Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Hoe lang hoort een hacker achter de tralies?

05-09-2008, 11:42 door Redactie, 14 reacties

Is het stelen van duizenden creditcardgegevens erger dan het beroven van een oud omaatje op straat? Hoort iemand die een computer kraakt een langere straf te krijgen dan iemand die geweld tegen een ander persoon gebruikt? Hoe verhoudt computercriminaliteit zich tegenover echte criminaliteit? Afgelopen dinsdag vond er een demonstratie tegen de uitlevering van Gary McKinnon plaats. De Britse hacker, die sommige media als "meesterhacker" bestempelen, was in werkelijkheid een scriptkiddie die wegens de lakse beveiliging bij NASA en het Amerikaanse leger de systemen wist binnen te dringen.

Wat McKinnon deed is verboden, maar wat is een rechtvaardige straf? Volgens de Verenigde Staten veroorzaakte de Brit voor 700.000 dollar schade, hoewel het nooit liet zien waar dit getal op gebaseerd is. Een probleem dat bij veel beveiligingsincidenten speelt, want hoe meet je de werkelijke schade van een virtuele inbraak? En hoe speelt dit mee in de uiteindelijke veroordeling? Kijken rechters alleen naar de financiële schade of ook de maatschappelijke impact?

"Zeventig jaar is een grap. Aan het eind van de dag is dit een jongen met een computer. Als je geen wachtwoorden gebruikt, heb je heel veel geluk dat Gary geen terrorist was. Hij heeft altijd erkend dat hij verkeerd bezig is geweest, maar ze hadden hun systemen moeten beveiligen. Hij heeft niemand vermoord," aldus zijn vriendin.

Nu krijgt de zaak van McKinnon veel aandacht, maar hoe zit het met al die spammers, virusschrijvers en andere computercriminelen? Wat is nu een reële straf voor een misdrijf die op het internet wordt gepleegd? Spam kan je tenslotte niet voor het hele leven tekenen, wat bij sommige andere misdrijven wel het geval is.

Reacties (14)
05-09-2008, 13:00 door Anoniem
Gisteren weer eens Freedom Downltime gekeken en ik denk dat de rechterlijke macht nog altijd niet begrijpt waar eea over gaat. Kevin Mitnick heeft al met al 10 jaar vastgezeten (grotendeels zonder proces) voor phreaking en wat social engineering. Wellicht is er ruimte voor een speciale rechtbank voor cyber-issues?
05-09-2008, 13:04 door Bitwiper
Redactie schreef:
hoe meet je de werkelijke schade van een virtuele inbraak?
Je kunt in elk geval de uren bijhouden die besteed worden aan het uitzoeken of en welke bestanden zijn toegevoegd, gemuteerd of verwijderd, het terugzetten van bestanden, herinstalleren van software, tijd voor het doen van aangifte e.d.

Imagoschade daarentegen is erg lastig te meten, maar in dit geval (voor zover ik er de details van ken) vind ik dat NASA en de US Army het voorval hadden moeten voorkomen en dus zelf schuld dragen, d.w.z. dit mag m.i. niet op de aanvaller worden verhaald.

Helemaal een ander verhaal wordt het m.i. als de invoering van nieuwe maatregelen om dergelijke aanvallen voortaan te voorkomen op de cracker worden verhaald. Als je consultants inhuurt om de schade te onderzoeken en evt. te herstellen, is de kans groot dat aanbevelingen en de uitvoering daarvan op dezelfde factuur terechtkomen. In dat licht valt 700.000 dollar wel te verklaren.

Redactie schreef:
Spam kan je tenslotte niet voor het hele leven tekenen
Dat gaat wat ver, maar als jouw host/domainname, of erger, je gehele emailadres als afzenderadres bij het verzenden van (KP-) spam is misbruikt, merk je hoe weinig mensen weten dat e-mail adressen doodsimpel te vervalsen zijn. En indien een bedrijf 'dankzij' een spammende zombie op een e-mail blacklists is beland kan dat ook flinke impact hebben. Overigens maken niet alle spammers misbruik van de 'diensten' van derden, en bijv. telefoonspam is (helaas) nog steeds legaal.

M.b.t. straffen: m.i. moet, naast de daadwerkelijk aangerichte schade, ook winstbejag c.q. het bereiken van doelen anders dan het aantonen dat de beveiliging niet deugt, en/of schade toegebracht aan derden, een belangrijke rol spelen bij de berechting. Een scriptkiddie te grazen nemen omdat een reeks hoge omes op hun flikker hebben gekregen (daar lijkt het op) vind ik pathetic.
05-09-2008, 13:45 door Anoniem
"Wat McKinnon deed is verboden, maar wat is een rechtvaardige straf?"

De maximum straf van 70 jaar is in ieder geval niet erg rechtvaardig, al is het afwachten wat de uitspraak zal zijn. Waarschijnlijk zullen de Amerikanen hem een flinke straf opleggen om hem als voorbeeld te gebruiken, en in dat geval zal de straf buiten proportioneel zijn. Ook kan men er rekening mee houden dat het beveiligingsniveau bar slecht was. Immers heeft McKinnon niet zozeer systemen gekraakt; hij heeft gezocht naar windows systemen met admin accounts zonder wachtwoord, en wat dat betreft ligt een deel van de schuld ook bij de overheidsinstanties zelf, die verantwoordelijk zijn voor het beveiligen van de systemen.

Aanvankelijk, voor er sprake was van een uitleveringsverzoek, was er in Engeland sprake van een taakstraf. In de Verenigde Staten kan hij vergeten dat hij daarmee wegkomt :
http://en.wikipedia.org/wiki/Gary_McKinnon#Background

"Kijken rechters alleen naar de financiële schade of ook de maatschappelijke impact? "

Wie is er schuldig voor de maatschappelijke impact, met andere woorden, wie heeft de media gezocht waardoor deze zaak uberhaupt een ''maatschappelijke issue'' werd ?
05-09-2008, 21:41 door Anoniem
Een hacker hoort niet achter de tralies, criminelen daarentegen wél......

Sugesstieve 'journalistiek' daarentegen mag wat mij betreft met wortel en tak worden uitgeroeid........

"Hoe lang hoort een crimineel achter de tralies" is een vergelijkbare stelling...!!
Dat is toch nog steeds afhankelijk van het delicht wat die persoon, crimineel ten laste word gelegd, of ben ik nu gek..?

Plof...
05-09-2008, 22:27 door Anoniem
Wat mij betreft levenslang en zonder computer in zijn cel natuurlijk!
06-09-2008, 08:20 door Anoniem
Die 700000 euro schade zal de post zijn die ze nu moeten ophoesten om de boel te beveiligen, het zoeken naar nieuw personeel omdat ik, naar ik aanneem, de oude beveiliger de laan is uitgestuurd met een aardige bonus..

Volgens mij zou de straf voor deze jongen hetzelfde moeten zijn als bij iemand naar binnen lopen die de deur open laat staan. Het uitleveren aan een ander land is buiten alle proporties en toont in mijn ogen een soort onwil of onvermogen aan om dit soort activiteiten echt op te lossen.
06-09-2008, 19:00 door Anoniem
Door AnoniemEen hacker hoort niet achter de tralies, criminelen daarentegen wél......

Sugesstieve 'journalistiek' daarentegen mag wat mij betreft met wortel en tak worden uitgeroeid........

"Hoe lang hoort een crimineel achter de tralies" is een vergelijkbare stelling...!!
Dat is toch nog steeds afhankelijk van het delicht wat die persoon, crimineel ten laste word gelegd, of ben ik nu gek..?

Plof...
een kop van een artikel moet pakkend zijn, anders "pakt" het niet en lees je het dus niet...
daarna moet je het artikel lezen voor de gehele strekking van het verhaal, zo vreemd is dat niet hoor ;)

maar nu even inhoudelijk; hoe lang hoort een hacker achter de tralies? als je pacemakers gaat hacken dan is het een moordende hacker en zou hij als moordenaar veroordeelt moeten worden, maar als het een creditcardstelende hacker is dan hoort hij de straf te krijgen van een creditcardfraudeur. betreft het een scriptkiddie nivo hacker die door slecht beheer gewoon bij het pentagon binnen kan wandelen dan zou je hem voor inbraak aan kunnen klagen.

de straf moet in verhouding staan met de misdaad, zo simpel als dat. als ik dan zie dat een creditcards stelende "hacker" die ook nog mensen afperste en bedreigde er met minder dan 2 jaar vanaf komt dan denk ik dat in het geval mckinnon het voorarrest de lading met gemak dekt...
06-09-2008, 20:41 door [Account Verwijderd]
[Verwijderd]
06-09-2008, 21:07 door Anoniem
ja de beste man is fout, dat heb ik ook nooit ontkent, maar dat wil nog niet zeggen dat hij gelijk een moordenaar bestraft moet worden...

even een andere "meesterhacker" erbij halen hoor:
http://www.security.nl/artikel/22978/1/Beruchte_Isra%C3%ABlische_%22meesterhacker%22_opnieuw_gearresteerd.html

die man kreeg 1 en een half jaar celstraf, en volgens andere bronnen zelfs slechts een werkstraf van 6 maanden, en als je deze man zijn cv er even bij pakt dan is dit toch een flink gevaarlijker persoon dan bv mckinnon, als je dat als maat neemt dan zie ik niet in waarom hij meer dan 1 a 2 jaar cel zou moeten krijgen, en dus weer direct vrij kan omdat zijn voorarrest al veel langer dan dat geduurt heeft.

even los van alle verschillende verklaringen voor termen als hacker enz ;)
07-09-2008, 08:28 door Anoniem
Ten eerst dient de Cybercrime wereld niet onderschat te worden. Er is sprake van wel degelijk een online fraude economie, waar organisaties als Russian Business Network en Rock zich ophouden. Hierin is een wereld van vraag en aanbod de normaalste zaak van de wereld. Mensen die de aanvallen/ tools ontwikkelen, de gebruikers, die deze kopen en gebruiken, mensen die een infrastructuur beschikbaar stellen voor infecties en tenslotte degene die de gestolen credentials misbruiken en cashen. Tuurlijk heb je kids die een keer over de schreef gaan om wat uit te proberen voor de kick, maar begeef je je in die wereld, dan loop je een risico niet alleen gepakt te worden door de overheid, maar ook binnen deze digitale onderwereld. Er wordt wat mij betreft te weinig aandacht geschonken aan deze wereld en daardoor weten kids niet altijd waar ze mee bezig zijn.
VVK
15-09-2008, 09:18 door White Scorpion
Door AnoniemTen eerst dient de Cybercrime wereld niet onderschat te worden. Er is sprake van wel degelijk een online fraude economie, waar organisaties als Russian Business Network en Rock zich ophouden. Hierin is een wereld van vraag en aanbod de normaalste zaak van de wereld. Mensen die de aanvallen/ tools ontwikkelen, de gebruikers, die deze kopen en gebruiken, mensen die een infrastructuur beschikbaar stellen voor infecties en tenslotte degene die de gestolen credentials misbruiken en cashen. Tuurlijk heb je kids die een keer over de schreef gaan om wat uit te proberen voor de kick, maar begeef je je in die wereld, dan loop je een risico niet alleen gepakt te worden door de overheid, maar ook binnen deze digitale onderwereld. Er wordt wat mij betreft te weinig aandacht geschonken aan deze wereld en daardoor weten kids niet altijd waar ze mee bezig zijn.
VVK
Dus een soort georganiseerde misdaad?
Dat hebben we buiten het internet ook. Toch maakt dat niet automatisch iedere inbreker een lid van deze georganiseerde misdaad.
Waarom zou een cybercrimineel dan wel zo behandeld worden en een Real Life crimineel niet?

Mensen zijn gewoon bang voor het onbekende en aangezien er maar zo weinig mensen voldoende kennis hebben om te snappen hoe een cyberaanval werkt, is het dus beangstigend voor deze mensen.
Helaas zijn dat vaak ook de mensen die de straffen bedenken....
16-09-2008, 09:41 door Anoniem
Men moet inderdaad kijken naar welke daadwerkelijke schade er berokkend wordt, en niet zo zeer naar de manier waarop dat gebeurt (via computers of niet). Vaak weten de wetgevers nu niet goed waar het over gaat, maar vaak ook wel.

Maar de aanklagers tellen ook soms bij een in verhouding ontschuldige crack de kosten van fatsoenlijke beveiliging bij het totaalplaatje op, en dat is onterecht; dat is geen schade. Maar een spammer veroorzaakt bijvoorbeeld wel veel schade; niet veel per bericht per persoon, maar wel als je beseft dat het om miljarden berichten gaat.
17-09-2008, 22:53 door Starscreem
Ben er nog niet helemaal uit hoe ik het zal formuleren over hoe lang willekeurig persoon zou moeten zitten, echter vind ik wel dat er zware en duidelijke straffen op moeten staan...
Waarbij wel zeer zeker vermeld moet worden dat we het dan over 'Crackers' hebben (de kwaadwillende) en niet de 'hackers' die goedaardig zijn en juist oa. voor banken en grote bedrijven werken om systemen etc. op veiligheid- en dus fouten te controlleren.
21-09-2008, 18:53 door Anoniem
Door Starscreem
Waarbij wel zeer zeker vermeld moet worden dat we het dan over 'Crackers' hebben (de kwaadwillende) en niet de 'hackers' die goedaardig zijn en juist oa. voor banken en grote bedrijven werken om systemen etc. op veiligheid- en dus fouten te controlleren.
Ik begrijp wat je bedoelt maar zet het van je af en noem de beestjes maar gewoon open en voluit bij de naam. De inmiddels triviale termen bezorgen uitsluitend en zeer misplaatst sociaal en maatschappelijk misvormden een pluim in hun achterste. Speciaal voor kwaadwillenden moet je de voor hen bijbehorende 'grandeur' van deze termen ontnemen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.