image

IT professional ontslagen en vervolgd wegens URL manipulatie

dinsdag 11 oktober 2005, 17:04 door Redactie, 8 reacties

Een Engelse security consultant is veroordeeld tot een geldboete van 1500 euro wegens het overtreden van de "computermisbruik wetgeving". De schade aan zijn carriere is echter veel groter en het is maar de vraag of Daniel Cuthbert ooit weer werkzaam zal zijn in de IT-industrie.

Het is ook de vraag hoelang het duurt voordat de politie weer in gratie bij de security gemeenschap zal zijn, na de arrestatie van Cuthbert. De 28-jarige consultant, gebruik makend van een Apple laptop en de Safari browser, maakte op 31 december een donatie voor slachtoffers van de Tsunami. Aangezien er geen bevestiging van zijn donatie verscheen was Cuthbert bang dat het om een phishing website ging. Hij plaatste ../../../ in de adresbalk om te zien waar hij uitkwam.

Deze actie veroorzaakte een alarm bij het kantoor van BT, die de politie belden. Een getuige van BT bevestigde dat de aanval geen enkel effect op de server had, maar toch werd Cuthbert bij de ABN Amro, waar hij werkte, vanwege zijn actie ontslagen. De politie wist Cuthbert te achterhalen vanwege de donatie die hij had gemaakt.

Veel mensen in de security gemeenschap zijn nu verbolgen over de vervolging en veroordeling van Cuthbert, en zijn minder genegen om politie voortaan te helpen, zo gaat dit artikel verder.

Reacties (8)
11-10-2005, 18:37 door Trancoded
Dit is gewoonweg absurd, websites van dit formaat moeten uiteraard
beveiligd zijn als het gaat om geldtransacties en aangezien er hierdoor
zeker geen schade is is hij ten onrechte onslagen :(
12-10-2005, 10:21 door awesselius
Ik wil wel weten wat precies de aanklacht is. Defineer
precies waarom hij is vervolgd, want dat is belangrijk voor
jurisprudentie.

Aan de ene kant heb je hackers nodig, de creatievelingen die
proberen te achterhalen wat er gebeurd met de techniek en zo
meer te weten komen. Kun je hard maken dat het in dit geval
om een bewuste poging ging om de boel te belazeren? Of wilde
deze man inderdaad kijken of het om phising ging?

Ik speel ook vaak genoeg met URL's. In Firefox kun je zelfs
functionaliteit krijgen om automatisch delen van een URL te
laten oplopen of aflopen (bijv. user_id=1 => user_id=2). Kun
je dit juridisch gezien als onwettig beschouwen? Ben ik
crimineel? (dat is een retorische vraag overigens).

Een werkgever die iemand op voorhand ontslaat gedurende het
proces is al geen loyale werkgever vind ik. Laat eerst de
schuld maar bewezen worden en houdt de kans open om
vertrouwen terug te winnen in geval van een misverstand.

- Unomi -
12-10-2005, 10:50 door gelul
dit bericht is een 1 april grap?
12-10-2005, 12:01 door Danny Bogaards
Nou volgens mij wilde hij (na z'n eigen donatie) ECHT kijken
of de site wel OK was. En DAAR is hij dus voor veroordeeld.
Je mag dus een server die tcp poort 80 open heeft staan,
alleen maar voeden met de url's die op de site voorkomen
anders ben je 'unauthorised' access aan het plegen.....

ziek!
12-10-2005, 12:11 door SirDice
Op 1 alarm, want meer zullen de IDS'en niet gegeven hebben,
gelijk de politie inschakelen.. Sjees.. Dan zullen ze wel
een dagtaak hebben.. Bij elk alarm..
12-10-2005, 12:39 door hugo_nl
Laten we ludiek doen en de gevreesde URL allemaal gaan volgen.


Zal een jaartaak worden om achter iedereen aan te gaan....

En het ALLERleukste is dat je andere mensen dus op deze
manier kunt laten vervolgen!

Stel: ik host een website met daarin een IFRAME die die
../../.. URL aanroept op de website van BT. Elke bezoeker
van mijn site krijgt dan de politie op koffie-bezoek.

Schik!
12-10-2005, 13:30 door sjonniev
Zou de ABN AMRO ook zo'n IDS systeem hebben?
12-10-2005, 13:30 door SirDice
Door hugo_nl
Laten we ludiek doen en de gevreesde URL allemaal gaan
volgen.
Volgens mij is er iemand die 100.000 zombies in de
aanbieding heeft vanwege prive omstandigheden ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.