image

BBC verstuurt spam via botnet

donderdag 12 maart 2009, 13:47 door Redactie, 8 reacties

De BBC heeft in samenwerking met een beveiligingsexpert een botnet overgenomen en gebruikt voor het versturen van spam. De actie was onderdeel van de televisieshow BBC Click. In totaal kreeg de omroep de controle over 22.000 Windows machines die het naar 500 zelf aangemaakte Hotmail en Gmail accounts spam liet versturen. "Natuurlijk, een uitzending als deze kan het bewustzijn over het probleem dat hackers computers kapen doen toenemen. Maar is het gepast voor een televisiezender om de computers van onschuldige mensen zonder hun toestemming voor dit experiment te gebruiken", vraagt Graham Cluley van Sophos zich af. Het is goed mogelijk dat de BBC met het overnemen van het botnet de Computer Misuse Act heeft overtreden.

De wet stelt namelijk duidelijk dat je niet zonder toestemming andermans computer mag gebruiken. Toestemming die de BBC niet had. Daarnaast wijzigde de zender het bureaublad van de gebruikers om te laten zien dat hun PC besmet was. "Dit is duidelijk het ongeautoriseerd aanpassen van computergegevens, en is volgens mij in strijd met de wet", zegt Cluley. Eind vorig jaar gebeurde hetzelfde in Nederland, toen de Revu een botnet gebruikte om de mailbox van Jack de Vries te kraken.

Reacties (8)
12-03-2009, 14:10 door D0rus
Met andere woorden, een botnet is juridisch beschermt en mag niet aangevallen worden. Moet niet veel gekker worden, en wie gaat hier aangifte tegen doen? De originele botnet beheerder? De sukkels die hun computer niet beveiligde? Juist zij zijn nu beschermt tegen verdere plunderingen van hun bank/paypall/whatever, en zouden juist blij moeten zijn. Ook veroorzaken botnets veel overlast op internet, je zou het kunnen vergelijken met het van de weg halen van auto's met een kapotte achterlichten. De bestuurder heeft er weinig last van, maar voor de rest van het verkeer natuurlijk niet zo leuk. Mag een journalist een dergelijke auto aanhouden als de politie dit nalaat? Goede vraag, volgens de wet waarschijnlijk niet, maar dan bestaat er ook nog iets als burgerlijke ongehoorzaamheid, uit algemeen belang (/verzet) de wet overtreden.
12-03-2009, 14:24 door Anoniem
Door D0rusMet andere woorden, een botnet is juridisch beschermt en mag niet aangevallen worden. Moet niet veel gekker worden, en wie gaat hier aangifte tegen doen?

Een botnet is geen rechtspersoon, de eigenaars van de betrokken computers wel.
12-03-2009, 14:47 door Anoniem
Ik ben het wel met D0rus eens. In een geval als dit, waarbij het botnet gebruikt wordt om de computereigenaar duidelijk te maken dat ze onderdeel uitmaken van een botnet, denk ik dat dat alleen maar goed is. Een veel betere manier bestaat waarschijnlijk niet om al die PC-bezitters te waarschuwen.
Als ze daarnaast het publiek ook nog even voorlichten hoe zo'n botnet gebruikt kan worden, en welke gevaren er dus aan vast zitten, is dat alleen maar toe te juichen...

Als je het vanuit deze hoek bekijkt, is het allemaal veel minder strafbaar, lijkt mij...

Vervolgens kun je nog kijken naar wie de echte stafbare persoon is, in dit geval... Degene die de computer oorspronkelijk infecteerde? De beheerder van het botnet? Degene die het botnet verhuurt? De gebruiker van het botnet? Degene die z'n PC niet/onvoldoende beveiligde? Zijn er nog andere partijen.....
12-03-2009, 20:06 door [Account Verwijderd]
[Verwijderd]
12-03-2009, 22:54 door Anoniem
Er zijn een aantal grote verschillen met het Revu verhaal:
1) De BBC heeft niet zelf het botnet opgezet, de Revu wel
2) De BBC gebruikt het botnet niet om derden aan te vallen, de Revu wel
3) De BBC waarschuwt de slachtoffers van het botnet, de Revu heeft (bij mijn weten) dit niet gedaan
13-03-2009, 11:45 door Anoniem
Door AnoniemEr zijn een aantal grote verschillen met het Revu verhaal:
1) De BBC heeft niet zelf het botnet opgezet, de Revu wel

De meeste spammers zetten het botnet ook niet zelf op. Dat kopen of huren ze van de partijen die het hebben opgezet.


2) De BBC gebruikt het botnet niet om derden aan te vallen, de Revu wel

Ze versturen bulk e-mail. Dat het naar hun eigen mailbox gaat doet daar niets aan af. Ze hebben dat gedaan vanaf machines waar zij officieel geen toegang toe hadden en over netwerken waar zijn geen rechten op konden doen gelden. De derde die aangevallen werd was dus de eigenaar van de misbruikte computer.


3) De BBC waarschuwt de slachtoffers van het botnet, de Revu heeft (bij mijn weten) dit niet gedaan

En nu denkt iedereen dat als er een waarschuwing op hun scherm verschijnt dat ze dat advies moeten opvolgen en ergens een anti-virus product moeten downloaden. Iedereen die iets van beveiliging weet, weet dat je dit soort zaken niet moet doen. Wie is verantwoordelijk als deze mensen vervolgens van die fake scanners downloaden? Ik denk niet dat de BBC dat znel zal aanvaarden.

Peter
13-03-2009, 14:17 door Anoniem
Volgens mij zegt de wetgeving in Engeland dat het verboden is op het moment dat het met "criminal intent" wordt uitgevoerd... Wat het in dit geval dus blijkbaar niet was.
14-03-2009, 17:42 door spatieman
alsof de botnet beheerders zich aan de wet zouden houden.....
* pakt nog een mokje thee *
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.