image

iPad-hacker in beroep tegen lange gevangenisstraf

dinsdag 2 juli 2013, 15:47 door Redactie, 9 reacties

Een beveiligingsonderzoeker die in de Verenigde Staten tot een gevangenisstraf van 41 maanden werd veroordeeld wegens het aantonen van een beveiligingslek bij telecomprovider AT&T, gaat in beroep tegen zijn veroordeling en celstraf. Andrew Auernheimer, bekend onder het alias Weev, is één van de oprichters van Goatse Security.

De groep ontdekte een lek op de website van AT&T. Het e-mailadres van AT&T-klanten werd automatisch ingevuld als die vanaf hun iPad de pagina bezochten. De tablet was voorzien van een unieke code die in de URL verscheen als de AT&T site werd geladen.

Auernheimer schreef samen met Daniel Spitler een script dat zich tegenover de servers van AT&T als iPad voordeed en zo de gegevens van 114.000 iPad-eigenaren verzamelde, waaronder militaire en overheidsfunctionarissen, topbestuurders en tal van bekendheden.

Voorbeeld
Volgens de procureur-generaal wist Auernheimer dat hij de wet overtrad toen hij samen met Spitler het probleem misbruikte en de persoonsgegevens buitmaakte. Een deel daarvan werd vervolgens naar een journalist van Gawker doorgestuurd. "De overheid wilde een voorbeeld van Auernheim maken", stelt Hanni Fakhoury, advocaat van de Electronic Frontier Foundation (EFF).

De Amerikaanse digitale burgerrechtenbeweging heeft samen met verschillende juridische experts beroep tegen het vonnis aangetekend. "De enige boodschap die dit de gemeenschap van beveiligingsonderzoekers stuurt is dat als je een beveiligingslek vindt, je achter de tralies kunt belanden als je alarm slaat", stelt Fakhoury.

Ze krijgt bijval van rechtenprofessor Orin Kerr. "Deze zaak gaat over de vrijheid om op het internet te surfen. Het congres had nooit de bedoeling om het bezoeken van een openbare website strafbaar te stellen."

Reacties (9)
02-07-2013, 19:09 door steve sh1t

"De enige boodschap die dit de gemeenschap van beveiligingsonderzoekers stuurt is dat als je een beveiligingslek vindt, je achter de tralies kunt belanden als je alarm slaat"

Als je bij een huis gaat testen of het een beveiligingslek heeft, kun je ook gepakt worden voor inbraak.

En waarom direct naar de pers stappen? Hij had toch ook achter de schermen een akkoordje met AT&T kunnen maken, dan had hij er waarschijnlijk nog wat centjes aan verdiend.


Deze zaak gaat over de vrijheid om op het internet te surfen. Het congres had nooit de bedoeling om het bezoeken van een openbare website strafbaar te stellen."

Het buit maken van 140.000 persoons gegevens kun je geen "surfen" noemen, maar dat is stelen.

(aub: wie een minnetje geeft moet het ook onderbouwen)
03-07-2013, 08:44 door Anoniem
Tegenwoordig krijg je subsidies als een inbraakwerende voorzieningen treft aan je huis. Als het blijkt dat er in jouw huis zomaar kan ingebroken worden heb je ook problemen met de verzekering.
Ik vind dat hier hetzelfde gebeurt. Ook vind ik wel dat hij geen data van 114.000 eigenaren moest verzamelen om een punt te maken.
Maar denk dat AT&T ook wel in de fout gaat met het slecht beveiligen van hun database. Dus gaat het hier voor mij ook om een voorbeeld stellen.
03-07-2013, 09:10 door Acumen
Door steve sh*t:
(aub: wie een minnetje geeft moet het ook onderbouwen)
Eens en it wasn't me ;-)

En kijkend naar het artikel en de reactie van Steve, gaan er twee dingen door m'n hoofd.
Als de voordeur open staat en je loopt naar binnen, dan is het naar mijn weten feitelijk geen inbreken.
De vraag is vervolgens of het stelen is, als ik een kopie maak van de aanwezige spullen/informatie.
Je zou feitelijk kunnen stellen dat het publiekelijk toegankelijke informatie is/was, daar de deur open stond.

Ethisch gezien is het een andere discussie.
03-07-2013, 09:35 door Anoniem
Door Acumen:
En kijkend naar het artikel en de reactie van Steve, gaan er twee dingen door m'n hoofd.
Als de voordeur open staat en je loopt naar binnen, dan is het naar mijn weten feitelijk geen inbreken.
De vraag is vervolgens of het stelen is, als ik een kopie maak van de aanwezige spullen/informatie.
Je zou feitelijk kunnen stellen dat het publiekelijk toegankelijke informatie is/was, daar de deur open stond.

Ethisch gezien is het een andere discussie.

Aangezien ze een script gebruikten om de servers van AT&T te misleiden, is dit iets wat lijkt op het gebruik van een digitale loper. Ze hebben dus bewust systemen misleid. Het aantal van 140.000 is ook buitensporig, het probleem had ook kunnen worden aangetoond met toegang tot gegevens van 10 personen.

Ja, het is goed dat je onderzoekt wat een lek lijkt, maar wanneer je bewijs hebt dat het klopt, moet je stoppen en het melden aan de andere partij. Doet die er niets mee, dan kun je eventueel publiek gaan met de ontdekking. Een andere optie kan zijn, om dit bij bevoegde instanties te melden, wanneer het lek i.c.m. het niet oplossen in strijd is met wetgeving.
03-07-2013, 09:52 door Anoniem
Het kopieren van gegevens is in dit geval hetzelfde als het leggen van het telefoonboek op een fotocopier. De informatie was blijkbaar per ongeluk toegankelijk gemaakt en er was geen beveiliging die doorbroken werd. Het was dus domweg de AT&T die zijn zaakjes niet op orde had en de software bood de mogelijkheid om elke "unieke code" na te bootsen en informatie op te vragen. Zonder verder enige controle op de identiteit van de aanvrager van de informatie. De unieke code was blijkbaar geen krachtig wachtwoord in de vorm van een lange hash want dan was een simpel scriptje absoluut onvoldoende geweest om zo succesvol te zijn.

Het aantonen van deze fout in de software had misschien subtieler gekunt maar de laksheid van managers in dergelijke grote organisaties is bekend. Men heeft overal lak aan totdat men er echt niet meer onderuit kan. Het was simpelweg een architectuurfout in de software om dergelijke gegevens op basis van een eenvoudig te raden code beschibaar te maken.

Er zijn zelfs in Amerika wetten die bepalen dat bedrijven gegevens veilig dienen te houden. En een organisatie ter grote van AT&T beschikte in potentie ongetwijfeld over de middelen om de code te laten beoordelen en heeft deze moeite blijkbaar niet genomen of het is niet goed uitgevoerd. Zou men misschien intern gelogen hebben over de kwaliteitscontrole op deze software of men was gewoon incompetent?

Het blijft een absurditeit dat het aantonen van een dergelijk architectuurfout op een harde manier resulteert in een langjarige gevangenisstraf. Het signaal wat de overheid hiermee afgeeft is dat het grote bedrijven indekt als deze de fout in gaan en iemand dat laat zien. Het geeft ook aan dat het betreffende overheidsorgaan nog veel moet leren over de wijze waarop het om moet gaan met digitale kwesties.

Een duidelijk gebrek aan kwaliteitscontrole op de gebruikte of in dit geval ontbrekende afdoende beveiliging wordt via het old boys network weer eens onder het tapijt geveegt. Fijn als men zo omgaat met het ontwikkelen van carrier grade software tegenwoordig. dat belooft wat voor de stabiliteit van de software als systemen om hulpdiensten te bellen met een dergelijke kwaliteit software geladen worden.

Iedereen maar zeiken over dat het veiliger moet en dat we een beter kwaliteit code moeten bouwen zonder beveiligingsfouten. Maar de eerste die aantoont dat het fout gaat mag de bak in. Contradictio in terminis of beter gezegd in dit geval. De overheid zegt A maar handelt naar B.

Zolang de (US) overheid niet inziet dat haar handelen rechtstreeks indruist tegen haar eigen belang om de grote organisaties informatiebeveiliging beter te laten uitvoeren zal er niks veranderen. Wie de managers van dergelijke organisaties niet dwingt om informatiebeveilging serieus te nemen zal nooit iets bereiken. Zij bepalen wat er gebeurd en of er tijd wordt genomen om zaken goed te beveiligen. Niemand anders...

My two cents...
03-07-2013, 09:58 door Anoniem
140.000 is wel erg veel.
1.000 was ook voldoende geweest om het probleem kenbaar te maken.

maar dan hadden ze waarschijnlijk ook 40 maanden straf geeist.

De route via de journalist is niet erg handig.
03-07-2013, 10:46 door Anoniem
Ik vind het sowieso moeilijk om deze man voor wat dan ook te supporten omdat ik zijn motieven niet vertrouw. Deze man beweert te strijden voor privacy maar gebruikt mensen hun persoonlijke gegevens om hun leven kapot te maken.

Sherrod DeGrippo:
"Over a candlelit dinner of tuna sashimi, Weev asked if I would attribute his comments to Memphis Two, the handle he used to troll Kathy Sierra, a blogger. Inspired by her touchy response to online commenters, Weev said he “dropped docs” on Sierra, posting a fabricated narrative of her career alongside her real Social Security number and address. This was part of a larger trolling campaign against Sierra, one that culminated in death threats. Weev says he has access to hundreds of thousands of Social Security numbers. About a month later, he sent me mine."

Andrew heeft zich later ook bekend gemaakt als degene die dit gedaan heeft.
Dit is de wereld waarin hij leeft http://www.nytimes.com/2008/08/03/magazine/03trolls-t.html?pagewanted=all&_r=0
Hij doet het niet voor "de goede zaak". Dat is voor hem een middel.
03-07-2013, 12:06 door R4nkR4g3
Contradictio in terminis of beter gezegd in dit geval. De overheid zegt A maar handelt naar B.

What else is new?

1.000 was ook voldoende geweest om het probleem kenbaar te maken.

Hij had ook zijn bevindingen kunnen delen zonder gegevens te verzamelen
03-07-2013, 21:11 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.