Nieuws
image

Hacker wil kraken overheidssites legaliseren

donderdag 18 juni 2009, 13:44 door Redactie, 5 reacties

Als het aan white hat hacker Jeremiah Grossman ligt, is het voortaan niet meer strafbaar om websites van de overheid en het leger te kraken. De aanval mag dan geen schade veroorzaken en moet als doel hebben het verbeteren van de beveiliging. Op dit moment wordt nog geen tien procent van de Amerikaanse .Gov en .Mil websites door beveiligers getest op beveiligingslekken. "De reden is waarschijnlijk hetzelfde als in de private sector. De verantwoordelijken weten niet of willen niet weten dat er problemen zijn." Managers die wel dit soort problemen willen aanpakken, hebben vaak niet de autoriteit of het budget om dit soort projecten te starten. "Daardoor weten zowel buitenlandse als binnenlandse vijanden meer over de lekken in overheidssites dan de verdedigers."

Volgens de hacker is dit probleem op te lossen via beleid en wetgeving. Er zouden namelijk honderden, misschien zelfs duizenden onderzoekers klaar staan om vrijwillig en gratis naar kwetsbaarheden te zoeken, als dit zou zijn toegestaan. "Elke IT-security professional weet dat er penetratietesten zijn waarvoor je betaalt en die je elke dag voor niets krijgt, ongeacht wie je bent." Als je besluit een website te testen die niet van jou is, loop je het risico dat je vervolgd wordt. Bij bedrijven is het overgaan tot vervolging afhankelijk van het kostenplaatje, maar in het geval van overheid en leger beschikken die over een veel groter budget en wil om de daders op te sporen. "Laat ons als een leger van vrijwillige pentesters .Gov en .Mil websites hacken. Hoe cool zou dat zijn!"

Discreet
Verschillende sites als PayPal, Microsoft en Google zouden deze aanpak al hanteren. Die sites stellen dat zolang een onderzoeker geen schade veroorzaakt of het systeem probeert te benadelen en op een discrete wijze de ontdekking aan het bedrijf meldt zodat het een oplossing kan maken, er geen juridische stappen volgen. "Deze organisaties zijn volwassen geworden en hebben geleerd om met de gemeenschap samen te werken." Na het uitbrengen van een patch kan de onderzoeker vervolgens zijn bevindingen publiceren. Volgens Grossman zou een soortgelijke aanpak ook de overheid ten goede komen en het een stuk moeilijker voor aanvallers maken. Op dit moment hebben die zo goed als vrij spel.

Reacties (5)
18-06-2009, 14:01 door [Account Verwijderd]
[Verwijderd]
18-06-2009, 14:55 door Anoniem
Ik denk dat het probleem in de praktijk is dat iedereen met slechte bedoelingen onder het mom van 'penetratie testen' overheids sites kan aanvallen zonder straf te krijgen. Het verschil is alleen dat de cracker met de slechte bedoelingen de overheid niet inlicht over zijn kraak en wat hij gestolen heeft van die overheid.

De enige manier waarop dit kan werken is als de beveiliging van overheidssites sneller verbeterd door whitehats als dat er schade wordt aangericht door blackhats die zich voordoen als whitehats.

Plus dat er een cultuur *van* beveiligen moet gaan heersen bij de overheid, anders heeft het ook totaal geen zin.
18-06-2009, 15:00 door Anoniem
Door Jos Visser: Ik vind ook dat het mogelijk moet zijn om een aanslag op de Koningin uit te voeren, mits er maar geen schade wordt aangericht. Als je met een viltstift een rode punt op haar neus weet te drukken ben je geslaagd en mag je aan de marechaussee uitleggen hoe je het hebt gedaan.

Ook ben ik de mening toegedaan dat het legaal moet zijn om CDs proberen te stelen uit de platenzaak, mits je ze maar meteen weer teruggeeft en aan de winkelier uitlegt hoe je het hebt gedaan.

En je moet natuurlijk ook een bank kunnen proberen te beroven mits je maar geen schade aanricht en geen echt geld meeneemt.

Naieveling!
*zucht* geen tunnelvisie aub

quote klopt toch niet helemaal, probeer maar eens discreet en zonder schade te doen een bank te beroven. Bovendien zijn er bij instellingen zoals banken onderzoeken gedaan zodat de beveiliging verbeterd kan worden. Ook in het geval van de koningin zijn er protocollen die voor de veiligheid moeten zorgen en deze zijn ongetwijfeld goed getest. Nou is het idee om iedereen zomaar overheidsinstellingen te laten pentesten imo niet zo'n goed idee ivm scriptkiddies etc, maar wel denk ik dat er veel meer aan pentesting gedaan moet worden net als bij fysieke veiligheid.
18-06-2009, 15:08 door Anoniem
"Als het aan white hat hacker Jeremiah Grossman ligt, is het voortaan niet meer strafbaar om websites van de overheid en het leger te kraken. De aanval mag dan geen schade veroorzaken en moet als doel hebben het verbeteren van de beveiliging."

Klinkt leuk, maar ten eerste is vaak niet duidelijk wat de doelstelling is van iemand die aan het hacken is. Immers zal deze zijn pogingen niet vooraf aanmelden. Ten tweede kunnen aanvallen ook gemakkelijk onbedoeld schade veroorzaken, zeker wanneer het gaat om relatief onervaren 'hackers'. Hoe toon je aan dat je doelstelling daadwerkelijk het verbeteren van de beveiliging is, en hoe zit het met de verantwoordelijkheid bij 'onbedoelde' schade ?

Penetration testers stellen niet voor niets een uitgebreide overeenkomst op waarin wordt afgebakend wat deze wel/niet mogen doen, en waarin ook afgesproken wordt waar de verantwoordelijkheid ligt mocht er wat fout gaan. In het geval dat er wat fout gaat kan men bij een officiele pentest snel reageren, omdat men weet dat deze activiteiten plaatsvinden. Bij een 'ongevraagde pentest' ligt dat natuurlijk ook heel anders.
18-06-2009, 22:18 door Anoniem
Als je het dus helemaal goed wilt doen dan pentest je een site/applicatie licht je de webmaster en developer in en vertel je het je vrienden tijdens een verjaardagsfeest en niemand - niks publiceren. Dat haantjes gedrag om te laten zien dat je iets en hoe gehackt hebt, is alleen om de eigen ego te strelen en draagt bij aan de flauwe kennis van scriptkiddies. Er zijn wel erg veel media geile hackers tegenwoordig hoor...
Over discretie gesproken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure