PDA

Bekijk Volledige Versie : Inbraak op bedrijfsserver



Smart-Guyz
17/01/09, 20:35
Beste leden van dit forum,

Ik heb een vraag. Begin deze week is er op onze webserver een probleem ontstaan en printe apache plain alle PHP source codes op het scherm van de klanten. Dit is toen snel verholpen en er leken geen klachten binnen te komen.

Vannacht bleek dat de gegevens van onze 2e SQL server ook waren uitgelekt door dit voorval en heeft één van onze gebruikers alle tabellen bekenen en geëxporteerd, dus gedownload. Ook heeft deze gebruiker een shell code achter gelaten.

Dit alles is nu verholpen, maar wel bedrijf kritische gegevens en gebruikers gegevens zijn gestolen door deze gebruiker.

Ik weet welke gebruiker het is geweest, alle logs zijn aanwezig en ik weet de naam en toenaam van de gebruiker. Er was nog een gebruik er van, waarvan ik alleen de user-agent en het IP heb in de logs. Wel is bij beide te zien wat ze hebben gedaan.

Wat zijn mijn juridische mogelijkheden in dit geval?

dreamhost_nl
17/01/09, 20:59
Ik zou direct hiervoor contact opnemen met een advocaat gespecialiseerd in cybercrime en hiervoor niet afgaan op wat er op een forum wordt geopperd. Een consult is over het algemeen gratis.

Smart-Guyz
17/01/09, 21:38
Ik zou direct hiervoor contact opnemen met een advocaat gespecialiseerd in cybercrime en hiervoor niet afgaan op wat er op een forum wordt geopperd. Een consult is over het algemeen gratis.

Uiteraard ga ik dat doen, maar aangezien het weekend is is dat niet mogelijk en leek het mij verstandig om voor de tijd al wat informatie in te winnen over mogelijkheden.

Triloxigen
17/01/09, 21:43
Om een begin te maken kun je een overzicht opstellen van de geleden schade (zoals financiele schade).

Smart-Guyz
17/01/09, 21:56
Om een begin te maken kun je een overzicht opstellen van de geleden schade (zoals financiele schade).
Werk uren kan ik berekenen, meer kosten zijn er op zich nog niet.

Ik bedoel, ze hebben de complete database gedownload, maar hoe bereken ik dat in kosten? Of bedoel je dat niet.

De database bevat o.a. klanten, facturen, offertes, maar ook onze complete SMS gescheidenis, dus die van alle klanten, alle mails die ooit verzonden zijn etc. etc.

wonko
17/01/09, 22:06
zoveel mogelijk voor jezelf houden, zoveel mogelijk bewijsmateriaal verzekeren, en maandag eerste werk naar een advocaat. Daar, en alleen daar, ga je goed geïnformeerd kunnen worden over wat je mogelijkheden zijn en waar je staat.

t.bloo
17/01/09, 23:25
Helemaal niets naar deze partij doen voordat je goed beslagen ten ijs komt. Beter een paar dagen later goed dan eerder niet goed iets aanvangen.

Smart-Guyz
18/01/09, 15:12
Ik weet nu wie beide personen zijn, alleen het is voor mij natuurlijk niet 100% aantoonbaar.
Helaas mag ik geen gegeven verifiëren met provider :P

Ik hoop dat een advocaat mij verder kan helpen, ik houd jullie op de hoogte.

chielsen
18/01/09, 16:26
Ber|Art edit: Ontopic a.u.b.!

ICTRecht
18/01/09, 17:31
Diefstal van bedrijfsgeheimen en het achterlaten van shellcode zijn misdrijven (computervredebreuk). Ook als jij het wachtwoord hebt gelekt(*), want een wachtwoord gebruiken dat je niet mag gebruiken is ook strafbaar.

Je kunt twee dingen doen (en/of):
1) Aangifte doen van computervredebreuk. Maak een afspraak met het politiebureau, want ze zullen iemand moeten zoeken die snapt waar het over gaat.
2) Een civiele zaak starten tegen deze persoon, om je schade vergoed te krijgen. Belangrijkste daarbij is dat je je schade kunt kwantificeren. Zonder nota (meestal) geen vergoeding.

(*) Tip: zet je wachtwoorden in een include file die je niet in (een submap van) de httpdocs directory zet. Dan komt 'ie nooit mee als de PHP code per ongeluk als plain text wordt verstuurd, en kan een aanvaller 'm ook niet handmatig opvragen.

Arnoud

Smart-Guyz
18/01/09, 17:39
Diefstal van bedrijfsgeheimen en het achterlaten van shellcode zijn misdrijven (computervredebreuk). Ook als jij het wachtwoord hebt gelekt(*), want een wachtwoord gebruiken dat je niet mag gebruiken is ook strafbaar.

Je kunt twee dingen doen (en/of):
1) Aangifte doen van computervredebreuk. Maak een afspraak met het politiebureau, want ze zullen iemand moeten zoeken die snapt waar het over gaat.
2) Een civiele zaak starten tegen deze persoon, om je schade vergoed te krijgen. Belangrijkste daarbij is dat je je schade kunt kwantificeren. Zonder nota (meestal) geen vergoeding.

(*) Tip: zet je wachtwoorden in een include file die je niet in (een submap van) de httpdocs directory zet. Dan komt 'ie nooit mee als de PHP code per ongeluk als plain text wordt verstuurd, en kan een aanvaller 'm ook niet handmatig opvragen.

Arnoud

Mijn dank is groot voor je reactie.
Ik wil nog even uitzoeken hoe ik mijn werk uren toonbaar kan maken.
Voor de rest is er geen geleden financiële schade op dit moment.

De persoon in kwestie houd zelf een bedrijf is de zelfde branche, mogelijk dat ik hier iets mee kan, hij is namelijk een concurrent.

Het password was base64 beveiligd, dit is geen zware of moeilijke beveiliging maar hij kwam in ieder geval niet plain in beeld en daardoor denk ik dat de minder computer begaafden niets door hadden. Ook is het voor de persoon in kwestie nog wel even zoeken geweest aangezien de passwords niet in een file stonden waar je zomaar komt.

Maar goed, als ik bij me zelf afreken had ik het password ook makkelijk kunnen vinden als ik er op uit was.

Smart-Guyz
18/01/09, 20:15
De aanvallen blijven door gaan, ik ben er er achter gekomen dat hij backdoors heeft gebouwd en zo nog binnen kon komen, ook deze gaten zijn nu gedicht.

Wederom heeft hij backups gemaakt van onze gegevens, dit maal van een klein en nutteloos deel van onze Databse.

Blacky
19/01/09, 01:48
doen van computervredebreuk.
Volgens mij kan het nog sterker. Computervredebreuk is vergelijkbaar met huisvredebreuk, hetgeen minder streng wordt bestraft dan inbraak.

Volgens mij kun je in dit geval gewoon aanspraak maken op de term inbraak (sinds de Wet ComputerCriminaliteit II van kracht is geworden).

Doch zoals vorige sprekers reeds adviseerden, zoveel mogelijk bewijsmateriaal verzamelen, naar een goede advokaat stappen die thuis is in het cybercrime gebeuren en dan overleggen wat het beste te doen en welke aangifte de meeste kans van slagen heeft, bekeken aan de hand van het materiaal wat je ter beschikking hebt.

Randy
19/01/09, 02:06
Je doet je naar SouceXS wel eer aan :)

Om te beginnen moet je je afvragen hoe het kon dat iemand toegang had tot je server, en waarom je beveiliging - voor zover aanwezig - faalde. Ik zal straks even een audit doen op je eigen server om te kijken hoe veilig deze is. (PCI-C scan)

Je kunt zoals genoemd een aangifte doen, hopen dat je een agent hebt die het snap en hopen dat justitie / OM er wat mee gaan doen. De kans hierop is echter verwaarloosbaar.
Blijft de civiele manier over. Dit werkt ook het snelst. Houdt wel rekening met wat kosten. De laatste keer dat ik bij zoiets betrokken was, is een half jaartje terug toen Google gedagvaard werd. Ik dacht dat de kosten toen ergens op 1200-1500 euro lagen.

Cybafish
19/01/09, 13:29
Kosten zijn afhankelijk van de geleden schade. Als de schade > €5000,- zul je jezelf moeten laten vertegenwoordigen door een advocaat, als de schade lager ligt kun je een civiele prodecure bij de kantonrechter aanhangig maken. Je kunt jezelf dan vertegenwoordigen, hetgeen de kosten natuurlijk behoorlijk drukt.

De burgerlijke rechter neemt je alleen niet aan het handje, dus enige kennis van het recht is wel vereist. Wat voor jou van belang is is art. 6:162BW ev., de onrechtmatige daad. (zo te zien is hier een mooie wiki van: http://nl.wikipedia.org/wiki/Onrechtmatige_daad_(Nederland))

Let wel: zoals Arnoud als aangaf, er is een duidelijk onderscheid tussen een civiele prodecure tot schadevergoeding en een publiekrechtelijke strafzaak, waarbij diegene eventueel veroordeeld kan worden tot boetedoening aan de staat. Het is dus maar net wat je wil.

Smart-Guyz
19/01/09, 18:32
Vandaag gebeld met 0900 8844, daar hebben ze mijn verhaal aangehoord. Zij verwezen mij door naar het politie bureau in mijn gemeente, daar zou ik gewoon aangifte kunnen doen, wel moest ik mijn bewijs stukken mee nemen.

Aangekomen bij de lokale politie afdeling werd ik uitgelachen waar ik bij stond met teksten als: "Computer-vredebreuk, hahahaha, daar heb ik nog nooit van gehoord, het moet niet gekker worden...", maar toch maar in even een kamer in waar ik mijn verhaal kon doen.

Teneerste werd mijn telefoon gesprek met 0900 8844 niet terug gevonden in het systeem en ten tweede kon ik geen aangifte doen, omdat zij simpel weg niet wisten waar ik het over had.

Ik heb mijn verhaal toch gedaan en er werd een notitie van gemaakt en morgen zouden ze een specialist optrommelen om met mij om tafel te kunnen.

Verder heb ik nog gebeld met de KvK om juridisch advies over deze zaak, maar daar hadden ze niemand die daar verstand van had. Ze zouden wel proberen om iemand te vinden en ze zouden mij vandaag terug bellen, ik wacht nog steeds...

Kortom, ik sta weer met de rug tegen de muur en ben nog geen stap verder.

Wat me pissig maakt is dat anno 2009 het nog steeds moeilijk is om een computerspecialist te vinden bij de politie en zelfs bij de KvK.

Triloxigen
19/01/09, 19:11
Ik vind het ook geen zaak van de kvk eigenlijk..

Maar dat het bij de politie nog steeds moeilijk is om aangifte te doen over digitale zaken is om te huilen.
(aan de andere kant heb ik niet de verwachting dat er iets aan zou gebeuren)

Smart-Guyz
19/01/09, 19:41
Ik vind het ook geen zaak van de kvk eigenlijk..

Maar dat het bij de politie nog steeds moeilijk is om aangifte te doen over digitale zaken is om te huilen.
(aan de andere kant heb ik niet de verwachting dat er iets aan zou gebeuren)
Morgen ga ik nogmaals contact zoeken, mogelijk met de KLPD, kijken of zij mij weg wijs kunnen maken, ook ben ondertussen opzoek naar een advocaat die me goed kan helpen, maar die zijn ook op dat gebied niet makkelijk te vinden.

Xeron
19/01/09, 23:12
Bij de politie gaat cybercrime ook niet verder dan "Radicale en terroristische uitingen" en "Kinderporno", doet me altijd weer denken aan de opleiding Digitaal Rechercheur.

Stukje van een persbericht uit 2007 van politie.nl

Hackers
De Regionale Inlichtingendienst van de politie verzamelt informatie over computerhackers(krakers). Hacken is een soort criminaliteit, die zeer verstrekkende gevolgen kan hebben, zowel op gebied van aantasting van de rechtsorde als op het gebied van de openbare orde en (staats)veiligheid.

Meer expertise
De Raad van Hoofdcommissarissen heeft aangekondigd de kennis voor het opsporen van computercriminaliteit uit te breiden. Naast de zeven interregionale digitale expertisebureaus die al actief zijn bij de politie, wordt de komende jaren de expertise op regionaal niveau fors uitgebreid. Elk regiokorps heeft dan specialisten op het gebied van het digitaal rechercheren.

Smart-Guyz
19/01/09, 23:21
Bij de politie gaat cybercrime ook niet verder dan "Radicale en terroristische uitingen" en "Kinderporno", doet me altijd weer denken aan de opleiding Digitaal Rechercheur.

Stukje van een persbericht uit 2007 van politie.nl

Hackers
De Regionale Inlichtingendienst van de politie verzamelt informatie over computerhackers(krakers). Hacken is een soort criminaliteit, die zeer verstrekkende gevolgen kan hebben, zowel op gebied van aantasting van de rechtsorde als op het gebied van de openbare orde en (staats)veiligheid.

Meer expertise
De Raad van Hoofdcommissarissen heeft aangekondigd de kennis voor het opsporen van computercriminaliteit uit te breiden. Naast de zeven interregionale digitale expertisebureaus die al actief zijn bij de politie, wordt de komende jaren de expertise op regionaal niveau fors uitgebreid. Elk regiokorps heeft dan specialisten op het gebied van het digitaal rechercheren.

Kan je me de link naar dit bericht sturen, dit kan ik zeker verder gebruiken.

Xeron
19/01/09, 23:36
Heb je PM gestuurd met links maargoed voor de anderen die het willen weten:

http://www.politie.nl/Gelderland-Zuid/OverDitKorps/Divisie_COZ/digitale_recherche.asp
http://www.politie.nl/Gelderland-Zuid/PolitieABC/Criminaliteit/computercriminaliteit.asp

Cybafish
20/01/09, 00:36
Vandaag gebeld met 0900 8844, daar hebben ze mijn verhaal aangehoord. Zij verwezen mij door naar het politie bureau in mijn gemeente, daar zou ik gewoon aangifte kunnen doen, wel moest ik mijn bewijs stukken mee nemen.

Aangekomen bij de lokale politie afdeling werd ik uitgelachen waar ik bij stond met teksten als: "Computer-vredebreuk, hahahaha, daar heb ik nog nooit van gehoord, het moet niet gekker worden...", maar toch maar in even een kamer in waar ik mijn verhaal kon doen.

Nou ik vind het niet echt om te lachen, geeft wel weer het niveau van de dienstdoende agent aan.

Artikel 138a lid 2 uit het Wetboek van Strafrecht geeft te kennen dat iemand die gegevens van een server plukt waarop hij zich wederrechtelijk bevindt, gestraft kan worden met een geldboete van de 4e categorie (tot €18.500) of een gevangenisstraf van ten hoogste 4 jaren. Niet echt iets om over te lachen dus.

Het staat echter wel ter discussie of hier sprake is van wederrechtelijkheid, aangezien je zelf ook schuld hebt aan het ontstaan van de situatie. In principe waren de gegevens gewoon publiekelijk toegankelijk. Ik denk dan ook niet dat het OM overgaat tot vervolging in dit geval.

Smart-Guyz
20/01/09, 00:43
Nou ik vind het niet echt om te lachen, geeft wel weer het niveau van de dienstdoende agent aan.

Artikel 138a lid 2 uit het Wetboek van Strafrecht geeft te kennen dat iemand die gegevens van een server plukt waarop hij zich wederrechtelijk bevindt, gestraft kan worden met een geldboete van de 4e categorie (tot €18.500) of een gevangenisstraf van ten hoogste 4 jaren. Niet echt iets om over te lachen dus.

Het staat echter wel ter discussie of hier sprake is van wederrechtelijkheid, aangezien je zelf ook schuld hebt aan het ontstaan van de situatie. In principe waren de gegevens gewoon publiekelijk toegankelijk. Ik denk dan ook niet dat het OM overgaat tot vervolging in dit geval.

Nee, dat waren ze niet, ook het wachtwoord niet echt, deze was niet direct te zien, je moest hem echt zoeken, daarna decoden en daar na de server vinden waar het wachtwoord op paste.

Daarbij komt dat ik nooit iemand toestemming heb gegeven om in te loggen en mijn database te downloaden.

Verzekerings technisch maakt dat inderdaad uit, maar gerechtelijk niet dacht ik toch?

Inbraak is inbraak voor het gerecht toch?
Maar goed, als uit de aangifte niks komt kan ik altijd zelf nog een advocaat zoeken die mij wil hebben mijn recht te halen.

Triloxigen
20/01/09, 00:43
Bij de politie gaat cybercrime ook niet verder dan "Radicale en terroristische uitingen" en "Kinderporno", doet me altijd weer denken aan de opleiding Digitaal Rechercheur.

Ik ben ooit gebeld vanwege KP maar wat neer kwam op een naamsverwarring.
Maar uiteindelijk konden ze nog niet achterhalen wie achter de eigenlijk bedoelde naam zat, was geregistreerd bedrijf bij de kvk. Had domeinnamen met kloppende whois, etc.
Maar kwamen bij mij aan om nog wat extra info te vragen, toevallig had ik contact gehad met die persoon omdat ik er niet zo gek op ben als een gelijkende naam met dat soort ongein bezig houd.

Dus echt diepgaande kennis lijken ze niet te hebben :o

Cybafish
20/01/09, 02:47
Nee, dat waren ze niet, ook het wachtwoord niet echt, deze was niet direct te zien, je moest hem echt zoeken, daarna decoden en daar na de server vinden waar het wachtwoord op paste.

Daarbij komt dat ik nooit iemand toestemming heb gegeven om in te loggen en mijn database te downloaden.

Verzekerings technisch maakt dat inderdaad uit, maar gerechtelijk niet dacht ik toch?

Inbraak is inbraak voor het gerecht toch?
Maar goed, als uit de aangifte niks komt kan ik altijd zelf nog een advocaat zoeken die mij wil hebben mijn recht te halen.

Juridisch gezien is dat wel van belang om vast te stellen of er echt sprake is van wederrechtelijk (in strijd met de wet) handelen. Als jij iemand toestemming geeft om de beveiliging van je server eens goed door te spitten, dan kun je diegene vervolgens ook niet (laten) straffen als hij erin slaagt om je beveiliging te breken.

In dit geval zou het wederrechtelijke element moeten zitten in het actief breken van een beveiligingsmaatregel om zich toegang te verschaffen tot de informatie. Als jij dus de PHP modules niet in Apache laadt en daardoor de source met gevoelige informatie op straat gooit, is er geen sprake van wederrechtelijk handelen als iemand die broncode vervolgens opslaat.

Als het wachtwoord echter gecodeerd was opgeslagen, hij vervolgens de code heeft weten te ontcijferen en daarmee op een andere server is ingelogd, dan wordt het een heel ander verhaal. Hij heeft zich daarmee actief ingezet met de bedoeling informatie te vergaren, waarbij hij zich bewust was van het feit dat zoiets niet de bedoeling is. Dolus heet dat met een mooi woord.

---

Mooie theorie allemaal, maar de praktijk is vaak iets gecompliceerder. Je hebt dan te maken met veelal onwetende agenten, waardoor je aangifte al wat moeilijker wordt en vervolgens met een wellicht even onwetende officier van justitie die de zaak dan waarschijnlijk in sepot stelt: niet vervolgt. Misschien, als je op het politiebureau aankomt met een print-out van mijn verhaal over art. 138a Sr en een toelichting weet te geven in de trant van bovenstaande, dat je bot vangt.

Om via een advocaat via de burgerlijke rechter je gelijk te krijgen, kost je nog meer moeite. Je moet dan namelijk vrij nauwkeurig kunnen inschatten waar de geleden schade precies uit staat. Dit moet in dit geval om te toveren zijn naar een getal in de economische sfeer: geld. Ik neem aan dat je geen schadeclaims hebt gehad van je klanten? Weten zij überhaubt dat er gegevens gedupliceerd zijn?

Cybafish
20/01/09, 02:56
Wellicht interessant in deze context, de jurisprudentie m.b.t. computervredebreuk. Zie hier een zaak van 24 oktober jl. waarin twee voormalige ambtenaren inloggegevens hebben gebruikt om zich toegang te verschaffen tot databanken dat niet (meer) voor hen voor raadpleging bestemd was.

http://www.rechtspraak.nl/Gerechten/Rechtbanken/s-Gravenhage/Actualiteiten/Voorwaardelijke+taakstraffen+en+vrijspraak+in+GPD-zaak.htm

Zaaknummers zijn daar ook te vinden.

Smart-Guyz
20/01/09, 03:06
@Cybafish, bedankt! Je post echt informatie waar ik hopelijk iets mee kan.
Ik heb op dit moment veel leesvoer in ieder geval.

Ik denk dat ik morgen eerst maar eens ga zorgen dat ik überhaupt aangifte kan doen, dus ik ga mijn zinnen zetten op een afspraak met een digitaal rechercheur.

Ik heb vele pagina's vol aan bewijzen, zoals de FTP, HTTP en MESSAGES log.
Ook heb ik veel informatie verzameld waarmee ik kan aantonen wie de persoon in kwestie is.

Ik kan alleen maar hopen op een goede afloop, maar dat laat ik hier weten, ik houd jullie up to date.

reef
20/01/09, 04:44
@Cybafish, bedankt! Je post echt informatie waar ik hopelijk iets mee kan.
Ik heb op dit moment veel leesvoer in ieder geval.

Ik denk dat ik morgen eerst maar eens ga zorgen dat ik überhaupt aangifte kan doen, dus ik ga mijn zinnen zetten op een afspraak met een digitaal rechercheur.

Ik heb vele pagina's vol aan bewijzen, zoals de FTP, HTTP en MESSAGES log.
Ook heb ik veel informatie verzameld waarmee ik kan aantonen wie de persoon in kwestie is.

Ik kan alleen maar hopen op een goede afloop, maar dat laat ik hier weten, ik houd jullie up to date.

Je bent heel druk bezig met het verzamelen van allerlei materiaal maar is die 'inbreker' nu al van je server af? Ik zou dat zo snel mogelijk oplossen, desnoods server opnieuw formatteren. :)

Verwacht niet teveel van rechtszaken in NL. De rechter is net een baby die niks weet en die zal willen schikken. En jij bent de eisende partij. Als de tegenpartij niet wil schikken zal er een onafhankelijk expert ingehuurd moeten worden. Dan ben je zo een jaar en 40000 euro verder die jij moet voorschieten. En dan is het nog niet eens zeker of er een uitspraak komt. Zulke dingen lijken me bijna alleen te doen te zijn als je als bedrijf een team juristen in vaste dienst hebt, dan kan je het wel proberen maar als kleine zelfstandige zou ik er niet eens aan beginnen. Okee, hij heeft wat geinstalleerd maar de meeste code is toch gewoon voor iedereen te zien (dus te downloaden) geweest...

Magus
20/01/09, 10:55
Laat de agent zoeken op http://pkn (politie kennis net). Hij zal ongetwijfeld het volgende dan vinden:


Art. 138a
1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan. Van binnendringen is in ieder geval sprake indien de toegang tot het werk wordt verworven:
a. door het doorbreken van een beveiliging,
b. door een technische ingreep,
c. met behulp van valse signalen of een valse sleutel, of
d. door het aannemen van een valse hoedanigheid.
2. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of overgedragen door middel van het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, aftapt of opneemt.
3. Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk gepleegd door tussenkomst van een openbaar telecommunicatienetwerk, indien de dader vervolgens
a. met het oogmerk zichzelf of een ander wederrechtelijk te bevoordelen gebruik maakt van verwerkingscapaciteit van een geautomatiseerd werk;
b. Bespreking door tussenkomst van het geautomatiseerd werk waarin hij is binnengedrongen de toegang verwerft tot het geautomatiseerd werk van een derde.

Dan hebben we nog wat uitleg erbij:


Artikel 138a is het wetboek ingevoegd bij de wet van 23 december 1992, Stb. 1992, 33 (Wet computercriminaliteit), en stelt als schuldig aan computervredebreuk strafbaar hij die:
- opzettelijk;
- wederrechtelijk;
- binnendringt in een geautomatiseerd werk of in een deel daarvan.


Binnendringen in (deel van) geautomatiseerd werk

Er is in ieder geval sprake van binnendringen als de toegang tot het werk wordt verworven:
a. door het doorbreken van een beveiliging;
b. door een technische ingreep;
c. met behulp van valse signalen of een valse sleutel, of
d. door het aannemen van een valse hoedanigheid.

Computervredebreuk

De hier omschreven gedraging betreft het zogenaamde hacken, de computerinbraak. De strafbaar gestelde gedragingen zijn enigszins te vergelijken met die van huisvredebreuk. De benaming computervredebreuk sluit daarbij dan ook aan.

Begrip binnendringen in artikel 138a

Het woord binnendringen heeft volgens de nota naar aanleiding van het eindverslag van de Tweede Kamer dezelfde betekenis als in artikel 138: zich de toegang verschaffen tegen de onmiskenbare wil van de rechthebbende. Die wil kan blijken doordat een beveiliging is aangebracht, maar ook op andere wijze.


Begrip valse sleutel

Het begrip ‘valse sleutel’ kan zowel in letterlijke als in overdrachtelijke zin worden opgevat. Wanneer bijvoorbeeld de betreffende computer met een slot is afgesloten, is ieder niet tot de opening van dat slot bestemd voorwerp een valse sleutel (art. 90). Naar de mening van de Minister van Justitie (nota van wijziging) kan echter ook een wachtwoord onder het begrip valse sleutel vallen.


Begrippen gegevens en geautomatiseerde werk

Zie voor de begrippen ‘gegevens’ en ‘geautomatiseerde werk’ de artikelen. 80quinquies en 80sexies en de bespreking daarvan in paragraaf 12.2 (onder de kopjes Artikel 80quinquies en Artikel 80sexies).


Enkele gekwalificeerde vormen van computervredebreuk strafbaar

In artikel 138a lid 2 en 3 zijn enkele gekwalificeerde vormen van computervredebreuk strafbaar gesteld:
1. computervredebreuk, als de dader vervolgens gegevens die zijn opgeslagen, worden verwerkt of overgedragen via het geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, voor zichzelf of een ander overneemt, aftapt of opneemt (art. 138a lid 2);
2. computervredebreuk gepleegd door tussenkomst van een openbaar telecommunicatienetwerk (art. 138a lid 3), als de dader vervolgens:
a. met het oogmerk zichzelf of een ander wederrechtelijk te bevoordelen gebruikmaakt van de verwerkingscapaciteit van een geautomatiseerd werk;
b. door tussenkomst van het geautomatiseerde werk waarin hij is binnengedrongen de toegang verwerft tot het geautomatiseerde werk van een derde.

En erg interessant in deze case:



Art. 138a lid 2: kopiëren gegevens na geslaagde hacking

In artikel 138a lid 2 gaat het volgens de Minister van Justitie (tweede nota van wijziging) om het kopiëren van gegevens na een geslaagde hacking. Het louter oproepen van de gegevens op het eigen beeldscherm kan niet als kopiëren worden aangemerkt. Het moet gaan om een vastlegging die een duurzaam karakter kan hebben, zoals het vastleggen op papier (bijvoorbeeld door printen), of het op de eigen harde of zachte schijf zetten (zoals een cd-rom of USB-stick).

santema
20/01/09, 12:35
Vandaag gebeld met 0900 8844, daar hebben ze mijn verhaal aangehoord. Zij verwezen mij door naar het politie bureau in mijn gemeente, daar zou ik gewoon aangifte kunnen doen, wel moest ik mijn bewijs stukken mee nemen.

Aangekomen bij de lokale politie afdeling werd ik uitgelachen waar ik bij stond met teksten als: "Computer-vredebreuk, hahahaha, daar heb ik nog nooit van gehoord, het moet niet gekker worden...", maar toch maar in even een kamer in waar ik mijn verhaal kon doen.

Teneerste werd mijn telefoon gesprek met 0900 8844 niet terug gevonden in het systeem en ten tweede kon ik geen aangifte doen, omdat zij simpel weg niet wisten waar ik het over had.

Ik heb mijn verhaal toch gedaan en er werd een notitie van gemaakt en morgen zouden ze een specialist optrommelen om met mij om tafel te kunnen.


Bekend probleem, meest luie volk van Nederland die politiemensen op het bureau, als je het mij vraagt kunnen ze politiebureau's (zoals hier in Roden) gewoon sluiten en je gewoon doorverwijzen naar het postkantoor. Kon hier geen aangifte van een aanrijding doen (man was doorgereden), omdat het in Amsterdam gebeurd was, alle gegevens bekend verder. Eerste keer kwam ik om kwart voor 12, moest ik om half 2 terugkomen omdat ze om 12 uur pauze hadden, om half 2 teruggekomen, toen vertelden ze dat ik maar naar Amsterdam moest gaan voor aangifte.

Ik denk dat je met je zaak weinig verder komt, als door jouw fout de gegevens publiekelijk toegangkelijk zijn...

Smart-Guyz
20/01/09, 12:41
Zojuist ben ik gebeld door de lokale politie.
Zei hebben een "specialist" op dit gebied opgezocht en ik kan zo meteen contact opnemen met deze beste meneer welke een afspraak met mij wil maken.

Het lijkt er op dat ik nu dan toch serieus word genomen.

Aero IT
20/01/09, 13:17
Zojuist ben ik gebeld door de lokale politie.
Zei hebben een "specialist" op dit gebied opgezocht en ik kan zo meteen contact opnemen met deze beste meneer welke een afspraak met mij wil maken.

Het lijkt er op dat ik nu dan toch serieus word genomen.

Nu afwachten hoe specialistisch deze "specialist" is in deze zaak.

Smart-Guyz
20/01/09, 13:45
Zojuist heb ik gebeld met de "specialist", hehe. Om moedeloos van te worden.
Het betreft hier een Windows specialist en deze heeft van linux systemen geen kaas gegeten.

Wat mij nu is beloofd dat hij contact gaat zoeken met de digitale recherche om te kijken wat er nodig is om mijn aangifte op te nemen en hoe dit moet worden gedaan. Met andere woorden, ik kom dan weer met iemand om de tafel die geen flauw idee heeft wat ik hem vertel.

Ik zij op dat moment tegen deze man, "Misschien een stom idee, maar is het niet mogelijk dat ik zelf om te tafel gaan met een digitaal rechercheur, ongeacht welke afstand ik dan moet afleggen".

Zijn antwoord was, "Nee, dat doen ze niet, daar zijn ze veel te druk voor, deze mensen nemen geen aangifte op".

Eind deze week wordt er contact met mij opgenomen.
Ik gaf aan dat ik dit vrij laat vond, aangezien ik dan al een week na het incident zat.
Het antwoord was, "Ja maar meneer, u bent niet de enige die het druk heeft..."

Wederom weer niet serieus genomen.

DutchTSE
20/01/09, 13:54
Beetje slappe discussie over "de politieagent die niks van ICT weet"..

Ze zijn politieagent, geen ict-er, en ict is maar een klein deel van "wat er mis kan gaan". Bij mijn aangifte had ik een politieagent die zich in zijn vrije tijd wel voor ICT interesseerde en ik kon hem dan ook rustig uitleggen dat ik module X moest compilen voor apache.. die mazzel moet je dan gewoon hebben.

Van een brandweerman hoef je ook geen medische hoogstandjes te verwachten die een arts wel kan uitvoeren, en ook niet iedereen kan een brandje van formaat blussen. Ieder zijn vak.. hun zijn politieagent en geen ict-er. Als ze voor iedere snotaap die aangifte komt doen van hacken een diepgravend onderzoek moeten starten dan mag het budget wel ver-100-dubbeld worden. Zo ligt het helaas in Nederland, bevalt het je niet moet je geen links stemmen, of emigreren :rolleyes:

Smart-Guyz
20/01/09, 13:58
Beetje slappe discussie over "de politieagent die niks van ICT weet"..

Ze zijn politieagent, geen ict-er, en ict is maar een klein deel van "wat er mis kan gaan". Bij mijn aangifte had ik een politieagent die zich in zijn vrije tijd wel voor ICT interesseerde en ik kon hem dan ook rustig uitleggen dat ik module X moest compilen voor apache.. die mazzel moet je dan gewoon hebben.

Van een brandweerman hoef je ook geen medische hoogstandjes te verwachten die een arts wel kan uitvoeren, en ook niet iedereen kan een brandje van formaat blussen. Ieder zijn vak.. hun zijn politieagent en geen ict-er. Als ze voor iedere snotaap die aangifte komt doen van hacken een diepgravend onderzoek moeten starten dan mag het budget wel ver-100-dubbeld worden. Zo ligt het helaas in Nederland, bevalt het je niet moet je geen links stemmen, of emigreren :rolleyes:

Dus jij zegt met andere woorden dat voor misdaden waar de politie niets van weet je geen aangifte kan doen?
Met andere woorden dat als de politie niets weet van auto's, je geen aangifte kan doen van inbraak in je auto?

Dit vind ik echt de domste post die ik heb gezien.
Daarbij komt dat ik dit hier post omdat veel mensen meer weten dan één.
Dus ik wil graag enige hulp.

Triloxigen
20/01/09, 14:09
Beetje slappe discussie over "de politieagent die niks van ICT weet"..

Ze zijn politieagent, geen ict-er,

Dan moeten ze je nog serieus nemen en nog een aangifte verwerken.

Maar al gaat het om vernieling, doen ze er net zo goed niks mee ;)

DutchTSE
20/01/09, 14:27
Dus jij zegt met andere woorden dat voor misdaden waar de politie niets van weet je geen aangifte kan doen?
Met andere woorden dat als de politie niets weet van auto's, je geen aangifte kan doen van inbraak in je auto?

Dit vind ik echt de domste post die ik heb gezien.
Daarbij komt dat ik dit hier post omdat veel mensen meer weten dan één.
Dus ik wil graag enige hulp.
Als ik die indruk met mijn post wek, sorry dan. Natuurlijk moeten ze een aangifte opnemen, maar als ze over 1 probleempje 1 aangifte krijgen dan moet je niet verwachten dat ze er een team rechercheurs van 30 man op de zaak gaan zetten, dat is wat ik duidelijk wil maken. Prioriteiten *3, hoewel ik absoluut van mening ben dat die niet liggen bij bonnetjes uitschrijven voor te hard rijden. Maar als jij wilt dat er snel gehandeld wordt dan moet je zelf die rechtszaak aanspannen, en dat kost geld ja.


Dan moeten ze je nog serieus nemen en nog een aangifte verwerken.

Maar al gaat het om vernieling, doen ze er net zo goed niks mee ;)
Mijn aangifte ging over oplichting, er is mij van te voren door iedereen verteld dat er niks actiefs mee gedaan zou worden (dader was bekend, ze gingen hem echter niet oppakken oid), maar dat mijn aangifte wel meehielp omdat er tegen deze persoon meerdere aangiftes bekend waren, en het dus voor het totaalbeeld wel weer meehielp :) (uh, snap je :D)

Freakingme
20/01/09, 14:33
Ik denk dat je met je zaak weinig verder komt, als door jouw fout de gegevens publiekelijk toegangkelijk zijn...

Dat is echt onzin. Als mijn sleutels een keer voor mijn huis uit mijn zak vallen, en iemand gebruikt die sleutels om zich toegang te verschaffen tot mijn huis, dan mag dat niet. Of de sleutel nou publiekelijk beschikbaar was of niet...

Smart-Guyz
20/01/09, 14:50
Dat is echt onzin. Als mijn sleutels een keer voor mijn huis uit mijn zak vallen, en iemand gebruikt die sleutels om zich toegang te verschaffen tot mijn huis, dan mag dat niet. Of de sleutel nou publiekelijk beschikbaar was of niet...

Dit klopt naar mijn mening. Ik heb niemand, maar dan ook niemand het recht gegeven om toegang te krijgen tot mijn systeem en de bedrijfsgegevens te kopiëren. Ook heb ik geen toestemming gegeven om een zogenaamde "backdoor" achter te laten.

Xeron
20/01/09, 16:39
Dit klopt naar mijn mening. Ik heb niemand, maar dan ook niemand het recht gegeven om toegang te krijgen tot mijn systeem en de bedrijfsgegevens te kopiëren. Ook heb ik geen toestemming gegeven om een zogenaamde "backdoor" achter te laten.

Als ik zo kijk gaat de rechter dit als 2 verschillende punten behandelen, deel 1 van het toegang krijgen tot de informatie uit de database, en deel 2 een backdoor plaatsen en opnieuw toegang verkrijgen tot het systeem.

Lijkt mij dat mocht deel 1 falen bij een rechter dat er altijd nog deel 2 is waar je lijkt me toch niet zo makkelijk omheen kan.

Smart-Guyz
20/01/09, 16:42
Als ik zo kijk gaat de rechter dit als 2 verschillende punten behandelen, deel 1 van het toegang krijgen tot de informatie uit de database, en deel 2 een backdoor plaatsen en opnieuw toegang verkrijgen tot het systeem.

Lijkt mij dat mocht deel 1 falen bij een rechter dat er altijd nog deel 2 is waar je lijkt me toch niet zo makkelijk omheen kan.

Klopt, ik zat zelf ook al aan meer dingen te denken, gezien het feit de tegen partij ook een bedrijf is in de zelfde sector.

Triloxigen
20/01/09, 16:50
Mijn aangifte ging over oplichting, er is mij van te voren door iedereen verteld dat er niks actiefs mee gedaan zou worden (dader was bekend, ze gingen hem echter niet oppakken oid), maar dat mijn aangifte wel meehielp omdat er tegen deze persoon meerdere aangiftes bekend waren, en het dus voor het totaalbeeld wel weer meehielp :) (uh, snap je :D)

Mijn auto is een keer vernield voor de deur, flinke schade maar politie deed er ook niks mee.
Behalve brieven sturen als "na onderzoek heeft het niks opgeleverd" (logisch,a als er geen onderzoek is geweest).

t.bloo
20/01/09, 17:04
Ik had een keer in Nijmegen schade aan de auto opgelopen. Kon ik thuis in Eindhoven geen aangifte van doen...

En ik kon met een inbraakje ook niet terecht bij het politiebureau bij mijn werk, een wijk verderop...

ICTRecht
20/01/09, 17:05
Gezien de aard van de handelingen en de schade zou ik adviseren om zelf een rechtszaak te beginnen in plaats van te wachten/hopen op politie en OM. Als je weet wie het is, en je weet wat je schade is, dan lijkt het me sterk dat je die schade niet kunt verhalen.

Arnoud

Smart-Guyz
20/01/09, 17:10
Gezien de aard van de handelingen en de schade zou ik adviseren om zelf een rechtszaak te beginnen in plaats van te wachten/hopen op politie en OM. Als je weet wie het is, en je weet wat je schade is, dan lijkt het me sterk dat je die schade niet kunt verhalen.

Arnoud

Wat mij dwars zit is dat deze persoon een kopie heeft van bedrijfsgegevens.
Hij heeft dus een kopie van de door ons gemaakte en beheerde software maar ook van ons klanten en leden bestand.

Gezien het feit wij een SMS Dienstverlener zijn heeft hij ook inzicht gehad en een kopie gemaakt van alle SMS berichten welke via onze gateway verzonden zijn.

ICTRecht, mogelijk dat u mij verder kan helpen of adviseren?

ICTRecht
20/01/09, 18:33
Je kunt in een kort geding eisen dat hij (op straffe van een dwangsom) de bestanden en gegevens wist. Dat kan in combinatie met een eis voor schadevergoeding, maar gezien de spoed is het misschien slimmer om het apart te doen.

Mail me even (a.engelfriet@ictrecht.nl) als je dit verder wilt bespreken.

Arnoud

mikeh
23/01/09, 19:11
Hi,
Neem aan dat je ondertussen al je lekken gedicht/gepatcht hebt. Heb je ook op maliciouse software gecheckt, zoals rootkits, bindshells en andere vuige code ?

Tegenwoordig zijn er al een hele hoop geavanceerde rootkits op de markt die _NIET_ door een chkrootkit of een andere rootkit hunter gedetecteerd wordt.
Lijkt me zowieso uitermate verstandig om je server te reinstallen en te voorzien van nieuwe disks (denk aan geinfecteerd mbr etc) en om alle code van je kanten te laten checken door een php/xml/html... / guru op maliciouse code. (of zit je te wachten op schadeclaims?)

Het lijkt me dan ook uitermate logisch om geen ssh access meer te geven aan je klanten naas jezelf en sudo. Er zijn immers genoeg CMS’en op de markt die veel meer gebruiksgemak bieden tegenover je klanten.

Dus nog wat tips:
--Update je software handmatig, update het OS ook regelmatig (check www.your-OS.tld voor riskante / high risk updates, meld je desnoods aan op de mailing list)
--Draai in chrooted / jails
--Gebruik een firewall die niet alleen incoming maar ook uitgaande connecties tegenhoudt (dan is het bijv niet meer mogelijk voor de “hacker” om een reconnect back Shell of een bindshell te gebruiken)
--Gebruik ssh-keys
….
Zo kan ik nog wel ff doorgaan

Mocht je vragen hebben omtrent security, geen nood, wij zijn hier om te helpen.
Verder wens ik je veel suc6.

Groetjes,

Mike

Smart-Guyz
06/03/09, 01:08
Afgelopen vrijdag heb ik eindelijk aangifte kunnen doen.
De aangifte duurde ong. 4 uur, een lange zit dus, omdat alles in beschaafd Nederlands moest en alles moest ook begrijpbaar zijn voor een ander die het leest.

De agent in kwestie melde mij dat het sowieso een zaak werd aangezien het bewijs wat aanwezig wat. Dit bewijs is een complete map met linux logs en er waren papieren aanwezig met daarin de link van het IP naar een persoon.

Het is nu even afwachten wie de aangifte gaat behandelen, aangezien de plaats delict Amsterdam was (daar waar de server staan).

De agent wist mij te vertellen dat deze zaak werd opgenomen door het OM en dat als de rechter in kwestie een voorbeeld wil stellen bij een eventuele veroordeling, dat er zelfs een gevangenis straf aan kan zitten. Indien dit niet het geval is, wordt het een geld boete of een taakstraf.

Ik laat het vervolg nog horen.

Indien iemand anders een soort gelijke zaak krijgt en niet weet hoe hij/zij dit moet aanpakken. Bellen met het landelijke nummer 0900-8844. Aangeven dat je aangifte wilt doen van computer vredebreuk. De agent zal je dan doorverbinden.

Daar eveneens aangeven dat je aangifte wilt doen van computer vredebreuk. Geef duidelijk aan dat er spoed bij is en dat je met iemand wilt spreken met meer dan het gemiddelde computer ervaring. Geef ook aan welk bewijs je hebt. Ze gaan je dan terug bellen, duurt dit langer dan een dag, gewoon zelf weer bellen. Vergeet nooit de agent haar/zijn naam te noteren, zo kan je altijd personen aanwijzen op de dingen die ze beloven/zeggen te doen.
Na ong. 3 of 4 keer bellen in mijn geval, werden ze het zat en gingen ze echt iets doen.
Wederom, ook daarna, blijven bellen over de status van het onderzoek.
Neem echt elk bewijs stukje wat je maar hebt mee. Bereid je zaak goed voor, zorg er voor dat wat je verteld voor iedereen goed te volgen is, dit scheelt bij de aangifte.

Ik ben nu de troste eigenaar van een aangifte map met daarin 4 A4'tjes vol aan tekst, nu hopen dat de rest van de zaak ook goed gaat verlopen.

Ik ben de eerste persoon in de regio Twente welke aangifte doet m.b.t. computer vredebreuk :D

P.S.: De politie wijzen op eigen documentatie hielp in mijn geval ook, zo wees ik hen op de volgende documenten:

http://www.politie.nl/Gelderland-Zuid/OverDitKorps/Divisie_COZ/digitale_recherche.asp
* Ik gaf hierbij aan dat er duidelijk vermeld wordt een afspraak te maken via het Landelijke nummer, maar dat dit niet mogelijk leek te zijn, de afspraak volgde snel daarna.

http://www.politie.nl/Gelderland-Zuid/PolitieABC/Criminaliteit/computercriminaliteit.asp
* Ik verwees in dit document naar "Meer expertise" en naar de zin "Elk regiokorps heeft dan specialisten op het gebied van het digitaal rechercheren." En dat het nog flink zoeken was om deze "expertise" te vinden, ook dit resulteerde in een vlotte gang van zaken

http://www.security.nl/artikel/18072/Heemskerk:_Doe_vaker_aangifte_van_cybercrime.html
* Ook verwees ik meerdere malen naar links zoals deze om aan te geven dat de overheid graag wil dat we meer aangifte doen, maar dat het onmogelijk wordt gemaakt door de weg er naar toe, ook dit hielp af en toe voor bepaalde handelingen, niet heel veel maar toch iets.

tim427
06/03/09, 11:09
Nu afwachten hoe specialistisch deze "specialist" is in deze zaak.

Die specialisten worden vaak ingehuurd.. Politie doet zelf vrij weinig op dat gebied.

Het zijn vaak kleinere bedrijfjes die zich hier in hebben gespecialiseerd.

cyrano
06/03/09, 12:17
Ik ontdek deze draad nu pas, sorry.

Een belangrijk aspect is hier nog niet aangeroerd: Vooraleer je lekken gaat dichten, software upgraden of wat dan ook, altijd een image maken van de server. Liefst dan nog in aanwezigheid van competente getuigen, dan dat image deponeren (eventueel bij een deurwaarder) zodat je de datum van maken onomstotelijk kan bewijzen. Competente getuigen zijn bv. een ingehuurde, onbekende IT collega en een agent of een deurwaarder. Dan meteen de HD met het image in een envelop, verzegeld dmv iedereen's handtekening.

Nu heb je logs, maar wie kan vertellen of die kloppen qua inhoud en tijd? Juist, alleen jijzelf kan dat. En dat is een zeer groot probleem.

Ideaal zou zijn dat je de server meteen door een backupserver kan vervangen en de originele onaangeroerd kan laten. Maar vermits je vaak geen extra server bij de hand hebt, wordt dat moeilijk.

Zoals de zaak nu uitschijnt, maak je geen kans als de dader een goede, ter zake comptente advokaat heeft. Die maakt brandhout van het bewijsmateriaal. Ik heb al zaken met heel weinig bewijs weten winnen doordat de procedures gevolgd waren en zaken waarbij heel veel duidelijk bewijs (voor IT'ers) was weten verliezen omdat simpelweg niet kon bewezen worden dat de datum en tijd klopte.

R_D
06/03/09, 13:59
Wat nou als je concurrent op zijn eigen server (waarvan hij toegang heeft gekregen naar jouw server) zijn eigen systeem voorzien heeft van backdoors?
Wanneer dan eventueel zijn server gecontroleerd wordt, dan lijkt het erop dat die gehacked is en heb je het volgende probleem. Bewijs dan maar dat je concurrent het heeft gedaan.

Hij heeft blijkbaar al vaker backdoors geinstalleerd.

Succes en een schone installatie lijkt mij de enige juiste oplossing.

Smart-Guyz
09/03/09, 01:10
Ik ontdek deze draad nu pas, sorry.

Een belangrijk aspect is hier nog niet aangeroerd: Vooraleer je lekken gaat dichten, software upgraden of wat dan ook, altijd een image maken van de server. Liefst dan nog in aanwezigheid van competente getuigen, dan dat image deponeren (eventueel bij een deurwaarder) zodat je de datum van maken onomstotelijk kan bewijzen. Competente getuigen zijn bv. een ingehuurde, onbekende IT collega en een agent of een deurwaarder. Dan meteen de HD met het image in een envelop, verzegeld dmv iedereen's handtekening.

Nu heb je logs, maar wie kan vertellen of die kloppen qua inhoud en tijd? Juist, alleen jijzelf kan dat. En dat is een zeer groot probleem.

Ideaal zou zijn dat je de server meteen door een backupserver kan vervangen en de originele onaangeroerd kan laten. Maar vermits je vaak geen extra server bij de hand hebt, wordt dat moeilijk.

Zoals de zaak nu uitschijnt, maak je geen kans als de dader een goede, ter zake comptente advokaat heeft. Die maakt brandhout van het bewijsmateriaal. Ik heb al zaken met heel weinig bewijs weten winnen doordat de procedures gevolgd waren en zaken waarbij heel veel duidelijk bewijs (voor IT'ers) was weten verliezen omdat simpelweg niet kon bewezen worden dat de datum en tijd klopte.

Dat is een goed punt. De des betreffende server is ondertussen vervangen, vlak na de hack. De server staat nu hier thuis en de data is nog gewoon aanwezig en dus ook de logs en de bewijs stukken, hierbij zijn uiteraard ook de data nog aanwezig van de laatste wijzigingen, ook zijn er van die server destijds dagelijks backups gemaakt bij een extern bedrijf, welke ook nog aanwezig zijn, in deze backups zijn ook de logs mee genomen.

VinceSTM
09/03/09, 10:22
Ik ontdek deze draad nu pas, sorry.

Een belangrijk aspect is hier nog niet aangeroerd: Vooraleer je lekken gaat dichten, software upgraden of wat dan ook, altijd een image maken van de server. Liefst dan nog in aanwezigheid van competente getuigen, dan dat image deponeren (eventueel bij een deurwaarder) zodat je de datum van maken onomstotelijk kan bewijzen. Competente getuigen zijn bv. een ingehuurde, onbekende IT collega en een agent of een deurwaarder. Dan meteen de HD met het image in een envelop, verzegeld dmv iedereen's handtekening.

Nu heb je logs, maar wie kan vertellen of die kloppen qua inhoud en tijd? Juist, alleen jijzelf kan dat. En dat is een zeer groot probleem.

Ideaal zou zijn dat je de server meteen door een backupserver kan vervangen en de originele onaangeroerd kan laten. Maar vermits je vaak geen extra server bij de hand hebt, wordt dat moeilijk.

Zoals de zaak nu uitschijnt, maak je geen kans als de dader een goede, ter zake comptente advokaat heeft. Die maakt brandhout van het bewijsmateriaal. Ik heb al zaken met heel weinig bewijs weten winnen doordat de procedures gevolgd waren en zaken waarbij heel veel duidelijk bewijs (voor IT'ers) was weten verliezen omdat simpelweg niet kon bewezen worden dat de datum en tijd klopte.

Je kan het dan beter bij een notaris, dan bij de deurwaarder deponeren.

Smart-Guyz
10/03/09, 13:34
Je kan het dan beter bij een notaris, dan bij de deurwaarder deponeren.

Hehe, ja, achteraf gezien wel, ik vroeg in dit topic ook om hulp, maar dat werd mij niet verteld. Mear goed, goede leer voor de volgende keer.

mikeh
10/03/09, 15:41
Dit topic bevat op zeker goede informatie. Kunnen we gezamelijk geen stick van "Wat te doen bij een inbraak op een server" ?

Smart-Guyz
16/03/09, 01:49
Dit topic bevat op zeker goede informatie. Kunnen we gezamelijk geen stick van "Wat te doen bij een inbraak op een server" ?
Lijkt me een goed plan, er staan goede tips in en mijn eigen ervaring met de praktijk kan ook mensen helpen om hier op in te spelen en het mogelijk beter aan te pakken.

Uiteraard zal hier het vervolg nog komen over deze zaak.

MediaServe
16/03/09, 02:36
Dit topic bevat op zeker goede informatie. Kunnen we gezamelijk geen stick van "Wat te doen bij een inbraak op een server" ?

Laat dan even iemand met verstand ervan een duidelijke startpost maken :)

:lovewht:

Cybafish
16/03/09, 16:23
Ik ontdek deze draad nu pas, sorry.

Een belangrijk aspect is hier nog niet aangeroerd: Vooraleer je lekken gaat dichten, software upgraden of wat dan ook, altijd een image maken van de server. Liefst dan nog in aanwezigheid van competente getuigen, dan dat image deponeren (eventueel bij een deurwaarder) zodat je de datum van maken onomstotelijk kan bewijzen. Competente getuigen zijn bv. een ingehuurde, onbekende IT collega en een agent of een deurwaarder. Dan meteen de HD met het image in een envelop, verzegeld dmv iedereen's handtekening.

Nu heb je logs, maar wie kan vertellen of die kloppen qua inhoud en tijd? Juist, alleen jijzelf kan dat. En dat is een zeer groot probleem.

Ideaal zou zijn dat je de server meteen door een backupserver kan vervangen en de originele onaangeroerd kan laten. Maar vermits je vaak geen extra server bij de hand hebt, wordt dat moeilijk.

Zoals de zaak nu uitschijnt, maak je geen kans als de dader een goede, ter zake comptente advokaat heeft. Die maakt brandhout van het bewijsmateriaal. Ik heb al zaken met heel weinig bewijs weten winnen doordat de procedures gevolgd waren en zaken waarbij heel veel duidelijk bewijs (voor IT'ers) was weten verliezen omdat simpelweg niet kon bewezen worden dat de datum en tijd klopte.

Ik lees jou post nu pas, sorry, hahaha :D

Zie je het al voor je? Niet alleen de hele dag HDD's bestellen en swappen, maar ook een paar kroongetuigen op de loonlijst zetten? :D

Nee, zorg dan liever dat al je belangrijke logs op gezette tijden opgeslagen worden op een centrale server met een mooie timestamp erbij. Dat i.c.m. evt. logs van de provider waarmee je random scriptkid is ingelogd (dan maar hopen dat 'ie niet achter een firewall of op een VPN zat) is redelijk tastbaar en ook nog haalbaar.