image

'Aantonen beveiligingslek is geen misdrijf'

dinsdag 19 maart 2013, 15:19 door Redactie, 18 reacties

Gisteren werd in de Verenigde Staten Andrew Auernheimer tot een gevangenisstraf van 41 maanden veroordeeld wegens het aantonen van een beveiligingslek bij telecomprovider AT&T, maar volgens een burgerrechtenbeweging slaat de Amerikaanse wet op hol. Auernheimer, bekend onder het alias Weev, is één van de oprichters van Goatse Security.

De groep ontdekte een kwetsbaarheid op de website van AT&T. Het e-mailadres van AT&T-klanten werd automatisch ingevuld als die vanaf hun iPad de pagina bezochten. De tablet was voorzien van een unieke code die in de URL verscheen als de AT&T site werd geladen.

Auernheimer schreef samen met Daniel Spitler een script dat zich tegenover de servers van AT&T als iPad voordeed en zo de gegevens van 114.000 iPad-eigenaren verzamelde, waaronder militaire en overheidsfunctionarissen, topbestuurders en tal van bekendheden. Spitler sloot eerder een overeenkomst en besloot tegen Auernheimer te getuigen.

Wet
Volgens de procureur-generaal wist Auernheimer dat hij de wet overtrad toen hij samen met Spitler het probleem misbruikte en de persoonsgegevens buitmaakte. Een deel daarvan werd vervolgens naar een journalist van Gawker doorgestuurd. De procureur-generaal gelooft niets van de bewering dat de twee onderzoekers een beveiligingsprobleem wilden aantonen en dat de beveiliging van AT&T ernstig te wensen overliet.

"Auernheimer coördineerde uit eigen belang een cyberaanval op een Amerikaans bedrijf en tienduizenden onschuldige klanten, om zo zijn eigen bedrijf te promoten", voegt FBI-agent David Velazquez toe. Na de aanval zou Auernheimer geprobeerd hebben om al het bewijsmateriaal te verbergen. Naast zijn celstraf moet Auernheimer ook een vergoeding van 73.000 dollar betalen.

Verantwoordelijkheid
De Amerikaanse digitale burgerrechtenbeweging Electronic Frontier Foundation (EFF) staat Auernheimer bij in zijn hoger beroep tegen de uitspraak. Volgens de EFF zorgen fundamentele problemen met de computermisbruikwetgeving voor oneerlijke gevangenisstraffen.

"Weev hangt meer dan drie jaar cel boven het hoofd omdat hij aantoonde dat een bedrijf zijn klantgegevens niet goed beschermde, terwijl niemand door zijn acties werd getroffen", aldus EFF advocaat Marcia Hofmann. "De straf voor computermisdrijven staat niet in verhouding en het congres moet dit oplossen."

Aantonen
Volgens Sean Sullivan is het belangrijk dat hackers en onderzoekers die beveiligingslekken vinden hier geen misbruik van maken. "Doe net genoeg om het probleem aan te tonen." Het is dan ook niet gepast om persoonlijk identificeerbare informatie van andere mensen te verzamelen of versturen.

En in het geval een onderzoeker de pers opzoekt, is het verstandiger om het apparaat van de journalist te gebruiken om het lek te demonstreren, stelt Sullivan.

Tegenover Mashable zegt Auernheimer dat hij niet bang is om naar de gevangenis te gaan. Daarnaast blijft hij achter zijn beslissing staan. "Als een groot bedrijf je in gevaar brengt, vind ik dat je het moet weten, en verdient het bedrijf om aan de schandpaal te worden genageld."

Reacties (18)
19-03-2013, 15:24 door Anoniem
Aantonen dat er een lek is, is 1 ding, maar daarvoor hoef je niet de gegevens van 114000 mensen op te halen. Het volstaat dan om dit te doen van 10 of 20 mensen. Dus hij probeerde een punt te bewijzen, maar zijn methode was onevenredig. M.i. vergelijkbaar met een exces bij zelfverdediging.

Bestraffen i.v.m. dit exces is dus logisch, alleen schiet m.i. ook de straf door, dus hoop ik dat een hof in hogere instantie met een zinnigere straf komt.
19-03-2013, 15:26 door SirDice
Laten we eerlijk wezen, gegevens van 114.000 klanten sponzen is een tikkeltje veel. Met een handvol had je dit ook kunnen aantonen. Dus een tik op de vingers is m.i. wel op z'n plaats. Maar drie jaar cel is wel heel erg overdreven.
19-03-2013, 15:29 door reletiv
Inderdaad, bij het vinden van het lek had hij het al moeten melden.
19-03-2013, 15:42 door Anoniem
wat is sowieso het issue hier, de man geeft zelf aan dat ie er geen probleem mee heeft om de cel in te gaan.
19-03-2013, 15:58 door Anoniem
Eh, je schrijft een script en laat het een tijdje draaien. Het is niet redelijk om te roepen "had het bij een paar gelaten", want dan roept de verantwoordelijke voor het veiligheidslek dat de schade beperkt is want er zijn toch maar een paar gegevens bloot komen liggen. Damned if you do, damned if you don't.

Zoals bij Henk Krol, zo ook hier: Anoniem binnensponzen, en bot en plein public ergens dumpen. Liefst zoveel mogelijk en jammer dan voor de mensen die hier tweedehands slachtoffer van worden. Waarom denk je dat ik nergens mijn echte naam invoer en roep om anoniem electronisch betalen? Identiteitsgegevens opslaan is nooit veilig. Het moet systematisch opgelost maar dat willen we ook nog niet zien. Dan maar voelen.

Met open vizier, netjes melden, geduld oefenen met beheerders die je liever aanklagen dan dat ze hun bende op orde krijgen, laat staan een bedankje geven? Kom nou. Die deur is hier nog maar eens dichtgeslagen. Waarmee "justitie" onderdeel is van het probleem, niet de oplossing.

Wat mij vooral tegenstaat is dat de partijen die wel netjes en snel reageren op veiligheidsproblemen ook de dupe worden van de resulterende verharding, door niet meer vooraf een waarschuwing te krijgen en dus achter een publiek exploit aan moeten hollen. Dat is ook al gebeurd, bijvoorbeeld met open source projecten waar het toch echt allemaal vrijwilligerswerk is. En dat is gewoon jammer, want het had ook beter opgelost kunnen worden. Maar in dit politieke klimaat is daar geen ruimte voor. Obvious consequence is obvious.
19-03-2013, 15:58 door [Account Verwijderd]
[Verwijderd]
19-03-2013, 16:01 door Anoniem
"Vind je een lek, houd dan je bek!"
Die is goed *,-
19-03-2013, 16:06 door Anoniem
Door Hugo: "Vind je een lek, houd dan je bek!"

Ben je helemaal gek! Wat denk je dat je daarvoor in rusland kan vangen? en zoland de leverancier niet op de hoogte is kan je het blijven verkopen
19-03-2013, 16:11 door Anoniem
@Hugo: een lek vinden is wat anders dan een lek misbruiken en dan eens aan de bel gaan trekken. Er zijn genoeg voorbeelden te geven waarbij er waardering is - zolang de onderzoeker geen misbruik maakt.
19-03-2013, 16:23 door Anoniem
Volgend keer de adressen maar gewoon verkopen aan spammers, ipv melden en de bak in gaan. Dank je wel AT&T.
19-03-2013, 16:24 door Preddie
Door Hugo: Net zoals in Nederland geldt ook in Amerika:

"Vind je een lek, houd dan je bek!"

Helemaal mee eens, wanneer je je zelf enigzins wil bescherming kun je het lek beter niet melden. En dit natuurlijk voor niemand goed, maar wanneer je het lek meld is het goed voor iedereen behalve jij zelf ..... dit is een logisch gevolg wanneer men straffen belangrijker vindt als het verbeteren van de kwaliteit. In mijn optiek zeggen veel van dit soort berichten meer over een land/regering als over het incident zelf. In mijn optiek komt dit over als of men het belangrijker vind de machtpositie van de overheid/regering te benadrukken dan gezamenlijk de kwaliteit en veiligheid te verhogen ....
19-03-2013, 17:36 door vimes
Gewoon verkopen dat lek.
19-03-2013, 17:44 door Anoniem
Mja, zoals de eerste post al meld. Op het moment dat je meer dan 100.000 gegevens gaat verzamelen dan ben je niet alleen met het doel bezig om een lek aan te tonen. Indien dit wel was dan had je misschien na moeten denken over de hoeveelheid info die je binnenhaalt met een lek.

Als ze er 10 hadden gedaan en ze hadden hier iets mee gedaan dan was dat het een stuk aannemelijker geweest dat ze inderdaad geen andere bijbedoelingen hadden.

De 3 jaar celstraf is misschien overdreven maar op het moment dat iemand moedwillig persoonlijke informatie op deze schaal binnen haalt dan is deze zeker strafbaar bezig.
20-03-2013, 09:26 door CommandteB
Door SirDice: Laten we eerlijk wezen, gegevens van 114.000 klanten sponzen is een tikkeltje veel. Met een handvol had je dit ook kunnen aantonen. Dus een tik op de vingers is m.i. wel op z'n plaats. Maar drie jaar cel is wel heel erg overdreven.
Het is 3 1/2 jaar cel en daarna 3 jaar onder toezicht.
20-03-2013, 09:29 door CommandteB
Door vimes: Gewoon verkopen dat lek.
Hij had gewoon tegen AT&T moeten zeggen dit heb ik .... En wat schuift het? :)
20-03-2013, 10:43 door SirDice
Door CommandteB:
Door vimes: Gewoon verkopen dat lek.
Hij had gewoon tegen AT&T moeten zeggen dit heb ik .... En wat schuift het? :)
Ja, slim. Want op chantage/afpersing staat minder gevangenisstraf... :-/
20-03-2013, 16:16 door Anoniem
Door SirDice: Laten we eerlijk wezen, gegevens van 114.000 klanten sponzen is een tikkeltje veel. Met een handvol had je dit ook kunnen aantonen. Dus een tik op de vingers is m.i. wel op z'n plaats. Maar drie jaar cel is wel heel erg overdreven.

Als je met een tiental adressen aankomt, reageert het bedrijf met "dat heb je op een andere manier buitgemaakt" of met "dat is maar 0,001% van onze gebruikers". Vaak lukt het om dergelijke gegevens bij toeval te verkrijgen. En meer dan ook niet. Wil je bewijzen dat er structureels iets mis is, moet je een structurele aanval uitvoeren.

Peter
23-03-2013, 13:11 door spatieman
mijn kraan is ook lek, maar dat wordt ook niet gedicht.......
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.