what's next: police academy student rob the bank?

Bij mijn weten is scannen helemaal niet illegaal... Daadwerkelijk inbreken
("enige beveiliging doorbreken") is illegaal, maar poorten scannen, ip adressen
verzamelen, shares enumeraten, etc. is niet verboden (gelukkig). Die studenten
mogen wat mij betreft dan ook hun gang gaan, zolang ze maar niet proberen
binnen te komen (via metasploit ofzo). Dat is namelijk wel strafbaar.

Zolang nog niemand de originele opdracht heeft gezien blijft
het gissen naar de bedoelingen van deze professor. Bedenk
namelijk dat een hoop van de mogelijk illegale handelingen
interpretaties zijn van de handlers op ISC..

De studenten worden geacht een evaluatie te maken.. En deze
kun je best maken zonder illegale handelingen.. Alle andere
zaken zijn door ISC handlers geopperd..

Ik vind op zich zelf dat onderzoek naar de veiligheid van
een systeem moet kunnen. Het probleem is dat het daar niet
altijd bij blijft en er dus strafbare activiteiten worden
verricht. Het kan natuurlijk een leuke hobby zijn...

Ja, inderdaad..je slaat de spijker op z'n kop. Als je het ene goedkeurt wat is
dan de volgende zet in het rijtje met de bekende slogan "iedereen doet het
toch?"

Een evaluatie is niet hetzelfde als een penetratie test....

Zo zou je kunnen kijken welke webserver er gebruikt is (via de headers) en de mogelijke problemen daarmee kunnen noemen.. Dan heb je de webserver geevalueerd.. En het is niet eens illegaal.. Een poortscan is glad ijs maar voor zover ik weet nog nergens ter wereld illegaal.. Banner grabbing ook niet.. En dan kun je nog een hele hoop informatie verkrijgen via non-intrusive scanning middels whois en dns informatie.. Ook dat is niet illegaal.. Gewapend met al deze gegevens kun je volgens mij wel een aardig rapportje maken..

Indien de provider van de betreffende internet verbinding
aangeeft dat scanning/sniffing niet is toegestaan, ben je
strafbaar als je dit gewoonweg toch doet.

Eén keer portscannen op fbi.com of mindef.nl en de universiteit wordt
van het internet gegooid. Ze hebben zeker de algemene voorwaarden
van hun ISP niet gelezen.

Doet me denken aan veel ouders versus hun kinderen: het geeft niet als
je kattekwaad uithaald (of een bushokje sloopt), maar niet voor onze
deur. Vrije opvoeding heet dat geloof ik.

Ik zou de opdracht omdraaien, alleen op systemen van de eigen
universiteit mag worden geoefend.

Misschien zou die universiteit klant van XS4ALL moeten
worden, daar heeft men "toestemming" (volgens de geldende
voorwaarden) om XS4ALL systemen te "testen" op kwetsbaarheid
etc.

De eerste vraag is, over welk land praten we hier eigenlijk.
In Amerika zijn de wetten op het gebied van
computercriminaliteit veel strenger. In Nederland ben je op
dit moment nog niet strafbaar bezig, wanneer je nog geen
toegang hebt verkregen tot een computersysteem (art. 183a)
maar daar kan verandering in komen
http://www.computable.nl/nieuws.htm?id=1056219

Het kan tegen de AUP (Acceptible Use Policy) zijn, inderdaad. Dat maakt het echter nog niet strafbaar (dan zou het in de wetgeving geregeld moeten zijn).. Je kan hooguit je Internet verbinding kwijtraken..

Interessant. Bron?

http://www.xs4all.nl/overxs4all/voorwaarden/index.php?taal=nl

4.4 Onverminderd het in artikel 4.3 gestelde is het klanten
toegestaan het systeem van XS4ALL te hacken. De klant die
als eerste erin slaagt een positie te verwerven gelijk aan
de systeembeheerder van XS4ALL, krijgt van XS4ALL zes
maanden gratis gebruik van het systeem aangeboden, onder
voorwaarde dat de desbetreffende klant uitlegt op welke
wijze hij of zij geslaagd is in het hacken, hij of zij geen
schade heeft toegebracht aan het systeem en aan andere
klanten en hij of zij de privacy van andere klanten heeft
gerespecteerd. Iedere klant geeft bij deze toestemming aan
andere klanten onder voornoemde voorwaarden tetrachten het
systeem te hacken.

Mijn mening...

Sorry hoor maar als iemand een opleiding in beveiliging en
security volgt moet die wel weten waar die voor zijn vak mee
bezig is. het is aan het persoon wat die met die gegevens
doet. Dit zijn geen jochies van 12 jaar ofzo..

ik heb liever iemand in dienst die ook echt daadwerkelijk
weet waar die mee bezig is. dan iemand die denkt te weten
waar die mee bezig is!

en sorry jongens maar dit is in mijn ogen oud nieuws.
vroeger was het leuker en commen sense (dit soort
praktijken) Maar moet ik er wel bij zeggen dat het toen met
toestemming van de betrokken partijen ging.


als het zonder toestemming of medeweten is gegaan dan ben ik
het helaas met ze eens. De betrokken partijen moet wettelijk
wel op de hoogte zijn en toestemming hebben gegeven. De
vraag of het onethische en immoreel is, dat laat ik ter
zijde. Zulke uitspraken heeft een ECHTE security expert
niet. Alleen managers! die hebben namelijk gewoon geen enkel
idee wat beveiliging is op dat niveau. Denk maar niet dat
een hacker zich bezig houd met vraagstukken of zijn acties
wel ethische of moreel verantwoord zijn!

je traint een marinier toch ook niet door hem de hele dag CS
achtige spellen te laten spelen. Nee je traint ze voor het
gene waar ze zich straks in het bedrijfsleven tegen moeten
weren!

Bron:
http://www.xs4all.nl/overxs4all/voorwaarden/index.php?taal=nl#6

Er staan genoeg IT
managers klaar met een vet budget om volledige penetratietesten te
laten uitvoeren door nette experts. Ik denk dat jouw idee over managers
versus de echte experts in de meeste gevallen niet opgaat.

Daarnaast, het verschil kennen tussen ethisch en onethisch handelen is
essentieel voor alle beveiligingsfuncties, uitvoerend danwel manager.

Portscannen / vunlscannen is niet illegaal volgens de
_nederlandse_ wetgeving. Wie zegt hier dat het om een
nederlandse uni gaat?