Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 102 reacties

Vanaf dinsdag buigt een jury zich over de vraag of systeembeheerder Terry Childs schuldig is aan het 'kapen' van het gemeentelijke netwerk. Childs weigerde eerder de admin-wachtwoorden van het FiberWAN-netwerk vrij te geven.

De voormalige systeembeheerder Terry Childs was in dienst van de gemeente San Francisco en werd op 12 juli 2008 gearresteerd. Hij zou het stedelijke glasvezelnetwerk hebben 'gekaapt', omdat hij weigerde om zelfgekozen admin-wachtwoorden aan zijn collega's af te geven. Deze wachtwoorden waren nodig om toegang te krijgen tot de beheertools van de FiberWan-routers. Hierdoor zou de toegang tot honderdduizenden overheidsdocumenten in gevaar zijn geweest.

In de rechtszaak tegen Childs, die ruim een half jaar geleden van start ging, wordt de systeembeheerder ervan beschuldigd dat hij de Californische antihacking-wetgeving heeft overtreden, omdat hij gedurende twaalf dagen zou hebben geweigerd om de wachtwoorden af te staan. Childs kan daarvoor een celstraf van maximaal vijf jaar krijgen, zo schrijft ComputerWorld.

Tijdens de zittingen stelden Childs advocaten dat hij onschuldig is, omdat het gaat om een 'uit de hand gelopen arbeidsconflict' rondom een zeer secuur opererende systeembeheerder met een groot verantwoordelijkheidsgevoel omtrent de veiligheid. De beklaagde zou van mening zijn geweest dat de personen die om de wachtwoorden bleven vragen, waaronder de politie en zijn direct leidinggevenden, niet gekwalificeerd waren om met deze informatie om te gaan, omdat dat zij grote schade op het netwerk hadden kunnen aanrichten. De advocaten stelden dan ook dat Childs 'gewoon zijn werk deed' en dat de onenigheid op een andere manier had moeten worden opgelost.

Bovendien liet Childs in maart weten dat de politie naar zijn persoonlijke gebruikersnaam en wachtwoord vroeg en niet naar de admin-wachtwoorden van de routers. Hij stelde dat in alle gedragsregels is te lezen dat iemand nooit en te nimmer zijn persoonlijke login-gegevens moet prijsgeven. Uiteindelijk overhandigde Childs na zijn arrestatie en na overleg met zijn advocaten zijn persoonlijke login-gegevens aan de burgemeester.

De aanklagers stelden echter dat Childs een egocentrische figuur was die zich het stedelijke glasvezelnetwerk probeerde toe te eigenen zodat hij als 'onmisbaar persoon' niet zou kunnen worden ontslagen. Daarnaast poogden de aanklagers de jury ervan te overtuigen dat er in de periode dat de systeembeheerder weigerde de wachtwoorden te geven, problemen op het stedelijke glasvezelnetwerk ontstonden. Het netwerk bleef in de lucht, maar het zou onmogelijk zijn geweest om juist Terry Childs de toegang tot het netwerk te ontzeggen.

Vanaf dinsdag moeten in totaal dertien juryleden een oordeel vellen over de vraag of Terry Childs schuldig is of niet. Wanneer zij de systeembeheerder schuldig achten, zal de rechter de uiteindelijke strafmaat bepalen.

Moderatie-faq Wijzig weergave

Reacties (102)

Ik ben ook geen voorstander van het afgeven van je logingegevens. Desnoods log ik onder strenge bewaking in voor eventuele onderzoekers, maar mijn password blijft mijn password.

Deze rechtzaak kan nog best wel eens ingewikkeld worden, aangezien voor beide kanten iets te zeggen is, en een jury ook door beide kanten overgehaald kan worden.
Kon hij niet zijn logingegevens veranderen en deze dan afgeven? Als die andere zo persoonlijk waren dus..

Ben echt benieuwd naar wat de jury gaat beslissen.

[Reactie gewijzigd door Suli op 20 april 2010 11:26]

Ik vraag me af wat die 'antihacking-wetgeving' dan precies zegt. Het lijkt mij geen geval van hacking, maar gewoon een arbeidsconflict.

Veel symphatie voor de gemeente San Francisco heb ik niet. Zorg maar gewoon dat niet één persoon toegang heeft, maar meerdere. En algemene in plaats van persoonlijke accounts.

En om die systeembeheerder dan voor het gerechtshof te dagen onder de anti-hack wetgeving... typisch Amerikaans proefballonnetje om eens te kijken hoe ver ze de wetgeving kunnen rekken.

edit: toevoeging:
quote: computerworld
The fact that the city was unable to do things such as prevent Childs himself from accessing the network shows that computer services were indeed disrupted, Del Rosario argued Monday.
Dus het argument gaat als volgt: wij waren niet in staat om zijn account weg te gooien, dus dat is het bewijs dat de computerdiensten waren verstoord.

Pfff laat me niet lachen! 8)7

[Reactie gewijzigd door PhazeD op 20 april 2010 11:34]

Die anti-hacking wetgeving zegt in grote lijnen dat als je wachtwoorden bewust niet vertelt als je dat wel zou moeten (van de politie, van je werkgever), je vervolgd kan worden. Voornamelijk bedoeld voor als criminelen bv bewijsmateriaal versleuteld hebben opgeslagen.

[Reactie gewijzigd door Dreamvoid op 20 april 2010 11:41]

Met andere worden niets is meer prive en alles is van de overheid. Je moet te alle tijden je wachtwoorden uit handen geven op het moment dat een overheidsdienaar er naar vraagt.
Het lijkt me dat een persoon net als met een kluis de code niet af hoeft te geven. Ik hoef de politie niet te vertellen waar de lichamen begraven zijn of dat mijn broer mee hielp met graven. Waarom zou ik wel mijn wachtwoorden moeten af staan.

De enige reden dat dit soort wetten worden gemaakt is omdat overheden over de gehele wereld naar een situatie toe lijken te willen gaan waar een persoon alles altijd aan de overheid moet vertellen en de overheid altijd alles van deze persoon moet kunnen opzoeken hoe persoonlijk ook.
Het is meer dan duidelijk dat overheden steeds meer vrees hebben voor de mensen die ze claimen te vertegenwoordigen. In plaats van onschuldig tot het tegendeel bewezen is gaan we steeds meer naar een schuldig tenzij we niets kunnen vinden, en je moet alles overhandigen en vertellen omdat we niet te veel moeite willen doen om dingen te vinden.

Ik kan de systeem beheerder totaal geen gelijk geven om het geen hij gedaan heeft, iedereen uitsluiten van alle beheers functies omdat je vind dat jij het beter weet dan de rest gaat wat ver. Dat je overspannen bent en als er voor de zoveelste keer een idioot een belachelijke fout maakt en jij weer nachten lang bezig bent om het probleem op te lossen ook al heb je ze nog zo gewaarschuwd is een ding, maar om dan deze mensen het werken dan maar onmogelijk te maken is heel iets anders.

De systeem beheerder dacht slim te zijn door de politie niet zijn eigen wachtwoord te geven, en te claimen dat ze naar zijn admin wachtwoord hadden moeten vragen. Iets dat in theorie helemaal waar is en daar mee had de politie makkelijk de systeem beheerder van het netwerk kunnen schoppen, maar het toont ook aan hoe graag de meneer systeem beheerder andere laat merken hoe weinig ze weten van zijn beroep.
Met andere worden grootheidswaanzin gekoppeld aan overspannen en overwerkt en hop je hebt een rechtszaak aan je broek.
De politie had natuurlijk ook eens minder arrogant kunnen doen en iemand met kennis van zaken kunnen vragen wat ze van hun arrestant moesten hebben om het netwerk weer in handen te krijgen. Op die manier hadden ze zijn privacy niet hoeven schenden zijn wachtwoorden niet nodig gehad en ook nog eens een lastige rechtszaak kunnen voorkomen. En ze hadden helemaal geen anti hack wetgeving nodig gehad om de hele zaak op te lossen.

Het enige goede aan de zaak vind ik dat het dus wel duidelijk is dat het netwerk wel goed beveiligd kan worden als je het maar laat beheren door mensen die weten wat ze doen.
Dit is niet zo maar een systeembeheerder. Deze man is/was Cisco Certified Internetwork Expert. Dit is het hoogste wat je kan halen bij Cisco.

Hij heeft dat netwerk dan ook mede ontworpen en weet alle ins & outs van dat netwerk. Zijn managers waren al maanden op de hoogte van het feit dat hij de enige was die toegang had tot dat netwerk.

De manier waarop men aan hem de wachtwoorden vroeg is dan ook nog eens uiterst raar.

An excerpt from the filing by Childs' defense attorney:

On July 9, 2008 and at all relevant times, Richard Robinson was the Chief Operations Officer of DTIS [the San Francisco Technology Information Services Department]. Defendant unwittingly found himself at a meeting with Robinson in a room at the police station at the Hall of Justice. Present at that meeting were Lt. Greg Yee and Vitus Leung from the City's Human Resources Dept. Waiting outside the room but joining the meeting midway was Inspector Ramsey. The meeting was unorthodox and short on civilities. Defendant was told that he was being reassigned and was asked to disclose the FiberWAN passwords in addition to other passwords. There was no advance notice to defendant of this request. The surrounding circumstances of this request were unnerving and troubling to defendant at best. He resisted this surprise request to disclose the passwords to the FiberWAN, telling Robinson that no one was qualified to have the passwords. Under the pressure of the situation, defendant gave password information that could not be validated. During this exchange wherein defendant was questioned regarding the passwords, a speakerphone was on the desk in meeting room and people were listening in on the other end of the phone connection in a different part of the City.
Menig serieus netwerkbeheerder zal dan ook gelijkwaardig reageren in een dergelijke vergadering.

[Reactie gewijzigd door Jachra op 20 april 2010 14:36]

En de advocaat van de verdachte is echt een hele goede objectieve bron van informatie als je wilt weten hoe hem naar die wachtwoorden is gevraagd he?

Ja...echt.
En ik heb ook nog een brug voor je te koop...

Als je op advocaten af gaat dan zitten onze gevangenis voor 100% vol met mensen die onschuldig zijn.
Dat is inderdaad een rare situatie :/
Je kan toch gewoon een password opschrijven? Niet via een speaker bekend maken aan publiek nee, dat lijkt me logisch.
Wat een nog veel en veel vreemdere situatie is, is dat mr. Child de énige was die de passwords wist. Je moet nooit of te nimmer één persoon de bottleneck laten zijn.
Het bedrijf vroeg er gewoon om, nog afgezien van een weigerende werknemer: wat zou je doen als Child was aangereden(->dood)? Dan is er geen enkele manier om je wachtwoorden nog terug te krijgen... (best wel screwed ben je dan).

Dit geeft mr. Child natuurlijk geen gelijk, ik ben het met hem eens dat hij de wachtwoorden niet terug wou geven op het tijdstip dat hier geschetst wordt, maar hij had heel wat duidelijker kunnen zijn over de tijd/gelegenheid waar hij het WEL had willen geven.
Ik kan de systeem beheerder totaal geen gelijk geven om het geen hij gedaan heeft, iedereen uitsluiten van alle beheers functies omdat je vind dat jij het beter weet dan de rest gaat wat ver. Dat je overspannen bent en als er voor de zoveelste keer een idioot een belachelijke fout maakt en jij weer nachten lang bezig bent om het probleem op te lossen ook al heb je ze nog zo gewaarschuwd is een ding, maar om dan deze mensen het werken dan maar onmogelijk te maken is heel iets anders.
Tenzij je natuurlijk een geheimhouding verklaring hebt getekend en dus verantwoordelijk bent voor het omgaan met de gegevens. Dit zal nooit aangegeven worden als publieke informatie dus zullen wij niet weten wat er echt afspeelt.

en als er dan staat
Hierdoor zou de toegang tot honderdduizenden overheidsdocumenten in gevaar zijn geweest.
Dit zegt al genoeg en weet je zeker dat de lokale politie of zelfs de burgemeester deze gegevens niet tot zijn beschikking mag hebben.

Ik vindt het erg kwalijk dat het bedrijf geen back-up of vervanger heeft geregeld voor hem met de juiste bevoegdheden en dat zij buiten het hele verhaal om zeer zwaar beboet moet worden voor onzorgvuldig omgaan met overheids gegevens.

Maar we zien wel aangezien nog maar weinig mensen in Nederland überhaupt het Amerikaanse rechtspraak begrijpen. Het is altijd humour om mensen helemaal uit hun dak te zien gaan over hoe slecht een idee to veroordeling is opgevoerd niet begrijpend dat in de VS mens graag dingen test in de werkelijkheid. En pas na de test weet je of het wet werkt of niet werkt.
Hier doen we geen moer met nieuwe wetgevingen en als we merken dat na een paar jaar er toch een gat in zit proberen we via nog een wet dat gat te dichten. Mijn idee van het Nederlandse wet systeem is ook niks anders als een lekke band die we blijven vol plakken zodat het wiel maar blijft draaien
maar in de US hoef ik als crimineel (of als verdachte) ook niet mijn wachtwoorden te geven, daar ik ook in dat land niet verplicht mag worden mee te werken aan mijn eigen veroordeling.

Dat is ook de rede dat je aldaar geen 256bits encryptie mag gebruiken. Het meeste eronder is wel te brute-forcen binnen een redelijke tijd, dus heb ik de verdachte helemaal niet nodig. (niet dat welke crimineel dan ook met een beetje verstand zich netjes aan die regel gaat houden for that matter).
Dat is ook de reden dat je aldaar geen 256bits encryptie mag gebruiken.
Onzin.
Het meeste eronder is wel te brute-forcen binnen een redelijke tijd
onzin.
waarom onzin? zin om uit te leggen waarom niet? Dit vind ik wat kort door de bocht.
Ten eerste mag je prima meer dan 256-bits crypto gebruiken. Dit nog even los van dat 't aantal bits niet zoveel zegt-- 256 bits asymmetrische crypto schiet niet op; RSA wordt tegenwoordig bij voorkeur met minimaal 2048 bits gedaan of liever zelfs 4096. Maar als jij je documenten graag met een 512-bit cipher versleutelt, ga vooral je gang. (Erg nuttig is dat niet, AES-256 is ook al niet bepaald kraakbaar.) Er zijn wel wetten aangaande het exporteren van cryptografische software en algoritmen trouwens. Maar die zijn niet van toepassing op het beveiligen van je data.

Verder: ook een 128-bits key (voor symmetrische crypto) is niet binnen een 'redelijke' tijd te bruteforcen, zelfs niet voor amerikaanse overheden. Nog even voor de duidelijkheid, dat zijn dus 340282366920938463463374607431768211456 mogelijke keys. Als je er 10 miljard per seconde kunt checken (en dat kun je niet zomaar, nog even los van dat je ook nog moet nagaan of 't resultaat wel is wat je zoekt) ben je nog altijd 1079028307080601418897 jaar bezig om dat te doen (worst-case, gemiddeld natuurlijk de helft daarvan.) Dat is niet redelijk.

De tijd van brute-forcen is al even voorbij. De manier waarop crypto nu voornamelijk gekraakt wordt is door zwakheden in de algoritmen waardoor het aantal mogelijkheden zodanig verkleind wordt dat 't wel in een redelijke tijd te doen is. Maar dergelijke zwakheden zijn voor AES in ieder geval nog niet bekend.

[Reactie gewijzigd door CyBeR op 20 april 2010 19:18]

Moge waar zijn, maar nergens blijkt uit dat met het afgeven van zijn inloggegevesn hij aan zijn eigen veroordeling zou meewerken.
Dat is alleen het geval als hij ergens belastende informatie had opgeslagen.
maar in de US hoef ik als crimineel (of als verdachte) ook niet mijn wachtwoorden te geven [...]
Nou, dat is jouw interpretatie. De (anti-hack) wet zegt namelijk wat anders.
wat zegt deze wet dan? en doe dan even een linkje erbij zodat iedereen het kan lezen. op deze manier kan je alles beweren.
quote: PhazeD
Dus het argument gaat als volgt: wij waren niet in staat om zijn account weg te gooien, dus dat is het bewijs dat de computerdiensten waren verstoord.
Als hij als enige toegang had tot die apparatuur, dan is het toch logisch dat ze hem de toegang niet kunnen ontzeggen puur omdat ze niet in het systeem kunnen komen? Ook zou het kunnen dat als hij de enige admin account had het onmogelijk is deze te verwijderen omdat er anders geen admin-level account meer is?
Idd... ze hadden hem niet om z'n wachtwoord moeten vragen, ze hadden hem moeten vragen of hij hen toegang wilden verlenen. (eisen).
Dat is zijn paswoord niet, het is het paswoord van het bedrijf en het gebruik ervan is vaak aan strikte voorwaarden gekoppeld. Stel dat jij de toegang gegevens van een geëncrypteerde db kent en de volgende dag wordt je overreden (daarom niet meteen dood maar lange tijd in het ziekenhuis) dan kan het bedrijf waar jij voor werkt enorme schade lijden. Je hebt als systeembeheerder een zeer grote verantwoordelijkheid en één hiervan is er voor te zorgen dat je niet onmisbaar bent en dat het bedrijf verder kan werken zonder jou.

Als hij vond dat die mensen onkundig waren voor die paswoorden was het zijn taak als systeembeheerder hen kundig te maken en te streven naar een duidelijke policy i.v.m paswoorden in plaats van die voor hem te houden.
Er zijn genoeg managers/leidinggevenden die ervan overtuigd zijn dat bijvoorbeeld een harde schijf zwaarder is wanneer er meer data op staat. Zulke mensen wil je niet kunnen (of hoeven) opleiden om beter om te gaan met zulke gegevens. Er is een reden waarom er zoiets bestaat als technisch specialisme.

Het is aan de leidinggevenden om iemand te zoeken met de kennis en kunde om om te gaan met die infrastructuur, en die met Childs te laten werken. Zodoende bouw je toch een stukje veiligheid in (Childs komt om in een dodelijk ongeluk, blij dat we #2 nog hebben die onze routers kan rebooten).
Whahaha ik zie het in mijn omgeving (verdeeld over de wereld) dat er bergen systeem beheerders zijn die dingen doen die normaal echt niet mogen. een leuk voorbeeld een IT director (= gewone sys beheerder alleen dan met een flink team) die ik ken heeft gewoon een keer een standaard gateway veranderd naar een standaard geconfigureerde router ipv de goed geconfigureerde router. Resultaat... Heel het complete e-mail en SAP verkeer lag voor die vestiging op zijn kop (+- 700 werknemers)
Daarnaast hebben zei al dik een jaar een virus probleem (waardoor wij hun netwerk niet laten koppelen aan die van ons. Dit doen we alleen via een apart DFS domein die door ons gecontroleerd wordt)

Ik zal eerder ontslag nemen dan mijn root passwords aan die man te geven

Wat ik wil zeggen is dat ik die man echt wel begrijp, het is niet zo dat hij egocentrisch is ofzo maar dat hij gewoon weet dat zijn "collega's" niet genoeg kennis hebben om hiermee te werken (dat het zo is zeg ik niet maar het is zeker een mogelijkheid) en dan idd nog niet eens gesproken over de leidinggevende waar Zyppora over praat, die zijn nog erger maar blijven meestal wel van de belangrijke items af

[Reactie gewijzigd door Mellow Jack op 20 april 2010 13:12]

De beklaagde zou van mening zijn geweest dat de personen die om de wachtwoorden bleven vragen, waaronder de politie en zijn direct leidinggevenden, niet gekwalificeerd waren om met deze informatie om te gaan, omdat dat zij grote schade op het netwerk hadden kunnen aanrichten.

Allemaal leuk en aardig maar als de politie je iets vraagt dan doet jouw mening er gewoon niet meer toe.

Childs is gewoon een verwaand ventje die dacht dat hij het allemaal beter wist.

Wat je in zo'n situatie doet is vragen om een schriftelijk verzoek/bevel en dan geef je wat gevraagd is. Je gaat NIET zelf even bepalen wat je bazen en de politie wel of niet kunnen volgens jouw.

Zo werkt de wereld gewoon niet en je moet wel echt gestoord zijn om dit niet te weten (wat Childs ook is).
in Nederland mag een agent of wat voor ambtenaar dan ook nooit om je wachtwoord vragen, of om je pincode, of om wat voor persoonlijke geheime codes whatsoever.

Of dat in Amerika wel mag weet ik niet, maar in Nederland geef ik mijn wachtwoord niet zomaar af aan de eerste beste burgermeester of politierechercheur. Hell, nog niet eens aan mijn baas. Dan wijzig ik het wachtwoord eerst, en dan geef ik het nieuwe generieke wachtwoord wel af als het echt opgedrongen wordt.
De politie kundig maken in het gebruik van die wachtwoorden? Ik had waarschijnlijk/mogelijk hetzelfde gedaan als deze meneer. Een persoonlijke login ga ik echt niet afgeven. Een administrator wachtwoord hoort in een kluis. Toegang tot bepaalde systemen grant je aan bepaalde andere users, je gaat niet je eigen login gegevens weggeven.
Het gaat helemaal niet om zijn eigen login gegevens! Het gaat om het administrator password. Hetgeen dus niet in een kluis ligt, maar alleen in het hoofd van de systeembeheerder, en dat hij niet wil vertellen.

Spijt me zeer, maar het admin password is van het bedrijf, en niet van de persoon. Zeer kwalijk dat zo'n zogenaamd grote expert een systeem heeft gebouwd waarbij er slechts één persoon (hijzelf) het admin password kent. Dat is echt doodzonde nummer 1!!
"Ik ben ook geen voorstander van het afgeven van je logingegevens. Desnoods log ik onder strenge bewaking in voor eventuele onderzoekers, maar mijn password blijft mijn password."

Nou, als ik je baas was zou dat reden tot ontslag zijn. Hele vreemde houding voor een werknemer, nietwaar? mr Childs was niet de eigenaar van het netwerk.
waarom vreemd ? Vergeet ook even niet dat het om een aardig belangrijk netwerk lijkt te gaan alhier, dan wil je toch niet dat je zupaadminpowers zomaar op straat komen te liggen imo.

Mr. Childs was blijkbaar wel verantwoordelijk voor het beheer en de veiligheid (veiligheid is ieder persoon met een wachtwoord verantwoordelijk voor, daarom dat je een wachtwoord hebt) en hij heeft zich misschien wel iets te enthousiast gekweten van die taak.
Nou, als ik je baas was zou dat reden tot ontslag zijn.
Ik denk dat 't toch sowieso al de bedoeling was dat ze hem wilden ontslaan? Dat ze daarom de wachtwoorden wilden hebben. Als beheerder zijnde moet je die dan natuurlijk eerst veranderen, mocht je die wachtwoorden elders ook gebruiken. Maar deze meneer is waarschijnlijk niet 't type om privé-wachtwoorden en werk-wachtwoorden doorelkaar te halen, gezien zijn hoge Cisco-status.
Volgens mij gaat het hier over twee verschillende wachtwoorden, zijn persoonlijke en het admin wachtwoord van de fibre routers.

Administrator wachtwoorden zijn er niet om gebruikt te worden maar om in een verzegelde enveloppe in een kluis in noodsituaties voor meerdere mensen beschikbaar te zijn.

Wat als deze beheerder nu tegen een boom aan was gereden..

Reguliere (beheer) toegang is op basis van de minimale rechten noodzakelijk om je werk te doen op persoonlijk toegekend account (waarbij eventueel geaudit kan worden). Ik ben het helemaal met je eens dat deze laatste nooit moet worden afgegeven.
En daar ben ik het mee eens
ondanks alle sox zooi etc zekers sinds we zijn overgenomen door een amerikaans bedrijf wordt er steeds meer in hokjes opgedeelt en verantwoording op personen neergelegt ipv een groep.

Nu ben ik blij dat ik met een goed werkende en communicerende groep collega's zit op deze site,anders zou ik er zeker niet meer zo goed zitten.want buiten deze sie moet ik helaas overal voor vechten om iets gedaan te krijgen :(

en dus ook alle belangrijke wachtwoorden/contracten etc zitten hier netjes in een kluis waar een ieder van ons toegang tot heeft
@ mrsar, dinsdag 20 april 2010 12:01
Ook je persoonlijke wachtwoorden? Want daar gaat het hier over en dat is het kwalijke (imho) aan deze zaak...
@ mrsar, dinsdag 20 april 2010 12:01
Ook je persoonlijke wachtwoorden? Want daar gaat het hier over en dat is het kwalijke (imho) aan deze zaak...
ehhhh....
admin-wachtwoorden van het FiberWAN-netwerk....Deze wachtwoorden waren nodig om toegang te krijgen tot de beheertools van de FiberWan-routers.
Ging niet alleen om z'n persoonlijke wachtwoord hoor. Ik ben van mening dat een admin wachtwoord (niet persoonlijk) dus echt niet maar bij 1 persoon bekend moet zijn. Die moeten minimaal in een kluis liggen, wat dus niet het geval was, anders was dit niet aan de hand geweest.
Stel dat hij dood neervalt, of zn vingers in het stopcontact steekt. Dan heb je toch wel een probleem.
nee persoonlijk niet,maar daar hoeven ze ook helemaal niet in,daar alles wat nodig is gewoon te vinden is in de kluis.

Als dat daar ook het geval was geweest,hadden ze ook nooit maar naar die persoonlijke login hoeven te vragen
mrsar, dinsdag 20 april 2010 12:55
Idd daarom ook "vreemde zaak" want wat moeten ze met zijn persoonlijke login... :?
Maar zelfs dan nog...

Het netwerk is van de klant. De data op dat netwerk in pricipe dus ook.

En als de klant graag wil dat een ongequalificeert persoon met z'n vingers aan het netwerk mag zitten (en daarbij het risico loopt dat het mis gaat) dan is dat zijn goed recht.
Daar heb jij als systeembeheerder zeker een adviserende rol, maar als het puntje-bij-paaltje-komt, dan heb je daar gen ene moer over te zeggen. Zelfs niet als het je eigen account is.
Ik denk niet dat deze rechtzaak ingewikkeld wordt.

"Vanaf dinsdag moeten in totaal dertien juryleden een oordeel vellen over de vraag of Terry Childs schuldig is of niet."

Denk jij dat ook maar èèn van die 13 mensen enigszins kennis heeft over computer/network security en een geinformeerde mening erover zal kunnen vormen?

Ik zie het namelijk heel simpel:
- politie had hem niet zijn PERSOONLIJKE login informatie mogen vragen
- politie had hem niet zijn ADMIN/ROOT login informatie mogen vragen (want zij zijn niet gekwalificeerd daarmee om te gaan)

Ik zeg niet dat hij onschuldig is, maar de slechte behandeling van autoriteiten, wet en staat omtrent het internet en alles wat daar bij hoort zijn ronduit slecht te noemen.

Goede vergelijking zou zijn een standaard straat agent een bom te laten ontmantelen.
Daar zijn speciaal opgeleide mensen voor (bombsquad), en die moeten er mijns inziens ook komen voor dit soort zaken. Evenals rechters etc die wèl vestand hebben van alles omtrent computers, netwerken en het internet.
Bijna ...

- politie had hem niet zijn PERSOONLIJKE login informatie mogen vragen - want daarmee schend je direct iemands privacy terwijl er geen reden voor is.
- politie had hem niet zijn ADMIN/ROOT login informatie mogen vragen - want dat soort informatie hoort normaliter door Mr Childs baas gegeven te kunnen worden omdat deze een verantwoord netwerk met meerdere goede beheerders heeft laten opbouwen.

Dat dit laatste niet mogelijk was valt in het geheel te wijten aan de slechte manier waarop Mr. Childs werkgever het netwerk heeft laten opzetten.
Deze heeft een enkele systeembeheerder willens en wetens (het 'probleem' was al maanden bekend en ook door Mr Childs aangekaart zonder dat er iets aan gedaan werd) een netwerk laten ontwerpen, implementeren en beheren zonder er voor te zorgen dat deze systeembeheerder niet een 'single point of failure' kon worden. Bovendien werd alle verantwoordelijkheid voor het netwerk op die persoon afgeschoven.

Mr Childs was dus dubbel genaaid. Als hij de wachtwoorden afgegeven had dan had hij aangeklaagd kunnen worden voor het compromitteren van het netwerk omdat hij onbevoegden toe had gelaten op een netwerk wat onbeperkt toegang geeft tot overheidsdocumenten. Nu hij de wachtwoorden niet wilde afgeven is hij aangeklaagd voor het compromitteren van het netwerk omdat niemand dan hijzelf kon aantonen dat er op een juiste wijze met het netwerk werd omgegaan (en als hij dus het vertrouwen verliest, zoals gebeurd is, is dat net zo erg als dat hij de wachtwoorden afgegeven had want blijkbaar ging de politie en z'n baas uit van het ergste).
De opvolgers van Mr Childs zijn per definitie bevoegd. Afstaan van de passwords aan de nieuwe systeem admin kan dus nooit als compromitteren van het netwerk worden beschouwd. Of ze ook capabel zijn, is een zorg voor het bedrijf, niet voor Mr. Childs.

Childs was zelf trouwens ook niet zo capabel, anders had hij nooit een systeem gebouwd met een single point of failure...
En wat heb je nu geleerd?
Ook al vind je je leidingevende niet gekwalificeerd, gewoon doen wat hij vraagt en eventueel onder protest en met getuigen.
Maar zoiets laten escaleren zodat er 5 jaar boven je hoofd hangt is natuurlijk erg dom.
Je prive account uit handen geven is pas dom. Daar heeft zelfs de burgemeester niets in te zoeken. Dat hij geen admin rechten afstaat aan zijn leidinggevende dat is wel kwalijk.

@seal74

Zelfs een account die verstrekt is door de werkgever en enkel bedoeld is voor werk mag je tot op zekere maten voor prive gebruik gebruiken. Een gebruikers account mag niet ingezien worden door je werkgever tenzij er verdenking is van een misdrijf of omdat het noodzakelijk is voor de voortgang van het werk. Maar zelfs in die uitzonderlijke gevallen dient de werkgever rekening te houden met je privacy, en mag hij nimmer te nooit privacy gevoelige informatie inkijken tenzij hij of zij toestemming heeft van de werknemer in kwestie.

In dit geval was de toegang tot het account onnodig en had men simpel weg om admin rechten op een nieuw of bestaand account moeten vragen.

Of in Amerika dezelfde privacy wetgevingen van toepassing zijn weet ik niet met zekerheid te zeggen, maar in Nederland had meneer volledig in zijn recht gestaan.

[Reactie gewijzigd door Seth_Chaos op 20 april 2010 12:31]

Als het goed is heb je op je werk geen prive account maar een werknemers account. En als het goed is zijn al je documenten dus werk gerelateerd. Dus het niet geven van je werkaccount is pas dom, Ik neem aan dat ze niet om zijn login van zijn gmail account vroegen. Voor de rest moet alles wat je in de baas zijn tijd doet en op de baas zijn servers staat beschikbaar zijn voor de baas als hij er om vraagt. Hier ging hij mis.
wat ik in de baas zijn tijd op de baas zijn servers doe moet net niet per definitie beschikbaar zijn voor de baas.

Moet lekkere situaties opleveren als ik hier maar eens alle privezooi uit accounts ga vissen van de AD en die aan de baas lever als hij erom vraagt, of alle mail (en ik bedoel ook echt alle mail).

Ik mag tot op zekere hoogte me bezig houden met privedingen op de baas zijn pc tijdens de baas zijn tijd en daarbij mag er zonder meer af ent oe een beetje data worden opgeslagen op de baas zijn server en nog heeft de baas er dan helemaal niets te zoeken.
Als jij tegen je baas zegt "je hebt daar helemaal niets te zoeken" vrees ik dat jij wel snel aan het zoeken bent. Naar een nieuwe baan welteverstaan.

Met alle respect maar dat is toch geen houding. Als jouw baas je vraagt alle mail te doorzoeken dan moet je dat gehoorzaam doen. Als je twijfelt of dat rechtsgeldig is kun je altijd vragen dit verzoek graag schriftelijk te melden en eventueel melden aan bijvoorbeeld de OR of voorleggen aan een jurist, Maar ga niet zelf voor privacy waakhond spelen.

Een baas zal nooit zomaar prive gegevens opvragen omdat hij wel betere dingen te doen heeft. Zoals een bedrijf runnen en winst maken. Op het moment dat hij om zulke dingen vraagt bestaat er dus een vermoeden dat er iets of iemand zijn bedrijf schaad. En daar heb jij je als systeembeheerder helemaal niet mee te bemoeien. Dat soort interne zaken laat je aan de OR of personeelszaken over.
Jij hebt je als systeembeheerder aan de privacy wetgeving te houden, daarbij mag je een verzoek van je werkgever weigeren als zijn verzoek conflicteert met de wet of het vermoeden bestaat dat het conflicteert met de wet. Als je de wet breekt kun je ter verantwoording geroepen woorden voor de daden die je gepleegd hebt. Of je dat nu in opdracht deed van je werkgever of niet. Je zal niet snel tegen je werkgever zeggen "je hebt daar helemaal niets te zoeken". Je kunt je werkgever wel duiden op de schending van de werknemer zijn privacy en aangeven dat je daar liever niet aan mee werkt. Daar heeft vrijwel iedere werkgever wel begrip voor. Zeker als je aangeeft dat je geen wetten wilt breken.
Heb je hier een bron bij?

Heb zelf ook ooit in zo'n situatie gezeten (is hier op het forum ook al uitgebreid besproken).
Think again. Een persoonlijk werkaccount wordt in veel gevallen wel degelijk als prive beschouwd.

Dat gezegd hebbende lijkt me ook dat deze beheerder de zaak niet zo op de spits had moeten drijven.
Het ging niet om zijn privé account, maar op zijn persoonlijke account, op de systemen van de overheid, waar de overheid dus zeker wat over te zeggen heeft als eigenaar.
Zoals zo vaak, wat zouden de leidinggevenden geleerd moeten hebben? Dat is een vraag die naar mijn mening te weinig gesteld wordt.

Voorkom een single point of failure, of dat nou hardware of mensen zijn.
Helemaal mee eens deze situatie had niet mogen bestaan. Maar wie weet had deze systeembeheerder zijn 2e man aan de zijlijn gezet door hem zijn admin rechten af te nemen en alle wachtwoorden te veranderen. En omdat hij dat gedaan zou hebben zou zijn leidingevende op dat wachtwoord hebben gevraagd. Dat kan er ook gebeurd zijn natuurlijk.
Hoezo leidinggevenden, ik ga ook geen wachtwoorden van de servers van het bedrijf waar ik werk aan de politie overdragen. De politie is echt niet mijn leidinggevende! Laat ze maar eerst naar een rechter gaan om hiervoor een dwangbevel te halen. Dan geef ik die aan mijn leidinggevende die mag dan de wachtwoorden afdragen aan een stel malloten wat inderdaad wel eens schade zou kunnen aanrichten...
Lees het artikel, juist zijn direct leidinggevenden vroegen om de wachtwoorden - toen hij die niet wilde geven kwam de politie erbij.

Ook al vind je je baas een incompetente sukkel (wie vindt dat niet :P ), het netwerk in gijzeling houden om je punt te maken gaat wel een beetje te ver.

[Reactie gewijzigd door Dreamvoid op 20 april 2010 11:37]

nee.. wat je geleerd hebt:
1. Altijd een full admin account aanmaken. Daarmee maak je vervolgens:
2. Een account aanmaken dat niet geheel full is (kan niet het account bij 1 editen) en wat ge-audit kan worden. Eventueel kunnen er hier meerdere van aangemaakt worden, voor iedereen die toegang nodig heeft.
3. Het account van 1 in de kluis leggen en het account van 2 gaan gebruiken als beheerder

Je maakt mij niet wijs dat deze beheerder niet een 2de account had kunnen maken dat hij ook had kunnen auditten. zodat bij problemen hij kon aantonen dat het eventueel door iemand met toegang tot het 2de account gedaan was.
De beklaagde zou van mening zijn geweest dat de personen die om de wachtwoorden bleven vragen, waaronder de politie en zijn direct leidinggevenden, niet gekwalificeerd waren om met deze informatie om te gaan, omdat dat zij grote schade op het netwerk hadden kunnen aanrichten.
Helemaal mee eens, dit zijn geen wachtwoorden die je zomaar geeft.
Algemene beheerdswachtwoorden zijn niet persoonlijk. Dat hij zijn eigen login niet afgeeft is normaal, maar de admin wachtwoorden zijn eigendom van de firma waarvoor je werkt. En als de leidinggevende daarmee een fout maakt is het niet jouw schuld, maar het lijkt mij straf dat een leidinggevende hier zelf mee aan de slag zal gaan.
Ze zijn eigendom waar je werkt maar op een need-to-know basis betekent niet altijd je baas, of zelfs zijn baas. En dit weggeven tegen company policy in kan wel betekenen dat je niet zo snel nieuw werkt vindt mbt gevoelige gegevens. Want die (minder ervaren) baas zal dit wel forwarden naar iemand anders en die weer naar iemand anders ... en na een paar dergelijke stappen is de security waardeloos.

Trouwens idiote claim; de gegevens zijn in gevaar omdat iemand de paswoorden niet afgeeft. Dan kan er totaal niemand in en kan je dus niet spreken van 'gevaar' lol.
Als je ze afgeeft, zou ik er wel een ondertekende verklaring bij willen hebben dat jij niet meer in kan staan voor wat er daarna met die accounts gebeurt.

En een leidinggevende kan zelf misschien niet met zo'n account omgaan, hij kan het wel geven aan een andere beheerder die dat wel kan. Zo gek is zo'n verzoek dus niet helemaal.
Beetje raar dat er 1 admin was. Normaliter zijn het er minimaal 2 die gelijke rechten hebben zodat de 1 altijd bij de gegevens van de ander kan. Als de 1 tegen een boom fietst kan de ander nog de taken uitvoeren.
En als 1 van de 2 vanwege een conflict even de paswoorden wijzigt dan is het er opeens nog maar 1 admin, en heb je als bedrijf of instelling een groot probleem.
Die werkgever mag het dan niet zo slim gedaan hebben, dat is natuurlijk geen excuus voor die ene admin om die situatie uit te buiten door het netwerk te gijzelen.

[Reactie gewijzigd door Dreamvoid op 20 april 2010 11:42]

Wat nu als die beheerder een beroerte kreeg destijds?

|:(
Ja, of wat als hij een dodelijk ongeluk krijgt? Dan heeft niemand de logins? Goed geregeld jongens!
Inderdaad, er moeten altijd minstens 2man zijn die alles kunnen. Het feit dat dit niet zo was is extreem slordig...
Okay, stel nu dat ik word aangehouden door de politie en ze vragen me om de sleutels van mijn auto? Kan ik die dan weigeren omdat ik denk dat de agent niet goed genoeg kan auto rijden?

Tuurlijk niet. Dit is geen verzoekje, dit is een bevel.

Childs lijdt gewoon aan grootheids waanzin. Hij denkt als systeembeheerder te bepalen wie wel of niet toegang heeft tot een systeem, inclusief de eigenaar en justitie.

Gewoon knetter gek. 8)7

Nou ja, voor de toekomst van Childs, als je celmaat je vraagt de zeep op te pakken, dan is dit dus eigenlijk ook geen verzoekje.
Je kunt hem knettergek noemen, maar ik zou nou ook weer niet zomaar mijn sleutels af geven. Laat die wagen dan maar staan. Kan ook komen door mijn tekort aan vertrouwen in het openbaar gezag, maar dat is een andere discussie. :+

Volgens mij is die Childs inderdaad een beetje paranoide, en in dit geval is het ook loos om zo'n wachtwoord voor zichzelf te willen houden. Lijkt me niet dat dat de bedoeling was. |:(
vind ik kant noch wal slaan. Als het gaat om administrator wachtwoorden van een bedrijfsnetwerk vind ik dat totaal iets anders. Het gaat om informatie waar de politie ook niet zomaar bij mag. Alleen als er hoge authorisatie is zou het eventueel mogen. En zelfs dan is er nog het gevalletje 'de beheerder moet meewerken aan onderzoek'.

Niets en niemand mag zomaar om (bestaande) wachtwoorden vragen. Dat moet allemaal in overleg en met een bepaald doel.

Het zou slordig zijn als het bij die instelling zo was dat alleen hij de wachtwoorden had, en er ook niets in de kluis lag. Dan hebben ze het zaakje niet goed opgezet. Vraag ik me af of ze ook de backups hebben vergeten :-)

Als beheerder heeft hij de ervaring en de kennis om met dat systeem te werken. Wat denkt de politie met die passwords te doen? Een beetje prutsen en daadwerkelijk alle systemen platleggen?
En collega's? Als blijkt dat die personen qua certificaat niet geschikt zijn om met die passwords te werken, dan is dat gewoon een intern verhaal. Als die beheerder het idee heeft dat zijn naaste collega's zulke prutsers zijn, dan kan dat in intern overleg afgehandeld worden.

Maar goed, is bekend hoe deze zaak aan het rollen is gegaan? Er zit ongetwijfeld een enorme geschiedenis achter. Dit gebeurt niet zomaar. En als dit wel als donderslag bij heldere hemel komt, dan staat die systeembeheerder in zijn recht.
Admin passwords zijn classiffied, geef je niet zomaar af aan minder-bevoegden.
Mensen die er geen bal van snappen hebben weinig aan die wachtwoord immers.
Op je eigen login account is ook de privacy wetgeving van toepassing. Die login gegevens hoef je niet af te staan.
Moah, dat is volgens mij nog steeds grijs gebied. Het is een account die je hebt om je werkzaamheden te kunnen doen, het is van het bedrijf, niet van jou. Ik weet niet in hoeverre privacy geldt voor werk-gerelateerde dingen.

Dat niemand mee kan kijken als jij op de plee zit, dat is privacy, want dat is persoonlijk. Maar wachtwoorden van accounts van kantoor vallen hooguit onder bedrijfsgeheim.
Het account is prive de bedrijfsgegevens zijn van je werkgever.
Privacy bestaat ook op het werk en ook bij privégebruik van zakelijke computers en software. Zolang het werk geen hinder ondervindt en er geen aanleiding is om misbruik te veronderstellen, mag je baas niet onderzoeken wat voor privédingen jij doet op je zakelijke computer.
Ik heb de neiging om hem het voordeel van de twijfel te geven. Er is geen enkele legitieme reden voor management, HRM of politie om beheertoegang tot de netwerkinfrastructuur te krijgen. Net zo goed als een HRM medewerker niet in de technische ruimte van bijvoorbeeld een kerncentrale mag komen.

Daarentegen zou Childs ook moeten weten dat hij niet de enige persoon zou mogen zijn met die toegang. Dat is gewoon onverantwoord. En daar is een simpele oplossing voor: leg het wachtwoord, in een verzegelde envelop, in de kluis van de burgemeester. Dat heet een escrow oplossing.

Als je het dan toch zover laat komen dat de halve wereld op je nek zit om dat wachtwoord af te geven, heb je het op zijn zachtst gezegd, niet goed gemanaged.

Maar ja, sinds wanneer staan systeembeherende nerds vooral bekend om hun diplomatieke, organisatorische en management vaardigheden? :)
Zijn houding in het verhaal is fout, tuurlijk mag een HRM medewerker niet toegang krijgen tot het netwerk. Maar je werkgever... (die vanwege de onwillenheid de politie ingschakeld heeft)

Het gaat hier over een systeembeheerder die zich teveel heeft toegeëigend en die onwillend was na het ontslag de toegang tot het systeem mogelijk te maken.

Alsof je de servicedeur van de kerncentrale op slot doet (en het niet mogelijk is om het te openen) en de sleutel van deze deur niet wil afgeven ook al ben je ontslagen. En zelfs de sleutel niet aan de politie wil geven

Je kunt toch geen partij kiezen voor iemand die zo lastig loopt te doen, het is gewoon een persoon die zijn arbeidsconflict probeert te chanteren
Ik kies geen partij, daarvoor weet ik er te weinig van. Op basis van wat ik weet, neig ik naar voordeel van twijfel.

En als we die kerncentrale metafoor even doortrekken?

Jij bent die über-opgeleide nucleair specialist en de enige die die hele kerncentrale snapt. Het management zorgt er niet voor dat er een tweede specialist náást je komt, die op hetzelfde niveau functioneert. En vervolgens willen ze je ontslaan en geven je opdracht om de sleutel van de draaiende centrale aan de schoonmaker te geven. Wat zou jij doen?

Ik zou in ieder geval vast de film- en boekrechten van het verhaal claimen.
niemand, maar dan ook niemand is onvervangbaar. Laat dat voorop staan.

het is in mijn ogen een fout van het management als iemand in zo'n positie komt dat als hij plots komt te overlijden (extreem voorbeeld) het als een kaartenhuis ineenstort. Die kerngeleerde kan zich morgen ook om een boom vouwen op de weg naar huis, er moeten voorzorgsmaatregelen zijn, zoals die escrow oplossing ergens genoemd, of een kundige collega

uit de TS komt het verhaal naar voren dat de systeembeheerder onwillend was om zijn wachtwoord op te geven. De politie pakte hem daarom op en vroeg hem naar deze gegevens. Het is niet alsof dat de politie het netwerk gaat beheren. Een eventuele opvolger zou niets kunnen zonder deze data. Het is een wachtwoordje, geen one-in-a-million nuclear scientist mind, deze kan zo worden doorgegeven.

Principes mag je hebben, ik zou mijn admin wachtwoord ook niet geven aan de receptionist maar er zijn 2 man binnen m'n werk die het wel weten.

Ik vind de man schuldig, net zo schuldig als een medewerker die z'n sleutels niet inleverd van zijn lease auto, maar er is ook een verwijtbaar deel bij de eigenaar van het netwerk.
Lijkt mij dat die systeembeheerder gewoon zijn werk deed, en dat de authoriteiten niets van het onderwerp af wisten. Jammer.

[Reactie gewijzigd door grind op 21 april 2010 18:47]

Beheerderswachtwoorden mogen nooit beperkt worden tot 1 persoon in een bedrijfsomgeving. Niemand mag onmisbaar zijn.
Dat mensen IT niet begrijpen is tot daaraan toe, maar om nu 5 jaar de gevangenis ervoor in te gaan...

Anti-hacker wetgeving is toepasselijk in dit geval; het betreft een hacker van de oude stempel, iemand die goed doordacht zijn werk doet, zich bewust is van de verantwoordelijkheid die hij draagt en zich niet zo bezighoud met autoriteit.

Er is geen ander land waar hackers zo hard worden aangepakt, ik hoop dat er in de jury een IT specialist zit.
Ik hoop dat jij jezelf dan niet tot de groep IT specialisten rekent.
Het is voor iedere IT specialist zo klaar als een klontje dat het echt niet goed te praten is wat deze gast heeft gedaan.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True