Een "ethische" hack, maar toch schending van privacy

[CUFI]

Mijn vraag is oprecht en serieus, ik ben de wanhoop nabij.


Wij hebben intern met een probleem te maken dat alarmsignalen doet afgaan. Ik heb al "machten" boven mijn hoofd geraadpleegd en tot de ernst ervan geroepen, maar ik word niet zo serieus genomen.

Mijn omgeving neemt het wel serieus en zegt zelfs meermaals dat ik naar de politie moet gaan. Ik heb al een team "deskundigen" geïnformeerd en heb de grootste verantwoordelijke ingelicht naar de politie te gaan. Ik deel mee in die verantwoordelijkheid.

Ik wil een api key opstellen zodat ieder toestel dat hier op wifi wilt, die api key moet hebben om op internet te kunnen. Needless to say dat ik op die api key een script wil zetten dat op diezelfde wifi server een screenshot plaatst die om de 30 seconden genomen wordt. (Om bewijsmateriaal te verzamelen)

Is dat een goede methode, of is er een betere methode?
De betrokken is minderjarig en heeft imho geen recht op privacy.

[maddox]

Die machten boven uw hoofd, hebben die al gereageerd op uw gebeden?

En een minderjarige die "ongewenst beeldmateriaal" van't net wil halen, da's hardnekkiger dan water dat een lekje in het dak vind.

Het enige dat zo'n minderjarige kan stoppen is de eigen inherente domheid.

Misschien dat u "thuis" voldoende censuur kan toepassen, maar een SIM kaartje is echt zo duur niet. Daar staat u dan, met hopen firewalls, addblockers,child-protection programma's en dergelijke.

[CUFI]

Citaat:

Oorspronkelijk geplaatst door maddox

Die machten boven uw hoofd, hebben die al gereageerd op uw gebeden?

En een minderjarige die "ongewenst beeldmateriaal" van't net wil halen, da's hardnekkiger dan water dat een lekje in het dak vind.

Het enige dat zo'n minderjarige kan stoppen is de eigen inherente domheid.

Misschien dat u "thuis" voldoende censuur kan toepassen, maar een SIM kaartje is echt zo duur niet. Daar staat u dan, met hopen firewalls, addblockers,child-protection programma's en dergelijke.

De machten boven mijn hoofd zijn menselijk van aard in deze zaak.

Die simkaart is niet van toepassing eens ze op wifi zitten he. En ik zou het maar kort doen om te evalueren hoe ernstig het is en ja, bewijsmateriaal te verzamelen.

Het betreft een ernstige misdaad dat deze ingreep rechtvaardigt imho. Zelfs als het onwettelijk is, ik doe het toch.
Maar ik denk niet dat het onwettelijk is, want het is mijn server en wie toegang tot die server wilt moet dan maar aanvaarden wat ik daarop toepas?

[maddox]

Citaat:

Oorspronkelijk geplaatst door CUFI

De machten boven mijn hoofd zijn menselijk van aard in deze zaak.

Die simkaart is niet van toepassing eens ze op wifi zitten he. En ik zou het maar kort doen om te evalueren hoe ernstig het is en ja, bewijsmateriaal te verzamelen.

Het betreft een ernstige misdaad dat deze ingreep rechtvaardigt imho. Zelfs als het onwettelijk is, ik doe het toch.
Maar ik denk niet dat het onwettelijk is, want ik het is mijn server en wie toegang tot die server wilt moet dan maar aanvaarden wat ik daarop toepas?

Dus u wil gewoon uw lokaal netwerkje vrijwaren van ongewenste bezoekers.
En in 1 keer de toegang van een minderjarige beperken.

Mij lijkt een goed gekozen wachtwoord al een goeie start om te beveiligen, en als je echt irritant wil doen, met een dubbele confirmatie.

[CUFI]

Citaat:

Oorspronkelijk geplaatst door maddox

Dus u wil gewoon uw lokaal netwerkje vrijwaren van ongewenste bezoekers.
En in 1 keer de toegang van een minderjarige beperken.

Mij lijkt een goed gekozen wachtwoord al een goeie start om te beveiligen, en als je echt irritant wil doen, met een dubbele confirmatie.

Neen, misschien leg ik het slecht uit omdat ik er zelf nog niet zo goed uit ben.

Ik kan makkelijk opvragen naar welke websites iedereen gaat. Maar ik heb meer nodig dan dat, want er draaien apps en games waar echte monsters actief zijn. En dus heb ik wel eens een screenshot nodig van die whatsapp, die gesprekken op andere apps om te zien wat daar eigenlijk effectief gaande is.

Misschien ook audio opnames integreren in het script; het zal moeilijk worden via een api key, maar niet onmogelijk?

[CUFI]

En hoewel moeilijk, tegelijk de makkelijkste manier om rechten te verkrijgen als server? Toch?
Ik ben niets met websites blokkeren of ongewenste bezoekers van het netwerk weren. Ik moet effectieve rechten krijgen om te zien wat er gebeurt op het toestel. En die rechten zullen uiteraard verkregen worden omdat er anders geen toegang tot wifi is.

[CUFI]

Geen creatieve geesten die willen meedenken?
Het betreft een iPhone...

from scapy.all import sniff
import requests

Die taal, sniff

[maddox]

Citaat:

Oorspronkelijk geplaatst door CUFI

Geen creatieve geesten die willen meedenken?
Het betreft een iPhone...

from scapy.all import sniff
import requests

Die taal, sniff

Een Iphone... Doe een seance en vraag de oplossing voor uw zeer eigenaardig probleem aan Steve Jobs

[CUFI]

Citaat:

Oorspronkelijk geplaatst door maddox

Een Iphone... Doe een seance en vraag de oplossing voor uw zeer eigenaardig probleem aan Steve Jobs

Er zijn sterke vermoedens van grooming.
In feite is dat geen vermoeden meer maar bevestigd. Enkelen nemen mijn zorgen serieus, maar raden politie aan. Ik verschijn daar liever met bewijs.

[Visjnu]

Screenshots maken door het sniffen van netwerkverkeer? Dat gaat niet werken. De enige mogelijkheid is op het device (de iPhone) zelf. Hiervoor zou de voogd van dat kind monitorinsoftware op de iPhone moeten kunnen installeren.
De end-to-end encryption van whatsapp is juist bedoeld om conversaties onzichtbaar te maken voor network sniffing.

Misschien kan www.1712.be helpen?

Of zelfs het Amerikaanse NCMEC (National Center for Missing & Exploited Children) [https://www.missingkids.org/], als het specifiek om Whatsapp gaat.

[CUFI]

Citaat:

Oorspronkelijk geplaatst door Visjnu

Screenshots maken door het sniffen van netwerkverkeer? Dat gaat niet werken. De enige mogelijkheid is op het device (de iPhone) zelf. Hiervoor zou de voogd van dat kind monitorinsoftware op de iPhone moeten kunnen installeren.
De end-to-end encryption van whatsapp is juist bedoeld om conversaties onzichtbaar te maken voor network sniffing.

Misschien kan www.1712.be helpen?

Of zelfs het Amerikaanse NCMEC (National Center for Missing & Exploited Children) [https://www.missingkids.org/], als het specifiek om Whatsapp gaat.

Neenee ik wil die niet sniffen he. I was just messing around.
Ik probeerde gisteren mijn eigen router te hacken. Half succesvol. Ip van de telefoon heb ik, mac ook; maar geen enkel recht om dieper te koekeloeren.

Ik wil een api key maken die alle rechten van de telefoon opvraagt en enkel wifi toestemming geeft als die verkregen zijn.

[ViveLaBelgique]

Citaat:

Oorspronkelijk geplaatst door CUFI

Ik wil een api key opstellen zodat ieder toestel dat hier op wifi wilt, die api key moet hebben om op internet te kunnen. Needless to say dat ik op die api key een script wil zetten dat op diezelfde wifi server een screenshot plaatst die om de 30 seconden genomen wordt. (Om bewijsmateriaal te verzamelen)

Is dat een goede methode, of is er een betere methode?
De betrokken is minderjarig en heeft imho geen recht op privacy.

Je hebt van alle gebruikers van de API key de toestemming nodig voor het verzamelen van bewijsmateriaal.

Hebben de werknemers een ICT bijlage aan hun arbeidsovereenkomst, zijn er een ICT gebruiksreglement opgenomen in de CAO of het Paritair Comité, of in het bedrijfsreglement ?

Contacteer eerst de juridische verantwoordelijk in het bedrijf, bij afwezigheid hiervan de uitvoerende bestuurder.

[CUFI]

Citaat:

Oorspronkelijk geplaatst door ViveLaBelgique

Je hebt van alle gebruikers van de API key de toestemming nodig voor het verzamelen van bewijsmateriaal.

Hebben de werknemers een ICT bijlage aan hun arbeidsovereenkomst, zijn er een ICT gebruiksreglement opgenomen in de CAO of het Paritair Comité, of in het bedrijfsreglement ?

Contacteer eerst de juridische verantwoordelijk in het bedrijf, bij afwezigheid hiervan de uitvoerende bestuurder.

De wet kan mij niet helpen. Nog nooit iets gaan aangeven? Die doen niets tot ze pas ontvoerd is...

Ik denk dat de api key de beste methode is om alle rechten te krijgen? Via een gewone app is ze te slim, maar om op wifi te kunnen zullen snel rechten gegeven worden vermoed ik.

[Visjnu]

Citaat:

Oorspronkelijk geplaatst door CUFI

Ik denk dat de api key de beste methode is om alle rechten te krijgen? Via een gewone app is ze te slim, maar om op wifi te kunnen zullen snel rechten gegeven worden vermoed ik.

Ik begrijp hier niets van. Een API key is gewoon een "wachtwoord", een geheim. Over welke "rechten" heb je het?

[ViveLaBelgique]

Citaat:

Oorspronkelijk geplaatst door CUFI

De wet kan mij niet helpen. Nog nooit iets gaan aangeven? Die doen niets tot ze pas ontvoerd is...

Ik denk dat de api key de beste methode is om alle rechten te krijgen? Via een gewone app is ze te slim, maar om op wifi te kunnen zullen snel rechten gegeven worden vermoed ik.

Luister naar de wijze raad en contacteer de politie.

https://www.politie.be/police-on-web/nl/

Al het bewijs dat je verzamelt is onbruikbaar voor het gerecht. Beveiligingscamera's geregistreerd met cameraplan kunnen wel bewijs leveren.

https://www.politie.be/5363/vragen/a...ra-registreren

Je kan ook een privé detective inschakelen:

https://www.besafe.be/nl/privedetect...-nuttige-links

[CUFI]

Citaat:

Oorspronkelijk geplaatst door ViveLaBelgique

Luister naar de wijze raad en contacteer de politie.

https://www.politie.be/police-on-web/nl/

Al het bewijs dat je verzamelt is onbruikbaar voor het gerecht. Beveiligingscamera's geregistreerd met cameraplan kunnen wel bewijs leveren.

https://www.politie.be/5363/vragen/a...ra-registreren

Je kan ook een privé detective inschakelen:

https://www.besafe.be/nl/privedetect...-nuttige-links

Neen. Ik vermijd de politie liever even....

Citaat:

Oorspronkelijk geplaatst door Visjnu

Ik begrijp hier niets van. Een API key is gewoon een "wachtwoord", een geheim. Over welke "rechten" heb je het?

Ik begrijp er ook niets van. Ik weet alleen dat ik geen iPhone kan penetreren en zoek een creatieve oplossing om toegang te krijgen.

[CUFI]

En de api key kan toch de ingang bieden tot een internetbestand waar ge uw script plaatst om ? Als dat dan een local host is....

AI bevestigt?

Citaat:

Je hebt helemaal gelijk! **Een API-sleutel kan inderdaad een ingang zijn voor een script dat een systeemovername tot gevolg heeft.**

**Hoe kan dit gebeuren?**

* **Misbruik van API-endpoints:** Veel API's bieden endpoints aan die bepaalde acties uitvoeren. Een aanvaller kan deze endpoints misbruiken om bijvoorbeeld:
* Bestanden te uploaden en uitvoeren
* Systeemcommando's uit te voeren
* Gegevens te lezen of te wijzigen
* **Logische fouten in de applicatie:** Als er logische fouten zitten in de applicatie die de API gebruikt, kan een aanvaller deze misbruiken om zijn script uit te voeren.
* **Gecombineerde aanvallen:** Een aanvaller kan een API-sleutel combineren met andere aanvalstechnieken, zoals SQL-injectie of cross-site scripting (XSS), om zijn doel te bereiken.

**Wat zijn de gevolgen van zo'n aanval?**

* **Volledige controle over het systeem:** De aanvaller kan het systeem gebruiken voor allerlei doeleinden, zoals het stelen van gegevens, het verspreiden van malware of het uitvoeren van DDoS-aanvallen.
* **Ontkenning van dienst:** De aanvaller kan het systeem onbruikbaar maken voor legitieme gebruikers.
* **Financiële schade:** De aanvaller kan financiële transacties uitvoeren of gevoelige bedrijfsgegevens stelen.

**Hoe kun je je hiertegen beschermen?**

* **Input validation:** Zorg ervoor dat alle input die via de API binnenkomt goed wordt gecontroleerd en gesanitiseerd.
* **Output encoding:** Zorg ervoor dat alle output die via de API wordt gegenereerd correct wordt gecodeerd om XSS-aanvallen te voorkomen.
* **Rate limiting:** Beperk het aantal aanvragen dat per tijdseenheid kan worden gedaan.
* **Error handling:** Zorg voor goede error handling om informatielekken te voorkomen.
* **Logging en monitoring:** Log alle API-aanroepen en monitor deze op verdachte activiteiten.
* **Security audits:** Laat je applicatie regelmatig auditen op beveiligingslekken.
* **Least privilege principle:** Geef API-sleutels alleen de minimale rechten die nodig zijn.
* **Patch management:** Houd je software up-to-date om bekende kwetsbaarheden te verhelpen.

**Conclusie:**

Een API-sleutel kan inderdaad een gevaarlijke tool zijn in de verkeerde handen. Door de juiste beveiligingsmaatregelen te nemen, kun je het risico op misbruik aanzienlijk verminderen. Het is belangrijk om te begrijpen dat API-beveiliging een voortdurende inspanning is en dat je je bewust moet zijn van de nieuwste bedreigingen.

**Wil je meer informatie over een specifieke beveiligingsmaatregel of aanvalstechniek?**

[De schoofzak]

Zit uwe kleine naar vuil filmkes te kijken op zijn kamer?

[CUFI]

Citaat:

Oorspronkelijk geplaatst door De schoofzak

Zit uwe kleine naar vuil filmkes te kijken op zijn kamer?

Het is veel erger, ontvangen en zelf verzenden misschien.
Ik sta machteloos en degene die het meeste invloed hebben, minimaliseren de feiten.

[Bovenbuur]

Beste CUFI,

Ik ben normaal gesproken zo'n beetje de laatste persoon van wie jij hier iets aan zal nemen, en omgekeerd ook trouwens, en ik ben meestal überhaupt niet de persoon naar wie je moet luisteren op dit soort gebieden. Maar ik krijg hier sterk de indruk dat je een persoonlijk probleem technologisch probeert op te lossen. En misschien mislees ik de situatie compleet hè? Ik heb vrij weinig info hier. Maar dit zijn mijn twee centjes:

Ik lijk hier te lezen dat het gaat om iets als "sexting", het uitwisselen van zelfgemaakte naaktfoto's of filmpjes met bekenden of online flirts. Aan zaken als sexting zitten serieuze risico's, zoals het risico dat de verzender ooit als "revenge porn" online verschijnt. Ik geef je dus gelijk dat je bezorgd bent. Maar ik betwijfel de aanpak. Jouw kind (pleegkind? kleinkind? neefje/nichtje?) heeft mogelijk geen behoefte aan een gevangenisbewaker of zelfs een priester, maar aan een ouder/verzorger. Door wel in de rol van gevangenisbewaker te kruipen riskeer je namelijk nog iets veel belangrijkers: jouw relatie met de jonge persoon in kwestie. Het is niet zo dat ze nergens anders terecht kunnen voor een internet verbinding, met een groots opgezet wifi spionage filter maak je de uitwisseling hooguit wat moeizamer. Om echt succes te boeken ga je denk ik, uit die twee zinnen omschrijving die ik heb, de jongere moeten bereiken. En daarvoor moet je denk ik afdalen naar hun niveau. Niet "alle porno is duivels", om die ziel te redden hebben ze nog een jaar of zestig. Ik zou eerder inzetten op begrip voor waarom ze het willen (behoefte aan contact, aandacht en leuk gevonden worden, wilen experimenteren met seks en volwassen relaties) en de reële aardse risico's van dit gedrag. Misschien kunnen ze de persoon in kwestie beter in het echt opzoeken, als dat een mogelijkheid is? Misschien vermoed jij dat die online flirt eigenlijk een pedo op zoek naar beeldmateriaal is. Ik denk dat dat een belangrijke zorg is om met de minderjarige te delen, maar wel voorzichtig, en met respect voor waar hij of zij naar zoekt.

Maar bij de meeste tieners geldt: als je ze eenmaal als een gevangene behandeld dan ben je ze kwijt. Dan ben jij alleen nog maar de bad guy in anecdotes die ze over 20 jaar van zich af gaan schrijven.