"VS overdrijven schade NASA-hacker McKinnon"
De Amerikaanse overheid overdrijft de schade die de Britse hacker Gary McKinnon met zijn acties zou hebben veroorzaakt, zo beweren experts. McKinnon wist begin deze eeuw op kinderlijk eenvoudige wijze op de systemen van het Pentagon, NASA en andere overheidsinstanties in te breken, vaak omdat er geen of een makkelijk te raden wachtwoord werd gebruikt. Volgens de Amerikanen veroorzaakte hij hierbij een kleine 500.000 euro aan schade. Maar uit documenten blijkt dat onder andere de kosten voor het beveiligen van de systemen in rekening zijn gebracht.
Experts zijn van mening dat de VS geen fatsoenlijke beveiligingsmaatregelen hadden genomen en nu willen dat McKinnon voor de kosten opdraait. Security Professor Peter Sommer laat weten dat bij hacking incidenten gekeken moet worden naar wat het slachtoffer heeft gedaan om de schade te beperken. McKinnon gebruikte het programma Remotely Anywhere om op de computers van het Pentagon en NASA naar bewijs over UFO's te zoeken. "Elk intrusion detection systeem dat ik ken, slaat alarm bij de installatie van een remote controle programma zoals Remotely Anywhere." Ook zou elke firewall de poorten van het programma moeten blokkeren. De kosten die de Amerikanen in kaart brengen zijn voor features die er in de eerste plaats al hadden moeten zijn.
Aansprakelijk
Sommer adviseerde in het verleden verzekeringsmaatschappijen over computerschade. "Verzekeraars zullen computers of IT-afhankelijke bedrijven niet verzekeren als er geen acceptabel niveau van bescherming en recovery aanwezig is." Amerikaanse experts houden er een andere mening op na. Professor Eugene Spafford vindt dat slachtoffers van cybercrime nooit voor de schade moeten opdraaien. "Als iemand een deur sloopt om een winkel te overvallen, worden normaal alleen de kosten van de deur in rekening gebracht."
Beveiliging of niet, wat McKinnon deed was verkeerd, laat voormalige cybercrime detective Anthony Reyes weten. "Alleen omdat de beveiliging zwak is, geeft dat je geen reden om in een computersysteem rond te neuzen."
ik vraag me af welke schade je toebrengt als je 90 machines benaderd die geen administrator wachtwoord hebben. In mijn ogen heb je dan geen enkele schade toegebracht buiten dat je de wet hebt overtreden.
Het installeren van Remote Anything op deze machines kan wel gezien worden als schade. Het traceren van deze machines en het verwijderen van de software kost tijd en dus geld. Maar op meer als 10 000 euro zou ik dan niet uit kunnen komen.....
iemand met een andere visie ?
In dit geval stond de deur niet op slot, dus zou de rekening voor het opnieuw sluiten van de deur in rekening moeten worden gebracht, niet de kosten van een slot (wat er immers nog niet op zat), laat staan van een nieuwe deur.
In dit geval stond de deur niet op slot, dus zou de rekening voor het opnieuw sluiten van de deur in rekening moeten worden gebracht, niet de kosten van een slot (wat er immers nog niet op zat), laat staan van een nieuwe deur.
Nee, er heeft nooit een slot op de deur gezeten! Maar omdat er toch iemand naar binnen wandelde, hebben ze meteen een biometrische iris scanner slot aangebracht van 500.000 U$D. Die kosten mag de jongen betalen omdat hij eerder binnen wandelde via de deur zonder slot....
De jongen voor de verbetering van de beveiliging laten betalen, te gek voor woorden....
edit: typo
Een pentest had dit toendertijd allang aan het licht moeten brengen en dat hebben ze schijnbaar niet gedaan of met de resultaten daarvan.
Als je op je klompen een van de best beveiligde netwerken ter wereld kunt binnen lopen heb je een groter probleem dan die paar centen schadevergoeding.
de US is een wereldkampioen in het opblazen van dingen
leterlijk en figuurlijk.
In dit geval stond de deur niet op slot, dus zou de rekening voor het opnieuw sluiten van de deur in rekening moeten worden gebracht, niet de kosten van een slot (wat er immers nog niet op zat), laat staan van een nieuwe deur.
Nee, er heeft nooit een slot op de deur gezeten! Maar omdat er toch iemand naar binnen wandelde, hebben ze meteen een biometrische iris scanner slot aangebracht van 500.000 U$D. Die kosten mag de jongen betalen omdat hij eerder binnen wandelde via de deur zonder slot....
De jongen voor de verbetering van de beveiliging laten betalen, te gek voor woorden....
edit: typo
Zie bijvoorbeeld zaken uit het verleden waar 450.000 euro betaald moest worden door een stel DDoS pubers, niet omdat dit de opgelopen schade was maar omdat de hosters nieuwe hardware hadden aangeschaft zodat ze in de toekomst DDoS aanvallen konden afwenden.
Ik vind deze logica te krom voor woorden om eerlijk te zijn maar rechters gaan er over het algemeen wel mee akkoord omdat ze geen verstand van zaken hebben op het gebied van IT.
Daarom, gespecialiseerde IT rechters AUB, misschien krijgen we dan ook nog eerlijke uitspraken in plaats van mannen en vrouwen van 50+ met basis kennis van MS Office en Windows opstarten/afsluiten die over dit soort zaken moeten oordelen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
