Archief - De topics van lang geleden

ANP zelf schuldig aan computervredebreuk door Novum

29-01-2008, 11:58 door Redactie, 22 reacties

Gisteren oordeelde de rechter dat nieuwsdienst Novum Nieuws zich schuldig heeft gemaakt aan computervredebreuk door in te loggen op de nieuwsserver van het ANP. De logincodes hadden derden doorgespeeld aan het personeel van Novum, die daarmee een jaar lang allerlei ANP nieuwsberichten wisten te lezen. Het persbureau kreeg een boete van 4000 euro, waarvan 2000 voorwaardelijk met een proeftijd van 2 jaar.

Maar is hier wel sprake van computervredebreuk? Novum heeft het systeem niet gekraakt of gebruikte logincodes gestolen. Ze hebben met legitieme gegevens ingelogd, gegevens die door het ANP zelf verstrekt zijn, zij het aan andere partijen. Het ANP had ook geen maatregelen genomen om misbruik te detecteren.

Pas toen het op de hoogte van de activiteiten van Novum was, verscherpte men de beveiliging. Een duidelijk teken van grove nalatigheid. De rechter had dan ook RTV Utrecht en Sky Radio, die hun logingegevens doorspeelde, moeten aanpakken, of het ANP dat geen maatregelen had genomen om misbruik van verstrekte logingegevens te detecteren. De stelling luidt derhalve:
ANP zelf schuldig aan computervredebreuk door Novum

Reacties (22)
29-01-2008, 12:08 door Anoniem
ANP is zelf niet schuldig, maar ze hebben het wel zelf mogelijk gemaakt.

Wat Novum heeft gedaan mag niet omdat zij niet de "eigenaar" waren van
de logincodes.

Wat RTV Utrecht en Sky Radio hebben gedaan mag uiteraard ook niet.

Dus ik mag gestolen geld uitgeven als ik het krijg van een bevriend
persoon en weet dat het gestolen is? Dat is namelijk in lijn met deze
stelling...
29-01-2008, 12:16 door Anoniem
Als je authenticatie afhangt van enkel accounts en wachtwoorden heb je
altijd een aandachtspunt.

Maar het hangt er maar vanaf hoe veilig je het wilt hebben. Als dit een
bewust risico is wat genomen is dan is het pech hebben.

Een pasje en kaartlezer had dit zonder meer al voorkomen.

Blijft een centen en belangen kwestie en een kwestie van
vertrouwen.. "pasjes" kun je ook "kwijtraken"

Tis maar net hoeveel schillen je bouwt of wil bouwen.

Niks is secure maar je kan het ze wel moelijker maken, net een soort
belastingdienst dus :) Als je daarintegen het target bent dan ben je altijd
de pisang. Er is altijd wel een zwakke plek te vinden.
29-01-2008, 12:48 door Anoniem
RSA SecurID is volgens mij de beste oplossing. Het gebruik van een
passcode dus. Een passcode bestaat uit een PIN-code en de tokencode
(het getal wat iedere minuut wijzigt in het display).
29-01-2008, 12:53 door Jan-Hein
Deze stelling beschuldigt ANP van uitlokking.
Ik ben erg huiverig voor het bestraffen van uitlokking, als het slachtoffer
overduidelijk niet op de misdaad zat te wachten.
29-01-2008, 12:55 door Jan-Hein
Door Anoniem
RSA SecurID is volgens mij de beste oplossing. Het gebruik van een
passcode dus. Een passcode bestaat uit een PIN-code en de tokencode
(het getal wat iedere minuut wijzigt in het display).
LidoKey is nog beter, maar dat is voor deze stelling niet relevant.
29-01-2008, 13:18 door Anoniem
Bij ons werken we met 2 beveiligingen.
1 - Dongle met pincode op PC of Laptop, deze is nodig om
toegang te krijgen tot het netwerk, heb je deze niet helaas
geen toegang.
2 - Normale windows login voor het netwerk
29-01-2008, 14:01 door SirDice
Opzettelijk wederrechtelijk binnendringen van een computersysteem door het aannemen van een valse hoedanigheid.

Ja, je kan het ANP misschien nalatig noemen maar Novum pleegde toch echt computer vredebreuk.
29-01-2008, 14:30 door fadb
Door SirDice
Opzettelijk wederrechtelijk binnendringen van een computersysteem door
het aannemen van een valse hoedanigheid.

Ja, je kan het ANP misschien nalatig noemen maar Novum pleegde toch
echt computer vredebreuk.

IDD, Novum is schuldig aan heling en RTV Utrecht en Sky Radio zijn
daarin medeplichtig. Als er iemand (een tijdje) toegang tot het ANP moet
worden ontzegd, zijn dat wel de laatste twee. Zij hebben het immers
mogelijk gemaakt dat Novum computervredebreuk uberhaupt kon plegen.
29-01-2008, 14:43 door Korund
Wij hebben onze buren, met wie we op goede voet staan, een
sleutel van ons huis gegeven, 'voor het geval dat'
(bijvoorbeeld voor als de kinderen die zelf geen sleutel
hebben thuis komen als pa & ma de hort op zijn).

Wie is er nu schuldig als de buren onze sleutel doorgeven
aan 'vrienden' die vervolgens ons huis leegroven?

- Wij zijn zo stom geweest onze buren de sleutel uit te lenen;
- De buren hebben ons vertrouwen geschonden door de sleutel
te verduisteren;
- De dieven hadden, ondanks het bezit van de sleutel,
daarmee nog geen vrijbrief om onze spullen te pikken.

Ik denk dat we in elk geval niets terugkrijgen van de
verzekering (wegens eigen nalatigheid).

Misschien kunnen we de buren via een civiele procedure
aanklagen op grond van verduistering om een schadevergoeding
te krijgen.

Tenslotte kunnen we de dieven aanklagen.

Maar ik heb er geen idee van hoe ver de rechter ons in het
gelijk zal stellen.
29-01-2008, 15:50 door Anoniem
"Maar ik heb er geen idee van hoe ver de rechter ons in het
gelijk zal stellen."

De rechter zal je volledig in het gelijk stellen. Immers is het geven van een
sleutel in leen aan de buren nog geen grond om die sleutel aan derden te
verstrekken. Ook is er geen toestemming gegeven om (danwel door je
buren danwel door derden) het huis leeg te roven. Vanuit de optiek van
de verzekering is het wel inderdaad de vraag of ze zullen uitkeren.
29-01-2008, 16:48 door Anoniem
Natuurlijk is het fout, wat is het verschil tussen het raden van een
password van een account wat niet van jouw is of het gebruiken van een
wachtwoord waar je geen recht op hebt ? Het is niet "gekraakt" maar wel
fout. Die huisvergelijking is een goede, als ik een huis huur, en een kopie
van de sleutel bewaar, mag ik toch niet nog even binnen kijken ?
29-01-2008, 20:17 door Anoniem
Wat een onzinstelling..

Alsof het het slachtoffer te verwijten is dat er wordt ingebroken met een
onrechtmatig verkegen kopie van een sleutel.

Het gaat hier volgens mij om een commerciele dienst die grootschalig bij
andere media (klanten) toeganklijk moet zijn. Om dan te moeten grijpen
naar Calculators, Tokens, Dongles of andere hardware, om te voorkomen
dat je nalatig wordt gevonden gaat echt te ver.

Wellicht had slachtoffer ook een hond moeten houden, maar dat je
wegens het ontbreken daarvan als dief strafvermindering zou krijgen is
echt weer typisch Nederland.

Canada, here I come!
30-01-2008, 12:07 door lieque
Dat je van buiten af op server kan inloggen geeft al genoeg aan kwa
beveliging van het netwerk zelf. Dit is gewoon uitlokken van computer
computer vredebreuk ! Op een hele vervelende manier van slecht
onderhouden en beveiligde anp servers :(
30-01-2008, 12:31 door SirDice
Door lieque
Dat je van buiten af op server kan inloggen geeft al genoeg aan kwa beveliging van het netwerk zelf.
Want? Wel eens van remote access of "thuiswerken" gehoord?
Dit is gewoon uitlokken van computer computer vredebreuk !
Dus omdat mijn server vanaf het internet toegankelijk is, is het uitlokking?
Elke website op Internet lokt uit tot in breken? Tuurlijk.. Misschien moet je eens opzoeken wat uitlokking (juridisch gezien) precies is?
30-01-2008, 13:03 door lieque
Dus omdat mijn server vanaf het internet toegankelijk is, is het
uitlokking? Elke website op Internet lokt uit tot in breken? Tuurlijk..
Misschien moet je eens opzoeken wat uitlokking (juridisch gezien) precies
is?

Het was poetische humor. Hacken mag toch niet .... in welke vorm dan
ook.
30-01-2008, 14:27 door SirDice
Door lieque
Het was poetische humor.
Dat was niet helemaal duidelijk ;)
30-01-2008, 21:58 door lieque
Dat was niet helemaal duidelijk ;)

Maar zie de humor als ANP niet eens weet wie op hun servers zijn
ingelogd van buiten af. Hoe kennen ze dan detecteren wie er allemaal van
thuis ingelogd zijn. Waar is hier het security beleid?

Maak het nog extremer ik durf er voor 75% op te wedden dat als je ze zou
port scannen de hele dag die systeembeheerder daar het nog zou
herkennen als normaal tcp verkeer. Of zich niet eens druk om maken als
security threat na meer als 5 1/2 uur scannen. En dan gewoon doodleuk
na huis gaat.

Dit is dus typisch weer zo voorbeeld van een bedrijf waar bij security
richtlijnen zuigen aan alle kanten en het hele security beleid aan renovatie
toe is. Ik durf zelfs erop te wedden dat anp zo slecht met wachtwoorden
omgaat dat als ze op een dag zouden kiezen iedereen een nieuw wacht
woord te geven het data verkeer van de server zou afnemen.

Inschatting ?

Een MBO systeembeheerders van het ROC vermoeidelijk met een
opleiding van 3 1/2 jaar a 5. Zonder enige werk ervaring op het gebied
kwa security. Die zich braaf houd aan het bedrijfs management houd
zonder dat enige communicatie tussen management.

En niks doet de hele dag niks anders aan het doen is dan de computers
"draaiende" te houden van een stel apen die net weten hoe een text
verwerker in elkaar zit en een email programma.

Als je dan toch praat over een user idiot proof interface. Kunnen ze beter een GUI maken na de user prompt en je een bureaublad krijgt. Of niet eens een bureaublad omdat vaak ook wel te ingewikkeld overkomt met zo prubbelenbak enzo.
31-01-2008, 11:19 door Anoniem
Het woord vrede volgens de dikke van dale geeft aan " toestand van rust,
goede verstandhouding " het woord breuk is vrij duidelijk.
Computervredebreuk word dus geforceerd door 1 van de partijen die
met het probleem te maken hebben. ANP zou dus nooit bij zichzelf
kunnen inbreken omdat dat geen breuk zou vormen op hun eigen gang
van doen. Novum is dus wel degelijk de gene die breuk heeft gepleegd.
De stelling is dus danwel fout geformuleerd danwel niet correct daar
iemand niet computervredebreuk op zichzelf kan betrekken.
31-01-2008, 11:46 door SirDice
Door lieque
Dat was niet helemaal duidelijk ;)

Maar zie de humor als ANP niet eens weet wie op hun servers zijn ingelogd van buiten af. Hoe kennen ze dan detecteren wie er allemaal van thuis ingelogd zijn. Waar is hier het security beleid?
Men ziet waarschijnlijk wel wie er ingelogd is.. Maar kun je aan de naam AccountA zien wie er werkelijk achter zit? Volgens mij kan niemand dat. Vergeet niet dat Novum geldige account gegevens gebruikte.

Maak het nog extremer ik durf er voor 75% op te wedden dat als je ze zou port scannen de hele dag die systeembeheerder daar het nog zou herkennen als normaal tcp verkeer. Of zich niet eens druk om maken als security threat na meer als 5 1/2 uur scannen. En dan gewoon doodleuk na
huis gaat.
Ik heb bij een grote bank/verzekeraar gewerkt. Ik werd niet echt warm of koud van een portscan. Ik heb er geen nacht slecht door geslapen. Er stond een dikke firewall dus je scant maar een eind weg. Als het echt te veel werd stuurde ik wel een abuse e-mailtje naar de provider waar het vandaan kwam. Daarna was het over het algemeen vrij snel afgelopen.

Dit is dus typisch weer zo voorbeeld van een bedrijf waar bij security richtlijnen zuigen aan alle kanten en het hele security beleid aan renovatie toe is. Ik durf zelfs erop te wedden dat anp zo slecht met wachtwoorden omgaat dat als ze op een dag zouden kiezen iedereen een nieuw wacht woord te geven het data verkeer van de server zou afnemen.
Niet echt.. Vind het een beetje jammer dat de beste stuurlui hier vaak aan de wal staan. Allerhande op- en/of aanmerkingen over hoe het allemaal zou moeten. Ik vraag me af of mensen die zo reageren uberhaubt wel eens een netwerk hebben beheerd met meer dan 100 machines. Ter vergelijking, de bank/verzekeraar waar ik zat had zo'n 5500 werkstations, 300 servers en ongeveer 6000 gebruikers verspreid over 7 locaties over heel Nederland. Veel thuiswerkers, meerdere koppelingen met derde partijen en een eigen internet hosting omgeving. Als je dat soort dingen gedaan hebt kijk je er iets anders tegenaan.

Natuurlijk had ik graag dingen anders gezien of gedaan daar.. Maar als vervolgens blijkt dat de helpdesk met een paar FTEs vergroot moet worden om de stroom telefoontjes te verwerken krijg je het er niet doorheen. Ook niet als je verder niet aan kan tonen (met cijfertjes) dat men er ook "beter" van wordt. Meestal kost het een hoop geld om alles aan te passen en feitelijk schiet je er niet veel mee op. Dus dan probeer je het op een "simpelere" manier en probeer je de boel zo goed en zo kwaad mogelijk in de gaten te houden.
31-01-2008, 12:58 door lieque
Men ziet waarschijnlijk wel wie er ingelogd is.. Maar kun je aan de
naam AccountA zien wie er werkelijk achter zit? Volgens mij kan niemand
dat. Vergeet niet dat Novum geldige account gegevens gebruikte.

Zo moeilijk lijkt het me niet om een applicatie te koppelen aan ip adress.
Waarmee je kan inloggen. Ik denk dat juist goed zou zijn als je en
applicatie zou ontwikkelen. Waarbij een user acount gekoppeld wordt

Neem een server hier voor als gateway en je kan gelijk een filter tussen
douwen. Waarbij thuis een acount gekoppeld wordt aan een "statisch" ip
adress. Zo verkom je ook dat data niet gaat zwerven over andere lan's of
access point waar een eind gebruiker geen toezicht op heeft. En privacy
gevoeligge data op het net kan dwarrelen. Dit is slechts maar een idee van
wat er allemaal mogelijk is.

En mijn baan zou het niet zijn als ik voor zo veel werkstations
verrantwoordelijk zou moeten zijn. Met een slecht management dat
backup zou moeten geven. Misschien over een paar jaar maar dan wil ik
ook alle vrijheid om zelfstandig projecten aan te gaan en zelf de mensen in
kunnen huren die in een team kunnen werken waar ik zelf direct in contact
sta met de de directie dan met een manager die nergens kaas van
gegeten heeft.
01-02-2008, 11:55 door SirDice
Door lieque
Men ziet waarschijnlijk wel wie er ingelogd is.. Maar kun je aan de naam AccountA zien wie er werkelijk achter zit? Volgens mij kan niemand dat. Vergeet niet dat Novum geldige account gegevens gebruikte.

Zo moeilijk lijkt het me niet om een applicatie te koppelen aan ip adress. Waarmee je kan inloggen. Ik denk dat juist goed zou zijn als je en applicatie zou ontwikkelen. Waarbij een user acount gekoppeld wordt
Natuurlijk kun je het ip adres vastleggen maar het doel van remote access is meestal dat men, ongeacht locatie, kan inloggen om bij de gegevens te kunnen.

Neem een server hier voor als gateway en je kan gelijk een filter tussen douwen. Waarbij thuis een acount gekoppeld wordt aan een "statisch" ip adress. Zo verkom je ook dat data niet gaat zwerven over andere lan's of access point waar een eind gebruiker geen toezicht op heeft. En privacy gevoeligge data op het net kan dwarrelen. Dit is slechts maar een idee van wat er allemaal mogelijk is.
Wat weerhoudt die gebruiker om na het inloggen en het downloaden van deze gegevens de verbinding te verbreken en de gegevens via z'n "normale" verbinding ergens anders te uploaden?
01-02-2008, 19:54 door lieque
Wat weerhoudt die gebruiker om na het inloggen en het
downloaden van deze gegevens de verbinding te verbreken en de
gegevens via z'n "normale" verbinding ergens anders te uploaden?

Zoals ik al zei. Voor een bedrijf ook zinvol is omdat die zo kunnen zien
hoeveel personeel gebruikt maakt van thuis werken via de computer.
Hoe vaak er ingelogd wordt welke periode erin gelogd wordt.

Maar ook is het gewoon een privacy middel wat er weer voor kan zorgen
dat data die niet op een ander LAN thuis horen. Dit zijn slechts kleine
puntjes die het risico van een serieuse threat kunnen afnemen.

Bedoel stel werknemer ij heeft vakantie. En gaat tijdens de vakantie op
het netwerk waardie niks te zoeken heeft . Als er niet eens direct een aanleiding is voor overwerk of wat voor andere zaken dan ook. Kan
een bedrijf dit soort wan gedrag kwa werk ook beter in kaart brengen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.