image

OM eist werkstraf tegen Hagenaar die website hackte

vrijdag 17 augustus 2018, 10:21 door Redactie, 11 reacties

Het Openbaar Ministerie heeft een werkstraf van 120 uur geëist, waarvan 60 voorwaardelijk, tegen een Hagenaar die wordt verdacht van het hacken van een website voor familiegeschiedenis en het downloaden van de gegevens van tienduizenden gebruikers. Dit zou eind 2015 hebben plaatsgevonden.

"Met een script produceerde de verdachte een lange reeks getallen, die hij steeds invoerde als mogelijke ID voor de website. Bij ID's die daadwerkelijk bestonden, kreeg hij toegang tot de gegevens van de gebruiker. Die sloeg hij vervolgens op", aldus het OM. De verdachte stelde dat hij alleen de veiligheid van de website wilde testen en hij aan 'responsible disclosure' had gedaan.

Bij responsible disclosure waarschuwt een hacker of onderzoeker een bedrijf of organisatie voor kwetsbaarheden in hun websites of diensten. Volgens het Openbaar Ministerie is daar in dit geval geen sprake van. Zo hanteerde de website in kwestie geen responsible disclosure-beleid. Verder is het beveiligingslek niet aan de website gemeld, maar aan andere organisaties, waaronder een nieuwswebsite.

Daarnaast bleek de verdachte volgens het OM een concurrent van de gehackte website te zijn. "Het is dus goed denkbaar dat hij minder nobele motieven had dan hij wil voorwenden. Niet dat ik uitsluit dat hij daadwerkelijk vond dat sprake was van een misstand die beëindigd moest worden, maar ook dan heeft hij de verkeerde keuzes gemaakt", zo liet de officier van justitie aan de rechter weten. Het Openbaar Ministerie eiste tegen de verdachte een werkstraf van 120 uur, waarvan 60 voorwaardelijk, met een proeftijd van 2 jaar.

Reacties (11)
17-08-2018, 10:27 door Anoniem
Hackon! Wat er precies gebeurd is? Niet belangrijk! Hackon!

Je kan wel proberen er een leuk verhaaltje omheen te schrijven maar je blijft altijd steken in "de boeman deed een boeman ding. stoute boeman!" en daar ga je de oorlog niet mee winnen.
17-08-2018, 10:55 door Anoniem
Door Anoniem: Hackon! Wat er precies gebeurd is? Niet belangrijk! Hackon!

Je kan wel proberen er een leuk verhaaltje omheen te schrijven maar je blijft altijd steken in "de boeman deed een boeman ding. stoute boeman!" en daar ga je de oorlog niet mee winnen.

Misschien heb je nog niet zoveel ervaring in het vakgebied, maar dit is duidelijk een gevalletje van "Insecure Direct Object References" als je de uitleg van het Openbaar Ministerie ziet.

"Insecure Direct Object References occur when an application provides direct access to objects based on user-supplied input. As a result of this vulnerability attackers can bypass authorization and access resources in the system directly, for example database records or files."
17-08-2018, 11:19 door Anoniem
Iets met de miljoenennota....
17-08-2018, 11:43 door Anoniem
Door Anoniem:
Door Anoniem: Hackon! Wat er precies gebeurd is? Niet belangrijk! Hackon!

Je kan wel proberen er een leuk verhaaltje omheen te schrijven maar je blijft altijd steken in "de boeman deed een boeman ding. stoute boeman!" en daar ga je de oorlog niet mee winnen.

Misschien heb je nog niet zoveel ervaring in het vakgebied, maar dit is duidelijk een gevalletje van "Insecure Direct Object References" als je de uitleg van het Openbaar Ministerie ziet.

"Insecure Direct Object References occur when an application provides direct access to objects based on user-supplied input. As a result of this vulnerability attackers can bypass authorization and access resources in the system directly, for example database records or files."

En ook het feit dat je veel meer ophaalt EN opslaat dan nodig is om de kwetsbaarheid aan te tonen, is een no-no. Dat hebben anderen ook al ondervonden.
Het melden bij een nieuwssite is ook niet wat ik responsible disclosure zou noemen.

Peter
17-08-2018, 12:01 door Anoniem
Misschien heb je nog niet zoveel ervaring in het vakgebied, maar dit is duidelijk een gevalletje van "Insecure Direct Object References" als je de uitleg van het Openbaar Ministerie ziet.

Is dat dan hacken? Ik vind t meer een gevalletje creatief surfen. Het zou zomaar kunnen dat die urls dan zelfs in de google cache staan, of in thewaybackmachine...
17-08-2018, 12:24 door SPer
Door Anoniem:
Door Anoniem: Hackon! Wat er precies gebeurd is? Niet belangrijk! Hackon!

Je kan wel proberen er een leuk verhaaltje omheen te schrijven maar je blijft altijd steken in "de boeman deed een boeman ding. stoute boeman!" en daar ga je de oorlog niet mee winnen.

Misschien heb je nog niet zoveel ervaring in het vakgebied, maar dit is duidelijk een gevalletje van "Insecure Direct Object References" als je de uitleg van het Openbaar Ministerie ziet.

"Insecure Direct Object References occur when an application provides direct access to objects based on user-supplied input. As a result of this vulnerability attackers can bypass authorization and access resources in the system directly, for example database records or files."
Maar goed dat het geen bank was waarbij deze methode inzicht geeft in bankgegevens, of de rijksdienst waar de troonredes op staan ;-)
17-08-2018, 14:49 door Anoniem
Hij wist dus niet op welk moment hij moest stoppen en dat werd hem fataal.
17-08-2018, 15:22 door Anoniem
Door Anoniem:
Misschien heb je nog niet zoveel ervaring in het vakgebied, maar dit is duidelijk een gevalletje van "Insecure Direct Object References" als je de uitleg van het Openbaar Ministerie ziet.

Is dat dan hacken? Ik vind t meer een gevalletje creatief surfen. Het zou zomaar kunnen dat die urls dan zelfs in de google cache staan, of in thewaybackmachine...
Er is volgens mij niet echt een harde grens tussen 'creatief gebruik' en 'hacken'. Of het ligt er aan welke definitie je hanteert.
18-08-2018, 08:19 door karma4 - Bijgewerkt: 18-08-2018, 08:21
https://openlab-mu-internal.web.cern.ch/openlab-mu-internal/07_Student-Programme/2010/Student-programme_lectures_2010/Lopienski-2010.07-students-2-secure-web-applications.pdf
- Htttp is stateless (sheet 8) je krijgt de onveiligheid vanaf die basis mee.
- Session management moet er aan geplakt worden, dat krijg je in een shared aanpak (browsers) nooit echt veilig .
- http authenticatie in de basis al zwak (sheet 9)
- IDOR sheet 16 -> validate inut, verify authorization …. 18 broken session management
19 Add missing authorization (het moet dicht by default, dat is wat anders dan het werkt toch.)

sheet 20
- Security on the client side doesn’t work (and cannot)
- Don’t trust your client
- Do all security-related checks on the server

sheet 21 etcc ….. Sheet 24 php hoe je het moet gebruiken. Advies voor de studenten bij CERN (de afgestudeerde Universiteits guru's die daar werken) http://information-technology.web.cern.ch/about/computer-centre/computing-history Deze basis zou voor elke ICT security Wannabee tussen de oren moeten zitten

Voor de eenvoudige familiegeschiedenis mogelijk te lastig om een goede technische invulling neer te zetten.
Blijft het nog steeds niet goed dat onderlinge concurrentie met computervredebreuk wordt uitgevochten.
18-08-2018, 19:57 door Anoniem
Door Anoniem:
Door Anoniem:
Misschien heb je nog niet zoveel ervaring in het vakgebied, maar dit is duidelijk een gevalletje van "Insecure Direct Object References" als je de uitleg van het Openbaar Ministerie ziet.

Is dat dan hacken? Ik vind t meer een gevalletje creatief surfen. Het zou zomaar kunnen dat die urls dan zelfs in de google cache staan, of in thewaybackmachine...
Er is volgens mij niet echt een harde grens tussen 'creatief gebruik' en 'hacken'. Of het ligt er aan welke definitie je hanteert.

Ik dacht dat de definitie voor zover die bestaat van hacken is dat je iets gebruikt op een andere manier dan de maker het bedoeld heeft. Dat kan dus mechanisch zijn maar ook sociaal of digitaal.
Dit valt dan onder hacken.

Of rubber hose decryption (iemand verrot slaan tot hij jou het wachtwoord of de key geeft) ook onder hacken valt betwijfel ik wel.
19-08-2018, 11:37 door Briolet
Door Anoniem:
Misschien heb je nog niet zoveel ervaring in het vakgebied, maar dit is duidelijk een gevalletje van "Insecure Direct Object References" als je de uitleg van het Openbaar Ministerie ziet.

Is dat dan hacken? Ik vind t meer een gevalletje creatief surfen. Het zou zomaar kunnen dat die urls dan zelfs in de google cache staan, of in thewaybackmachine...

Een gewone huissleutel heeft doorgaans 5 inkepingen die iets van 5 dieptes kunnen aannemen. Dat geeft dan 5^5 is ruim 3000 combinaties. (De gleuven aan de zijkant doen niets bij een regulier slot. Die sleuven kun je omzeilen met een smalle sleutel).

Als je een bos van 3000 sleutels probeert (of een sleutel gebruikt die zelf al deze posities probeert), noemt de politie dat ook niet "creatief deur open doen", maar gewoon inbreken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.