Hackende systeembeheerder aangeklaagd
Een Amerikaanse systeembeheerder is aangeklaagd wegens het hacken van de Universiteit van Zuid Californie. De 25-jarige Eric McCarty zou via een lek in de Webserver en database systeem toegang tot de persoonlijke gegevens van toekomstige studenten hebben gekregen. De database bevatte de gegevens van meer dan 275.000 studenten sinds 1997, waaronder SoFi-nummers en geboortedata.
Het was echter McCarty zelf die het lek aan SecurityFocus bekend maakte. De beveiligingswebsite lichtte de universiteit in, die daarna de website twee wekenlang offline hield om het lek te dichten. De FBI, die de inbraak onderzocht, vond McCarty via het IP-adres van zijn thuiscomputer, dat hij had gebruikt om de database te hacken.
De systeembeheerder kan tot een maximale gevangenisstraf van 10 jaar worden veroordeeld. Op 28 april moet hij voor de rechter verschijnen.
Als je een systeembeheerder bent, dan is hacken toch je
baan... of begrijp ik dit nou weer verkeerd?
De man heeft het lek netjes gemeld, dus ik snap niet waarom
hij achter de tralies zou moeten.
Schande! dat iemand veroordeeld zou worden omdat hij zijn
kennis gebruikt om aan te tonen dat anderen er een zooitje
van hebben gemaakt!
De man is duideijk een White Hat Hacker en white hats
verdienen ons respect, zoals Robert D. Steele (CIA) ooit
zei: We should follow them, not shoot them...
"It wasn't that he could access the database and showed that
it could be bypassed," said Michael Zweiback, an assistant
U.S. Attorney for the U.S. Department of Justice's
cybercrime and intellectual property crimes section. " He
went beyond that and gained additional information regarding
the personal records of the applicant. If you do that you
are going to face, like he does, prosecution ."
Wel even het hele verhaal lezen aub
Hij heeft meer gedaan dan alleen maar aantonen dat hij
toegang kon krijgen.. en daarvoor mag hij zich voor de
rechter verantwoorden..
systemen hacken (testen) en niet die van andere!!!! Daar heb je toch echt
toestemming voor nodig. Ik vind het wel goed dat hij het lek gemeld heeft
en verdiend daarom een mindere straf !
systemen hacken (testen) en niet die van andere!!!! Daar heb je toch echt
toestemming voor nodig. Ik vind het wel goed dat hij het lek gemeld heeft
en verdiend daarom een mindere straf !
1) Een systeembeheerder beheert een systeem. Hacking behoort
niet tot systeembeheer.
2) Als de systeembeheerder een zwakheid in de beveiliging
van de database vermoedde en dat wilde onderzoeken, dan had
hij daarvoor toestemming moeten vragen aan de eigenaar van
de database.
3) Een systeembeheerder heeft geen toegang tot de op het
systeem opgeslagen data.
Ik hoop voor de betrokken systeembeheerder dat, gezien zijn
intentie, hij er af komt met een waarschuwing, conform de
mening van Steele.
Duh, hier wordt ik nou razend van!
Als je een systeembeheerder bent, dan is hacken toch je
baan... of begrijp ik dit nou weer verkeerd?
De man heeft het lek netjes gemeld, dus ik snap niet waarom
hij achter de tralies zou moeten.
Schande! dat iemand veroordeeld zou worden omdat hij zijn
kennis gebruikt om aan te tonen dat anderen er een zooitje
van hebben gemaakt!
De man is duideijk een White Hat Hacker en white hats
verdienen ons respect, zoals Robert D. Steele (CIA) ooit
zei: We should follow them, not shoot them...
volgende staan: HTTP://www.blaat.xxx/secret/123456789
Ben je dan een hacker als je voor de lol in tikt:
HTTP://www.blaat.xxx/secret/123456788 ???
Als je dan gaat kijken wat je allemaal kunt doen, of moet je dan al direct
stoppen en dit aan de FBI doorgeven?
Wat nu als de beheerder je afwimpelt met "de website presteert zoals
voorzien".
Er is GEEN code-of-conduct voor accidentele ontdekkingen en al helemaal
niet voor opzettelijke ontdekkingen. Wat wel en niet mag is nogal snel aan
het subjectieve oordeel van een digibetische overheid of justitie.
AS
maar gekeken of hij er daadwerkelijk bij kon?
in het laatste geval is het weer eens lekker een kwestietje
shoot the messenger zeg.
Als je een systeembeheerder bent, dan is hacken toch je
baan... of begrijp ik dit nou weer verkeerd?
Ik neem aan dat dit een geintje is. Zo niet, dan ben ik bang dat je zelf geen
systeembeheerder bent of ooit die taken hebt uitgevoerd (of die taken ooit
zult uitvoeren, als je je mening niet bijdraait).
niet misbruiken van de gegevens.
ze hun troep fatsoendelijk dichttimmeren in plaats van elke scriptkiddo aan
te klagen die er een ftpd installeert...... Als je als systeembeheer nog niet
eens fatsoendelijk je servers gepatcht hebt ben je je baan niet eens
waard.... Snap ook niet dat de politie dit soort aanklachten serieus neemt...
In de VS denken ze daar anders over. In sommige staten is
het zelfs strafbaar om een misdrijf uit te voeren, terwijl
men onder dwang tot dit misdrijf wordt gebracht. In
Nederland is er dan sprake van overmacht. Helaas is
niet elk land in de wereld zover gevorderd in het strafrecht
zodat je dubbel moet oppassen met wat je doet.
in amerika jury's zijn die bepalen wie schuldig en wie niet
schuldig is.
is dat dan niet subjectief?
systeembeheerder de gegevens in de database uitgebreid heeft
zitten doornemen, dit gaat dus duidelijk verder dan alleen een
hackmethode aantonen.
Ethical hackers weten wanneer ze op moeten houden, unethical hackers
niet. Daar gaat de zaak over.
EGO trip op hack-tour gaan. Dat ie aan de data kwam maakt alleen maar
duidelijk hoe rotto het systeem was - dat is beter dan alleen zeggen: "ik
kon erbij.." want maakt dat nu veel indruk.
Verder is het zo dat de Universiteit daarin ook een andere oplossing had
kunnen aanvoeren - de systeembeheerder bedanken mag ook - de
informatie die hij heeft verkregen moet worden voorgelegt - en daarvan
moet hij afstand doen - klinkt naief - maar dat is de veroordeling ook.
Je eigen configs testen behoort idd tot de taken niet het hacken en zeker
niet misbruiken van de gegevens.
Je eigen configs moet je af en toe testen door te hacken, bijvoorbeeld door
te testen of je "van buiten af" toegang krijgt tot een bepaalde service.
Ik vind hacken wel degelijk één van de taken van de systeembeheerder.
Misbruik maken natuurlijk niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
