Politi-database havde intet password

Selvom der ikke er kodeord på, er det stadig ikke ok at gå ind.

Jeg lærer aldrig at respektere hackere, eller syntes det de laver er sjovt.

Jeg tror man skal passe meget på når man leger med hackere, især hvis de er gode! Det er ikke bare det almene politi der skal gå til værks, jeg tror man skal have nogle eksperter ind på sagen inden.

Selvom der ikke er kodeord på, er det stadig ikke ok at gå ind.Angelenglen (#1)

Tror jeg hackere er forholdsvis ligeglade med.

Haha, nogle gange er folk da ikke rigtig kloge, i det her tilfælde er det politiet.. De kan da ikke forvente at angribe hackerne uden at de vil gøre et eller andet tilbage.. Det svare til at tage ud til en flok almindelige kriminelle uden noget udstyr og sige at de er i gang med at systematisk at anholde dem og at de skal stå stille imens..

De burde havde tænkt sig bedre om der..

Politiet er da bare dumme hvis deres IT afdeling lader deres systemer stå åbne. Det er jo ikke at hacke sig ind, det kunne selv en dreng på 8 år finde ud af...
Hvis man leger må ilden må man regne med at brænde sig, og det har politiet så gjort. Kunne være de lærer at beskytte deres data ordentlig nu, med password og kryptering som det er normalt. Tænk hvis deres domstole ect. gjorde det samme, så ville alles forbrydelser kunne lækkes. Det er faktisk lidt skræmmende at de ikke passede bedre på deres data, især når personer uden videre kunne følge efterforskningen.

Jeg syntes ikke at det er iorden at hacke, men finder det utrolig morsomt når det sker alligevel, som f.eks. i sådan en historie her..

Hvor var det meget nemmere dengang folk ikke havde antivirus og firewall.. suk..

Politiet skrev en besked på forummet om, at medlemmernes IP-adresser var blevet registreret, og at der allerede var foretaget anholdelser.

Jeg synes det lyder ret usandsynligt, at politiet ville skrive sådan en besked. Mit gæt er, at det er en anden person, der har skrevet den besked.

Den database der blev angrebet kunne sagtens tænkes at være en honeypot. Spørgsmålet er, hvis honeypot? Det kan også være at påstanden om det manglende password er bluff.

Det kan også være der ligger noget andet bag, som jeg ikke har fantasi til at forestille mig.

"Could have been faster if I didn't stop to laugh so much"

Det er fandme da humor!

#1 OK, hold op med at bruge nettet så. Hvordan skal du ellers vide om det du tilgår burde være beskyttet eller ej? :P

Hvis man ikke engang gider beskytte sine ting, kan man da heller ikke forvente at der ER nogen beskyttelse.

sådan går det når man angriber/provokerer hackere uden grund

de fleste hackere gør ikke den slags ting som er beskrevet i artiklen til hverdag, de fleste er respekterede it folk som "bare" giver svar på tiltale

derudover mener jeg at hvis der som i artiklen beskrevet var en ubeskyttet database konto som han brugte til at komme ind, er det endnu et bevis på at politiet kæmper en kamp på nettet som de ikke kan vinde grundet manglende viden/ekspertise

yderligere er der set eksempler verden over at det faktisk kan betale sig at bryde ind i andres it systemer (der er flere uuddannede hackere der igennem tiden har fået højtstående it sikkerheds jobs efter at være blevet fanget for at have udnyttet sikkerhedshuller hos andre eller lignende) dette er naturligvis ikke en praksis som gør det mindre populært at hacke

er det ikke white-hat hackere vi har med at gøre her? De finder sikkerhedshuller i et system og melder fejlen ud i stedet for at ødelægge noget. Selvfølgelig burde henvendelsen have været direkte til politiet, men det var det jo også tæt på at være.

#10

jeg er i tvivl det kan også være en blackhat, motivet er der jo, men jo tror du har ret i at det nok er en whitehat

Uden at have læst alle indlæggende men kun de første par stykker. vil jeg da også gå ind i en database og læse, for nysgerrighedens skyld. De beder jo næsten selv, om at folk skal kunne læse i deres database hvis der ikke er et stærkt kodeord. "police" er ikke et stærkt kodeord. :-P

#1 Det syntes jeg sku er i orden når de viser at de ikke har styr på sikkerheden.
Der sidder så mange både her på newz og andre steder på internettet og kæfter op om de ikke har noget imod at blive overvåget i hoved og røv. Og politikerne er så overvågnings liderlige.

Dette her er endnu et af de utallige eksempler på at de forskellige instanser ikke formår at holde hemmelige data hemmelige.

Cracker * host * ikke hacker

#14
det er korrekt, men hvor mange mennesker kan fortælle forskellen på de 2 betegnelser?

for at forklare det for dem som ikke gør så er forskellen på de 2 betegnelser opstået fordi whitehat hackere (hackere som ikke begår kriminelle handlinger på nettet men hjælper til at sikre og forbedre det) ikke længere vil hænges ud sammen med crackere (blackhat hackere som bryder ind i andres systemer for egen vindings skyld og eller laver viruser mm.)

What is a hacker: http://catb.org/~esr/faqs/hacker-howto.html#what_is

Jeg synes det er fint nok, der er nogen som gør grin med vores IT-sikkerhed.. fordi ellers bliver den jo ikke forbedret.

#17 well, nu er det den australske sikkerhed der afprøves her, ikke vores ;)

#17 well, nu er det den australske sikkerhed der afprøves her, ikke vores ;)kg (#18)

Du vil blive overrasket hvis du vidste hvor mange Politi enheder rundt i verden der kører med den samme backend.

http://pastebin.com/f477a1516

^ pastebin-loggen

#20 Genialt! Tak skal du have!

Jeg mener at preventiv hacking er fint.

Der er intet galt i at en hacker får adgang til et lukket netværk og efterlader en besked til netværkets administrator om at de har sikkerhedshuller. Det hjælper blot ejerne af netværket.

Jeg har derimod et problem med hackere der stjæler information eller skader en person eller gruppe.

De fleste hackere er egentlig kun nysgerrige og ude efter en udfordring, desværre er internet-kriminalitet så udbredt at en 16-årig der har hacket fx Microsofts servere kommer i fængsel i flere år, også uden at han/hun har stjålet/læst/slettet information.

De burde ansætte personen i stedet for.

#2: Ja, man skal have nogle hardcore white hat hackers til at hjælpe. (Og være sikker på, at de ikke kender nogen af dem.. xD)

Jeg mener at preventiv hacking er fint.

Der er intet galt i at en hacker får adgang til et lukket netværk og efterlader en besked til netværkets administrator om at de har sikkerhedshuller. Det hjælper blot ejerne af netværket.

Jeg har derimod et problem med hackere der stjæler information eller skader en person eller gruppe.

De fleste hackere er egentlig kun nysgerrige og ude efter en udfordring, desværre er internet-kriminalitet så udbredt at en 16-årig der har hacket fx Microsofts servere kommer i fængsel i flere år, også uden at han/hun har stjålet/læst/slettet information.

De burde ansætte personen i stedet for.mireigi (#22)

100% agree.

Cracker * host * ikke hackereliasr (#14)

True.

Uden at have læst alle indlæggende men kun de første par stykker. vil jeg da også gå ind i en database og læse, for nysgerrighedens skyld. rudik (#12)

Husk at lad være med at klynke, når du bliver opdaget og får 6 måneders fængsel.

yderligere er der set eksempler verden over at det faktisk kan betale sig at bryde ind i andres it systemer (der er flere uuddannede hackere der igennem tiden har fået højtstående it sikkerheds jobs efter at være blevet fanget for at have udnyttet sikkerhedshuller hos andre eller lignende) dette er naturligvis ikke en praksis som gør det mindre populært at hackegiabashm (#9)

Det er vist en myte.

Ellers må du gerne nævne nogle dokumentrede eksempler.

#24

Er det ulovligt at besigtige andres ubeskyttede data, da?
Er det ulovligt at logge ind paa politiets database og laese alt, hvis der ikke staar du maa, samt ikke er noget password?

"Breaking and entering"-halloejet er et godt eksempel.
Det er ikke ulovligt at gaa ind i en aaben lejlighed, bil, etc.

Det er foerst ulovligt naar du derefter naegter at gaa, eller goer noget andet der er ulovligt.

Jeg mener at preventiv hacking er fint.

Der er intet galt i at en hacker får adgang til et lukket netværk og efterlader en besked til netværkets administrator om at de har sikkerhedshuller. Det hjælper blot ejerne af netværket.
mireigi (#22)

Ren bullshit.

Virksomheden kan ikke være sikker på at der ikke er lavet skade eller stjålet data, så firmaet er nødt til at reagere udfra en worst case antagelse.

Geninstallere og restore systemet. Evt. tage kontakt til eksterne kunder hvis data er berørt.

Det kan koste millioner af kroner.

Så jo - det er faktisk endda meget galt.

#24

Er det ulovligt at besigtige andres ubeskyttede data, da?
Er det ulovligt at logge ind paa politiets database og laese alt, hvis der ikke staar du maa, samt ikke er noget password?
fidomuh (#26)

Ja !

#28

Hvorfor?
Ligesom det ikke er ulovligt at betraede privat grund, hvis der ikke er skiltning, saa er det ikke ulovligt at gaa ind i et privat hjem og glo paa alt der ligger fremme, hvis der ikke er skiltning.

Saa igen, hvorfor er dette anderledes bare fordi det er elektronisk?

Endnu engang viser det bare at visse folk 'med it kompetenser' ikke har det rigtige job. Man installerer bare ikke xAMP til at udføre noget som helst som skal forestille sig at være bare nogen lunde sikkert, xAMP er fint hvis du skal sætte en test server op i et lukket miljø og banke nogle PHP scripts af...

Men det går bare ikke i produktion!

Hackers/Crackers detbatten og om det er okay..
nej det er ikke okay, er selv rimeligt træt af et bundt tosser i Kina, der for gu ved hvilken gang har forsøgt sig at brute force sig ind på forskellige servere, sjovt nok gætter de altid på man har ladet Administrator kontoen være 'Administrator'.. :D

Desværre er der ikke så meget at gøre ved den slags tosser, da politiet bare siger 'det kan vi ikke gøre noget ved'...

men det her, det er fandme humor :P

#29 Det er jo så netop ulovligt at vade ind i andre folks hjem og glo på deres ting, selvom hoveddøren er åben og der ingen skiltning er, jvf. grundlovens § 72 :)

Hmm, kunne ikke dy mig for at glo på deres 'screenshots'.. og hvad finder man?

AM_kkkk_4chan-search.jpg

4chan :D

Virksomheden kan ikke være sikker på at der ikke er lavet skade eller stjålet data, så firmaet er nødt til at reagere udfra en worst case antagelse.arne_v (#27)

Lad os lige få et par facts på plads her.

Hvis en person finder et hul i en virksomheds computersystem og afprøver hullet og derefter fortæller virksomheden om hullet, så kan de ganske rigtigt ikke vide, hvad vedkommende faktisk har gjort med deres system. (Bortset fra nogle mindre kritiske huller, hvor man stadig kan stole på indholdet af logfiler).

Men, hvis personen aldrig afprøver hullet og blot fortæller virksomheden om det, så kan de stadigvæk ikke vide, om vedkommende faktisk har udnyttet hullet.

Og i begge tilfælde kan virksomheden heller ikke vide, om nogen andre har udnyttet hullet.

I et worst case scenarie er der et andet og langt mere kritisk hul som en helt fjerde person har udnyttet i lang tid.

Det betyder kort sagt, at du er nødt til at trække en linie et sted, man kan alligevel ikke håndtere det værst tænkelige scenarie. Og virksomhedens foranstaltninger burde være nøjagtigt de samme uanset om vedkommende, som fortalte dem om hullet, har udnyttet det eller ej.

Hvor langt er det rimeligt at gå, før man henvender sig til virksomheden omkring et sikkerhedshul? Jeg vil ikke diskutere det juridiske i spørgsmålet, for det ved jeg ikke nok om. Men vi kan diskutere det tekniske og moralske.

Hvis man ser at en webside har et tekstfelt, hvor brugeren kan indtaste tegn i, så kunne der potentielt være mulighed for SQL injection. Hvis man advarer en virksomhed om et muligt sikkerhedshul fordi, der er et tekstfelt på deres hjemmeside, så er man ikke gået langt nok.

Hvis man indtaster et anførselstegn og får en fejlmelding om syntaks fejl fra databasen, så er man efter min mening gået langt nok, men har ikke misbrugt hullet.

Med andre former for sikkerhedshuller kan det være sværere at trække en linie. Der vil altid være et minimum for, hvad man er nødt til at gøre for at konstatere om der er et hul. Hvis de handlinger der skal til for at man kan konstatere eksistensen af et hul i sig selv er ulovlige, så har man totalt afskåret muligheden for at ærlige personer kan opdage et hul og advare virksomheden. Med andre ord er man praktisk taget garanteret, at man først bliver bekendt med hullet, når det bliver misbrugt af kriminelle personer.

En anden udbredt hindring for at virksomheder kan blive advaret af personer som mere eller mindre tilfældigt finder huller i deres systemer er den måde nogle virksomheder håndterer den slags henvendelser på.

Den hyppigste reaktion fra virksomheders side er at ignore problemet. Den næsthyppigste reaktion er at true med sagsanlæg imod personen der advarede dem om hullet.

Hvorfor?fidomuh (#29)

Saa igen, hvorfor er dette anderledes bare fordi det er elektronisk?fidomuh (#29)

Fordi det står klart og tydeligt i loven.

Straffeloven siger:

§ 263.
...
Stk. 2. Med bøde eller fængsel indtil 1 år og 6 måneder straffes den, der uberettiget skaffer sig adgang til en andens oplysninger eller programmer, der er bestemt til at bruges i et informationssystem.

Uberettiget adgang uanset om man gør noget eller ej er strafbart.

#25 << Det er ikke en myte, hvilket du kunne have fundet ved 15 s googling.

##26+29 << Alle dine eksempler er ulovlige. Det er ikke lovligt at bryde ind - uanset hvor let det er. Læs straffeloven (og, jf. 30 Grundloven). Som #34 pointerer.

#27 << Nej, det er sådan, det må være. White hats er den eneste protektivep instans på Internettet, som har en rolle, der minder lidt om Politiets i den fysiske verden.
Det er en white hat eller en black hat. Et sårbart system vil blive kompromitteret. At folk farer efter white hats giver blot black hats frit spil, og at der må reinstalleres, informeres (NOT likely!) osv. er virkrsomhedens (sikkerhedskonsulenters) skyld og tab. Som #31 i mange ord og sætninger skriver.

hvis der ikke er skiltning, saa er det ikke ulovligt at gaa ind i et privat hjem og glo paa alt der ligger fremme, hvis der ikke er skiltning.fidomuh (#29)

Det er iøvrigt også forkert.

Straffeloven:

§ 264. Med bøde eller fængsel indtil 6 måneder straffes den, som uberettiget

1) skaffer sig adgang til fremmed hus eller andet ikke frit tilgængeligt sted,

#34

http://www.netpublikationer.dk/DFFE/1870/html/chapter04.htm har iøvrigt lidt supplerende definitioner:

Diverse definitioner
”Hus eller andet ikke frit tilgængeligt sted” omfatter områder som f.eks. huse, biler, både, telte, haver og aflukkede gårdspladser. Kældre, loftsrum og udhuse er muligvis også omfattet. Der må lægges vægt på, om haver, kældre, loftsrum og udhuse har været aflukket på en sådan måde, at det ikke umiddelbart har været muligt at gå ind.

Der kan ikke generelt stilles noget krav om at lokaliteten har været afspærret, aflåst el.lign.

Lokalitetens art kan være afgørende for, hvor meget aktivitet gerningsmanden skal have udfoldet for ”at skaffe sig adgang”. Hvis det er en privat lejlighed, kan det være tilstrækkeligt, at den fremmede er gået ind. Derimod er det ikke nødvendigvis en husfredskrænkelse at gå ind i en lukket gård, selvom formålet er ulovligt (f.eks. betleri). Der må ofte kræves en opbrydning af en lås, svig etc.

Hvis området ikke har karakter af et lukke, f.eks. på grund af omgivende mur, plankeværk eller hæk, er forholdet alene reguleret af nr. 2. Det er ikke afgørende om indgangen faktisk er låst.

#25 << Det er ikke en myte, hvilket du kunne have fundet ved 15 s googling.rmariboe (#33)

15 sekunder er sjældent nok til at undersøge noget ordentligt.

Jeg ser:
- masser af links til sager hvor nogen har forsøgt at hyre en hacker til at hacke
- en enkelt historie om en 20 årig New Zealandsk hacker som er blevet betalt for at holde nogle foredrag
- en enkelt historie om en 17 årig hacker som skulle have fået et job som web udvikler hos et firma ejet af en 24 årig og hvis egen hjemmeside er nede

Hvor ser du de højtstående IT sikkerheds job til hackere henne?

#29 Det er jo så netop ulovligt at vade ind i andre folks hjem og glo på deres ting, selvom hoveddøren er åben og der ingen skiltning er, jvf. grundlovens § 72 :)Kenman (#30)

Grundlovens paragraf 72 forhindrer myndighederne i at gå ind i hjem uden retskendelse (eller speciel lovgivning).

Den er ikke relevant når private går ind i et hjem.

Hvor langt er det rimeligt at gå, før man henvender sig til virksomheden omkring et sikkerhedshul? Jeg vil ikke diskutere det juridiske i spørgsmålet, for det ved jeg ikke nok om. Men vi kan diskutere det tekniske og moralske.

Hvis man ser at en webside har et tekstfelt, hvor brugeren kan indtaste tegn i, så kunne der potentielt være mulighed for SQL injection. Hvis man advarer en virksomhed om et muligt sikkerhedshul fordi, der er et tekstfelt på deres hjemmeside, så er man ikke gået langt nok.

Hvis man indtaster et anførselstegn og får en fejlmelding om syntaks fejl fra databasen, så er man efter min mening gået langt nok, men har ikke misbrugt hullet.

Med andre former for sikkerhedshuller kan det være sværere at trække en linie. Der vil altid være et minimum for, hvad man er nødt til at gøre for at konstatere om der er et hul. Hvis de handlinger der skal til for at man kan konstatere eksistensen af et hul i sig selv er ulovlige, så har man totalt afskåret muligheden for at ærlige personer kan opdage et hul og advare virksomheden. Med andre ord er man praktisk taget garanteret, at man først bliver bekendt med hullet, når det bliver misbrugt af kriminelle personer.kasperd (#31)

Jeg tror at vi næsten er enige.

Handlinger som viser at der er et problem men som beviseligt ikke kan skaffes sig adgang er OK.

Handlinger som skaffer sig adgang (i en eller anden form) er ikke OK.

Min begrundelse for den klare udmelding på det sidste er at selvom jeg godt kan se at det forhindrer ærlige folk i at gøre en større indsats, så vil det modsatte betyde at uærlige folk frit kunne hacke løs indtil de faktisk kom ind og gjorde noget med undskyldningen "jeg checker bare sikkerheden". Det går ikke.

Nej, det er sådan, det må være. White hats er den eneste protektivep instans på Internettet, som har en rolle, der minder lidt om Politiets i den fysiske verden.rmariboe (#33)

Forkert. Der er faktisk folk som lever af at levere sikkerhed. Og politi som undersøger overtrædelser afloven.

Det er en white hat eller en black hat. Et sårbart system vil blive kompromitteret. At folk farer efter white hats giver blot black hats frit spil, og at der må reinstalleres, informeres (NOT likely!) osv. er virkrsomhedens (sikkerhedskonsulenters) skyld og tab.rmariboe (#33)

Man kan aldrig undskylde forbrydelser med at ofrene ikke har beskyttet sig godt nok.

#32

Stk. 2. Med bøde eller fængsel indtil 1 år og 6 måneder straffes den, der uberettiget skaffer sig adgang til en andens oplysninger eller programmer, der er bestemt til at bruges i et informationssystem.

Uberettiget adgang, foreskriver saa ogsaa at kraenkeren skal vaere klar over at han ikke maa befinde sig "her".

Dette betyder altsaa at der skal vaere en eller anden form for skiltning.
Samtidigt naevner dette ikke noget specifikt om at det skulle vaere ulovligt ved en database der er tilgaengelig fra internettet.

#34

§ 264. Med bøde eller fængsel indtil 6 måneder straffes den, som uberettiget

1) skaffer sig adgang til fremmed hus eller andet ikke frit tilgængeligt sted,

"Frit tilgaengeligt" er jo netop hvad det er, hvis der ikke er skiltning eller aflukning.
Jeg tillader mig at citere:

Der må lægges vægt på, om haver, kældre, loftsrum og udhuse har været aflukket på en sådan måde, at det ikke umiddelbart har været muligt at gå ind.

Hvis der ikke er lukket af, eller laast, saa har det jo netop vaeret "umiddelbart muligt" at gaa ind.
Ingen doer, intet skilt.

Det "staar og falder" paa om personen har vaeret klar over at man ikke maa gaa ind i "huset", men en aaben doer er altsaa ( aaben som i, aaben - ikke ulaast ) ikke foreskrevet som et "lukke".

I bedste fald vil jeg sige at beskrivelsen er ufyldestgoerende, da der ikke er defineret om det er ulovilgt at benytte et aabent system, som ikke har skiltning.
( Igen, lidt i stil med at benytte et aabent Wifi, fx, eller en aaben database. )

Ren bullshit.

Virksomheden kan ikke være sikker på at der ikke er lavet skade eller stjålet data, så firmaet er nødt til at reagere udfra en worst case antagelse.

Geninstallere og restore systemet. Evt. tage kontakt til eksterne kunder hvis data er berørt.

Det kan koste millioner af kroner.

Så jo - det er faktisk endda meget galt.arne_v (#27)

Det er ikke særligt svært at se om der er blevet tilgået data. Det er bare at kigge i systemets logfiler. En preventiv hacker vil typisk kun slette spor der kan bruges til at spore ham/hende.

Opnår man adgang til en server er det én ting, men begynder man at åbne/manipulere filer på serveren overtræder man grænsen.

Der er ikke ret mange der udfører preventiv hacking i dag medmindre de er ansat til at gøre det.