Zes ton boete voor hacker (16)

In de jeugdgevangenis met die lui!

Er ik vaak nog niet veel kennis voor nodig om ergens toegang tot te krijgen.
Ik vind het meer dat het bedrijf zich moet beschermen hiertegen.
Deze keer is de dader achterhaald, maar internet is zo groot dit vaak onmogelijk is

beveiliging bij veel bedrijven is gewoon te simpel, waar ik werk zijn maar 70 mensen.
van database wordt dagelijks een backup gemaakt en naar huis genomen.

pff het is echt zo simpel om toegang tot een groot netwerk te krijgen,..
je laat er een poortscanner op los,..
je gaat via bepaalde protocollen naar binnen vian de poorten die open staan en leef je uit,..
(deze informatie is gewoon te vinden op een aantal sites,..
inc alle benodigdheden,.. (het slimste is overgens om een inbelverbinding te gebruiken,..)

quote:

Op vrijdag 28 mei 2004 09:54 schreef het_ismij het volgende:
pff het is echt zo simpel om toegang tot een groot netwerk te krijgen,..
je laat er een poortscanner op los,..
je gaat via bepaalde protocollen naar binnen vian de poorten die open staan en leef je uit,..
(deze informatie is gewoon te vinden op een aantal sites,..
inc alle benodigdheden,.. (het slimste is overgens om een inbelverbinding te gebruiken,..)

Nee dat is niet slim, providers registreren dat tegenwoordig. Slimmer is om met je laptop even rond te cruisen en een onbeveiligde WiFi connectie te gebruiken.

ja maar dan kun je net zo goed thuis blijven en bij de achterburen op de wifi gaan

Het is een verloren zaak om uit te leggen dat het kraken van systemen niet het werk is van een hacker. De media hebben dat woord zodanig ingeburgerd, dat jullie niet meer beter weten. Maar goed, bij deze nog een keer een stukje uitleg:

Hackers zijn de mensen die al die computersystemen gemaakt hebben.

Geeks zijn mensen die goed met computers kunnen omgaan.

Crackers zijn mensen die inbreken in computersystemen.

Script kiddies zijn de mensen die tools downloaden van het internet en die uitproberen, zoals poortscanners en virus-bouwkits en die dan de lekke systemen per ongeluk om zeep helpen en eigenlijk niet weten waar ze mee bezig zijn.

De jongen waar het hier om gaat is dus geen hacker, maar een script kiddie. En raptorix, nee, jij bent ook geen hacker. Jij bent een geek die cracker wil spelen door script kiddie te worden.

Als je wilt weten wat een echte hacker is, is hier The Hacker FAQ.

denk dat een hacker toch altijd nog beter is dan een cracker, ook al zijn ze juridisch gezien allebei fout.
Als bedrijf voelt het evengoed best k*t als je weet dat er iemand je systeem binnen kan komen. Maar hackers laten vaak een bericht achter, en mailen (of op een andere manier) hoe zij dit gedaan hebben, en hoe het bedrijf dit in de toekomst kan voorkomen.

Een kwaadwillig iemand (cracker zo te lezen in dit topic) zal inbreken, die boel vernielen, en meer niet. Je zal dus ook niet weten hoe dit gebeurd is (tenzij je er na onderzoek achterkomt) zodat het in de toekomst nog steeds een zwakke plek blijft.

Ik denk dat de meesten hier toch wel toe moeten geven dat het idee dat iemand bij je in huis is geweest en weet waar je sieraden liggen, de sleutels van de ferrari, klompen goud, noem maar op... ook niet leuk vinden, maar als de inbreker je verteld hoe dit kwam en hoe jij dit kan afschermen, je nog altijd blijer bent dan als je wakker wordt en alles is onverklaarbaar weg.

van die leeftijd sta ik trouwens niet te kijken, kids groeien al van jongs af aan op met computers, en zijn er dan ook zeer snel in thuis, zeker als zij zich er op jongere leeftijd al in verdiepen.

quote:

Op dinsdag 1 juni 2004 21:08 schreef xFriendx het volgende:
denk dat een hacker toch altijd nog beter is dan een cracker, ook al zijn ze juridisch gezien allebei fout.
Als bedrijf voelt het evengoed best k*t als je weet dat er iemand je systeem binnen kan komen. Maar hackers laten vaak een bericht achter, en mailen (of op een andere manier) hoe zij dit gedaan hebben, en hoe het bedrijf dit in de toekomst kan voorkomen.

Een kwaadwillig iemand (cracker zo te lezen in dit topic) zal inbreken, die boel vernielen, en meer niet. Je zal dus ook niet weten hoe dit gebeurd is (tenzij je er na onderzoek achterkomt) zodat het in de toekomst nog steeds een zwakke plek blijft.

Ik denk dat de meesten hier toch wel toe moeten geven dat het idee dat iemand bij je in huis is geweest en weet waar je sieraden liggen, de sleutels van de ferrari, klompen goud, noem maar op... ook niet leuk vinden, maar als de inbreker je verteld hoe dit kwam en hoe jij dit kan afschermen, je nog altijd blijer bent dan als je wakker wordt en alles is onverklaarbaar weg.

van die leeftijd sta ik trouwens niet te kijken, kids groeien al van jongs af aan op met computers, en zijn er dan ook zeer snel in thuis, zeker als zij zich er op jongere leeftijd al in verdiepen.

Daar ben ik het op zich wel mee eens, behalve dat hackers niet inbreken in computersystemen en briefjes achterlaten om te vertellen dat ze binnen zijn geweest. Dat doen mensen die graag willen laten zien hoe goed ze om kunnen gaan met computers. Hackers weten hoe goed ze zijn met computers. Zij hebben niet de drang om zich te bewijzen. Dat heeft geen nut.

Als een hacker een slecht beveiligd systeem tegenkomt, zal hij hoogstens een briefje achterlaten dat hij de zaak dicht heeft getimmerd omdat de beveiliging maar erg droevig was en of de eigenaars in het vervolg alsjeblieft een beetje beter hun best willen doen.

quote:

Op dinsdag 1 juni 2004 20:57 schreef DiGuru het volgende:
Het is een verloren zaak om uit te leggen dat het kraken van systemen niet het werk is van een hacker. De media hebben dat woord zodanig ingeburgerd, dat jullie niet meer beter weten. Maar goed, bij deze nog een keer een stukje uitleg:

Hackers zijn de mensen die al die computersystemen gemaakt hebben.

Geeks zijn mensen die goed met computers kunnen omgaan.

Crackers zijn mensen die inbreken in computersystemen.

Script kiddies zijn de mensen die tools downloaden van het internet en die uitproberen, zoals poortscanners en virus-bouwkits en die dan de lekke systemen per ongeluk om zeep helpen en eigenlijk niet weten waar ze mee bezig zijn.

De jongen waar het hier om gaat is dus geen hacker, maar een script kiddie. En raptorix, nee, jij bent ook geen hacker. Jij bent een geek die cracker wil spelen door script kiddie te worden.

Als je wilt weten wat een echte hacker is, is hier The Hacker FAQ.

Mijn god, krijgen we weer het eeuwige gereutel over de cracker/hacker/scriptkiddies, ik ben geen hacker, ik ben iemand die redelijk veel kennis op applicatie niveau heb, en daardoor makkelijk gaten weet te vinden. Voorbeeld wat ik gaf was slechts om aan te duiden dat er vrijwel geen bedrijven zijn die security serieus nemen (de eerste website die bijvoorbeeld creditcard gegevens versleuteld opslaat moet ik nog tegenkomen).

Overigens was de manier waarop ik toen in hun database gekomen vrij ongebruikelijk, ik wil het niet echt een security flaw noemen maar geheel waterdicht zat het niet. En nee het was niet via 1 of ander mal scriptje of portscan/bruteforce.

quote:

Op dinsdag 1 juni 2004 21:21 schreef DiGuru het volgende:

[..]

Daar ben ik het op zich wel mee eens, behalve dat hackers niet inbreken in computersystemen en briefjes achterlaten om te vertellen dat ze binnen zijn geweest. Dat doen mensen die graag willen laten zien hoe goed ze om kunnen gaan met computers. Hackers weten hoe goed ze zijn met computers. Zij hebben niet de drang om zich te bewijzen. Dat heeft geen nut.

Als een hacker een slecht beveiligd systeem tegenkomt, zal hij hoogstens een briefje achterlaten dat hij de zaak dicht heeft getimmerd omdat de beveiliging maar erg droevig was en of de eigenaars in het vervolg alsjeblieft een beetje beter hun best willen doen.

Als een hacker een briefje achter laat betekent dat het systeem lek was, het systeem is dus gecompromiteerd, elke serieus bedrijf zou onmiddelijk zijn systeem uit de lucht moeten halen en overgaan tot een compleet nieuwe installatie, en zijn gebruikers moeten inlichten dat hun gegevens mogelijk in verkeerde handen zijn gevallen, maar och welk bedrijf doet dat nou.

*terugvindpost*

een schadevergoeding is iets heel anders dan een boete..

quote:

Op dinsdag 1 juni 2004 21:37 schreef raptorix het volgende:

[..]

Mijn god, krijgen we weer het eeuwige gereutel over de cracker/hacker/scriptkiddies, ik ben geen hacker, ik ben iemand die redelijk veel kennis op applicatie niveau heb, en daardoor makkelijk gaten weet te vinden. Voorbeeld wat ik gaf was slechts om aan te duiden dat er vrijwel geen bedrijven zijn die security serieus nemen (de eerste website die bijvoorbeeld creditcard gegevens versleuteld opslaat moet ik nog tegenkomen).

Overigens was de manier waarop ik toen in hun database gekomen vrij ongebruikelijk, ik wil het niet echt een security flaw noemen maar geheel waterdicht zat het niet. En nee het was niet via 1 of ander mal scriptje of portscan/bruteforce.

Prima. Je weet aardig wat van applicaties en je weet waar je mee bezig bent. En je bent creatief genoeg om een ongebruikelijke aanpak te proberen. Dat is een goed begin.

Heb je al voor jezelf besloten wat je wilt worden? Je zou misschien zelfs een echte hacker kunnen worden. Maar wat vind je belangrijk? Hetgene wat je met die kennis hebt gedaan is waarschijnlijk veelzeggend. Heb je al een manier bedacht en uitgevoerd om dat veiligheidslek te dichten?

Er zijn ook twee manieren om met zulke kennis om te gaan. De meeste mensen houden het voor zich, ze willen zichzelf onmisbaar maken en achterdeurtjes hebben om druk uit te kunnen oefenen. Dat is goed managersmateriaal. Hackers bedenken en implementeren een oplossing en publiceren die op de plaats waar hij het meeste goed doet.

quote:

Op dinsdag 1 juni 2004 21:38 schreef raptorix het volgende:

[..]

Als een hacker een briefje achter laat betekent dat het systeem lek was, het systeem is dus gecompromiteerd, elke serieus bedrijf zou onmiddelijk zijn systeem uit de lucht moeten halen en overgaan tot een compleet nieuwe installatie, en zijn gebruikers moeten inlichten dat hun gegevens mogelijk in verkeerde handen zijn gevallen, maar och welk bedrijf doet dat nou.

Welke systeembeheerder gaat toegeven dat zijn systeem gekraakt is? En dan nog, wat doet hij dan? De zaak dichttimmeren of de daders proberen te straffen?

En dan gaan we nog voorbij aan het kernpunt: als die beheerder een hacker was, dan was je daar nooit binnengekomen. Dan had hij zelf die mogelijke zwakke schakel gezien en dichtgetimmerd. Nee, als je daar binnen kon komen, heeft de beheerder niet voldoende kennis van zaken. En als hij dat wel had, dan zag hij die specifieke zwakke schakel als een verwaarloosbaar risico en is het nu verholpen.

Nee, ga er maar van uit, dat de desbetreffende beheerder niet weet waar hij mee bezig was, vanuit een technisch gezichtspunt. Kijk maar eens om je heen: hoeveel mensen ken je die echt op alle vlakke weten waar ze mee bezig zijn zolang het computersystemen betreft? Echte hackers?

De meeste beheerders zijn wannabe-managers. Dat kun je natuurlijk ook worden.

quote:

Op dinsdag 1 juni 2004 21:41 schreef Alicey het volgende:
een schadevergoeding is iets heel anders dan een boete..

Bij wanbeleid (geen beveiliging of backups) is het altijd het makkelijkste om iemand anders de schuld te geven.

quote:

Op dinsdag 1 juni 2004 22:39 schreef DiGuru het volgende:

[..]

Bij wanbeleid (geen beveiliging of backups) is het altijd het makkelijkste om iemand anders de schuld te geven.

Als jij een slechte alarminstallatie in jouw woning hebt, blijft de inbraak de schuld van de inbreker hoor. Als hij dan ook nog eens op mijn speciale stoel gaat zitten die speciaal is gemaakt voor iemand van mijn gewicht en instort wanneer de inbreker op deze stoel gaat zitten, blijft de inbreker schuldig aan het slopen van mijn stoel. Hij breekt immers in in mijn woning en komt ongevraagd aan mijn spullen.

quote:

Op woensdag 2 juni 2004 01:10 schreef KreKkeR het volgende:

[..]

Als hij dan ook nog eens op mijn speciale stoel gaat zitten die speciaal is gemaakt voor iemand van mijn gewicht

dikkie

quote:

Op woensdag 2 juni 2004 01:12 schreef ClioSporT het volgende:

[..]

dikkie

Meest logische en waarschijnlijke conclusie die je mbt (over)gewicht zou kunnen trekken uit mijn verhaaltje, is dat de inbreker zwaarder weegt dan ik. Dit aangezien de stoel uit dit verhaal is gemaakt voor iemand van mijn gewicht en kapot ging toen de inbreker er op ging zitten, wat dus betekent dat de inbreker waarschijnlijk zwaarder weegt dan ik.

quote:

Op woensdag 2 juni 2004 01:10 schreef KreKkeR het volgende:

[..]

Als jij een slechte alarminstallatie in jouw woning hebt, blijft de inbraak de schuld van de inbreker hoor. Als hij dan ook nog eens op mijn speciale stoel gaat zitten die speciaal is gemaakt voor iemand van mijn gewicht en instort wanneer de inbreker op deze stoel gaat zitten, blijft de inbreker schuldig aan het slopen van mijn stoel. Hij breekt immers in in mijn woning en komt ongevraagd aan mijn spullen.

Daar heb je helemaal gelijk in. Maar als je als bedrijf bijvoorbeeld een website hebt, nodig je mensen al uit om "binnen te komen". Hoe ver ze mogen komen? Alleen in de receptie (webpagina), waarschijnlijk. Maar als je geen portier hebt en de mensen gaan rondkijken, wie is er dan fout?

Zo veel verschil is er niet tussen het bekijken van een webpagina en andere adressen en poorten proberen om te kijken of je andere bestanden kunt opvragenn. Want een webpagina is ook gewoon een bestand dat ergens op diezelfde server staat. Het is zoals het verschil tussen zelf een url intypen of alleen op links klikken.

Het is een grijs gebied.

nog dikker

quote:

Op woensdag 2 juni 2004 01:19 schreef DiGuru het volgende:

[..]

Daar heb je helemaal gelijk in. Maar als je als bedrijf bijvoorbeeld een website hebt, nodig je mensen al uit om "binnen te komen". Hoe ver ze mogen komen? Alleen in de receptie (webpagina), waarschijnlijk. Maar als je geen portier hebt en de mensen gaan rondkijken, wie is er dan fout?

Zo veel verschil is er niet tussen het bekijken van een webpagina en andere adressen en poorten proberen om te kijken of je andere bestanden kunt opvragenn. Want een webpagina is ook gewoon een bestand dat ergens op diezelfde server staat. Het is zoals het verschil tussen zelf een url intypen of alleen op links klikken.

Het is een grijs gebied.

Goed punt. En laten we het inderdaad vergelijken met een kantoor waar de portier ontbreekt en niet expliciet staat aangegeven dat je alleen de receptie mag betreden:

Je kan het iemand dan misschien niet kwalijk nemen dat hij een deur opent en een andere kamer binnen loopt, maar wanneer deze persoon (ergens binnen) een raam of luik openschuift omdat de deur ernaast op slot zit, om zo een andere kamer binnen te komen, dan wordt het alweer wat anders...

Wanneer deze persoon dan ook nog eens bewust in die andere kamer archiefkasten leeg begint te halen om vervolgens de papieren die daar in zaten door de versnipperaar te gooien, dan denk ik toch echt wel dat deze persoon strafbaar is.

Waarvoor allemaal, dat wordt alweer een heel stuk moeilijer te beoordelen, want hoe strafbaar is het openschuiven van een raam naar een andere kamer. Persoonlijk denk ik dat er vooral zal worden gekeken naar de intentie, voor zover bewijsbaar.

quote:

Op woensdag 2 juni 2004 01:19 schreef ClioSporT het volgende:
nog dikker

Ik dikkie, de inbreker nog dikker klinkt in ieder geval al een stuk logischer als conclusie.

quote:

Op woensdag 2 juni 2004 01:31 schreef KreKkeR het volgende:

[..]

Goed punt. En laten we het inderdaad vergelijken met een kantoor waar de portier ontbreekt en niet expliciet staat aangegeven dat je alleen de receptie mag betreden:

Je kan het iemand dan misschien niet kwalijk nemen dat hij een deur opent en een andere kamer binnen loopt, maar wanneer deze persoon (ergens binnen) een raam of luik openschuift omdat de deur ernaast op slot zit, om zo een andere kamer binnen te komen, dan wordt het alweer wat anders...

Wanneer deze persoon dan ook nog eens bewust in die andere kamer archiefkasten leeg begint te halen om vervolgens de papieren die daar in zaten door de versnipperaar te gooien, dan denk ik toch echt wel dat deze persoon strafbaar is.

Waarvoor allemaal, dat wordt alweer een heel stuk moeilijer te beoordelen, want hoe strafbaar is het openschuiven van een raam naar een andere kamer. Persoonlijk denk ik dat er vooral zal worden gekeken naar de intentie, voor zover bewijsbaar.

Daar ben ik het helemaal mee eens.

Er is dan nog wel een probleem met de script kiddies: die downloaden spannende programma's van het internet en gaan die uittesten. Goed, als je een bestand verwijderd dat op een server staat die niet van jouw is, dan weet je wel dat dat niet mag. Maar je ziet gewoon een directory, net als op je eigen computer, en het is wel heel eenvoudig. En die ruimte kan je beter gebruiken!

Qua referentiekader is het dan vergelijkbaar met: "Wat als iemand op mijn computer een willekeurig groot bestand weggooit?" Nog steeds niet helemaal netjes natuurlijk, maar die persoon heeft waarschijnlijk ook een webpagina geraadpleegd die uitlegt hoe je die dingen moet doen. Hij volgt dus de handleiding. En het is gewoon een directory, ergens, tevoorschijn getoverd door dat heftige progje...

Tja. Het is fout. Maar in hoeverre kun je dat zo'n script kiddie aanrekenen?

quote:

Op woensdag 2 juni 2004 01:50 schreef DiGuru het volgende:

[..]

Qua referentiekader is het dan vergelijkbaar met: "Wat als iemand op mijn computer een willekeurig groot bestand weggooit?" Nog steeds niet helemaal netjes natuurlijk, maar die persoon heeft waarschijnlijk ook een webpagina geraadpleegd die uitlegt hoe je die dingen moet doen. Hij volgt dus de handleiding. En het is gewoon een directory, ergens, tevoorschijn getoverd door dat heftige progje...

Tja. Het is fout. Maar in hoeverre kun je dat zo'n script kiddie aanrekenen?

Tja, in hoeverre kun je het een kind aanrekenen dat hij gaat joy-riden en perongeluk iemand aanrijdt...?
Al maak je mij niet wijs dat deze scriptkiddies (ondanks het afnemend besef van waar ze nu eigenlijk mee bezig zijn door bijvoorbeeld het gebruik van een gemakkelijk programmaatje), perongeluk bestanden wegvegen.

En dan nog, al zou het wel echt perongeluk gaan, een kind (en zeker een adolescent) dat bij het joy-riden iemand perongeluk aanrijdt heeft naar mijn mening wel degelijk schuld, zo ook de scriptkiddies of de inbreker en vandalist waar dit topic over gaat. Oke, rekening met de jeugdige leeftijd en minder besef van waarmee bezig, lijkt me geen slecht idee. Maar het kind zal zelf ook enige verantwoordelijkheid moeten dragen voor zijn daden. Hoeveel? Dat is niet aan mij gelukkig

Ik heb ooit een interview gehad met een Duitse hacker en die is na het uitzitten van zijn straf behoorlijk rijk geworden van zijn computer-beveiligingsbedrijf. Takes one to know one.