4 år i spjældet for at gætte et dårligt kodeord

19. juli 2016 kl. 16:2412
En ledende medarbejder hos det professionelle baseball-top St. Louis Cardinals er blevet idømt 46 måneders fængsel for at have skaffet sig adgang til oplysninger hos et konkurrerende hold.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det er dårlig sikkerhedsskik at genbruge sine kodeord - især hvis man skifter arbejdsplads og bruger det samme kodeord på det nye sted. Men selvom det er dårlig praksis er det ikke ensbetydende med, at man slipper billigt, hvis man udnytter det til at få adgang til fortrolige data.

Det har en ledende medarbejder hos det professionelle amerikanske baseballhold St. Louis Cardinals måttet sande, efter han er blevet idømt 46 måneders fængsel. Det skriver Vice Motherboard.

Medarbejderen leder holdets afdeling for nye talenter, og det dårlige kodeord tilhørte en medarbejder, der tidligere havde arbejdet for Cardinals, men nu var skiftet til det konkurrerende hold Houston Astros.

I forbindelse med skiftet havde medarbejderen afleveret sin arbejdspc og sit kodeord, der var en variantion over 'Eckstein123', hvor Eckstein var navnet på en tidligere stjernespiller hos Cardinals.

Artiklen fortsætter efter annoncen

Hos Astros genbrugte medarbejderen imidlertid den samme formel med en ny variant over det samme kodeord, og det betød, at Cardinals-medarbejderen var i stand til at gætte kodeordet og få adgang til Astros oplysninger om blandt andet forhandlinger om spillerhandler med andre hold i Major League Baseball.

Selvom der altså ikke er tale om hacking, der har krævet nogen større teknisk indsigt, så afspejler dommen, at det ulovlige er at have skaffet sig uautoriseret adgang til et it-system. Det er ikke enestående for amerikansk lovgivning, at paragraffer om it-kriminalitet ikke skeler til måden, hvorpå man har fået adgang til systemet, men blot ser på, hvorvidt man har skaffet sig adgang uden tilladelse.

Denne fremgangsmåde har medført kritik fra it-sikkerhedseksperter, fordi det betyder, at personer, der falder over sikkerhedsproblemer, risikerer at blive straffet.

12 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
12
23. juli 2016 kl. 08:41

Det er blot for at vise, at tyverier naturligvis bedømmes forskelligt afhængig af, om man har beskyttet det stjålne. Det samme må gøre sig gældende for tyveri af data.

Hvis du spørger et forskringsselskab om et tyveri af en ulåst cykel er kriminelt, så er svaret ja.

Spørger du om de vil erstatte det, så er svaret nej.

Det er f.eks. også ulovligt at lade en bil stå med nøglen i, men det ændrer ikke på, at straffen er den samme for den som stjæler bilen.

men mærkelig nok var både heksedoktor og penge væk.

Og hvis man kunne finde heksedoktoren, ville han være henfalden til straf. Selvfølgelig var damen dum, men det skal ikke fritage nogen for straf, eller nedsætte den.

11
22. juli 2016 kl. 22:14

I tilfældet med den rige dame er det snak om svindel, og ikke noget med at bryde ind.

Jeg ville forøvrigt ønske at folk holdt op med at sammenligne alle mulige kriminelle ting på internet med cykler og biler.

8
22. juli 2016 kl. 11:32

Ja, det er tyveri at tage en ulåst cykel; men prøv du at få forsikringsselskaberne med på det.

Deri ligger vel også en erkendelse af, at man ikke bør være dummere end politiet tillader...

For nogle år siden gik der en historie om en rig dame fra Nordsjælland, der ud fra råd fra hendes afrikanske heksedoktor gik med ham ud i skoven for at gravet et større pengebeløb ned. Det skulle løse personlige problemer. Hun fortrød senere; men mærkelig nok var både heksedoktor og penge væk.

Jeg tror de fleste ikke anser dette som tilsvarende at bryde ind i et aflåst hus og stjæle pengene.

7
21. juli 2016 kl. 14:03

"Hos Astros genbrugte medarbejderen imidlertid den samme formel med en ny variant over det samme kodeord, og det betød, at Cardinals-medarbejderen var i stand til at gætte kodeordet "

Spændende, Cardinals må selv have rod i sikkerheden, siden han kan vide det.

6
20. juli 2016 kl. 20:25

Har man behov for at informere ejer om dette, kan man jo efterlade en seddel - man behøver vel ikke stjæle cyklen og efterlade den et andet sted for at understrege sin pointe?

Mjaeh, mjoeh.

I tilfældet artiklen handler om, er der vist ikke tvivl om at password-gætteriet blev gjort for at begunstige angriberen / skade modparten. Det bør naturligvis straffes.

Men i tilfælde hvor en whitehat rapporterer sikkerhedsbrister kan password-gæt/bruteforce være en del af at få adgang - og det bør IMHO ikke straffes. Ja, det er muligvis etisk forkert, men en virksomhed bør sige tak og få fixes deres sikkerhed i stedet for at smide om sig med sagsanlæg.

5
20. juli 2016 kl. 10:24

Så vidt, jeg husker, giver det en højere straf rent faktisk at planlægge / tænke sig om vedr. et kriminelt forhold. Dvs. hvis man laver "Mission Impossible" / "The Heist" i stedet for at gå ind med et oversavet haglgevær, så får man en højere straf, idet det er velovervejet og planlagt og dermed overlagt.

Det er ikke helt korrekt. Der er muligvist noget om at grundig planlægning kan være med til at forøge straffen, men i dit eksempel vil et "mission impossible" kup (hvor jeg eksempelvist dirker mig ind af en bagindgang, og dirker et pengeskab op) blive takseret som tyveri, mens versionen med det oversavede jagtgevær vil være røveri, hvilket indebærer en langt højere strafferamme. (1.5 års strafferamme ved tyveri, og 6 års strafferamme ved røveri).

4
20. juli 2016 kl. 09:54
3
20. juli 2016 kl. 09:05

Så vidt, jeg husker, giver det en højere straf rent faktisk at planlægge / tænke sig om vedr. et kriminelt forhold. Dvs. hvis man laver "Mission Impossible" / "The Heist" i stedet for at gå ind med et oversavet haglgevær, så får man en højere straf, idet det er velovervejet og planlagt og dermed overlagt.

Eksempelvis, har én af de finansielle institutioner i Danmark rigtig god sikkerhedsprofil vendt mod gaden ( kortscannere, fingeraftryk etc. per "junction" ), men hvis man kommer ind blot ved at parkere sin bil længere inde, kan man få adgang til hele bygningen via en fragtelevator beskyttet ( mod baggården ) med en 5 palet Ruko ( længe leve "bankenøgler" ). Hvis man går ind og undersøger sagen, finder ud af dette og vender tilbage, så er det planlagt og giver derfor en hulens mere end blot at vade ind og pande vagten ned.

2
20. juli 2016 kl. 08:51

Indbruddet er ulovlig nok, uanset sværhedsgraden, det er vel ikke unikt for IT-indbrud.

Giver det større straf at stjæle en million ved et "mission impossible"-indbrud i en bank end at stjæle en million fra et Franz Jäger i træ hos grossist von Mangepenge?

At jeg og min nabo i mit forrige hus havde samme Rex-nøglenr til hoveddøren gjorde det ikke mindre ulovligt, blot lettere, at gå på tyvetogt. Ikke at vi gjorde det, men det var lettere, når der skulle vandes potteplanter i ferier ;-)

1
20. juli 2016 kl. 07:58

Denne fremgangsmåde har medført kritik fra it-sikkerhedseksperter, fordi det betyder, at personer, der falder over sikkerhedsproblemer, risikerer at blive straffet.

Det er vel stadig tyveri at tage en cykel der ikke er låst?

Har man behov for at informere ejer om dette, kan man jo efterlade en seddel - man behøver vel ikke stjæle cyklen og efterlade den et andet sted for at understrege sin pointe?