OM eist werkstraf tegen Hagenaar die website hackte
Het Openbaar Ministerie heeft een werkstraf van 120 uur geëist, waarvan 60 voorwaardelijk, tegen een Hagenaar die wordt verdacht van het hacken van een website voor familiegeschiedenis en het downloaden van de gegevens van tienduizenden gebruikers. Dit zou eind 2015 hebben plaatsgevonden.
"Met een script produceerde de verdachte een lange reeks getallen, die hij steeds invoerde als mogelijke ID voor de website. Bij ID's die daadwerkelijk bestonden, kreeg hij toegang tot de gegevens van de gebruiker. Die sloeg hij vervolgens op", aldus het OM. De verdachte stelde dat hij alleen de veiligheid van de website wilde testen en hij aan 'responsible disclosure' had gedaan.
Bij responsible disclosure waarschuwt een hacker of onderzoeker een bedrijf of organisatie voor kwetsbaarheden in hun websites of diensten. Volgens het Openbaar Ministerie is daar in dit geval geen sprake van. Zo hanteerde de website in kwestie geen responsible disclosure-beleid. Verder is het beveiligingslek niet aan de website gemeld, maar aan andere organisaties, waaronder een nieuwswebsite.
Daarnaast bleek de verdachte volgens het OM een concurrent van de gehackte website te zijn. "Het is dus goed denkbaar dat hij minder nobele motieven had dan hij wil voorwenden. Niet dat ik uitsluit dat hij daadwerkelijk vond dat sprake was van een misstand die beëindigd moest worden, maar ook dan heeft hij de verkeerde keuzes gemaakt", zo liet de officier van justitie aan de rechter weten. Het Openbaar Ministerie eiste tegen de verdachte een werkstraf van 120 uur, waarvan 60 voorwaardelijk, met een proeftijd van 2 jaar.
Je kan wel proberen er een leuk verhaaltje omheen te schrijven maar je blijft altijd steken in "de boeman deed een boeman ding. stoute boeman!" en daar ga je de oorlog niet mee winnen.
Je kan wel proberen er een leuk verhaaltje omheen te schrijven maar je blijft altijd steken in "de boeman deed een boeman ding. stoute boeman!" en daar ga je de oorlog niet mee winnen.
Misschien heb je nog niet zoveel ervaring in het vakgebied, maar dit is duidelijk een gevalletje van "Insecure Direct Object References" als je de uitleg van het Openbaar Ministerie ziet.
"Insecure Direct Object References occur when an application provides direct access to objects based on user-supplied input. As a result of this vulnerability attackers can bypass authorization and access resources in the system directly, for example database records or files."
Je kan wel proberen er een leuk verhaaltje omheen te schrijven maar je blijft altijd steken in "de boeman deed een boeman ding. stoute boeman!" en daar ga je de oorlog niet mee winnen.
Misschien heb je nog niet zoveel ervaring in het vakgebied, maar dit is duidelijk een gevalletje van "Insecure Direct Object References" als je de uitleg van het Openbaar Ministerie ziet.
"Insecure Direct Object References occur when an application provides direct access to objects based on user-supplied input. As a result of this vulnerability attackers can bypass authorization and access resources in the system directly, for example database records or files."
En ook het feit dat je veel meer ophaalt EN opslaat dan nodig is om de kwetsbaarheid aan te tonen, is een no-no. Dat hebben anderen ook al ondervonden.
Het melden bij een nieuwssite is ook niet wat ik responsible disclosure zou noemen.
Peter
Is dat dan hacken? Ik vind t meer een gevalletje creatief surfen. Het zou zomaar kunnen dat die urls dan zelfs in de google cache staan, of in thewaybackmachine...
Je kan wel proberen er een leuk verhaaltje omheen te schrijven maar je blijft altijd steken in "de boeman deed een boeman ding. stoute boeman!" en daar ga je de oorlog niet mee winnen.
Misschien heb je nog niet zoveel ervaring in het vakgebied, maar dit is duidelijk een gevalletje van "Insecure Direct Object References" als je de uitleg van het Openbaar Ministerie ziet.
"Insecure Direct Object References occur when an application provides direct access to objects based on user-supplied input. As a result of this vulnerability attackers can bypass authorization and access resources in the system directly, for example database records or files."
Is dat dan hacken? Ik vind t meer een gevalletje creatief surfen. Het zou zomaar kunnen dat die urls dan zelfs in de google cache staan, of in thewaybackmachine...
- Htttp is stateless (sheet 8) je krijgt de onveiligheid vanaf die basis mee.
- Session management moet er aan geplakt worden, dat krijg je in een shared aanpak (browsers) nooit echt veilig .
- http authenticatie in de basis al zwak (sheet 9)
- IDOR sheet 16 -> validate inut, verify authorization …. 18 broken session management
19 Add missing authorization (het moet dicht by default, dat is wat anders dan het werkt toch.)
sheet 20
- Security on the client side doesn’t work (and cannot)
- Don’t trust your client
- Do all security-related checks on the server
sheet 21 etcc ….. Sheet 24 php hoe je het moet gebruiken. Advies voor de studenten bij CERN (de afgestudeerde Universiteits guru's die daar werken) http://information-technology.web.cern.ch/about/computer-centre/computing-history Deze basis zou voor elke ICT security Wannabee tussen de oren moeten zitten
Voor de eenvoudige familiegeschiedenis mogelijk te lastig om een goede technische invulling neer te zetten.
Blijft het nog steeds niet goed dat onderlinge concurrentie met computervredebreuk wordt uitgevochten.
Is dat dan hacken? Ik vind t meer een gevalletje creatief surfen. Het zou zomaar kunnen dat die urls dan zelfs in de google cache staan, of in thewaybackmachine...
Ik dacht dat de definitie voor zover die bestaat van hacken is dat je iets gebruikt op een andere manier dan de maker het bedoeld heeft. Dat kan dus mechanisch zijn maar ook sociaal of digitaal.
Dit valt dan onder hacken.
Of rubber hose decryption (iemand verrot slaan tot hij jou het wachtwoord of de key geeft) ook onder hacken valt betwijfel ik wel.
Is dat dan hacken? Ik vind t meer een gevalletje creatief surfen. Het zou zomaar kunnen dat die urls dan zelfs in de google cache staan, of in thewaybackmachine...
Een gewone huissleutel heeft doorgaans 5 inkepingen die iets van 5 dieptes kunnen aannemen. Dat geeft dan 5^5 is ruim 3000 combinaties. (De gleuven aan de zijkant doen niets bij een regulier slot. Die sleuven kun je omzeilen met een smalle sleutel).
Als je een bos van 3000 sleutels probeert (of een sleutel gebruikt die zelf al deze posities probeert), noemt de politie dat ook niet "creatief deur open doen", maar gewoon inbreken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
