Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 99 reacties
Submitter: jordy-maes

De KU Leuven dient een klacht in tegen het VRT-programma Koppen. Het productieteam achter het televisieprogramma heeft naar verluidt toegang gekregen tot een databank van de universiteit. UZ Leuven was eveneens een doelwit, maar het ziekenhuis zal geen klacht indienen.

Er zijn geen patiëntendossiers gehackt, zo laat UZ Leuven in een verklaring weten. Een firewall zou de patiëntendossiers hebben beschermd tegen de hacker. Andere medische gegevens, databanken en computersystemen zouden evenmin in verkeerde handen zijn gevallen. In die gebieden zou dus geen sprake van een hack zijn geweest.

De hacker heeft wel toegang gekregen tot een server van de groep biomedische wetenschappen van de universiteit KU Leuven. UZ Leuven meldt dat de databank voornamelijk oudere onderzoeksgegevens bevat, die in het kader van wetenschappelijk onderzoek zijn verkregen. Daarin staan wel gegevens van vrijwilligers die zich hebben opgegeven om te ondersteunen bij de wetenschappelijke studie. De databank bevond zich in de zogenoemde demilitarized zone, het subnetwerk buiten het interne netwerk dat toegankelijk is via internet.

KU Leuven zal volgens het ziekenhuis een klacht indienen bij de onderzoeksrechter wegens de poging tot het hacken van de servers. Het zou niet aan journalisten zijn om gegevens van patiënten te identificeren en te verwerken en journalisten zouden zich moeten beperken tot legale werkwijzen. UZ Leuven dient, in tegenstelling tot berichten die eerder in de media zijn verschenen, geen klacht in tegen het televisieprogramma Koppen. Een woordvoerder van het ziekenhuis laat weten dat beide partijen wel nauw met elkaar verbonden zijn.

Het VRT-programma Koppen wordt donderdagavond uitgezonden. In de reportage over ethisch hacken wordt naar verluidt getoond hoe een hacker duizenden patiëntengegevens onrechtmatig weet te bemachtigen.

Moderatie-faq Wijzig weergave

Reacties (99)

De reportage is nu al te bekijken
Als we toch meteen klachten gaan indienen, kunnen de patienten nu aangifte doen van een inadequate beveiliging van persoonsgegevens...
Het gaat dus niet over patiŽnten, maar mensen die mee hebben gedaan aan onderzoek. Anyway, in Nederland zou je zeker een boete krijgen van het College Bescherming Persoonsgegevens en de onderzoekers zouden waarschijnlijk flink op hun donder krijgen van de universiteit, want ik kan me niet voorstellen dat de IT services het toe zouden staan om dergelijke gegevens op een slecht/niet beveiligde server te zetten. Ik weet niet welke autoriteit in BelgiŽ over dergelijke problemen gaat.
U vergist zich helaas. Die gegevens zijn zoals je in de reportage kan zien makkelijk bereikbaar voor buitenstaanders. In BelgiŽ is daar geen controle op, en iemand dit dit durft aan de kaarten (zij het als personeel zelf, of als reporter) krijgt direct een klacht aan zn been.
En verder lijkt ook niemand zich daar zorgen over te maken dat alles zomaar bereikbaar is...
Het gaat dus niet over patiŽnten, maar mensen die mee hebben gedaan aan onderzoek.
Ik weet niet of dat een medisch onderzoek was. Als dat het geval was, dan lijkt 't mij toch fair om dat inderdaad patiŽnten te noemen.
Dus als ik bij jou inbreek, mag je geen aangifte doen omdat je huis niet adequaat is beveiligd? Beetje bizar niet. Of sterker, als ik een journalist op sleeptouw neem is het opeens wel koosjer?
Je moet het eerder zien als: ik breek in bij jou, ik steel niets maar neem een foto dat ik binnen was en stuur die daarna naar je door om aan te tonen dat jan en allemaal zomaar binnen kan.
Ah, en je vrouw kan dan nog slapen? Denk je nu echt dat daar geen gevolgen aan kunnen kleven? Je kinderen zullen nog rustig slapen.
@aswelter

Wederom..; er is toch een duidelijk verschil tussen de politie en een wildvreemde. En ik denk echt niet dat de politie binnenbreekt en dan 's nachts naast uw bed staat. Net zomin dat ze Łberhaupt mogen inbreken trouwens. (of toch niet in BelgiŽ)

[Reactie gewijzigd door white modder op 16 oktober 2014 16:00]

Ah, en je vrouw kan dan nog slapen? Denk je nu echt dat daar geen gevolgen aan kunnen kleven? Je kinderen zullen ook nog ruystig slapen.
In sommige plaatsen is dat toch echt wat de politie doet en laat daarna een rode kaart achter om aan te geven dat er onvoldoende beveiligd was.
En jij denkt dat ik dan niet achter je aan kom? Inbraak, stalking, intimidatie, etc. Het is en blijkt gewoon een overtreding. Dat het 'makkelijk' is, betekend niet dat het legaal of acceptabel is. Die scriptkiddies kom heel makkelijk binnen met standaard tooltjes op een systeem, hoe makkelijk kom jij een huis/auto binnen met een baksteen of lockpick gun?
Het is een overtreding, ga ik mee akkoord.
Puur volgens de geschriften moet er een straf komen.

Maar... Dit is mijn redenatie (terug naar voorbeeld van het huis):
Wat als ik niet had ingebroken, maar iemand met kwade bedoeling misbruikte het tekort aan beveiliging om binnen te geraken, rooft volledig je huis leeg, en laat geen sporen na.
Dan kan je klagen.
Wat als ik je zou zeggen (zonder dat ik iets fout gedaan heb tot dan): "Hey, je huis is niet goed beveiligd. Een bandiet geraakt zo binnen". Meeste mensen zouden dit weglachen, en niets doen. Bij het hacken ook: bedrijven zouden niets doen, en dit nieuws negeren (het oplossen kost toch maar geld, en dat terwijl dat er misschien niets gebeurd).
Met actie te ondernemen (cf. mijn vorig bericht) terwijl je niets fout doet, maar gewoon aantoont dat er iets niet in orde is, waarschuw je de eigenaar en zal de eigenaar sneller handelen. Dit is gewoon voor zijn bestwil (ja, er zijn nog mensen die iets doen voor andermans bestwil. Ethische hackers zijn er voorbeeld van).

Dus, terug naar m'n eerste regel: het is een overtreding, maar je zou er toch eens bij moeten stilstaan dat ze je behouden voor meer kwaad.
Het is niet aan jou (of iemand anders) om mij te wijzen op mijn 'slechte' beveiliging door die te doorbreken. Als bedrijf is dit ook aan het bedrijf. Als het bedrijf echter gebruikt maakt van patiŽnten dossiers zou er vanuit de staat moeten worden gecontroleerd of de beveiliging op orde is, hier zijn zat bedrijven voor die dit doen.

In dit geval zijn er teveel mensen die hier geld mee verdienen, het TV kanaal, de programma maker, de journalist en waarschijnlijk de hacker. Dit gebeurd echt wel uit winst oogmerk, het programma wordt gemaakt omdat het een populair onderwerp is momenteel en veel kijkcijfers oplevert.
Dit is een programma van de staatsomroep, winst maken is helemaal niet aan de orde.

Ik ben wel voor dit soort "hacks" want anders hadden we het nooit geweten. Externe audits zijn vaak/ meestal papieren audits die nakijken of de correcte procedures gevolgd werden en hebben dus niet hetzelfde resultaat als een daadwerkelijke hackpoging

[Reactie gewijzigd door klakkie.57th op 16 oktober 2014 16:13]

Dit is een programma van de staatsomroep, winst maken is helemaal niet aan de orde.
Waarom zou de staat geen winst mogen maken? ligt nergens vast.
Net als stichtingen moet het alleen de doelstelling niet zijn om winst te maken.

En net als elk mens werken er bij de NPO ook gewoon mensen die waarde hechten aan dingen zoals een auto of een amsterdams grachtenhuisje of zelfs een totaal klimaatneutraal hutje in de amazone.
Als dan bijvoorbeeld de hacker een vriend van je is waarom zou je hem niet even aan een klusje erbij helpen.
Euh dat laatste heet corruptie en is strafbaar
Dit is alleen corruptie als de ambtenaar er beter van word oftewel er iets voor terug krijgt. dit geld dus niet als het een vriendendienst is.

Dat het etisch niet verantwoord is als je je aanbesteding transparant openbaart klopt. maar corruptie is toch nog net een stap erger.
Daarbij ging het om een voorbeeld hypothetisch dus.
De staatsomroep mag dan geen winst maken, maar de mensen en bedrijven die er voor werken wel zeker.
Je mag het draaien of keren zoveel als je wil, maar voor de wet (en daar kan ik hun helemaal in volgen) ben jij dan nog steeds degene die zich onrechtmatig toegang heeft verschaft tot gegevens en computers waar je niet aan mag/hoort te komen.
Natuurlijk, dat is natuurlijk compleet hetzelfde hŤ...

Het gaat om een organisatie die gegevens van mensen gebruikt, en deze niet fatsoenlijk beveiligd. Een huis van een privť persoon inbreken lijkt mij nogal van een andere orde. Het voornaamste verschil is dat er in jouw voorbeeld direct bij een persoon ingebroken wordt, met de focus op de persoon zelf. Bij deze instellingen wordt er niets gedaan met de instelling zelf, maar met de gegevens van derden die zij beheren.
Niets gedaan met de instelling zelf? Dat heet maatschappelijke schade, imagoschade. En dat wordt in dit geval afgewogen tov journalistieke vrijheid en maatschappelijk voordeel.
Je moet het eerder zien als: ik breek in bij jou, ik steel niets maar neem een foto dat ik binnen was en stuur die daarna naar je door om aan te tonen dat jan en allemaal zomaar binnen kan.
En dat is dus strafbaar. Zowel in een huis als in een server.
tja, dan is en blijft het nog steeds inbreken, en daarmee dus strafbaar...
Daar zou standaard al een boete op moeten zijn lijkt mij. Volgens mij hier wel qua privacy gevoelige informatie e.d.
Daar zou standaard al een boete op moeten zijn lijkt mij. Volgens mij hier wel qua privacy gevoelige informatie e.d.
als een inbreker in een dokterspraktijk inbreekt en daar de papieren medische gegevens steelt, is de arts dan verantwoordelijk? Moet er desgevallend tegen de arts een klacht worden ingediend?
Als het goed is, zijn die gegevens door een simpele inbraak niet te bemachtigen na sluitingstijd.
Als de arts nalatig is geweest bij het berschermen van deze gegevens, jazeker.
Wanneer spreekt men van nalatigheid? De deur was op slot en is geforceerd. Het lijkt me sterk dat een arts hier nalatigheid kan worden aangewreven.
Om een extreem voorbeeld te geven. Ik heb een ring met een diamand gekocht en leg deze op het dashboard van mijn auto, omdat ik ook nog even boodschappen wil doen. De auto staat in een parkeergarage en is op slot, maar de diamanten ring is duidelijk zichtbaar.

Dat zou ik nalatigheid noemen.
In het geval van de arts, als de documenten gewoon op het bureau liggen, vind ik dat nalatig. Hetzelfde geldt voor online documenten die via een zwak (woordenboek) wachtwoord beschermd worden.
Welke patiŽnten? Zoals in het artikel duidelijk staat is er geen patiŽnteninformatie gehacked?
Als we toch meteen klachten gaan indienen, kunnen de patienten nu aangifte doen van een inadequate beveiliging van persoonsgegevens...
nee, want de patientendossiers zijn niet gehacked...
Nogmaals het gaat NIET om patiŽnten gegevens.

Het UZ Leuven bezit patiŽnten gegevens maar men is niet in het UZ Leuven binnen geraakt, de gegevens zijn van een studiegroep van de KU Leuven
Universiteiten (in BelgiŽ) zijn een gemakkelijk doelwit. Ze hebben bijzonder weinig financiŽle middelen. Ze kunnen nauwelijks IT personeel aantrekken omdat deze zich eerder laten verleiden tot een groter salaris en een mooie leasewagen in de private sector. Geld voor opleidingen voor hun IT personeel is er ook niet. En het zal er allemaal niet op verbeteren met de aangekondigde besparingen.
Dat is doorgaans een bewuste keuze van de universiteit zelf. Als ik zie wat mijn alma mater (UGent) uitgeeft aan frivoliteiten en waardeloze richtingen...
Dat was een correcte opmerkingen 10 jaar geleden, de universiteit is niet langer zo'n eenvoudig doelwit... naast het feit dat er +/- enkele duizenden gebruikers op hun netwerk zitten die allemaal verschillende hard/software hebben.

Ik werk zelf op een Universiteit en ik kan zeggen dat er weldegelijk veel geÔnvesteerd wordt in IT beveiliging, maar zoals deze hack aantoont, is er altijd wel een of ander systeem te benaderen.
Ik denk dat je de bal hier helemaal misslaagt. KUL staat er zeer goed voor op IT vlak, en UZ leuven ook trouwens. Alles achter de firewall stond trouwens veilig, maar als sommige departementen beslissen om iets om de DMZ te zetten, dan is dat geen fout van IT of hun personeel.
Een departement dat een server heeft en die zelf ergens in de DMZ kan plaatsen zonder dat ze een eigen IT afdeling hebben, dat lijkt me buitengewoon onwaarschijnlijk. Ik kan me er alles bij voorstellen dat dit door miscommunicatie is veroorzaakt; onderzoekers die niet wisten dat deze server van buitenaf te benaderen was en IT die niet op de hoogte was dat er gevoelige data op de server stond. Als de onderzoekers het wel wisten dan zijn ze gewoon nalatig geweest en dienen ze hiervoor gestraft te worden; dat zal ook wel gebeuren als het zo is, want universiteiten gaan meestal niet heel vriendelijk met hun personeel om bij dit soort incidenten.
volledig mee eens...
beveiliging van draadloos netwerk met hidden ssid en wep encryptie. Plain text wachtwoorden... default wachtwoorden... Plain text patiŽnten gegevens...
Maar zelfs als er een reportage van komt lijkt geen mens er zich druk over te maken.
Wellicht was het verstandig geweest dit eerst even te bespreken met een doelwit... Dat verandert het bericht van het programma niet echt, mij inziens.
Dat is fout, want dan is het ineens wťl geregeld en in orde.
Dat is hetzelfde als de Inspectie dienst eerst je baas belt 'Zal ik morgen checken qua veiligheid?'
Dan is natuurlijk alles in orde... nu weten de kijkers dat dit anders is.
Dat is fout, want dan is het ineens wťl geregeld en in orde.
Zou het? Zo ja, dan lijkt me dat een erg eenvoudige methode om alles goed geregeld te krijgen.
Maar neemt niet weg dat het niet op zo’n manier moet, maar dat het vanuit hun zelf al goed moet zijn, en niet omdat een buitenstaander aanbied om te controleren.

Zelfde dat de politie niet zelf verteld dat ze op die specifieke weg een alcohol controle houden, omdat men niet om die reden nuchter moeten rijden, maar omdat men er van moet leren dit voortaan goed te doen. Ookal zou men dan alleen al nuchter rijden van de vervolgboete die gigantisch hoog zijn, dan rijden ze tenminste nuchter.
ja en nee? het lost structureel niets op, en meestal worden onveilige machines etc gewoon verstopt of een bordje met 'buiten gebruik' dat 3 minuten na ze weg zijn weer wordt weggehaald om gewoon doodleuk door te gaan met productie...
Tja, zo gebeuren uiteraard enorm veel audits in bedrijven. die worden uitgevoerd op bestelling en men weet dus wanneer de auditeur langskomt. Voldoende tijd dus om te zorgen dat je in orde bent.
Een auditeur kijkt natuurlijk ook na of er een systeem bestaat die er voor zorgt dat ook buiten de audits om alles keurig verloopt. Bovendien heb je ook zoiets als de onverwachte inspecties door de overheid.
Een bedrijf die zich laat auditen wil weten hoe ze er voor staan. Als ze dan hun slechte machines wegstoppen liegen ze zichzelf iets voor en gooien ze geld in de vuilnisbak...
Het management van een bedrijf wil dit inderdaad weten. Vaak heeft het management geen goed zicht op wat er op de werkvloer gebeurd en de werkvloer heeft hier ook vaak baat bij.

Het is heel makkelijk voor een "vloerverantwoordelijke" om inderdaad gewoon de toestellen die niet OK zijn weg te stoppen, zodat hij zelf niet in een slecht daglicht wordt gezet.

Management is dan tevreden, maar het probleem is totaal niet opgelost... Die zie ik bij mijn werkgever vaak genoeg gebeuren. Bij audits worden de "mindere" werknemers op andere projecten gezet, om een compleet vertekend beeld naar het management te geven. Defecte toestellen worden tijdelijk even in de kast gezet.. etc.
de inspectie dienst is iets anders als een wildvreemde lijkt me?

Of zal ik jouw beveiliging thuis ook komen nakijken? En je wakker maken naast je bed in het midden van de nacht?

@Aventijn
Wederom, de beveiliging van het ziekenhuis en mijn bijhorend dossiers was blijkbaar in orde ;-). Maar uw vergelijking klopt inderdaad beter als de mijn :-)

[Reactie gewijzigd door white modder op 16 oktober 2014 17:17]

In dezelfde trend is deze vergelijking meer op z'n plaats:

Zal ik de beveiliging die het ziekenhuis toepast op jouw elektronische patiŽntendossier eens nakijken? Ik zal je dan laten weten of ze het wel ťcht veilig hebben opgeslagen.

Misschien ook niet helemaal wenselijk, maar geeft mij toch al een iets ander gevoel ;)
Vooraf bespreken en wat als ze het niet willen, hetgeen de meeste bedrijven scholen en universiteiten niet willen, wat dan. Dan sta je als journalist.

Waarom moet de rechterlijke macht hier weer tijd in gaan investeren. Zonde van het belastinggeld. De UZ Leuven gaat er beter mee om de de KU, het katholieke deel.
Wat de KU niet door heeft des te meer aandacht ze dit geven des te slechter hun naam wordt.

Misschien kan een vrijwilliger de KU aanklagen omdat ze hun zaakjes niet goed op orde hebben. Heeft de KU aan alle betrokkenen geÔnformeerd dat hun door privacy beschermde gegevens mogelijk gehackt zijn en openbaar zijn. Die plicht heeft de KU ook
Het katholieke deel?
KU = katholieke universiteit
UZ = universitair ziekenhuis
De U in UZ Leuven slaat hier op de KU Leuven, maar de universiteit is niet een onderdeel van het ziekenhuis, eerder omgekeerd...
Het UZ Leuven is op verschillende niveau's volledig onafhankelijk van de KU Leuven, ik kan ook zeggen dat de IT dienst van het UZ Leuven een groot verschil tegen over die van de KU Leuven
Dat is fout, want dan is het ineens wťl geregeld en in orde.
Dat is hetzelfde als de Inspectie dienst eerst je baas belt 'Zal ik morgen checken qua veiligheid?'
Dan is natuurlijk alles in orde... nu weten de kijkers dat dit anders is.
Het lijkt mij dat het programma wilde aantonen dat er iets niet klopte omdat te laten veranderen. Het van te voren melden heeft dus volgens jou dezelfde gevolgen.

Nu overtreden de makers de wet zonder dat daar direct een reden voor is. Het maatschappelijk belang was meer gedient bij de oplossing dan het nieuws nietwaar?
Dat is fout, want dan is het ineens wťl geregeld en in orde.
Dat is hetzelfde als de Inspectie dienst eerst je baas belt 'Zal ik morgen checken qua veiligheid?'
Dan is natuurlijk alles in orde... nu weten de kijkers dat dit anders is.
de bedoeling is dat alles in orde wordt gebracht. Of dit nu voor of na een controle is, tenzij de deuren achteraf terug worden open gezet.
minder leuk voor programmamakers natuurlijk, want als hun vooraf zorgvuldig uitgekozen target in de uitzending plots niet te hacken valt, dan heb je natuurlijk maar een flauw afkooksel van de sensatie die je verwachtte.
Het gaat hier ook niet om een audit, maar om een televisieprogramma. Die doen dat in eerste instantie niet "om alles op orde te brengen", maar als donderdagavond-vermaak met een journalistieke inkijk. En dan volgen ze inderdaad niet dezelfde weg als die bij een audit, maar een andere manier. Dat UZ Leuven op de hoogte is gebracht van die mogelijke hack, hoort daar ook bij. Het UZ heeft dat verzoek trouwens geweigerd, en de reportagemakers hebben die weigering naast zich neer gelegd.

Hun zorgvuldig uitgekozen target was ook niet het enige zorgvuldig uitgekozen target. Behalve het UZ zouden er nog een regionaal ziekenhuis en artsenvereniging gehackt zijn.
Waarom een klacht en geen aangifte?
Misschien toch maar eens kijken vanavond, als Apple event saai of al afgelopen is.
Wat mij betreft mogen de hackers van dit tv-programma rechtstreeks de cel in. De makers en overige verantwoordelijken voor dit programma tevens ook. Zij weten dondersgoed waar zij mee bezig zijn. Mijner inziens schiet het middel het 'nobele' doel hier toch echt voorbij.
Op de site van het VRT programma Koppen staat net dat het een item is dat over etisch hacken gaat:
Ethisch hacken
Hoe veilig zijn internetgegevens? Koppen deed de test en praat met ethische hackers die bedrijven willen helpen om de cyberveiligheid te verhogen.
Het is dus hun bedoeling de bedrijven net de helpen door de hacks aan hen door te spelen. In hetzelfde programma gaat trouwens ook een van de leden van het Userbase.be forum een uitleg doen over zijn hack van de Telenet HGW modem. Hij heeft Telenet hierover gecontacteerd en is met veel interesse bij hen in Mechelen uitgenodigd geweest (lees maar het topic op het gelinkte forum, login kan mogelijk nodig zijn). Ik wil maar zeggen dat je niet direct elke hacker direct aan de schandpaal moet hangen voor wat ze doen.
Maar er is per defitinitie toch een verschil met een mail te sturen naar de instelling en een documentaire maken? Wat is ethisch en waar stopt het ;-)?

@Klakkie.57th

Dus journalisten mogen zaken doen tegen de wet (die zelfs de politie niet mogen) om onderzoekjes te doen? Dat lijkt me sterk en niet wenselijk...

[Reactie gewijzigd door white modder op 16 oktober 2014 17:20]

Ik denk dat het antwoord op die vraag eerder gezocht moet worden bij een andere faculteit van de KULeuven :)

Maar ergens snap ik wel dat men niet eerst het UZ Leuven gaat inlichten alvorens te proberen hacken want van het moment ze er weet van hebben zit je natuurlijk als hacker niet meer in een real-life situatie. Ze gaan misschien precies daardoor meer monitoren omdat ze weten dat er gehackt gaat worden. Langs de andere kant snap ik dan weer wel dat je met bij het maken van een programma over iets dat op zich misschien illegaal is je misschien toch best eerst de toestemming vraagt alvorens er aan te beginnen. Beide kanten van het verhaal hebben uiteraard een punt hier.
Ze hebben we degelijk eerst UZ Leuven op de hoogte gebracht, en hiervoor gťťn toestemming gekregen.
Dat heet onderzoeksjournalistiek !
Dit is niets anders dan een journalist die bewijzen heeft verkregen over een corrupte politicus en dit naar buiten brengt. Volgens jouw redenering moet hij de corrupte politicus gewoon inlichten en hopen dat hij het niet meer doet.
Volgens mij is het nog altijd zo dat een journalist zijn bronnen niet moet vrijgeven

[Reactie gewijzigd door klakkie.57th op 16 oktober 2014 16:26]

In de reportage over ethisch hacken wordt naar verluidt getoond hoe een hacker duizenden patiŽntengegevens onrechtmatig weet te bemachtigen.
Etisch hacken en onrechtmatig verkrijgen van gegevens in 1 zin.... Volgens mijn woordenboek gaat er dan iets erg fout. Als het dan zo etisch is, dan zouden ze met hun vingers van die data af moeten blijven.
ik ben de hacker die de modem van telenet gehacked heeft .en in mijn geval was telenet zeer blij dat ik dat aan hun gemeld heb ( en ze hebben trouwens zeer snel gezorgd voor een firmware update die binnenkort naar de modems zal geflashed worden ) ...
ik vind dat de andere hacker uit de reportage nie echt iets misdaan heeft , de gegevens zijn niet uitgelekt en staan door zijn acties niet meer publiek op internet dat is het belangrijkste ...
nu kunnen de blackhats tenminste niet via sqlmap al die info steelen...

[Reactie gewijzigd door stuntlc op 17 oktober 2014 02:25]

Dit is wel de manier om aandacht te laten besteden aan veiligheid van je netwerk. Zolang de gegevens door de programmamakers niet misbruik worden is er niks aan de hand. De gehackte instellingen moeten ipv naar de rechter te gaan eens nadenken wat ze verkeerd hebben georganiseerd dat dit heeft kunnen gebeuren. Voor hetzelfde waren ze gehackt door kwaadwillende en hadden ze nu een nog groter probleem.
Ik ben het zeker met je eens dat KU Leuven / UZ Leuven zich enorm achter de oren moet gaan krabben wat betreft beveiliging van hun digitale systemen, ik ben er ook van overtuigd dat ze dit achter de schermen echt wel doen. Desondanks vind ik dat ze zeker naar de rechter moeten gaan omdat de actie van het tv-programma nog steeds illegaal is.

De makers van het tv-programma hadden er ook gťťn tv-reportage over kunnen maken. Als ze echt een nobel doel hadden, dan hadden ze de instanties kunnen benaderen met het vergaarde bewijs en dan op die manier aantonen hoe gebrekkig hun beveiliging schijnbaar is geweest. Maar nee, dat interesseert een tv-reportage niet. Die gaat het alleen om kijkcijfers. Juist die keuze van de makers van het tv-programma doet mij walgen en vind ik dat het daarom gestraft moet worden.

Dit staat natuurlijk los van het feit dat de KU / UZ Leuven wel degelijk iets te verbeteren heeft in hun systemen...
Zonder die kijkcijfers gebeurt er alsnog niets. Wat kan het die uni nu schelen dat een TV programma beweert dat ze binnen zijn geweest? Nu wordt het aan de grote klok gehangen en hoort half BelgiŽ er ineens van, en dat trekt wťl de aandacht van het management.
Je kunt hooguit je vraagtekens zetten bij het daadwerkelijk downloaden van een stapel gegevens. Ze hadden ook simpelweg een dump van bijvoorbeeld folder names van die server kunnen halen zonder de daadwerkelijke informatie te downloaden. Dan bewijs je ook dat je binnen bent, zonder iets mee te nemen.

Ben ik illegaal bezig als ik op een parkeerplaats gewoon bij elke auto even aan de deurklink trek om te zien of hij open is?
Ze hebben net niets te verbeteren in hun systemen.. Stond in de DMZ zone, dus fout van personen (once again?) de hackpoging van alles achter de firewall is niet doorgegaan en trouwens gelogged.
Nouja, op zich hebben ze hun beveiliging nog wel op orde. De hacker is enkel binnengeraakt op hun DMZ en geraakte nergens voorbij de firewall.
Ze hebben eerder nood aan een content policy die bepaalt welke gegevens waar mogen verspreid staan. Maarja, is niet vanzelfsprekend voor zo'n grote instelling.
Dag... dit moet gewoon worden toegestaan... er staat zelf dat een Firewall deze hacker zou hebben tegen gehouden!
Dan hadden zei daar eerder rekening mee te houden, simpel zat!
Hoezo moet dit wel worden toegestaan? Dit is gewoon inbreken en diefstal van patiŽntgevoelige informatie. Het gaat dan wel om verouderde onderzoeksgegevens, maar daarvoor gelden ook enkele privacy voorwaarden.

Ik ben het met je eens dat het KU Leuven / UZ Leuven ook een aandeel heeft met schijnbaar gebrekkige beveiliging, maar dat doet niets af aan de illegaliteit van de actie!
Dus jij wenst liever geen onderzoeksjournalistiek die dit soort problemen kan blootleggen? Het probleem negeren en in de doofpot stoppen zodat enkel echte criminelen weten dat er problemen zijn om dit te misbruiken?

In principe moet het perfect mogelijk zijn om instellingen te hacken en hen hiervan op de hoogte te stellen zonder schrik te moeten hebben voor een eventuele aanklacht. Zolang er geen intentie is om de verkregen data te misbruiken, en deze na het leveren van bewijs aan de eigenaar te wissen.
Dus jij wenst liever geen onderzoeksjournalistiek die dit soort problemen kan blootleggen?
Ik vind dat instituten een audit moeten krijgen voor dit soort problemen waarbij dit soort problemen ook aan het licht komen. Onderzoeksjournalistiek is in mijn ogen vaker een verkapte poging om kijkcijfers te scoren dan echt een nobel doel na te streven. Maar ik geef toe dat dit dit laatste per persoon verschillend is.
Het probleem negeren en in de doofpot stoppen zodat enkel echte criminelen weten dat er problemen zijn om dit te misbruiken?
Volgens mij heb ik dat niet gezegd. Ik vind dat in ieder geval niet.
In principe moet het perfect mogelijk zijn om instellingen te hacken en hen hiervan op de hoogte te stellen zonder schrik te moeten hebben voor een eventuele aanklacht. Zolang er geen intentie is om de verkregen data te misbruiken, en deze na het leveren van bewijs aan de eigenaar te wissen.
En heb je jezelf wel eens afgevraagd of KU / UZ Leuven een klacht had ingediend als de makers besloten hadden om na de hack met de instantie te gaan praten en NIET een tv-reportage hadden gemaakt? Het gaat mij om de combinatie van deze acties. De eerste actie is illegaal, maar kan wellicht te verdedigen zijn in specifieke gevallen (praten met de gehackte partij bijv.) de tweede actie vind ik vooral een egocentrische actie (verzamelen van kijkcijfers, dat is geen nobel doel). En wie zegt dat de makers de data gaat wissen?

[Reactie gewijzigd door itsyaboy op 16 oktober 2014 16:13]

In dit geval wordt het gebruikt voor een televisieprogramma, zonder verdere nadelige gevolgen voor de betreffende personen waarvan de gegevens buit zijn gemaakt.
Dit had ook door criminelen gedaan kunnen worden, waarbij de betreffende personen er nooit iets over hadden gehoord, maar hoogstwaarschijnlijk wel de nadelige gevolgen hadden ondervonden.
In dit geval is de reactie dus zeer fout. Ze hadden beter de hand in eigen boezem kunnen steken, in het betreffende tv programma hun excuses kunnen aanbieden dat dit heeft kunnen gebeuren, een bloemetje kunnen aanbieden aan de vinder van het lek en de belofte kunnen doen dat dit zo snel en goed mogelijk opgelost zal gaan worden om dit in de toekomst niet nogmaals mogelijk te laten zijn.
Wanneer een hacker de gegevens had bemachtigd en ze gewoon op de zwarte markt had aangeboden, hadden ze niet eens aangifte tegen een persoon kunnen doen aangezien ze dan niet hadden geweten wie en hoe.

Ja het is in principe een illegale actie, maar het is wel een beetje hetzelfde als je deur open laten staan en daarna moord en brand schreeuwen wanneer iemand je daarop wijst.

edit @itsyaboy
Ik ben het met iedereen eens dat KU / UZ Leuven een verantwoordelijheid heeft ten aanzien van de gebrekkige beveiliging, maar ik wil iedereen er op wijzen dat de makers van het tv-programma andere alternatieven hadden die mijner inziens betere gevolgen hebben dan een tv-reportage.
Alleen is dat geen verhaal voor de makers van het tv programma, want het is nu eenmaal hun werk een programma te maken en dan ook nog wekelijks met boeiende onderwerpen.
Het zou dus raar zijn voor hun om er niets mee te doen.

KU / UZ Leuven heeft inderdaad de verantwoordelijkheid om te zorgen dat de gegevens van derden niet op straat komen te liggen en worden op deze manier publiekelijk geconfronteerd met hun falen daarin.
In ieder geval is zeker dat er nu wat aan gebeurt, wat als het onder de pet gehouden wordt nog maar de vraag is.

Houd daarbij in je achterhoofd dat er geruime tijd iedereen met een beetje verstand over de persoonsgegevens heeft kunnen beschikken.

[Reactie gewijzigd door Mathijs op 16 oktober 2014 16:53]

In dit geval wordt het gebruikt voor een televisieprogramma, zonder verdere nadelige gevolgen voor de betreffende personen waarvan de gegevens buit zijn gemaakt.
Dit is een aanname. Je weet niet wat er nog meer met de gegevens gebeurt.. (wel een beetje alu-hoedje inderdaad ;))
In dit geval is de reactie dus zeer fout. Ze hadden beter de hand in eigen boezem kunnen steken, in het betreffende tv programma hun excuses kunnen aanbieden dat dit heeft kunnen gebeuren, een bloemetje kunnen aanbieden aan de vinder van het lek en de belofte kunnen doen dat dit zo snel en goed mogelijk opgelost zal gaan worden om dit in de toekomst niet nogmaals mogelijk te laten zijn.
Dit is symboolpolitiek en levert mijner inziens weinig op. Ze hadden beter naar het instituut toe kunnen stappen en dan desnoods gezamenlijk een implementatieplan kunnen schrijven om de beveiliging te verbeteren. Ik geloof ook niet dat de hacker het voor een bloemtje doet. Een belofte om een lek te dichten zijn ook slechts woorden. Nee, zo'n tv-reportage roept juist symbolische acties op, waarbij het de vraag is of er Łberhaupt concrete gevolgen zijn die leiden tot verbeteringen.
Ja het is in principe een illegale actie, maar het is wel een beetje hetzelfde als je deur open laten staan en daarna moord en brand schreeuwen wanneer iemand je daarop wijst.
Jouw voorbeeld is incompleet. Ik wil het graag aanvullen:
KU / UZ Leuven heeft schijnbaar slechte beveiliging (deur open laten staan).
Hacker loopt door de open deur heen, kijkt rond en neemt allemaal goederen mee
Hacker wijst dan op het feit dat de deur open staat.

Ik ben het met iedereen eens dat KU / UZ Leuven een verantwoordelijheid heeft ten aanzien van de gebrekkige beveiliging, maar ik wil iedereen er op wijzen dat de makers van het tv-programma andere alternatieven hadden die mijner inziens betere gevolgen hebben dan een tv-reportage.
Nee: het gaat hier over een hacker die even met een botte bijl door de voordeur heen komt. De metalen deur van de kluis krijgt hij echter niet open.
Ik ben het met iedereen eens dat KU / UZ Leuven een verantwoordelijheid heeft ten aanzien van de gebrekkige beveiliging, maar ik wil iedereen er op wijzen dat de makers van het tv-programma andere alternatieven hadden die mijner inziens betere gevolgen hebben dan een tv-reportage.
Ik werk zelf IT in dezelfde universiteit maar een ander departement. En de beveiliging hangt hier echt af van departement tot departement en de middelen die je hebt. Beveiliging in mijn departement is bijvoorbeeld echt niet zo belangrijk (wordt verwaarloosd). En ik moet dan ook kijken naar deze reportage.
Interessant, wat vind je dan van deze reportage? Denk je dat dit een legitieme manier is om aan te tonen dat het beter moet of hadden alternatieve mogelijkheden kunnen werken? Dan denk ik bijv. aan het in contact treden met de instantie en aan te tonen dat het mogelijk is.
Ik zal het vanavond pas kunnen zien. :D Maar persoonlijk vind ik dit niet 100% OK. Ik vind dat je moet melden, wachten (maand of 2-3), hercontroleren en dan pas indien nodig aan de schandpaal nagelen. Net zoals de meeste vulnerability researchers te werk gaan dus. Maar ja, dat levert misschien geen reportage op.
Ik had begrepen dat in het programma er geen namen van instellingen zouden vernoemd worden.
Dus geen schandpaal toestanden maar een wake-up call
Ik heb het gezien. Het ging voornamelijk over "ethische hackers"
en wat met ze te doen. Het was een pro-"hacker" prentje. Wat wel is mag, zeker na het NSA debacle.

Er was er eentje die de serial console of jtag van z'n telenet router aan de praat kreeg en zo had gevonden dat er een management pagina was waarop telenet-modems afgeluisterd kon worden. Hij kreeg een job aangeboden.

Dan was er nog een andere kerel, een jonge knul. Die nog heel groen was en alle cliches en credo's rond bazuinde.

Technisch gezien zag je wat hostnames rondstromen, een paar keer output van tree en 1 keer een login brute forcer.

Jammer, ik had er veel meer van verwacht.
Edit: tweakers.net was wel even te zien op het scherm
van router-hacker.

[Reactie gewijzigd door goarilla op 17 oktober 2014 09:36]

edit @itsyaboy

Alleen is dat geen verhaal voor de makers van het tv programma, want het is nu eenmaal hun werk een programma te maken en dan ook nog wekelijks met boeiende onderwerpen.
Het zou dus raar zijn voor hun om er niets mee te doen.
Dus dan vind je maar dat zij illegale activiteiten moeten gaan ondernemen voor hun werk? Hoe kan je dat accepteren?
Houd daarbij in je achterhoofd dat er geruime tijd iedereen met een beetje verstand over de persoonsgegevens heeft kunnen beschikken.
Dat ben ik niet vergeten, maar een tv-reportage is mijner inziens niet de manier om het te verbeteren.
Dus dan vind je maar dat zij illegale activiteiten moeten gaan ondernemen voor hun werk? Hoe kan je dat accepteren?
Het verschil zit hem in de intentie, hoe had dit op een andere manier aangetoond kunnen worden dan het te proberen?
Criminelen hebben helemaal geen rekening te houden met normen en waarden, wil je sommige zaken aan het publiek laten zien, zul je jezelf ook over de richel moeten begeven.
Wat er dan uiteindelijk met de buit gebeurt, daar zit het verschil.

Er is hier aangetoond dat de beheerder van de gegevens de verantwoordelijkheid daarover schijnbaar niet serieus neemt.
De onderzoekers die dat aantonen aanklagen is dan een slechte oplossing, aangezien jezelf onzorgvuldigheid en nalatigheid kan worden verweten door veel meer mensen.
Wanneer ik hier zelf last van zou ondervinden, zou mijn reactie waarschijnlijk zijn zelf een aanklacht in te dienen voor het niet zorgvuldig handelen met mijn persoonsgegevens.
KU Leuven / UZ Leuven zijn verplicht deze zeer gegevens dusdanig te beveiligen dat zij niet door derden benaderbaar zijn. Zij hebben daarin gefaald, en zouden daarom ook gestrafd moeten worden voor hun nalatigheid. Dit programma laat zien, dat de KU Leuven en UZ Leuven nalatig met de gegevens van mensen omgaan, ondanks dat zij verplicht zijn deze gegevens te beschermen. Ditmaal was de inbraak niet door personen met bedenkelijke intenties, maar de volgende maal zou dat anders kunnen zijn. De mogelijke implicaties van het uitlekken van dergelijke gegevens zouden niet te overzien zijn voor de getroffenen.
Je leest de berichtgeving niet goed, je haalt de naam UZ Leuven erbij terwijl het over de KU Leuven gaat, de hack op het UZ Leuven is gefaald
Ik denk dat we blij mogen zijn dat de hacker koos voor de optie "We maken er een documentaire van" ipv de optie "We verkopen die info aan buitenlandse criminelen". Zolang ze de informatie over hoe ze dit deden en die informatie van de patienten zelf niet naar buiten brengen is de enige schade die geleden is imagoschade. En dat ligt imho volledig aan de universiteit zelf. Als we mensen gaan vervolgen die gewoon slechte beveiliging aan de kaak stellen gaan de nieuwsberichten in de toekomst beginnen met "Russische hackers kraken database KU Leuven".
Je hebt zeker gelijk dat de hacker een relatief gelukkige optie koos. Desondanks zijn er meerdere wegen die naar Rome leiden (beter beveiligde systemen van KU / UZ Leuven) dan de keuze voor een documentaire. Maar ik val geloof ik in herhaling, dat is niet de bedoeling haha
Het lijkt me een goede zaak als men dit soort dingen idd bij de politie aangeeft. Als men voor een tv programma ging proberen fysiek in te breken in het universiteitsarchief, dan was de discussie er helemaal niet. Dat kan gewoon niet. Als t digitaal is, waarbij je moeilijker fysiek over je grenzen voelt gegaan worden, is t veel minder een issue lijkt t wel. Terwijl het net zo onacceptabel is.
Toch is de kans dat zij het gaan fixen, en ze het strucuteel gaan nalopen groter als het in de media beland en ze daarna verbetering garanderen. Als het via Politie zou gaan, lossen ze dat ene dingetje op, klaar. Maar in dit geval zullen ze al gauw bang zijn dat ze meer dingen gaan vinden dus gaan ze het beter doorlichten.
Probleem is dat je nooit perfect digitaal alles kan beveiligen. Er zal alleen maar meer gehackt gaan worden in de toekomst. Als je dan ook niet, naast een redelijke beveiliging, streng juridisch gaat optreden wordt t een wildwest verhaal hier.

Je verwacht niet van een random universiteit dat ze bestand zijn tegen raketaanvallen. Een slot op de deur en wat camera's zijn redelijk. Digitaal hetzelfde, je moet een beetje up to date zijn, en niet teveel open hebben staan, maar een complete vesting is niet redelijk. Dat verwachten en iedereen maar laten inbreken en dat goedkeuren omdat t beveiliginsproblemen aantoont, lijkt me geen goede aanpak.

[Reactie gewijzigd door - peter - op 16 oktober 2014 16:35]

Zie mijn onderstaande reactie
Een dikke 10 jaar geleden braken 2 presentators in op de luchthaven Brussel Nationaal (Zaventem) en geraakten tot in de cockpit van een vliegtuig. Veel commotie maar uiteindelijk is hier enkel maar een betere beveiliging van de luchthaven van voortgekomen en geen straf voor de presentators
Ik vind het in deze belangrijk om te weten hoe er toegang is verkregen tot de gegevens. Als het kinderlijk eenvoudig was, dan is het algemeen belang hier groter dan die van de universiteit.

Hoe oud zijn (of wat is in dit geval oud aan) die "oudere" gegevens, 2 maanden?
De buurvrouw heeft de deur open staan. Je loopt naar binnen om dat tegen haar te zeggen en ziet daarbij een mooie antieke klok. Vervolgens zeg je tegen de buurvrouw: besef je wel dat je deur open staat? Ze kunnen zo je dure klok meenemen! Heb je dan ingebroken? :+

Ik begrijp dat die parallel soms niet zů ťťn op ťťn is. Om te zien bij wat voor gegevens je kunt zul je bestanden moeten openen en dan zijn ze in feite al tijdelijk naar jouw pc gekopieerd (en dus gestolen). Daarnaast ga je bij de buurvrouw natuurlijk ook niet opzettelijk haar sierradenkistje doorzoeken om te kijken wat een kwaadwillende allemaal mee had kķnnen nemen. Maar ik geloof niet dat ik vind dat dit type 'klokkenluiders' moet worden aangeklaagd... Of misschien wel, alleen maar zodat we gerechtelijk kunnen bevestigen dat we vinden dat dit moet kunnen. Het recht is er mijns inziens om te voorkomen dat er het niet toegestaan is dingen te doen die anderen schaad en die daarmee nadelig zijn voor de kwaliteit van de samenleving. Het wijzen op beveiligingsproblemen lijkt me niťt schadelijk voor de samenleving.
Als men voor een tv programma ging proberen fysiek in te breken in het universiteitsarchief, dan was de discussie er helemaal niet. Dat kan gewoon niet
Euh, natuurlijk wel. Als iemand een documentaire maakt over hoe makkelijk het is om een universiteitsarchief binnen te komen doordat de beveiliging nalatig is, dan is iedereen het er mee eens dat die slechte beveiliging van dat universiteitsarchief aangepakt moet worden. Ik denk niet dat een weldenkend mens gaat zeggen dat je gewoon niet moet inbreken als de beveiliging aantoonbaar niet deugt. Als die beveiliging niet goed is zal er gegarandeerd ooit misbruik van gemaakt worden.

Ethische hackers breken in op systemen om aan te tonen hoe slecht die beveiliging is, en om een signaal te geven dat daar wat aan gedaan moet worden.

EDIT: had een reactie op -peter- 16 oktober 14:57 moeten zijn

[Reactie gewijzigd door jaapzb op 16 oktober 2014 15:11]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True