Werkstraf voor computervredebreuk bij Activision en Valve

lolhaxed-maddoxx-klein.pngIn 2006 brak een Nederlander in bij de computernetwerken van onder andere Activision en maakte daar een kopie van het computerspel “Enemy Territory: Quake Wars“, dat toen nog in ontwikkeling was. Ook zou hij op de systemen van Valve zijn binnengedrongen Voor deze computervredebreuk kreeg de 21-jarige Maastrichtenaar zes maanden voorwaardelijk en een werkstraf van 240 uur, meldde Security.nl gisteren.

De zaak is opvallend, omdat de inbreker (MaddoxX) zelf op internet meldde dat hij dit gedaan had. En dat woog de rechter mee in het vonnis: “Verdachte heeft deze schade nog vergroot door aan het plegen van deze strafbare feiten uitvoerig ruchtbaarheid te geven via het internet.”

Verder werden de bedrijven opgeroepen om T-shirts en gadgets op te sturen, alles onder het dreigement dat hij vertrouwelijke klantgegevens (zoals creditcarddetails) zou publiceren wanneer zij niet aan zijn eisen zouden voldoen. In fraai rechtbankproza: “met het oogmerk om zichzelf en (een) ander(en) wederrechtelijk te bevoordelen door bedreiging met openbaring van een geheim [bedrijf 4] heeft gedwongen tot de afgifte van een of meer T-shirts en gadgets, in elk geval van enig goed.”

Alles bij elkaar vind ik de straf nogal laag gezien de feiten. In augustus 2007 kreeg een andere “gamehacker” (TM Bright) nog 12 maanden cel, waarvan acht voorwaardelijk, plus 50 uur taakstraf.

Bij Fok! doen ze nogal laatdunkend over de technische kant van de zaak. Ik ben daar nog niet helemaal uit: het vonnis noemt toch een aantal technisch complexe trucs:

  • gebruikmakend van kwetsbaarheden in genoemde geautomatiseerde werken(o.a. in de PHP bulletin-board software op de website van [bedrijf 2] d.m.v. van een SQL-injectie) en van valse hoedanigheden en van inloggegevens (tot onder meer een FTP-server) van een of meer medewerker(s) van [bedrijf 1] en [bedrijf 3]
  • <li>gebruikmakend van kwestbaarheden in genoemde geautomatiseerde werk (te weten o.a. een bug in een php-script op de sign-up pagina van [bedrijf 4] cybercafé systeem) en (vervolgens) gebruikmakend van een broncode en vertrouwelijke inloggegevens het systeem server van bovengenoemde [bedrijf 4] binnen te dringen</li></ul>
    

    Of valt dit toch onder het kopje “scriptkiddie”?

    Arnoud

10 reacties

  1. Op zich is het wel min of meer in lijn met de straffen die de “DDoS-kabouters” hebben gekregen, al ging het daar om een DDoS, wat in mijn ogen een lichter vergrijp is dan een volwaardige computervredebreuk. Ben het met je eens dat het qua strafmaat aan de lage kant is. Anderzijds maakt een strafrechter ook vaak een afweging van de recidivekans. En die wordt niet altijd positief be?nvloed door een gevangenisstraf.

  2. Betreffende de technische aspecten van de inbraak. Ik kan, afgaand op wat in het vonnis met (opzettelijk moeilijk begrijpbare) technische termen omschreven is, zonder enige twijfel bevestigen dat dit binnen het domein van “scriptkiddies” valt. Niet alleen omdat dergelijke inbraakmethoden op tal van sites uitvoering uitgelegd wordt, maar tevens omdat de gemiddelde eerstejaars student Informatica reeds over de kennis beschikt (of in ieder geval zou kunnen/moeten beschikken) die hiervoor nodig is. Afgezien van wat uitzoekwerk en tijd stelt de inbraak vanuit een technisch oogpunt gezien niet voor.

    Dit doet uiteraard niets af aan het gegeven dat het jezelf zonder toestemming toegang verschaffen tot iemand anders computersysteem inbraak is. Maakt het uit dat het voor de inbreker simpel was om binnen te komen? Verder denk ik dat de inbraak op zichzelf niet het erge deel van het vergrijp is. Natuurlijk wil je iets kunnen ondernemen wanneer iemand (bv je buurman) besluit om zich zonder toestemming toegang tot je woning te verschaffen (al was het maar vanwege de inbreuk op je privacy), maar als deze persoon vervolgens je spullen steelt is de schade volgens mij toch opeens van een hogere orde. Ik weet eerlijk gezegd niet hoe dit juridisch gezien ligt.

    Dat de veroordeelde de klantgegevens gebruikt heeft voor afpersing, geeft denk ik wel aan wat zijn mindset is (geweest). Iemand die dusdanig onverschillig en onverantwoord met zulke gevoelige gegeven omgaat (of daar in ieder geval mee dreigt) voor pure zelfverrijking, verdient niets minder dan keihard bestraft te worden. Dit voorval is allerminst een geval van een gelegenheidsvergrijp of een geval van een uit de hand gelopen vergissing. Het handelen van de veroordeelde geeft duidelijk aan dat hij een criminele mindset heeft. In dat licht verbaast het mij dan ook dat de straf vrij laag is.

    Hoewel ik vind dat de meeste bedrijven veel te weinig doen aan penetratie tests (en dan doel ik niet op de handelingen met de secretaresse), is er geen excuus om in te breken bij een bedrijf zonder dat je daarvoor toestemming hebt gekregen. Alle plausibel klinkende argument van de white-hat hackers die beweren dat ze goed werk verrichten door bedrijven (ongevraagd) te wijzen op gaten in hun beveiliging ten spijt, omdat je niet op voorhand kunt vaststellen dat een hacker goede bedoelingen heeft blijft toegang zonder toestemming een slechte zaak. Het bedrijf blijft namelijk vervolgens met de onzekerheid zitten dat ze niet weten of er naast inbraak ook diefstal is gepleegd. De enige uitzondering die ik daarop kan bedenken is dat je melding maakt van een beveiligingsfout wanneer je die (werkelijk) per toeval hebt aangetroffen. Net zoals het een goede zaak is als jij je buurman inlicht als je per toeval constateert dat zijn voordeur open staat.

  3. Valt duidelijk onder scriptkiddie. phpBB vulnerabilities zijn er genoeg van, er hoeft maar een beetje een oude versie van te draaien of het gaat mis. Zelfde geldt voor het vinden van bugs in PHP-scriptjes, dat is vaak een kwestie van wat rommelen met aanhalingstekens in invoervelden.

  4. Re vraag — het punt van de term “scriptkiddie” is niet dat de details an sich niet technisch ingewikkeld kunnen zijn, het is dat die technische ingewikkeldheid door een technisch competent iemand in een “kit” (“script”) is vervat waarna de (het?) kiddie niets anders doet die ergens los te laten waar het schade toebrengt.

    Dat komt niet terug in een beschrijving zoals bovenstaande — de kiddie in kwestie heeft uit de beschrijving van zo’n kit wel kunnen lezen wat ‘ie doet en in ieder geval is het resultaat zoals bedoeld dus het is ook niet een erg belangrijk punt juridisch lijkt me.

    Maar de denigrerendheid van de term “scriptkiddie” is dus gekoppeld aan “kiddie”, niet (noodzakelijkerwijs) aan “script”.

  5. Ik zie dat computervredebreuk als een minder zwaar iets als het afpersen van de gamebedrijven. Ik krijg net als anderen het gevoel dat de inbraak geen technisch hoogstandje is geweest. Verder lijkt me de schade van het inbreken zelf vrij minimaal is. Wat er daarna gebeurde lijkt mij veel zwaarder.

  6. De gebruikelijke reden om laatdunkend over technische trucs te doen is om te laten zien hoe goed je zelf wel niet bent. Als je tien Nederlanders vraagt om door middel van SQL-injecties een als kwetsbaar bekend staande website zo te hacken dat je jezelf kopie?n van software op die site kunt bezorgen, dan zullen er gemiddeld tien falen. Ik weet wat SQL-injecties zijn en als webdeveloper beveilig ik de sites van mijn klanten ertegen, maar zelfs ik zou niet durven stellen dat ik de genoemde hack zou kunnen uitvoeren. En achteraf is altijd alles simpel en zelfs voor een driejarige te doorgronden.

  7. het is inderdaad wel redelijk standaard dat in een geval als dit opeens iedereen een top hacker is die het zoveel beter had kunnen doen. volgens mij doet dat er niet zo veel toe, hij heeft toch wat acties uitgevoerd en blijft even strafbaar dan als ie het op een andere manier gedaan had.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.