Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  38 4934
Bakgrunnstema. Viktig å lese artikkelen først.

Jeg synes dette blir for teit. Han bør lovprises. Dette er skikkelig trangsynt og gammeldags tankegang.

Vanligvis ved sikkerhetsbrudd i denne grad, har gjerningsmann som oftest offentliggjort listen i sin helhet for å demonstrere et poeng, men her har da denne 13 åringen beholdt ulovlig data på sin egen pc.

Og når vi kommer inn på begrunnelsen blir jo dette bare komisk. Svekket omdømme? Fordi han forsøkte å sikre systemet deres? Nei, Bergen, dette må dere ta på egen kappe. Bergenspolitiet har helt klart svekket omdømme sitt i mine øyne, men dette har ingenting med hva gutten har gjort. Måten de har håndtert dette på er grunnen til det.

Er det bare jeg som synes dette, hva evt. tenker dere om politiets perspektiv på denne saken? Jeg forstår jo ulovligheten, men er fremdeles 100% på guttens side.
Når man føler at respekten for politiet ikke kan bli mindre eller forakten større.. .

Jævla møkkafolk!
Viser jo bare nok en gang inkompetansen til politiet i Bergen...
Herregud, kjenner det koker.
Ikke nok med at Bergen kommune har lagret data usikkert, de fikk faktisk en advarsel av gutten før han hentet dataen. Rett og slett ekkelt gjort å skulle reagere sånn.

Denne gangen, en gutt på 13 år som ville hjelpe til - neste gang, en person med mindre hyggelige intensjoner. Noe som så klart kunne vært unngått om de ikke skremte bort white hats.
Politiet i bergen har alltid vært, og kommer alltid til å være, helt og holdent komplett ubrukelig.
Sitat av Patrick Vis innlegg
Bakgrunnstema. Viktig å lese artikkelen først.

Jeg synes dette blir for teit. Han bør lovprises. Dette er skikkelig trangsynt og gammeldags tankegang.

Vanligvis ved sikkerhetsbrudd i denne grad, har gjerningsmann som oftest offentliggjort listen i sin helhet for å demonstrere et poeng, men her har da denne 13 åringen beholdt ulovlig data på sin egen pc.

Og når vi kommer inn på begrunnelsen blir jo dette bare komisk. Svekket omdømme? Fordi han forsøkte å sikre systemet deres? Nei, Bergen, dette må dere ta på egen kappe. Bergenspolitiet har helt klart svekket omdømme sitt i mine øyne, men dette har ingenting med hva gutten har gjort. Måten de har håndtert dette på er grunnen til det.

Er det bare jeg som synes dette, hva evt. tenker dere om politiets perspektiv på denne saken? Jeg forstår jo ulovligheten, men er fremdeles 100% på guttens side.
Vis hele sitatet...
Jeg synes du bagatelliserer det faktum at han lastet ned og oppbevarte over 30 000 brukernavn og passord og utsatte disse for enda større spredningsrisiko enn de allerede var.

Det er helt riktig å beslaglegge utstyr som har blitt brukt til kriminelle handlinger, selv om man kan tvile litt på hva det hjelper å beslaglegge 3 eksterne harddisker og en usb stick.

Selve saken er også henlagt.
Det som er problemet med konklusjonen til politiet I denne saken er at én av begrunnelsene er at han har ført til svekket omdømme for kommunen for noe ulovlig de har gjort.

Orker ikke en gang pirke i den amatørmessig behandlingen gutten fikk av kommunen.
Den som bare er der
Del på Twitter Del på epost
Foreldra er svært opprørte over politiets konklusjon, sjølv om det no er klart at 13-åringen ikkje blir straffa utover utstyrsinndraginga. Politiet har nemleg bestemt seg for å leggja bort saka.


Ingen som leste dette?
Sitat av Rosander Vis innlegg
Jeg synes du bagatelliserer det faktum at han lastet ned og oppbevarte over 30 000 brukernavn og passord og utsatte disse for enda større spredningsrisiko enn de allerede var.

Det er helt riktig å beslaglegge utstyr som har blitt brukt til kriminelle handlinger, selv om man kan tvile litt på hva det hjelper å beslaglegge 3 eksterne harddisker og en usb stick.
Vis hele sitatet...
Sitat av RavnX Vis innlegg
Foreldra er svært opprørte over politiets konklusjon, sjølv om det no er klart at 13-åringen ikkje blir straffa utover utstyrsinndraginga. Politiet har nemleg bestemt seg for å leggja bort saka.


Ingen som leste dette?
Vis hele sitatet...
Greit nok det her, han er jo under den kriminelle lavalder. Det som opprører mest er begrunnelsen at "Han skada kommunen sitt omdømme"

Føkk Ole Bjørn Mevatne
Sitat av Rosander Vis innlegg
Jeg synes du bagatelliserer det faktum at han lastet ned og oppbevarte over 30 000 brukernavn og passord og utsatte disse for enda større spredningsrisiko enn de allerede var.
Vis hele sitatet...
De tredve tusen passordene var allerede kompromittert og hadde vært det i lang tid. Alle brukerne burde derfor ha byttet passord for lengst. Videre, så er det langt vanskeligere å hente passord ut fra noens private harddisk enn fra en åpen nettside. Å si at han har bidratt til spredningsrisiko blir derfor totalt urimelig.

Sitat av Rosander Vis innlegg
Det er helt riktig å beslaglegge utstyr som har blitt brukt til kriminelle handlinger,
Vis hele sitatet...
Nei, det er helt lovlig av politiet å gjøre det. Det er ikke nødvendigvis riktig å gjøre det bare fordi de kan. Dette er et soleklart tilfelle hvor de ikke burde gjort det. Jeg sier ikke at det er kategorisk galt - galt i moralsk forstand, ikke juridisk! - å konfiskere utstyr som har blitt benyttet til kriminell virksomhet. Det bør imidlertid ikke være en blind automatikk i det.

Sitat av Rosander Vis innlegg
selv om man kan tvile litt på hva det hjelper å beslaglegge 3 eksterne harddisker og en usb stick.
Vis hele sitatet...
Det er den sanksjonsmuligheten de har. Delvs fordi han er for ung til å straffes, og delvis fordi en eventuell rettsak ville resultert i at dommeren hadde spist aktoratet levende. Derfor bruker de dette i steden. Det er på samme nivå som deres rutinemessige misbruk av forvaltningsmessige vedtak i øvrighet.

Sitat av Rosander Vis innlegg
Det som er problemet med konklusjonen til politiet I denne saken er at én av begrunnelsene er at han har ført til svekket omdømme for kommunen for noe ulovlig de har gjort.

Orker ikke en gang pirke i den amatørmessig behandlingen gutten fikk av kommunen.
Vis hele sitatet...
Her er vi nok mer på bølgelengde.
Denne saken har utelukkende produsert tapere, og dersom de fremholder i samme stil blir denne skaren mer tallrik ettersom tiden går.
Sist endret av Myoxocephalus; 4. april 2019 kl. 20:42.
Den som bare er der
Forstår tankegangen deres, men skulle di bare ha latt han oppbevare all den informasjone for han selv? Det er vel bedre at en mindre har tilgang til infoen?

Omdømme av bergen som politet og/eller media mener er skadet er urelevant mener jeg, selv om det er ufortjent. Det blir styrt av hva folket mener(til en viss grad).
Sitat av RavnX Vis innlegg
Forstår tankegangen deres, men skulle di bare ha latt han oppbevare all den informasjone for han selv? Det er vel bedre at en mindre har tilgang til infoen?
Vis hele sitatet...
Passordene var allerede kompromittert. Og hadde vært det i lang tid. Hvem som helst kan ha hatt de passordene i gudene vet hvor lenge. For alt vi vet kan de ha vært lastet ned flere ganger - av folk som har litt mer forstand til å skjule sine spor enn det denne gutten hadde. Satt sammen i store databaser og delt mellom ulike blackhats over hele kloden. At han hadde tilgang til det betyr at alle andre også hadde tilgang til de. Det er det man må ta utgangspunkt i.

Da ser man også at det logiske fokus ikke er å hindre spredning, for det må man bare anta at alt har skjedd. Man må derimot handle raskt og redusere skaden. Alle de tredve tusen kompromitterte passordene burde derfor blitt bytta samme dag som IT-ansvarlige tok alvoret inn over seg. Så, hvis vi antar at disse passordene nå er bytta, så er det vel heller ingen tekniske grunner til å inndra utstyret. Videre, hvis man likevel var ukomfortabel med å ha disse listene der, kunne man ikke bare kreve at han sletta de? Eller , for å være helt sikker, wipet diskene?

Inndragelsen er ment å være en straff. Så kan man være helt mekanisk og insisitere på å tolke loven slik at det hele blir et lovbrudd, og handle deretter. Eller så kan man se det i en litt større kontekst - mente han å være kriminell? Eller oppstod ulovligheten fordi han ikke hadde tilstrekkelig med kunnskap om lovverk og varslingsrutiner til å håndtere funnet sitt på en litt mer intelligent måte? Hadde han vært ti år eldre kunne vi kanskje forventet akkurat det. Hvis man anvender litt sunn fornuft, så skjønner man umiddelbart at det ikke er noen kriminelle intensjoner her. Politiets reaksjon bør gjenspeile det. Man kan velge å være en vrang faen og bruke loven som et våpen. Man kan også velge å tenke. Det er det denne saken handler om. Ikke tre harddisker og en minnepinne.
Sist endret av Myoxocephalus; 4. april 2019 kl. 21:05.
Sitat av RavnX Vis innlegg
Det er vel bedre at en mindre har tilgang til infoen?
Vis hele sitatet...
Nei, det er akkurat det samme om en fra eller til har tilgang til infoen. De passordene er 100% utrygge uansett hvor mange harddisker man hadde funnet og inndratt.

Det er klart omdømmet ditt blir skadet hvis du driter deg ut. Det betyr ikke at du kan skylde på den som avslører det. Men nå er vel ikke Bergenspolitiet viden kjent for å heie på varslere akkurat.
Sist endret av *pi; 4. april 2019 kl. 21:15.
Skada kommunen sitt omdømme?!? Nei, det har kommunen klart helt fint på egenhånd. Det er jo kommunen som har driti seg loddrett ut i første omgang, også driter dem seg ut igjen ved å ikke gjøre noe med det selv etter det har blitt varslet om. Det er jo faktisk kommunen som har begått det største lovbruddet her, og i mine øyne ihvertfall så har ikke gutten gjort noe han ikke burde gjøre. Politiet, kommunen og andre som har vært med på å dømme denne saken har svekket omdømme sit og har driti seg så ut at det er flaut...
Satse på at politimesteren i Bergen blir tiltalt for tjenesteforsømmelse snart..
bare meg som ser mulig sammenheng i politibruken her og i Wara saken?
Sitat av Mokkasinen Vis innlegg
bare meg som ser mulig sammenheng i politibruken her og i Wara saken?
Vis hele sitatet...
Garantert. For det er stor geografisk sklinad, og sakene har få eller ingen fellestrekk. Du må gjerne utdjupe samanhengen og.
Greit nok, saken er henlagt, men dette er pga tilfeldigheter og motstand. La oss ta et par hva-hvis scenarioer. Hva hvis gutten var myndig? Hva hvis media ikke var der? Hva hvis foreldrene ikke hadde engasjert seg? Hva hvis it eksperter ikke hadde fått vite dette, og ikke var raskt ute med å oppklare situasjonen?

Hvis du finner en mistet gjenstand, har du med loven i bakhånd krav på finnerlønn.
Hvis du finner noe ulåst, kommer eieren selvfølgelig til å verdsette en beskjed om dette. Hvorfor er IT verden så motsatt? Hvorfor kjemper man mot strømmen når man finner sikkerhetsbrudd?

Facebook, google og andre større aktører har valgt å betale ut bug bounties dersom du finner noe som tydelig er feil. Men igjen, dette er jo fullt og holdent opp til personen du varsler, de kunne jo gått til strupen og anmeldt, hvilket kunne ført til en dom og straff som hadde stemplet en som kriminell.

Er det et uløselig problem? Er det noen tegn på at lovverket endres for å imøtekomme slike situasjoner?
Sitat av Patrick Vis innlegg
Hvorfor er IT verden så motsatt?
Vis hele sitatet...
Fordi IT-verden nettopp er en annen verden, og gompene forstår den ikke. De ser bare sort magi som de motvillig godtar som et nødvendig onde.
Sitat av Patrick Vis innlegg
Greit nok, saken er henlagt, men dette er pga tilfeldigheter og motstand. La oss ta et par hva-hvis scenarioer. Hva hvis gutten var myndig? Hva hvis media ikke var der? Hva hvis foreldrene ikke hadde engasjert seg? Hva hvis it eksperter ikke hadde fått vite dette, og ikke var raskt ute med å oppklare situasjonen?

Hvis du finner en mistet gjenstand, har du med loven i bakhånd krav på finnerlønn.
Hvis du finner noe ulåst, kommer eieren selvfølgelig til å verdsette en beskjed om dette. Hvorfor er IT verden så motsatt? Hvorfor kjemper man mot strømmen når man finner sikkerhetsbrudd?

Facebook, google og andre større aktører har valgt å betale ut bug bounties dersom du finner noe som tydelig er feil. Men igjen, dette er jo fullt og holdent opp til personen du varsler, de kunne jo gått til strupen og anmeldt, hvilket kunne ført til en dom og straff som hadde stemplet en som kriminell.

Er det et uløselig problem? Er det noen tegn på at lovverket endres for å imøtekomme slike situasjoner?
Vis hele sitatet...
For ett elendig eksempel.
Dersom det skulle blitt riktig så måtte du brutt deg inn og Så krevd finnerlønn.

Og helt ærlig, dersom du fant en tenåring i huset ditt med hendene fulle av alle dine papirer (pass, fotoalbum etc), hadde du vært tekknemelig?

Selv om man er uenig med saksgangen og konklusjonene så må man ikke glemme at det har blitt begått ett lovbrudd her.

Selv om jeg mistenker at naboen gjør noe ulovlig så gir det meg ikke rett til å bryte loven for å skaffe til veie bevis.

Dersom en fabrikk glemmer å låse porten, er det ok å gå inn på området å ta kopi av dokumenter?

Eller mener dere at et sikkerhetshull automatisk gir tillatelse til å laste ned andres informasjon?
Dersom dere mener dette så åpner dere samtidig opp for smutthull i loven ved at man kan kopiere hele databaser med informasjon om tredjeparter helt uten straff.

Jeg synes man skal skille mellom det å oppdage ett sikkerhetshull og det å utnytte hullet. Guttungen gjorde begge hvor det siste er ulovlig uansett hvordan man vrir og vender på det.

Ja vi vil ha ansvarlig varsling om sikkerhetshull.
Nei vi vil ikke at uvedkommende skal laste ned data de ikke har tillatelse til å oppbevare.

Sitat av Myoxocephalus Vis innlegg
Fordi IT-verden nettopp er en annen verden, og gompene forstår den ikke. De ser bare sort magi som de motvillig godtar som et nødvendig onde.
Vis hele sitatet...
Tja, alle sikkerhetshull involverer også en kostnad som gjør det hele om til ett kost-nytte spørsmål.
Man kan også stille spørsmål rundt enkelte IT avdelingers evne til å kommunisere sikkerhet til ledere.

Jeg har sett flere eksempler hvor IT uttrykker bekymring rundt sikkerhet kun ved å presentere kostnader til ledelsen og ikke klarer å formidle den faktiske risikoen og kostnad ved en hendelse. Sikkerhetshull er også ganske vanlig og ressurskrevende å reparere.

Jeg sier ikke at noe av det jeg har skrevet over gir en unnskyldning for dårlig sikkerhet, for dårlig sikkerhet kan komme av veldig mange årsaker, ikke bare at noen er gumper eller ikke kvalifiserte.

Jeg tror også bransjen fortsatt (les: mellomledere og ledere) er umoden. Det er kun i senere tid at sikkerhet hatt fokus også hos vanlige folk.

Det er også en ting til, bransjen vil ikke ha tenåringer lurkende i systemene sine.
Se på freemykiwi som skulle teste sikkerheten til skolen sin, der måtte mods endre innleggene som ble lagt ut fordi de identifiserte skolen og dermed sitter det flere personer som allerede kan ha brutt seg inn fordi én person startet private penetrasjonstester.

Det er også flere eksempler på Twitter hvor én person varsler om noe og plutselig er 1000 proffer og amatører på skattejakt i datasystemer som inneholder informasjon om tredjeparter.
Sist endret av Rosander; 5. april 2019 kl. 14:24. Grunn: Automatisk sammenslåing med etterfølgende innlegg.
Sitat av Rosander Vis innlegg
Og helt ærlig, dersom du fant en tenåring i huset ditt med hendene fulle av alle dine papirer (pass, fotoalbum etc), hadde du vært tekknemelig?
Vis hele sitatet...
Skal du klage på eksemplene til andre må du regne med å få klager på dine egne. Kommunen oppdaget ikke gutten, han kom til dem. Skal man sammenligne "tyveriet" av sensitiv informasjon i dette tilfelle, hadde det vært som at det stod en pappeske med sensitiv informasjon på torget i Bergen. Informasjonen tilhørte noen, men det lå ute i det offentlige rom grunnet inkompetansen til de som skulle forvalte det. Det var ikke et innbrudd, eller at han trådde inn i en sikker sone uten tillatelse.

Er enig i at det har blitt begått et lovbrudd, men intensjonen var god og han burde fått ros, ikke bare ris. Gutten er 13 år, noe som også må tas i betraktning. Hvordan han blir behandlet av autoriteter i denne alderen vil være med å forme hans syn på de.
Sitat av Rosander Vis innlegg
For ett elendig eksempel.
Dersom det skulle blitt riktig så måtte du brutt deg inn og Så krevd finnerlønn.

Og helt ærlig, dersom du fant en tenåring i huset ditt med hendene fulle av alle dine papirer (pass, fotoalbum etc), hadde du vært tekknemelig?

Selv om man er uenig med saksgangen og konklusjonene så må man ikke glemme at det har blitt begått ett lovbrudd her.

Selv om jeg mistenker at naboen gjør noe ulovlig så gir det meg ikke rett til å bryte loven for å skaffe til veie bevis.

Dersom en fabrikk glemmer å låse porten, er det ok å gå inn på området å ta kopi av dokumenter?

Eller mener dere at et sikkerhetshull automatisk gir tillatelse til å laste ned andres informasjon?
Dersom dere mener dette så åpner dere samtidig opp for smutthull i loven ved at man kan kopiere hele databaser med informasjon om tredjeparter helt uten straff.

Jeg synes man skal skille mellom det å oppdage ett sikkerhetshull og det å utnytte hullet. Guttungen gjorde begge hvor det siste er ulovlig uansett hvordan man vrir og vender på det.

Ja vi vil ha ansvarlig varsling om sikkerhetshull.
Nei vi vil ikke at uvedkommende skal laste ned data de ikke har tillatelse til å oppbevare.



Tja, alle sikkerhetshull involverer også en kostnad som gjør det hele om til ett kost-nytte spørsmål.
Man kan også stille spørsmål rundt enkelte IT avdelingers evne til å kommunisere sikkerhet til ledere.

Jeg har sett flere eksempler hvor IT uttrykker bekymring rundt sikkerhet kun ved å presentere kostnader til ledelsen og ikke klarer å formidle den faktiske risikoen og kostnad ved en hendelse. Sikkerhetshull er også ganske vanlig og ressurskrevende å reparere.

Jeg sier ikke at noe av det jeg har skrevet over gir en unnskyldning for dårlig sikkerhet, for dårlig sikkerhet kan komme av veldig mange årsaker, ikke bare at noen er gumper eller ikke kvalifiserte.

Jeg tror også bransjen fortsatt (les: mellomledere og ledere) er umoden. Det er kun i senere tid at sikkerhet hatt fokus også hos vanlige folk.

Det er også en ting til, bransjen vil ikke ha tenåringer lurkende i systemene sine.
Se på freemykiwi som skulle teste sikkerheten til skolen sin, der måtte mods endre innleggene som ble lagt ut fordi de identifiserte skolen og dermed sitter det flere personer som allerede kan ha brutt seg inn fordi én person startet private penetrasjonstester.

Det er også flere eksempler på Twitter hvor én person varsler om noe og plutselig er 1000 proffer og amatører på skattejakt i datasystemer som inneholder informasjon om tredjeparter.
Vis hele sitatet...
Det er helt greit at tusenvis av proffe hackere bryter sammen et system som inneholder sensitiv informasjon. Se på det slik, hvis du vet at en dør er ulåst i det virkelige liv, så er det temmelig begrenset hvor mange som faktisk kan bryte seg inn. Det må jo da som oftest omfattende kostnader ut i reisemål for å komme seg dit, hvis en person i fra Asia skulle ha brutt seg inn på norsk tomt. Sånn fungerer ikke nettet. Der ligger sikkerhetshullet helt åpent, og fullt tilgjengelig, globalt, for hele verden. Derfor er det kritisk at vi har flinke folk som graver etter sikkerhetshull og melder det i fra ansvarlig. Til tross for at det dem gjør er ulovlig.

Alternativet blir jo selvfølgelig veldig dramatisk veldig raskt. Si nettbanken din har et sikkerhetshull, og vi ikke har folk som undersøker dette. Hva tenker du om at en russisk/kinesisk/indisk/svensk/egyptisk hacker utnytter dette hullet og gradvis legger inn små transaksjoner i fra din konto? Ikke alle angrep fører til massiv sabotasje som plugges umiddelbart. Det kan ta måneder til flere år før det oppdages.

Hvis holdningen vår skal være å hamre ned på alle som forsøker å bidra, som i dette tilfellet, risikerer vi samtidig at dørene står åpne for hackere. De slutter uansett ikke med angrepene sine, og per dags dato er det svært lite man kan gjøre for å avdekke disse angrepene, uten at noen står frem.
Går på skole i Bergen og alle itslearning passordene er bland annet lagret på papirlapper som de lærerne låner ut til elevene hvis de sier de har glemt det. Før passordene ble lekket var de tilfeldig genererte så det var ikke så farlig om noen andre fikk tak i de siden de ikke var brukt noen andre steder.

Etter at passordene ble lekket ble vi nødt til å lage våre egne passord. Problemet nå er at at passordene til de mindre datakyndige elevene som bruker samme passord på itlearning som på andre tjenester er lagret på papirlapper som alle lærerne har tilgang til.

Om en lur elev vil ha tilgang på en eller annen medelev sin konto trenger han bare å si at han har glemt passordet sitt, skrive ned passordet til medeleven og håpe på det beste.

Sikkerheten til Bergen Kommune er drit.
Sist endret av ThinkpadX200; 5. april 2019 kl. 16:48.
▼ ... over en uke senere ... ▼
Sitat av Patrick Vis innlegg
Og når vi kommer inn på begrunnelsen blir jo dette bare komisk. Svekket omdømme? Fordi han forsøkte å sikre systemet deres?
Vis hele sitatet...
Nei, det han gjorde var for det første å laste ned dataene (ulovlig tilegnelse av materialet), og for det andre sendte han ut en e-post i rektors navn (identitetstyveri). Det er dette han er tatt for, ikke det at han sa fra om sikkerhetshull.
Sitat av hemmeligegreier Vis innlegg
Nei, det han gjorde var for det første å laste ned dataene (ulovlig tilegnelse av materialet), og for det andre sendte han ut en e-post i rektors navn (identitetstyveri). Det er dette han er tatt for, ikke det at han sa fra om sikkerhetshull.
Vis hele sitatet...
Meh.

Han varsla. Ingenting skjedde.

Det er eit mønster vi har sett fleire gonger. Dei som har sikkerhetsproblem gjer noko ulovleg ved å ikkje lappe sikkerhetshol dei vert klar over - før dei får buksene dradd ned i riksdekkande media.

Problemet her er faktisk at Bergen Kommune var klar over eit problem, og ga faen. Inntil det vart utnytta. Bergen kommune har vedteke eit relativt stivt gebyr for det.

Viare så har politiet handtert det på hinsides klønete måte. Dei sa først at vedkommande hadde svekka omdømmet til kommunen. Altså... kom igjen! Det har Bergen kommune gjort ved å gi faen i sikkerhetsproblemer!

Hadde derimot politiet sagt at dei inndrar lagringsdingsane fordi dei inneheld personopplysninger hadde neppe ein kjeft i verda reagert. Det hadde vore rimeleg. Men politiet går langt i å antyde at det er einaste straffesanksjonen dei har i ei sak mot nokon som er under femten, og at vedkommande skada kommunen sitt omdømme.

Det er det som vert kritisert!
Sitat av vidarlo Vis innlegg
Meh.

Han varsla. Ingenting skjedde.

Det er eit mønster vi har sett fleire gonger. Dei som har sikkerhetsproblem gjer noko ulovleg ved å ikkje lappe sikkerhetshol dei vert klar over - før dei får buksene dradd ned i riksdekkande media.

Problemet her er faktisk at Bergen Kommune var klar over eit problem, og ga faen. Inntil det vart utnytta. Bergen kommune har vedteke eit relativt stivt gebyr for det.

Viare så har politiet handtert det på hinsides klønete måte. Dei sa først at vedkommande hadde svekka omdømmet til kommunen. Altså... kom igjen! Det har Bergen kommune gjort ved å gi faen i sikkerhetsproblemer!

Hadde derimot politiet sagt at dei inndrar lagringsdingsane fordi dei inneheld personopplysninger hadde neppe ein kjeft i verda reagert. Det hadde vore rimeleg. Men politiet går langt i å antyde at det er einaste straffesanksjonen dei har i ei sak mot nokon som er under femten, og at vedkommande skada kommunen sitt omdømme.

Det er det som vert kritisert!
Vis hele sitatet...
En av grunnene var jo nettopp at de aktuelle dataene lå på disse diskene.
De har blitt brukt i en kriminell handling og er konfiskert med loven på politiets side.
Om jeg ikke tar feil så ble diskene beslaglagt i en annen hendelse mot samme kommune og er ikke en del av selve varslingsaken.
Mulig jeg tar feil.

Jeg tror ikke folk reagerer så mye på diskene, det er jo settningen om omdømme det reageres på (som er en av flere grunner).

Dette er jo heller ikke eneste gangen denne gutten har forsøkt å bryte seg inn hos Bergen kommune.
Hvor går grensen mellom å være varsler og forsøk på innbrudd?

Jeg frykter at det blir ett free for all på nettet hvor man kan utføre innbruddsforsøk og gjemme seg bak "sikkerhetstesting" Dersom de blir oppdaget.

Dersom jeg "tilfeldigvis" finner ett sikkerhetshull og varsler om dette, gir det meg automatisk lov til å forsøke å bryte meg inn andre veier i samme system?

Her har det vært ett pågående uautorisert forsøk på å tilegne seg data som berører titusenvis av tredjeparter.
At Bergen ikke sikret disse tilstrekkelig betyr ikke at man kan gjøre som man vil med disse dataene.

Den virkelige debatten drukner i amatørbehandlingen Bergen kommune og politi har gitt denne saken, og den debatten bør gå på hva som skal være lov og hvilke retningslinjer som bør gjelde ved oppdagelse og varsling av sikkerhetsbrister.

Gutten gjorde desverre alt feil etter at varselet ble sendt, og det bør debatteres hva slags etikk som forventes av frivillige sikkerhetsforskere slik at neste varsler slipper å risikere å gjøre noe ulovlig ut av å varsle.
Sitat av Rosander Vis innlegg
En av grunnene var jo nettopp at de aktuelle dataene lå på disse diskene.
De har blitt brukt i en kriminell handling og er konfiskert med loven på politiets side.
Vis hele sitatet...
Ja, problemet er måten det vart lagt fram på. Hadde dei lagt det fram som at det var for å sikre personopplysninger hadde neppe ein kjeft reagert. Men:

Desse er brukt i ei straffbar handling. Av allmennpreventive omsyn er det ikkje naturleg å gi tilbake slike eigedelar til gjerningsmannen, seier politiadvokaten.
Vis hele sitatet...
Almennpreventive omsyn er det politiet oppgir i første omgang. Det lukter av at dei seier rett ut at dei ikkje kan straffe han, fordi han er under 15, men prøver så godt dei kan å omgå det.

Hadde dei sagt at dei tok det for å hindre spreiing av personopplysninger hadde neppe folk reagert!
Sitat av vidarlo Vis innlegg
Meh.

Han varsla. Ingenting skjedde.

Det er eit mønster vi har sett fleire gonger. Dei som har sikkerhetsproblem gjer noko ulovleg ved å ikkje lappe sikkerhetshol dei vert klar over - før dei får buksene dradd ned i riksdekkande media.

Problemet her er faktisk at Bergen Kommune var klar over eit problem, og ga faen. Inntil det vart utnytta. Bergen kommune har vedteke eit relativt stivt gebyr for det.

Viare så har politiet handtert det på hinsides klønete måte. Dei sa først at vedkommande hadde svekka omdømmet til kommunen. Altså... kom igjen! Det har Bergen kommune gjort ved å gi faen i sikkerhetsproblemer!

Hadde derimot politiet sagt at dei inndrar lagringsdingsane fordi dei inneheld personopplysninger hadde neppe ein kjeft i verda reagert. Det hadde vore rimeleg. Men politiet går langt i å antyde at det er einaste straffesanksjonen dei har i ei sak mot nokon som er under femten, og at vedkommande skada kommunen sitt omdømme.

Det er det som vert kritisert!
Vis hele sitatet...
Det er klart det er kritikkverdig av kommunen å ikke gjøre noe med det, men det rettferdiggjør ikke f.eks. identitetstyveri.

Når gutten først gjør noe såpass alvorlig så må politiet nesten gå inn i saken. Dette med "svekket omdømme" er sannsynligvis tatt ut av en sammenheng av journalister. Det handler om at gutten både har tilegnet seg data ulovlig, og begått identitetstyveri. Det er ikke snakk om "svekket omdømme" fordi kommunen ikke tettet sikkerhetshullet, men på grunn av at gutten begikk identitetstyveri. Selv om kommunen har gjort noe galt så er det fortsatt ikke greit med identitetstyveri.

Jeg kan ikke se at politiet har gjort noe galt i det hele tatt. De har fått vite om et ganske alvorlig straffbart forhold, har etterforsket dette, og har brukt de hjemlene lovverket gir for å reagere på det. De har ikke sett på "svekket omdømme" som følge av sikkerhetshullet, men som følge av ulovligheter fra guttens side.

Inndragning er forøvrig noe som er instruksfestet. Det skal i utgangspunktet gjøres, og er i utgangspunktet ikke valgfritt. Det er et uttalt mål fra øverste hold at inndragning skal brukes i større grad.
Sist endret av hemmeligegreier; 13. april 2019 kl. 14:35.
Sitat av hemmeligegreier Vis innlegg
Det er klart det er kritikkverdig av kommunen å ikke gjøre noe med det, men det rettferdiggjør ikke f.eks. identitetstyveri.
Vis hele sitatet...
No vart jo ikkje det gjort i vinnings hensikt, og det framstår som åpenbart at det vart gjort for å skape merksemd rundt saka.
Sitat av hemmeligegreier Vis innlegg
Når gutten først gjør noe såpass alvorlig så må politiet nesten gå inn i saken. Dette med "svekket omdømme" er sannsynligvis tatt ut av en sammenheng av journalister.
Vis hele sitatet...
Når det gjeld omdømme, så har politiet i etterkant orsaka at det vart med i forelegget. Det tyder vel på at det ikkje er tatt så ekstremt ut av samanheng gjerne?
Sitat av hemmeligegreier Vis innlegg
Det handler om at gutten både har tilegnet seg data ulovlig, og begått identitetstyveri.
Vis hele sitatet...
Han har nytta rektor sin brukarkonto til å sende ut ei melding. Sjølv om det objektivt sett er identitetstjuveri fell det neppe inn under det lovgjevar meinte med begrepet.
Sitat av hemmeligegreier Vis innlegg
Det er ikke snakk om "svekket omdømme" fordi kommunen ikke tettet sikkerhetshullet, men på grunn av at gutten begikk identitetstyveri. Selv om kommunen har gjort noe galt så er det fortsatt ikke greit med identitetstyveri.
Vis hele sitatet...
Problemet er ikkje at kommunen hadde eit sikkerhetshol. Alle programvareløysinger har sikkerhetshol. Problemet er at kommunen ikkje reagerte, slik dei har plikt til etter POL, når dei fekk kjennskap til problemet.
Sitat av hemmeligegreier Vis innlegg

Jeg kan ikke se at politiet har gjort noe galt i det hele tatt. De har fått vite om et ganske alvorlig straffbart forhold, har etterforsket dette, og har brukt de hjemlene lovverket gir for å reagere på det. De har ikke sett på "svekket omdømme" som følge av sikkerhetshullet, men som følge av ulovligheter fra guttens side.
Vis hele sitatet...
Nei, det ser du aldri. Det har vi fått med oss.
Sitat av hemmeligegreier Vis innlegg
Inndragning er forøvrig noe som er instruksfestet. Det skal i utgangspunktet gjøres, og er i utgangspunktet ikke valgfritt. Det er et uttalt mål fra øverste hold at inndragning skal brukes i større grad.
Vis hele sitatet...
Men som eg skreiv over. Dei kunne brukt fem sekunder på å utforme ein grunn som ikkje antyda at straff var motivet. Det hadde ikkje vore spesielt kontroversielt.
Sitat av vidarlo Vis innlegg
No vart jo ikkje det gjort i vinnings hensikt, og det framstår som åpenbart at det vart gjort for å skape merksemd rundt saka.
Vis hele sitatet...
Identitetstyveri er likevel ikke greit. Det er faktisk ganske alvorlig.

Når det gjeld omdømme, så har politiet i etterkant orsaka at det vart med i forelegget. Det tyder vel på at det ikkje er tatt så ekstremt ut av samanheng gjerne?
Vis hele sitatet...
Nå må du lese det jeg skriver. Når det snakkes om "omdømme" så er det ikke fordi det var sikkerhetsproblemer. Det er ikke på grunn av avdekking av sikkerhetsproblemer gutten har fått reaksjon, men på grunn av identitetstyveri og ulovlig besittelse av brukernavn/passord.

Han har nytta rektor sin brukarkonto til å sende ut ei melding. Sjølv om det objektivt sett er identitetstjuveri fell det neppe inn under det lovgjevar meinte med begrepet.
Vis hele sitatet...
Joda, dette var identitetstyveri både objektivt og subjektivt sett.

Problemet er ikkje at kommunen hadde eit sikkerhetshol. Alle programvareløysinger har sikkerhetshol. Problemet er at kommunen ikkje reagerte, slik dei har plikt til etter POL, når dei fekk kjennskap til problemet.
Vis hele sitatet...
Jada, men poenget er at det ikke er avdekking av sikkerhetshullet han har fått reaksjon for, men ID-tyveri og uolvlig besittelse av data.

Nei, det ser du aldri. Det har vi fått med oss.
Vis hele sitatet...
Bra du holder deg saklig da. Flott at du unngår personangrep og fokuserer på saken. Men dette er vel greit for moderatorene.

Men som eg skreiv over. Dei kunne brukt fem sekunder på å utforme ein grunn som ikkje antyda at straff var motivet. Det hadde ikkje vore spesielt kontroversielt.
Vis hele sitatet...
Motivet var å inndra utstyr brukt til straffbart forhold. Dette har også et element av "straff" i seg, altså at kriminelle skal skjønne at hvis de bruker noe til noe kriminelt så kan de risikere å miste det.
Sitat av hemmeligegreier Vis innlegg
Identitetstyveri er likevel ikke greit. Det er faktisk ganske alvorlig.
Vis hele sitatet...
Kjære vene. Det er stor skilnad på identitetstjuveri i vinnings hensikt eller liknande, og det som skjedde her. Det som skjedde her var altså at kontoen til ein annan person vart nytta til å sende ut ei åpenbart falsk melding.

Straffebodet for det er gjerne alvorleg, men handlinga er ikkje spesielt alvorleg, gitt at det var såpass åpenbart at det var ei falsk melding. Det var og ei eingongshending.

Forøvrig er jo identitetstjuveri akkurat så alvorleg at politiet legg vekk saker der det er gjort i vinnings hensikt over ein lav sko.
Sitat av hemmeligegreier Vis innlegg
Nå må du lese det jeg skriver. Når det snakkes om "omdømme" så er det ikke fordi det var sikkerhetsproblemer. Det er ikke på grunn av avdekking av sikkerhetsproblemer gutten har fått reaksjon, men på grunn av identitetstyveri og ulovlig besittelse av brukernavn/passord.
Vis hele sitatet...
For å sitere NRK:
Sitat av https://www.nrk.no/hordaland/politiet-straffar-skuleeleven-som-varsla_-_-han-skada-kommunen-sitt-omdomme-1.14503575
At politiet meiner vår son skal bera ansvaret for kommunen sit tap av omdømme, er urimeleg. Me vil ikkje at dette er noko som skal hefta ved hans namn i politiet sine arkiv, seier mora, som NRK anonymiserer av omsyn til guten.
Vis hele sitatet...
Omdømmetapet sto Bergen Kommune for heilt sjølv, ved å opptre på ein hårreisande idiotisk måte. For å rekapitulere hendelsesforløpet:
  1. Bergen Kommune lager ei liste over brukernavn og passord
  2. Bergen kommune legg ut fila på ein fileshare tilgjenegeleg for alle, inkludert elevar i Bergen.
Det står litt meir her.

Det tilsvarer omlag at du prøvde https://freak.no/admin, og fekk opp ei liste over brukarnavn og passord til crew. Du varsler nso om det, i PM, men nso reagerer ikkje. Du meiner det er problematisk, og vel difor å logge inn som nso, og legge ut ein tråd om at sikkerheta stinker.

Det er faktisk det einaste ansvarlege å gjere i ein slik situasjon! Hugs at vi faktisk har lovverk som vernar varslarar i arbeidsforhold.

Guten forsøkte å varsle, og det fungerte ikkje. Eit hakket tydlegare varsel er å demonstrere det! Og det var det som måtte til før Bergen kommune rydda opp i sitt eige sikkerhetshol.

Så kan du sitte der og messe om at det er alvorleg krimanlitet og alt anna, men faktum er at eit meir eller mindre unisont sikkerhetsmiljø i Noreg meiner det var rett, om enn dumt, å gjere det!

Dei einaste som er ueinige er politiet!

Heilt ærleg framstår det som du er totalt blotta for evne til å sjå at politiet kan handle feil. Her har jo til og med politiet gått ut og orsaka ordlyden. Dei har sjølv innsett at dei har gjort ein feil. Men du forsvarer dei i utgangspunktet.

Så beklager for at eg konkluderer med at det ikkje er poeng i å diskutere politiet med deg. Men all erfaring tilseier at du er meir katolsk enn paven, når det kjem til det temaet.
Sitat av hemmeligegreier Vis innlegg
Identitetstyveri er likevel ikke greit. Det er faktisk ganske alvorlig.
Vis hele sitatet...
Vold er også ganske alvorlig. Men hensikten har noe å si. En voldshandling kan kategoriseres som drapsforsøk eller nødverge utelukkende basert på hensikten.

Sitat av hemmeligegreier Vis innlegg
Nå må du lese det jeg skriver. Når det snakkes om "omdømme" så er det ikke fordi det var sikkerhetsproblemer. Det er ikke på grunn av avdekking av sikkerhetsproblemer gutten har fått reaksjon, men på grunn av identitetstyveri og ulovlig besittelse av brukernavn/passord.
Vis hele sitatet...
Nei, nå må du lese hva du selv skriver. Du forsvarer politiets respons i en sak der de selv har gått ut og sagt at de uttrykte seg uheldig.

Sitat av hemmeligegreier Vis innlegg
Joda, dette var identitetstyveri både objektivt og subjektivt sett.
Vis hele sitatet...
Tenk deg at alle identitetstyverier var på dette formatet - guttestreker der det ble sendt ut en epost med innhold "passordet ditt er utrygt!" Ville da identitetstyveri hatt den juridiske statusen det har? Eller har vi fått på plass lover som behandler dette som en jævla big deal nettopp fordi identitetstyver ofte er av langt mer alvorlig karakter?

Prøv å se denne saken i en litt bredere kontekst. Se på kommunen, hva de gjorde etter første varsel. Se på deres motivasjon for å ta affære - var det egentlig datainnbruddet de var så forferdede over? Eller kan det ha vært et element av å miste ansikt her? Ta all informasjonen med i ligninga, også hva de overleverte politiet av informasjon, og hva de fortalte media at de hadde sagt.

Se på gutten, som var tolv år gammel. Er det rimelig å stille samme forventninger til et barn som til en voksen?

Så var det politiet, da. Var deres respons... proporsjonal? Trengte de å ransake kåken til familein? Eller kunne denne saken kanskje like greit ha blitt avklart med en telefonsamtale à la: "hei, <foresatte>, vennligst møt opp på politistasjonen i morgen klokken 12 med gutten deres fordi..." Ville det kanskje vært hensiktsmessig i denne saken?

Også var det den store greia, da. Den som virkelig handler om å veie formål opp mot hverandre og se saken i kontekst - hvilket sluttresultat ønsker politiet for samfunnet? Det er viktig for de at folk følger loven. Åpenbart. Men hva med tillit til maktinstitusjonene? Er det viktig? Ønsker politiet at folk som kommer over noe ulovlig eller farlig varlser de om forholdet? Politiets handlinger har i alle fall ytterligere sementert den svært utbredte oppfatningen om at hvis du kommer over et sikkerhetshull så holder du helt kjeft. Er det ønskelig? De kunne lett ha unngått dette ved å utvise litt mer eleganse - og, som nevnt av andre, faktisk inndra de jævla harddisken hvis de var så viktig for de. Politiet kunne lett blitt stående igjen som den fornuftige stemmen og myndige stemmen i denne saken, men de har isteden klart å dytte skoleledelsen ned fra tronen som de største idiotene. Det er neppe Bergen politidistrikt til gagns.

Sitat av hemmeligegreier Vis innlegg
Jada, men poenget er at det ikke er avdekking av sikkerhetshullet han har fått reaksjon for, men ID-tyveri og uolvlig besittelse av data.
Vis hele sitatet...
Ja, det er det det står på Papiret. Men er du i det hele tatt åpen for at en aktørs motivasjon kan avvike fra det som skrives?

Sitat av hemmeligegreier Vis innlegg
Bra du holder deg saklig da. Flott at du unngår personangrep og fokuserer på saken. Men dette er vel greit for moderatorene.
Vis hele sitatet...
Hva er det du snakker om? Personangrep? Du har vært her i mange år og har alltid, uten unntak tatt politiet i forsvar. Uansett hvor urimelig det måtte være. Som nå, hvor du mener de gjorde alt rett i en sak hvor de selv innrømmer feil. Vidarlos observasjon er opplagt sannferdig. Jeg kan heller ikke se at den ville være et personangrep om den så var gal. Det er således opplagt ikke et regelbrudd og derfor helt greit for moderatorene.
Sist endret av Myoxocephalus; 15. april 2019 kl. 10:55.
▼ ... over en uke senere ... ▼
https://www.nrk.no/hordaland/politie...-ny-1.14511212

Bergen kommune burde ha ansatt han som en white hat hacker, ikke forsøkt å fiendliggjøre han.

Blir vanskelig å straffe ham denne gangen, fremdeles under kriminelle lavalder og med skole-pc. Heia!
Sitat av supercali Vis innlegg
https://www.nrk.no/hordaland/politie...-ny-1.14511212

Bergen kommune burde ha ansatt han som en white hat hacker, ikke forsøkt å fiendliggjøre han.

Blir vanskelig å straffe ham denne gangen, fremdeles under kriminelle lavalder og med skole-pc. Heia!
Vis hele sitatet...
Straffe denne gangen? Det er den saken som gjorde at de beslagla utstyret hans.

Det er fint det kommer litt mer nyansert informasjon om saken som kanskje kaster litt mer lys på hvorfor man ikke ønsker barn rekene i datasystemene sine.
"jeg deployet en orm for å finne ipadressene i nettverket".

Dersom dette hadde blitt ustraffet kunne jeg lett ofret ett sikkerhetshull, varslet om dette, for så å benytte ett annet for å bryte meg inn, dersom jeg hadde blitt tatt kunne jeg bare si "jeg tester bare sikkerheten, jeg prøvde jo å varsle først"..
"Eleven varsla, men ingenting skjedde. Guten tok seg difor ulovleg inn i systemet. Det enda med razzia heime hjå familien, og inndraging av datautstyret hans.

Men inndraginga stoppa ikkje eleven frå nye eksperiment med kommunen sitt datasystem"

Er det noe jeg har misforstått?
Sitat av Rosander Vis innlegg
Straffe denne gangen?
Vis hele sitatet...
Men han varslet jo faktisk i utgangspunktet om at det var et sikkerhetshull, så det blir jo ikke helt det samme.
Sist endret av random42099; 25. april 2019 kl. 19:07.
Sitat av supercali Vis innlegg
"Eleven varsla, men ingenting skjedde. Guten tok seg difor ulovleg inn i systemet. Det enda med razzia heime hjå familien, og inndraging av datautstyret hans.

Men inndraginga stoppa ikkje eleven frå nye eksperiment med kommunen sitt datasystem"

Er det noe jeg har misforstått?
Vis hele sitatet...
Det kan hende jeg også misforstår, men sånn jeg har skjønt det så er hendelsen med ormen det som gjor at de besluttet å ikke gi gutten tilbake datautstyret.

Altså har ikke det med ormen skjedd etter saken som blir diskutert i tråden her, men det er én av grunnene til at gutten ikke får tilbake det som ble beslaglagt.

Skyt meg gjerne om jeg tar feil.
Sitat av hippitus Vis innlegg
Det kan hende jeg også misforstår, men sånn jeg har skjønt det så er hendelsen med ormen det som gjor at de besluttet å ikke gi gutten tilbake datautstyret.

Altså har ikke det med ormen skjedd etter saken som blir diskutert i tråden her, men det er én av grunnene til at gutten ikke får tilbake det som ble beslaglagt.

Skyt meg gjerne om jeg tar feil.
Vis hele sitatet...
Takker for oppklaring. Det gir jo litt mening med tanke på hvor hevngjerrig politiet kan være.

Vips, så ble en kriminell skapt...
https://en.m.wikipedia.org/wiki/Deviance_(sociology)
Ja, og Bergenspolitiet er jo notoriske for sin arbeidsetikk og interne personalhåndtering.
Sitat av Rosander Vis innlegg
Dersom dette hadde blitt ustraffet kunne jeg lett ofret ett sikkerhetshull, varslet om dette, for så å benytte ett annet for å bryte meg inn, dersom jeg hadde blitt tatt kunne jeg bare si "jeg tester bare sikkerheten, jeg prøvde jo å varsle først"..
Vis hele sitatet...
Det hadde nok hatt noe å si hva du valgte å gjøre når du brøt deg inn. Ser ikke helt at denne saken kan skape presedens til å tillate identitetstyveri på generelt grunnlag, så lenge man har skaffet seg varslerstatus på forhånd. Legg til at det her er snakk om en unge, så blir det der litt søkt.