Computerbeveiliging - Hoe je bad guys buiten de deur houdt

[Verwijderd]

27-12-2012, 17:36 door [Account Verwijderd], 32 reacties
[Verwijderd]
Reacties (32)
27-12-2012, 18:33 door Spiff has left the building
Uitstekende analyse, Hugo.
Wat je neerzet was in elementen ook door anderen al neergezet in een andere thread, maar dit is een mooi volledige analyse. Ik kan me er goed in vinden.
Dat Arnoud Engelfriet en Brenno de Winter een heel andere analyse neerzetten, dat kan ik maar slecht begrijpen.
27-12-2012, 18:39 door cjkos
Precies zoals ik het ook zie.

Mensen vergeten vaak dat een link een 'hulpmiddel' is. Het maakt het surfen makkelijker, maar een eigen gemaakte snelkoppeling is ook een link. En sommige van die snelkoppeling links zijn ook ongewenst, omdat daardoor reclame gemist wordt.

PHP heeft dat enigszins opgelost (include).

Een 'link' gevonden via Google of enig andere zoekmachine is ook niet een link die de website je 'geeft', hoewel de website-eigenaar wel zijn best kan doen om je die link te 'geven' door zoekmachine optimalisatie.
27-12-2012, 21:08 door Anoniem
De RVD denkt dat de code vermoedelijk is ontdekt door te proberen. De dienst gaat "een diepgaand onderzoek'' doen.

Wat een triest verhaal, en daar een "diepgaand onderzoek'' naar te doen. Zouden ze even op NOS hebben gekeken
dan was een en ander wel duidelijk geweest. Ik vraag me dan ook af of ze daar niks anders hebben te doen.
En dan waar maken ze zich zorgen om? Is de toespraak dan Staats gevaarlijk?

Nee dus, maar waarom zetten ze iets al "online" en waarom hebben ze niet geleerd van vorige keer?
Onder het mom van "manipulatie" versta ik een website "cracken" en dan een url aanpassen die niet bestaat
of doorlinken naar een andere website. Dus een soort van defacen.

Als diensten als RVD hier nog diepgaande onderzoeken naar moeten doen dan is het wel allemaal erg triest, en dan moet
er ook nog eens een rechter aan te pas komen.

Net zoals deze: http://webwereld.nl/nieuws/112666/om-vervolgt-epd-hackend-kamerlid.html

Nederland is echt een bananenland aan het worden en het moet niet gekker worden.

Als het zo door gaat dan gaan mensen die straks iets vinden het echt via andere bronnen aantonen.

De Overheid wil weer eens op zijn strepen gaan staan en een voorbeeld stellen, terwijl ze zelf de fout in gaan.
27-12-2012, 21:13 door MrAT
Toch eigenlijk van de zotte dat als je de door de datum, tijdstip of volgnummer in die url te veranderen en aan te passen dat je dan strafbaar zou zijn ! In veel gevallen betreft het alleen een verwijzing naar de locatie waar de webpagina, afbeelding en soms video materiaal ed. op de server zich bevinden. Er wordt dan geen enkele beveiliging omzeild laat staan doorbroken !
De RVD had er voor moeten zorgen dat dit materiaal gewoon nog niet online toegankelijk was door deze niet alvast, een dag van te voren, op de webserver te plaatsen ! Ik ben wel benieuwd hoe dit juridisch gezien af gaat lopen.
28-12-2012, 07:36 door Anoniem
Het veranderen van de link lijkt me geen probleem, het zonder toestemming openbaar maken van de informatie die er staat misschien wel. Maar dan had op zijn minst duidelijk moeten zijn dat er nog een embargo op zat.

Maar voornamelijk ook weer grove nalatigheid van de overheid, die hebben al vaker informatie op deze manier laten lekken en zouden ondertussen beter moeten weten.
28-12-2012, 08:44 door MrBil
Heren, hoe zit het dan met SQL Injection? Dan plaats je ook wat lettertjes en cijfertjes in de URL. Vervolgens krijg je de hele database te zien. Ben je dan ook strafbaar? Of ben je dan pas strafbaar als je het kopieert?
28-12-2012, 09:18 door Anoniem
@MrBil: Nee want er is namelijk een verschil tussen een nummer aanpassen en zo iets te zien krijgen of een database kapot maken. Zelfs geheime informatie inzien is niet direct strafbaar, als je de informatie met andere gaat delen of moedwillig kapot maken word het pas een strafbaar feit.

Het lijkt misschien allemaal heel krom, "ja had je maar beter moeten beveiligen".
Maar hier kom je juridisch gezien op een hellend vlak, want wie bepaald wat 'goede beveiliging' is, beveiliging kan altijd worden gebroken, dat is een feit. Zelfs als iets slecht beveiligt is geeft dit mensen niet het recht om hier misbruik van te maken. Want dan is het einde zoek!

Maar daar gaat het hier niet om, het Koningshuis en de overheid heeft een representatieve rol!
Als je beveiliging al op zo'n laag niveau laakt dan ben je gewoon een ordinaire prutser!! En zal een rechter die verstand heeft van IT bepalen dat iedereen dit had kunnen bedenken.
28-12-2012, 09:44 door Anoniem
"intentie" is hier volgens mij het sleutelwoord.
Anne Jan had de intentie om een vertrouwelijk document te bemachtigen en is daarom schuldig, niet voor de manier waarop hij dat bewerkstelligd heeft.
Als je, zoals in Hugo's voorbeeld, de beschikbaarheid van een vrije software-release aftoetst, manipuleer je een url met een heel andere intentie.
En dan heb je een rechter nodig, om te oordelen over de intentie
28-12-2012, 10:09 door [Account Verwijderd]
[Verwijderd]
28-12-2012, 10:11 door Frankie.XL
@MrBil

Data aan een bestaande URL veranderen (datum e.d.) is wat anders dan data toevoegen aan een URL.
Verschil lijkt me duidelijk toch?
28-12-2012, 10:16 door [Account Verwijderd]
[Verwijderd]
28-12-2012, 10:32 door [Account Verwijderd]
[Verwijderd]
28-12-2012, 10:34 door WK
URL fuzzing, wat je zelfs handmatig kan doen. Wat zelfs iedereen kan doen, zelfs zonder kennis. Ook op deze site is het mogelijk. Doet het schade aan de site? Maar maakt de persoon die dat doet strafbaar? Heeft hij een keer of 10 geprobeerd met de hand en haalde hij deze pagina zo naar voren? Of is hij alle mogelijkheden, dan wel met de hand dan wel via een script door lopen? Door met de datum en volgnummers te spelen.
Als het niet zichtbaar mag zijn moet het, op wat voor manier ook, niet zichtbaar worden. Ook al heb je een script-kiddy of een nieuwsgierige journalist.

RVD of de gene die verantwoordelijk is voor de het er op zetten van deze data zou eerder bestraft moeten worden.
Maar omdat de rechterlijke macht nog niet zo veel van computer technologie weet, en dus zo'n 30+ jaar achter loopt hier mee, zou het er wel naar leiden dat deze persoon bestraft gaat worden.

Gaan ze, RVD of de site beheerder/eigenaar, hier wat tegen doen dat het niet meer mogelijk is om deze data op te zoeken?
Wat ook gedaan moet worden is dat er meer door test-/security-bedrijven gekeken moet worden of de site veilig is, dan wel geen data naar buiten kan lekken. Niet een keer dat je een “goedkeur” merkt hebt maar regelmatig. Dit zou dat via blind dan wel via een beetje kennis van de site moeten gebeuren.
28-12-2012, 11:00 door [Account Verwijderd]
[Verwijderd]
28-12-2012, 11:58 door Anoniem
Hoe ging het in de Middeleeuwen.
Overgrootopa van Bea schrijft kersttoespraak. Moet naar de drukker,
wordt gedrukt, op tijd in de boekhandel klaargelegd op een stapeltje
op zijn kop, zonder verdere aankondiging erbij.
Iemand loopt langs in de boekhandel, kijkt zo eens af en toe in een
boek (zoals je doet in een boekhandel), kijkt per ongeluk in het op zijn
kop liggende boek, ziet aanstaande kersttoespraak, etc.
Kop eraf zoals dat toen ging?
28-12-2012, 12:08 door Anoniem
Door Spiff:
Uitstekende analyse, Hugo.
Dat Arnoud Engelfriet en Brenno de Winter een heel andere analyse neerzetten, dat kan ik maar slecht begrijpen.

Op zich niet zo raar denk ik. Beide heren zijn, naast uitermate ter zake kundig, ook mens. En mensen staan nu eenmaal graag in de belangstelling.

Ben het overigens met je andere opmerkingen meer dan eens.
28-12-2012, 12:59 door Anoniem
Fout, Anne Jan had niet de intentie om vertrouwelijke documenten te bemachtigen. Hij is internet marketeer en was naar zijn zeggen bezig te bekijken hoe de website van het koninklijk huis in elkaar zit. Daarbij stuitte hij bij toeval op de video. En als je weet wat het werk van een internet marketeer inhoudt, dan begrijp je dat zijn acties die leidde tot het achterhalen van de kersttoespraak volslagen logisch en niet kwaadaardig van zin waren.

Wat een vreemde redenering. Als je zijn blog leest zegt hij wat anders:

Toen ik de datum en video ID in de link zag was het vrij eenvoudig om de datum op 25 december 2012 te zetten en het ID te verhogen

Hij was dus zeer zeker wel bewust op zoek naar de link van de kersttoespraak. Die heeft hij gevonden. Heeft hij zich daarmee opzettelijk (ja) en wederrechtelijk (hoi, rechter) toegang verschaft? We zullen zien. In ieder geval lijkt er geen twijfel over het opzettelijke gedeelte. En het begrip 'technische ingreep' in 138ab Sr is vrij ruim.

Minder leuk voor Anne Jan, leuke juridische casus.
28-12-2012, 14:07 door [Account Verwijderd]
[Verwijderd]
28-12-2012, 16:51 door Anoniem
Me loves Hugo :)
28-12-2012, 20:04 door Anoniem
Om de hoek zit bakker Piet. Ik weet niet of bakker Piet een website heeft maar ik wil wel weten of bakker Piet morgen open is. Voor ik een zoekmachine gebruik probeer ik eerst maar eens of bakkerpiet.nl bestaat. Als dat het geval is, ben ik dan ook strafbaar omdat ik zelf een URL heb verzonnen?
28-12-2012, 20:05 door Anoniem
Hugo,

je gaat voorbij aan
1. de gebruiker deed het met opzet om te zoeken naar de nieuwe kersttoespraak en niet per ongeluk
2. jouw voorbeeld dat iemand een link aan een ander stuurt kent een analogie:
ik koop een fiets van een ander en die ander blijkt hem gestolen te hebben.
dat maakt de fiets niet minder gestolen.
en ondanks de gestolen fiets is, hoeft de koper niet altijd heling te plegen.
3. het binnendringen kent vele vormen. m.i. wordt door een aangepaste url info verkregen en valt dat eronder.
zo is het ook oplichting als je een (ver)vals(t)e waardebon inlevert of vervalst geld aanbiedt
of het nu een waardebon is die overduidelijk niet bestaat of een grootheid van bankbiljet (101 Euro) die niet bestaat
met een aangepaste url is het ook mogelijk de webserver in verwarring te brengen en zo aan info te komen
M.a.w. aanpassen kent vele vormen:
4. er is m.i. ook een gradatie in of je in een url een datum en nummer aanpast of een versienummer ophoogt

De rechter zal daarom moeten oordelen welke straf hij aan het strafbare feit hangt.
Of het strafbaar is een url aan te passen is al bepaald door de wetgever. (niet door een rechter)
De rechter bepaald alleen of het wettig en overtuigend is bewezen cq of de dader zich echt heeft schuldig gemaakt aan dat strafbare feit.
29-12-2012, 00:16 door Anoniem
Wat te denken van het invullen van een form wat gepost wordt? Dat kan ook een url opleveren. Zou ook strafbaar zijn.
29-12-2012, 03:58 door Anoniem
"Anne Jan had de intentie om een vertrouwelijk document te bemachtigen en is daarom schuldig, niet voor de manier waarop hij dat bewerkstelligd heeft."

Dus een MP4 video op een publieke website, toegankelijk voor de hele wereld, is een vertrouwelijk document ? Op basis waarvan bepaal jij die aanname ? Is het document vertrouwelijk tot het door Google is geindexeerd ofzo ?

De aanname dat een document dat op een webserver wordt geplaatst, met de intentie om het aan de wereld aan te bieden, zodat iedereen wereldwijd deze als stream kan bekijken, niet als vertrouwelijk geclassificeerd is lijkt mij niet meer dan redelijk.
29-12-2012, 13:05 door Anoniem
Me loves Hugo >:)
29-12-2012, 15:55 door Anoniem
Goede analyse Hugo. Ik ben bang dat rechters niet in staat zijn dit goed te beoordelen, net als zoveel andere technische maatregelen (ip blokkade, dns blokkade) die veel verdergaande gevolgen hebben (retentie, DPI) dan de beslissers kunnen voorzien. Laten we hopen op een nuchtere afloop.
29-12-2012, 17:17 door Anoniem
Stel dat deze kersttoespraak als een oud vod op de Kalverstraat had gelegen, een dag voor publicatie, een oud vertrapt frommelig stuk papier waarover duizenden mensen hebben gelopen en stel dat je als enige zo'n document wel opmerkt en je besluit het op te rapen, dan is dit land al zo diep gezonken dat de rechter zegt dat je er moeite voor hebt gedaan vertrouwelijke informatie op te rapen en dus strafbaar bent, vervolgens wordt het elke burger verboden dingen van de straat op te rapen en de rechter wordt daarin ondersteund door de visie van zgn. experts die ze nota bene zelf het etiket expert opgeplakt hebben...
29-12-2012, 19:02 door [Account Verwijderd]
[Verwijderd]
29-12-2012, 19:10 door [Account Verwijderd]
[Verwijderd]
30-12-2012, 10:42 door sjonniev
Zodra je iets aan de straat / publiekelijk toegankelijk op internet zet, mag elke verwachting tot vertrouwelijkheid overboord.
Om dan de eerste de beste die hier tegenaan botst aan te klagen vind ik erg zwak, en kan ik alleen maar zien als een poging de aandacht van het eigen falen af te leiden.
30-12-2012, 13:37 door Anoniem
Door Hugo:
Door Anoniem: Me loves Hugo :)
Door Anoniem: Me loves Hugo >:)

Dank je. Je bent toch wel een mooie sexy vrouw, he? ;)
Ja had je vast gewild! :)

Nee ik was in een blije bui, laten we het daar maar bij houden ;p

greets, penta...
03-01-2013, 11:48 door Anoniem
Ik vraag me af of hier sprake is van een strafbare handeling. Ik denk dat daar geen sprake van is. Artikel 138 ab stelt namelijk: "opzettelijk en wederrechtelijk BINNENDRINGT". Naar mijn bescheiden mening is hier geen sprake van binnendringen; de informatie stond namelijk onbeveiligd klaar om gedeeld te worden met de rest van de wereld (in mijn ogen is er ingeval dat alleen geen directe publieke link wordt aangeboden geen sprake van beveiliging). Dan kun je toch moeilijk met droge ogen beweren dat het ophogen van een volgnummer valt onder de handelingen "doorbreken van een beveiliging", "technische ingreep", "valse signalen of een valse sleutel" of het "aannemen van een valse hoedanigheid". Of zijn de heren Engelfriet en De Winter van mening dat het handmatig (of misschien geautomatiseerd) ophogen van volgnummers valt onder het aanbieden van "valse signalen"? Lijkt me ook een moeizame, want hoe vaak heeft de gemiddelde enigszins ingevoerde surfer niet geprobeerd om alsnog ene document terug te halen als de link die via de zoekmachine is gevonden niet meer blijkt te werken? Maar goed, het is uiteindelijk de rechter die bepaalt, vooropgesteld dat deze zaak voor de rechter zou komen (hetgeen ik betwijfel).

Ellen
03-01-2013, 12:27 door Anoniem
Ik vraag me af of hier sprake is van een strafbare handeling. Ik denk dat daar geen sprake van is. Artikel 138 ab stelt namelijk: "opzettelijk en wederrechtelijk BINNENDRINGT". Naar mijn bescheiden mening is hier geen sprake van binnendringen; de informatie stond namelijk onbeveiligd klaar om gedeeld te worden met de rest van de wereld (in mijn ogen is er ingeval dat alleen geen directe publieke link wordt aangeboden geen sprake van beveiliging). Dan kun je toch moeilijk met droge ogen beweren dat het ophogen van een volgnummer valt onder de handelingen "doorbreken van een beveiliging", "technische ingreep", "valse signalen of een valse sleutel" of het "aannemen van een valse hoedanigheid". Of zijn de heren Engelfriet en De Winter van mening dat het handmatig (of misschien geautomatiseerd) ophogen van volgnummers valt onder het aanbieden van "valse signalen"? Lijkt me ook een moeizame, want hoe vaak heeft de gemiddelde enigszins ingevoerde surfer niet geprobeerd om alsnog ene document terug te halen als de link die via de zoekmachine is gevonden niet meer blijkt te werken? Maar goed, het is uiteindelijk de rechter die bepaalt, vooropgesteld dat deze zaak voor de rechter zou komen (hetgeen ik betwijfel).

Ellen
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.