IT professional ontslagen en vervolgd wegens URL manipulatie
Een Engelse security consultant is veroordeeld tot een geldboete van 1500 euro wegens het overtreden van de "computermisbruik wetgeving". De schade aan zijn carriere is echter veel groter en het is maar de vraag of Daniel Cuthbert ooit weer werkzaam zal zijn in de IT-industrie.
Het is ook de vraag hoelang het duurt voordat de politie weer in gratie bij de security gemeenschap zal zijn, na de arrestatie van Cuthbert. De 28-jarige consultant, gebruik makend van een Apple laptop en de Safari browser, maakte op 31 december een donatie voor slachtoffers van de Tsunami. Aangezien er geen bevestiging van zijn donatie verscheen was Cuthbert bang dat het om een phishing website ging. Hij plaatste ../../../ in de adresbalk om te zien waar hij uitkwam.
Deze actie veroorzaakte een alarm bij het kantoor van BT, die de politie belden. Een getuige van BT bevestigde dat de aanval geen enkel effect op de server had, maar toch werd Cuthbert bij de ABN Amro, waar hij werkte, vanwege zijn actie ontslagen. De politie wist Cuthbert te achterhalen vanwege de donatie die hij had gemaakt.
Veel mensen in de security gemeenschap zijn nu verbolgen over de vervolging en veroordeling van Cuthbert, en zijn minder genegen om politie voortaan te helpen, zo gaat dit artikel verder.
beveiligd zijn als het gaat om geldtransacties en aangezien er hierdoor
zeker geen schade is is hij ten onrechte onslagen :(
precies waarom hij is vervolgd, want dat is belangrijk voor
jurisprudentie.
Aan de ene kant heb je hackers nodig, de creatievelingen die
proberen te achterhalen wat er gebeurd met de techniek en zo
meer te weten komen. Kun je hard maken dat het in dit geval
om een bewuste poging ging om de boel te belazeren? Of wilde
deze man inderdaad kijken of het om phising ging?
Ik speel ook vaak genoeg met URL's. In Firefox kun je zelfs
functionaliteit krijgen om automatisch delen van een URL te
laten oplopen of aflopen (bijv. user_id=1 => user_id=2). Kun
je dit juridisch gezien als onwettig beschouwen? Ben ik
crimineel? (dat is een retorische vraag overigens).
Een werkgever die iemand op voorhand ontslaat gedurende het
proces is al geen loyale werkgever vind ik. Laat eerst de
schuld maar bewezen worden en houdt de kans open om
vertrouwen terug te winnen in geval van een misverstand.
- Unomi -
of de site wel OK was. En DAAR is hij dus voor veroordeeld.
Je mag dus een server die tcp poort 80 open heeft staan,
alleen maar voeden met de url's die op de site voorkomen
anders ben je 'unauthorised' access aan het plegen.....
ziek!
gelijk de politie inschakelen.. Sjees.. Dan zullen ze wel
een dagtaak hebben.. Bij elk alarm..
Zal een jaartaak worden om achter iedereen aan te gaan....
En het ALLERleukste is dat je andere mensen dus op deze
manier kunt laten vervolgen!
Stel: ik host een website met daarin een IFRAME die die
../../.. URL aanroept op de website van BT. Elke bezoeker
van mijn site krijgt dan de politie op koffie-bezoek.
Schik!
Laten we ludiek doen en de gevreesde URL allemaal gaan
volgen.
aanbieding heeft vanwege prive omstandigheden ;-)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
