Dirbuster hacking?

Goed verhaal, lekker kort. Kan je je verhaal verduidelijken en je tekst van interpunctie voorzien?

Wat voor website / server was het, en waar was je precies naar op zoek?

En door wie wordt je beschuldigd? Je provider? Lijkt me sterk dat het illegaal is. Zoekmachines doen in principe hetzelfde.

[ Voor 45% gewijzigd door Ryan_ op 02-05-2017 14:50 ]

Nee nu is het verhaal duidelijk

En ze kunnen je altijd beschuldigen van hacken. Of ze het ook kunnen waarmaken is een 2e.
Maar dat ligt eraan tegen wie ze dat moeten doen wat de eisen en de bewijslast zijn.

Sja. Je loopt door een buurt en zit iedere deur en ieder raam te proberen.

Afhankelijk van de details (incl. wat er precies wordt gecommuniceerd, welke organisaties in welke landen betrokken zijn, etc.) zou mijn advies zijn: neem contact op met je rechtsbijstandverzekering (c.q.die van je ouders). Best kans dat het blijft bij wat dreigen (mits je je voortaan gaat gedragen ) maar toch.

En doe voortaan het "spelen" met dergelijke tools alleen op servers van jezelf in je eigen LAN.

"Hacken is het illegaal inbreken in computers of computernetwerken door het omzeilen van beveiligingsmaatregelen". Vraag is dus of je geautoriseerd bent (was...) om bestanden op de server te benaderen.

Voor wat ben je precies beschuldigd? Hacken is tegenwoordig vrij algemeen. En wat voor schade is er volgens de tegenpartij ontstaan?

Beste advies: Excuses maken met de tegenpartij, en hopen dat ze het daarbij laten. En voortaan alles in een geïsoleerd netwerkje testen.

Het maakt je terecht verdacht, maar is geen bewijs voor iets onrechtmatigs: als je ergens niet bij mag dan moeten ze jou daar geen rechten voor geven.

Het is toch de zaak van de eigenaar van een website om alles wat niet "gezien" mag worden te beveiligen?

Hoe kwamen ze opeens aan je telefoonnummer? Beetje vaag verhaal allemaal.
Tevens heb je niet gehackt, een kleine DoS is het enigste wat je misschien hebt veroorzaakt.

[ Voor 20% gewijzigd door Stroopwafels op 02-05-2017 15:02 ]

F_J_K schreef op dinsdag 2 mei 2017 @ 14:53:
Sja. Je loopt door een buurt en zit iedere deur en ieder raam te proberen.
...

^^ Dit dus

Als je bij mijn huis op een ladder staat om te kijken of het zolderraam op slot is zal ik ook denken dat je probeert in te breken in mijn huis. Of vind je het normaal dat bij een willekeurig huis (server) gaat kijken hoe de ramen en deuren beveiligd zijn, of er camera's hangen en of er een alarmsysteem aanwezig is?

Ik zou het in ieder geval enorm verdacht vinden en zal zeker niet amused zijn.

[ Voor 3% gewijzigd door Standeman op 02-05-2017 15:02 ]

seventie schreef op dinsdag 2 mei 2017 @ 14:59:
Voor wat ben je precies beschuldigd? Hacken is tegenwoordig vrij algemeen. En wat voor schade is er volgens de tegenpartij ontstaan?

zij zeiden over de telefoon dat ik geprobeert hun te hacken heb.
geen schade bij hun. mss een paar request per sec meer dan normaal
maar nog niet te vergelijken met dos aanval
geen 1000 per sec of zo

en ja een geisoleerd netwerk hahaha normaal doe ik dat ook of zulke spelletjes zoals die van tweakers onlangs en van certified secure

Sorry, maar je verhaal is nog steeds ongelofelijk onduidelijk. Wie zijn 'zij' en hoe komen ze aan je telefoonnummer? En heb je dit op je eigen computer en netwerk gedaan?

F_J_K schreef op dinsdag 2 mei 2017 @ 14:53:
Sja. Je loopt door een buurt en zit iedere deur en ieder raam te proberen.

...

Waar antwoord je nu precies op? Er komt niets duidelijks en begrijpbaars naar voren uit de posts van TS. Laat hem eerst zijn best doen een normaal verhaal neer te typen.

Het is toch de zaak van de eigenaar van een website om alles wat niet "gezien" mag worden te beveiligen?

Precies dat dus: als je iets niet had mogen zien dan moeten ze dat afschermen.
De vraag blijft wel waarom je een bruteforce scantool draait: je zal daar toch een goed antwoord op moeten geven.

ps. zorg dat je quote tags gebruikt als je iets van een ander herhaalt

[ Voor 33% gewijzigd door base_ op 02-05-2017 15:03 ]

Tja, het is wel een penetratietest tool :-)

seventie schreef op dinsdag 2 mei 2017 @ 15:06:
ik ben gewoon een iemand geinteresseerd in technologie ik ga ook informatica studeren volgend jaar.
en ben enorm geintresseerd hoe server werken en heb ook een paar website opgezet.
ik draaide het programma gewoon om te zien hoe ver ik stond.
ik zou als ik iets vond natuuurlijk de makers verwittigd hebben. (greyhat)

ik wist ook niet dat zo erg zou zijn.

Als ik je goed begrijp heb je een pentest tool gebruikt op een website om te kijken bij welke bestanden je kunt. Daar is een notificatie uit voortgekomen bij bedrijf X en vervolgens is je school gebeld met waar je mee bezig was. Nu wil je weten of ze je kunnen aanklagen vanwege hacking, correct?

OT: Geen idee of je dan kan worden aangeklaagd. Ben niet juridisch onderlegd maar hoop eea voor de experts te kunnen verduidelijken

Is het testen van security onderdeel van jouw werk of opdracht? Anders vraagt de werkgever zich terecht af waar je mee bezig was....

Dat een bedrijf niet goed beveiligd is betekend niet direct dat je het van alle kanten mag gaan bestoken met requests. Bij dit soort tools wordt ook vaak gezegd dat het niet gebruikt mag worden als je geen toestemming hebt van de server eigenaar

seventie schreef op dinsdag 2 mei 2017 @ 15:06:
ik ben gewoon een iemand geinteresseerd in technologie ik ga ook informatica studeren volgend jaar.
en ben enorm geintresseerd hoe server werken en heb ook een paar website opgezet.
ik draaide het programma gewoon om te zien hoe ver ik stond.
ik zou als ik iets vond natuuurlijk de makers verwittigd hebben. (greyhat)

ik wist ook niet dat zo erg zou zijn.

Daarnaast is het dan geen Greyhat maar whitehat als je het netjes meld.

seventie schreef op dinsdag 2 mei 2017 @ 15:10:
[...]

correct

Het zou gezien kunnen worden als ddos aangezien je opzettelijk veel request achter elkaar verstuurd naar een server toe.

seventie schreef op dinsdag 2 mei 2017 @ 14:57:

ik wist gewoon dat ze bestonden

Dus je bent bewust met tools die gemaakt zijn om beveiligingen te omzeilen op zoek gegaan naar bestanden? Volgens mij is dat gewoon hacken en ben je terecht gewezen op het feit dat je probeert in te breken.

Het vergelijkbaar met langs alle auto's lopen en aan de deurklink trekken, je breekt wellicht geen glas maar je bent met net zulke fout bedoelingen bezig als een andere dief die dat wel zou doen.

seventie schreef op dinsdag 2 mei 2017 @ 15:12:
[...]


ja dat kan ik verstaan maar aan de ander kant heb ik de request echt wel laag gehouden.

Oooh, dus je controleert alleen maar 5 auto's per uur? Nee, dan mag het wel..

Het gaat niet om de frequentie, maar om de daden.

seventie schreef op dinsdag 2 mei 2017 @ 15:12:
[...]


ja dat kan ik verstaan maar aan de ander kant heb ik de request echt wel laag gehouden.

Je hebt wel ingebroken maar hebt alleen de theekopjes meegenomen Het is en blijft penetratie...

leesvoer

Excerpt: Onder de oude wetgeving was computervredebreuk alleen strafbaar wanneer een beveiliging werd doorbroken. Deze eis is komen te vervallen. Computerinbraak is nu strafbaar wanneer de dader wist dat hij op verboden terrein was.

Beschuldigen van inbreken hebben ze een punt, je wist wat je aan het doen was en dat je daar niks te zoeken had op die server met die tool.

[ Voor 69% gewijzigd door Emmeau op 02-05-2017 15:17 ]

seventie schreef op dinsdag 2 mei 2017 @ 15:16:
[...]

ik zal het eens lezen
computerinbraak is het allezins niet

Dat is het wel, je bent moedwillig op zoek gegaan naar niet openbare gegevens, daarnaast heb je ook nog eens de server belast met dataverkeer die niet de bedoeling is.

seventie schreef op dinsdag 2 mei 2017 @ 15:16:
[...]

ik zal het eens lezen
computerinbraak is het allezins niet

Ik lees 138b anders, maar goed.

computervredebreuk is het waarschijnlijk wel. De wet spreekt niet over inbraak maar vredebreuk.

seventie schreef op dinsdag 2 mei 2017 @ 15:15:
[...]


dat het penetratie kan ik wel verstaan maar kunnen ze me beschuldigen van inbreken?

Ze kunnen je overal van beschuldigen. Of het ook gegrond is, is een tweede vraag. Misschien is het een idee dat je even rustig adem haalt, een kopje rooibos thee zet en dan zin voor zin met behulp van interpunctie typt wat er nu aan de hand is, wie erbij betrokken zijn en wat je van ons verwacht.

FiXeR.nl schreef op dinsdag 2 mei 2017 @ 15:19:
[...]

Dat is het wel, je bent moedwillig op zoek gegaan naar niet openbare gegevens, daarnaast heb je ook nog eens de server belast met dataverkeer die niet de bedoeling is.

Het zou zelfs kunnen zijn doordat er meerdere request binnenkomen dat er een extra server automatische ingezet wordt waardoor er direct geld verliest word door het bedrijf.

FiXeR.nl schreef op dinsdag 2 mei 2017 @ 15:19:
[...]

Dat is het wel, je bent moedwillig op zoek gegaan naar niet openbare gegevens, daarnaast heb je ook nog eens de server belast met dataverkeer die niet de bedoeling is.

Zodra de gegevens van buitenaf bereikbaar zijn zonder wachtwoord of wat voor beveiliging dan ook, dan zijn ze openbaar.
Maar <beep> wat is je interpunctie beroerd... ga daar eens aan werken...

[ Voor 8% gewijzigd door servies op 02-05-2017 15:24 ]

FiXeR.nl schreef op dinsdag 2 mei 2017 @ 15:12:
[...]

Dus je bent bewust met tools die gemaakt zijn om beveiligingen te omzeilen op zoek gegaan naar bestanden? Volgens mij is dat gewoon hacken en ben je terecht gewezen op het feit dat je probeert in te breken.

Het vergelijkbaar met langs alle auto's lopen en aan de deurklink trekken, je breekt wellicht geen glas maar je bent met net zulke fout bedoelingen bezig als een andere dief die dat wel zou doen.

Deze tool is vergelijkbaar met door een straat lopen en kijken welke auto's er staan en welk merk en kleur deze zijn. Proberen deuren open te maken/"beveiliging" te omzeilen is niet iets wat deze tool doet.

xleeuwx schreef op dinsdag 2 mei 2017 @ 15:11:
[...]
Het zou gezien kunnen worden als ddos aangezien je opzettelijk veel request achter elkaar verstuurd naar een server toe.

Een ddos is een scala aan requests vanuit meerdere bronsystemen, vandaar de eerste D van Distributed. Een enkele pc kan nooit een ddos uitvoeren.

xleeuwx schreef op dinsdag 2 mei 2017 @ 15:09:
Dat een bedrijf niet goed beveiligd is betekend niet direct dat je het van alle kanten mag gaan bestoken met requests. Bij dit soort tools wordt ook vaak gezegd dat het niet gebruikt mag worden als je geen toestemming hebt van de server eigenaar
[...]
Daarnaast is het dan geen Greyhat maar whitehat als je het netjes meld.

Pagina's online publiceren maar niet naar toe linken noem jij al "niet goed beveiligen"? Hier is helemaal geen beveiliging aan te pas gekomen of omzeild. @seventie heeft met deze tool alleen gekeken welke publiek gepubliceerde pagina's allemaal te vinden waren op de website. Het enige "vreemde" is dat hierbij niet gebruik is gemaakt van een muis om te navigeren en het standaard menu op de website. Noemen we dat tegenwoordig al hacken? Dan stelt die term helemaal niks meer voor...

[quote]Tweekzor schreef op dinsdag 2 mei 2017 @ 15:23:
[...]
Deze tool is vergelijkbaar met door een straat lopen en kijken welke auto's er staan en welk merk en kleur deze zijn. Proberen deuren open te maken/"beveiliging" te omzeilen is niet iets wat deze tool doet.
[...]
Vergelijkingen gaan meestal niet op, maar hier zou hij kunnen opgaan ALS die autos op terrein stonden wat verboden toegang is.

Linksom of rechtsom, hij heeft zich wederrechtelijk toegang verschaft, ongeacht methode, of in jouw termen, de autodeur geopend om te kijken wat er achter de deur ligt wat je niet kon zien zonder de deur te openen.

Emmeau schreef op dinsdag 2 mei 2017 @ 15:27:
[quote]Tweekzor schreef op dinsdag 2 mei 2017 @ 15:23:
[...]
Deze tool is vergelijkbaar met door een straat lopen en kijken welke auto's er staan en welk merk en kleur deze zijn. Proberen deuren open te maken/"beveiliging" te omzeilen is niet iets wat deze tool doet.
[...]
Vergelijkingen gaan meestal niet op, maar hier zou hij kunnen opgaan ALS die autos op terrein stonden wat verboden toegang is.

Linksom of rechtsom, hij heeft zich wederrechtelijk toegang verschaft, ongeacht methode, of in jouw termen, de autodeur geopend om te kijken wat er achter de deur ligt wat je niet kon zien zonder de deur te openen.

Kun je mij uitleggen waarom jij het ziet als het proberen open te maken van deuren?
Wat de tool technisch doet is een aantal HTTP-requests uit sturen, zoals je browser die ook maakt, naar de doel website. Deze website bestaat uit een aantal publiek gepubliceerde pagina's. Als een pagina niet bestaat ontvangt zowel de tool als je browser een 404-error (of een 30x redirect). Als de pagina wel bestaat ontvang je een 200-status inclusief de opgevraagde pagina. Deze pagina is gepubliceerd zodat mensen hem kunnen bezoeken, en dat is wat jij doet: de pagina bezoeken.

seventie schreef op dinsdag 2 mei 2017 @ 15:41:
[...]


ik zal proberen te kalmeren
het is een website van de school, het was niet de bedoeling voor punten te veranderen.
Wij de leerlingen van de school hadden al pw van leerkrachten. (per ongeluk de pw in het vakje van de gebruikersnaam ingetikt.)

Even wachten. Je hebt dus geprobeerd om te kijken hoeveel en welke bestanden je kon aantreffen, nadat je had ingelogd met het wachtwoord van een docent? Dit is dus computervredebreuk in de zin van artikel 138ab Sr. Je hebt namelijk gebruik gemakt van een valse sleutel (het wachtwoord van de docent).

Er is hier dus ook helemaal geen sprake van 'openbare' bestanden?

[ Voor 4% gewijzigd door BeToBe op 02-05-2017 15:46 ]

Ik denk dat je gewoon je excuses tegen de school moet maken en aan geeft dat het niet je bedoeling was om in te breken oid.

Daarbij iets wat me nu net opvalt. Heb je die docent aangegeven dat zijn wachtwoord op straat ligt zodat hij deze aan kan passen? Want als zijn inlog bekend is bij anderen, is dat niet handig.

Gewoon even een analoge brief schrijven en je excuses maken. En dan die analoge brief handmatig komen overhandigen. Ik denk dat dat voldoende is. De technische achtergrond gewoon op de achtergrond laten.

Wat ik ook niet begrijp, als je dan toch zo geïnteresseerd bent in Informatica zoals je aangeeft, waarom draai je niet lokaal of op een andere machine van jezelf Apache met je eigen website, beveilig deze en gooi er dan de tool op los? Je valt er niemand dan mee lastig...

Tweekzor schreef op dinsdag 2 mei 2017 @ 15:40:
[...]
Kun je mij uitleggen waarom jij het ziet als het proberen open te maken van deuren?
Wat de tool technisch doet is een aantal HTTP-requests uit sturen, zoals je browser die ook maakt, naar de doel website. Deze website bestaat uit een aantal publiek gepubliceerde pagina's. Als een pagina niet bestaat ontvangt zowel de tool als je browser een 404-error (of een 30x redirect). Als de pagina wel bestaat ontvang je een 200-status inclusief de opgevraagde pagina. Deze pagina is gepubliceerd zodat mensen hem kunnen bezoeken, en dat is wat jij doet: de pagina bezoeken.

En daarom gaan vergelijkingen mank en leveren scheve discussies op. Excuus, ik had niet voort moeten bouwen op jouw vergelijking.

TS had niks te zoeken in die directory, nogmaals onder artikel 138b lijkt TS strafbaar, met name lid 1, Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden. "

TS had niks te zoeken in die map, alsmede gebruikte hij een applicatie die zichzelf in de markt zet als "bruteforced".


Als TS slim is voorkomt hij een hoop moeite door in gesprek te gaan met schoolleiding. TS wist wat hij aan het doen was, en gebruikte er een speciale tool voor. Per ongeluk aantreffen van een map gaat dus al niet meer op.

seventie schreef op dinsdag 2 mei 2017 @ 15:55:
[...]


ik moet al verantwoorden bij de directeur maar zonder technische dienst!
Die hebben gewoon tegen de directeur gezegd dat ik hun gehackt heb wat niet het geval is


[...]

Yep, succes . Gewoon uitleggen, excuses zand erover en klaar. Soms moet je dingen niet groter opblazen dan ze in werkelijkheid zijn.

Emmeau schreef op dinsdag 2 mei 2017 @ 15:55:
[...]
TS had niks te zoeken in die directory, nogmaals onder artikel 138b lijkt TS strafbaar, met name lid 1, Met gevangenisstraf van ten hoogste twee jaren of geldboete van de vierde categorie wordt gestraft hij die opzettelijk en wederrechtelijk de toegang tot of het gebruik van een geautomatiseerd werk belemmert door daaraan gegevens aan te bieden of toe te zenden. "

TS had niks te zoeken in die map, alsmede gebruikte hij een applicatie die zichzelf in de markt zet als "bruteforced".

Echter als ik jouw linkje bekijk is er jurisprudentie hier over:

Voorbeelden uit de rechtspraak

Wie bijvoorbeeld een bepaalde map op zijn harde schijf deelt via filesharing software, kan niet achteraf klagen dat mensen binnengedrongen zijn in die map

Dit is dus precies wat is gebeurd: de map is bewust gedeeld via "filesharing" software; namelijk de webserver. Dan kan niet achteraf geklaagd worden dat de folder/pagina/whatever is bezocht door iemand.

Ik heb de pagina verder even gescand maar ik zie geen beter passend voorbeeld bij de vraag van TS.

Tweekzor schreef op dinsdag 2 mei 2017 @ 16:01:
[...]
Dit is dus precies wat is gebeurd: de map is bewust gedeeld via "filesharing" software; namelijk de webserver. Dan kan niet achteraf geklaagd worden dat de folder/pagina/whatever is bezocht door iemand.

Bewust is het sleutelwoord, is deze bewust opengezet en zo ja voor wie.

nogmaals, het gaat om wederrechtelijk toegang verschaffen tot, oftewel had TS daar wat te zoeken.

En daar mag tenzijTS dit onderling oplost een rechter uitspraak over doen.

Ik denk dat seventie een heel groot probleem heeft. Ik zou als school /not/ amused zijn als studenten wachtwoorden van docenten hebben, laat staan dat ze daar misbruik van maken.

Wat mij betreft heeft het niets met whitehat-hacking te maken. Je hád geen toestemming. Greyhat had het geweest als je direct naar de directeur was geweest. Ik ben bang dat je op de blaren moet zitten.

Je zal geen gevangenisstraf krijgen, maar ik hoop dat je ze niet van school af gooien...

[quote

[ Voor 171% gewijzigd door Verwijderd1 op 21-10-2021 22:18 ]

Emmeau schreef op dinsdag 2 mei 2017 @ 16:04:
[...]


Bewust is het sleutelwoord, is deze bewust opengezet en zo ja voor wie.

nogmaals, het gaat om wederrechtelijk toegang verschaffen tot, oftewel had TS daar wat te zoeken.

En daar mag tenzijTS dit onderling oplost een rechter uitspraak over doen.

Als je de moeite moet nemen om een webserver op te zetten, files te uploaden, poorten open zetten etc dan ga ik wel redelijk uit van een bewuste publicatie van deze pagina. En anders blijft er nog altijd iets over als een verantwoordelijkheid voor een IT'er om op te letten wat je doet. We vinden het ook fijn als mensen geen database files of excell sheets met wachtwoorden van klanten uploaden, dat is precies dezelfde verantwoordelijkheid.

Het wederrechtelijke gedeelte van jouw uitspraak is juist waar deze hele discussie over gaat. Het staat niet zwart-wit in de wet dat dit inderdaad wederrechtelijk is.

Zonder meer informatie van TS over de website of resultaten van zijn scan is er weinig te zeggen, maar aangezien het een schoolwebsite betreft is het aannemelijk dat het ofwel gaat om een site benaderbaar voor heel het intranet ofwel een publieke website voor heel het internet. Aangezien TS heeft aangegeven geen logins of iets dergelijks omzeild te hebben is het in mijn ogen geen binnendringen van een computer maar slechts bekijken van publieke content.

Een school kiest in een dergelijke situatie al snel voor de makkelijkste manier om een leerling bang te maken. Ik kan me ook wel voorstellen als je straks honderden studenten hebt die echt een minipentest uit voeren op je netwerk dat je daar niet vrolijk van wordt.

DiedX schreef op dinsdag 2 mei 2017 @ 16:05:
Ik denk dat seventie een heel groot probleem heeft. Ik zou als school /not/ amused zijn als studenten wachtwoorden van docenten hebben, laat staan dat ze daar misbruik van maken.

Wat mij betreft heeft het niets met whitehat-hacking te maken. Je hád geen toestemming. Greyhat had het geweest als je direct naar de directeur was geweest. Ik ben bang dat je op de blaren moet zitten.

Je zal geen gevangenisstraf krijgen, maar ik hoop dat je ze niet van school af gooien...

Zoals TS eerder had aangegeven kwamen er geen WW's aan te pas, en was het uitlekken van het wachtwoord al bekend. Daarnaast, leraren moeten maar opletten waar ze het wachtwoord typen. Toen ik op school zat hebben ze meerdere keren per jaar de WW's kunnen aanpassen omdat het per ongeluk in plaintext werdt getypt.

TS had enkel een tooltje op de webserver losgelaten die rustig aan URL's langsging om te kijken of de pagina's bestonden. Niet wat de inhoud was wat ik begrijp, maar enkel of ze bestonden.

Tweekzor schreef op dinsdag 2 mei 2017 @ 16:14:
[...]

Een school kiest in een dergelijke situatie al snel voor de makkelijkste manier om een leerling bang te maken.

Zeker gezien ze er op scholen vaak ook de ballen verstand van hebben...

[ Voor 12% gewijzigd door Stoelpoot op 02-05-2017 16:19 . Reden: Reactie toegevoegd nadat ik postte. ]

Welke school zit je überhaupt?
Ze mogen daar de leraar Nederlands wel ontslaan wat mij betreft...

rikpro schreef op dinsdag 2 mei 2017 @ 16:17:
[...]

TS had enkel een tooltje op de webserver losgelaten die rustig aan URL's langsging om te kijken of de pagina's bestonden. Niet wat de inhoud was wat ik begrijp, maar enkel of ze bestonden.

En die mondelinge uitleg zou je inderdaad kunnen geven bij het op het matje moeten komen van de schooldirecteur. Zonder overlast kijken welke content er allemaal publiekelijk bestond.

Iets dat achteraf bij er over nadenken fout is. Spijt betuigen, beloven het niet meer te doen. Eventueel, afhankelijk vd situatie en sfeer, aanbieden om in nauw overleg met de school-ICT eens in eigen tijd onderzoek te doen en advies te geven over de technische beveiliging.

En op voorhand eerlijk zijn richting je ouders, vertel die het vooraf. (Voor het geval er zwaardere sancties zouden volgen dan slechts nablijven o.i.d.)

Over wetgeving: ik zie allemaal NL wetteksten, die natuurlijk niet per se relevant zijn als de TS een Belg zou zijn (weet ik niet). Sowieso wordt de wet pas relevant als er aangifte zou volgen en dat zal wel meevallen. Ik zou eerder bang zijn voor nablijven (of ergere sancties van de school).

rikpro schreef op dinsdag 2 mei 2017 @ 16:17:
[...]


Zoals TS eerder had aangegeven kwamen er geen WW's aan te pas, en was het uitlekken van het wachtwoord al bekend. Daarnaast, leraren moeten maar opletten waar ze het wachtwoord typen. Toen ik op school zat hebben ze meerdere keren per jaar de WW's kunnen aanpassen omdat het per ongeluk in plaintext werdt getypt.

Onzin. Als ik mijn sleutel in de deur laat zitten, geeft je dat nog niet het recht om mijn huis binnen te treden

TS had enkel een tooltje op de webserver losgelaten die rustig aan URL's langsging om te kijken of de pagina's bestonden. Niet wat de inhoud was wat ik begrijp, maar enkel of ze bestonden.

Waarmee TS zaken heeft gedaan wat niet mag. Check ook http://www.iusmentis.com/...iteit/computervredebreuk/.


[...]


Zeker gezien ze er op scholen vaak ook de ballen verstand van hebben...
[/quote]
Daarin kunnen we van mening verschillen. Natuurlijk is het vrágen om problemen als je geen 2FA gebruikt op school. Studenten/scholieren doen alles wat God verboden heeft. Desalniettemin is het gewoon níet handig wat TS heeft gedaan.

Laten we het gewoon eens vergelijken met fysieke inbraak.
Als ik door een winkelstraat loop en een open winkel inga, door een deur, is er niet zoveel aan de hand.
Heb je per ongeluk een deur proberen te openen van een winkel die dicht is, dan loop je weer verder.
Staat de deur open van een winkel maar de winkel zelf bevat geen personeel, dan heb je een burgerplicht om iemand hiervan op de hoogte te stellen, bijvoorbeeld de autoriteiten.
Loop je daarentegen langs een rij winkels die allemaal dicht zijn en probeer je allemaal deuren te openen, kom je op een grijs gebied terecht. Als iemand dit ziet, dan ben je poging tot inbraak te doen.
Volgens de wet spreken we van redelijkheid en billijkheid. Mensen die een tooltje aftrappen, beetje brute force port scans draaien of rechten checken op een server, gewoon omdat het kan, zijn gewoon fout bezig... klaar...

vliegjong schreef op dinsdag 2 mei 2017 @ 16:42:
Laten we het gewoon eens vergelijken met fysieke inbraak.
Als ik door een winkelstraat loop en een open winkel inga, door een deur, is er niet zoveel aan de hand.
Heb je per ongeluk een deur proberen te openen van een winkel die dicht is, dan loop je weer verder.
Staat de deur open van een winkel maar de winkel zelf bevat geen personeel, dan heb je een burgerplicht om iemand hiervan op de hoogte te stellen, bijvoorbeeld de autoriteiten.
Loop je daarentegen langs een rij winkels die allemaal dicht zijn en probeer je allemaal deuren te openen, kom je op een grijs gebied terecht. Als iemand dit ziet, dan ben je poging tot inbraak te doen.
Volgens de wet spreken we van redelijkheid en billijkheid. Mensen die een tooltje aftrappen, beetje brute force port scans draaien of rechten checken op een server, gewoon omdat het kan, zijn gewoon fout bezig... klaar...

Wat ik ervan begrijp is het eerder kijken of er een deur is. Het doel was niet de deuren te openen (gegevens te bekijken) enkel het kijken of ergens een deur zat, die dan wel op slot of van slot was.

Voor de Belgenlanders: het officiele wetboek voor dit soort zaken staat hier: https://vigilis.ibz.be/upload/documents/dewetNL.pdf. Ik pas even

Op Security.nl worden nogwel eens juridische zaken besproken op IT vlak. Arnoud Engelfriet (volgens mij heeft hij op Tweakers ook een account) heeft een soortgelijke case als hierboven al eens beantwoord.

Conclusie van Arnoud:
Twee man die 's nachts om drie uur met een bivakmuts en een breekijzer in iemands portiek staan, dat voelt ook niet helemaal jofel dus daar wil je als agent tegen kunnen optreden. En dat kan: het strafrecht kent de 'poging tot', artikel 45 lid 1 Sr:
Poging tot misdrijf is strafbaar wanneer het voornemen van de dader zich door een begin van uitvoering heeft geopenbaard.

<knip>

Dus: portscannen is strafbaar, mits duidelijk is dat de portscan-uitvoerder van plan is vervolgens in te gaan breken bij het geportscande systeem. Alleen: hoe bewijs je dat? Je kúnt natuurlijk zeggen, er is geen andere legitieme reden om te portscannen dús is elke portscan bewijs van de wens in te gaan breken. Maar dat voelt wel een beetje te kort door de bocht. Wat jullie?

https://www.security.nl/p...h+tegen+portscans+doen%3F

[ Voor 20% gewijzigd door Tukkertje-RaH op 02-05-2017 16:50 ]

Seventies, het zou aangenaam zijn moest je wat aan je interpunctie doen, dat maakt het hele verhaal voor ons ook een heel stuk leesbaarder wat alles wat je tot nu toe getypt hebt is een opeenhoping van woorden zonder enige structuur. Gebruik hoofdletters, punten, kommas en alinea's...

Voor zover ik begrijp heb je DirBuster losgelaten op het domein van je school, uit interesse en om te zien wat er te vinden was? Typische tiener-die-met-IT-bezig-is-streek dus. Je hebt ook direct je lesje geleerd dat je geen sporen moet achterlaten bij zo'n acties.

Verder haal je hier opeens het feit dat je leerkracht zijn wachtwoord in plain-text getypt had aan, maar zeg je hier niets mee gedaan te hebben. Al zeker niet bij het gebruik van DirBuster. Compleet irrelevant voor dit verhaal dus en zorgt alleen maar voor verwarring.

Accepteer gewoon de uitbrander die je van school krijgt, bied je excuses aan en hou dit soort experimenten voortaan binnen een gesloten, gecontroleerde omgeving die je zelf beheerd, want je overtreedt tenslotte nog steeds de wet.
Het feit dat je weet wat er te vinden is op je eigen server en het daardoor minder 'spannend' is, is misschien waar, maar je kan net meer leren aangezien je zelf kan patchen en kijken waar de fouten zitten.

seventie, wat voor intentie je er ook mee had; Inbraak is het misschien niet maar huisvredebreuk denk ik wel. Zoals eerder genoemd als voorbeeld, zie het rammelen aan mijn voordeur om te kijken wat er achter zit. Of je nu wel of niet buiten blijft staan en niet wat uit mijn huis mee neemt... dit is wel behoorlijk ongewenst.

Wij hebben wel een probleem als ik jou in mijn deur opening tref op deze manier

Het loslaten van een bruteforce tool op een website van een ander is gewoon proberen daar binnen te komen, dat heeft niks met testen te maken, niets met de school helpen te maken zoals sommigen suggereren en is gewoon met maar 1 mogelijk doel: inbreken.
Dat TS daar niet goed over gedacht heeft is duidelijk en waarschijnlijk met een vriendelijk gesprek met de school redelijk op te lossen, maar de rationaliseringen dat het acceptabel is om hacktools op sites en systemen van anderen los te laten kan toch niemand serieus nemen
Of de school aangifte doet, geen idee. Schorsing etc. kunnen ze overwegen en dat heeft niets te maken of dat jij het inbraak vindt of niet...

Ondanks dat DirBuster niets 'exploitteert' is het vrij lastig uit te leggen dat je dit gebruikte zonder dat er een intentie aanwezig was om verder te komen dan de bedoeling is. Het is een tool om informatie te vergaren om vervolgens de verkregen informatie te analyseren en een volgende aanvals-techniek/hoek te kiezen. Dus je kan het zeer zeker wel zien als het voorbereiden van een inbraak, zover ik weet is dat ook strafbaar .

quote: https://www.owasp.org/ind...y:OWASP_DirBuster_Project

Attempt to find hidden pages/directories and directories with a web application, thus giving a another attack vector (For example. Finding an unlinked to administration page).

Als je überhaupt al naar verborgen bestanden en mappen aan het zoeken bent (ongeacht hoe ze beveiligd zijn) kan je al zwaaien naar je witte hoed, tenminste...als je geen toestemming had.

Dus zoals al eerder is aangegeven...pak je verlies, bied je excuses aan, leer hiervan en hoop dat ze het niet al te hoog op nemen...

seventie schreef op dinsdag 2 mei 2017 @ 16:48:
[...]


vraag je waarom begin jij over 2FA?
ik heb toch niks gedaan met wachtwoorden?

seventie schreef op dinsdag 2 mei 2017 @ 15:41:
[...]
Wij de leerlingen van de school hadden al pw van leerkrachten. (per ongeluk de pw in het vakje van de gebruikersnaam ingetikt.)

Daar heb je dus 2FA voor. Maar jij had als computerexpert dat uiteraard allang door...

seventie schreef op dinsdag 2 mei 2017 @ 14:57:
dus technisch gezien heb ik de bestanden ook niet benaderd
ik wist gewoon dat ze bestonden

en even later zeg je

Dit was puur uit interesse. zo'n tool ga je ook niet uitvoeren op je eigen website aangezien je al weet wat erop staat

Dus je zit jezelf tegen te spreken.
Wat niet van jou is, ongeacht of de deur wagenwijd openstaan. je hoort er van af te blijven zonder toestemming.

Ik hoop dat ze je dit duidelijk maken. goed of kwaadschiks.

Jij zal echt niet de enige zijn met interesse in de IT, ieder maakt zijn eigen ding/server, en gaat bij de andere proberen binnen te komen (met toestemming!) waarom zou dit niet kunnen?
Je bent gewoon de gebeten hond omdat je wist dat je fout was, en dacht er mee weg te komen.

[ Voor 19% gewijzigd door T-Forever op 02-05-2017 18:44 ]

Art 138a wbvs

...
Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
a
door het doorbreken van een beveiliging,
b
door een technische ingreep,
c
met behulp van valse signalen of een valse sleutel, of
d
door het aannemen van een valse hoedanigheid
....

Lijken me niet van toepassing, maar ik ben geen jurist

[ Voor 4% gewijzigd door Henk007 op 02-05-2017 18:47 ]

Henk007 schreef op dinsdag 2 mei 2017 @ 18:45:
Art 138a wbvs


[...]

Lijken me niet van toepassing, maar ik ben geen jurist

Is niet van toepassing, het is een Belg

http://www.iusmentis.com/...iteit/computervredebreuk/

Valse signalen of een valse sleutel: een geraden of afgekeken wachtwoord van een ander gebruiken, of je computer andermans IP-adres laten aannemen (IP spoofing)

Zeer zeker strafbaar in Nederland. België kan een uitzondering zijn.

En het gebruik van tools zoals nmap etc. om eens lekker te gaan scannen onder het mom van pen-testing is ook geen excuus.

[ Voor 16% gewijzigd door Indir op 02-05-2017 21:35 ]

Disclaimer: ik ben niet een advocaat o.i.d., zoek een echte advocaat voor juridisch advies. Ik deel slechts mijn mening.

Iemand roept dat je hackt en dat klinkt vrij ernstig maar je kan juridisch gezien pas in de problemen komen als je computervredebreuk pleegde. Maar wanneer is daar nou sprake van?

seventie schreef op dinsdag 2 mei 2017 @ 15:02:
Het is toch de zaak van de eigenaar van een website om alles wat niet "gezien" mag worden te beveiligen?
ja normaalwel

en ze hadden me tel via de school

Hier maak je een kleine denkfout. Je gaat er hier van uit dat alles wat jij niet mag zien achter een login zit en alles wat niet achter een login zit vanzelfsprekend 'gezien' mag worden. Het zou best kunnen dat een admin zijn eigen loginpagina wil verstoppen om te voorkomen dat mensen proberen in te loggen op zijn speciale pagina, dus in plaats van example.com/admin.php heb je nu example.com/d94354ac9cf3024f57409bd74eec6b4c/admin.php. De laatstgenoemde pagina is alleen te vinden als je de 'code' kent, dit is dus al iets wat je zou kunnen zien als iets wat is beschermd met een sleutel. Nou is de toegang tot die pagina nog niet zo'n probleem wat betreft veiligheid maar technisch gezien heb je dan mogelijk al computervredebreuk gepleegd. Als er vanuit de site zelf gelinkt wordt naar die pagina is het niet zo'n probleem, de 'code' is dan namelijk niet geheim en door die gewoon aan te klikken pleeg je mijns inziens geen computervredebreuk.

Maar wanneer doe je dat dan wel? Het spreekt voor zich dat als je ergens kan inloggen en je logt in op een account die niet van jou is door een 'afgekeken' wachtwoord, door het raden van een wachtwoord of door het omzeilen van de beveiliging dat je dan computervredebreuk pleegt. Ook als je op je eigen account ergens inlogt maar je verschaft jezelf toegang tot zaken die niet voor jou zijn bedoeld dan pleeg je computervredebreuk.

Even terug naar het 'verstoppen' van de admin-login. Die manier om iets te verstoppen wordt wel vaker gebruikt, niet alleen voor zo'n login maar ook voor bestanden die voor korte duur voor iemand beschikbaar worden gesteld. Die verstopplekken zijn zo bedacht dat je ze niet zomaar kunt raden maar het hoeft niet te betekenen dat je ze niet kunt vinden. Als je daar alsnog achterkomt betekent het niet dat je niets misdaan hebt omdat de admin maar een betere verstopplek had moeten bedenken, er zou dan wel degelijk sprake kunnen zijn van computervredebreuk.

Nu weet ik dus niet wat jouw programma allemaal heeft geprobeerd en wat die heeft gevonden. Ik ga er wel vanuit dat jouw programma niet alleen de site afzoekt naar urls die het nog niet kent om zo verder te verkennen, ik neem aan dat het ook heleboel links bedenkt waar je mogelijk wat bestanden zou kunnen vinden. Ook neem ik aan dat als er veel verkeerde urls opgevraagd worden in een korte tijd vanaf eenzelfde IP-adres dat er wel een alarmbelletje afgaat en de admin op de hoogte wordt gesteld. Als zo'n admin dan ziet dat er bijvoorbeeld example.com/login/passwords.txt wordt opgevraagd en vele vergelijkbare urls ziet dat die dan denkt dat je probeert in te breken.

Als ik jou was (dat meen ik, 'als IK jou was', je hoeft dit advies niet op te volgen, dit is gewoon wat ik zelf zou hebben gedaan) zou ik in ieder geval voorlopig stoppen met dat programma te gebruiken. Mocht je nog contact hebben met de persoon die je heeft benaderd bied dan zou ik gewoon m'n excuses aanbieden voor de situatie, ik zou vertellen dat ik geen kwade bedoelingen had en dat het niet meer zal gebeuren.

Om nog even terug te komen op je vragen;

Is het 100% terecht? Dat kan ik zo niet beoordelen, maar dat ze je opbellen en vertellen dat ze niet leuk vinden wat je doet is begrijpelijk (beter dan dat ze direct naar de politie stappen en je daar achter komt als er aangebeld wordt).

Wat kunnen ze je wettelijk gezien aandoen?

Ook moeilijk in te schatten omdat er dus niet precies bekend is wat je allemaal hebt gevonden en ook wat je niet hebt gevonden maar wat dat programma wel heeft geprobeerd (is mogelijk ook strafbaar, weet ik niet). Wel schat ik de kans laag in dat je er daadwerkelijk problemen mee gaat krijgen.

Verder lees ik dat je graag precies wil weten hoe webservers werken. Veel van de code om zo'n website te bouwen is niet zichtbaar voor gebruikers dus het is niet per se zinvol om te kijken wat je vanaf jouw kant kunt zien. Ik denk dat je je beter kunt verdiepen in programmeer- en opmaaktalen (python, php, etc. en html, css, javascript, etc.) en van een beetje experimenteren met kant en klare softwarepakketten (wordpress, joomla, django, etc.) leer je ook veel.

Vond net dit stukje over de belgische computer wetten:

https://www.belgium.be/nl...utercriminaliteit/hacking

Hierbij nog een stukje uit het belgisch wetboek:
Art. 210bis. <ingevoegd bij W 2000-11-28/34, art. 4; Inwerkingtreding : 13-02-2001> § 1. Hij die valsheid pleegt, door gegevens die worden opgeslagen, verwerkt of overgedragen door middel van een informaticasysteem, in te voeren in een informaticasysteem, te wijzigen, te wissen of met enig ander technologisch middel de mogelijke aanwending van gegevens in een informaticasysteem te veranderen, waardoor de juridische draagwijdte van dergelijke gegevens verandert, wordt gestraft met gevangenisstraf van zes maanden tot vijf jaar en met geldboete van zesentwintig [euro] tot honderdduizend [euro] of met een van die straffen alleen. <W 2000-06-26/42, art. 2, Inwerkingtreding : 01-01-2002>
§ 2. Hij die, terwijl hij weet dat aldus verkregen gegevens vals zijn, hiervan gebruik maakt, wordt gestraft alsof hij de dader van de valsheid was.
§ 3. Poging tot het plegen van het misdrijf, bedoeld in § 1, wordt gestraft met gevangenisstraf van zes maanden tot drie jaar en met geldboete van zesentwintig [euro] tot vijftigduizend [euro] of met een van die straffen alleen. <W 2000-06-26/42, art. 2, Inwerkingtreding : 01-01-2002>
§ 4. De straffen bepaald in de §§ 1 tot 3 worden verdubbeld indien een overtreding van een van die bepalingen wordt begaan binnen vijf jaar na de uitspraak houdende veroordeling wegens een van die strafbare feiten of wegens een van de strafbare feiten bedoeld in de artikelen 259bis, 314bis, 504quater of in titel IXbis.

http://www.ejustice.just....ontains+(%27%27))#LNK0052

De genoemde tool is: http://tools.kali.org/web-applications/dirbuster

lordgandalf schreef op woensdag 3 mei 2017 @ 09:14:
Vond net dit stukje over de belgische computer wetten:

Daar is nu toch helemaal geen sprake van?

F_J_K schreef op woensdag 3 mei 2017 @ 09:30:
[...]

Daar is nu toch helemaal geen sprake van?

In essentie staat er in punt 1 dat wanneer je met data iets doet ten opzichte van een ander systeem, dat dat niet mag, mits de bedoeling kwade intentie is (de 'valsheid').
Of dat ook nog schade moet toebrengen om strafbaar te zijn, staat er niet bij.

Dus met een directoryscanner langs een webserver snuffelen mag niet. Je stuurt HTTP requests met de achterliggende gedachte dat je alles waar een HTTP/1.1 200 OK melding op terug komt, te onthouden en later weer aan te wenden om b.v. bij data terecht te komen waar je niet behoort te kijken.

M.l. schreef op dinsdag 2 mei 2017 @ 22:14:
Disclaimer: ik ben niet een advocaat o.i.d., zoek een echte advocaat voor juridisch advies. Ik deel slechts mijn mening.

Iemand roept dat je hackt en dat klinkt vrij ernstig maar je kan juridisch gezien pas in de problemen komen als je computervredebreuk pleegde. Maar wanneer is daar nou sprake van?


[...]


Hier maak je een kleine denkfout. Je gaat er hier van uit dat alles wat jij niet mag zien achter een login zit en alles wat niet achter een login zit vanzelfsprekend 'gezien' mag worden. Het zou best kunnen dat een admin zijn eigen loginpagina wil verstoppen om te voorkomen dat mensen proberen in te loggen op zijn speciale pagina, dus in plaats van example.com/admin.php heb je nu example.com/d94354ac9cf3024f57409bd74eec6b4c/admin.php. De laatstgenoemde pagina is alleen te vinden als je de 'code' kent, dit is dus al iets wat je zou kunnen zien als iets wat is beschermd met een sleutel. Nou is de toegang tot die pagina nog niet zo'n probleem wat betreft veiligheid maar technisch gezien heb je dan mogelijk al computervredebreuk gepleegd. Als er vanuit de site zelf gelinkt wordt naar die pagina is het niet zo'n probleem, de 'code' is dan namelijk niet geheim en door die gewoon aan te klikken pleeg je mijns inziens geen computervredebreuk.

Dit is exact hetzelfde als over iemand's terrein gaan struinen, achter het huis te gaan kijken of de achterdeur toevallig los is. Dat mag ook niet zonder toestemming.

[knip]

[ Voor 52% gewijzigd door McKaamos op 03-05-2017 09:47 ]

McKaamos schreef op woensdag 3 mei 2017 @ 09:38:
In essentie staat er in punt 1 dat

in te voeren [..], te wijzigen, te wissen of [..] te veranderen

Waar dan? Al zou iemand kunnen beargumenteren dat Dirbuster opmaat is naar §3.

Ik zeg niet dat het netjes is, dat is het bepaald niet. Maar dit artikel zo plaatsen en suggereren dat 26k boete of zes maanden gevangenis de minimumstraf is, lijkt me ietwat overkill (anders dan als waarschuwing).

F_J_K schreef op woensdag 3 mei 2017 @ 09:44:
[...]


[...]

Waar dan? Al zou iemand kunnen beargumenteren dat Dirbuster opmaat is naar §3.

Ik zeg niet dat het netjes is, dat is het bepaald niet. Maar dit artikel zo plaatsen en suggereren dat 26k boete of zes maanden gevangenis de minimumstraf is, lijkt me ietwat overkill (anders dan als waarschuwing).

Een HTTP GET is data invoeren. Je geeft de server een stukje data, welke een vraag bevat.
En ja, als dit voor de rechter komt, zal er allicht een tik op de vingers en 500 euro boete worden uitgedeeld.
Het is computervredebreuk. De kwade intentie is moeilijk aan te tonen, maar de actie opzichzelf heeft er wel alle schijn van. Directoryscannen gebeurt normaliter niet omdat je het nu zo leuk vindt.

McKaamos schreef op woensdag 3 mei 2017 @ 09:47:
Een HTTP GET is data invoeren. Je geeft de server een stukje data, welke een vraag bevat.
En ja, als dit voor de rechter komt, zal er allicht een tik op de vingers en 500 euro boete worden uitgedeeld.

Ik heb geen idee van hoe de .be wetgeving in elkaar steekt (en ben het natuurlijk eens dat het gebruik van dergelijke tools fout is), maar ik lees in dit artikel een minimumstraf van 6 maanden zitten of 26k boete betalen. En dat is hier zwaar overkill, IMHO (doch voor "echt hacken" wel terecht). Maar goed, we dwalen geloof ik af.

@seventie: laat ajb weten wat er voortkwam uit je gesprek op school. En leer er sowieso van
Edit:

McKaamos schreef op woensdag 3 mei 2017 @ 09:58:
B.v. wanneer je 20kmh te hard rijdt. Dat is een overtreding.
Doorrijden nadat je iemand hebt aangereden is een misdrijf.

En daarom zijn daar verschillende artikelen voor te vinden in de wet- en regelgeving en is het artikel over doorrijden na een aanrijding niet zomaar van toepassing bij te hard rijden. We zeggen hetzelfde (En nu houd ik er over op, ik wilde de TS niet nog banger maken dan nodig. Een beetje bang is terecht, alvast de vakantie afzeggen omdat er een gevangenisstraf aankomt en een nier gaan verkopen om de boete te kunnen betalen is dat niet )

[ Voor 31% gewijzigd door F_J_K op 03-05-2017 10:22 ]

F_J_K schreef op woensdag 3 mei 2017 @ 09:55:
[...]

Ik heb geen idee van hoe de .be wetgeving in elkaar steekt (en ben het natuurlijk eens dat het gebruik van dergelijke tools fout is), maar ik lees in dit artikel een minimumstraf van 6 maanden zitten of 26k boete betalen. En dat is hier zwaar overkill, IMHO (doch voor "echt hacken" wel terecht). Maar goed, we dwalen geloof ik af.

@seventie: laat ajb weten wat er voortkwam uit je gesprek op school. En leer er sowieso van

Je hoeft niet aan alle items te voldoen om iets te hebben gedaan wat niet mag.
Punt 3 zegt alleen maar dat als het aantoonbaar is dat er gepoogd is een misdrijf te plegen, er dan 26K-50K boete kan worden opgelegd en 0,5-3jaar gevangenisstraf.
Dat is dus niet van toepassing, maar punt 1 wel

Er is verschil tussen misdrijf en overtreding.
Misdrijf betekent dat je iets grof fout hebt gedaan en levert je een strafblad op. Een overtreding is gewoon iets wat niet mag maar verder afgedaan kan worden met een verbaaltje.
B.v. wanneer je 20kmh te hard rijdt. Dat is een overtreding.
Doorrijden nadat je iemand hebt aangereden is een misdrijf.

[ Voor 17% gewijzigd door McKaamos op 03-05-2017 10:00 ]

seventie schreef op dinsdag 2 mei 2017 @ 15:48:
..op me eigen server waarvan security een grote plus is (zelfs gratis ssl certificaten van letsencrypt)

Beetje offtopic, maar waarom zou een 'gratis' ssl een grote plus zijn ? Wordt gehost, onderhouden en gesponsord door diverse Amerikaanse partijen en jij stuurt daar gewoon je private key naar toe...

Ja, het is 'secure' voor jan en alleman die er tussen zitten maar of het écht secure is weet je natuurlijk nooit zo.

Een wijze les voor TS en de volgende keer jezelf iets minder makkelijk traceerbaar maken als je je nieuwsgierigheid toch niet kunt bedwingen.

F_J_K schreef op woensdag 3 mei 2017 @ 09:44:
[...]


[...]

Waar dan? Al zou iemand kunnen beargumenteren dat Dirbuster opmaat is naar §3.

Ik zeg niet dat het netjes is, dat is het bepaald niet. Maar dit artikel zo plaatsen en suggereren dat 26k boete of zes maanden gevangenis de minimumstraf is, lijkt me ietwat overkill (anders dan als waarschuwing).

Mijn inziens vermoed ik dat de scan onder Artikel 210bis sectie § 1 zal vallen als de school er voor kiest om dit aan te pakken.
Daarnaast heft de europese uni een aantal jaren geleden het Cybercrimeverdrag opgeworpen en heeft belgie dit ook ondertekend wat betekend dat de tool dirbuster illegaal is als deze in bezit is van een persoon

[ Voor 15% gewijzigd door lordgandalf op 03-05-2017 10:40 ]

F_J_K schreef op woensdag 3 mei 2017 @ 09:55:
[...] een minimumstraf van 6 maanden zitten of 26k boete betalen.

seventie schreef op woensdag 3 mei 2017 @ 17:42:
Ok, de school zelf gaat niks doen van uitsluiting, nablijven enz

Al met al een leerzaam topic, maar ultimo een storm in een glas water lijkt het

[ Voor 32% gewijzigd door Henk007 op 03-05-2017 18:43 ]

seventie schreef op woensdag 3 mei 2017 @ 17:42:
Ok, de school zelf gaat niks doen van uitsluiting, nablijven enz
Misschien gaat er wel een kost zijn voor eventuele schade (ik zou telefoons en internet bij ons op school plat gelegd hebben?? Beetje raar als het intern netwerk zelfs nog werkt en de site in kwestie ook )
en mss een klacht.

Voortaan dus niet hacktools gebruiken zonder schriftelijke toestemming

seventie schreef op woensdag 3 mei 2017 @ 17:42:
Ok, de school zelf gaat niks doen van uitsluiting, nablijven enz
Misschien gaat er wel een kost zijn voor eventuele schade (ik zou telefoons en internet bij ons op school plat gelegd hebben?? Beetje raar als het intern netwerk zelfs nog werkt en de site in kwestie ook )
en mss een klacht.

Sjah, als het geen technische reden had hebben ze wellicht uit voorzorg de "touwtjes" getrokken om de impact te beperken .

Maar goed, goed om te horen dat het met een sisser af lijkt te lopen. Nu wel voorzichtig he! Als je trouwems een (kwetsbare) VM wilt om te testen - die zijn er genoeg vrij beschikbaar voor onderzoek/tests/educatie als je even googled (of duckduckgo'd ) - zorg dat ze lokaal en afgeschermd draaien...heeft niemand er last van en onderzoek je toch niet je eigen setup).