"justitiële harmonisatie in de EU" klinkt als muziek in de oren. Alleen is wel even afwachten op de exacte difinities voor "het verspreiden van".

Vroeger maakte de Nederlandse justitie ook de verwarring met "verspreiding van" wanneer een systeem zelf slachtoffer was en door (een) derde(n) werd misbruikt voor "verspreiding van" een bij wet verboden goed.

Ook is het van belang de definities te kennen van de rechten welke men heeft om "het verspreiden van" tegen te gaan zonder dat het andere wetgeving (zoals aangaande privacy) aan zou stoten.

Klinkt eerder als hogere straffen en slechtere beveiliging. Geen goede ontwikkeling dus. Ze kunnen beter systeembeheerders cursussen gaan geven ipv het geld verspillen aan het opsluiten van meer intelligente mensen. Denk ook dat ze die mensen beter in kunnen zetten om beveiligingen te maken en dat als straf te nemen dmv een lager loon ofzo.

Wanneer je praat over hackers in de breedste zin des woords spreek je over figuren welke doorgaans een onevenredig hoge technologische kennis beschikken ten opzichte van hun verstand wanneer deze er op uit zijn systemen te compromitteren.
Opsluiting lijkt ons dan zeer redelijk.
Je idee omtrent educatie van potentiële slachtoffers door cursussen te geven is niet reeel en niet haalbaar aangezien -pogingen- tot hack zowiezo strafbaar zijn. Daarvoor hoeft niet persee een systeem daarwerkelijk te worden gecompromitteerd.

Waar ik op doelde zijn virussen en andere vervelende bestanden van illegale aard: Wanneer figuur A virussen zendt aan personen B, C, D en E over systeem X is figuur A de crimineel die zowiezo aangepakt moet worden.
Systeem X wordt dan door figuur A misbruikt voor dat illegale doel.

Het juridische struikelblok is echter dat figuur A het betreffende virus (=bestand) afleverd bij systeem X en dit systeem X het weer verder verstuurd aan de personen B, C, D en E (in geval van e-mail).
In feite -verspreidt- systeem X dan het virus (bestand) aan die vier personen, op commando van figuur A.
Interessant is dan de juridische positie van Systeem X, dat in feite net als personen B, C, D en E wordt beslachtofferd door figuur A.

Interessant is ook te weten wat Systeem X mag ondernemen dergelijke zaken tegen te gaan of anderzijds aan gegevens mag vergaren die direct kunnen herleiden naar figuur A, en hoe lang deze gegevens dan vervolgens mogen worden bewaard.

Vindt het allemaal lichtelijk overtrokken, we moeten uit gaan kijken dat we hier geen Kevin Mitnick achtige taferelen krijgen.

Wat betreft het virus verhaal ben ik het wel met u eens, echter wat betreft hou ik er toch een andere mening op na. Het blijft het verhaal van waartrek je be grens, bij een portscan, een sniffer actie ? Het punt in deze is dat de gebruiker structureel zijn gewoontes moet gaan veranderen. Als ik van huis ga doe ik ook mijn deur op slot, laat ik hem openstaan moet ik er niet gek van opkijken dat mijn spulletjes vedwenen zijn.

Te veel gebruikers geloven in de bekende "Security trough Obscurity". Zulke dingen gebeuren bij de buurman niet bij mij. Zolang deze mentaliteit niet verandert zullen er hackers, crackers en script-kiddie zijn.

Het type gebruikers waar wij rekening mee hielden omvat niet het type thuisgebruiker, dat op de eerste plaats.
Hoewel ik met u eens ben dat de gemiddelde thuisgebruiker (klein-zakelijke gebruikers evident) een voor hunzelf onveilige houding aanmeten door te denken "dat hun zoiets niet overkomt, maar de buurman".

Wij zijn het echter dan niet eens met de stelling dat het fenomeen hackers/crackers/scriptkiddie zal verdwijnen naarmate de mentaliteit aan de 'onderkant' der gebruikersgroepen een mentaliteitsverandering zou ondergaan: dit fenomeen zal blijven bestaan. De meeste van dat type onfiguren vinden het erg leuk juist beveiligde systemen trachtten te compromitteren.
Waar de grens ligt is min of meer eigenlijk al duidelijk: opgevangen -afwijkende- gedragingen duiden doorgaans op crimineel compromitterend hackergedrag. Portscans zijn niet alleen onschuldig maar noodzakelijk voor regulier internet verkeer, immers: wanneer je met je browser naar bijvoorbeeld http://www.security.nl begeeft kijkt het of poort 80 eigenlijk wel 'open' staat, anders heeft het geen zin, dus hebben wij het daar niet over.

U zult versteld staan van het aantal ondernemingen wat er de zelfde mantaliteit op na houdt. In diverse bedrijven is het slechter gesteld dan bij de gemiddelde thuis gebruiker. Thuisgebruikers zijn zich tegenwoordig redelijk bewust van de gevaren en gebruiken tools als Zone Alarm, Personal Firewall etc.

Ik wil niet veel zeggen, maar als ik er een avondje voor ga zitten kan ik toch bij diverse bedrijven de nodige beveiligingslekken aantonen. Een thuisgebruiker is niet interessant voor een hacker, daar zit namelijk geen uitdaging in.

Met een portscan bedoelde ik trouwens niet een http probe o.i.d
ik doelde hiermee echt op geavanceerde tools als nmap. Als ik met nmap een poortscan doe op een willekeurige server krijg ik toch in 80% van de gevallen openstaande poorten terug die voor de buitenwereld niet open horen te staan, denk hierbij bijvoorbeeld aan 137 em 139 (Netbios) en 23 (Telnet). Dit zijn poorten die voor een gemiddelde hacker heel interessant zijn.

Om een ander voorbeeld te geven, ik zat laatst eens te neuzen op een messageboard. Daar op stond een vraag van een systeembeheerder, deze was ergens mee bezig waar hij geen of weinig verstand van had. Het had te maken met beveiligingsproblematiek onder IIS. Niet zo handig om hier een vraag over te stellen en dan het IP adres er bij te vertellen, koren op de molen van eenbeetje hacker. Het ging over een operationele server waar hij het beheer van deed (doet).

De hacker "problematiek" zal inderdaad wel nooit opgelost worden, maar gezien het geen hier boven gechreven staat wordt het ook wel een beetje in de hand gewerkt. Eerst toch maar eens de mentaliteit veranderen lijkt me.

Mvg,

Michel van der Klei
Mitch ICT Solutions
http://www.mitch-it.com

Met uw laatste schrijven ben ik het in grote lijnen eens, met name wanneer u spreekt over de kleine(re) en enige middelgrote ondernemingen, en dan laten we overheid nog buiten beschouwing (binnen de E.U. krijg je bij de gemiddelde aan overheidssystemen een hartverzakking).

Dus zo versteld staan wij niet en weten wij in welke segmenten het probleem alarmerend is en in welke mate.
Het gaat hier echter om uniformering van de diverse juridische rechtsgebieden binnen de E.U. om voor een aantal vergrijpen een vaste strafnorm te bepalen. Daarbij gaat het om formaliteiten. Wanneer een raam wordt opengebroken vraagt men immers ook niet hoeveel sloten dat je raam dan had, die raam had gewoon niet geforceerd mogen worden, en is die inbreker dus strafbaar.

Als je door het raam kijkt, en je ziet persoonlijke dingen, ben je dan strafbaar?

Of als het raam nou openstaat? Ben je ook strafbaar als je tegen het raam duwt om te kijken hoe ver hij open gaat?

Ik ben benieuwd waar de grens gaat liggen van wat wel en wat niet strafbaar is.

Daarnaast, wat gebeurt er als hacking zwaar bestraft gaat worden?
Dan krijg je de volgende scenarios :
* Er wordt gehacked (via proxies) vanuit landen
met een veel lossere computercriminaliteitswetgeving

en/of

* Doordat er minder gehackt wordt, daalt het algemene beveiligingsniveau
van computers. Hierdoor kunnen "professionele" crackergroeperingen
in 1 klap ontzettend veel schade aanrichten.

Mijn persoonlijke mening luidt dan ook dat het inbreken niet zwaarder
bestraft moet worden, maar het aanrichten van schade zelf wel.

1) Als een TCP/UDP poort open staat mag je aannemen dat je dat onmogelijk als hack kunt zien: een open poort geeft immers aan dat het wereldwijd toegankelijk is. In feite propageert zo'n poort "open te staan voor bezoek".

2) Een closed port geeft aan dat het niet de bedoeling is dat men het bezoekt.

3) Een Stealthed port geeft aan dat het niet alleen niet de bedoeling is dat men het 'bezoekt' - er staat zelfs nog een hek omheen met een bordje "Priveterrein, Verboden toegang, Wetboek, art. hupeldepup"
Bij punt 2) en 3) draait het uit op *forcering* wanneer men dan 'privespulletjes' zou zien. Password guessing en andere abnormale pogingen kunnen worden gezien als (poging tot) forcering. Forcering is dus inbraak, en dus strafbaar.

Heeft iemand UDP port 139 open en windows shares open staan waarbij iemand connect op die poort waarbij hij/zij volledig toegang heeft op de geshared schijven kan ik dat geen inbraak noemen. Dat zou ongeveer hetzelfde zijn wanneer ik de voordeur open laat staan en ik des ochtends verbaasd zou zijn dat er mensen binnen zouden zijn geweest, dat neem je dan ook niet serieus.

Bij de politie kan je dan ook folders halen hoe je je huis het beste van sloten kunt voorzien en welke disciplines je er beter op na kunt houden ter voorkoming van...

Het groote probleem ligt niet bij de hackers/crackers beweging maar bij de omgeschoolde/ongeschoolde snelle IT'rs :-) (techneut word je niet, dat ben je!!)
Een en auto is over het algemeen een handig voorwerp maar als je er iemand in zet die niet kan rijen leverd dat op ten duur problemen op.
Stop met dat gezeur over hackers/crackers regel eerst intern je zaken (software/ personeel)

Daar zou je ook een punt kunnen hebben aangezien de meeste organisaties die wij met zulkse problemen aantreffen inderdaad systeembeheerders in dienst hebben welke op zijn zachtst gezegd niet op de hoogte zijn.

Aanvullend kan worden opgemeld dat dergelijke 'systeembeheerders' de zorgvuldig opgestelde procedures en equivalente disciplines aan hun laars lappen, buitengewoon onbekwaam en onprofessioneel.

Dat is erg jammer gezien het dan moeilijker wordt te achterhalen of inderdaad sprake zou zijn van een hack of dat de betreffende beheerders een systeem zelf al hadden gecompromitteerd.
Anderzijds gaat het in deze discussie over een vaste strafmaat wanneer iemand veroordeeld zou worden jegens 'hacking', dat men formeel goed wil regelen binnen de E.U.
Tussen een bepaald gebeuren en een eventuele veroordeling komt nog heel veel kijken aan onderzoek en overwegingen.

Bovendien hebben wetten een preventieve werking op bepaalde groeperingen die dat blijkbaar nodig hebben. Maar kunnen wij anderzijds de bezorgdheid of vrees voorstellen dat bepaalde systeembeheerders dan misschien inderdaad wat te luchtig met hun automatisering omspringen met de wet in hun achterhoofd terwijl het credo "beter voorkomen dan genezen" weldegelijk op blijft gaan.

Security is bij enige organisaties nog inderdaad ten onrechte teveel een ondergeschoven kindje terwijl het op pijl houden daarvan veel goedkoper is dan een herstel-proces na een eventuele 'hack' of compromis.