Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 258 reacties

De Nederlandse hackers die deze week zijn opgepakt op verdenking van cybercrime, hebben websites gehackt en privégegevens gepubliceerd. Dat meldt het KLPD. De vier jongens opereerden onder de naam AntiSecNL.

HackerWoensdagmorgen meldde Tweakers.net dat vier Nederlanders zijn opgepakt op verdenking van cybercrime. Hoewel het vermoeden bestond dat de vier aan de losvaste groepering Anonymous waren verbonden, werd de precieze verdenking niet genoemd.

Naar nu blijkt opereerden de vier volgens het OM onder de naam AntiSecNL en hadden ze het 'stelen en openbaar maken van vertrouwelijke gegevens' tot modus operandi gemaakt. De vier zouden verantwoordelijk zijn geweest voor hackaanvallen op onder andere datingsite Pepper.nl, voip-aanbieder Nimbuzz en Bronkerk.nl.

De aanhoudingen volgen enkele dagen nadat Tweakers.net berichtte dat er was ingebroken op de server van AntiSecNL. De hackers wisten de gegevens van een van de personen achter AntiSecNL, met de nickname ziaolin, te achterhalen. Ziaolin, die Tweakers.net zondag nog te woord stond over de hack, is een van de vier vermeende hackers die dinsdagavond werden opgepakt. De andere drie verdachten opereerden onder de nicknames Calimero, DutchD3V1L en Time.

Volgens het OM gaat het om drie meerderjarige mannen en een 17-jarige jongen uit Roosendaal, Rotterdam, Breda en Doetinchem. Bij hen zijn vijftien computers, externe harde schijven en andere opslagmedia in beslag genomen. Het Openbaar Ministerie zegt de mannen op het spoor te zijn gekomen door een privéchatkanaal van de groep onder een schuilnaam binnen te gaan. De vier zouden daarna in 'korte tijd' zijn geïdentificeerd en aangehouden. Het onderzoek naar AntiSecNL werd begin juli gestart.

AntiSecNL werd afgelopen maand opgericht als een soort 'lokale tak' van AntiSec, hoewel de laatstgenoemde organisatie van niks wist. AntiSec zou banden hebben met Anonymous, al is de precieze structuur van de groepen moeilijk in kaart te brengen. Anonymous kwam groot in het nieuws toen het ddos-aanvallen op servers van onder andere PayPal en MasterCard uitvoerde, omdat die bedrijven niet meer met WikiLeaks wilden samenwerken.

Anonymous werkt momenteel aan een reactie waarin het zegt dat de arrestaties 'niet onbeantwoord' zullen blijven. Tegelijk met de Nederlandse aanhoudingen werden in de Verenigde Staten zestien vermeende 'cybercriminelen' opgepakt, waarvan er veertien banden met Anonymous zouden hebben en achter ddos-aanvallen op PayPal zouden zitten. In het Verenigd Koninkrijk werd één verdachte opgepakt, naar nu blijkt een minderjarige jongen.

http://tweakers.net/nieuws/75672/hackers-breken-in-op-website-van-nederlandse-tak-antisec.html
Moderatie-faq Wijzig weergave

Reacties (258)

1 2 3 ... 6
Heel wat anders dan voorheen werd vernomen dus.
AntiSecNL was dan ook niet de meest succesvolle splintergroep van Anon, volgens mij konden ze het zelfs niet helemaal vinden met LulzSec.

Een wijze les voor die vier jongens, niks centraals doen wanneer je met dit soort zaken bezig bent. Één fout en je geeft alles weg.

Vraag me af wat ze tegen deze jongen kunnen doen. Volgens mij is de wet hier nog niet helemaal op gemaakt. En ik heb zo de indruk dat de groep ook niet al te succesvol was in het hacken. Weinig buit.
Beetje de Hofstad groep onder de hackers.
Vraag me af wat ze tegen deze jongen kunnen doen. Volgens mij is de wet hier nog niet helemaal op gemaakt.
Jawel hoor, die is enkele jaren geleden nog aangepast. Hacken is echt strafbaar:
De bekendste vorm van computercriminaliteit is het opzettelijk en wederrechtelijk binnendringen in een computersysteem of netwerk. Dit heet computervredebreuk (soms ook wel computerinbraak of hacken) en is een misdrijf. Hierop staat een straf van maximaal 1 jaar cel of geldboete van 16.750 euro
Zie deze site van Arnout Engelfriet.

Dit is strafbaar volgens artikel 138ab, lid 1 van het Wetboek van Strafrecht:
Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:

a. door het doorbreken van een beveiliging,

b. door een technische ingreep,

c. met behulp van valse signalen of een valse sleutel, of

d. door het aannemen van een valse hoedanigheid.
Zie http://wetten.overheid.nl...ldigheidsdatum_20-07-2011

Aanpakken en vervolgen lijkt me dan ook niet echt een probleem, mits uiteraard het bewijs goed in elkaar zit.
Ik zei niet dat het niet strafbaar is maar dat het moeilijk kan zijn. Dat het verboden is is duidelijk. Maar niet alle onderzoeksmiddelen zijn helemaal ingeburgerd als ook daadwerkelijk geldig bewijsmateriaal.
Wat ik dus wilde zeggen is dat dit veel moeilijker aan te tonen is dan een normale inbreker of een dief die geld jat. Het is nog allemaal vrij nieuw en momenteel is echt iedere zaak rond hacken totaal nieuw. Er zijn nog geen of weinig zaken waarmee een rechter dit kan vergelijken.
Ze mogen volledig rechtsgeldig inbreken etc:
Artikel 126h Wetboek van Strafvordering

1. In geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, dat gezien zijn aard of de samenhang met andere door de verdachte begane misdrijven een ernstige inbreuk op de rechtsorde oplevert, kan de officier van justitie, indien het onderzoek dit dringend vordert, bevelen dat een opsporing sambtenaar als bedoeld in artikel 141, onderdeel b, deelneemt of medewerking verleent aan een groep van personen waarbinnen naar redelijkerwijs kan worden vermoed misdrijven worden beraamd of gepleegd.

2. De opsporingsambtenaar mag bij de tenuitvoerlegging van het bevel een persoon niet brengen tot andere strafbare feiten dan waarop diens opzet reeds tevoren was gericht.

3. Het bevel tot infiltratie is schriftelijk en vermeldt:
a. het misdrijf en indien bekend de naam of anders een zo nauwkeurig mogelijke omschrijving van de verdachte;

b. een omschrijving van de groep van personen;

c. de feiten of omstandigheden waaruit blijkt dat de voorwaarden, bedoeld in het eerste lid, zijn vervuld;

d. de wijze waarop aan het bevel uitvoering wordt gegeven, daaronder begrepen strafbaar gesteld handelen, voor zover bij het geven van het bevel te voorzien, en

e. de geldigheidsduur van het bevel.


4. Een bevel als bedoeld in het eerste lid kan ook worden gegeven aan:

a. een persoon in de openbare dienst van een vreemde staat, die voldoet aan bij algemene maatregel van bestuur te stellen eisen;

b. een opsporingsambtenaar als bedoeld in artikel 141, onderdelen c en d, of artikel 142, mits deze opsporingsambtenaar voldoet aan bij algemene maatregel van bestuur te stellen regels terzake van opleiding en samenwerking met opsporingsambtenaren als bedoeld in artikel 141, onderdeel b.

Het tweede en derde lid zijn van overeenkomstige toepassing.


5. Artikel 126g, zevende en achtste lid, is van overeenkomstige toepassing, met dien verstande dat verlenging van een bevel tot infiltratie niet mondeling kan plaatsvinden.
Ik denk dat we er van uit mogen gaan dat het bevel is gegeven.
Is gewoon onder computervredebreuk te scharen lijkt me.
Artikel 138ab
1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
a. door het doorbreken van een beveiliging,
b. door een technische ingreep,
c. met behulp van valse signalen of een valse sleutel, of
d. door het aannemen van een valse hoedanigheid.

2. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of overgedragen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, aftapt of opneemt.

3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk gepleegd door tussenkomst van een openbaar telecommunicatienetwerk, indien de dader vervolgens
a. met het oogmerk zichzelf of een ander wederrechtelijk te bevoordelen gebruik maakt van verwerkingscapaciteit van een geautomatiseerd werk;
b. door tussenkomst van het geautomatiseerd werk waarin hij is binnengedrongen de toegang verwerft tot het geautomatiseerd werk van een derde.
In ieder geval lid 1 gaat op, maar lid 2 moet ook wel kunnen, omdat er ook gegevens werden gepubliceerd e.d. Ik denk dat er toch wel een klein beetje een voorbeeld van deze personen wordt gemaakt, aangezien er de laatste tijd wel heel veel 'hackers' actief zijn.

Edit: mogelijk zijn de daders ook nog wel via 6:162 BW aan te spreken voor een onrechtmatige daad, om zo schadevergoeding van de daders te claimen. Dit kunnen de bedrijven die slachtoffer zijn van de hacks doen, mits wordt bewezen dat het om de opgepakte personen ging.

[Reactie gewijzigd door Sj44k13 op 20 juli 2011 12:09]

Hiervoor hebben ze TBS met dwangverpleging uitgevonden.
Ah, dus het blijkt inderdaad toch meer dan DDoS-attacks te zijn wat men deed.

Zeker als men private en onschuldige personen dupeert door hun gegevens open bloot te geven vind ik dat ze hard dienen te worden aangepakt. En ik hoop dat er dan nog meer zullen volgen die dit soort dingen gedaan hebben.

Dit is echt niet onschuldig meer. Lekken vinden is goed, maar meld die dan bij de beheerders ipv meteen prive-gegevens op straat te gooien.

Goed dat de politie er dus achteraan zit! Hopen dat ook Justitie/het OM met flinke eisen zal komen, om verdere soortgelijke acties van deze personen of anderen te ontmoedigen.
Wie is hier nou schuldig: de bedrijven die dit mogelijk maken, of de mensen die aantonen dat de bedrijven deze mogelijkheden bieden??
Ik hoop dat ze de bedrijven nu eens gaan vevrolgen voor nalatigheid en hard ook. Anders mogen er van mij nog meer van dit soort acties komen om te laten zien hoe slecht bedrijven met gevoelige informatie van (betalende) klanten om gaan terwijl ze dit wettelijk verplicht zijn.
Dus als ik vergeet mijn auto op slot te zetten en iemand jat mijn radio dan ben ik schuldig? :o

Als je als hacker achter een beveiligingslek komt dan meld je dat bij het desbetrefende bedrijf, als je nu echt zo aandachtsgeil bent dan gooi desnoods een persbericht op inet dat je een bepaald lek gevonden hebt maar je gaat _niet_ persoons-gegevens stelen en die openbaren... daar benadeel je alleen de desbetreffende consumenten/gebruikers mee!

Ik ben die anonymous lui echt zo zat... met hun zogenaamde "robin-hood" gedrag ze benadelen mij als consument van bepaalde prodcuten/diesnten alleen maar...
Vergelijkingen met de fysieke wereld en de digitale gaan bijna altijd mank. Daar moeten we langzaam aan toch aan gewend raken...
Helaas zijn soms blijkbaar vergelijkingen nodig omdat sommige mensen opeens elk moreel gevoel schijnen te verliezen als het om internet gaat.
Klopt en daarom gaat de vergelijking niet op...

De meeste mensen zien het als 1 geheel...

Dit terwijl de hacks en de acties daarna 2 aparte zaken zijn. De hacks vind ik goed, het is belangrijk dat bedrijven en overheden wordt getoond dat ze hun beveiliging niet op orde hebben. Al hacked iemand anders het bedrijf of de overheids instantie dan heb je de mogelijkheid dat die persoon jaren kan spioneren voordat iemand het door heeft.

Het tweede vlak is het gedeelte wat na de hack komt... Dan hebben ze de keuzes wat ze willen stelen om de hack te bewijzen en hoe publiceren ze dat... Een hacker met zijn hart op de goede plek zal dus nutteloze informatie stelen (bijv een lijst met account namen en verder niks, lees geen prive gegevens), het bekend maken bij het bedrijf en de politie...
Krijgt die hacker geen reactie dan kan hij ervoor kiezen om het in de Media te gooien, dit kan dan weer op meerder manieren, ze kunnen ook bijv de database structuur publiceren waarbij ze dus wel bewijs leveren van de hack maar geen andere gegevens publiceren die schadelijk kunnen zijn voor de consument

Dus ja ik vind dat sommige mensen iets beter moeten nadenken en de noodzaak van de acties gaan inzien en duidelijk beseffen dat het hacken en de nazorg 2 compleet andere zaken zijn
Nee, het is echt 1 geheel.

Denk je dat zo'n bedrijf nu zoiets heeft van "BLIJ dat ze deel 1 gedaan hebben, maar JAMMER dat ze deel 2 ook gedaan hebben" ?

hacken en het bedrijf op de hoogte stellen is 1 actie.
hacken en defacen en info op straat gooien is ook 1 actie.

Voor de eerste valt waardering op te brengen, voor de 2e niet.


Leg eens uit, wat is de noodzaak van het defacen van een kleine prive-site als bronkerk.nl ?

[Reactie gewijzigd door LDenninger op 20 juli 2011 12:55]

Leg eens uit, wat is de noodzaak van het defacen van een kleine prive-site als bronkerk.nl ?
Lees even mijn post nog een keer en je zal zien wat ik vind dat een hacker moet doen na het hacken van een website...

Het komt op mij over alsof je echt 1 regel van mijn post hebt gelezen, uit je dak gaat en even gal wilt spugen...

Het hacken en de rest zijn echt wel 2 aparte zaken want het 1 volgt niet automatisch op het ander. Je kan een site hacken (hiermee laat je zien dat de beveiliging niet goed is) en verder niks veranderen. Lees mijn post nog een keer en je ziet wat ik vind dat een hacker zou moeten doen in die situatie.

Als jij het ziet als 1 geheel dan heb je maar een beperkte kijk op de zaak omdat dr genoeg hackers zijn die het wel op de juiste manier afhandelen maar daar hoor je weinig over in de media aangezien dat geen spektakel oplevert

Je laatste opmerking dat ik moet uitleggen waarom het defacen van een prive site een noodzaak is slaat daarom ook helemaal nergens op aangezien ik al heb aangegeven wat ik vind dat de hacker moet doen en daar heb ik heel het woord defacen niet in gebruikt.

Waarom valt iedereen het gelijk zo specifiek op? Dit gaat gewoon over het algemeen en ik heb nergens iets gezegd wat ook maar betrekking heeft op deze specifieke zaak... Dit gaat in mijn mening over al de zaken die de afgelopen maanden in de media terecht zijn gekomen.

Edit: Nog even een leuke quote van jou
Denk je dat zo'n bedrijf nu zoiets heeft van "BLIJ dat ze deel 1 gedaan hebben, maar JAMMER dat ze deel 2 ook gedaan hebben" ?
Je bekijkt het verkeerd... Neem 2 bedrijven die beide gehacked zijn...

Het eerste bedrijf is gehacked op de manier dat Lulzsec het doet (incl publiceren van van alles en nog wat)

Het tweede bedrijf is gehacked op de door mij voorgestelde manier

Wanneer de directeuren van beide bedrijven onderling praten dan zal de directeur van het tweede bedrijf helemaal niet zo boos zijn op de hacker terwijl de directeur van het eerste bedrijf onwijs boos is op de hacker (aangezien het eerste bedrijf imago schade oploopt en het tweede bedrijf geen imago schade hoeft op te lopen, mits ze reageren op de eerste oproep die ik heb vermeld, doen ze dat niet dan is de imago schade alsnog beperkt omdat de hacker geen nuttige info heeft gepubliceerd itt Lulzsec met hun useraccount, wachtwoord, mail adres publicaties)

[Reactie gewijzigd door Mellow Jack op 20 juli 2011 13:20]

Het gaat over AntiSec, en jij zegt dat je hoopt dat mensen de noodzaak van de acties in gaan zien.

Nee, er is geen noodzaak voor de acties van AntiSec.
De acties van AntiSec waren inbreken, de boel slopen en meuk op straat flikkeren.
Daar is geen noodzaak toe, punt.

Dat er andere mensen zijn die hacken en zich NIET zo misdragen geeft enkel aan hoe het ook kan.
De noodzaak van het hacken is dr wel zeker... Zie je dit niet dan hebt je geen realistisch beeld van deze wereld. De noodzaak van de boel slopen en meuk op straat flikkeren is dr niet.

Daarom heb ik eerst mijn oordeel over het op straat flikkeren vermeld voordat ik begon over de noodzaak want ik hoop dat je begrijpt dat ik iets niet eerst ga aanvallen en het daarna een noodzaak ga noemen

Of lees jij teksten met de aanname dat de eerste alinea niks met de alinea daarna te maken heeft?

Mjah eenmaal tegen AntiSec is altijd tegen AntiSec, zonder even na te denken dat bepaalde onderdelen wel zin hebben en andere onderdelen juist weer meer schade toebrengt dan het problemen oplost

Mjah dat blijkt ook waarom jij niet kan snappen dat dit soort zaken in 2 delen te splitsen zijn waarbij je altijd nog de keuze hebt om de nazorg netjes af te handelen
Er is geen noodzaak tot hacken.

Jouw redenering is "er is een noodzaak tot hacken om aan te tonen dat iets gehackt kan worden".

Dat is een cirkelredenering; immers als er niet gehackt werd, zou dat dus ook niet aangetoond hoeven worden.
QED.

[Reactie gewijzigd door LDenninger op 20 juli 2011 14:58]

Whahahaha dat is idd zo in een ideale situatie, zelfde geldt voor normale beveiliging ;)

In de realiteit heb ik liever dat onze politie website gehacked wordt door dit soort trieste figuren dan door een inlichtingendienst uit China of de USA. Dat is hetgeen waar mensen zoals ik over praten, een geheime dienst uit het buitenland kan dezelfde hacks doen alleen het dan geheim houden en zo jaren lang ons landje spioneren... Om dit soort zaken te voorkomen, wat niet nodig hoeft te zijn als de beveiliging op een normaal niveau zit, heb je dit soort trieste figuren nodig... Dat is de noodzaak waar ik over praat en noem me een beetje para maar ik weet zeker dat meerdere overheden zich hiermee bezig houden (alhoewel ik niet zeg dat Nederland slachtoffer hiervan is of zich hiermee bezig houd) maar het is een realistisch scenario (dat jij in een ideale wereld leeft samen met perfecte mensen dan wens ik je veel plezier daar... Pas wel op als je je gordijnen openmaakt en de echte wereld ziet, je kan best eens schrikken)

[Reactie gewijzigd door Mellow Jack op 20 juli 2011 16:12]

In de realiteit heb ik liever dat als iemand besluit de beveiliging te testen van een bedrijf / overheidsorgaan, die persoon er verantwoordelijk mee omgaat.

En onder "verantwoordelijk" valt bij mij niet "we pleuren porno op de website en flikkeren alle vertrouwelijke informatie op straat !", want als je dat doet is er wat mij betreft geen verschil tussen jou en Chinese hackers.

Vind je het echt een sterk excuus ?
"mensen doen dit om te voorkomen dat de Chinezen het doen en informatie buitmaken ! Daarom gooien we de informatie op straat, waar iedereen inclusief de Chinezen er mee aan de slag kunnen !" ?
toch zitten er erg sterke tussen als het gaat om de criminaliteit van hackers als deze.

Ze tonen geen enkel respect voor diegenen die hier niets aan kunnen doen. Sorry maar respect verdienen deze jongens geenszins, dan is het nog erger dat het "volwassenen" zijn die iets doen wat ze hen zelf ook niet willen laten overkomen
Ik zou hierin graag met je meegaan, Nossio, maar sorry. Als je bronkerk.nl aanvalt de ledenadministratie online plaatst en een pornofoto op de voorpagina zet, dan toon je niet aan dat je site lek is. Dat is vandalisme.
Als je iets ontdekt kun je ervoor kiezen om het te melden bij de webmasters/beheerders. Als daar niets mee gedaan wordt, dan kun je altijd nog gegevens openbaar maken om druk uit te oefenen een lek te repareren.

[Reactie gewijzigd door TheMe op 20 juli 2011 12:25]

Dat is ook weldegelijk eerst gemeld bij bronkerk. Maar er is niks mee gedaan.. Ik geloof dat ze een of twee weken van te voren al mailcontact hebben gehad.
Oh, nee, dan moet je natuurlijk gewoon de site defacen met porno, dat lijkt me dan duidelijk.

...

|:(
Wie is hier nou schuldig: de bedrijven die dit mogelijk maken, of de mensen die aantonen dat de bedrijven deze mogelijkheden bieden??
De laatsten. Nogmaals, het vinden van lekken an sich is niks mis mee. Maar hier maakte men er opzettelijk misbruik van, en dat is dus wel uiterst kwalijk.

Dat een bedrijf de zaken niet goed op orde heeft qua beveiliging is fout, maar dat geeft je niet automatisch het recht om daar misbruik van te maken!

Meld die lekken dan gewoon.
Misbruik?? Ze tonen de arrogantie aan van deze bedrijven. Het machtsmisbruik, uitzonderingspositie en zichzelf overal boven plaatsen zonder verdere gevolgen is schandalig. Ze laten zien wat er mogelijk is en gebruiken het niet voor eigen gewin of verduistering. Dit is imo de juiste manier om te laten zien waar bedrijven mee bezig zijn. Dan moeten de bedrijven maar voldoen aan de wettelijke eisen en hun klanten beveiligen en niet alles open laten staan.
Dude, grow up. Bedrijven laten heus niet opzettelijk de deur openstaan hoor, voor de gedupeerde websites is gehackt worden zeker geen plezier en levert enorm veel imagoschade op. De werkelijkheid is steeds een stuk complexer. Meerendeel van de websites/applicaties worden niet zelf ontwikkeld, en is het dus de schuld van een derde partij (of een vierde). Als je zelf geen of weinig technische kennis in huis hebt als bedrijf (zoals de meeste) is het ook zo goed als onmogelijk om de kwaliteit te beoordelen (wat bij fysieke beveiliging iets makkelijker is). Vaak gaat het ook om bugs in de serversoftware zelf, patches die niet snel genoeg geïnstalleerd werden, en dan spreken we over nog een andere derde partij, nl. de hoster. Beveiliging is trouwens nooit 100%, ook niet met fysieke beveiliging, er zijn genoeg voorbeelden in de geschiedenis te vinden. Of spreek je ook van machtsmisbruik van een bedrijf als daar ingebroken wordt, zelfs al blijkt dat er een dakkoepel was blijven openstaan?

Beetje nuance kan dus geen kwaad! Het lijkt allemaal onschuldig omdat er wat etterende pubers op hun toetsenbord tokkelen, maar dat is het niet. Er zijn wel degelijk gevolgen aan hun acties, zowel voor hunzelf als de gedupeerde partijen.
Klopt maar ik vind persoonlijk wel dat de CEO van een bedrijf bepaalde interesse moet tonen in het online platform. Ook binnen het bedrijf heb je een project of it manager die dit soort zaken regelt. Als die persoon zekerheid wilt hebben dat ze niet op een domme manier gehacked kunnen worden (zie de apache software van psn die niet geupdate was) dan is het aan de directie of die manager om hier aandacht aan te besteden.

Natuurlijk kan je nooit een perfecte beveiligen hebben want dat is onmogelijk maar het is als it manager jou taak om een risico analyse te maken...

Daarnaast is het weer de taak van de directie om naar jou te luisteren en de ernst van de zaak in te zien. Hier gaat het vaak fout want de directie snapt dat gewoon niet altijd (ik moest laatst uitleggen aan onze CEO waarom wij graag een linux mail gateway willen hebben.... pffffffff) :(

Gaat het fout is het naar mijn mening dus de fout van de directie omdat zei zichzelf niet goed hebben laten informeren.... Als ik dus in de RVC van Sony zou zitten had ik de CEO allang ontslagen omdat hij blijkbaar niet luistert en de risico's niet goed heeft ingeschat

[Reactie gewijzigd door Mellow Jack op 20 juli 2011 12:25]

En zo blijkt dus kennelijk dat jij van mening bent verstand te hebben van beveiliging, terwijl je meteen toont dat je van bedrijfskundige zaken geen kaas hebt gegeten.

Wanneer je het over een RVC van Sony hebt en dat zij de CEO aan moeten spreken, zit je er naast.
Niet de CEO (algemeen beleid) maar de CIO (IT beleid) is daarvoor het aanspreekpunt.

Kortom, iedereen baseert zijn mening op basis van zijn eigen kennis en kunde, waarbij men vervolgens vergeet dat men zelf ook niet het totale plaatje helemaal correct in beeld heeft.

Je verwacht toch hopelijk niet dat bijvoorbeeld zo'n kerkelijke organisatie die door die "helden" van AntiSecNL gehacked zijn, een Chief Information Officer hebben? Ik denk dat je dichter bij de realiteit zit wanneer je er van uit gaat dat een hobby-ist op vrijwillige basis een website voor ze in elkaar heeft gezet en probeert te onderhouden.

Ik ben het eens met iedereen die zegt dat men zelf verantwoordelijk is voor de beveiliging van de site, maar het klakkeloos publiceren van buitgemaakte data zet voor mij in dit geval toch echt de daders in een kwader daglicht dan de beheerders van de doelen die zij bestookt hebben.
Die kun je beschuldigen van incompetentie als je wilt, maar niet van onethisch gedrag, en daar maakt AntiSecNL zich in mijn ogen weldegelijk schuldig aan.
Wanneer je het over een RVC van Sony hebt en dat zij de CEO aan moeten spreken, zit je er naast.
Niet de CEO (algemeen beleid) maar de CIO (IT beleid) is daarvoor het aanspreekpunt.
Klopt ik had eigenlijk Sony niet moeten vermelden. Ik weet dat zulke organisaties een CIO of CTO hebben. Ik gebruikte de naam Sony maar redeneerde vanuit mijn persoonlijke omgeving. Ik werk bij een bedrijf wat niet op de beurs zit. Wij hebben dus gewoon een CEO en een groep IT Managers (onderverdeeld in landen) die direct verantwoording afleggen bij de CEO. Vandaar dat ik de benaming IT Manager en of project manager heb gebruikt. Dit heeft verder weinig te maken met mijn bedrijfskundige kennis, meer met snel typen en het niet na lezen :P Ik probeerde dus ook alleen aan te tonen dat het management van een bedrijf zeker wel verantwoordelijk gehouden kan worden. Zelfs als die niet de benodigde kennis heeft

Ik probeerde het ook los te laten van die kerkelijke website omdat het daar idd iets anders is geregeld en de nood van beveiligen zou niet aanwezig moeten zijn (helaas is dat na deze actie wel nodig)

Verder heb je helemaal gelijk
Je hebt het hier over stumperts die een kerksite hacken....
Niet over mensen die Sony hacken.

Trouwens, waarom zou een linux gateway beter zijn? een willekeurige gateway is maar zo sterk als de beheerder zijn kennis/kunde.


Tevens: Privé personen/klanten gegevens openbaar maken is niet koel!
Een bedrijf laten weten dat je binnen kunt komen en vertellen hoe je het gedaan hebt is wel koel, doet het bedrijf er niets mee, dan maar niet (nog altijd geen reden om gegevens te publiceren).
Je hebt het hier over stumperts die een kerksite hacken....
Ik reageer op de post van Croc en dat heeft weinig betrekking op alleen deze situatie het gaat over de verantwoordelijkheid binnen een bedrijf (ik vind het daarom ook raar dat jij gelijk ingaat op 1 specifiek geval)

Over die gateway, het ging inderdaad om de gateway en niet over het OS (dat vermelde ik dr gewoon bij)

Over de rest van je post: Hier heb ik mijn mening al ergens onderin dit topic over gegeven
Dus hier ben ik het mee eens
Helemaal mee eens. Het hangt natuurlijk wel af van wat voor site.

Een site van een voetbalclub waar geen prive informatie op staat hoeft aanzienlijk minder beveiligd te zijn. Gehacked worden is immers vooral onhandig, het ergste wat er kan gebeuren is dat de server spam gaat versturen.

Maar dating sites of voip sites, of webwinkels, moeten gewoon draaien op veilige software als je daar zelf geen verstand van hebt moet je het goed uitbesteden.

Als een bedrijf daar nalatig in is moet daar gewoon een boete op staan. Dat is helaas wel moeilijk aan te tonen.
Ah, elke CEO moet de ins en outs van Apache kennen, zo niet dan mag z'n bedrijf gehackt worden...

|:(

Een CEO heeft een bedrijf te leiden, die moet niet de systeembeheerder uit hoeven te hangen. 99.9% van de bedrijven besteden hun IT-werk uit.
Vervolgens laat het bedrijf dat ze daarvoor in de arm hebben genomen een steek vallen - door bijvoorbeeld niet stante-pede elke update voor elk stuk software te installeren bij elk bedrijf waar ze support leveren, al was het maar omdat alles eerst door een grondig test-proces heen moet - en tadaaa, er staan gelijk een paar puisterige twintigers klaar om de website te defacen en info op straat te gooien onder het mom "DAN HAD DE CEO ZICH MAAR IN MOETEN LEZEN OVER APACHE !".

Dom gelul van mensen die geen idee hebben van hoe het is om een bedrijf te hebben.
Een CEO moet ervoor zorgen dat hij personen om zich verzamelt die wel de benodigde kennis hebben (dit geldt niet alleen op IT gebied.) Als wij nieuwe producten willen gaan voeren is het toch ook de taak voor de New Business Director (in ons geval) om een zakelijk model te verzinnen, uit te werken en de directie op de hoogte te brengen van al de ins en outs? Als die persoon vergeet om bepaalde licenties te betalen (of dit via een fabrikant doet, wat vaak niet mag) en daarna ruzie krijgt met de eigenaar van die technieken dan is het toch ook de directie die hier indirect schuld aan heeft? Zei moeten afweten van de, voor het bedrijf, belangrijke zaken omdat zei uiteindelijk verantwoordelijk zijn.

Het is dus wel heel simpel om te zeggen als CEO dat jij niks te maken hebt met het IT beleid... WTF ik vang al de IT gerelateerde vragen op die naar onze directie wordt verstuurd en ik kan je nu al aangeven dat wanneer je een middelgroot bedrijf hebt (ik praat over en internationaal bedrijf van 900 mensen en een omzet van een miljard) je helemaal gek wordt gebeld door bedrijven die jou IT producten wel eens willen onderzoeken... Dit bevat de complete IT portfolio van het bedrijf.... Als verantwoordelijke CEO die een bedrijf runt (wanneer je Sony als voorbeeld neemt) waar het internet een belangrijk aspect is kan je van die persoon verwachten dat hij zekerheid wilt hebben dat dit soort zaken goed geregeld worden... In dit soort gevallen is het antwoord "Ja alles is goed" niet voldoende omdat die CEO bewijs wilt hebben. Helaas denken de meeste mensen nog in de oude situaties en vergeten eventjes dat de wereld veranderd en bepaalde zaken die vroeger niet van belang waren (zoals websites) nu ervoor kunnen zorgen dat jij bij problemen in eens 10% van je markt waarde kwijt bent!!!

[Reactie gewijzigd door Mellow Jack op 20 juli 2011 14:09]

Natuurlijk heeft de CEO wel te maken met het beleid, maar hij hoeft zelf niet veel van IT te weten - zijn beleid kan juist zijn dat ie daar mensen / een bedrijf voor in dienst neemt OMDAT hij er zelf niet genoeg kaas van heeft gegeten !

Kortom, de CEO is slim genoeg om van zichzelf te beseffen dat ie er niet genoeg van begrijpt en dus neemt ie een extern bedrijf in de arm.
2 weken later ligt er opeens allemaal info op straat, staat er porno op de homepage van het bedrijf en roepen een paar bleke twintigers "EIGEN SCHULD, DIT IS TERECHT WANT JE HEBT JE NIET IN APACHE VERDIEPT !".

Onzin natuurlijk.

Verder heb je te maken met een veranderende omgeving - een omgeving die vandaag "vrij veilig" wordt geacht kan over 3 maanden - door een zero-day - opeens "vrij onveilig" zijn.
Iemand die een kaashandel (of een kerk) heeft en zijn website door anderen laat maken/onderhouden kan moeilijk geacht worden om dagelijks alle security-fora af te gaan.
Zo iemand is kaasverkoper (of priester), geen security-consultant.

[Reactie gewijzigd door LDenninger op 20 juli 2011 14:40]

Ah, elke CEO moet de ins en outs van Apache kennen, zo niet dan mag z'n bedrijf gehackt worden...
Met een auto zonder APK mag ik niet de weg op. Toch hoef ik niet elke schroef en nippel van mijn auto te kennen om die APK te kunnen krijgen.

Wat we namelijk doen is een aantal deskundigen inschakelen die ons de garantie geven (in het geval van een auto: APK) dat het ding veilig de buitenwereld in kan. Daarmee verleg je de aansprakelijkheid ook naar die deskundigen -- als ik met een APK gekeurde auto rijd en er blijkt achteraf toch iets mis te gaan, dan heeft die keurmeester een probleem.

Ik zie niet in waarom een 'veiligheids-certificaat' in de IT-wereld niet zou kunnen.
Even ter informatie, de APK is een veiligheidskeuring, geeft geen garantie, en er is geen aansprakelijkheid bij de keurmeester.
Een APK certificaat is enkel een voorwaarde om de weg op te mogen.

Maar dat terzijde; Ik ben helemaal voor een 'veiligheids-certificaat' voor sites / servers die toegankelijk zijn en die gebruikersinformatie opslaan.

Maar dat zoiets (nog) niet bestaat is geen rechtvaardiging voor inbraak en sloopacties.

[Reactie gewijzigd door LDenninger op 20 juli 2011 15:58]

Je kunt het ook aantonen ZONDER alle prive gegevens van mensen die er niets mee te maken hebben op straat te gooien. Nee niet voor eigen gewin, dat klopt, maar dit is ook niet netjes. Als ze het in het nieuws gebracht hadden zonder die prive dingen op straat te gooien had ik er wel respect voor gehad. En ja die bedrijven hebben ook hun veplichtingen qua beveiliging, klopt allemaal. Alleen jammer dat het zo ging.
Idd ik ben het 100% eens met dit soort acties maar de uitwerking laat helaas vaak flink wat te wensen over...

Ontopic; gezien hoe de politie te werk is gegaan hoop ik dat ze geen vormfouten hebben gemaakt (weet niet of alles wat ze hebben gedaan wel even legaal is)

Offtopic: Het nieuws bericht van vanmorgen had dus eigenlijk niet gehoeven... Dat bericht is compleet nutteloos zonder argumentatie van justitie, dit bericht daarentegen maakt veel duidelijk en maakt dus een groot deel van de discussie van deze ochtend overbodig :P
Mee eens, maar zeer waarschijnlijk kennen we het hele verhaal niet.

Stel, ze hacken site A, waarschuwen site A. X tijd later proberen ze het nog een keer, en waarempel niks veranderd.

Als dit het geval is, keur ik het nog niet goed, maar moet zeker ook de website een fikse boete krijgen. Immers hadden ze er wat aan kunnen doen.

Ook het nalaten van updates vind ik zeer kwalijk zeker bij de sites zoals hierboven genoemd. Hier vertrouw jij je gegevens aan toe, en hoezeer het niet gehacked mag worgen moet de site zorgen dat alles wat bekend is dicht zit. En als je dus oudere software draait dan is een boete zeker op z'n plek.
Stel, ze hacken site A, waarschuwen site A. X tijd later proberen ze het nog een keer, en waarempel niks veranderd.
Newsflash: je kunt ook naar de media stappen zonder daadwerkelijk de data publiekelijk te publiceren. Dán ben je verantwoord bezig.

[Reactie gewijzigd door .oisyn op 20 juli 2011 14:50]

[...]

Newsflash: je kunt ook naar de media stappen zonder daadwerkelijk de data publiekelijk te publiceren. Dán ben je verantwoord bezig.
Natuurlijk makkelijk gezegd. Die media bepalen zelf wat ze plaatsen of uitzenden, en als ze ook maar een beetje belang bij de 'getroffen' bedrijven hebben (van wie de hackers braaf melden dat er een probleem mee is) dan gaan ze dat natuurlijk niet aan de grote klok hangen. Zelfs voor een site als Pepper.nl is dat al simpel: De media heeft daar ook belangen bij omdat het adverteerders zijn.
@iosyn: Dan is het nog maar de vraag of die media dat daadwerkelijk wereldkundig maken. Een anoniem emailtje of belletje met slechts het bericht dat website X gehacked is, zullen ze niet betrouwbaar genoeg vinden als bron. Dus het wordt hoe dan ook gevoelig voor een van de partijen.

Misschien dat ze in plaats van de buitgemaakte gegevens publiceren, de methode waarop ze het voor elkaar kregen moeten publiceren? Dan zet je meteen elke andere website die vatbaar voor die methode is, op scherp.
ik ben tegen het publiceren van gegevens. maar het zou misschien een keer wel goed zijn, andere bedrijven schikken misschien dan wel van de impact en doen er dan ook wat aan
Volgens mij is Nossio iemand met dezelfde mentaliteit als de Anonymous en AntiSec mensen. Zo blind varen onder de vlag van aanpakken van bedrijven etc die hun beveiliging niet op orde hebben en daarom ook maar goed vinden om de prive gegevens en andere zooi te verspreiden.
Dan is de vraag ook:" Wie zijn nou erger? De hackers of de bedrijven die slachtoffer worden?"

Ik ben zelf zwaar benadeeld door hacking van LulzSec and AntiSec en heb ook 0,0% sympathie voor die figuren.
Ik hoop dat het bewijs duidelijk is en dat die opgepakte kiddies zwaar gestraft zullen worden.

Tegen hackers die hacken en lekken vinden en dat alleen melden aan de bedrijven en organisaties en geen gegevens spreiden..prima ga zo door. Respecteer privacy!
Respecteer privacy
Dat is een mooie, zou het bedrijf waar je deze gegevens achterlaat daar niet mee moeten beginnen? Even nog een kromme vergelijking: Jij slaat je spullen op in een loods bij een bedrijf, sluit netjes je ruimte af. Later kom je erachter dat er een andere deur zo je opslag ruimte in gaat bij de buurman. Ga je dan klagen bij de buurman of het bedrijf die deze mogelijkheid bied? Gelegenheid creeert de dief.

Bedrijven hebben een verantwoordelijkheid naar hun klanten. Stelselmatig worden deze niet genomen. Zolang er niemand piept weet niemand het en doen we er niks aan. Ondanks dat we weten dat er geen bal van klopt. Gillen over script kiddies: maakt het juist nog belachelijker dat die schijnbaar aan deze belangrijke en gevoelige informatie kunnen komen. Dan nog de schuld geven aan de kids dat ze deze gevoelige dat hebben en niet de bedrijven die er verantwoordelijk mee om moeten gaan.
Nee ik hack/crack niet, heb geen aluhoedjes op en heb niks tegen grote bedrijven. Wel vind ik dat ze een verantwoordelijkheid hebben en niet nemen.

[Reactie gewijzigd door 238498 op 20 juli 2011 13:10]

Dat is kort door de bocht, we hebben het hier over een geautomatiseerd systeem wat altijd vatbaar is voor mankementen.
Wat je je moet realiseren is het feit dat wanneer iemand genoeg tijd heeft en middelen er altijd wel een weg is te vinden in een bedrijf.

Daarnaast zijn bedrijven heus niet zo arrogant of alleswetend hoor, een fout kan altijd gemaakt worden, en hackers zijn altijd bezig om nieuwe gaten te vinden, ook ligt de beveiliging vaak in de handen van het bedrijf die dat software pakket heeft gemaakt, als die niet snel genoeg een update kan uitbrengen ben je al sowieso, tijdelijk, de sjaak.

Overigens om je verhaal af te maken, moet de dief, die door de deur van de buurman jouw garage binnenkomt dan ook per definitie jouw spullen jatten om een goed punt te maken bij het bedrijf?
Dus als een bedrijf een technische fout maakt, dan zijn alle remmen los en mogen cybercriminelen maar doen wat ze willen omdat "bedrijven maar moeten voelen?"

Sony moet al voorkomen bij het gerechtshof om zijn fouten te beargumenteren, maar dat is natuurlijk niet van toepassing, de hackers mogen immers schade aanrichten omdat Sony een fout heeft gemaakt.
PayPal mag plat liggen omdat het weigert mee te werken met WikiLeaks, en bovendien mogen gamebedrijven gehacked worden omdat ze Sony helpen.

Ik snap dat het hier misschien om een principe kwestie gaat, maar let er wel op dat niet alleen het bedrijf maar ook z'n klanten worden gedupeerd, en dat is nu juist de doelgroep die je wil beschermen. Het is niet nodig om iemand z'n spullen uit het depot te jatten om duidelijk te maken dat er wat aan de hand is.
Eveneens is het onnodig om gegevens van klanten op de straat te gooien, ik denk dat je wel anders piept als je bankgegevens op straat belanden. Natuurlijk mag je boos zijn op de bank dat deze lek überhaupt bestaat, maar rechtvaardigt dat nu de actie van de hackers?

Dus kortom, als en wanneer, jij hebt een brak slot wat ik makkelijk kan omzeilen door er een pin in te steken, dan heb ik vrij spel om je huis leeg te halen? Want het is namelijk de verantwoording van de slotenmaker om een goed slot te maken?

Als laatste kun je natuurlijk ook begrijpen dat het hier om "hackers" gaat, niet om een normale consument die met inloggen ineens een .txt bestand aangeleverd krijgt met alle gegevens, er is dus nadrukkelijk gekeken en ingebroken om deze gegevens te bemachtigen. Een slottemaker of ervaren dief kan jouw slot op de voordeur ook omzeilen of forceren, dat betekent niet dat het een slecht slot is, het is nu eenmaal mogelijk als je er maar genoeg tijd voor hebt.
Het is dus heel makkelijk om te zeggen, "ze moeten het beter beveiligen" maar er staat niet bij hoe deze gegevens zijn bemachtigd.

[Reactie gewijzigd door SacreBleu op 20 juli 2011 12:42]

Grappig Nossio,

Weet je waarom hackers in kunnen breken?
Omdat ze vergaande kennis hebben van hoe ze zich toegang moeten verschaffen tot een domein, website etc.
Dit is feitelijk hetzelfde als een fiets opmaken met een betonschaar, het flipperen van een huisdeurslot, of in een auto inbreken met een metaalstrip.
Dit zijn methodieken die het mogelijk maken om jezelf toegang te verschaffen tot iets, wat normaal niet mogelijk is, hoewel deze technieken voor iedereen beschikbaar zijn.
Deze websites zouden volledig veilig zijn als er geen mensen waren die plezier hebben in oneigenlijk gebruik van het internet.
Zo zou je dan ook niet je deur , je auto, je fiets op slot hoeven te doen.
Dit hoeft alleen, omdat er een laag de bevolking is die vinden dat ze recht hebben op andermans zaken, gegevens, etc ,etc.
Dit in ogenschouw nemende zijn deze hackers niets anders dan ordinaire criminelen.
Blijf gewoon met je poten van andermans spullen af.
En opmerkingen als gelegenheid creeert de dief..........
Een dief is gewoon een dief en moet geleerd worden het niet te zijn, dus oppakken en opsluiten.
Nee dit is het gebruik maken van bekende mankementen. Om even je vergelijking door te trekken: Ik weet dat fiets A en slot B mee te nemen zijn door op plek C een klap te geven. Dit is algemeen bekend in de fietsenwereld en daarom is er een slot B versie 2 voor deze fiets. Aangezien het bedrijf hier niks mee doet en ondanks het bekend is, toch de fietsen met dit slot blijft verkopen. De consument is toch dom en koopt de fiets toch wel. Mocht iemand er achter komen sturen we hem wel een slotje versie 2.

Nog korter door de bocht:
Lullig voor sommige mensen dat er prive gegevens bekend zijn: Jammer dat er nu bekend is dat ondanks dat iemand getrouwd is met 2 kinderen aan het rondneuzen is op pepper. Krijg maar is door dat internet "gevaarlijk" kan zijn. Krijg maar is door dat bedrijven winst gedreven zijn en niks om jouw gegevens en mening geven.Trek dit maar verder door naar het EPD, de nieuwe paspoorten met vingerafdrukken, je gegevens op hyves, facebook en ga zo maar door. Gebruik overal dezelfde naam en wachtwoord link alles aan elkaar en zet je hele hebben en houwen op internet. Dan als er door falende beveiliging bij een derde alles op straat ligt ga je klagen bij diegene die dit aantoont. En niet diegene die jouw gegevens beheerd. Als ik op straat op je afloop en je allemaal persoonlijke vragen stelt geef je dit ook niet aan een onbekende. Maar op internet kwak je het overal neer zonder na te denken wat de gevolgen kunnen zijn.

In het begin was het leuk en terecht, nu blijkt dat er veel meer bedrijven zijn die zich schuldig maken aan deze praktijken en dus ook persoonlijke gegevens te bemachtigen zijn is het ineens niet zo leuk meer. Terwijl de handeling hetzelfde is maar met het verschil dat het "jouw" betreft deze keer.

<edit typo's>

[Reactie gewijzigd door 238498 op 20 juli 2011 13:38]

Maar nu gebruik je een voorbeeld waar wel degelijk bekend is dat er een 'lek' is.
Jij gaat er dus automatisch vanuit dat elk bedrijf weet dat er een lek zit en hier simpelweg niets aan doet.

Daarna geef je ineens de insinuatie dat het eigenlijk de schuld is van de consument, want die moet beter weten wat voor informatie hij vrijgeeft.
En nu maak je de aantijging dat elk bedrijf weet dat de gegevens, wel beveiligd maar vatbaar voor hacken, beschikbaar zijn, als je daar naartoe gaat werken als hacker.
Dat zijn best wat insinuaties en beschuldigen die vanuit het niets komen en zomaar uit de lucht worden gegrepen.

Daartoe is het logisch dat je op een sociale media site gegevens over jezelf prijs geeft, daar kies je zelf voor, dat wordt niet afgedwongen, er zijn genoeg mensen op Facebook die geen achternamen invullen, vooralsnog heb ik ook nog geen melding gezien dat privé gegevens van Facebook gebruikers prijs zijn gegeven, dus ik snap je redenaties en voorbeelden niet.

Je hebt het ook standaard over bedrijven die zich ergens "schuldig" aan maken, maar dat is niet zo. We hebben het hier over hackers die zich specialiseren in het omzeilen van een systeem. Een kluis is veiling wanneer iemand er niet zomaar in kan lopen door simpel de knop naar benden te trekken, dat een crimineel erdoorheen komt door de bouten met gespecialiseerde hardware weet te verwijderen is niet zozeer te verwijten aan de bank. Hij/zij is namelijk niet "zomaar" binnengekomen.

Zozeer is dat ook met hackers, het is niet zo dat hij/zij deze gegevens even simpel heeft opgevraagd door middel van het gebruik van een simpel zoekbalkje, hier is specialistische kennis bij komen kijken en wellicht gespecialiseerde software.
Daarbij ligt de beveiliging niet altijd aan kennis van het bedrijf maar een bug van software dat ook vaak geleverd is door een derde, deze zijn de enige die weten hoe dat op te lossen is. Ik kan bijvoorbeeld geen virusdefinities schrijven voor Norton simpelweg omdat deze dat niet toelaat.
Gelukkig gebruik je toch nog het woord "dief".
Tuurlijk hebben bedrijven verantwoordelijkheid om de data veilig op te slaan.
Maar als er een gat in de beveiliging is geeft dat niemand het recht om die data te stelen en publiek te maken...
2 wrongs don't make a right etc etc..
Jouw voorbeeld is een voorbeeld van GEEN beveiliging. Als je jouw voorbeeld correct wil aanpassen dan zou er wel een slot op die zijdeur zitten, maar zou dat slot voor een inbreker makkelijk te openen zijn. Als je buurman dan dat slot breekt (analoog: als jouw helden de scriptkiddies de beveiliging kraken), dan lijkt het me inderdaad dat je die buurman er op aan spreekt (of eigenlijk dat je in samenspraak met het bedrijf aangifte bij de politie doet tegen die buurman). Daarnaast zou je inderdaad het bedrijf er op aan kunnen spreken of ze niet eens een beter slot er op zouden zetten, maar dat betekent niet dat de inbrekende buurman ineens niet meer schuldig zou zijn of dat het bedrijf hier per definitie fout zat.
Goed voorbeeld! Wat ook meespeelt is dat veel bedrijven laks reageren en pas daadkrachtig gaan optreden als je ze in verlegenheid brengt.
Oftewel als je ze een mailtje stuurt dat ze beveiligingsissues hebben zullen je waarschijnlijk negeren of het bagatelliseren (wat niet weet wat niet deert).

Zoek je groots de media op, dan is men in verlegenheid gebracht en moet men het probleem wel oplossen. Tegelijk schreeuwt men moord en brand hoe gemeen die hackers wel niet zijn...

Misschien moet er een meldpunt komen waar zaken gemeld kunnen worden en mediaaandacht krijgen, maar zolang de tendens heerst om zaken onder de pet te houden blijf je dit houden.
En als vervolgens jou buurman inbreekt in de loods, ga je dan ook roepen:
"Ja, maar de buurman kan ik niets kwalijk nemen. De deur stond immers open en dat is de verantwoording van het verhuurbedrijf. " ?

MAW, vind je dan dat de buurman totaal geen schuldheeft omdat gelegenheid de dief creert? 8)7
Als jij de autosleutels van je buurman op straat vind, of hij heeft deze in zijn deur laten zitten... steel je dan ook eerst zijn autoradio alvorens hem de sleutels terug te geven met de opmerking: dat gebeurd er nou eenmaal...
Mooi voorbeeld !

Ikzelf ben ook nog steeds van mening dat je je fiets zonder slot ergens weg zou moeten kunnen zetten zonder dat iemand hem meeneemt.

Ik weet dat dit heel idealistisch klinkt (en is) maar ik vind het niet meer dan normaal dat je je gewoon van andermans spullen afblijft ... ongeacht of deze spullen vrij, makkelijk of door nalatigheid toegankelijk zijn.
Geheel mee eens.

Hoop niet voor de jongens dat de schade op hen verhaald wordt, dat loopt al gauw in de tonnen. Dat wordt de rest van je leven afbetalen. Aan de andere kant schud het misschien wel anderen wakker als hier een voorbeeld wordt gesteld. En tante Anny Nomoes is aan een reactie aan het ' werken'. Lijkt net of ze zich serieus nemen de jochies..

De lekken aantonen en melden is 1 ding, maar gegevens zomaar publiceren moet in mijn ogen bestraft worden. Aan de andere kant moet het ook mogelijk zijn dat wanneer het bedrijf hier niet naar luistert er aangifte tegen dat bedrijf gedaan kan worden zodat deze bedrijven voor nalatigheid strafrechtelijk vervolgd kunnen worden.
Ik weet dat dit heel idealistisch klinkt (en is) maar ik vind het niet meer dan normaal dat je je gewoon van andermans spullen afblijft ... ongeacht of deze spullen vrij, makkelijk of door nalatigheid toegankelijk zijn.
Maar als je bij de politie komt klagen dat je fiets is gepikt, zullen ze eerst vragen 'Stond hij wel op slot?', en na het antwoord gewoon zeggen "Sja, pech voor je!". Had je maar een paar euro in een fatsoenlijk slot moeten steken.
[...]


Maar als je bij de politie komt klagen dat je fiets is gepikt, zullen ze eerst vragen 'Stond hij wel op slot?', en na het antwoord gewoon zeggen "Sja, pech voor je!". Had je maar een paar euro in een fatsoenlijk slot moeten steken.
Neeheeee, we hebben het inmiddels al vele keren uitgelegd hier, dat is simpelweg gelul !

Ook als je fiets NIET op slot staat kun je gewoon aangifte doen en wordt je aangifte gewoon opgenomen. Een fiets die open staat mag je echt niet zomaar meenemen, ook als ie niet op slot staat is dat gewoon diefstal !

Ik vraag me echt af hoe sommige mensen opgevoed zijn door hun ouders.
Hebben jouw ouders je echt geleerd dat je zaken die niet op slot staan gewoon mag inpikken ?
"hadden ze 'm maar op slot moeten zetten, nu is ie van jou !" ? :?

[Reactie gewijzigd door LDenninger op 20 juli 2011 15:48]

Had je maar een paar euro in een fatsoenlijk slot moeten steken.
Een echt fatsoenlijk fietsslot (eentje dat er niet binnen 5 seconden af te halen is) kost zo'n 40 à 200 €. Wat meteen ook de reden is waarom de meeste mensen er geen hebben voor hun fiets die ongeveer 25 à 250 € waard is...

[Reactie gewijzigd door Filip Maurits op 21 juli 2011 14:07]

Mag ik aantonen dat professionele inbrekers jouw huis wel in zouden kunnen komen door met een ijzerdraadje via de brievenbus je deur open te maken en vervolgens in je huiskamer te poepen en je inboedel te verkopen ?

Dit soort gedrag slaat nergens op - als je slechte beveiliging wilt aantonen kun je dat prima doen zonder te defacen of informatie op straat te gooien.

Dit soort gasten zijn het digitale equivalent van eikels die tegen de rechter zeggen "dat ze erom vroeg omdat ze zo'n kort rokje aanhad".

[Reactie gewijzigd door LDenninger op 20 juli 2011 11:42]

Mag ik aantonen dat professionele inbrekers jouw huis wel in zouden kunnen komen door met een ijzerdraadje via de brievenbus je deur open te maken en vervolgens in je huiskamer te poepen en je inboedel te verkopen?
In dat geval wordt die inbreker er zelf beter op dor jouw inboedel te verkopen.

Het is meer dat je een stuk bordkarton voor je raam plakt waar iedere simpele ziel doorheen kan duwen, en daar een stapel folders met gegevens van je klanten achter legt. Er wordt niemand beter van, maar hooguit een derde partij (de klanten) worden ook de dupe door collateral damage.
Dit soort gedrag slaat nergens op - als je slechte beveiliging wilt aantonen kun je dat prima doen zonder te defacen of informatie op straat te gooien.
En dan mag je me eens haarfijn uitleggen hoe je dat doet als de bedrijven bij wie je het aankaart het gewoon vertikken om te veranderen, als je ze netjes een briefje in de bus doet met "Hoi, ik zie dat jullie een bordkartonnen voordeur hebben. Misschien wel eens handig om er wat aan te doen voordat iemand inbreekt?"

Hooguit dat je dan een brief terug krijgt met "Hoepel op, smartass. Als je ons nu hackt dan weten we waar we de politie heen moeten sturen."

Naar de pers stappen heeft 9 van de 10 keer ook geen zin. Die hebben toch iets meer belangen bij grote bedrijven die grof geld voor reclame betalen dan een clubje suffe hackertjes die denkt dat ze die lui te slim af zijn.
[...]


In dat geval wordt die inbreker er zelf beter op dor jouw inboedel te verkopen.
Okee, dan veranderen we "op marktplaats verkopen" door "op marktplaats.nl weg te geven".
Is het dan ineens okee ?
En dan mag je me eens haarfijn uitleggen hoe je dat doet als de bedrijven bij wie je het aankaart het gewoon vertikken om te veranderen, als je ze netjes een briefje in de bus doet met "Hoi, ik zie dat jullie een bordkartonnen voordeur hebben. Misschien wel eens handig om er wat aan te doen voordat iemand inbreekt?"

Hooguit dat je dan een brief terug krijgt met "Hoepel op, smartass. Als je ons nu hackt dan weten we waar we de politie heen moeten sturen."

Naar de pers stappen heeft 9 van de 10 keer ook geen zin. Die hebben toch iets meer belangen bij grote bedrijven die grof geld voor reclame betalen dan een clubje suffe hackertjes die denkt dat ze die lui te slim af zijn.
Dus dan "duw je zelf maar door het karton heen om alle spullen te pakken en op straat te flikkeren" ?
Serieus ?

Wie het ook is die er inbreekt, het is simpelweg verboden.
Boos worden omdat er ergens ingebroken zou kunnen worden, en daarom zelf dan maar inbreken en alles op straat gooien ?
Dat is niet alleen illegaal, maar slaat ook echt helemaal nergens op :')
Misbruik?? Ze tonen de arrogantie aan van deze bedrijven.
En ze tonen hun eigen arrogantie en bovendien criminele activiteiten aan door de gegevens van de gedupeerden publiekelijk bekend te maken. Er zijn meerdere manieren waarop je de "arrogantie" aan kunt tonen zonder de gegevens op straat te gooien. Terecht dat deze lui zijn opgepakt.
Volgens mij kun je dat ook op een andere manier aantonen dan de prive gegevens en wachtwoorden van nietsvermoedende onschuldige burgers te lekken. Ze treffen daar namelijk niet alleen die bedrijven mee, maar ook hun klanten.
Sorry maar wat is datgeen dat die gasten doen dan zijn zij niet net zo arrogant en maken zij ook geen misbruik van de macht die zij nemen/hebben?
"Ze laten zien wat er mogelijk is en gebruiken het niet voor eigen gewin of verduistering."

Nee, maar ze gooien wel persoonlijke gegevens van mensen op straat die totaal geen invloed hebben op de beveiliging. 8)7

Leuk dat je het zo op neemt voor de hackers maar denk je ook nog even aan de onschuldige slachtoffers die ze hebben gemaakt?
Heeft niks te maken met "arrogantie". Een simpel bericht naar de afdeling communicatie met de mededeling dat er problemen zijn met de beveiiging, de methode waarop de hack gedaan is, is veelal voldoende om de boel goed dicht te zetten. Het presenteren van de data naar buiten toe is totaal overbodig. Ook als pressiemiddel. Heb bij klanten meegemaakt dat er meldingen binnenkwamen over bepaalde issues met websites qua beveiliging, en na melding direct gefixed of site off-line gehaald. En dat in 100% van de gevallen.

Nee, wat die jongens doen is gewoon media geil zijn door dit soort zaken op totaal verkeerde wijze uit te voeren. Ik denk ook dat er een klein aantal "nobele" gedachten achter zaten, maar dat de rest gewoon bezig is uit verveling en met cybervandalisme. Met verdijnen van telefooncellen, anti-grafitie muurverf, hufterproef buscellen is het nu verhuisd richting Internet.

Ik denk dat we de twee termen hackers en crackers maar eens moeten uitbreiden naar Wrackers(c) voor dit soort cybervandalen.
Misbruik?? Ze tonen de arrogantie aan van deze bedrijven. Het machtsmisbruik, uitzonderingspositie en zichzelf overal boven plaatsen zonder verdere gevolgen is schandalig
:')

Wie maakt er misbruik van zijn/haar macht ? Me dunkt de scriptkiddies die rucksichtlos sites defacen en persoonlijke info op straat gooien - ondertussen een bedrijf beschadigend dat zijn IT uitbesteed heeft en uberhaupt geen weet heeft van sql-injectie.

Wie plaatst zich overal boven ? Die scriptkiddies - die nemen het recht in eigen hand.
Wat zij doen is simpelweg wettelijk verboden, en toch doen ze het.

Wie is er arrogant ?
Die scriptkiddies met hun opschepperij op IRC en Twitter.

Misschien moet je nog maar eens goed nadenken voor je wat post.

[Reactie gewijzigd door LDenninger op 20 juli 2011 13:22]

Dus Sony voldoet voor jou aan deze eisen? Sony treft geen blaam? Sony heeft aan alle door jou genoemde zaken geen schuld want hoe kunnen ze dit nou weten of verwachten? Kijk ook even naar alle andere bedrijven die hieronder vallen en gepakt zijn door deze kiddies.
Of gaan we nu weer beginnen over een woonkamer volschijten?
Wees zelf ook wat genuanceerder in je posts en neem je eigen advies ter harte.. Zelfkennis is een groot goed.
Waar heb je het over met je Sony ?
Bedoel je dat het terecht is om een bedrijf te DDOS'en enkel omdat ze het spelplezier van hun betalende klanten beschermen tegen hackende eikels ? Of is het gewoon altijd terecht om een bedrijf te DDOS'en als je het niet eens bent met een bedrijfsmatige beslissing ?

Okee, vergeet Sony, ik kijk wel even verder zoals je wilt.

Even kijken, bronkerk.nl, waar hadden die schuld aan ook alweer ?
Waarom was het terecht om de site te defacen met porno (= het digitale equivalent van 'de huiskamer volschijten') ?

Nou, nog even verder.
Pepper.nl, wat heeft die precies gedaan ? Waar was de machtsmisbruik, de uitzonderingspositie en waar 'plaatsten ze zich boven alles en iedereen' ?

Ik ben benieuwd naar je uitleg.

[Reactie gewijzigd door LDenninger op 20 juli 2011 14:46]

Hij doelt op de hack van Sony (weet je wel die ene mogelijk gemaakt door het gebruik van oude apache software)... Reageer daar anders even op en lees voor de lol nog even zijn laatste zin ;)
Ja want pepper.nl is inderdaad een arrogant machtsmisbruikend bedrijft...

Blaat niet als een schaap andere na maar gebruik je eigen hersenen.
@nossio: dus al ik inbreek bij jou en jouw vrouw/vriendin en ik kan aantonen dat jij vreemd gaat, wat kies jij dan?

1: ik waarschuw jou dat je de deur beter op slot moet doen
2: ik vertel heel nederland en jouw vrouw/vriendin met wie jij vreemd gaat, foto erbij

JIJ zou dus optie 2 kiezen? Ik niet, ik kies optie 1, en helpt dat niet dan geeft mij dat
NOOIT EN TE NIMMER het recht om die gegevens op straat te gooien.
Eh... dus als ik de voordeur open laat staan en m'n huis wordt leeggehaald kan ik gewoon zeggen dat het aan de inbrekers ligt?

Je hebt als beheerder/bezitter van waardevolle gegevens de plicht deze goed te beveiligen/beschermen tegen inbraak en/of diefstal.

Een fietzverzekring wordt ook alleen uitgekeerd als je kunt aantonen dat de fiets op slot staat...
Punt is wel dat de wet nog niet heeft gezegd dat je alle bekende bugs moet patchen.
Ook de verzekering polisvoorwaarden omschrijven het, aan zekerheids-grenzende waarschijnlijkheid, niet.

Natuurlijk moet je je wel inzetten om veilig te blijven, want voorkomen is beter dan genezen, glas helder.

Het zit alleen zó:
13 slimmeriken bij elkaar maken een contract, voorwaarden, polisblad en een paar formules om geld te verdienen en flansen dat in elkaar met een notaris.
Niemand van die combo snapt iets van computers, dus niemand zal denken: Gòh, zou die sql-injectie vulnerability van het vorige millennia al gepatched zijn?
Of
Nou, eens even kijken of een paar kleuters/peuters kunnen inbreken met een hacktutorial ernaast.

Ik zou het wel weten als ik een website in het beheer had. Eerst 3 maanden op intranet en in die tijd blootstellen aan twee teams die hun werkwijze noteren en de site tot stront reduceren, zodat ik het kan voorkomen wanneer het voor het echie moet.
Kosten? Who the f cares? Smoke one _/-\o_ and chill.

Dit soort imago verlies zet mensen aan het denken en het word steeds minder gepikt van de gewone burger dat onze data door een 4-tal noobs gejat worden.

[Reactie gewijzigd door Yezpahr op 20 juli 2011 12:30]

3 maanden testen.. Doe jij dan nooit updates installeren of zo? Updates = nieuwe software = nieuwe mogelijkheid op bugs, dus opnieuw testen. Of test je alleen de eerste drie maanden en daarna nooit meer? Dus jij gaat eerst drie maanden de updates testen en daarna pas installeren? Dan ben je wel drie maanden vatbaar voor security bugs. De wereld is echt niet zo zwart/wit als jij nu schetst.

Grappig dat je nu roept dat je je niet druk maakt over de kosten, maar als bedrijven hun prijzen verhogen roept iedereen moord en brand. Hoe langer een bedrijf moet testen, hoe duurder hun product. Elk bedrijf is dus altijd op zoek naar de balans tussen testen en kosten.

Maar om de een of andere reden hebben deze crackers niet een Toyota showroom leeg geroofd, terwijl Toyota recent nog auto's heeft moeten terug roepen omdat er een probleem is.

Maar als men alles in het werk moet stellen om security bugs te voorkomen, betekend dit ook dit je niet moet gaan zeuren als de overheid iedereen gaat controleren om een terroristische aanslagen tegen te gaan. Of mogen terroristen dan ineens niet de beveiliging van een land testen? Ik zie groeperingen als AntiSecNL dan ook gewoon als een digitale terreur organisatie welke hun akties (schade toebrengen aan bedrijven en particulieren) proberen recht te praten met hun geloof (bedrijven mogen geen fouten maken).
Als je uit protest een gebouw bezet waardoor dat bedrijf dan een dag lang niet werken kan... dat is niet veel anders dan een website platgooien (ook een dag lang geen werk).

Waarom is de site platgooien dan gelijk terreur en dat andere een vredig protest?

Probeer appels met appels te blijven vergelijken, niet met peren, want er zijn 0 dodelijke slachtoffers en gewonden gevallen en er is geen schade aangericht die gerepareerd moet worden.
Tenzij je de reparatie van dat lek mee telt, maar dat had eigenlijk al dicht moeten zijn.
Als je uit protest een gebouw bezet waardoor dat bedrijf dan een dag lang niet werken kan... dat is niet veel anders dan een website platgooien (ook een dag lang geen werk).

Waarom is de site platgooien dan gelijk terreur en dat andere een vredig protest?

Probeer appels met appels te blijven vergelijken, niet met peren, want er zijn 0 dodelijke slachtoffers en gewonden gevallen en er is geen schade aangericht die gerepareerd moet worden.
Tenzij je de reparatie van dat lek mee telt, maar dat had eigenlijk al dicht moeten zijn.
En terwijl je het bedrijf bezet houd open je de administratie, maak je overal een kopie van en deelt die uit op straat. Alle personeelsbestanden, klantgegevens, leveranciersinformatie, financiële informatie........
Dat andere wordt ook gezien als terreur.
Nooit gezien hoe greenpeace-activisten die een toegangspoort bezetten door de politie afgevoerd werden ?

Ik denk dat jij in de war bent met een vreedzame staking van het personeel, maar dat is natuurlijk heel wat anders.
@Niemand_Anders
Jonge, als jij dus een website online zet, dan controleer je dus ook geen enkele security issue?
Gewoon online zetten op goede hoop en pas handelen als je merkt dat je server al 3 dagen malware verspreid en jij daarvoor verantwoordelijk bent omdat jij dacht van "Gewoon online klappen, als we maar zsm diensten & producten kunnen verkopen!"

Ik zeg gewoon precies wat ik zou doen:
Ik zou een stel die-hard hackers uit mijn kennissen groep vragen zoveel mogelijk hacks te proberen en alles te documenteren en uitleg hoe ik het moet voorkomen.

Dan bespaar je je ontzettend veel manuren wanneer er een 4-tal tieners opeens je servers uit de lucht halen.
Eh... dus als ik de voordeur open laat staan en m'n huis wordt leeggehaald kan ik gewoon zeggen dat het aan de inbrekers ligt?
Het zou je niet horen te verbazen dat stelen niet mag, ook niet als iemands voordeur open staat.
Ik ben echt benieuwd hoe ze jou opgevoed hebben vroeger.
"Stelen mag niet, behalve als je het gewoon mee kunt pakken want dan mag het gewoon hoor !" ?
Rare ouders.

[Reactie gewijzigd door LDenninger op 20 juli 2011 11:57]

Ook als je je voordeur open laat staan hebben inbrekers nog niet het recht om naar binnen te gaan. Ditzelfde geldt voor inbreken op de systemen van deze bedrijven. Dat er de mogelijkheid is om "gemakkelijk" in te breken wil nog niet zeggen dat je van die mogelijkheid gebruik mag maken, laat staan de gegevens publiceren die je bij deze acties bemachtigt.
Als je toch een vergelijking wilt gebruiken, maak ze dan een beetje eerlijk. Want er was wel degelijk technische kennis nodig om binnen te geraken, wat je met een open voordeur niet nodig hebt.

Dus : eerst werd er geprobeerd het slot te forceren, maar de deur ging niet open. Vervolgens werden alle ramen afgegaan en werd er een koevoet op het kelderluik gezet, zonder succes. Na enkele rondjes door de tuin om de situatie beter te bestuderen zijn ze dan met een ladder via het dakraam op de tweede verdieping wel binnengeraakt. Voilà, betere analogie imho :D
En dit is niet strafbaar volgens maxxware :)

Enge jongen die maxxware. Stel hij werkt bij een klant. Hij ziet dat er op de gang een aantal dozen met nieuwe laptops staan. Als systeembeheerder denkt hij dan, ja ze staan niet in een kluis met 50cm dikke gewapende betonnen muren, dus mag ik ze gewoon meenemen :)
Het is maar goed dat jij mijn buurman niet bent, je zegt dus nu in feite dat je een potentionele dief bent
Waarom haal je de verzekering aan om aan te tonen dat je zelf schuldig bent aan het laten stelen van je fiets?
Een verzekeringspolis is een overeenkomst met voorwaarden die bij beide partijen van te voren bekend zijn en daarom wordt er ook alleen uitgekeerd als er aan de voorwaarden voldaan is. Dat heeft niks met het overtreden van de wet te maken.
Degene die van rechtswege schuldig is aan het stelen van de fiets of de inbraak in het huis is nog altijd de dief.

Of verwacht jij dat de rechter zal zeggen: geachte meneer de inbreker, u bent onschuldig aan inbraak/diefstal want het werd u wel erg makkelijk gemaakt en gaat daarom vrij uit. De meneer echter waar u hebt ingebroken gaan we vervolgen voor nalatigheid.
geen twijfel over mogelijk, de hackers, praat die idioten niet goed joh. Als ze alleen laten zien dat 't mogelijk is dan is 't wat anders, maar dat is hier NIET 't enige wat ze doen

Anders is elke inbreker 'goed' en elk slachtoffer daarvan 'fout' want blijkbaar was 't mogelijk dat de inbreker inbrak en die toonde dat zo aan.
De benoeming idioot is wel erg hard... Ze doen echt wel goede zaken, de uitwerking is alleen imo wat minder! Al hadden ze de nazorg beter verzorgt (dus geen prive gegevens gepubliceerd) dan hadden het in eens toffe gasten geweest :) Nee het doel wat ze voor ogen hebben, of het iig zo laten lijken, is zeker wel goed en daar is bijna iedereen het dr wel mee eens (op de credit card en psn aanvallen na) maar wanneer je jezelf profileert als good guy moet je ervoor zorgen dat de mensen ook geen mogelijkheid hebben om daaraan te twijfelen (iedereen vind het aantonen van beveiliging fouten goed alleen het traject daarna vallen de mensen over)

Dit kan je dus niet vergelijken met een inbreker, je kan die vergelijking pas maken wanneer de inbreker ervoor kiest om jou deur te open, binnen gaat zitten, een klein dingetje meeneemt (iets zonder enig nut) en op jou wacht totdat je thuis bent. Dan moet die inbreker het dingetje laten zien om te bewijzen dat jou beveiliging slecht was :P

Maar ja als dr is ingebroken in je huis hoeft niemand je zoiets te vertellen (dat kan je zelf ook wel zien) en hoeft ook niemand te laten zien wat je daaraan kan doen (omdat dit soort zaken ook logisch zijn, zoals bijv dubbele sloten oid). Het is dus niet realistisch om zoiets "simpels" als inbreken te vergelijken met iets als hacken want het gevaarlijke bij hacken is juist dat wanneer iemand het goed doet, jij nooit te weten komt dat je gehacked bent (vrijwel onmogelijk bij een inbraak) en daarom is het belangrijk dat mensen je systeem proberen te hacken en deze info aan jou doorspelen voordat de inlichtingen diensten van de USA of China dit ontdekken en al je geheime informatie monitoren zolang ze stiekem gebruik kunnen maken van deze "hack"
Zucht, niet weer deze discussie...

Als er wordt ingebroken in je huis of auto, dan moet de politie jou ook maar vervolgen voor nalatigheid? 8)7

Anyways, goede zaak dat dit wordt aangepakt.
Ik vind dit geen goede benadering van dit probleem, immers: als er in je auto wordt ingebroken terwijl deze op slot staat, krijg je (als je er tegen verzekerd bent) de kosten vergoed.

Zet jij je auto niet op slot, zal de verzekering deze schade niet dekken.

Zo moet je dit ook zien, beveiligt een bedrijf haar website niet goed, zal deze onherroepelijk gehackt worden.
Okay, klopt over het afsluiten. Ben ik met je eens. (Ik zeg ook dat er ingebroken wordt, niet dat iets niet is afgesloten)

Maar het gaat natuurlijk ook over de mate van beveiliging. Zijn de gehackte sites dan helemaal niet beveiligd?

[Reactie gewijzigd door Sssquirrel op 20 juli 2011 11:34]

Daar kan ik natuurlijk niet inhoudelijk op reageren, wat ik wel vaak merk ik de praktijk is dat er te weinig naar de beveiliging van websites wordt gekeken. En daar moet vind ik wat aan gedaan worden.

Het is misschien goed, als je zo'n groot bedrijf bent, om deze "betaald" te laten hacken, waarna de eventuele fouten worden opgelost.

En hier zit denk ik ook het probleem: dat kost geld.
De autodeur zat dicht, toch was die heel simpel open te maken. Technisch kun je dus zeggen dat de auto dan ook beveiligd was, je moest immers iets doen om erin te komen. Datzelfde geld voor de websites, op het eerste zicht is er niks mis, totdat je iets heel simpels probeert.

In het algemeen geld inbraak dan ook enkel (zie ook sporen onderzoeken etc) als er schade aangebracht moet worden om toegang te verschaffen. Geen schade = niet goed genoeg beveiligd en dan word er door de verzekering niks uitgekeerd.
Datzelfde moet voor websites gelden, alleen als er schade aangebracht word (bv geavanceerde technieken rond code injectie) zou verzekering mogen gelden.
Of een verzekering wel of niet uitkeert heeft toch niks te maken met de schuldvraag en de legaliteitsvraag ?

De schuld ligt altijd bij de dader, de wet bepaalt of iets illegaal is.
De verzekering bepaalt enkel of iets voldoet aan van tevoren afgesproken voorwaarden.
Oh dus als een bedrijf haar website niet goed beveiligen dan vind jij dat de hackers het recht hebben om desbetreffende website te hacken en prive gegevens openbaar te zetten?

Mensen zoals jij zijn gewoon net zo triest als deze hackers. Denk niveau van 0
Ik keur dit niet goed, maar het is gewoon een feit. Net zo goed met het slot. Staat je huis niet op slot, dan kun je er van uit gaan dat er binnen no time ingebroken is.

offtopic:
En waar staat dat ik dit zeg? Ik kan het niet terug vinden, ik vind het jammer dat je mensen in hokjes plaatst, terwijl jij zelf niet begrijpelijk kunt lezen.
Ken genoeg huizen waar de achterdeur gewoon open is de hele dag door, alleen snachts niet en waar nooit is ingebroken in de afgelopen 30 jaar. Dus hoe sterk is deze hypothese.
Alleen TBS met dwangverpleging kan ons beschermen tegen de hackers.
Als jij je deur openlaat staan en ik loop naar binnen: ik pak je tv en zet deze voor je deur en plak er een foto op die je aan de muur hebt hangen. Op deze wijze laat ik zien dat je niet echt slim bezig bent. Het is maar net hoe je er tegen aankijkt. Moet je dan aangifte doen of zelf is gaan nadenken??
Als ik met een ijzerdraadje via je brievenbus je deur kan openmaken en ik schijt vervolgens je huiskamer onder en verkoop je TV, ga jij dan "zelf eens nadenken" of doe jij aangifte tegen mij ?
Aangifte doen kan niet, geen schade aan ramen/deuren om als inbraak te kunnen gelden. Dus politie/verzekering zullen niks doen.
Hooguit een zaak tegen jou starten omdat het aannemelijk is dat je fraude pleegt - wie is immers zo dom de deur niet op slot te doen.
Ligt aan je polis, maar als ik kan bewijzen dat iedereen met een sleutel op dat moment onmogelijk in huis kon zijn dan betaald de verzekering gewoon uit, na aangifte bij de Politie. Zelfde als stelen van mijn vuilcontainers toen ik op vakantie was uit de tuin. Geen braaksporen, maar containers weg. Verzekering betaalde gewoon.
Er spoort werkelijk niks van je post.

Aangifte doen kan prima bij inbraak / huisvredebreuk; dat is immers verboden.
Daar hoeft je geen schade voor te hebben, sterker nog, daar hoeft je deur niet voor op slot te zitten.

Dat de verzekering niet uitbetaalt heeft nergens iets mee te maken, dat is enkel een regeltje in een contract dat je met hen hebt gesloten.
Daar wordt de inbraak zelf niet opeens legaal door.

En de reden waarom je dan WEL "hooguit een zaak tegen mij zou starten" vind ik helemaal vaag - omdat jijzelf immers zo dom was de deur niet op slot te doen span je een zaak tegen mij aan ?

:')
Ik zeg ook niet dat je alles open laat staan. Ik zeg dat er ingebroken wordt, niet dat er iemand gewoon naar binnen loopt.
Heb jij de laatste tijd een hack in de media gezien waarbij ze niet gewoon iets flink open hebben laten staan? Elke keer is het een SQLi of een webserver die niet is geupdate... Dit is hetzelfde als alles open laten staan
Nee, dat is het niet.
Dat is hetzelfde als je deur nog op slot doen met een verouderd slot.
Nee want hij zit niet op slot.... Dit moet je meer zien als een dichte deur zonder slot. Het lijkt alsof hij dicht zit maar als je dr aan trekt is hij open.

Ik hoop dat je weet dat een SQLi niet meer is dan het uitvoeren van queries... Kan je deze queries zelf schrijven (oftewel injecteren) dan zit dr niks op slot!!!!

In het geval van oude software is het ook niet echt beveiligen omdat dr niet ingebroken hoeft te worden, het kan gezien worden als steek een andere sleutel in het slot en de deur gaat alsnog open :P

Een verouderd slot kan namelijk gewoon nog prima werken alleen is het kraken van het slot wat makkelijker.... Bij oude software werkt heel de beveiliging niet meer omdat heel de beveiliging niks meer dan schijn is (in dit geval)

[Reactie gewijzigd door Mellow Jack op 20 juli 2011 13:24]

Zolang er op de webpage niet zelf een box staat met "Voer hier zelf je query in !" maar jij je query gaat injecten doe je hetzelfde als een inbreker die het slot van je huisdeur flippert.

"Hij was niet op slot want toen ik dit staafje erin stak en er een tikje tegen gaf ging ie gewoon zonder sleutel open!".
Dat is exact de foute denkwijze die dit veroorzaakt.

Flippen gaat enkel als de deur dicht is maar niet op slot.
Doe je hem daadwerkelijk op slot (sleutel omdraaien) werkt die truc niet meer. Het slot zelf is namelijk fysiek dusdanig ontworpen dat het niet werkt (net zoals het ijzerdraad door de brievenbus; ook enkel bij een deur die niet op slot is).

Vandaar dat je ouders ook zeggen 'doe de deur op slot als je weggaat' en niet 'doe de deur dicht als je weggaat' als je oud genoeg bent om alleen thuis te blijven.


Datzelfde geld voor de hacks.
Verouderde beveiligingssoftware is enkel die dichte deur. Niet op slot waardoor iedereen met een oud trucje zo naar binnen kan komen.
Wil je niet dat ze binnenkomen moet je ervoor zorgen dat het slot erop zit -> zorg voor de laatste updates.
Maar de deur zat dicht, de website ook.
Dat jij met trucs alsnog binnen weet te komen maakt het niet ineens legaal.

En weet je wat het leuke is ?
Dat vindt de rechter ook.

En toch zijn er mensen die willen doen alsof het de schuld is van degene bij wie ingebroken is.
Nee, de schuld ligt altijd bij de dader.

Niet bij de vrouw met het korte rokje.
En dat is het belangrijkste aspect in dit verhaal

Je hebt mensen zoals jij... Jij zegt het is de schuld van de inbreker en hij moet daar voor worden vervolgt

Daarnaast heb je mensen zoals mij... Ik zeg, ja de inbreker moet vervolgt worden MAAR de eigenaar van hetgeen wat zo slecht is beveiligd mag van mijn part ook vervolgt worden.

Eigenlijk heb je helemaal geen mensen die zeggen dat de inbreker vrij moet zijn maar dat lezen de "anti hack" mensen maar al te graag

Nu is dit bij een deur niet helemaal terecht aangezien je daarmee alleen jezelf en je mede bewoners hebt maar bij een bedrijf is zoiets zeker realistisch omdat de problemen direct van invloed zijn op de burgers (dmv prive gegevens).... Ik heb het dan ook niet over een net gevonden exploit maar meer de situaties waar dmv SQLi of oude software schade bij de normale burger wordt aangedaan... Waarom? Omdat het gemakkelijk te voorkomen is en dit heeft weinig met beveiliging te maken

Je zou een wettelijk certificaat moeten opstellen waarbij je verschillende gradaties hebt in beveiliging... Voldoe je niet aan de eisen die voor jou type site geeist worden dan zal je niet verzekerd zijn en moet je de volledige verantwoordelijkheid dragen wanneer je site misbruikt wordt. Dit is al gemeengoed binnen de normale beveiliging dus ik zie niet waarom zoiets niet online zou kunnen (als wij geen camera's op ons pand hebben zijn al de kosten ook voor ons)

[Reactie gewijzigd door Mellow Jack op 20 juli 2011 15:37]

Je hebt mensen zoals ik die zeggen dat de verantwoordelijkheid altijd bij de dader ligt,
en mensen zoals jij die tegen de rechter zeggen dat je dat meisje in haar kruis greep om aan te tonen dat een kort rokje verkrachting uitlokt.

;)

[Reactie gewijzigd door LDenninger op 20 juli 2011 15:54]

Dat is een erg lage vergelijking... Als je met zulk soort zaken een discussie wilt winnen vind ik je te triest om op het internet te mogen... Een beetje respect voor bijv vrouwen mag je wel hebben hoor ;)

Maar om jou absurde vergelijking kloppend te maken met mijn voorstel dan kan je het beter zo zeggen... Wanneer een meisje zielloos alleen helemaal poedel naakt midden in de nacht een groepje handjongeren binnenstapt en roept dat ze geneukt wilt worden en daarna gaat zeggen dat ze verkracht is dan moeten ze de daders vervolgen maar het slachtoffer ook vervolgen (dmv het wegstroppen in een gekkenhuis) ... Of moet ik nog extremer reageren om te zorgen dat je stopt met flamen?

Maar ja verder klopt je vergelijking voor geen ene meter en dat weet jezelf ook wel... Dit omdat ik al aangeef dat hij bij het voorbeeld van de deur al lastig is omdat je hiermee alleen jezelf en je mede bewoners hebt. Daarom stel ik ook het certificaat stelsel voor omdat je zo een passende oplossing hebt die voor iedereen gelijk is en geen ruimte overlaat voor raakvlakken met zaken op compleet andere gebieden

Maar ja het lijkt alsof je een plaat voor je kop hebt, het leuk vind om te flamen of gewoon aandacht geil bent want anders had je nooit zo'n trieste vergelijking gebruikt ;)

[Reactie gewijzigd door Mellow Jack op 20 juli 2011 16:10]

Dat is een erg lage vergelijking... Als je met zulk soort zaken een discussie wilt winnen vind ik je te triest om op het internet te mogen... Een beetje respect voor bijv vrouwen mag je wel hebben hoor ;)
Een analogie is een prima methode in een discussie hoor.
Maar je maakt precies mijn punt - een beetje respect voor bedrijven mag je ook best hebben !

Net zoals het nergens op slaat om een vrouw met een kort rokje in haar kruis te grijpen om een punt te maken, slaat het nergens op om bij een bedrijf in te breken en informatie op straat te gooien om een punt te maken.

Degene die dat doet is gewoon strafbaar, zo simpel is het.
Dan kun je nog zo hard roepen "Maar ik heb ze eerst over dat lek gemaild en ze deden er niks aan !", maar dat is nog steeds geen excuus.
Maar om jou absurde vergelijking kloppend te maken met mijn voorstel dan kan je het beter zo zeggen... Wanneer een meisje zielloos alleen helemaal poedel naakt midden in de nacht een groepje handjongeren binnenstapt en roept dat ze geneukt wilt worden en daarna gaat zeggen dat ze verkracht is dan moeten ze de daders vervolgen maar het slachtoffer ook vervolgen (dmv het wegstroppen in een gekkenhuis) ... Of moet ik nog extremer reageren om te zorgen dat je stopt met flamen?
Je reageert inderdaad erg extreem. Mijn vergelijking klopt prima, die van jou niet.
In jouw geval roept het meisje eerst dat ze (in jouw termen...) "geneukt wil worden".
Dan moet ze inderdaad daarna niet zeuren als iemand dat gewoon doet op haar verzoek.

Zouden die bedrijven geroepen hebben "Alsjeblieft, zou iemand ons willen hacken" en ook nog eens al hun databases publiek toegankelijk op de frontpage van hun website gezet hebben, dan zou jouw analogie kloppen. Maar zoals jij 'm stelt slaat ie simpelweg nergens op :)

De bedrijven waar we het hier over hebben zeggen niet "gooi alsjeblieft onze databases op straat ! Zet porno op onze website !".
Ze gaan niet hacking-fora op om mensen uit te nodigen om alsjeblieft hun servers te hacken, ze zetten hun databases niet openbaar op de voorpagina van hun website.
Ze hebben nergens een input-box met "voer hier je eigen sql-query uit om onze database leeg te trekken !".

Het gaat in mijn analogie zowel bij het meisje als het bedrijf om iets strafbaars dat tegen hun zin in gedaan wordt door mensen die roepen dat ze het beste voor hebben en slechts een punt willen maken.

Dat jij het moeilijk vindt om een correcte analogie te begrijpen / verzinnen wil niet zeggen dat de analogie niet klopt.

[Reactie gewijzigd door LDenninger op 20 juli 2011 17:32]

Zelfs dan ben je strafbaar om jouw voorbeeld te volgen.

Ook wel huisvredebreuk genoemd, zelfs al stond de deur open. (2e discussie is dan bescherming persoons gegevens).

http://nl.wikipedia.org/wiki/Huisvredebreuk
Als jij met een huis met beveiliging zo lek als een mandje bij jouw verzekering geld probeert te halen, betalen ze zonder morren? Of is de schade voor jou?

Een extra zaak voor nalatigheid kost ze te veel tijd en moeite dus doen ze dat niet.
Dit is inderdaad zo,

Bij ons werdt er gestolen uit het tuinhuis, slot moet je 2 keer ronddraaien, zat maar op 1x dus de deur kon zo open getrokken worden, wat dus ook gebeurd was geen sporen van braak nix maar wel een Buitenboordmotor van de boot gestolen.

Vervolgens kwam de verzekering langs om te kijken(valt weinig te zien natuurlijk) en zijden ja dat is ook verzekerd. valt onder insluiping en dat is ook verboden...
Dan heb je geluk gehad, bij de meeste verzekeraars geldt voor diefstal uit bijgebouwen dat er wel degelijk sporen van braak moeten zijn http://www.google.nl/#scl...c9462960&biw=1680&bih=826. Alleen uit de woning is dit geen vereiste.

On topic: De manier waarop ze omgaan met prive gegevens verdiend geen schoonheidsprijs. Aantonen dat de beveiliging lek is, prima! Maar bewust privacy gevoelige gegevens publiceren gaat gewoon te ver. Zo maak je onschuldigen slachtoffer en dat kan niet de bedoeling zijn.

Naar mijn mening ligt er echter ook een deel van de verantwoording bij bedrjiven. Er wordt gewoon te makkelijk met gegevens om gegaan, beveiligingen zijn niet op orde en in het geval van Paypall en Mastercard dansen ze maar al te snel naar de pijpen van de overheid......zelfs zonder dat er een veroordeling aan ten grondslag ligt. De gewone consument heeft bij dit soort grote bedrijven bijna geen macht, deze groeperingen zorgen er wel voor dat ze scherp moeten blijven en ook maatschappelijk verantwoord moeten handelen.
Als de achterdeur van jouw huis een oud slot heeft en er wordt ingebroken en vervolgens slopen de inbrekers jouw hele interieur vind je ook dat de politie die inbrekers maar niet moet oppakken?

Als die inbrekers echt zulke goede bedoelingen hadden zouden ze een briefje achter laten dat het slot vervangen moet worden.

[Reactie gewijzigd door ryderb op 20 juli 2011 11:30]

Door de gegevens te stelen en op straat te gooien stel je geen misstanden aan de kaak. Dat doe je door een lek te vinden, het te melden bij het bedrijf en als die niets doen, het melden in de media. Een bedrijf kan nooit garanderen dat ze onhackbaar zijn en het slaat dus als een tang op een varken om die bedrijven dan maar "aan te pakken, en hard ook". Hoe graag Anonymous je ook anders wil doen geloven, het is gewoon een stelletje criminelen. Je zou ze zelfs terroristen kunnen noemen; het enige verschil tussen hun MO en die van Bin Laden is dat die laatste levens beëindigde en Anonymous het op cybercrime houdt.

Ik heb geen goed woord over voor de manier van werken van Anonymous. Het is een stel minderjarige blagen die het vooral leuk vinden om een soort macht te hebben.
Wat een domme redenatie...
En met een hakbijl kan je bomen kappen, maar ook eventueel mensen doormidden hakken... daar zijn de bedrijven natuurlijk voor verantwoordelijk in jouw redenatie als dat gebeurt.

Het vinden van lekken is niets mis mee, het openbaar maken en particulieren duperen wel. Vergeet ook niet dat wanneer bedrijven extreem gedupeerd raken dit ook de hard werkende burger raakt. Maar dat snappen al deze jonge pikkies niet die nog veilig bij hun ouders thuis wonen en geen cent zelf verdienen.

[Reactie gewijzigd door n00bs op 20 juli 2011 11:29]

Off-topic:

Dus als iemand jou deur openbreekt met een koevoet wil jij dat de fabrikant van deze deuren vervolgd wordt? Want ja hij had de deur in gietijzer moeten maken met diamanten sloten... - oh juist dan hadden ze waarschijnlijk gewoon je ruit ingeslagen.

Met software is het net hetzelfde, je kan geen bugvrije software schrijven, dat bestaat nu eenmaal niet. Je kan enkel trachten dit ideaal zo best mogelijk na te streven.

Kijk heer/dame, uw visie is zo kortzichtig dat u beter zou zwijgen, u beseft niet hoe belachelijk u zichzelf maakt door zulke zaken te zeggen.
-----------
On-topic

Het is een zeer goede zaak dat deze personen opgepakt zijn; het is ook niet verwonderlijk dat deze manier van handelen doorgevoerd werd door minderjarigen die niet lang genoeg bij hun acties stilstaan.

Indien ze het bedrijf zouden hebben aangespoord via privé communicatie deze lekken te dichten dan hadden ze effectief een goede daad verricht.

Dit gezegd hebbende is het duidelijk dat deze personen niet uit waren op het aantonen van slecht beveiligde sites, maar eerder hun eigen imago wouden boosten door in de media te komen.

Security by breaking security staat volledig los van het publiceren van gegevens die door de privacywet beschermd zijn. Dit is een criminele daad waardoor deze personen dus vervolgd moeten worden.
Wie is hier nou schuldig: de bedrijven die dit mogelijk maken, of de mensen die aantonen dat de bedrijven deze mogelijkheden bieden??

Niet lopen janken dan als je eens een keer een raampje open laat staan en daarlangs komt wat onguur volk langs naar binnen om jouw kamer wat leger te maken. Je zegt zelf dat ze daar het volste recht toe hadden, je hebt ze immers gelegenheid gegeven!
Ik ben er (net zoals velen) voor dat je als gemeenschap eens aan de bel gaat hangen als je ziet dat er iets niet goed gaat bij bedrijven/mensen, maar er misbruik van maken is weer een heel ander verhaal.

Als je die persoonsgegevens heb dan ga je ze niet publiceren, dan mail je al die personen dat het bedrijf onveilig te werk is gegaan (als ze het lek niet direct dichten na melding). Je meld aan de media dat je dit heb gedaan en vermeld in de e-mail dat ze contact kunnen opnemen met de media als ze hun verhaal willen halen. Op deze manier komt het toch in opspraak en vallen de gegevens niet in handen van 3e die er alsnog iets kwaads mee kunnen.

Verder zitten overal gaten in beveiliging, beveiliging is er niet op iets onmogelijk te maken, want dat kan gewoon niet. Beveiliging is er om het moeilijker te maken en de pakkans groter te maken, iets wat nu duidelijk naar voren komt.

Je gaat toch ook niet mensen neerschieten omdat ze niet geheel zijn gekleed in Kevlar en dat het daarom niet veilig is of een gewapende overval plegen om te laten zien dat de Albert toch niet zo veilig is voor klanten...
Hou toch eens op met deze mensen te zien als morele kruistochtridders van het Internet. Het zijn gewoon crimineeltjes die enkel op eigen gewin uit zijn.
Wat is dat nou weer voor vraag?!
Natuurlijk zijn de hackers de schuldigen. Het is al zo vaak gezegd. Wie is schuldig. De messenfabrikant of degene die iemand neersteekt met het mes. Natuurlijk de laatste. Snap niet dat dit nog steeds ter discussie gesteld wordt...
Nogmaals. Je kan overal doorheen komen. Je bewijst niks met dit soort acties behalve dat de wereld een beetje verrot is door mensen die het ook nog goed keuren.
Wie is hier nou schuldig: de bedrijven die dit mogelijk maken, of de mensen die aantonen dat de bedrijven deze mogelijkheden bieden??
Je zou eigenlijk alles helemaal open moeten kunnen laten staan en zou het vanzelfsprekend moeten zijn dat je er niet binnengaat als je daar geen toestemming voor heb en al helemaal niks steelt, te idealistisch natuurlijk maar zo zou het wel moeten zijn. :D

Zowel in real life als online.
Wat een domme reactie, alles is te hacken dus als jij de baas zou zijn zou elk bedrijf nalatig zijn.

Als iemand de deur van zijn huis niet op slot doet is dat ook geen vrijbrief om maar naar binnen te gaan en te gaan stelen.
Wel kan de betreffende persoon problemen krijgen met de verzekering ( keert niet uit )
maar deze word niet aangeklaagd wegens nalatigheid.

Oppakken , opsluiten en de sleutel weggooien, irritante nerds die denken dat ze boven de wet staan onder het mom van moraalridders.
Mee eens.

Dit gaat om mensbeelden. De ene meent dat het goede als vanzelf gedaan wordt en dat mensen zelf verantwoordelijkheid nemen en de ander meent dat er dreiging van straf moet zijn om mensen te bewegen het juiste te doen. In de management heet dat Theorie X / Theorie Y.

Het juiste doen in deze gevallen is beveiliging serieuzer nemen als het gaat om privé gegevens van veel mensen.

We kunnen niet naïef zijn en denken dat organisaties, of ze nu een commerciële inslag hebben of een niet commerciële, automatisch het juiste doen. Dus moet er een dreiging zijn van repercussies. Daarvoor hebben we de wet. Maar de wet schiet te kort en het gevolg kan zijn dat gevoelige data van potentieel miljoenen mensen op straat komt te liggen. Het probleem hier is 'one strike hurts many'. Terwijl vroeger in de tijd van de kaartenbak het ging over 'one strike hurts a few'.

Moet je dus de controle op goede ICT beveiliging overlaten aan de wetgever en de uitvoerende en controlerende machten, die doorgaans pas ingrijpen NA het incident? Als de gegevens al op straat liggen met alle mogelijke gevolgen van dien?

Of is het dan goed dat een groep hackers organisaties aan de kaak stelt. En zoals ik al heb vastgesteld, het vertrouwen op organisaties om het goed te doen is naïef en dom.
Als je aantoont dat de beveiliging van een organisatie te wensen over laat, dan moeten en consequenties aan verbonden zijn. Anders werken wetten niet en houdt niemand zich aan de regels. Een wet bestaat niet alleen uit een lijst regels maar ook uit een lijst sancties.

Hackers controleren, vinden slechte beveiliging en delen meteen straf uit door consequenties te verbinden aan het slechte gedrag van die organisatie. Het is een vorm van 'tough love'. In te veel gevallen worden signalen van slechte beveiliging alleen gerepareerd als er gegevens op straat komen te liggen.

Wat dan volgt is een andere morele overweging. Is het gerechtvaardigd om enkelen te schaden door gegevens op straat te dumpen, ten gunste van de bescherming van de meerderheid. Dus 'sacrifice the few for the many'.

M.a.w. ben je bereid risico's te lopen als individu in een samenleving van vaak slechte ICT beveiliging waar je gegevens op straat komen te liggen als dat betekent dat er bescherming bereikt wordt van een veel grotere groep?
Anders gezegd, is er een mate van zelfopoffering in je, hetgeen je kunt zien als jouw bijdrage aan betere beveiliging?

Wat is dan het verschil tussen een hacker die je data dumpt met als doel het verbeteren van de bereidheid bij organisaties hun ICT op orde te brengen en het afwachten tot jijzelf aan de beurt bent en je data op straat komen door lakse beveiliging van een organisatie wanneer criminelen aan het hacken slaan?

Ik zelf houd niet van dergelijke passiviteit en Russische roulette. Laat dus die hackers maar corrigerend optreden want zonder dreiging doet geen organisatie automatisch het goede.
Dit begint echt op een Maffia te lijken!
Hoofdgroeperingen, zustergroepen, vertakkingen.

Ik ben benieuwd waar dit toe zal leiden uiteindelijk. Ik vond het verspreiden van top geheime oorlogsdocumenten die lieten zien wat er werkelijk gebeurd was in Irak een goede zaak. Maar het hacken van datingsites en andere doelen waar geen ideologie achter zit is echt diep triest!

Helaas denk ik dat de regeringen en anti hack groeperingen per definitie 5 stappen achter zullen lopen op de hackers.
Vroeg al laat zullen ze wel inlopen. Iedere keer als ze een hacker pakken is er één minder. En er komen niet dagelijks goede hackers bij.
Maar van de andere kant pakken ze volgens mij alleen de "domme" hackers op.
Net als bij de mafia gebruiken de echte jongens domme mensen als dekmantel.
De Maffia doet dingen om eraan te verdienen, deze gasten verdienen er volgens mij helemaal niets mee. Dit is gewoon digitaal rellen, alleen is er niet direct een ME team in de buurt.
Tevens heeft de maffia over het algemeen haar zaakjes beter voor elkaar ;) erg knap hoe die soms decenia lang niet gevonden worden.
De aanhoudingen volgen enkele dagen nadat Tweakers.net berichtte dat er was ingebroken op de server van AntiSecNL. De hackers wisten de gegevens van een van de personen achter AntiSecNL,
Dit kan geen toeval zijn. Nu ga ik er niet van uit dat het KLPD zelf deze server hackt maar de gegevens heeft gekregen van de hackers?
Dat zou de strafzaak niet ten goede komen als ze die gegevens gebruiken. Volgens mij is het nog steeds verboden voor het KLPD om gebruik te maken van illegaal verkregen materiaal.
En wie zegt dat ze geen toestemming hebben gekregen van een rechter om aan deze informatie te komen?

Het is gewoon hetzelfde als een huiszoekingsbevel, maar dan op (externe) computers.
Dat is waar, maar als de gegevens bij de e-mail binnen ploften kunnen zij (KLPD) er ook weinig aan doen. Toch?

BTW: 15 computers bij 4 personen in beslag genomen. Die mensen hadden wel flink wat hardware staan.
Valt wel mee toch. Bijna iedereen heeft nog wel een oude/vorige pc thuis staan. Tel daar eventueel nog compters van famillieleden bij op en je zit zo aan 15. Stel één van die jongens had thuis een broer met een laptop, dan nemen ze die laptop ook gewoon mee.
Kijk maar eens rond wat voor een oude meuk iedereen nog thuis heeft staan.
[...]

Dit kan geen toeval zijn. Nu ga ik er niet van uit dat het KLPD zelf deze server hackt maar de gegevens heeft gekregen van de hackers?
tuurlijk heeft de politie gehacked.. ze hebben een eigen hackers team.. hoe denk je dat ze zo op kinder porno kunnen jagen... En netwerken oprollen
Op kinderporno (een woord, btw) jagen doen ze dus niet. Vandaar dat het grote internetfilter er moet komen, want dan is het ook 'opgelost'.
Je voelt je ook absoluut niet gehinderd door enige kennis van zaken...
Dat laat je met deze opmerking maar weer eens glashelder zien.
Ze hebben verschillende teams met verschillende specialisaties.
Prima dat deze knapen zijn opgepakt. Zo anoniem zijn deze lieden niet, infiltratie en opzetten van eigen chatnetwerken zijn absoluut niet vreemd voor de KLPD / DNR.
Juist! Vreemd is het wel dat mensen altijd het kunnen van de veiligheidsinstanties onderschatten. Gisteren poste iemand anders nog bij het bericht dat de FBI onderzoek deed naar een aantal personen dat de FBI zwaar overschat werd en ze toch niet veel konden beginnen tegen antisec enzo.
Men gaat in dit soort zaken heus niet meteen achter de eerste de beste scriptkiddie aan wie ook maar enigzins in verband kan worden gebracht met de groepering. Als je meteen als een dolle hond allerlei onbelangrijke figuren gaat oppakken dan gaan de core members steeds verder underground waardoor deze personen dus moeilijk te pakken zijn.

Door er in het openbaar weinig aandacht aan te schenken voelen de leden van de groep zich genegeerd en ontstaat er hoogmoed, en tja dat komt voor de val.

[Reactie gewijzigd door dutch_warrior op 20 juli 2011 11:49]

"Het Openbaar Ministerie zegt de mannen op het spoor te zijn gekomen door een privéchatkanaal van de groep onder een schuilnaam binnen te gaan."

Zo simpel is het dus schijnbaar voor de Team High Tech Crime van de Nationale Recherce, even inloggen onder een schuilnaam en binnen "zeer korte tijd" worden ze al opgepakt. Hopen dat de rest snel volgt dan maar.

Wat wildhagen zegt, lekken opsporen en de desbetreffende beheerder daarvan op de hoogte stellen is prima, maar het is erg laag bij de grond om om wat voor reden dan ook al die privégegevens op straat te gooien.

[Reactie gewijzigd door Koenraadt op 20 juli 2011 11:20]

Deze zin viel mij ook direct al op uit het artikel. Zoals simpel als het staat beschreven in het artikel, zo zal het niet gegaan zijn.

Ik maak zelf veel gebruik van IRC. Privé kanalen zijn altijd afgeschermd en deze kan je dus ook niet zomaar 'joinen' (zeker niet door simpelweg een schuilnaam aan te nemen). Over het algemeen moet je in het bezit zijn van een geregistreerde nick en een wachtwoord (dit kan je eenvoudig doen via de bot die het netwerk beheert). De eigenaar van een kanaal kan jouw op basis van je geregistreerde nick toegang geven tot het kanaal. Elke keer als je de IRC server joined kan je dan inloggen en de kanalen joinen waar je toegang tot hebt / waar je voor wordt uitgenodigd,.

Ik verwacht dan ook dat de politie of hier al langer mee bezig is (undercover). Wellicht hadden ze inmiddels het vertrouwen gewonnen en zijn ze uitgenodigd / toegevoegd aan het kanaal, of hebben ze via een ander persoon de gegevens / login verkregen van een nick die wel toegang had.

Overigens goed werk van het Team High Tech Crime van de KLPD, en hopen dat de daden (als ze bewezen worden) van deze jongens niet ongestraft blijven!

edit: spelfouten die ik zelf kon vinden eruit gehaald :p

[Reactie gewijzigd door Joepys op 20 juli 2011 11:45]

Krijgen we nu na de War on Drugs, de War on Hackers?

Pas op, het is een gelegitimeerde manier van de overheid om veel belastinggeld aan de samenleving te onttrekken terwijl het nut daarvan allerminst bewezen is.

Op dit moment creëren de overheden door hun opstelling zelf het probleem (spanning en sensatie voor de hackers) en is er een wedloop aan die gang waarbij de point of no return dichtbij lijkt te zijn.

Als we niet oppassen is er straks een miljarden verslindend overheidsmonster dat niet alleen op onze samenleving parasiteert, maar er ook voor zal zorgen dat onze vrijheden worden beperkt en afgenomen.

We moeten goed blijven opletten hoe de media worden gemanipuleerd om stemming te maken. Als de overheden een kans voor open doel krijgen om de controle (terug) te krijgen zullen ze die nooit laten glippen.

Dit is geen samenzweringsverhaal, maar gewoon de dynamiek die zich eerder heeft gemanifesteerd.
Een tikkie naief om te denken dat de overheden macht willen grijpen. Ze pakken wetsovertreders aan, die macht hebben ze allang. Het uitroeien van de anarchie op het internet is niet hetzelfde als het inperken van vrijheid. Ik zie die hackers aanvallen van de laatste tijd als een laatste stuiptrekking van een beweging waarvoor gewoon geen plaats meer is op het internet omdat het internet onderdeel van de maatschappij is gaan utimaken.

[Reactie gewijzigd door mashell op 20 juli 2011 13:01]

Ten eerste wil ik zeggen dat ik blij ben dat ze dat stelletje kleuters hebben opgepakt
en dat ik vind dat zij zeker de schuldigen hier zijn, door onschuldigen mensen zo te duperen,
maar de bedrijven hebben hier zeker ook schuld.

Ik zie de gebruikelijke auto/huis vergelijkingen weer ,maar dit gaat niet om gegevens van het
bedrijf maar om van andere mensen. Ik zou het eerder vergelijken met de kluis van een bank
,als iemand daar iets te makkelijk word inbreekt dan worden de inbrekers zeker opgepakt maar er wordt ook naar de bank gekeken met zijn ondermaatse beveiliging.
Het gaat er niet zo zeer om wat er gestolen wordt, maar dat er iets gestolen wordt. En dat is volgens mij altijd fout. Tuurlijk, bezittingen van jezelf en anderen die je in beheer hebt moeten goed beveiligd worden, maar ondermaatse beveiliging geeft geen vrijbrief voor diefstal.
Toch weer jammer van dat Operation Payback van Anonymous.

Vinden ze zichzelf God ofzo en dat niemand hun iets KAN en MAG maken?
Moet iedereen zich nu geïntimideerd voelen door hun?

Het heeft helemaal niks meer te maken met het vinden van lekken etc, dit is gewoon digitale "oorlogsvoering".

:update:
In the PasteBin vinden ze zichzelf ineens activisten, yeah right.

[Reactie gewijzigd door schumi2004 op 20 juli 2011 12:17]

Inderdaad dit heeft niets meer te maken met het verspreiden van documenten. Eerst stond ik nog wel achter anonymous, omdat ik het slecht vond dat paypal & mastercard zomaar rekeningen gingen blokeren, als je daar een payback op doet vindt ik dat nog terecht ook.

Maar als je nu in 1x achter AntiSecNL gaat staan terwijl ze daar eerst fel op tegen waren vindt ik dat wel een rare gang van zaken. Omdat er mensen zijn opgepakt willen ze in 1x allemaal vriendjes met elkaar worden.
"Tegelijk met de Nederlandse aanhoudingen werden in de Verenigde Staten zestien vermeende 'cybercriminelen' opgepakt"

Dat is waar Anonymous niet zo blij mee is. Dat er hier in Nederland 4 prutsers zijn opgepakt die toevallig hun naam van het grote voorbeeld hebben afgeleid, kan ze waarschijnlijk niet echt interesseren.
Het Team High Tech Crime kwam de verdachten op het spoor door zelf met een schuilnaam het chatkanaal van de hackers binnen te gaan. In korte tijd konden de verdachten worden geïdentificeerd. aldus de saus (de bron dus op om.nl).

Nounou, van iemand die 35 jaar* is had ik niet verwacht dat deze uberhaupt zomaar gegevens aan iemand afstaat (in dit geval het OM via een chatbox), laat staan het hacken van diverse organisaties. Maarja, er is alot of unknown crime in the world.
Beetje onverwacht (je zou pubers verwachten), maar aan de andere kant ook wel weer verwacht omdat een site niet makkelijk te hacken is zonder leaks, hiervoor heb je toch bepaalde kennis nodig om toch nieuwe gaten in de kaas te vinden.

*quote: [...] Het gaat om een 35-jarige man uit Roosendaal, een [...]

[Reactie gewijzigd door Webmail op 20 juli 2011 11:29]

1 2 3 ... 6

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True