Dom faldet i kontroversiel børnehave-hackersag

Måske hare infoba overreageret i det her tilfælde, men ingen synes det er sjovt at blive taget med bukserne nede, så det er nok mere hvordan beskeden om en sårbarhed blev overleveret, dvs. i for a stored XSS til brugerne.

Selvom jeg mener Infoba nok har overreageret (udfra den smule information jeg har læst here), så synes jeg stadig ikke det er acceptabelt at injecte scripts. Alle web applikationer har sårbarheder, alle (også Version2 også Danske Bank også Google, alle!), men skulle man finde en sårbarhed i nogle af disse, er det ikke ens ret, hvis udviklingsteamet/sikkerhedsteamet ikke reagerer hurtigt nok, at udnytte sikkerhedshullet, heller ikke for at få opmærksomhed om problemet.

Der er masser af 3. parts sikkerhedstestere og firmaer der godt kan finde ud af at arbejde sammen, men i det her tilfælde virker det mere som en short-coming fra begges sider. Infoba mistede brand-værdi og Henrik Høyer fik bøder – uheldigt for bege parter.

Hvis man nu har fundet er par fejl mere hos Infoba, skal man så bare holde kæft eller sælge/udnytte hullerne? For det er jo bevist at det ikke kan betale sig at være flink... Havde Henrik nu blot delt sin viden på et af de mange forums og en mor så var gået et skridt videre med at se om hendes barn Bobby Tables gik på stedet. Hvor var vi så stået? Infoba var jo nok mere ude at sk*de end de er nu!

Fandt selv for 12-13 år siden en fejl hos et firma i Nørresundby, deres tak var et par flasker rødvin. Den blev fundet ud af kedsomhed/nysgerrighed og gav dem besked om det og det ligner jo meget Henriks sag, blot uden tåberne... Måske er var fordi det ikke var et IT firma som fik ødelagt deres stolthed, at jeg fik et par flasker vin som tak.

https://www.infoba.dk/public/pageContent.aspx?id=30https://www.infoba.dk/materiale/datapolitik.pdf

De har vel aldrig påstået at selve web-løsningen var sikker: 'Til webløsningen hører en database. Det er denne database, denne datapolitik regulerer.'?

Det er jeg ikke helt enig i - både whitehat og blackhat vil påstå de bare testede sikkerheden - der kan selvfølgelig godt være omstændigheder der taler for det ene eller det andet, men i mange tilfælde vil det nok være umuligt at skelne, og ønsker vi at give blackhat nemmere muligheder?

På det tidspunkt, hvor det måske kan være svært for en domstol at vurdere intentionen fra denne - lad os kalde denne X-hat - er sikkerhedsfejlen ført til retsprotokol og altså offentlig kendt. Så fejlen eksistere forhåbentlig ikke længere og i forhold til X-hatten, ja tvivlen skal jo komme den tiltalte til gode. Anklageren har jo kun bevist at vedkommende har testet sikkerheden og fundet et hul. Anklageren har ikke bevist ond intention f.eks. ved at bevise at vedkommende f.eks. har slettet data eller kopieret data o.s.v.

Så hvis jeg med god vilje gerne vil tjekke om Version2 har DDoS protection, er det så også i orden at jeg tester det? :)

Måske. Alt efter omstændighederne, illustrere dit eksempel et spørgsmål, som en domstol skal bruge lidt ekstra tid på. F.eks. om du kender konsekvenserne af din test.

Men der er vel ikke noget odiøst i, at der vil findes grå-zoner, hvor tingene ikke lige ligger til højrefoden. For det er vel dét, dit eksempel skal illustrere?!

Det er immervæk nemmere for alle at forstå en lovgivning der siger "lad være med teste andres systemer" end en lovgivning der siger "nogle gange må du, andre gange ikke - det må en dommer vurdere". :)

Det er et lidt underligt argument at mennesker skal kriminaliseres, fordi lovgivningen ellers bliver for kompliceret. Det er jo helt sort :)

Jeg forstår ikke hvorfor journalisten lader en studentermedhjælper udtale sig på Infobas vegne.

Mathias (https://www.linkedin.com/in/mathias-kupiec-3bbb6083)var ikke til stede i retten og ved intet om fejlene, og har kun ”arbejdet” hos Infoba i 6 uger.

Infoba var tilstede i retten med deres to partnere, hvoraf den ene er deres såkaldte ”it ekspert” Torben Væring (https://www.linkedin.com/in/torbenvaering).

Under retssagen omtalte han fejlen som ”meget pinlig”. Han beskrev også hvordan jeg på 17 minutter havde fundet 3 fejl i systemet hvoraf de 2 var alvorlige. Og indrømmede at det var fejl som de selv burde havde fundet.

Anklagerens tekniske vidne (Han er IT ingeniør fra politiet, men da han ikke har nogen aktier i denne sage undlader jeg at linke til hans profil) omtalte sikkerhedshullet som ”meget kritisk”, og udtalte at ”måden hvorpå anklagede demonstrerede sikkerhedshullet var harmløst”

Jeg synes ikke, at straffen fremgår af artiklen - kunne man håbe på, at den har været symbolsk?

Straffen er på ingen måde symbolsk. Jeg har nu en plet på straffeattesten hvilket formentlig betyder at jeg mister min sikkerhedsgodkendelse. Dette giver mig problemer med at arbejde for de af vores kunder som har personfølsomme oplysninger liggende - og som tager det seriøst.

Nu havde han jo godt nok selv skrevet hacking

De gør jo bare som alle de andre. Fuld teflondragt på så ansvaret glider af. Og så er det belejligt at der er en budbringer man kan skyde skylden på.

Jeg mener godt en domstol kan tolke om en tiltalt har udvist god vilje eller ej,

Det er jeg ikke helt enig i - både whitehat og blackhat vil påstå de bare testede sikkerheden - der kan selvfølgelig godt være omstændigheder der taler for det ene eller det andet, men i mange tilfælde vil det nok være umuligt at skelne, og ønsker vi at give blackhat nemmere muligheder? Med dit argument åbner du for muligheden for at blackhat kan agere whitehat indtil han bliver opdaget eller medmindre en dommer kan vurdere formålet.

Så hvis jeg med god vilje gerne vil tjekke om Version2 har DDoS protection, er det så også i orden at jeg tester det? :)

Det er immervæk nemmere for alle at forstå en lovgivning der siger "lad være med teste andres systemer" end en lovgivning der siger "nogle gange må du, andre gange ikke - det må en dommer vurdere". :)

Så igen, opdager man en sikkerhedsbrist - så lad være med at være kreativ, men meld det. I dag er der endda mulighed for at sive historien til pressen, hvis ikke en anmeldelse fører til noget.

Fint at bødeloftet er hævet, men det nytter som sagt ikke meget hvis datatilsynet ikke forfølger de klare overtrædelser.

Enig. Men det er jo et spørgsmål om vilje og prioritering (økonomi) i samfundet. Som det ser ud nu, vejrer hensynet til skattelettelser, og/eller hjælp til svage, nok tungere end XSS fejl og datatilsyn. I hvert fald indtil en fejl medfører så stort et misbrug, at det overgår de andre ting der fylder i samfundsdebatten. Sådan fungerer det bare, men derfor nytter det ikke noget at folk selv bliver kreative og man kan heller ikke åbne op for at alle amatører frit kan sikkerhedsteste hvad de ønsker.

Såbarheden ser ud til at være en klassik manglende inputvalidering krydret med cross-site scripting.

Med den manglende inputvalidering vil en bruger kunne ændre i URL på i browserlinjen og dermed få adgang til andres personlige data. Det er en klokkeklar overtrædelse af persondataloven. Man kan vælge at kontakte firmaet og gøre dem opmærksomme på fejlen eller anmelde forholdet direkte til datatilsynet. Det sidste har jeg selv prøvet ;) Det kom der ikke meget ud af. Datatilsynet ringede mig op ca 1 år efter anmeldelsen og mente ikke der var nogen sag mere ... da fejlen jo var rettet.

Fint at bødeloftet er hævet, men det nytter som sagt ikke meget hvis datatilsynet ikke forfølger de klare overtrædelser.

Hvis vi tillader at gud og hver mand må vulnerability teste og derefter "hacke" hvad de har lyst til, så åbner vi jo op for at alle kan bruge det som en undskyldning når de bliver taget med fingrene i kagedåsen. "Hr. Dommer, jeg ville ikke have Danske Bank, bare teste om sikkerheden var i orden".

For mig at se er forskellen mellem at tillade vulnerability tests og ikke tillade det, i virkeligheden om de, der anmelder en fejlbehæftet it-installation til leverandøren, skal kriminaliseres.

Jeg mener godt en domstol kan tolke om en tiltalt har udvist god vilje eller ej, f.eks. ved at se på, om vedkommende har kontaktet leverandøren og påpeget problemet og/eller om det primære formål var at omgå sikkerhedsforanstaltninger mv. eller at tilgå data bagved sikkerhedsforanstaltningerne. Altså om vulnerability tests var mål eller middel. For de, hvor det er et middel, er det jo ligegyldigt om det er ulovligt eller ej.

I den konkrete sag har han jo sådan set bare "taget i håndtaget på fordøren og konstateret at den ikke er låst" og anmeldt forseelsen til leverandøren. Så et par flasker rødvin må være på sin plads, ikke et sagsanlæg.

And the winners are: Infoba and the Black hats A match made in heaven :)

...kunne man vel melde både firmaet bag systemet og kommunen til Politiet ? ...eller er det kun Datatilsynet som kan det ?

Desuden kan sagen vel appeleres men så skal det være af rent ideologiske årsager for man risikerer en langt højrre dom.

Men folk skal bare lære, at hvis de opdager en sikkerhedsbrist, så lad være med at være kreative - meld det til datatilsynet.

"Tilsynet har ikke hjemmel til uddele bøder og må kun meget sjældent indgive politianmeldelse. Birgit Kleis kan ikke huske tilfælde, hvor en databehandler er blevet anmeldt for at undlade at svare."

Datatilsynet er en total vitighed, og har sikkert ikke givet en bøde eller været på besøg nogen steder de sidste 10 år, sådan sat helt på spisen De gør som SKAT og Fødevare styrelsen, og 20-30 dobbler kontrol besøgene, ved at ændre den administrative praktis. Hvem skulle kontrolere at den ikke holder.

https://www.version2.dk/artikel/datatilsynet-truede-tdc-med-politianmeldelse-ikke-udlevere-logningsdata-til-kunde-707444

Men der er måske undskyld, de er kun omkring 30 offenlige anstatte, og prisen er endda under million per styk, men der er nok heller ikke mange udgifter til transport

https://www.datatilsynet.dk/fileadmin/user_upload/dokumenter/AArsrapporter/aarsrapport_2014.pdf

meld det til datatilsynet

Og hvordan ser det ud med vores retssystem, når de ikke kan se, at her er tale om banaliteter?

Loven er lige for alle, og det kan være svært at vurdere hvornår noget er en banalitet eller ej, og så er det op til dommerens vurdering. Vi skal gerne sikre at vi alle dømmes nogenlunde ens og ikke afhængig af hvilken dommer der har sagen, så derfor er loven firkantet i nogle tilfælde.

Men folk skal bare lære, at hvis de opdager en sikkerhedsbrist, så lad være med at være kreative - meld det til datatilsynet. Hvis vi tillader at gud og hver mand må vulnerability teste og derefter "hacke" hvad de har lyst til, så åbner vi jo op for at alle kan bruge det som en undskyldning når de bliver taget med fingrene i kagedåsen. "Hr. Dommer, jeg ville ikke have Danske Bank, bare teste om sikkerheden var i orden".

Der bliver vel ingen næste gang,. Det bliver hacket, alle data hentet og system der efter krypeteret eller slettet.

Der lyder så fra udviklerne af systemet "ingen ting", de håber at en backup kan genskabe systemet og tyser det net.

Den nye datalov med 4% straf af omsætningen kunne bruges her. Hvor jeg venter, hvor jeg venter, på nogen får sådan et hack, at de bliver nød til at dreje nøglen. Det er den eneste måde man lære amatøre firmaer som Infoba at have styr på data og sikkerhed.

Man kan håbe det bliver dem som bliver ramt af hameren, selv om der er 2 år til at loven træder i kraft.

At undlade at sikkerhedsteste en løsning er en aktiv handling.

Ergo er det også en aktiv handling at acceptere at ens løsning har utilsigtede features.

En feature må bruges, om den så er til sigtet eller ej, for ellers vil der være mange ting der er ulovligt.

10 dagbøder a 500 kr.

Fonden til fremme af IT-sikkerhed i Danmark må på banen og dække udgiften.

Det fremgår af artiklen at Henrik Høyer er blevet idømt 10 dagbøder.

Dagbøder er et forsøg på at fastsætte en bødestraf på en måde så den rammer rig og fattigt lige hårdt. Det vil sige at den som udgangspunkt svare til den dømtes gennemsnitslige dagsindtægt. Det er nærmre beskrevet i Straffelovens §51:

§ 51. Når bøde i henhold til denne lov idømmes eller vedtages i retten, fastsættes bødestraffen i dagbøder. Dette gælder dog ikke bøder, der pålægges som tillægsstraf til anden retsfølge. Dagbødernes antal bestemmes under hensyn til lovovertrædelsens beskaffenhed og de i § 80 nævnte omstændigheder til mindst 1 og højst 60. Størrelsen af den enkelte dagbod fastsættes til et beløb svarende til den pågældendes gennemsnitlige dagsindtægt, idet der dog ved beløbets fastsættelse bør tages hensyn til bødefældtes livsvilkår, herunder hans formue, forsørgerpligter og andre forhold, der indvirker på betalingsevnen. Dagboden kan dog ikke fastsættes til et lavere beløb end 2 kr.

Jeg ved ikke lige hvad en dagbøde betyder i Henriks tilfælde.

Ja straffen var symbolsk, og den anklagede var en klaphat. Infoba, som burde have sidet på anklagebænken, mener jeg dog har handlet svigagtigt i den her sag. Primært fordi de har kendt til sikkerhedshuller i deres system mens de hårdnakket (indtil for nyligt) har påstået noget andet.

Desværre har den her farce nu dannet præcedens :(

Jeg synes ikke, at straffen fremgår af artiklen - kunne man håbe på, at den har været symbolsk?

10 dagbøder a 500 kr.

Jeg synes ikke, at straffen fremgår af artiklen - kunne man håbe på, at den har været symbolsk?

Nu havde han jo godt nok selv skrevet hacking, men hvornår ved man, at man ikke må f.eks. putte noget javascript ind i en form?

Og hvordan ser det ud med vores retssystem, når de ikke kan se, at her er tale om banaliteter?