Center for Cybersikkerhed afviser dansk dusørprogram: Ondsindede hackere kan undgå strafforfølgning

Hacking er noget der sker, eller forventes at ske hele tiden, på alt hvad der er på Internet. En dansk lov forhindrer ikke en kineser, russer amerikaner eller nogen andre i at gøre det, eller giver nogen straf til dem, selvom de opdages. Lovens lange arm rækker kun til Sverige.

Der ligger vist en gammel dom, hvor en portscanning blev anset som hacking, og her mener jeg at vi er helt ude det ekstreme. Vi er begyndt at få love i Danmark ude af trit med virkeligheden. Hvis man ikke kan/vil håndhæve loven, så juster den så den passer.

Det er jo værre end det. Her i Danmark har 'det offentlige' lidt den holdning, at hvis du finder en fejl, der giver dig uretmæssig adgang til data, så må du være en skidt fyr, der skal straffes.

// Jesper

At de næste der får adgang til CSC, lægger alt ud til offenligeheden, hvor efter de sletter alt data og ødelægger boot i alle flash enheder.

Det behøves ikke at være en hacker, måske bare en Indisk medarbejder som kvejer sig, eller bliver lidt sur.

»Hvis de bliver opdaget under eller efter et hackingforsøg, vil de således kunne sige, at de agerede som led i et officielt program

Det er da godt et tåbeligt argument, for den lov gælder alligevel ikke for udenlandske statshackere, og ærlig talt så minder det pågældende argument en hel del om det vi har hør om at mænd ikke må skifte børn i vuggestuen fordi nogle mener at alle mænd er pædofile.

I øvrigt vil jeg mene at det er meget bedre at man betaler folk for at finde fejl frem for at straffe folk for det, men det lader åbenbart ikke til at de ansvarlige er i stand til at tænke længere ud over den store bunke pengesedler de får hver måned i løn og bonus.

I øvrigt lykkedes det for mig at hacke en vaskemaskine i min ejendom til at jeg kunne vaske helt gratis, og jeg fadt ud af det ved et uheld, så i følge de ansvarlige burde jeg vel også have en straf for hackning.

”hackere kan bruge det som en en model for, hvordan de kan undgå strafforfølgning”
Hvordan mod de lave fejl finde på deres systemer, hvis de anser det for at være kriminelt, at finde en fejl eller et hack...
OOH.. vendt, det gør de ikke!!!

mere på :: https://quitter.dk/main/public

De skyder sig selv i foden, når de til stadighed ser det som noget kriminelt at indmelde/finde fejl/sikkerheds huller.

Man behøver jo ikke engang at hive det helt store frem, for fx at undersøge om man kan query et bagvedliggende API uhensigtsmæssigt. Men bare det at man prøver bliver set som et hack - jeg behøver altså ikke at lægge serverne ned ved det, og hvis jeg gør, så er der altså noget andet galt..

Hvis jeg da endelig skal rapportere en bug i dag til nogen, sikrer jeg mig virkelig at det ikke vil kunne "misforstås"

Vi sidder en masse kvalificerede folk herude, men vi får "mundkurv" og "håndjern" på - for de ved jo bedre.. suk.
Snæversynethed og kassetænkning præger offentlig it i Danmark.

2 historier fra en hypotetisk arbejdsplads:
1) Nyansat får at vide at nøglekortet til kontoret skal hentes hos sekretæren, men at sekretæren er på ferie de næste to uger.
"Heldigvis" er dørkarmen monteret dårligt, så man kan bare bruge en smør-kniv eller kredit kort til at komme ind.
Dette er også hvad den tidligere indehaver af kontoret gjorde i starten og der kommer ikke nogen vagt og tjekker selv om døren er åbnet uden hverken at tage i håndtaget eller at et nøglekort er tilføjet loggen.

2) Nyansat får at vide at koden til depotrummet med dyrt IT udstyr er 2222 da der i forvejen er 2 kortlæsere for at komme ind i bygningen (undtagen 9-17 hvor de står åbne)

Alle de ansatte kender disse bagdøre.
Men ingen fortæller om dem.
Den nyansatte vil have en VIRKELIG dårlig start på sin karriere ved at anmelde kollegaer til ledelsen.
Efter at have været ansat et par måneder er den ansatte selv så medskyldig at vedkommende frygter sit eget job ved at melde det.

Dette er hvorfor bug bounties virker:
De kan fjerne de bagdøre som ansatte allerede kender, men ikke tør indrapportere af frygt for deres eget job.

Hvis man får en bonus og frit lejde er medarbejderen direkte motiveret til at forbedre sikkerheden.
Uden bug bounty er de finansielt motiveret til IKKE at indrapportere noget.

M.h.t. penetration testing, så er det implicit et krav i den nye persondataforordning; Regulativ 2016/679
(84) the controller should be responsible for the carrying-out of a data protection impact assessment to evaluate, in particular, the origin, nature, particularity and severity of that risk.

Ovenstående kan næsten ikke fyldestgøres uden en penetration test, selv om nogle firmaer nok vil foretrække en workshop med hazard identification, så vil en workshop netop ignorere ikke bare "unknown unknowns" men også de ansattes egne bagdøre som ikke bliver præsenteret.

Det ser dog ud til at staten også skal have adgang til denne data:
(82) In order to demonstrate compliance with this Regulation, the controller or processor should maintain records of processing activities under its responsibility. Each controller and processor should be obliged to cooperate with the supervisory authority and make those records, on request, available to it, so that it might serve for monitoring those processing operations

Reglerne for behandling af data under og efter penetration testing er yderligere detaljeret i (81)
Processor = Penetration Tester
Controller = Company
(81) To ensure compliance with the requirements of this Regulation in respect of the processing to be carried out by the processor on behalf of the controller, when entrusting a processor with processing activities, the controller should use only processors providing sufficient guarantees, in particular in terms of expert knowledge, reliability and resources, to implement technical and organisational measures which will meet the requirements of this Regulation, including for the security of processing. The adherence of the processor to an approved code of conduct or an approved certification mechanism may be used as an element to demonstrate compliance with the obligations of the controller. The carrying-out of processing by a processor should be governed by a contract or other legal act under Union or Member State law, binding the processor to the controller, setting out the subject- matter and duration of the processing, the nature and purposes of the processing, the type of personal data and categories of data subjects, taking into account the specific tasks and responsibilities of the processor in the context of the processing to be carried out and the risk to the rights and freedoms of the data subject. The controller and processor may choose to use an individual contract or standard contractual clauses which are adopted either directly by the Commission or by a supervisory authority in accordance with the consistency mechanism and then adopted by the Commission. After the completion of the processing on behalf of the controller, the processor should, at the choice of the controller, return or delete the personal data, unless there is a requirement to store the personal data under Union or Member State law to which the processor is subject.

Jeg kan varmt anbefale at læse persondataforordningen:
Regulativ 2016/679: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.11...
Direktiv 2016/680: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.11...

Den tager dog nogle dage at komme igennem