4 år i spjældet for at gætte et dårligt kodeord

En ledende medarbejder hos det professionelle baseball-top St. Louis Cardinals er blevet idømt 46 måneders fængsel for at have skaffet sig adgang til oplysninger hos et konkurrerende hold.

Det er dårlig sikkerhedsskik at genbruge sine kodeord - især hvis man skifter arbejdsplads og bruger det samme kodeord på det nye sted. Men selvom det er dårlig praksis er det ikke ensbetydende med, at man slipper billigt, hvis man udnytter det til at få adgang til fortrolige data.

Det har en ledende medarbejder hos det professionelle amerikanske baseballhold St. Louis Cardinals måttet sande, efter han er blevet idømt 46 måneders fængsel. Det skriver Vice Motherboard.

Medarbejderen leder holdets afdeling for nye talenter, og det dårlige kodeord tilhørte en medarbejder, der tidligere havde arbejdet for Cardinals, men nu var skiftet til det konkurrerende hold Houston Astros.

I forbindelse med skiftet havde medarbejderen afleveret sin arbejdspc og sit kodeord, der var en variantion over 'Eckstein123', hvor Eckstein var navnet på en tidligere stjernespiller hos Cardinals.

Hos Astros genbrugte medarbejderen imidlertid den samme formel med en ny variant over det samme kodeord, og det betød, at Cardinals-medarbejderen var i stand til at gætte kodeordet og få adgang til Astros oplysninger om blandt andet forhandlinger om spillerhandler med andre hold i Major League Baseball.

Selvom der altså ikke er tale om hacking, der har krævet nogen større teknisk indsigt, så afspejler dommen, at det ulovlige er at have skaffet sig uautoriseret adgang til et it-system. Det er ikke enestående for amerikansk lovgivning, at paragraffer om it-kriminalitet ikke skeler til måden, hvorpå man har fået adgang til systemet, men blot ser på, hvorvidt man har skaffet sig adgang uden tilladelse.

Denne fremgangsmåde har medført kritik fra it-sikkerhedseksperter, fordi det betyder, at personer, der falder over sikkerhedsproblemer, risikerer at blive straffet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Christian Münster

Denne fremgangsmåde har medført kritik fra it-sikkerhedseksperter, fordi det betyder, at personer, der falder over sikkerhedsproblemer, risikerer at blive straffet.

Det er vel stadig tyveri at tage en cykel der ikke er låst?

Har man behov for at informere ejer om dette, kan man jo efterlade en seddel - man behøver vel ikke stjæle cyklen og efterlade den et andet sted for at understrege sin pointe?

  • 14
  • 0
Leif Neland

Indbruddet er ulovlig nok, uanset sværhedsgraden, det er vel ikke unikt for IT-indbrud.

Giver det større straf at stjæle en million ved et "mission impossible"-indbrud i en bank end at stjæle en million fra et Franz Jäger i træ hos grossist von Mangepenge?

At jeg og min nabo i mit forrige hus havde samme Rex-nøglenr til hoveddøren gjorde det ikke mindre ulovligt, blot lettere, at gå på tyvetogt. Ikke at vi gjorde det, men det var lettere, når der skulle vandes potteplanter i ferier ;-)

  • 8
  • 0
Heino Svendsen

Så vidt, jeg husker, giver det en højere straf rent faktisk at planlægge / tænke sig om vedr. et kriminelt forhold. Dvs. hvis man laver "Mission Impossible" / "The Heist" i stedet for at gå ind med et oversavet haglgevær, så får man en højere straf, idet det er velovervejet og planlagt og dermed overlagt.

Eksempelvis, har én af de finansielle institutioner i Danmark rigtig god sikkerhedsprofil vendt mod gaden ( kortscannere, fingeraftryk etc. per "junction" ), men hvis man kommer ind blot ved at parkere sin bil længere inde, kan man få adgang til hele bygningen via en fragtelevator beskyttet ( mod baggården ) med en 5 palet Ruko ( længe leve "bankenøgler" ). Hvis man går ind og undersøger sagen, finder ud af dette og vender tilbage, så er det planlagt og giver derfor en hulens mere end blot at vade ind og pande vagten ned.

  • 1
  • 0
Leif Neland
  • 0
  • 0
Dennis Christiansen

Så vidt, jeg husker, giver det en højere straf rent faktisk at planlægge / tænke sig om vedr. et kriminelt forhold. Dvs. hvis man laver "Mission Impossible" / "The Heist" i stedet for at gå ind med et oversavet haglgevær, så får man en højere straf, idet det er velovervejet og planlagt og dermed overlagt.

Det er ikke helt korrekt. Der er muligvist noget om at grundig planlægning kan være med til at forøge straffen, men i dit eksempel vil et "mission impossible" kup (hvor jeg eksempelvist dirker mig ind af en bagindgang, og dirker et pengeskab op) blive takseret som tyveri, mens versionen med det oversavede jagtgevær vil være røveri, hvilket indebærer en langt højere strafferamme. (1.5 års strafferamme ved tyveri, og 6 års strafferamme ved røveri).

  • 3
  • 0
Sune Marcher

Har man behov for at informere ejer om dette, kan man jo efterlade en seddel - man behøver vel ikke stjæle cyklen og efterlade den et andet sted for at understrege sin pointe?

Mjaeh, mjoeh.

I tilfældet artiklen handler om, er der vist ikke tvivl om at password-gætteriet blev gjort for at begunstige angriberen / skade modparten. Det bør naturligvis straffes.

Men i tilfælde hvor en whitehat rapporterer sikkerhedsbrister kan password-gæt/bruteforce være en del af at få adgang - og det bør IMHO ikke straffes. Ja, det er muligvis etisk forkert, men en virksomhed bør sige tak og få fixes deres sikkerhed i stedet for at smide om sig med sagsanlæg.

  • 2
  • 0
Kjeld Flarup Christensen

"Hos Astros genbrugte medarbejderen imidlertid den samme formel med en ny variant over det samme kodeord, og det betød, at Cardinals-medarbejderen var i stand til at gætte kodeordet "

Spændende, Cardinals må selv have rod i sikkerheden, siden han kan vide det.

  • 1
  • 0
Pierre A. Larsen

Ja, det er tyveri at tage en ulåst cykel; men prøv du at få forsikringsselskaberne med på det.

Deri ligger vel også en erkendelse af, at man ikke bør være dummere end politiet tillader...

For nogle år siden gik der en historie om en rig dame fra Nordsjælland, der ud fra råd fra hendes afrikanske heksedoktor gik med ham ud i skoven for at gravet et større pengebeløb ned. Det skulle løse personlige problemer. Hun fortrød senere; men mærkelig nok var både heksedoktor og penge væk.

Jeg tror de fleste ikke anser dette som tilsvarende at bryde ind i et aflåst hus og stjæle pengene.

  • 0
  • 0
Robert Voje

I tilfældet med den rige dame er det snak om svindel, og ikke noget med at bryde ind.

Jeg ville forøvrigt ønske at folk holdt op med at sammenligne alle mulige kriminelle ting på internet med cykler og biler.

  • 1
  • 0
Kjeld Flarup Christensen

Det er blot for at vise, at tyverier naturligvis bedømmes forskelligt afhængig af, om man har beskyttet det stjålne. Det samme må gøre sig gældende for tyveri af data.

Hvis du spørger et forskringsselskab om et tyveri af en ulåst cykel er kriminelt, så er svaret ja.

Spørger du om de vil erstatte det, så er svaret nej.

Det er f.eks. også ulovligt at lade en bil stå med nøglen i, men det ændrer ikke på, at straffen er den samme for den som stjæler bilen.

men mærkelig nok var både heksedoktor og penge væk.

Og hvis man kunne finde heksedoktoren, ville han være henfalden til straf. Selvfølgelig var damen dum, men det skal ikke fritage nogen for straf, eller nedsætte den.

  • 0
  • 0
Log ind eller Opret konto for at kommentere