NTB - digi Skrevet 19. juni 2019 Del Skrevet 19. juni 2019 Dropper anmeldelse av 13-åring hacker Lenke til kommentar
0laf Skrevet 19. juni 2019 Del Skrevet 19. juni 2019 Så bra, at man ikke lengre straffer grov datakriminalitet er en god nyhet for oss alle, inkludert kinesiske hackere og andre. "Skoleeleven tok seg deretter inn i datasystemet for å avsløre svikten" - TU Vel nei, det han gjorde var å laste ned brukernavn og passord til 35000 ansatte i Bergen kommune, deretter utgi seg for å være en rektor ved å sende ut mail til andre. Når datautstyret hans ble inndratt, slapp han løs et script han hadde lastet ned, med en orm som infiserte 8000 maskiner i kommunens nettverk. Det er bare å bøye seg i hatten, selve "hackingen", om man kan kalle det, er ikke særlig imponerende, han ble tatt begge gangene, men å slippe påtale og bli premiert med penger og jobbtilbud for ulovlighetene, er intet annet enn imponerende medie-arbeid av hans foreldre. 2 Lenke til kommentar
MsSupporter Skrevet 19. juni 2019 Del Skrevet 19. juni 2019 Så bra, at man ikke lengre straffer grov datakriminalitet er en god nyhet for oss alle, inkludert kinesiske hackere og andre. "Skoleeleven tok seg deretter inn i datasystemet for å avsløre svikten" - TU Vel nei, det han gjorde var å laste ned brukernavn og passord til 35000 ansatte i Bergen kommune, deretter utgi seg for å være en rektor ved å sende ut mail til andre. Når datautstyret hans ble inndratt, slapp han løs et script han hadde lastet ned, med en orm som infiserte 8000 maskiner i kommunens nettverk. Det er bare å bøye seg i hatten, selve "hackingen", om man kan kalle det, er ikke særlig imponerende, han ble tatt begge gangene, men å slippe påtale og bli premiert med penger og jobbtilbud for ulovlighetene, er intet annet enn imponerende medie-arbeid av hans foreldre. Men burde ikke skolen hatt et sikkert system i utgangspunktet? Ikke et system som er så svakt at en 13-åring klarer å bryte seg inn i det? Tenk da på hva alle andre med mer resurser enn en 13-åring kan gjøre? 1 Lenke til kommentar
hekomo Skrevet 19. juni 2019 Del Skrevet 19. juni 2019 Men burde ikke skolen hatt et sikkert system i utgangspunktet? Ikke et system som er så svakt at en 13-åring klarer å bryte seg inn i det? Tenk da på hva alle andre med mer resurser enn en 13-åring kan gjøre? Det er sant, men det rettferdiggjør ikke det gutten gjorde. Lenke til kommentar
Gjest Slettet-Pqy3rC Skrevet 19. juni 2019 Del Skrevet 19. juni 2019 Ga ikke ungen beskjed til kommunen om muligheten for utnyttelse av dette et par ganger før han sendte epost'ene ? Lenke til kommentar
Populært innlegg MrFanzyPantz Skrevet 19. juni 2019 Populært innlegg Del Skrevet 19. juni 2019 Ga ikke ungen beskjed til kommunen om muligheten for utnyttelse av dette et par ganger før han sendte epost'ene ? Ga ikke ungen beskjed til kommunen om muligheten for utnyttelse av dette et par ganger før han sendte epost'ene ? Han fant filene og informerte kommunen våren 2018. Sendte ut en epost fra Rektor i August. Så de hadde vel kanskje 90-dager som er standard for eksempel Google Project Zero før de avslører svakheter i programvare som ikke blir oppdatert. Ormen gutten spredde etterpå var ett script som skulle telle antall ip adresser. Jeg ser ikke helt problemet. Annet enn at kommunens kunder nå er kjent med at sikkerheten må bli bedre. Synes dette var godt innenfor for en 13 åring. 10 Lenke til kommentar
0laf Skrevet 19. juni 2019 Del Skrevet 19. juni 2019 (endret) Ga ikke ungen beskjed til kommunen om muligheten for utnyttelse av dette et par ganger før han sendte epost'ene ? Han ga beskjed til skolen, men det blir ikke mer lovlig å laste ned alle dataene han har funnet for så å misbruke de, av den grunn. I utgangspunktet er det ulovlig å skaffe seg tilgang til data man må forstå at man ikke burde hatt tilgang til, uansett hvor dårlig sikkerheten er, det er liksom ikke noe unnskyldning. Dersom naboen ikke låser døren, å jeg gir beskjed at de bør låse dørene sine, gir det meg rett til å gå inn å hente alle eiendelene deres fordi de fremdeles ikke låser dørene? I min verden er det fortsatt tyveri. Så de hadde vel kanskje 90-dager som er standard for eksempel Google Project Zero før de avslører svakheter i programvare som ikke blir oppdatert. 90 dager er vanlig tid å gi for at den berørte skal kunne fikse problemet før det gjøres kjent. Dersom man etter 90 dager stjeler data fra Google, basert på sikkerhetshull man har informert om som ikke er tettet, så vil man fremdeles bli straffeforfulgt, det gir ingen rett til å stjele at man har opplyst om potensielle sikkerhetsproblemer. Endret 19. juni 2019 av 0laf Lenke til kommentar
EremittPåTur Skrevet 19. juni 2019 Del Skrevet 19. juni 2019 Så bra, at man ikke lengre straffer grov datakriminalitet er en god nyhet for oss alle, inkludert kinesiske hackere og andre. "Skoleeleven tok seg deretter inn i datasystemet for å avsløre svikten" - TU Vel nei, det han gjorde var å laste ned brukernavn og passord til 35000 ansatte i Bergen kommune, deretter utgi seg for å være en rektor ved å sende ut mail til andre. Når datautstyret hans ble inndratt, slapp han løs et script han hadde lastet ned, med en orm som infiserte 8000 maskiner i kommunens nettverk. Det er bare å bøye seg i hatten, selve "hackingen", om man kan kalle det, er ikke særlig imponerende, han ble tatt begge gangene, men å slippe påtale og bli premiert med penger og jobbtilbud for ulovlighetene, er intet annet enn imponerende medie-arbeid av hans foreldre. Jeg er nå mer imponert over alle godt voksne og skolerte IT folk som har passert alder for når man forventer at man tenker ordentlig igjennom konsekvenser for hva man gjør og som fortsatt ustraffet går rundt etter å ha gjort brukerdata og passord tilgjengelig for kreti og pleti. Nei da er det bedre å straffe en 13-åring og kjenne på god-følelsen det er å tråkke ned på slikt uønsket utøy i samfunnet,.. 5 Lenke til kommentar
0laf Skrevet 19. juni 2019 Del Skrevet 19. juni 2019 Nei da er det bedre å straffe en 13-åring og kjenne på god-følelsen det er å tråkke ned på slikt uønsket utøy i samfunnet,.. Vedkommende er under 15 år, og kan ikke straffes i det norske rettsvesenet, så det er vel neppe noen reell bekymring. Når man derimot trekker tilbake anmeldelsen, så gir man et signal om at det var helt okey å laste ned mengder med data ulovlig, for så å misbruke de dataene, og deretter infisere alle kommunens maskiner med en orm. Det har jo vært slik i alle år at ungdom kanskje ikke tenker igjennom alle konsekvenser, men stjeler man en bil eller raner kiosken på hjørnet, så vil man bli anmeldt og fulgt opp, selv om personer under 15 år ikke dømmes til straff, og personer mellom 15 og 18 år gis visse unntak. Lenke til kommentar
Spetsnaz Skrevet 19. juni 2019 Del Skrevet 19. juni 2019 Vedkommende er under 15 år, og kan ikke straffes i det norske rettsvesenet, så det er vel neppe noen reell bekymring. Når man derimot trekker tilbake anmeldelsen, så gir man et signal om at det var helt okey å laste ned mengder med data ulovlig, for så å misbruke de dataene, og deretter infisere alle kommunens maskiner med en orm. Det har jo vært slik i alle år at ungdom kanskje ikke tenker igjennom alle konsekvenser, men stjeler man en bil eller raner kiosken på hjørnet, så vil man bli anmeldt og fulgt opp, selv om personer under 15 år ikke dømmes til straff, og personer mellom 15 og 18 år gis visse unntak. Hei, hvis du har dine barn på skole kan du takke slike for at sikkerheten er bedre enn den hadde vært. Slik har det alltid vært, slik skal det alltid være. 1 Lenke til kommentar
Spoki0 Skrevet 20. juni 2019 Del Skrevet 20. juni 2019 Han ga beskjed til skolen, men det blir ikke mer lovlig å laste ned alle dataene han har funnet for så å misbruke de, av den grunn. I utgangspunktet er det ulovlig å skaffe seg tilgang til data man må forstå at man ikke burde hatt tilgang til, uansett hvor dårlig sikkerheten er, det er liksom ikke noe unnskyldning. Dersom naboen ikke låser døren, å jeg gir beskjed at de bør låse dørene sine, gir det meg rett til å gå inn å hente alle eiendelene deres fordi de fremdeles ikke låser dørene? I min verden er det fortsatt tyveri. Nuvel, nå er det vel faktisk presedens at det ikke er ulovlig å ta seg inn i usikre datasystemer. På samme måte er du ikke kriminell bare fordi du går inn i ett ukjent hus der hvor døren står åpen. Det er fremdeles ulovlig å ødelegge systemene eller å stjele noe fra huset, men når det kommer til datasystemer er det faktisk kriminelt å ikke sikre data i utgangspunktet. Lenke til kommentar
l0mf0mgl0mbl0og Skrevet 20. juni 2019 Del Skrevet 20. juni 2019 Nuvel, nå er det vel faktisk presedens at det ikke er ulovlig å ta seg inn i usikre datasystemer. På samme måte er du ikke kriminell bare fordi du går inn i ett ukjent hus der hvor døren står åpen. Jo det er jo trespassing! Lenke til kommentar
0laf Skrevet 20. juni 2019 Del Skrevet 20. juni 2019 (endret) Hei, hvis du har dine barn på skole kan du takke slike for at sikkerheten er bedre enn den hadde vært. Slik har det alltid vært, slik skal det alltid være. Jeg har pengene mine i banken, bør jeg takke kriminelle som forsøker å stjele de for at bankens sikkerhet er høy, og bør disse slippe påtale dersom de blir tatt, eventuelt skal jeg sende de noen kroner for jobben de gjør? At skolen ikke kan stole på sine elever, er jo egentlig verre enn tilfeldige bankranere, men poenget er fremdeles at loven bør være lik for alle. Bryter man seg inn i datasystemer, stjeler data, og misbruker disse dataene, så bør man tiltales og straffes, ikke premieres. I dette tilfelle er gutten såpass ung at han uansett ikke ville fått noen reell straff, men det som skjer nå, hvor han i stedet premieres for ulovligheter, blir helt feil. Det virker som foreldre, skolen, kommunen og det private næringslivet synes det var helt topp at han stjal data, utga seg for å være andre osv. og at flere burde gjøre det samme. Gratis datautstyr og en lys fremtid venter de som bryter seg inn i skolens datasystemer og stjeler passord og brukernavn til halve kommunen. Nuvel, nå er det vel faktisk presedens at det ikke er ulovlig å ta seg inn i usikre datasystemer. Det er fremdeles ulovlig å ødelegge systemene eller å stjele noe fra huset, men når det kommer til datasystemer er det faktisk kriminelt å ikke sikre data i utgangspunktet. Det er omvendt, det er ikke kriminelt å ikke sikre data, det er generelt sett opp til den som eier dataene, med noen unntak. Den som derimot ved uberettiget fremgangsmåte skaffer seg tilgang til datasystem eller del av det, kan straffes med bøter eller inntil 2 års fengsel. "Uberettiget fremgangsmåte" favner her vidt, dersom man skaffer seg tilgang til data man måtte forstå at man ikke burde hatt tilgang til, uansett hvor dårlig sikkerheten var, så har man uberettiget skaffet seg tilgang. Når man så misbruker disse dataene på det groveste, så er det neppe noen tvil om at det er ulovlig. Endret 20. juni 2019 av 0laf Lenke til kommentar
Pop Skrevet 20. juni 2019 Del Skrevet 20. juni 2019 Hvis data er personopplysninger og den registrerte ikke er deg selv alene, er det kriminelt å ikke sikre dem. Ref artikkel 32 (personopplysningsloven med forordning). Det er vel avklart at det var ulike utgaver av personopplysninger som lå tilgjengelig. 3 Lenke til kommentar
tigerdyr Skrevet 20. juni 2019 Del Skrevet 20. juni 2019 Det er omvendt, det er ikke kriminelt å ikke sikre data .. og det er faktisk dèt som er det største problemet. Som Bruce Schneier er inne på i en av hans bøker, så blir sikkerheten neppe noensinde bra uten at de som oppbevarer dataene ansvarliggjøres. Konkret foreslår han at dataene må forsikres og at forsikringsselskapene da blir pådrivere for å høye sikkerheten, på samme måte som de graden av sikkerhet i biler, alarm hjemme osv. påvirker forsikringspremien. 1 Lenke til kommentar
tigerdyr Skrevet 20. juni 2019 Del Skrevet 20. juni 2019 "Skoleeleven tok seg deretter inn i datasystemet for å avsløre svikten" - TU Vel nei, det han gjorde var å laste ned brukernavn og passord til 35000 ansatte i Bergen kommune, deretter utgi seg for å være en rektor ved å sende ut mail til andre. Når datautstyret hans ble inndratt, slapp han løs et script han hadde lastet ned, med en orm som infiserte 8000 maskiner i kommunens nettverk. Som jeg ser det var det hans svar på en overreaksjon fra skolen/myndigheterne. Forstår det faktisk godt, ikke minst hans alder tatt i betraktning, når han ble straffet for egentlig å gjøre en god gjerning. 3 Lenke til kommentar
EremittPåTur Skrevet 20. juni 2019 Del Skrevet 20. juni 2019 Vedkommende er under 15 år, og kan ikke straffes i det norske rettsvesenet, så det er vel neppe noen reell bekymring. Spørs hva du mener med straff. frastjelt utstyr, uthenging av ungen og foreldre i media, etc etc etc, er vel og straff. Når man derimot trekker tilbake anmeldelsen, så gir man et signal om at det var helt okey å laste ned mengder med data ulovlig, for så å misbruke de dataene, og deretter infisere alle kommunens maskiner med en orm. Tøv. signalet er klart nok. Skjer det hacking så finner vi ut hvem du er. Guttongen har kjent på konsekvensene lenge nok. Glem ham og la IT-dudene som er skyld i hele greia få pese litt. Makan til uansvarlige mennesker! 1 Lenke til kommentar
0laf Skrevet 20. juni 2019 Del Skrevet 20. juni 2019 (endret) Hvis data er personopplysninger og den registrerte ikke er deg selv alene, er det kriminelt å ikke sikre dem. Ref artikkel 32 (personopplysningsloven med forordning). Det er vel avklart at det var ulike utgaver av personopplysninger som lå tilgjengelig. Personopplysninger er ett av unntakene, hvor det må sikres dersom man driver med innsamling og lagring av slike data. Det var her snakk om brukernavn og passord, men også personlig data for elever og lærere, som lå åpent på et internt nettverk 13-åringen hadde tilgang til i form av å være elev ved skolen. Dataene var helt klart for dårlig sikret, men det gir ingen rett til å misbruke dataene av den grunn. Som jeg ser det var det hans svar på en overreaksjon fra skolen/myndigheterne. Forstår det faktisk godt, ikke minst hans alder tatt i betraktning, når han ble straffet for egentlig å gjøre en god gjerning. Var det en god gjerning å laste ned brukernavn og passord til 35000 ansatte i Bergen kommune, for så å misbruke dataene ved å utgi seg for å være rektor ved skolen? Inndragelse er vanlig straffereaksjon, dersom du fisker ulovlig kan du risikere å få fiskeutstyret inndratt. At politiet inndrar datamaskinen, enten som bevis eller som straffereaksjon, er vel det minste de burde gjøre. Spørs hva du mener med straff. frastjelt utstyr, uthenging av ungen og foreldre i media, etc etc etc, er vel og straff. 13-åringen er anonymisert i mediene, hans foreldre sto frem med navn i mediene i går, etter å ha blitt invitert til Stortinget, slik at "uthenging" er vel neppe rette ordet. Tøv. signalet er klart nok. Skjer det hacking så finner vi ut hvem du er. Guttongen har kjent på konsekvensene lenge nok. Glem ham og la IT-dudene som er skyld i hele greia få pese litt. Makan til uansvarlige mennesker! IT-selskapet som står for sikkerhet, og Bergen Kommune, oppdaget jo dette, og slo full alarm med en gang. Den eneste som er skyld i dette, er 13-åringen som valgte å misbruke data han uberettiget fikk tilgang til, og så laste opp en orm på kommunens datasystemer. Endret 20. juni 2019 av 0laf Lenke til kommentar
Pop Skrevet 20. juni 2019 Del Skrevet 20. juni 2019 Dataene var til og med ulovlig sikret. Men nei, det gir ikke hjemmel for et nytt lovbrudd. Lenke til kommentar
hekomo Skrevet 20. juni 2019 Del Skrevet 20. juni 2019 Jeg ser ikke helt problemet. Problemet er at han bedrev ID-tyveri og tilegnet seg data han ikke hadde lovlig rett på. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå