[Base]

"det ÄR hackerns fel och vi borde verkligen ha betydligt strängare straff på dataintrång (typ 10 år, motsvarande grov stöld, för allvarligare fall, det skulle ge helt andra befogenheter ooch möjligheter att agera)." Straff bör vara i proportion till utfört brott kontra jämförbart allvarliga brott på straffskalan anser ju jag. Mord och mordförsök(vilket ju i många fall ger runt 10 år) anser jag är värre än att komma åt och dumpa en db. Men helt klart bör det bestraffas på ett vettigt sätt.

Sen anser jag för övrigt att om en site har funktionalitet som behandlar användares uppgifter så tar man på sig ett visst ansvar att hantera uppgifter på ett vettigt sätt. Alla kan bli hackade men i detta fall låter det på inget sätt som man behandlat användarnas uppgifter på ett vettigt sätt eller valt att skydda dom på en rimlig grundläggande nivå.

Håller för övrigt med ITisGood.se om man pratar nya implementationer. Finns egentligen ingen som helst anledning fortsätta rulla på md5(oavsett tid det tar bruteforcea vid rätt implementation). Men jag antar att få gör det?

[SimonP]

Citat:

Ursprungligen postat av Base

om man pratar nya implementationer. Finns egentligen ingen som helst anledning fortsätta rulla på md5(oavsett tid det tar bruteforcea vid rätt implementation).

Ja, men då bör man gå upp till SHA256 (eller större), eller någon riktig KDF.
Men SHA1 är bara lite bättre än MD5, och ingen bra framtidslösning..

[Xamda]

Citat:

Ursprungligen postat av Base

"det ÄR hackerns fel och vi borde verkligen ha betydligt strängare straff på dataintrång (typ 10 år, motsvarande grov stöld, för allvarligare fall, det skulle ge helt andra befogenheter ooch möjligheter att agera)." Straff bör vara i proportion till utfört brott kontra jämförbart allvarliga brott på straffskalan anser ju jag. Mord och mordförsök(vilket ju i många fall ger runt 10 år) anser jag är värre än att komma åt och dumpa en db. Men helt klart bör det bestraffas på ett vettigt sätt.

Nu sa ju inte jag att varje dataintrång skall straffas med lagens strängaste straff. Däremot anser jag att dagens maximala straff på två år är skrattretande.

Bara senaste månadera har vi haft exempel på skador för många (sannolikt långt över hundra) miljoner hos flera svenska företag (däribland webbhotell) på grund av dataintrång och överbelastningsattacker (vilka också faller under brottet dataintrång) och skadorna är mycket mer omfattande än de allra största stöldbrotten som någonsin inträffat (och ja, det är gripet ur luften eftersom jag inte har någon direkt statistik över stöldbrotts "värde", men har svårt att tro att det finns något som passerar mer än något fåtal miljoner).

Det är dessutom i det brott jag nämner ovan SAMMA gärningsmän och de kan inte dömas till mer än 2 års fängelse...

Att ta någons liv är naturligtvis värre än stöldbrott och dataintrång, men skadorna man orsakar med avancerade dataintrång (i direkta överbelastningsattacker och intrång) kan mycket väl orsaka såväl fysiska skador som otroligt kännbara ekonomiska skador.

För mord är straffet tio år eller livstid... Där är alltså lägsta straffet 10 år. Jag vill ha ett maxstraff på 10 år för dataintrång (kalla det grovt dataintrång).

Jag tycker själv att hackers som attackerar andras datorer platsar på samma nivå som andra av samhällets absoluta bottennivåpatrask.

[klein]

Det mikrovågungs tillverknas fel att det inte har varningstext för att man inte skall torka hunden i ungen heller. :-) Innan man börja skrika på högre straff för dataintrång bör man få upp straffskalan för brott där vanliga människor drabbas hårt istället, vi bör får riktiga fängelse i Sverige som har mer avskräckande verkan till och början med.

Sedan tycker att man inte kan lägga skulden på "Hackers" utan mer på sajtägare och även på användaren. Som i övriga case i samhället, så har man också ett eget ansvar för sin handlingar.

Citat:

Ursprungligen postat av Base

"det ÄR hackerns fel och vi borde verkligen ha betydligt strängare straff på dataintrång (typ 10 år, motsvarande grov stöld, för allvarligare fall, det skulle ge helt andra befogenheter ooch möjligheter att agera)." Straff bör vara i proportion till utfört brott kontra jämförbart allvarliga brott på straffskalan anser ju jag. Mord och mordförsök(vilket ju i många fall ger runt 10 år) anser jag är värre än att komma åt och dumpa en db. Men helt klart bör det bestraffas på ett vettigt sätt.

Sen anser jag för övrigt att om en site har funktionalitet som behandlar användares uppgifter så tar man på sig ett visst ansvar att hantera uppgifter på ett vettigt sätt. Alla kan bli hackade men i detta fall låter det på inget sätt som man behandlat användarnas uppgifter på ett vettigt sätt eller valt att skydda dom på en rimlig grundläggande nivå.

Håller för övrigt med ITisGood.se om man pratar nya implementationer. Finns egentligen ingen som helst anledning fortsätta rulla på md5(oavsett tid det tar bruteforcea vid rätt implementation). Men jag antar att få gör det?

[Jan Eriksson]

Citat:

Ursprungligen postat av klein

Sedan tycker att man inte kan lägga skulden på "Hackers" utan mer på sajtägare och även på användaren. Som i övriga case i samhället, så har man också ett eget ansvar för sin handlingar.

Så om du inte har larm på ditt hem/kontor så ska man inte lägga skulden på tjuven utan på ägaren? Förstår hur du tänker men håller inte med. Enligt mig så ska skulden läggas på "Hackern" men ansvaret på att inte ha skyddat sig på sajtägaren och användarna.

[klein]

Man har fortfarande ett eget ansvar. Bor man i ett brottsutsatt områden, då har man rimligen en Magnum 45 i handsfacket, så man kan utöva självförsvar.

Självklart har brottslingen ett ansvar, men har man en databas på 210k uppgifter och man lagra lösenord i klartext, då har något blivit ordentligt fel, lite som att byggas hus på sank mark.

Det är inte som bloggtoppen ens, att man måste göra något aktivt för att komma åt lösenordet, utan gratisbio lösen ligger KLARTEXT..

Citat:

Ursprungligen postat av Jan Eriksson

Så om du inte har larm på ditt hem/kontor så ska man inte lägga skulden på tjuven utan på ägaren? Förstår hur du tänker men håller inte med. Enligt mig så ska skulden läggas på "Hackern" men ansvaret på att inte ha skyddat sig på sajtägaren och användarna.

[Jan Eriksson]

Citat:

Ursprungligen postat av klein

Man har fortfarande ett eget ansvar. Bor man i ett brottsutsatt områden, då har man rimligen en Magnum 45 i handsfacket, så man kan utöva självförsvar.

Självklart har brottslingen ett ansvar, men har man en databas på 210k uppgifter och man lagra lösenord i klartext, då har något blivit ordentligt fel, lite som att byggas hus på sank mark.

Det är inte som bloggtoppen ens, att man måste göra något aktivt för att komma åt lösenordet, utan gratisbio lösen ligger KLARTEXT..

Är det inte så våldtäktsmän tänker?. Oj, hon är lätt klädd och går själv, alltså är det inte mitt fel jag våldtar henne. Helt och hållet hennes ansvar och skuld?

Att bygga hus på sankmark är som att köpa en vanlig billig dator och göra till en server som ska ha massor av besökare. Här ligger skuld och ansvar på den som fattade beslutet.

Sen är det är det idiotiskt att lagra lösen i klartext. Håller jag fullständigt med om. Dock ligger skulden på att lösen etc sprids på "hackaren" men ansvar för att det gick så lätt på sajtägaren/programmeraren. "Hackaren" går inte fri bara för att det är lätt.

[klein]

Att våldtäckmannen tänker så, är fel. Man att lagra password i klartext är försumlighet, dvs gratisbios har inte tänkt sej för. Brottsoffren i gratisbios fall är dess användare och inte sajten, eftersom man har ändå ett visst ansvar att försvåra att komma över uppgifterna, särskilt när det rör sej om 210k konto. Bloggtoppen vars lösenorden är hashade ,dvs krävs ytterligare en handling att få ut dem i klartext.

Men i gratisbio fall kan vilken 14 åring som helst leka runt på facebook. Bloggtoppen har åtminstone haft både vanligt lås, medan gratisbios har haft ett sådant där lås som finns på dagböcker för fjortisar som man pillar upp med ett gem.

Man bör alltid tänka, om någon kommer över databasen, vad kan göra skada då?

Självklart kan man inte försvara hackaren handlingar, men å andra sidan så kan de föra något gott med sej, allt folk börja tänka sej för, nackdelen är att folk kanske bli rädda signa upp sej i framtiden på olika sajter.

Sedan tycker man att facebook / MSN / Google både ha agerat, då eposadresserna är kända, så bör man ha några extra spärr på dem.

Citat:

Ursprungligen postat av Jan Eriksson

Är det inte så våldtäktsmän tänker?. Oj, hon är lätt klädd och går själv, alltså är det inte mitt fel jag våldtar henne. Helt och hållet hennes ansvar och skuld?

Att bygga hus på sankmark är som att köpa en vanlig billig dator och göra till en server som ska ha massor av besökare. Här ligger skuld och ansvar på den som fattade beslutet.

Sen är det är det idiotiskt att lagra lösen i klartext. Håller jag fullständigt med om. Dock ligger skulden på att lösen etc sprids på "hackaren" men ansvar för att det gick så lätt på sajtägaren/programmeraren. "Hackaren" går inte fri bara för att det är lätt.

[Jan Eriksson]

Du säger emot dig själv. Först ska man lägga skulden även på användarna och sen är det hux flux brottsoffer.

Citat:

Ursprungligen postat av klein

Sedan tycker att man inte kan lägga skulden på "Hackers" utan mer på sajtägare och även på användaren. Som i övriga case i samhället, så har man också ett eget ansvar för sin handlingar.

Citat:

Ursprungligen postat av klein

Man att lagra password i klartext är försumlighet, dvs gratisbios har inte tänkt sej för. Brottsoffren i gratisbios fall är dess användare och inte sajten, eftersom man har ändå ett visst ansvar att försvåra att komma över uppgifterna....

Tror i grund och botten att vi tänker någorlunda lika. Dock anser jag att skulden för att lösenord etc sprids ligger hos "hackarna". Ansvaret för att det gick att komma åt lösenorden etc så lätt ligger hos sajtägarna. Användarna har ett visst ansvar men går enligt mig fria eftersom jag tycker att sajtägarna ska "tvinga" användarna till svårare lösenord genom att tex kräva versaler, gemener, tecken och siffror i lösenordet.