Privacy
- Wat niemand over je mag weten
Wachtwoord kraken en dataherstel
Beste Security lezer!
Ik heb twee vraagjes, ik help af en toe mensen als ze een computer probleem hebben zoals virusinfectie of netwerk problemen etc. het zijn meestal particuliere klanten. Laatst kreeg ik een verzoek om een wachtwoord van een pc te kraken. De klant zei dat hij van zijn vrouw gescheiden was en zijn vrouw expres zijn wachtwoord veranderd had. Maar ik heb hem niet geholpen met het wachtwoord te kraken.
Maar nu is mij vraag aan jullie, is het verantwoord om zulke 'problemen' te verhelpen. Ik heb een overeenkomt gemaakt die hij bereid was te tekenen, maar uiteindelijk heb ik het toch maar niet gedaan, want ik had er geen goed gevoel over. Weten jullie of het kraken van pc's voor klanten legaal is of moet ik bepaalde procedures volgen om dit soort dingen te kunnen uitvoeren.
Mijn tweede vraag is of het herstellen van bestanden uit een harde schijf, op verzoek van klanten, verantwoord is om te doen. Omdat ik die klant niet ken, ik weet immers niet of de harde schijf van de klant zelf is of van een ander. Is dat dan uiteindelijk mijn verantwoordelijkheid om de herstelde data bloot te stellen aan de klant?
Alvast bedankt voor jullie reacties!
MVG, ITAFG
Ik heb twee vraagjes, ik help af en toe mensen als ze een computer probleem hebben zoals virusinfectie of netwerk problemen etc. het zijn meestal particuliere klanten. Laatst kreeg ik een verzoek om een wachtwoord van een pc te kraken. De klant zei dat hij van zijn vrouw gescheiden was en zijn vrouw expres zijn wachtwoord veranderd had. Maar ik heb hem niet geholpen met het wachtwoord te kraken.
Maar nu is mij vraag aan jullie, is het verantwoord om zulke 'problemen' te verhelpen. Ik heb een overeenkomt gemaakt die hij bereid was te tekenen, maar uiteindelijk heb ik het toch maar niet gedaan, want ik had er geen goed gevoel over. Weten jullie of het kraken van pc's voor klanten legaal is of moet ik bepaalde procedures volgen om dit soort dingen te kunnen uitvoeren.
Mijn tweede vraag is of het herstellen van bestanden uit een harde schijf, op verzoek van klanten, verantwoord is om te doen. Omdat ik die klant niet ken, ik weet immers niet of de harde schijf van de klant zelf is of van een ander. Is dat dan uiteindelijk mijn verantwoordelijkheid om de herstelde data bloot te stellen aan de klant?
Alvast bedankt voor jullie reacties!
MVG, ITAFG
Reacties (12)
29-08-2010, 22:38 door
MrTre
Interessante case.
Het lijkt mij in orde als hij kan aantonen dat én de machine van hem zelf is én het beoogde account. Tevens is de overeenkomst waar je het over had ook een goed idee (in het kader van jezelf indekken, al weet ik niet wat er in staat.)
Op je tweede vraag hetzelfde antwoord :)
Het lijkt mij in orde als hij kan aantonen dat én de machine van hem zelf is én het beoogde account. Tevens is de overeenkomst waar je het over had ook een goed idee (in het kader van jezelf indekken, al weet ik niet wat er in staat.)
Op je tweede vraag hetzelfde antwoord :)
Als iemand duidelijk kan aantonen dat de pc van hem is dus als hij dat vraagt bij hem thuis met bewijs als zijnde aankoopbon of iets dergelijks dan wil ik recovery nog wel doen.
Maar wachtwoorden kraken doe ik niet dan is formatten de enigste optie en dan geen data restore maar echt meerdere keren formateren.
Maar wachtwoorden kraken doe ik niet dan is formatten de enigste optie en dan geen data restore maar echt meerdere keren formateren.
30-08-2010, 10:53 door
Mysterio
Ja, de PC kan wel van hem zijn, maar dat houdt niet automatisch in dat de gegevens ook van hem zijn. Het is misschien flauw, maar ik zou de meneer hebben geadviseerd om het toch met zijn ex vrouw te bespreken. Al dan niet via een advocaat.
Het zijn interessante vraagstukken inderdaad! Ik ben geen jurist en weet dus ook niet wie er verantwoordelijk voor is. Geef jij de gebruiker tips, dan zou je mede verantwoordelijk kunnen zijn. Ik denk dat je jezelf via zo'n overeenkomst aardig hebt ingedekt. Je legt de verantwoordelijkheid bij de klant neer.
Het zijn interessante vraagstukken inderdaad! Ik ben geen jurist en weet dus ook niet wie er verantwoordelijk voor is. Geef jij de gebruiker tips, dan zou je mede verantwoordelijk kunnen zijn. Ik denk dat je jezelf via zo'n overeenkomst aardig hebt ingedekt. Je legt de verantwoordelijkheid bij de klant neer.
30-08-2010, 12:11 door
[Account Verwijderd]
[Verwijderd]
30-08-2010, 13:30 door
ej__
Naast het strikt juridische advies van Arnout, zoals door PeterV geopperd denk ik dat je er goed aan hebt gedaan om niets te doen. Er is ook nog zoiets als (beroeps)ethiek.
Ik heb maar 1 keer een beveiliging in dit opzicht doorbroken voor een vriendin wiens vriend een jaar eerder was overleden. Dat vind ik een situatie waarin het volstrekt acceptabel is om dit te doen. Anders is het in mijn optiek op zijn zachtst gezegd dubieus. Inderdaad hoeven niet alle gegevens van de eigenaar van de computer te zijn zoals Mysterio al opmerkt.
Voor wat betreft de schijf geldt voor mij hetzelfde antwoord, zie MrTre.
Ik heb maar 1 keer een beveiliging in dit opzicht doorbroken voor een vriendin wiens vriend een jaar eerder was overleden. Dat vind ik een situatie waarin het volstrekt acceptabel is om dit te doen. Anders is het in mijn optiek op zijn zachtst gezegd dubieus. Inderdaad hoeven niet alle gegevens van de eigenaar van de computer te zijn zoals Mysterio al opmerkt.
Voor wat betreft de schijf geldt voor mij hetzelfde antwoord, zie MrTre.
30-08-2010, 13:42 door
fluffyb53
Welk paswoord is dat dan? Want van kraken is er totaal geen sprake als de gebruiker de paswoorden heeft opgeslagen. Want ze zijn met de hulp van een paar utilities open en bloot beschikbaar.
30-08-2010, 15:02 door
xy22
Door fluffyb53: Welk paswoord is dat dan? Want van kraken is er totaal geen sprake als de gebruiker de paswoorden heeft opgeslagen. Want ze zijn met de hulp van een paar utilities open en bloot beschikbaar.
het gaat er in dit geval niet om of het kan (m.b.v. utilities), het gaat er vooral om of het (beroeps-)ethisch en juridisch kan.Ook al is de beveiliging zwak, het blijft onjuist om het te omzeilen en of te "kraken". Tenzij er een goede, legitieme reden is.
30-08-2010, 18:27 door
fluffyb53
Door xy22:
Ook al is de beveiliging zwak, het blijft onjuist om het te omzeilen en of te "kraken". Tenzij er een goede, legitieme reden is.
Door fluffyb53: Welk paswoord is dat dan? Want van kraken is er totaal geen sprake als de gebruiker de paswoorden heeft opgeslagen. Want ze zijn met de hulp van een paar utilities open en bloot beschikbaar.
het gaat er in dit geval niet om of het kan (m.b.v. utilities), het gaat er vooral om of het (beroeps-)ethisch en juridisch kan.Ook al is de beveiliging zwak, het blijft onjuist om het te omzeilen en of te "kraken". Tenzij er een goede, legitieme reden is.
Als reparateur weet je bijna nooit - tenzij je eigen pc's - de herkomst van die pc's. Leg me dan eens uit hoe je beroeps-ethisch beslissingen kan nemen ? Indien pop3-email-account en account op naam van aanvrager gaan alle ISP's ( hier in België) een nieuw wachtwoord verstrekken. Let op : in de vraagstelling staat er niet dat HIJ de account van zijn vrouw wil kraken. Want dan pas is het een ander verhaal.
Persoonlijk zou ik er geen moeite mee hebben, als die klant kan aantonen dat de PC van hem is tenminste. Volgens mij is ook alle data die er op staat van de eigenaar van het apparaat, dus het herstellen van data zou ik al helemaal geen probleem mee hebben. Ik heb tenminste al regelmatig mensen erg blij gemaakt met het herstellen van de verloren gewaande documenten en foto's.
Als je dan ook nog moet gaan twijfelen of de harddisk wel van die klant is dan maak je het denk ik onnodig moeilijk.
Vergelijk het met de ANWB, als je je sleutel in de auto hebt laten liggen komen ze de auto voor je openmaken. Dan moet je denk ik ook aantonen dat de auto van jou is. Ze zullen vervolgens niet vragen of je ook aan kunt tonen dat de spullen die er in liggen ook wel van jou zijn ;)
Als je dan ook nog moet gaan twijfelen of de harddisk wel van die klant is dan maak je het denk ik onnodig moeilijk.
Vergelijk het met de ANWB, als je je sleutel in de auto hebt laten liggen komen ze de auto voor je openmaken. Dan moet je denk ik ook aantonen dat de auto van jou is. Ze zullen vervolgens niet vragen of je ook aan kunt tonen dat de spullen die er in liggen ook wel van jou zijn ;)
Als je zelf het risico niet wil nemen ... waarom raad je deze kerel dan niet gewoon aan even een live cd van ubuntu te downloaden, dat te booten, schijf te mounten, en klaar is kees ?
Dan heb je zelf niets gedaan buiten deze kerel uitleggen hoe je een livecd met ubuntu kan booten en daar je windows partitie mee lezen ?
Geen password hacking nodig ... net zoals simpelweg safe mode booten, en via admin account passwoord wegvegen .. geen passwoord hacking nodig.
Dan heb je zelf niets gedaan buiten deze kerel uitleggen hoe je een livecd met ubuntu kan booten en daar je windows partitie mee lezen ?
Geen password hacking nodig ... net zoals simpelweg safe mode booten, en via admin account passwoord wegvegen .. geen passwoord hacking nodig.
31-08-2010, 00:09 door
xy22
Als reparateur weet je bijna nooit - tenzij je eigen pc's - de herkomst van die pc's.
Dat is een goed punt, daar ben k t wel mee eens.Mijn eerste reactie op jouw comment, was gebaseerd op de informatie uit de eerste regels van dit topic. De eerste alinea geeft mij het idee dat het gaat om een situatie waarin ITAFG als privépersoon wordt gevraagd om te “kraken” (hoewel dit niet geheel duidelijk is door “af en toe”, “klanten” en het overwegen van een overeenkomst).
Dan speelt het probleem/vraag om wiens eigendom het werkelijk gaat; en of je daarmee wel of niet strafbare handelingen faciliteert of uitvoert. Een professional is door zijn/haar beroep en overeenkomst beschermd (klant gaat door inhuren akkoord met voorwaarden).
Leg me dan eens uit hoe je beroeps-ethisch beslissingen kan nemen ?
In het geval dat je als privépersoon wordt je gevraagd te “helpen”, dan is dat vanwege je (professionele) kennis van IT/beveiliging/etc. Een professional heeft beroepshalve, zou je kunnen zeggen, een zekere code of ethiek. Ook al ben je op dat moment als privépersoon bezig, het is toch iets wat je min of meer toch altijd mee draagt/meeneemt in overwegingen.(De tweede en derde alinea van ITAFG's topic geven het idee dat de tweede vraag een overweging is van professionele aard).
Door ej__: Er is ook nog zoiets als (beroeps)ethiek
Door Peter V: Ik denk dat je even contact moet leggen met Jurist Arnoud Engelfriet die hier regelmatig over de ICT-wetgeving schrijft. Leg dit geval zo gedetailleerd mogelijk aan hem voor. Ik denk dat je dan wel een gedegen en goed antwoord op je vraag krijgt.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
