To menn ble tiltalt for Telenor-hackingen

[Notelitten]

Sånn går det når man nærmest har monopol, hvorfor skal de forbedre nettverket? - Hva skal du gjøre, kjøpe nett av noen andre, over Telenor sin infrastruktur? - Haha, betaler uansett til telenor.

[KAS]

De har prøvd å si fra til de det gjelder mange ganger. Men store selvskaper høre jo ikke etter. Om de kan få tak i det kan andre det og, så de gjør forbrukerne en tjeneste ved å opplyse om at deres informasjon er lett tilgjengelig for de med litt innsikt.

 

Jeg redigerte innlegget litt mens du skrev ditt, så det er ikke helt samsvar mellom din quote og min post, uten at det forandrer essensen

 

Originalartikkelen sier at de ikke vet om tiltalte er samme person som oppdaget hullet og forsøkte å varsle, så det blir spekulasjoner. Men uansett så er det ikke greit å publisere informasjon man har skaffet til veie med tvilsomme metoder på grunn av at man forsøkte å varsle først.

[Nedward]

De har prøvd å si fra til de det gjelder mange ganger. Men store selvskaper høre jo ikke etter. Om de kan få tak i det kan andre det og, så de gjør forbrukerne en tjeneste ved å opplyse om at deres informasjon er lett tilgjengelig for de med litt innsikt.

 

Så derfor hiver du et en liste med SSID, WPA og koordinater som bevis samtidig som de IKKE legger ut algoritmen/framgangsmåte som bevis slik at folk kan finne ut av dette selv.

For å være ærlig så tror jeg ikke dem gjorde det slik dem gjorde for å skade, men jeg ser ikke helt hvorfor de bevist holdt tilbake den delen av informasjonen som utgjorde det beste beviset på hullet istedet for å legge ut det som åpenbart gjorde mest skade.

Endret 25. april 2013 av Nedward

[Rusher]

Helt tydelig at denne tråden bærer preg av umodne kiddies som fortsatt bor hjemme på gutterommet! Når dere vokser opp, og kommer dere ut i den store verden. Så vil dere se hvordan samfunnet fungerer!

 

Midt i blinken at slike personer blir anmeldt! Det er garantert 2 sider av saken.

[w00pla]

Ser man sikkerhetsbransjen så faktisk dette normal praksis - nesten. Det som er normal praksis når en "sikkerhetsforsker" (les: hacker som ikke legger ut ting på et forum) finner et hull og selskapet ansvarlig for hullet ikke fikser det er at det skrives en rapport om det som publiseres. Om hullet blir fikset så blir vanligvis artikkelen publisert i etterkant etter kommunikasjon med de som fikser hullet.

 

Etisk sett så er det ingen forskjell mellom dette og noen som publiserer en liste over passord lenge (ca. 5 måneder) etter at Telenor har blitt gjort oppmerksomme på problemet. At diskusjonen her går på de som publiserte listen sier jo litt om hvor lite folk bryr seg om sin egen sikkerhet og manglende evne til å sette problemstillingen i perspektiv. Hadde dette vært i USA - mest takket være hvor glad de er i å saksøke hverandre - så ville det for lengst vært tatt gruppesøksmål mot Telenor for ikke å ha ivaretatt kundenes sikkerhet.

 

Legger jo forøvrig merke til at IT-avisen siterer forsvarer på at dette er en sak på samme måte som "DVD-Jon"-saken, noe det absolutt ikke er. DVD-Jon gjorde absolutt ikke noe ulovlig etter norsk lov, og etter press fra MPAA så forsøkte man å dømme ham med en lov som sa at det var ulovlig å åpne andres brev. De eneste fellestrekkene er at vedkommende a) ikke burde vært tiltalt, og b) at saken er IT-relatert. Selvsagt er det ikke optimalt at en liste med passord og dertil tilhørende GPS-koordinater ble publisert - og teknisk sett er sannsynligvis også ulovlig, men det sørger for at Telenor blir presset til å fikse problemet fremfor at problemet blir urørt og kundene ubeskyttet. Dette burde være lett å se. Føler at denne saken blir som å ta "varslere" for retten. (for de som skulle være usikre på hva jeg mener: https://no.wikipedia.org/wiki/Varsler )

 

[Edit] Etter å ha postet så kom jeg også på denne saken som går rett på uttalelsen fra sikkerhetssjefen i Telenor: http://arstechnica.com/security/2012/12/fix-for-hotels-electronic-door-lock-hack-slow-to-roll-out/

 

I denne saken så er det snakk om hotellåser, men det er et fint eksempel på noen som ikke vil fikse problemet [/edit]

Endret 26. april 2013 av Tresprit

[Nedward]

Ser man sikkerhetsbransjen så faktisk dette normal praksis - nesten. Det som er normal praksis når en "sikkerhetsforsker" (les: hacker som ikke legger ut ting på et forum) finner et hull og selskapet ansvarlig for hullet ikke fikser det er at det skrives en rapport om det som publiseres. Om hullet blir fikset så blir vanligvis artikkelen publisert i etterkant etter kommunikasjon med de som fikser hullet.

Slik publisering skader ingen og er til nytte for alle.

Etisk sett så er det ingen forskjell mellom dette og noen som publiserer en liste over passord lenge (ca. 5 måneder) etter at Telenor har blitt gjort oppmerksomme på problemet.

Tull og tøv! Etisk sett er det en stor forskjell på å publisere detaljer om et hull og publisere data man får tak i ved å utnytte hullet. I denne saken så publiserte "varsleren(e)" kun SSID, WPA og koordinater, de skrev ikke et ord om hvordan framsangmetode de hadde brukt. Mulig det har kommet noe i ettertid, men jeg klarer ikke å finne noe ved søk. Jeg syns det hele bar preg av å være mer en skrytebragd enn en seriøs rapport på et sikkerhetsproblem da det ble lagt ut på freakforum i sin tid.

 

At diskusjonen her går på de som publiserte listen sier jo litt om hvor lite folk bryr seg om sin egen sikkerhet og manglende evne til å sette problemstillingen i perspektiv.

Du skriver om å sette det i perspektiv. Jeg vil i grunn ikke påstå at dette er et alvorlig problem. Det er faktisk så enkelt at man bytter passord. Telenor hadde valgt å bruke en autogenerert SSID og WPA (som er sikrere) enn å bruke noe så enkelt som "ZyXEL" som SSID og "password" som passord. Det har nok spart bra mange 60-åringen for ubudne gjester på nettverkene sine.

 

Hadde dette vært i USA - mest takket være hvor glad de er i å saksøke hverandre - så ville det for lengst vært tatt gruppesøksmål mot Telenor for ikke å ha ivaretatt kundenes sikkerhet.

Nå er ikke dette USA, og jeg ser ærlig talt ikke problemet i akkurat denne saken. Telenor har i så måte ivaretatt sikkerheten til kundene ved å påta seg et større ansvar enn det produsentene gjør når du kjøper aksesspunkt via en butikk. Men, ja. Det er også kritikkverdig at det matte en avissak til før at Telenor vurderte å gjøre noe.

 

 

Selvsagt er det ikke optimalt at en liste med passord og dertil tilhørende GPS-koordinater ble publisert - og teknisk sett er sannsynligvis også ulovlig, men det sørger for at Telenor blir presset til å fikse problemet fremfor at problemet blir urørt og kundene ubeskyttet. Dette burde være lett å se. Føler at denne saken blir som å ta "varslere" for retten. (for de som skulle være usikre på hva jeg mener: https://no.wikipedia.org/wiki/Varsler )

Nå er det ikke avsagt noen dom i saken enda, og jeg håper i grunn at vedkommende blir frifunnet hvis det viser seg at han ikke har gjort datainnbrudd hos Telenor eller ZyXEL. Tukling på eget utstyr skal ikke være kriminelt. Så kan vedkommende heller ta kritikk for måten sikkerhetsproblemet ble offentliggjort på.

Når det er sagt så er jeg helt for at man skal slippe straff for å avdekke sikkerhetshull uten å volde skade, men jeg er ikke for publisering av passord o.l.

Det burde i grunn vært en tredjepart som man kunne melde om disse tingene til. En statlig organisasjon som har til oppgave å se til at sikkerheten til nettbrukere og nettjenester i Norge blir ivaretatt. Omtrent som Datatilsynet sin oppgave ovenfor personopplysninger.

[efikkan]

Jeg savner at artikkelen belyser tiltalepunktene, for i en straffesak så skal disse være tilknyttet brudd på faktiske lover. Hvilke lover mener altså aktoratet at disse to har brutt?

 

Hvis jeg ikke husker feil er det ulovlig å gå inn i en ulåst bil, det blir fortsatt regnet som en form for innbrudd selv om eieren ikke har låst døra. Forsikringsselskapet vil likevel ikke dekke det hvis noe blir stjålet.

Jepp, det er ulovlig å gå inn i en ulåst bil, et ulåst hus eller et usikret privat nettverk.

 

Så derfor hiver du et en liste med SSID, WPA og koordinater som bevis samtidig som de IKKE legger ut algoritmen/framgangsmåte som bevis slik at folk kan finne ut av dette selv.

For å være ærlig så tror jeg ikke dem gjorde det slik dem gjorde for å skade, men jeg ser ikke helt hvorfor de bevist holdt tilbake den delen av informasjonen som utgjorde det beste beviset på hullet istedet for å legge ut det som åpenbart gjorde mest skade.

Hvis disse to personene har trengt seg inn i ett eller flere av disse nettverkene så har de gjort noe ulovlig. Hvis de derimot har regnet ut denne informasjonen uten å "bryte seg inn" så er det ingenting ulovlig med det.

[Nedward]

Hvis disse to personene har trengt seg inn i ett eller flere av disse nettverkene så har de gjort noe ulovlig. Hvis de derimot har regnet ut denne informasjonen uten å "bryte seg inn" så er det ingenting ulovlig med det.

Det vet jeg. Men jeg syns likefullt det var en dårlig avgjørelse å gjøre det slik dem gjorde det.

Dog vil tro at påtalemakten har mer informasjon enn det vi har. Jeg håper i alle fall dem har tatt ut en tiltale på grunnlag av faktiske forhold, og ikke for å bare "prøve saken for retten".