Nieuws
image

Senaat Georgia keurt wet goed die "ethisch hacken" bedreigt

dinsdag 3 april 2018, 12:03 door Redactie, 9 reacties

De senaat van de Amerikaanse staat Georgia heeft een wet goedgekeurd die een bedreiging voor "ethisch hacken" vormt, zo vrezen experts en burgergroepen. S.B. 315, zoals de wet bekendstaat, stelt het volgende. "Elke persoon die opzettelijk een computer of computernetwerk benadert met de wetenschap dat deze toegang zonder toestemming is, is schuldig aan het misdrijf van ongeautoriseerde computertoegang."

Dit zou ook voor beveiligingsonderzoekers gelden die willen kijken of een systeem kwetsbaar is, maar hiervoor geen toestemming van de eigenaar hebben gevraagd. "Als je op een niet-schadelijke manier naar kwetsbaarheden zoekt, zelfs als je ze ethisch meldt - met name als je ze ethisch meldt - ben je een crimineel als deze wet wordt aangenomen", aldus Scott Jones van Electronic Frontiers Georgia.

Andy Green van de Kennesaw State University laat weten dat hij vanwege de "vage bewoording" van de wet beveiligingsonderzoek met studenten heeft gepauzeerd, omdat ze anders risico lopen te worden aangeklaagd. Volgens de Amerikaanse burgerrechtenbeweging EFF is S.B. 315 een gevaarlijke wet die veel verder gaat dan de wetgever beoogde, waaronder het ontmoedigen van onderzoekers om kwetsbaarheden te melden in belangrijke systemen die ze vinden. De EFF roept de gouverneur van de staat Georgia dan ook op om de wet niet te ondertekenen en zijn veto uit te spreken.

Reacties (9)
03-04-2018, 13:21 door Anoniem
Het gaat om "zonder toestemming". Dus als de ethische hacker toestemming krijgt van het bedrijf of organisatie (op papier met handtekening eronder!) dan is hij niet strafbaar of vervolgbaar.
03-04-2018, 13:41 door Anoniem
Lijkt me heel duidelijk. Hooguit breed verwoordt, maar niet vaag. "Niet willens en wetens in andermans computers rommelen." De simpelste remedie is om gewoon toestemming te vragen.

Maarja, als je "ethisch hacken" niet "ethisch" blijkt, en "hacken" betekent ook al niets, wat betekent je leukbetaalde baantje toch-niet-zo-ethisch in andermans code en computers wroeten nou nog helemaal? Geen wonder dus dat de s'kiddies van de security industrie het maar niets vinden. Blijkt semantiek toch belangrijk. Jammer joh.
03-04-2018, 15:13 door Anoniem
Door Anoniem: Het gaat om "zonder toestemming". Dus als de ethische hacker toestemming krijgt van het bedrijf of organisatie (op papier met handtekening eronder!) dan is hij niet strafbaar of vervolgbaar.


Zeker niet! Responsible Disclosure is een vorm van zonder toestemming hacken waar dit toch door een ethisch hacker gebeurd.
03-04-2018, 17:16 door Anoniem
Door Anoniem:
Door Anoniem: Het gaat om "zonder toestemming". Dus als de ethische hacker toestemming krijgt van het bedrijf of organisatie (op papier met handtekening eronder!) dan is hij niet strafbaar of vervolgbaar.
Zeker niet! Responsible Disclosure is een vorm van zonder toestemming hacken waar dit toch door een ethisch hacker gebeurd.
Ik redeneer vanuit de wet, niet vanuit het standpunt van de ethische hacker. Wil je dus niet opgepakt worden, dan kun je beter maar met goede ondertekende afspraken komen. Anders is het verschil tussen "kwaadaardig" en "van goede wil" niet meer te onderscheiden. Vandaar ook dat de wet dat onderscheid maakt.
03-04-2018, 18:23 door Anoniem
Door Anoniem: Het gaat om "zonder toestemming". Dus als de ethische hacker toestemming krijgt van het bedrijf of organisatie (op papier met handtekening eronder!) dan is hij niet strafbaar of vervolgbaar.

Dat gaat in de praktijk niet werken omdat:

- men lakoniek zal doen dat het allemaal niet zo erg is en dus geen handtekening
- men per definitie gewaarschuwd is en dan (halve) maatregelen neemt

Ethisch hacken wil zeggen:

Informatie uit een zwak systeem halen en dit als bewijs gebruiken bij het confronteren van de eigenaar zonder zelf misbruik te maken van deze informatie. Als dat al strafbaar is dan lijkt het me logisch dat ethical hackers hier hun vingers niet aan branden waardoor het wachten is tot de minder ethische figuren ermee aan de haal gaan. Dat is een open deur waar de senatoren blijkbaar doorheen durven.
03-04-2018, 18:50 door karma4
Ethisch insluipen en ethisch zich op een terrein bevinden waar je niet mag komen is ook misplaatst ethisch want wel degelijk strafbaar. Kun je nog zo'n standpunt innemen dat je de beveiliging wilt testen, het houdt geen stand.

Je ben op dat moment niet te onderscheiden van de kwaadwilligen die geen ethiek hebben.
Vervelender is het dan ook nog eens als je per ongeluk flinke schade veroorzaakt. https://nl.wikipedia.org/wiki/Morris-worm
03-04-2018, 20:21 door Anoniem
Door Anoniem:
Door Anoniem: Het gaat om "zonder toestemming". Dus als de ethische hacker toestemming krijgt van het bedrijf of organisatie (op papier met handtekening eronder!) dan is hij niet strafbaar of vervolgbaar.

Dat gaat in de praktijk niet werken omdat:

- men lakoniek zal doen dat het allemaal niet zo erg is en dus geen handtekening
- men per definitie gewaarschuwd is en dan (halve) maatregelen neemt

Ethisch hacken wil zeggen:

Informatie uit een zwak systeem halen en dit als bewijs gebruiken bij het confronteren van de eigenaar zonder zelf misbruik te maken van deze informatie. Als dat al strafbaar is dan lijkt het me logisch dat ethical hackers hier hun vingers niet aan branden waardoor het wachten is tot de minder ethische figuren ermee aan de haal gaan. Dat is een open deur waar de senatoren blijkbaar doorheen durven.
Ja natuurlijk, maar denk je werkelijk dat elke ethische hacker nu zegt: "kom, ik wil de wet overtreden?"
Die zal nu eieren voor zijn geld kiezen. Let maar op mijn woorden.
03-04-2018, 20:59 door Anoniem
Door karma4: Ethisch insluipen en ethisch zich op een terrein bevinden waar je niet mag komen is ook misplaatst ethisch want wel degelijk strafbaar. Kun je nog zo'n standpunt innemen dat je de beveiliging wilt testen, het houdt geen stand.

Je ben op dat moment niet te onderscheiden van de kwaadwilligen die geen ethiek hebben.
Vervelender is het dan ook nog eens als je per ongeluk flinke schade veroorzaakt. https://nl.wikipedia.org/wiki/Morris-worm
Dat houdt wel degelijk stand. Journalisten onderwerpen zich regelmatig aan zaken die niet noodzakelijk zuiver zijn om ze vervolgens aan de kaak te stellen. Zo dienen ze het publieke belang. Bij een ethische hacker is dat niet anders. Er zijn dan ook talloze voorbeelden waarbij de wet onderscheid maakt op basis van intentie.

Dat oom agent je zal vragen op het bureau uit te leggen wat je aan het doen bent is inderdaad mogelijk.
04-04-2018, 13:06 door Anoniem
Ik denk niet dat 3rd party cold reconnaissance scanning daar binnen valt, toch?

Je bezoekt immers zelf de site in kwestie nooit en gebruikt enkel de informatie van publieke scanresultaten van derden.
Hoe kan men je dan van computervredebreuk beschuldigen?

Jij hebt nooit daadwerkelijk nooit zelf aan ramen en deuren gerammeld.

Je moet natuurlijk wel de voorwaarden van de scanner eerbiedigen,
dus via Dazzlepod IP scan verkregen info mag je nooit tegen de site in kwestie gebruiken
volgens de gebruiksvoorwaarden mag je info in bepaalde gevallen niet delen.

Ben je niet de eigennaar, dan zou men via zo'n wet ook scanners als sucuri, zscale zulu, isithacked e.d. moeten gaan verbieden als die willekeurige sites scannen op kwaadaardigheid. Of urlquery dot net scans.
En wat te denken van AV webschilden of zelfs Windows Defender applicaties?
Maar verbieden met die wet in de hand?

Ik vind het overigens meer een security through obscurity maatregel, wat niet weet wat niet deert.
Laat de goegemeente in de waan dat Internet NIET inherent onveilig is.
Maak de mensen alstublieft niet minder dom, als we ze al aantreffen.

Wat vind men hier overigens van dit soort zaken?

Heeft het publiek inzicht nodig over de werkelijke veiligheidsstructuur van het Internet,
waar ze uren per dag op vertoeven of moet men ze liever in zalige onwetendheid laten?
"America chooses for glorious bliss of ignorance".

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure