Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Ben ik strafbaar of niet?

26-05-2009, 16:28 door Jopiede, 45 reacties
Wegens vraag om op nieuw neer te zetten:

Beste alle,

Ik heb laatst een bug in een site gevonden, nu heb ik gezien dat deze site op zo'n goedkope geleakte source draait, waar er wel meer in nederland mee draaien. Deze site had toch al ruim 2600 leden, ik dacht dat deze beheerder wel waarde hechte aan de gegevens dus ik dacht deze beheerder een aanbieding te doen, dat hij de Bug + het script hoe je het fixen moest te kopen van mij. Hij stuurde terug dat hij niet met snotjochies zaken deed, en dat ik als ik hem niet zou geven hij naar mijn provider wegens hacken zou gaan. Ook voor afpersen zou ik een celstraf krijgen. Uit eindelijk, heb ik omdat ik geen problemen wou, deze bug gewoon gezegt en hem verwijderd. Nu vroeg ik mij af, ben ik nouw echt strafbaar als ik hier mijn "slaatje" uit probeer te slaan?

Grtz

P.S

Naar mijn weten is dit onderwerp klaar, mijn oplossing: Ik stop met dit wereldje, het is altijd net goed of juist net niet.
Reacties (45)
26-05-2009, 16:53 door Anoniem
-steel de database
-maak een video van de hack met zoveel mogelijk gevoelige gegevens die voor veel imago schade zorgt
-verwijder de database
-misbruik de gegevens uit de database zo al s: credicard gegevens
-verkoop de database aan de concurent
-eis geld van de eigenaar als hij zijn gegevens terug willen
-eis geld voor het niet publiek maken van de gegevens
-eis geld voor het niet publiek maken van de hack video.

Als je je geld hebt geint en alle data hebt misbruikt maak dan een mooie zip file met alles er in en stuur die naar radio,tv & concurenten en post het op een publiek forum en verspreid het via p2p onder je eigen naam om nog te profiteren van naamsbekendheid.

groetjes,
K. mitnick
26-05-2009, 17:06 door SirDice
Err... Het klinkt verdacht veel als chantage. Geef me geld anders vertel ik de bug niet en los ik het ook niet voor je op.

Glad ijs heet dat...
26-05-2009, 17:10 door Jopiede
Beste SirDice,

Hoe moet ik het dan omschrijven, dat ik een bug heb en ik nog niet weet of dat op zijn website ook van toepassing is, dat hij mij kan betalen om dat uit te zoeken en als de bug niet werkt op zijn site hij niet te betalen hoeft? En dat ik heb de bug niet geef zodat hij het niet zelf kan checken?
Grtz
26-05-2009, 17:12 door SirDice
Als je ze nu eens de details van de bug opstuurt en erbij vertelt dat je eventueel beschikbaar bent om te helpen om het op te lossen?

Dat klinkt al heel anders namelijk..
26-05-2009, 17:14 door Jopiede
Details bedoel je de bug zelf daarmee?

Grtz
26-05-2009, 17:16 door SirDice
Uiteraard.
26-05-2009, 17:19 door spatieman
stap zelf naar de politie toe.
en zeg dat je door de betrefende eigenaren bedreigd bent worden...

koekje van eigen deeg noemen ze zo iets.
26-05-2009, 17:38 door [Account Verwijderd]
[Verwijderd]
26-05-2009, 17:47 door SirDice
Om nog even op terug te haken, toon goodwill door te laten zien waar het probleem zou kunnen zitten. En zoals ik zei geef aan dat je beschikbaar bent om te helpen. Over geld moet je het dan nog niet hebben, dat komt pas als ze akkoord gaan, dan kun je praten over een redelijke vergoeding voor te leveren diensten.

Je vangt meer vliegen met honing dan met azijn.
26-05-2009, 18:55 door Jopiede
Dit had ik ook eens gedaan, zou admin worden en op ten duur betaald worden. Na dat ik het probleem had verholpen werd ik zo afgescheept en kon ik oprotten
26-05-2009, 19:46 door Anoniem
Door Spirit: Strafbaar nee? En die 'bedreiger' zou ik ook niet aangeven, laat hem lekker in zijn eigen wereldje leven. Als hij denkt dat we in het jaar 900 leven..

Als hij echt de stappen onderneemt en de politie erbij betrekt, moet je wel alle emails/bewijzen bij je hebben. Dus dat hij je heeft bedreigt, en zei dat je 3/4 jaar in de cel moest.

Voor de rest, als jij er geld mee kunt verdienen.. Waarom niet? Zolang je er maar geen misbruikt van maakt.

In het jaar 900 hackers?
26-05-2009, 19:55 door Anoniem
Door Jopiede: Dit had ik ook eens gedaan, zou admin worden en op ten duur betaald worden. Na dat ik het probleem had verholpen werd ik zo afgescheept en kon ik oprotten
Iemand met zo weinig normbesef dat hij dit soort vragen stelt, zou ik ook niet graag in mijn security-afdeling laten werken. Kennelijk heeft men hier lucht van gekregen.

Via een stunt binnenkomen is één, maar voor een blijvend goede baan is toch meer nodig.
26-05-2009, 21:59 door Anoniem
Je perst niemand af en je bedreigt niemand. Dat zou je pas doen wanneer je zegt de bug te gaan misbruiken of verkopen aan anderen die hem mogelijk gaan misbruiken als de eigenaar niet betaald. Nu heb je moeite en tijd gestoken in iets en wilt daar iemand mee helpen en daar wat voor terug krijgen.

Wat de beste man zelf doet is wel dreigen. Jammer dat je daarvoor door de knieen bent gegaan. Maar, ik ben het wel eens met de meeste andere reacties: wellicht had je het anders en met een andere toon aan moeten pakken.
27-05-2009, 00:36 door Anoniem
Door Jopiede: Dit had ik ook eens gedaan, zou admin worden en op ten duur betaald worden. Na dat ik het probleem had verholpen werd ik zo afgescheept en kon ik oprotten

Daar leer je weer van. De volgende keer laat je dus voor je werkzaamheden het 1 en ander op papier zetten.
27-05-2009, 09:03 door Anoniem
Met de wijze waarop je het brengt loop je inderdaad een serieus risico om strafrechtelijk te worden aangesproken.
Het klink om te beginnen inderdaad als (verdekte) chantage - "afpersing door middel van bedreiging met feitelijkheden" in goed strafrechtelijk jargon. Zelfs als je dat niet bedoeld kan het wel zo worden geïnterpreteerd...en daar gaat het om.

Een bug kun je niet verkopen, die heeft ie al namelijk. Je diensten om hem op te lossen wel, maar mensen zijn meestal niet zo gecharmeerd van "cold calling". Bovendient doet je taalgebruik etc mij vermoeden dat je inderdaad nog niet echt oud genoeg bent om een zaak te runnen, dus de kans dat je dit "als beroep" doet lijkt me niet groot...en dat heeft dan weer een negatieve impact op je gepercipieerde bedoelingen.

Daarnaast zeg je dat deze bug "werkt" op een paar sites. Ik ga er vanuit dat je dat geprobeerd hebt, anders weet je dat niet.
Dat betekent dat je een of meer "ICT-delicten" hebt gepleegd, waarvan computervredebreuk (138a sr) de minste niet is.
En dat op meerdere sites, dus meermalen gepleegd. Daar staat een flinke maximum straf op.
Of je daar ook nog schade hebt aangericht is onduidelijk, maar daarvoor niet alleen (apart, naast het hacken) straftrechtelijk aansprakelijk, maar ook (potentieel) civiel aansprakelijk, zelfs als dat jou bedoeling niet was.

Basically...als niemand jou heeft gevraagd of je zoiets wil testen voor ze (jou dus inhuren) heb je gewoon dat soort dingen niet te doen (als je een keer per ongeluk wat tegenkomt is het anders, maar uit je verhaal blijkt duidelijk dat dat niet zo was)

Heel kort antwoord op je vraag: JA, je bent strafbaar bezig. En vrij stevig ook.

Mijn advies: ff wachten met dit soort dingen totdat je wat meer ervaring hebt in de wereld...dit soort dingen kan heel vervelend uitpakken. Of laat iemand je adviseren hoe je dit soort dingen op de juiste manier aanpakt, als het het perse toch wilt doen.

Ik neem aan dat je hiermee geholpen bent....
27-05-2009, 09:04 door Anoniem
Ik moet zeggen dat het wel lame is om een bug die je gevonden te gaan gebruiken om centen af te trogellen mik de bug in een van de bekende bug trackers Bugtraq of CVSS ofzo nadat je um gemeld hebt bij de fabrikant.
Maar ga niet zo lame doen van he ik heb een bug weten of ik um kan gebruiken dat kost je dan :S.
Dit noemt men bedreiging en/of afpersing en dat is redelijk strafbaar in nederland.
Je had ook kunnen zeggen luister ik heb een bug gevonden in uw systeem en weet hoe hij moet worden gefixed ik wil u helpen uw systeem up to date te houden en te beveiligen.
Dit tegen een kleine vergoeding klaar dat klinkt netter dan ik heb een bug ontdekt en voor geld wil je vertellen hoe je het moet fixen maar anders pas maar op
27-05-2009, 09:46 door Anoniem
Beste Richard,

als je eerst eens leert om fatsoenlijk met je taal om te gaan, en luister aub eens naar SirDice. Je klinkt echt als een snotneus ipv een "schijtluis". Script-kiddies, ooit van gehoord? Het is gemakkelijk om met voorgeprogrammeerde tooltjes foutjes in website op te zoeken en dan achteraf de eigenaar hiervan chanteren!

Als je er geld mee wilt verdienen, zoek dan in godsnaam werk in de sector (als je oud genoeg bent wel te verstaan, je eigen IP adres gebruiken getuigt niet van veel inventiviteit), indien je echt goed bent zal je er ook goed geld mee verdien.

M@d

Door Jopiede: Beste,

Nu wil ik hier eigenlijk geld uit verdienen door de mensen deze bug te verkopen en dan direct er bij te leren hoe je deze oplost. Nu heb ik dat 1x geprobeerd, maar meneer liet zich niet afpersen door snotjochies en vond dat ik aan het dreigen was. Ik had hiervoor mijn eigen IP adres gebruikt. schijtluis maar als ik deze "verwensingen" naar mijn hoofd krijg gezwiept ben ik wel snel omgekeerd
27-05-2009, 10:15 door Anoniem
Dit lijkt mij een mooie vraag voor "Arnoud Engelfriet".
http://www.security.nl/tag/arnoud%20engelfriet


Stel je soepel op naar de web beheerders met de bug. Vertel dat je een bug hebt gevonden en ze kan helpen. laat ook wat op papier vast leggen. Maar eerlijk is eerlijk bedrijven zijn jou liever kwijt dan rijk dus vertrouwen op hun blauwe ogen zal ik niet doen. Als het een beetje grote bedrijven zijn kan je alles vast leggen scheppen ze je toch nog af nadat je ze geholpen hebt, dan is daar de krant etc. niet voor de bug maar op het niet na komen van afspraken.
27-05-2009, 10:18 door Preddie
typisch een geval van stank voor dank.......

Jopiede, erg sportief om het te melden aan de beheerder. Als ik de beheerder geweest zo zijn had ik je gelijk om de koffie gevraagd en hadden we samen een babbeltje gemaakt. De beheerder waar jij mee te maken hebt heeft waarschijnlijk niet zoveel verstand van zaken en kruipt weg in een hoekje om vervolgens de verdediging in te zetten.......

Ik zou hier verder geen aandacht meer aan besteden, je hebt je best gedaan en de beheerder van de site wil kenbaar niks leren en/of zijn site veiliger maken. Hou de eer aan je zelf ..... je bent trouwens niet in alle gevallen strafbaar (Als je er perongeluk achter bent gekomen bijv.) . Als je daar meer over wil weten zou ik het Arnold Engelfriet vragen die veel kennis heeft over de juridische kant van dit soort dingen
27-05-2009, 10:43 door Anoniem
Geen enkel bedrijf heeft interesse om iemand aan te nemen of te betalen voor diensten als die persoon duidelijk geen normbesef heeft en niet zelf kan nadenken. Misschien als je 5 jaar ouder bent en een studie hebt afgemaakt. Dan zoek je gewoon een job, of word je zelfstandig consultant.
27-05-2009, 10:54 door Anoniem
Door spatieman: stap zelf naar de politie toe.
en zeg dat je door de betrefende eigenaren bedreigd bent worden...

koekje van eigen deeg noemen ze zo iets.

Ja, dan maak je veel kans, ja. Wat een onzin. Je bent ongeveer even verstandig als de vraagsteller.
27-05-2009, 11:00 door SirDice
Door Anoniem:
Door Jopiede: Dit had ik ook eens gedaan, zou admin worden en op ten duur betaald worden. Na dat ik het probleem had verholpen werd ik zo afgescheept en kon ik oprotten

Daar leer je weer van. De volgende keer laat je dus voor je werkzaamheden het 1 en ander op papier zetten.
Inderdaad, dat is voor mij zo vanzelfsprekend dat ik het helemaal vergat te melden.
Zet je afspraken op papier! Door beide partijen ondertekend.
27-05-2009, 11:14 door Anoniem
Ik zelf heb ook wel eens configuratie fouten/bugs ontdekt op diverse websites (niet op de minste geringste overigens).
Deze fouten heb ik anoniem doorgespeeld en heb daar nooit de credits of centen aan verdient, dat was ook geheel niet mijn intensie.

Ik vind de gang van zaken zoals hierboven geschets behoorlijk twijfelachtig te noemen.
Zijn er hier mensen die ooit wel eens extra geld verdient hebben aan het doorspelen/oplossen van gevonden fouten/bugs zoals Jopiede van plan is?
27-05-2009, 11:39 door Anoniem
Tja kerel, dat heet afpersing of chantage. Je schrijft het zelf al. Ik hoop persoonlijk dat je snel opgepakt zult worden en je verdiende straf krijgt. Aan deze mentaliteit heeft niemand wat, jij in de laatste plaats trouwens, maar dat zul je nog wel leren.
27-05-2009, 12:09 door [Account Verwijderd]
[Verwijderd]
27-05-2009, 12:10 door Anoniem
Stel ik ben die eigenaar, en stel je kwam bij mij aan met het verhaal dat je een lek in mijn site had gevonden en ik die wel mag weten als ik ook aan je ga betalen om de oplossing voor het probleem te krijgen. Als ik een beetje goede eigenaar ben kan ik in de logsbestanden ook achterhalen wat je hebt uitgespookt.

Stel jij bent die persoon die zo aan mijn website zat te rommelen, stel jij bent die persoon die het verhaal naar me stuurde dat je aan mijn website hebt zitten rommelen en wel even geld wil vangen omdat je me de fout geeft alleen wil geven met een betaalde oplossing.

Stel dat je een beetje verstand had van waar je mee bezig was, dat je wist dat ik zo je IP gegevens kon achterhalen, dat ik logbestanden zou kunnen hebben waar je pogingen tot misbruik in vastgelegd worden. Stel dat ik ethisch werk en het niet accepteer dat iemand misbruik probeert te maken van mijn website en ik het ook niet accepteer dat iemand die me zo aanspreekt en geld vraagt voor zogenaamde hulp. Maakt het dan wat uit of iemand anders vind dat je wel of niet strafbaar bent?

Je hebt jezelf aardig in de nesten gewerkt. Ik denk dat je al blij mag zijn wanneer je er geen verdere last mee krijgt met wat je gedaan hebt. Blijf met je tengels van andermans spullen, probeer geen truukjes uit op systemen van anderen en probeer er zeker geen geld aan te verdienen als je geen goede band hebt met de eigenaar van de site en je duidelijk niet weet wat je aan het doen bent. Mijn advies is zelfs om gewoon een tijdje geen pc meer aan te raken.
27-05-2009, 12:24 door Jopiede
Beste iedereen,

Bedankt voor degene die mij goede en nuttige tips hebben gegeven. Vanaf nu houd ik mij buiten dit wereldje omdat het altijd op of onder het randje is strafbaar of niet.

Nogmaals bedankt,

Mvg
27-05-2009, 12:36 door Anoniem
Door Jopiede: Beste iedereen,

Bedankt voor degene die mij goede en nuttige tips hebben gegeven. Vanaf nu houd ik mij buiten dit wereldje omdat het altijd op of onder het randje is strafbaar of niet.

Nogmaals bedankt,

Mvg

Is wel leuk dat je je originele vraag hebt verwijderd, maar de gemiddelde lezer kan de context van de antwoorden dus niet plaatsen.

Svp je vraag terugplaatsen zodat andere mensen hier ook van kunnen leren of hun conclusies trekken.

@Redactie: Als Jopiede het niet doet, willen jullie het dan terugplaatsen of anders deze 'thread' verwijderen, wat op deze manier dient het totaal geen doel.
27-05-2009, 13:06 door Anoniem
@Jopiede: Zou je voortaan niet de startpost willen aanpassen. Hierdoor haal je de vraag van alle bovengenoemde antwoorden weg wat behoorlijk onhandig is.

Blijkbaar weet je wel dat je aan het einde van het topic kan reageren, ziedaar je dit 1 minuut na het wijzigen van de topic start doet.

Als je niet tevreden bent over je topicstart had hier dan over nagedacht voordat je hem schreef en ga hem nu niet wegpoetsen omdat je niet wil dat iemand het leest.
27-05-2009, 18:45 door Jopiede
Wegens vraag om op nieuw neer te zetten:

Beste alle,

Ik heb laatst een bug in een site gevonden, nu heb ik gezien dat deze site op zo'n goedkope geleakte source draait, waar er wel meer in nederland mee draaien. Deze site had toch al ruim 2600 leden, ik dacht dat deze beheerder wel waarde hechte aan de gegevens dus ik dacht deze beheerder een aanbieding te doen, dat hij de Bug + het script hoe je het fixen moest te kopen van mij. Hij stuurde terug dat hij niet met snotjochies zaken deed, en dat ik als ik hem niet zou geven hij naar mijn provider wegens hacken zou gaan. Ook voor afpersen zou ik een celstraf krijgen. Uit eindelijk, heb ik omdat ik geen problemen wou, deze bug gewoon gezegt en hem verwijderd. Nu vroeg ik mij af, ben ik nouw echt strafbaar als ik hier mijn "slaatje" uit probeer te slaan?

Grtz


dat heb ik er weer neer gezet, word niet veranderd...
27-05-2009, 19:37 door Anoniem
wat ik wel eens gedaan heb zodra ik zoiets tegenkwam wat niet klopte was via het contact-adres een mail sturen met een melding daarover, en de oorzaak (de oplossing hoef je er niet bij te doen), en met de melding dat ze me altijd mogen mailen voor meer info...

op die manier laat je het open, verleen je toch enige service (al is het alleen maar uit goed fatsoen en ter bevordering van de algehele veiligheid op internet) en kan men altijd bij je terugkomen... zie het als een open sollicitatie, dat werkt beter dan te beginnen met de offerte ;)

maar het is een feit dat je er meestal niets weer van terugziet, want zolang het gratis is hoor je niemand zeuren...
27-05-2009, 23:37 door Dr.Wh4x
Pls Jopiede ga weer naar je botnet vriendjes.
28-05-2009, 00:28 door Preddie
Door Dr.Wh4x: Pls Jopiede ga weer naar je botnet vriendjes.


Eeeyhz kerel .... jij ook hier :X
28-05-2009, 00:55 door Anoniem
Door Dr.Wh4x: Pls Jopiede ga weer naar je botnet vriendjes.
http://www.sitedeals.nl/website-verkopen-kopen/23957-computerhacken-nl.html - Ctrl + F 'Dr.Wh4x'

http://sbrlabs.com/blog/?p=5518 - Ctrl +F 'Dr.Wh4x'

Hm, en jij bent geen scriptkiddie?
28-05-2009, 08:08 door Jopiede
Door Dr.Wh4x: Pls Jopiede ga weer naar je botnet vriendjes.


Dit heb ik nooit gedaan ik keek enkel rond daar, dr.wh4x ik ben nu definitief gestopt. Dit heb ik ook aangegeven dus plz stop met zulke nutteloze reacties.
28-05-2009, 11:42 door Anoniem
Door Anoniem:
Door Spirit: Strafbaar nee? En die 'bedreiger' zou ik ook niet aangeven, laat hem lekker in zijn eigen wereldje leven. Als hij denkt dat we in het jaar 900 leven..

Als hij echt de stappen onderneemt en de politie erbij betrekt, moet je wel alle emails/bewijzen bij je hebben. Dus dat hij je heeft bedreigt, en zei dat je 3/4 jaar in de cel moest.

Voor de rest, als jij er geld mee kunt verdienen.. Waarom niet? Zolang je er maar geen misbruikt van maakt.

In het jaar 900 hackers?

Dat noemden ze hakkers ;-)
31-05-2009, 00:02 door Dr.Wh4x
Door Anoniem:
Door Dr.Wh4x: Pls Jopiede ga weer naar je botnet vriendjes.
http://www.sitedeals.nl/website-verkopen-kopen/23957-computerhacken-nl.html - Ctrl + F 'Dr.Wh4x'

http://sbrlabs.com/blog/?p=5518 - Ctrl +F 'Dr.Wh4x'

Hm, en jij bent geen scriptkiddie?

those were for the lulz. ik heb die deface niet gemaakt dat was me buttfucker Niels.
26-03-2010, 17:03 door Anoniem
Dr.Wh4x scriptkiddie!

Bekijk je zoekresultaten eens op google :-)
06-04-2010, 14:14 door Anoniem
ik hoef alle reacties niet te weten en ik kan je zo een antwoord geven.

ben je strafbaar? JA!

Wat jij doet noemen we grey hat hacking. Er zijn 3 types hackers.

White hat: hackt een netwerk voor de lol en loopt naar systeembeheerder toe om te zeggen dat ze moeten fixen
Grey hat: hackt een netwerk, biedt aan bij de systeembeheerder om het op te lossen maar tegen vergoeding
Black hat: hackt een netwerk, houdt de lekken stil en maakt er zo lang mogelijk misbruik van.

daarnaast heeft hij volkomen gelijk als hij het over afpersing heeft. Natuurlijk zou het netjes zijn als hij iets voor je terug doet maar dat is geen plicht (net als vindersloon). Je had het beter op een andere manier aan kunnen pakken.

groetjes,
W4rguy
06-04-2010, 16:41 door SirDice
Nog even en deze thread is een jaar geleden gestart. Wie loopt er oude koeien uit de sloot te halen?
06-04-2010, 17:38 door [Account Verwijderd]
[Verwijderd]
12-04-2010, 11:23 door Anoniem
Daarnaast, als je die mail op dezelfde manier geschreven hebt, kom je inderdaad nogal over als een snotjoch.
Leer eens spellen en je grammatica trekt ook nergens op! Niet zo gek dat je niet serieus genomen bent.

Daarnaast had je het wel wat slimmer kunnen aanpakken, had het lek gemeld en gezegd dat je eventueel tegen betaling wel zou willen assisteren met het dichten ervan. Dat komt dan heel anders over.
12-04-2010, 11:41 door Anoniem
"daarnaast heeft hij volkomen gelijk als hij het over afpersing heeft. Natuurlijk zou het netjes zijn als hij iets voor je terug doet maar dat is geen plicht (net als vindersloon). Je had het beter op een andere manier aan kunnen pakken."

Nou, dan is iedere aanbieding van een winkelier zeker ook afpersing, tenzij je zijn produkten gratis mee mag nemen. Want het is netjes als je betaalt in de winkel, maar het is geen plicht ? Je redenatie is zo krom als het maar kan (waarbij ik best begrijp dat men niet op de aanbieding in ging, maar dat staat daar los van).

Niemand hoeft diensten of produkten gratis aan te bieden, ook al vind jij dat misschien 'netjes', en het staat anderen vrij produkten/diensten al dan niet af te nemen. Wel kan je je afvragen of er wetten overtreden zijn bij het vinden van de 'bug' waarover het hier gaat.
12-04-2010, 12:04 door Anoniem
Door SirDice: Err... Het klinkt verdacht veel als chantage. Geef me geld anders vertel ik de bug niet en los ik het ook niet voor je op.

Glad ijs heet dat...
Auto's kopen gaat dan ook zo, volgens jou:
Geef me een paar duizend euro, anders krijg je geen auto en krijg je er ook geen service bij.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.