Docent verplicht studenten voor examen te hacken
Een professor aan een niet nader te noemen universiteit heeft zijn studenten voor hun praktijkexamen de opdracht gegeven om de security van een of meerdere computersystemen via het internet te testen. Dit betekent dat de studenten zich met illegale activiteiten zoals port scanning en vulnerability scanning moeten bezighouden. De studenten moeten daarnaast een verslag schrijven welke open poorten ze vonden, welke services er op gedraaid kunnen worden, Host names en IP-adressen, besturingssysteem en versie, laatste updates, patch status, welke shares er beschikbaar zijn, wat voor netwerkverkeer er plaatsvindt en welke kwetsbaarheden er zijn.
Het SANS Institute dat met het bericht kwam heeft de naam van de professor en universiteit bewust niet bekend gemaakt. Volgens verschillende security experts is de opdracht niet alleen illegaal, onethisch en immoreel, maar is het ook voor de professor strafbaar omdat hij anderen aanzet tot illegaal gedrag. Het is trouwens niet alleen de professor, want de universiteit heeft toestemming voor de opdracht gegeven. Studenten kunnen hierdoor rustig hun gang gaan, zolang ze maar niet de systemen van de universiteit scannen.
Aan de hand van alle reacties heeft het ISC een aantal punten voor een penetratie oefening opgezet.
("enige beveiliging doorbreken") is illegaal, maar poorten scannen, ip adressen
verzamelen, shares enumeraten, etc. is niet verboden (gelukkig). Die studenten
mogen wat mij betreft dan ook hun gang gaan, zolang ze maar niet proberen
binnen te komen (via metasploit ofzo). Dat is namelijk wel strafbaar.
het gissen naar de bedoelingen van deze professor. Bedenk
namelijk dat een hoop van de mogelijk illegale handelingen
interpretaties zijn van de handlers op ISC..
De studenten worden geacht een evaluatie te maken.. En deze
kun je best maken zonder illegale handelingen.. Alle andere
zaken zijn door ISC handlers geopperd..
een systeem moet kunnen. Het probleem is dat het daar niet
altijd bij blijft en er dus strafbare activiteiten worden
verricht. Het kan natuurlijk een leuke hobby zijn...
what's next: police academy student rob the bank?
Ja, inderdaad..je slaat de spijker op z'n kop. Als je het ene goedkeurt wat is
dan de volgende zet in het rijtje met de bekende slogan "iedereen doet het
toch?"
Zo zou je kunnen kijken welke webserver er gebruikt is (via de headers) en de mogelijke problemen daarmee kunnen noemen.. Dan heb je de webserver geevalueerd.. En het is niet eens illegaal.. Een poortscan is glad ijs maar voor zover ik weet nog nergens ter wereld illegaal.. Banner grabbing ook niet.. En dan kun je nog een hele hoop informatie verkrijgen via non-intrusive scanning middels whois en dns informatie.. Ook dat is niet illegaal.. Gewapend met al deze gegevens kun je volgens mij wel een aardig rapportje maken..
Bij mijn weten is scannen helemaal niet illegaal...
Indien de provider van de betreffende internet verbinding
aangeeft dat scanning/sniffing niet is toegestaan, ben je
strafbaar als je dit gewoonweg toch doet.
van het internet gegooid. Ze hebben zeker de algemene voorwaarden
van hun ISP niet gelezen.
niet de systemen van de universiteit scannen.
je kattekwaad uithaald (of een bushokje sloopt), maar niet voor onze
deur. Vrije opvoeding heet dat geloof ik.
Ik zou de opdracht omdraaien, alleen op systemen van de eigen
universiteit mag worden geoefend.
worden, daar heeft men "toestemming" (volgens de geldende
voorwaarden) om XS4ALL systemen te "testen" op kwetsbaarheid
etc.
In Amerika zijn de wetten op het gebied van
computercriminaliteit veel strenger. In Nederland ben je op
dit moment nog niet strafbaar bezig, wanneer je nog geen
toegang hebt verkregen tot een computersysteem (art. 183a)
maar daar kan verandering in komen
http://www.computable.nl/nieuws.htm?id=1056219
Bij mijn weten is scannen helemaal niet illegaal...
Indien de provider van de betreffende internet verbinding aangeeft dat scanning/sniffing niet is toegestaan, ben je strafbaar als je dit gewoonweg toch doet.
Misschien zou die universiteit klant van XS4ALL moeten
worden, daar heeft men "toestemming" (volgens de geldende
voorwaarden) om XS4ALL systemen te "testen" op kwetsbaarheid
etc.
Interessant. Bron?
Misschien zou die universiteit klant van XS4ALL moeten
worden, daar heeft men "toestemming" (volgens de geldende
voorwaarden) om XS4ALL systemen te "testen" op kwetsbaarheid
etc.
Interessant. Bron?
http://www.xs4all.nl/overxs4all/voorwaarden/index.php?taal=nl
4.4 Onverminderd het in artikel 4.3 gestelde is het klanten
toegestaan het systeem van XS4ALL te hacken. De klant die
als eerste erin slaagt een positie te verwerven gelijk aan
de systeembeheerder van XS4ALL, krijgt van XS4ALL zes
maanden gratis gebruik van het systeem aangeboden, onder
voorwaarde dat de desbetreffende klant uitlegt op welke
wijze hij of zij geslaagd is in het hacken, hij of zij geen
schade heeft toegebracht aan het systeem en aan andere
klanten en hij of zij de privacy van andere klanten heeft
gerespecteerd. Iedere klant geeft bij deze toestemming aan
andere klanten onder voornoemde voorwaarden tetrachten het
systeem te hacken.
Sorry hoor maar als iemand een opleiding in beveiliging en
security volgt moet die wel weten waar die voor zijn vak mee
bezig is. het is aan het persoon wat die met die gegevens
doet. Dit zijn geen jochies van 12 jaar ofzo..
ik heb liever iemand in dienst die ook echt daadwerkelijk
weet waar die mee bezig is. dan iemand die denkt te weten
waar die mee bezig is!
en sorry jongens maar dit is in mijn ogen oud nieuws.
vroeger was het leuker en commen sense (dit soort
praktijken) Maar moet ik er wel bij zeggen dat het toen met
toestemming van de betrokken partijen ging.
Volgens verschillende security experts is de opdracht niet
alleen illegaal, onethisch en immoreel,
als het zonder toestemming of medeweten is gegaan dan ben ik
het helaas met ze eens. De betrokken partijen moet wettelijk
wel op de hoogte zijn en toestemming hebben gegeven. De
vraag of het onethische en immoreel is, dat laat ik ter
zijde. Zulke uitspraken heeft een ECHTE security expert
niet. Alleen managers! die hebben namelijk gewoon geen enkel
idee wat beveiliging is op dat niveau. Denk maar niet dat
een hacker zich bezig houd met vraagstukken of zijn acties
wel ethische of moreel verantwoord zijn!
je traint een marinier toch ook niet door hem de hele dag CS
achtige spellen te laten spelen. Nee je traint ze voor het
gene waar ze zich straks in het bedrijfsleven tegen moeten
weren!
Misschien zou die universiteit klant van XS4ALL moeten
worden, daar heeft men "toestemming" (volgens de geldende
voorwaarden) om XS4ALL systemen te "testen" op kwetsbaarheid
etc.
Interessant. Bron?
klanten toegestaan het systeem van XS4ALL te hacken.De klant
die als eerste erin slaagt een positie te verwerven gelijk
aan de systeembeheerder van XS4ALL, krijgt van XS4ALL zes
maanden gratis gebruik van het systeem aangeboden, onder
voorwaarde dat de desbetreffende klant uitlegt op welke
wijze hij of zij geslaagd is in het hacken, hij of zij geen
schade heeft toegebracht aan het systeem en aan andere
klanten en hij of zij de privacy van andere klanten heeft
gerespecteerd. Iedere klant geeft bij deze toestemming aan
andere klanten onder voornoemde voorwaarden tetrachten het
systeem te hacken.
http://www.xs4all.nl/overxs4all/voorwaarden/index.php?taal=nl#6
vraag of het onethische en immoreel is, dat laat ik ter
zijde. Zulke uitspraken heeft een ECHTE security expert
niet. Alleen managers! die hebben namelijk gewoon geen enkel
idee wat beveiliging is op dat niveau. Denk maar niet dat
een hacker zich bezig houd met vraagstukken of zijn acties
wel ethische of moreel verantwoord zijn!
managers klaar met een vet budget om volledige penetratietesten te
laten uitvoeren door nette experts. Ik denk dat jouw idee over managers
versus de echte experts in de meeste gevallen niet opgaat.
Daarnaast, het verschil kennen tussen ethisch en onethisch handelen is
essentieel voor alle beveiligingsfuncties, uitvoerend danwel manager.
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.