Reacties op: Werkstraf voor computervredebreuk bij Activision en Valve

Door: Jakob Buis

Jakob Buis — Thu, 26 Mar 2009 08:15:55 +0000

Ik vind de straf persoonlijk vrij laag. Ik heb geen ervaring met eerdere zaken (ben geen jurist) maar uit het vonnis blijkt duidelijk dat er sprake was van opzet. Valve zelf schat de schade op €40 miljoen.

P.S. Het is Quake Wars

Door: Walter van Holst

Walter van Holst — Thu, 26 Mar 2009 09:08:57 +0000

Op zich is het wel min of meer in lijn met de straffen die de “DDoS-kabouters” hebben gekregen, al ging het daar om een DDoS, wat in mijn ogen een lichter vergrijp is dan een volwaardige computervredebreuk. Ben het met je eens dat het qua strafmaat aan de lage kant is. Anderzijds maakt een strafrechter ook vaak een afweging van de recidivekans. En die wordt niet altijd positief beïnvloed door een gevangenisstraf.

Door: elmo

elmo — Thu, 26 Mar 2009 09:32:32 +0000

Betreffende de technische aspecten van de inbraak. Ik kan, afgaand op wat in het vonnis met (opzettelijk moeilijk begrijpbare) technische termen omschreven is, zonder enige twijfel bevestigen dat dit binnen het domein van “scriptkiddies” valt. Niet alleen omdat dergelijke inbraakmethoden op tal van sites uitvoering uitgelegd wordt, maar tevens omdat de gemiddelde eerstejaars student Informatica reeds over de kennis beschikt (of in ieder geval zou kunnen/moeten beschikken) die hiervoor nodig is. Afgezien van wat uitzoekwerk en tijd stelt de inbraak vanuit een technisch oogpunt gezien niet voor.

Dit doet uiteraard niets af aan het gegeven dat het jezelf zonder toestemming toegang verschaffen tot iemand anders computersysteem inbraak is. Maakt het uit dat het voor de inbreker simpel was om binnen te komen? Verder denk ik dat de inbraak op zichzelf niet het erge deel van het vergrijp is. Natuurlijk wil je iets kunnen ondernemen wanneer iemand (bv je buurman) besluit om zich zonder toestemming toegang tot je woning te verschaffen (al was het maar vanwege de inbreuk op je privacy), maar als deze persoon vervolgens je spullen steelt is de schade volgens mij toch opeens van een hogere orde. Ik weet eerlijk gezegd niet hoe dit juridisch gezien ligt.

Dat de veroordeelde de klantgegevens gebruikt heeft voor afpersing, geeft denk ik wel aan wat zijn mindset is (geweest). Iemand die dusdanig onverschillig en onverantwoord met zulke gevoelige gegeven omgaat (of daar in ieder geval mee dreigt) voor pure zelfverrijking, verdient niets minder dan keihard bestraft te worden. Dit voorval is allerminst een geval van een gelegenheidsvergrijp of een geval van een uit de hand gelopen vergissing. Het handelen van de veroordeelde geeft duidelijk aan dat hij een criminele mindset heeft. In dat licht verbaast het mij dan ook dat de straf vrij laag is.

Hoewel ik vind dat de meeste bedrijven veel te weinig doen aan penetratie tests (en dan doel ik niet op de handelingen met de secretaresse), is er geen excuus om in te breken bij een bedrijf zonder dat je daarvoor toestemming hebt gekregen. Alle plausibel klinkende argument van de white-hat hackers die beweren dat ze goed werk verrichten door bedrijven (ongevraagd) te wijzen op gaten in hun beveiliging ten spijt, omdat je niet op voorhand kunt vaststellen dat een hacker goede bedoelingen heeft blijft toegang zonder toestemming een slechte zaak. Het bedrijf blijft namelijk vervolgens met de onzekerheid zitten dat ze niet weten of er naast inbraak ook diefstal is gepleegd. De enige uitzondering die ik daarop kan bedenken is dat je melding maakt van een beveiligingsfout wanneer je die (werkelijk) per toeval hebt aangetroffen. Net zoals het een goede zaak is als jij je buurman inlicht als je per toeval constateert dat zijn voordeur open staat.

Door: Dirkjan Ochtman

Dirkjan Ochtman — Thu, 26 Mar 2009 09:33:59 +0000

Valt duidelijk onder scriptkiddie. phpBB vulnerabilities zijn er genoeg van, er hoeft maar een beetje een oude versie van te draaien of het gaat mis. Zelfde geldt voor het vinden van bugs in PHP-scriptjes, dat is vaak een kwestie van wat rommelen met aanhalingstekens in invoervelden.

Door: Rene

Rene — Thu, 26 Mar 2009 09:36:44 +0000

Re vraag — het punt van de term “scriptkiddie” is niet dat de details an sich niet technisch ingewikkeld kunnen zijn, het is dat die technische ingewikkeldheid door een technisch competent iemand in een “kit” (”script”) is vervat waarna de (het?) kiddie niets anders doet die ergens los te laten waar het schade toebrengt.

Dat komt niet terug in een beschrijving zoals bovenstaande — de kiddie in kwestie heeft uit de beschrijving van zo’n kit wel kunnen lezen wat ‘ie doet en in ieder geval is het resultaat zoals bedoeld dus het is ook niet een erg belangrijk punt juridisch lijkt me.

Maar de denigrerendheid van de term “scriptkiddie” is dus gekoppeld aan “kiddie”, niet (noodzakelijkerwijs) aan “script”.

Door: Bastiaan

Bastiaan — Thu, 26 Mar 2009 09:57:49 +0000

Ik zie dat computervredebreuk als een minder zwaar iets als het afpersen van de gamebedrijven. Ik krijg net als anderen het gevoel dat de inbraak geen technisch hoogstandje is geweest. Verder lijkt me de schade van het inbreken zelf vrij minimaal is. Wat er daarna gebeurde lijkt mij veel zwaarder.

Door: Erik Romijn

Erik Romijn — Fri, 27 Mar 2009 07:01:24 +0000

Enigzins off-topic: ik kan er maar niet op komen wat de relatie tussen dat plaatje van een dinosaurus en de inhoud van het artikel is…

Door: Arnoud Engelfriet

Arnoud Engelfriet — Fri, 27 Mar 2009 07:49:07 +0000

Dat plaatje had de verdachte gepubliceerd bij zijn publicatie dat hij Valve gehackt had. Geen idee waarom.
http://www.shacknews.com/screens.x/steamhack/Supposed+Steam+Hack/1/thumbs/070419_steamhack_02.jpg

Door: Branko Collin

Branko Collin — Fri, 27 Mar 2009 12:04:59 +0000

De gebruikelijke reden om laatdunkend over technische trucs te doen is om te laten zien hoe goed je zelf wel niet bent. Als je tien Nederlanders vraagt om door middel van SQL-injecties een als kwetsbaar bekend staande website zo te hacken dat je jezelf kopieën van software op die site kunt bezorgen, dan zullen er gemiddeld tien falen. Ik weet wat SQL-injecties zijn en als webdeveloper beveilig ik de sites van mijn klanten ertegen, maar zelfs ik zou niet durven stellen dat ik de genoemde hack zou kunnen uitvoeren. En achteraf is altijd alles simpel en zelfs voor een driejarige te doorgronden.

Door: bart

bart — Sat, 28 Mar 2009 07:34:12 +0000

het is inderdaad wel redelijk standaard dat in een geval als dit opeens iedereen een top hacker is die het zoveel beter had kunnen doen. volgens mij doet dat er niet zo veel toe, hij heeft toch wat acties uitgevoerd en blijft even strafbaar dan als ie het op een andere manier gedaan had.