Vermeende Belgische hacker: Ik testte alleen de beveiliging
Een 28-jarige Belgische man die is aangeklaagd wegens het hacken van de website van de Royal Ypres Swimming Club zegt dat hij geen schade heeft aangericht en eist vrijspraak. Volgens het Belgische Openbaar Ministerie heeft de man begin 2014 bepaalde gegevens op de website veranderd.
Tegenover de rechter liet de man weten dat hij geen slechte bedoelingen had en helemaal geen gegevens heeft aangepast. Naar eigen zegge testte hij de beveiliging alleen uit interesse. De Belg heeft inmiddels een diploma informatica behaald waarmee hij als zelfstandig aan de slag kan gaan. "Waarom ik geen schadevergoeding heb betaald om een rechtszaak te vermijden? Ik heb helemaal geen schade aangebracht", aldus de man die vrijspraak eist. De rechter doet op 5 december uitspraak, zo meldt het Nieuwsblad.
Reacties (25)
Zijn diploma dekte blijkbaar niet dat je geen beveiliging mag testen uit interesse, maar dat je toestemming nodig hebt van de eigenaar?
Door Anoniem:toestemming nodig hebt van de eigenaar?
Dat ligt er maar net aan, wat je doet.Zelf doe ik regelmatig een poortscan van een adres, of van een reeks adressen.
Aan de hand van de uitkomsten ga ik "spelen", maar ik ga nooit naar binnen.
De eigenaar wordt in geval van open poorten op de hoogte gebracht.
11-11-2016, 11:46 door
[Account Verwijderd]
-
Bijgewerkt: 11-11-2016, 14:35
[Verwijderd]
Wanneer houdt de buitenkant op en wanneer start de binnenkant?
Persoonlijk vind ik alles wat je aan internet hangt is publiek domein...
Natuurlijk zijn er mensen die zo stom zijn om meer aan internet te hangen dan nodig/veilig is...
Is het dan mijn schuld? Nee.. maar dankzij CCW2 is dat wel zo.
Ik heb in 2016 (en het is nog niet afgelopen) contact gehad met 450 bedrijven via E-mail.
Van deze 450 bedrijven heb ik inmiddels 150 E-mail ontvangen met de vraag of ik blauwe pillen, zipbestanden en andere dingen wil hebben die duidelijk niet van hen af kwamen.
Wanneer het gemeengoed is dat klanten hun leveranciers mogen testen zal de kwaliteit drastisch verbeteren.
Bij de bakker mag ik immers ook in het brood prikken om te kijken of het vers is...
Persoonlijk vind ik alles wat je aan internet hangt is publiek domein...
Natuurlijk zijn er mensen die zo stom zijn om meer aan internet te hangen dan nodig/veilig is...
Is het dan mijn schuld? Nee.. maar dankzij CCW2 is dat wel zo.
Ik heb in 2016 (en het is nog niet afgelopen) contact gehad met 450 bedrijven via E-mail.
Van deze 450 bedrijven heb ik inmiddels 150 E-mail ontvangen met de vraag of ik blauwe pillen, zipbestanden en andere dingen wil hebben die duidelijk niet van hen af kwamen.
Wanneer het gemeengoed is dat klanten hun leveranciers mogen testen zal de kwaliteit drastisch verbeteren.
Bij de bakker mag ik immers ook in het brood prikken om te kijken of het vers is...
Ik ken verhalen van meerdere studenten, die moeilijkheden ondervonden, door buiten een goede setting beveiliging te gaan testen.
Met "cold reconnaissance third party" scannen en testen loop je niet zo veel risico. Je hebt de site noch de server immers zelf bezocht en als er al gerammeld is aan luiken en deuren, dan deed een derde partij dat.
Ga je zelf lawaai maken en de gescande met je acties in de weg zitten, dan loop je gevaar. Ook het tegen een site gebruiken van bijvoorbeeld scan-gegevens, waar degene die de scan faciliteert dit uitdrukkelijk verbiedt kan je op glad ijs brengen (nmap scan gegevens ook via derden, SSL scan gegevens enz.
Ik ken een geval dat degene die een poortscan deed op een Amerikaanse site in een zandbakje werd geplaatst met een kinderspelletje. Vooral Amerikaanse admins zijn soms rücksichtslos patsers wat dat aangaat.
Ook als op eigen naam en niet beschermd door een platform of binnen een bepaald kader loop je dat soort risico's.
Hoe vaak ontkent de eigenaar van de website liever de feiten of willen de sloppy beheerders dat hun directe chefs met hun mogelijke onkunde kan worden geconfronteerd. Daarom is daar een speciaal kader voor gemaakt.
Met "cold reconnaissance third party" scannen en testen loop je niet zo veel risico. Je hebt de site noch de server immers zelf bezocht en als er al gerammeld is aan luiken en deuren, dan deed een derde partij dat.
Ga je zelf lawaai maken en de gescande met je acties in de weg zitten, dan loop je gevaar. Ook het tegen een site gebruiken van bijvoorbeeld scan-gegevens, waar degene die de scan faciliteert dit uitdrukkelijk verbiedt kan je op glad ijs brengen (nmap scan gegevens ook via derden, SSL scan gegevens enz.
Ik ken een geval dat degene die een poortscan deed op een Amerikaanse site in een zandbakje werd geplaatst met een kinderspelletje. Vooral Amerikaanse admins zijn soms rücksichtslos patsers wat dat aangaat.
Ook als op eigen naam en niet beschermd door een platform of binnen een bepaald kader loop je dat soort risico's.
Hoe vaak ontkent de eigenaar van de website liever de feiten of willen de sloppy beheerders dat hun directe chefs met hun mogelijke onkunde kan worden geconfronteerd. Daarom is daar een speciaal kader voor gemaakt.
11-11-2016, 13:22 door
Ron625
Door Rinjani:Eigenlijk wil ik dat nog automatisering met een scriptje.
Daar gebruik ik nmap voor.Ik doe ook regelmatig een portscan van de IP adressen die proberen op mijn SSH-server in te loggen (en dat zijn er verrassend veel). Eigenlijk wil ik dat nog automatisering met een scriptje.
Export van fail2ban naar nmap...
actionban = nmap -sS -O <ip>|mail -s "[Fail2Ban]: nmap of <ip>" <dest>
AS
Maar in België hebben ze misschien niet zulke duidelijke afspraken over responsible disclosure als hier? Overigens kun je in Nederland ook nog altijd aangeklaagd worden, en die slag om de arm is ook wel weer begrijpelijk.
11-11-2016, 14:35 door
[Account Verwijderd]
-
Bijgewerkt: 11-11-2016, 14:37
[Verwijderd]
Door Anoniem: Maar in België hebben ze misschien niet zulke duidelijke afspraken over responsible disclosure als hier? Overigens kun je in Nederland ook nog altijd aangeklaagd worden, en die slag om de arm is ook wel weer begrijpelijk.
Neen, helaas nog geen wetgeving i.v.m. ethisch hacken, maar die gaat er wel aankomen.
Afwachten nog was de inhoud zal zijn...
Portscannen, connecteren op iemands WIFI netwerk, etc... zijn allemaal niet toegestaan, zelfs strafbaar, zonder toestemming van de eigenaar.
Wat veel mensen echter niet weten is dat je ook toestemming moet hebben van de onderliggende infrastructuurproviders.
Dit wil zeggen dat als jij toestemming hebt van bedrijf X om een pentest van hun website te doen, dat je ook toestemming moet hebben van bijvoorbeeld jouw internet provider, en de eventuele shared hoster waarop die website staat. Dit is uiteraard vrij logisch, maar toch...
11-11-2016, 18:02 door
Ron625
Door Anoniem:Portscannen, connecteren op iemands WIFI netwerk, etc... zijn allemaal niet toegestaan, zelfs strafbaar, zonder toestemming van de eigenaar.
Dat denk ik niet.Het staat mij vrij, om te controleren of de deur bij de buren op slot zit.
Ook staat het mij vrij om te kijken, of de auto van de buren op slot zit.
Binnengaan, of een deur openen is iets anders.........
@reageerders
Waarom zou je een portscan doen naar een site die jou probeert te benaderen via een normaal standaard internet protocol? Meestal zijn het zelf geinfecteerde dozen of Chineese IP adressen (wat niet wil zeggen dat het Chinezen zijn.
Ik heb nu 11 maanden een kippo honeypot draaien (inmiddels staat de teller op 672585 pogingen en
6108 unieke IP adressen) en sta ook connecties toe. Vervolgens kan je loggen welke technieken ze verder gebruiken om je doos te compromiteren en daar leer je wel wat van. Een portscan heb je eigenlijk nauwelijks iets aan en leer je niks van.
Waarom zou je een portscan doen naar een site die jou probeert te benaderen via een normaal standaard internet protocol? Meestal zijn het zelf geinfecteerde dozen of Chineese IP adressen (wat niet wil zeggen dat het Chinezen zijn.
Ik heb nu 11 maanden een kippo honeypot draaien (inmiddels staat de teller op 672585 pogingen en
6108 unieke IP adressen) en sta ook connecties toe. Vervolgens kan je loggen welke technieken ze verder gebruiken om je doos te compromiteren en daar leer je wel wat van. Een portscan heb je eigenlijk nauwelijks iets aan en leer je niks van.
11-11-2016, 18:39 door
karma4
Door Ron625: lDat denk ik niet.
Het staat mij vrij, om te controleren of de deur bij de buren op slot zit.
Ook staat het mij vrij om te kijken, of de auto van de buren op slot zit.
Binnengaan, of een deur openen is iets anders.........
Niet alles wat je zou kunnen doen is toegestaan je moet het bordje verboden voor onbevoegden art 461 toch wel kennen.Het staat mij vrij, om te controleren of de deur bij de buren op slot zit.
Ook staat het mij vrij om te kijken, of de auto van de buren op slot zit.
Binnengaan, of een deur openen is iets anders.........
Met computervredebreuk is er het zelfde als huisvredebreuk.
Ik dacht dat je zo'n voorvechter van privacy was. Het is verwoord als het recht met rust gelaten te worden. Een ieder die dat niet eerbiedigt is in overtreding en in principe strafbaar
11-11-2016, 19:25 door
Ron625
Door karma4:Ik dacht dat je zo'n voorvechter van privacy was.
Het is verwoord als het recht met rust gelaten te worden.
Een ieder die dat niet eerbiedigt is in overtreding en in principe strafbaar
Er is een verschil tussen de privacy die ik wil, en de Nederlands wet.Het is verwoord als het recht met rust gelaten te worden.
Een ieder die dat niet eerbiedigt is in overtreding en in principe strafbaar
11-11-2016, 19:33 door
karma4
Door Ron625:Er is een verschil tussen de privacy die ik wil, en de Nederlands wet.
Bedoel je dat jij het recht wenst om andermans privacy te schenden onder het mom dat het jouw privacy is en die ander eigenlijk niets voorstelt? (Ik chargeer om een helder standpunt te krijgen)e
11-11-2016, 20:20 door
Ron625
Door karma4:Bedoel je dat jij het recht wenst om andermans privacy te schenden
Nee, absoluut niet.Een voorbeeld:
Wanneer ik merk, dat de deur van de buren niet goed dicht is, dan meld ik dat bij deze buren.
Wanneer ik zie, dat de deur van de auto van de buren niet op slot is, dan meld ik dat bij deze buren.
Daarmee schend ik geen enkele privacy!
Zou ik een deur ook open maken, dan schend ik wel de privacy.
Door Anoniem: Wanneer houdt de buitenkant op en wanneer start de binnenkant?
Persoonlijk vind ik alles wat je aan internet hangt is publiek domein...
Het gaat niet om binnen of buitenkant. Het gaat er om of een computersysteem je eigendom is en of je anders toestemming van de eigenaar hebt om er gebruik van te maken.Persoonlijk vind ik alles wat je aan internet hangt is publiek domein...
Zowel in BE als NL is het bij wet verboden om een computersysteem binnen te geraken zonder vooraf toestemming van de eigenaar te hebben.
Of je toestemming hebt om gebruik van een interface te maken omdat die aan een publiek netwerk hangt? Het recht om een publieke ruimte te gebruiken is niet hetzelfde als het recht om alles wat in de publieke ruimte staat maar als publiek te beschouwen. Als andermans fiets in de publieke ruimte staat heb je bij wet geen toestemming om daar dan maar gebruik van te maken, een auto van een ander die niet op slot staat geeft je ook geen recht om daar maar in te gaan zitten of mee rond te rijden en bij een openstaande voordeur van een woning moet je het wettelijk al helemaal uit je hoofd halen om de woning dan maar te betreden omdat het kan. Ik zie het verschil met een computersysteem niet als de wet daar zelfs expliciet een uitspraak over doet over ongeoorloofd gebruik.
Natuurlijk zijn er mensen die zo stom zijn om meer aan internet te hangen dan nodig/veilig is...
Is het dan mijn schuld? Nee..
Stel je bent zo stom om de publieke ruimte te betreden met je mobiel in een open zak van je jas en iemand in de publieke ruimte maakt gebruik van de vrijheid van die publieke ruimte om jou mobiel te pakken om er eens in rond neuzen. Wie is er dan stom bezig? Jij of de persoon die je mobiel ongevraagd gebruikt?Is het dan mijn schuld? Nee..
Door Ron625:
Een voorbeeld:
Wanneer ik merk, dat de deur van de buren niet goed dicht is, dan meld ik dat bij deze buren.
Wanneer ik zie, dat de deur van de auto van de buren niet op slot is, dan meld ik dat bij deze buren.
Daarmee schend ik geen enkele privacy!
Zou ik een deur ook open maken, dan schend ik wel de privacy.
Door karma4:Bedoel je dat jij het recht wenst om andermans privacy te schenden
Nee, absoluut niet.Een voorbeeld:
Wanneer ik merk, dat de deur van de buren niet goed dicht is, dan meld ik dat bij deze buren.
Wanneer ik zie, dat de deur van de auto van de buren niet op slot is, dan meld ik dat bij deze buren.
Daarmee schend ik geen enkele privacy!
Zou ik een deur ook open maken, dan schend ik wel de privacy.
Dat is niet waar. Wanneer de buren ervoor, zonder dat met jou te overleggen, kiezen om de deur open te laten staan en jij meld dat, schend je hun privacy (je maakt dan namelijk inbreuk op de persoonlijke levenssfeer van de buren.
Dat de beveiliging van een deur niet goed is wat anders.
In het nieuws is blijkbaar geen plaats voor diepgang. Aanklager zegt a, verdachte zegt b en dat is dan nieuws. In het recht gaat het om bewijs, in het nieuws om het oppervlakkige. Makkelijk geld verdienen als verslaggevers.
12-11-2016, 09:44 door
karma4
Door Ron625:
Een voorbeeld:
Wanneer ik merk, dat de deur van de buren niet goed dicht is, dan meld ik dat bij deze buren.
Wanneer ik zie, dat de deur van de auto van de buren niet op slot is, dan meld ik dat bij deze buren.
Daarmee schend ik geen enkele privacy!
Zou ik een deur ook open maken, dan schend ik wel de privacy.
Kijk die wordt genuanceerder. Ik zou ook nog de situatie in ongenschouw nemen.Door karma4:Bedoel je dat jij het recht wenst om andermans privacy te schenden
Nee, absoluut niet.Een voorbeeld:
Wanneer ik merk, dat de deur van de buren niet goed dicht is, dan meld ik dat bij deze buren.
Wanneer ik zie, dat de deur van de auto van de buren niet op slot is, dan meld ik dat bij deze buren.
Daarmee schend ik geen enkele privacy!
Zou ik een deur ook open maken, dan schend ik wel de privacy.
- Hebben ze een familiefeest waarbij alles even rondloopt, dan zou ik niet naar toe gaan. Enkel nog kijken of er geen ongenode gasten tussen zitten (voor zover mogelijk).
- Zijn ze kwetsbaar en is er iets aan de hand, dan wordt het even kijken of er hulp nodig is.
- Zo er tussendoor kan er even over koetjes en kalfjes gepraat worden waarbij buurtpreventie ed aan de orde kan komen.
Niet opdringen en waar gewenst elkaar helpen.
12-11-2016, 11:54 door
[Account Verwijderd]
[Verwijderd]
Door Rinjani:
Een externe partij heeft niets te zoeken op mijn computer waarop een SSH daemon draait. Een poging om via SSH toegang tot mijn computer te krijgen interpreteer ik derhalve als vijandig.
Door Anoniem: @reageerders
Waarom zou je een portscan doen naar een site die jou probeert te benaderen via een normaal standaard internet protocol? Meestal zijn het zelf geinfecteerde dozen of Chineese IP adressen (wat niet wil zeggen dat het Chinezen zijn.
Waarom zou je een portscan doen naar een site die jou probeert te benaderen via een normaal standaard internet protocol? Meestal zijn het zelf geinfecteerde dozen of Chineese IP adressen (wat niet wil zeggen dat het Chinezen zijn.
Een externe partij heeft niets te zoeken op mijn computer waarop een SSH daemon draait. Een poging om via SSH toegang tot mijn computer te krijgen interpreteer ik derhalve als vijandig.
Dan moet je je firewall beter africhten, met jouw SSH server bereikbaar voor iedereen is dat feitelijk een uitnodiging om te connecten. Ik klaag er ook niet over dat mensen proberen te connecten op mijn VPN tunnel, ik zorg er gewoon voor dat mijn VPN veilig genoeg afgericht is.
Tip: Laat alleen SSH verkeer toe vanaf een bepaalde IP reeks en met een key geeft het je een hoop rust.
Of een poortscan strafbaar is, is onzeker. Daarom kan je het misschien beter toch maar niet doen.
Maar binnendringen in computerapparatuur is computervredebreuk.
Ook als de computer heel slecht was beveiligd.
Dus als je stilzwijgend een "honeypot" op je systeem zet, en iemand komt daar "snoepen"
dan is dat computervredebreuk in Nederland.
https://www.security.nl/posting/31063/Juridische+vraag%3A+De+buurjongen+hackt+mijn+pc
Maar binnendringen in computerapparatuur is computervredebreuk.
Ook als de computer heel slecht was beveiligd.
Dus als je stilzwijgend een "honeypot" op je systeem zet, en iemand komt daar "snoepen"
dan is dat computervredebreuk in Nederland.
https://www.security.nl/posting/31063/Juridische+vraag%3A+De+buurjongen+hackt+mijn+pc
Door Ron625:
Het staat mij vrij, om te controleren of de deur bij de buren op slot zit.
Ook staat het mij vrij om te kijken, of de auto van de buren op slot zit.
Binnengaan, of een deur openen is iets anders.........
Door Anoniem:Portscannen, connecteren op iemands WIFI netwerk, etc... zijn allemaal niet toegestaan, zelfs strafbaar, zonder toestemming van de eigenaar.
Dat denk ik niet.Het staat mij vrij, om te controleren of de deur bij de buren op slot zit.
Ook staat het mij vrij om te kijken, of de auto van de buren op slot zit.
Binnengaan, of een deur openen is iets anders.........
Neen! Volgens mij heeft een ieder met z'n poten van een andermans spullen af te blijven. Bovendien als je dan toch zonodig wil checken of iemand zijn auto op slot heeft gedaan riskeer je een mokerslag in je nek. (dus ik raad het je af ;-)
Door Anoniem: Zijn diploma dekte blijkbaar niet dat je geen beveiliging mag testen uit interesse, maar dat je toestemming nodig hebt van de eigenaar?
Uhhh.. ik geloof dat iedereen die een computer aansluit op het internet automatisch toestemming geeft dat er verkeer op zijn poorten voorbij komt. Dat daar verkeer tussen zit wat iemand niet aanstaat...dat is goed mogelijk, maar dan moet je niet op internet gaan zitten. Bovendien als je je zaakjes op orde hebt dan heb je ook niets te vrezen. Verder ben ik ook van mening dat als iets technisch mogelijk is, dat het ook niet gelijk maar ingevoerd moet worden dus daar zie ik wel een dilemma (zoals onze overheid doet). Dus eigenlijk meet ik dan met 2 maten. Echter ik denk dat je als website eigenaar gewoon dit soort dingen kan verwachten van tijd tot tijd.Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.