor inbraak als ze betrapt worden...

Ik vind het een trieste zaak. Zeker als de jongeheer eerlijk is en alleen een lek wilde aantonen. Dat zou beloond moeten worden!

Top-Rob @willyb • 11 mei 2006 12:45

Ok, het lopervoorbeeld: je hebt die loper, waarvan je weet dat je deze eigenlijk niet hoort te hebben en je besluit deze toch te gaan gebruiken om ergens binnen te komen. Eenmaal binnengekomen maak je wat foto's (hij heeft wat archieven gedownload) en gaat hij weer weg.
We kunnen er lang en kort over praten

, maar dit maakt dat hij strafbaar is, en vervolgens is hij overgeleverd aan de genade van de universiteit.

Je zou dus evengoed kunnen vergelijken met een deur die je vastmaakt met een plakband of iets dergelijks: inbrekers kunnen makkelijk binnengeraken, je kan niet zeggen dat je er niets tegen gedaan hebt om onbevoegden buiten te houden, dus krijg je bij inbraak geen zak van de verzekering.

Je krijgt in jouw voorbeeld inderdaad geen zak van de verzekering. Maar als de politie de inbrekers kan aanhouden krijgen zij echt geen strafvermindering omdat het maar plakband was

Verwijderd @willyb • 12 mei 2006 10:37

denk dat je 't beter kan beschrijven als dat kleine raampje in de wc open staan: als er iemand maar lenig genoeg is komen ze vast 'n keer erdoor naar binnen, maar om nou 't raampje dicht te timmeren en verplicht in je eigen kleilucht te zitten

Olaf van der Spek @SKiLLa • 11 mei 2006 00:25

(en daarin staat dat je niet mag 'inbreken', bla bla bla) .

En inbreken is toch gedefinieerd als het zonder toestemming binnentreden van iets?

KoalaBear84 @SKiLLa • 11 mei 2006 07:56

Zomaar iets invullen in tekstvelden, daar breek je geen enkele beveiliging mee hoor. Dus dat mag je zonder twijfel doen. Het is natuurlijk lastiger als je iets anders dan SELECT commando's gaat invoeren

MC Taz Man @SKiLLa • 11 mei 2006 07:24

Ik heb ooit eens met de politie hierover gesproken (zonder dat ik wat gedaan had ;-)) & die wisten mij te vertellen dat als er een contract is tussen beide partijen, justitie 9 van de 10 keer niet tot vervolging overgaat. Je bent echter wel illegal bezig. De Nedelandse wetgeving en de gevolgen daarvan zijn lang niet altijd duidelijk helaas.

Zarc.oh @MC Taz Man • 11 mei 2006 09:07

Dat vraag ik me dat af.
Als je de analogie van een deur en sleutels ernaast houdt, dan betekent dat dat je met toestemming van de eigenaar de sleutel niet mag gebruiken om het pand binnen te gaan? Lijkt me onwaarschijnlijk...
Een beveiliging is dan ook bedoeld om ongeautoriseerde partijen buiten de deur te houden. Zodra je toestemming hebt, ben je toch niet ongeautoriseerd meer?

Cowboy op zee @SKiLLa • 11 mei 2006 12:51

En in hoeverre is het invoeren van wat rare karakters in een login-veld ipv. een loginnaam in een HTML formulier het 'omzeilen' van een beveiliging ?

Daar valt de aanklager ook niet zo hard over; uit het artikel:

Het is niet alleen dat hij toegang tot de database had gekregen en aantoonde dat dit mogelijk was, maar hij ging verder en haalde extra persoonlijke informatie van aangemelde studenten binnen

Uit de rest maak ik op dat de man goede bedoelingen heeft en ik hoop ook dat hij niet wordt gestraft, maar ik vind ook dat de aanklager hier een punt heeft.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (111)

Sorteer op:

Weergave: