OM eist werkstraf tegen Hagenaar die website hackte
Het Openbaar Ministerie heeft een werkstraf van 120 uur geëist, waarvan 60 voorwaardelijk, tegen een Hagenaar die wordt verdacht van het hacken van een website voor familiegeschiedenis en het downloaden van de gegevens van tienduizenden gebruikers. Dit zou eind 2015 hebben plaatsgevonden.
"Met een script produceerde de verdachte een lange reeks getallen, die hij steeds invoerde als mogelijke ID voor de website. Bij ID's die daadwerkelijk bestonden, kreeg hij toegang tot de gegevens van de gebruiker. Die sloeg hij vervolgens op", aldus het OM. De verdachte stelde dat hij alleen de veiligheid van de website wilde testen en hij aan 'responsible disclosure' had gedaan.
Bij responsible disclosure waarschuwt een hacker of onderzoeker een bedrijf of organisatie voor kwetsbaarheden in hun websites of diensten. Volgens het Openbaar Ministerie is daar in dit geval geen sprake van. Zo hanteerde de website in kwestie geen responsible disclosure-beleid. Verder is het beveiligingslek niet aan de website gemeld, maar aan andere organisaties, waaronder een nieuwswebsite.
Daarnaast bleek de verdachte volgens het OM een concurrent van de gehackte website te zijn. "Het is dus goed denkbaar dat hij minder nobele motieven had dan hij wil voorwenden. Niet dat ik uitsluit dat hij daadwerkelijk vond dat sprake was van een misstand die beëindigd moest worden, maar ook dan heeft hij de verkeerde keuzes gemaakt", zo liet de officier van justitie aan de rechter weten. Het Openbaar Ministerie eiste tegen de verdachte een werkstraf van 120 uur, waarvan 60 voorwaardelijk, met een proeftijd van 2 jaar.
Je kan wel proberen er een leuk verhaaltje omheen te schrijven maar je blijft altijd steken in "de boeman deed een boeman ding. stoute boeman!" en daar ga je de oorlog niet mee winnen.
Je kan wel proberen er een leuk verhaaltje omheen te schrijven maar je blijft altijd steken in "de boeman deed een boeman ding. stoute boeman!" en daar ga je de oorlog niet mee winnen.
Misschien heb je nog niet zoveel ervaring in het vakgebied, maar dit is duidelijk een gevalletje van "Insecure Direct Object References" als je de uitleg van het Openbaar Ministerie ziet.
"Insecure Direct Object References occur when an application provides direct access to objects based on user-supplied input. As a result of this vulnerability attackers can bypass authorization and access resources in the system directly, for example database records or files."
Je kan wel proberen er een leuk verhaaltje omheen te schrijven maar je blijft altijd steken in "de boeman deed een boeman ding. stoute boeman!" en daar ga je de oorlog niet mee winnen.
Misschien heb je nog niet zoveel ervaring in het vakgebied, maar dit is duidelijk een gevalletje van "Insecure Direct Object References" als je de uitleg van het Openbaar Ministerie ziet.
"Insecure Direct Object References occur when an application provides direct access to objects based on user-supplied input. As a result of this vulnerability attackers can bypass authorization and access resources in the system directly, for example database records or files."
En ook het feit dat je veel meer ophaalt EN opslaat dan nodig is om de kwetsbaarheid aan te tonen, is een no-no. Dat hebben anderen ook al ondervonden.
Het melden bij een nieuwssite is ook niet wat ik responsible disclosure zou noemen.
Peter
Is dat dan hacken? Ik vind t meer een gevalletje creatief surfen. Het zou zomaar kunnen dat die urls dan zelfs in de google cache staan, of in thewaybackmachine...
Je kan wel proberen er een leuk verhaaltje omheen te schrijven maar je blijft altijd steken in "de boeman deed een boeman ding. stoute boeman!" en daar ga je de oorlog niet mee winnen.
Misschien heb je nog niet zoveel ervaring in het vakgebied, maar dit is duidelijk een gevalletje van "Insecure Direct Object References" als je de uitleg van het Openbaar Ministerie ziet.
"Insecure Direct Object References occur when an application provides direct access to objects based on user-supplied input. As a result of this vulnerability attackers can bypass authorization and access resources in the system directly, for example database records or files."
Is dat dan hacken? Ik vind t meer een gevalletje creatief surfen. Het zou zomaar kunnen dat die urls dan zelfs in de google cache staan, of in thewaybackmachine...
- Htttp is stateless (sheet 8) je krijgt de onveiligheid vanaf die basis mee.
- Session management moet er aan geplakt worden, dat krijg je in een shared aanpak (browsers) nooit echt veilig .
- http authenticatie in de basis al zwak (sheet 9)
- IDOR sheet 16 -> validate inut, verify authorization …. 18 broken session management
19 Add missing authorization (het moet dicht by default, dat is wat anders dan het werkt toch.)
sheet 20
- Security on the client side doesn’t work (and cannot)
- Don’t trust your client
- Do all security-related checks on the server
sheet 21 etcc ….. Sheet 24 php hoe je het moet gebruiken. Advies voor de studenten bij CERN (de afgestudeerde Universiteits guru's die daar werken) http://information-technology.web.cern.ch/about/computer-centre/computing-history Deze basis zou voor elke ICT security Wannabee tussen de oren moeten zitten
Voor de eenvoudige familiegeschiedenis mogelijk te lastig om een goede technische invulling neer te zetten.
Blijft het nog steeds niet goed dat onderlinge concurrentie met computervredebreuk wordt uitgevochten.
Is dat dan hacken? Ik vind t meer een gevalletje creatief surfen. Het zou zomaar kunnen dat die urls dan zelfs in de google cache staan, of in thewaybackmachine...
Ik dacht dat de definitie voor zover die bestaat van hacken is dat je iets gebruikt op een andere manier dan de maker het bedoeld heeft. Dat kan dus mechanisch zijn maar ook sociaal of digitaal.
Dit valt dan onder hacken.
Of rubber hose decryption (iemand verrot slaan tot hij jou het wachtwoord of de key geeft) ook onder hacken valt betwijfel ik wel.
Is dat dan hacken? Ik vind t meer een gevalletje creatief surfen. Het zou zomaar kunnen dat die urls dan zelfs in de google cache staan, of in thewaybackmachine...
Een gewone huissleutel heeft doorgaans 5 inkepingen die iets van 5 dieptes kunnen aannemen. Dat geeft dan 5^5 is ruim 3000 combinaties. (De gleuven aan de zijkant doen niets bij een regulier slot. Die sleuven kun je omzeilen met een smalle sleutel).
Als je een bos van 3000 sleutels probeert (of een sleutel gebruikt die zelf al deze posities probeert), noemt de politie dat ook niet "creatief deur open doen", maar gewoon inbreken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.