Helpende hackers

In een brandbrief hebben de verzamelde Nederlandse hackerorganisaties afgelopen week de overheid hun diensten aangeboden. Het gaat immers vaak ernstig mis met overheids-ICT. Denk aan de stemcomputers, het elektronisch patiëntendossier, de OV-chipkaart en Diginotar. Denk aan de Belastingdienst die toestaat dat via een willekeurig DigID iemands bank- of rekeningnummer kan worden veranderd, waarna de onverlaten valselijk allerlei toeslagen (huur, zorg, kinderopvang) konden incasseren. Denk aan de talloze lekke overheidswebsites.

Terecht schrijven de hackers dat ‘elementaire beveiligingsprincipes’ structureel niet worden toegepast en dat er sprake is van ‘blind vertrouwen in techniek, gestoeld op onvoldoende begrip van de risico’s. Audits en certificeringen zijn papieren tijgers. Er wordt onvoldoende gekeken naar de systemen zelf en blind vertrouwd op verklaringen van bijvoorbeeld de ontwikkelaars.’

Hackers die zulke fouten ontdekken, durven ze vaak niet te melden. Al snel belanden ze dan zelf in de beklaagdenbank, temeer daar sommige instanties alleen al het verrichten van zulk onderzoek als strafbaar beschouwen.

De Tweede Kamer reageerde plezierig snel en adequaat. Binnen een paar dagen vond viervijfde van de Kamer dat hackers die te goeder trouw beveiligingslekken willen aantonen en die openheid nastreven, dezelfde bescherming verdienen als klokkenluiders. Een stap vooruit!

Maar klokkenluiders zijn in Nederland erg slecht af (denk aan de bouwfraude), dus uiteindelijk schiet je er niet veel mee op. Daarnaast kun je pas dataklokkenluider worden nadat de fouten zijn doorgevoerd. Liever wil je voorkomen dat de elementaire ontwerp- en beveiligingsfouten waarmee de overheid nu steeds kampt, het überhaupt tot beleid en praktijk kunnen schoppen.

Ook daar is iets op te bedenken. Waarom laat de overheid – landelijk, provinciaal, gemeentelijk – haar ICT-projecten niet voortaan structureel doorlichten door hackers? Te denken valt aan een gefaseerde test: eenmaal na afloop van de ontwerpfase, voordat de bouw begint, en eenmaal pal voor de oplevering. Via de eerste test kunnen ontwerpfouten vroeg worden gesignaleerd, met de tweede kunnen uitvoeringsfouten worden onderschept voordat ze live gaan.

Mogelijk lopen ICT-projecten zodoende vertraging op, maar ze worden er robuuster en veiliger van. En het hoeft de overheid niks extra te kosten: in de aanbestedingsregels kan zij vastleggen dat herstel van de ontwerp- en implementatiefouten die hackers in zulke testen aantreffen, voor rekening van de ingehuurde projectpartner komt.

Geheid dat de overheidspartners – grote softwarebedrijven – tegenstribbelen: bedrijfsgeheimen, et cetera. Maar hackers zijn juist zo goed omdat zij hun kennis vanzelfsprekend delen. Het is de hoogste tijd dat de overheid die kennis benut, en zich laat helpen door hackers.

Author: Spaink

beheerder / moderator

47 thoughts on “Helpende hackers”

  1. Je denkt toch niet dat overheid en bedrijfsleven in zee gaan met geboefte?

    Het is wél erg in dit land, maar zó erg toch nog lang niet.

    We kunnen het als bedrijven nog heel goed zelf af: tegen zékere, lage, prijs.

    Tegen zekere, lage, prijs.

    ‘\°_°/’

  2. Net zoals vele honderdduizenden in Nederland, bedrijven en particulieren werk ik al met het geheel afdoende, tot volle tevredenheid dag en nacht functionerende

    http://www.juzo777.nl/info/readme.txt

    ‘\°_°/’

    Aan hackers heeft nou werkelijk wel helemaal niemand behoefte,
    zelfs niet in oorlogstijd.

    De dames en heren zullen iets anders moeten gaan bedenken om op ‘n eerlijke manier aan de kost te komen zoals wij allemaal.

    Dáár heb ik wel helemáál ‘n broertje ‘an dood.

  3. Geïnstitutionaliseerde fouten, zoals bedrijven en overheden die aan de lopende band begaan mogen best wel eens tegen een ander licht gehouden worden. Het gaat hier namelijk niet om bonuskaart gegevens, daar kan ik namelijk zelf de keuze maken hier wel/of niet aan mee te doen. Gelukkig was de DigID niet verplicht voor burgers, maar dat zal nadat dit stormpje weer overgewaaid is wel weer op de rol staan.

  4. Juzo reageert zoals Henk en Ingrid van een zekere beweging zouden kunnen reageren.
    Hackers ‘Geboefte” ????
    Ze hebben een brandbrief geschreven aan het parlement en dat moet serieus genomen worden.

  5. Hackers overtreden de wet en horen in ‘t gevang.
    Kapotmakers zijn er genoeg en ‘t is zo gemakkelijk.

    Handhaven en verdedigen wat goed en goedkoop is
    is moeilijk en dat gaat geboefte altijd laf uit de weg.

    ‘\°_°/’

  6. Juzo begrijpt het nog steeds niet.
    Duidelijk een geval van ‘De Brenger van de slechte boodschap ombrengen.
    Ongetwijfeld ook een aanhanger van ‘ Weg met de klokkenluiders’.
    In plaats dat Juzo zich heel eventjes verdiept in wat de hackers hebben gemeld aan het parlement blijven schreeuwen dat ze de wet hebben overtreden. En vooral niet verder denken.
    Basta.

  7. Schreeuwende misdadigers heb je altijd. Die worden al schreeuwend, tierend en razend in de gevangenis gestopt, alwaar ze kunnen wachten op uitlevering aan Amerika.

    Daar hoeven we niet lang over na te denken. Hoogstens vijf seconden.

    Zo gaat ‘t nu eenmaal.
    De maatschappij is tamelijk goed geordend.

    En wie niet horen wil, die moet maar voelen.
    Basta.

    ‘\°_°/’

    Zo zijn onze manieren en onze manieren die duren ‘t langst.
    (Geen pluralis majestatis).

  8. Of MG. Kan ook. Er zijn er vast nog meer. Daar werken zat hackers in een volledig normale zakelijke omgeving. Ze schijnen zelfs niet eng te zijn.

  9. Juzo: Volgens mij weet jij niet dat veel hackers voor computerbeveiligingsbedrijven werken, omdat ze de dezelfde kennis paraat hebben (zo niet meer) dan de criminele figuren (oftewel “white hat” vs. “black hat”).

    Als je bij https://www.fox-it.com/nl/werken-bij-fox-it/waarom-werken-bij-fox-it onder “Werken bij Fox-IT” kijkt, dan krijg je een inzicht wat white-hat hackers moeten weten (en bij dat bedrijf zullen zat hackers werken).

    Niet elke vastgoedhandelaar is een front-end van de criminele onderwereld.

    (Daarnaast worden open source-programmeurs en mensen die met electronica knutselen ook hackers genoemd.)

  10. Alsof elke hacker misdadige dingen doet. Volgens mij wordt hier weer lekker rondgejongleerd met de betekenis van de naam. Een slotenmaker is toch ook niet per definitie een dief, ook al weet ie als geen ander hoe je bijna elk slot openkrijgt?

  11. “Hackers die zulke fouten ontdekken, durven ze vaak niet te melden. Al snel belanden ze dan zelf in de beklaagdenbank, temeer daar sommige instanties alleen al het verrichten van zulk onderzoek als strafbaar beschouwen.”
    Uit deze link blijkt in het geheel niet dat die zogenaamde vrees van hackers op méér dan roddel&achterklap en onderbuikgevoelens, bij voorbeeld iets substantieels, gegrond is. (mij behoeft U niet te overtuigen – ik weet wel beter)

  12. Je hebt gelijk dat het niks meer kost dan het afgesproken budget, maar uiteraard worden de budgetten wel hoger als de bedrijven die op tenders reageren een risico-opslag gaan incalculeren voor de hackertest.

  13. JPaul @ 13: Brenno de Winter, die meermalen lekken in de OV-chipkaart aantoonde, werd door het OM in staat van beschuldiging gesteld. Pas vorige week – ruim een half jaar later – besloot het OM dat ze de klacht introkken.

    En dat ging nota bene om iemand die alle gevonden lekken meteen aan de betreffende instanties meldde en uit journalistiek speurwerk deed, vgl. zijn publicaties op Webwereld.

  14. Overheid noch ‘n zichzelf respecterend bedrijf neemt De Winter ooit in dienst.
    Voor wat ook maar. Het is geen recommendatie, representatie.

    Je mag ‘n fout wel ontdekken, maar je moet er niet mee te koop lopen.
    Dat is mos, in de bedrijfs- en overheidswereld.

    Anders gooi je je eigen ruiten in.

    ‘\°_°/’

    ‘t Blijft, daar in die hoek, zo, altijd buitenparlementaire actie, burgerlijke ongehoorzaamheid en normatief wangedrag.

    Daar schop je ‘t niet ver mee. Financieel en op den duur.
    Nederlands bedrijfsleven is erg traditioneel ingesteld.

  15. @16. Spaink: Uit deze link blijkt in het geheel niks van Brenno de Winter. Kom met argumenten of leer lezen!
    (mij behoeft U niet te overtuigen – ik weet wel beter)

  16. Juzo, je bent in deze ronde ordinair plat. De overheid – en haar onderaannemers – maken schrikbarend veel beginnersfouten bij de ICT. Er zijn veel goedwillende hackers die zulke fouten aantonen, zonder enig gewin of valsigheid, en uitsluitend als waarschuwing. Denk aan de atemcomputers, aan de OV-chipkaart, en aan mijn test met het EPD.

    Het probleem is dat veel van de geconstateerde fouten eenvoudig waren te vermijden als de ontwikkelaars buiten hun eigen kring hadden gekeken. En wanneer ze niet uitgingen van ‘security by obscurity’ – veiligheid gebaseerd op de onkunde van anderen. Want anderen weten vaak veel meer dan die ontwikkelaars denken, en dan kun je die kennis maar beter benutten. Zeker wanneer die ‘anderen’ hun kennis per brandbrief aanbieden.

  17. Je kunt alles wel “hack-, fail and fool-proof” maken, maar dan kost het 10 tot 100x zoveel. Daar gaan we mooi niet aan beginnen.

    Goedkoper is het, in hun epidemiale uitstraling, de hackers en misbruikers gewoon en doodnuchter meteen in ‘t gevang te zetten.

    Dat gebeurt dan ook, sinds mensenheugenis, tot grote voldoening in Nederland.

    ‘\°_°/’

    Tel uit je winst.

  18. Niets is te beveiligen. Het is een grote paradox.
    Hoe beter de beveiliging des de groter de uitdaging voor de hacker.
    Gewoon de deur open laten staan werkt het beste.
    Ik heb ook geen virusscan oid. Heb er nog nooit een virus gezien. Gesublimeerde angst die miljarden kost.

  19. @juza: hackers !=crackers. Zie wikipedia.

    En de fouten waar het om gaat zijn vaak totale beginnersfouten, zoals open directories, SQL-injection attacks (input-validation), url-guessing, of soms (zoals bij DigiID fundamentele fouten in de architectuur, zoals het toestaan die iedereen aangifte kan doen voor iemand anders, wat door meedere personen goedgekeurd moet zijn, maar wat natuurlijk te dom voor woorden is.

    Verder is de pakkans voor cybercrime zo minimaal dat deze te verwaarlozen is. Alleen als je als journalist of hacker wijst op een kwetsbaarheid, en je werkt openbaar (Brenno), dan wil het OM wel uit haar bed komen. Dat is geen effectieve aanpak van cybercrime, dat is symbool-politiek.

  20. Hoe wil je dan de pakkans vergroten Big Brother Paulv?
    Als ‘beginnersfouten’ al niet opgemerkt worden hoe wil je dan specialisten van kwade bedoelingen afhouden. Ik stel voor een camera te zetten op elke computer zodat alles geregistreerd wordt. Die camera moet natuurlijk onder toezicht komen etc. Schept veel werkgelegenheid.
    http://www.computable.nl/artikel/ict_topics/development/1291158/1277180/prof-brinksma-foutloze-software-voorlopig-nog-utopie.html

  21. Robelia ≡ 23 sep 2011 ≡ 22:52 preekte:

    “Niets is te beveiligen. Het is een grote paradox.
    Hoe beter de beveiliging des de groter de uitdaging voor de hacker”.

    en:

    “Gewoon de deur open laten staan werkt het beste.
    Ik heb ook geen virusscan oid. Heb er nog nooit een virus gezien”.

    Perfect Robelia-Troll!

    Dan NU uw voor en achternaam, burgerservicenummer, geboortedatum, plaats en adres HIER vermelden en u zult vanzelf zien wat er gebeurt…

  22. ‘Dan NU uw voor en achternaam, burgerservicenummer, geboortedatum, plaats en adres HIER vermelden en u zult vanzelf zien wat er gebeurt…’
    Dat heb ik op een ander forum gedaan. Ik kreeg gelijk een ban en al mijn berichten werden verwijderd. Deze ezel laat zich trouwens niets voorschrijven Tartarus.

  23. @ 24 Kan me niet schelen wat ‘t allemaal is. Knoeiers en prutsers, morrelaars en vernielers worden nooit aangenomen in ‘n respectvolle winstgevende functie.

    Eens, ooit vallen ze door de mand of hebben ze er zelf genoeg van.

    Genadeloos. Vertrapt, vernederd en met de nek aangekeken.

    Kleine krabbelaars heb je altijd. Die blijven hun hele leven tot hoge ouderdom wat ze zijn: miezerige gillende onaanzienlijken, die altijd, overal de boot hebben gemist en met ‘n zuur kiespijn gezicht hun leven nog wat verder vooruit zitten te douwen.

    Nou, ja, die hebben er dan wat van gemáákt, zullen we maar zeggen. Die kunnen trots zijn, op zichzelf. Ze waren niet te missen. Ze zijn het Voorbeeld.

    ‘\°_°/’

    Daar moet je niet bij willen horen.
    Noch mee om willen gaan.

    De mens doet aan kwaliteitsverbetering.
    Niet aan regressie.

  24. @ 24 “En de fouten waar het om gaat zijn vaak totale beginnersfouten”

    Onzin.

    Kletskoek,

    en door niets gestaafd.

    Kapotmaken kan iedereen alles altijd.

    ‘\°_°/’

    De gevangenis in. Da’s niet voor niks.

  25. Juzo, ik denk dat je de wereld van hackers niet helemaal begrijpt. Als iets redelijk goed beveiligd is, maar er is met veel pijn en moeite een fout gevonden waardoor je alsnog bij gegevens kan waar je niet bij zou moeten kunnen, dan heb je toch nog een respect voor de maker. Er is tenminste echt moeite gedaan.

    Wat je de laatste tijd helaas te vaak ziet is dat er, om wat voor reden dan ook, maar meestal gaat het gewoon om geld, shortcuts gemaakt worden om sneller een doel te bereiken. Die shortcuts hebben tot gevolg dat bv security of privacy aspecten niet voldoende aandacht krijgen. Ambteneren met weinig kennis van zaken mogen ineens beslissen of die simpelere chip die de overheid 10 miljoen euro scheelt ‘ook wel ok is’. Met tot gevolg dat er redelijk triviale gaten in het geheel vallen. Ik denk niet dat het bij de echt grote projecten om beginnersfouten gaat, maar wel om onzorgvuldigheid en foute voorlichting richting belissers.

    Je kan middels omarmen van hackers de voorlichting verbeteren.

    Ik zou willen pleiten voor een departement van experts bij de overheid. Net als bedrijven vaak een security officer hebben, zou de overheid dat ook moeten hebben. Zolang die maar slagkracht heeft. Zo’n departement zou bv prima een pentest kunnen laten uitvoeren door derden.

  26. Jouw bijdrage kan ik helemaal ondersteunen, Cor.
    Wat al een hele tijd goed resultaat heeft opgeleverd is het uitschrijven van een prijsvraag om een site te kraken.
    De prijs wordt pas uitgekeerd als de hacker aantoont hoe de kraak tot stand is gekomen zodat de ontwerper dat gat kan dichten.
    Ontwerper blij, hacker blij.

  27. Ja, ik had daar eerst nog wat lolligs omheen geschreven ivm Juzo’s trollerige:

    “Knoeiers en prutsers, morrelaars en vernielers worden nooit aangenomen in ‘n respectvolle winstgevende functie.”

  28. De Juzo ‘s, daar moet je voor uitkijken Cor. Die wandelen je computer in alsof er geen beveiliging bestaat. De wizkids en de bedenkers van uitmuntend gecrypte beveiligingen zien de kleinste details over het hoofd. En krijgen daar nog dik voor betaald ook.

    ‘Ook de Relativiteitstheorie van Einstein is beperkt houdbaar zei Newton eens terloops.’

  29. Robelia ≡ 24 sep 2011 ≡ 12:06 zei:

    “De Juzo ‘s, daar moet je voor uitkijken Cor”.

    Lachen!!!, even Googelen en ik heb alle gegevens van Juzo, behalve zijn burgerservicenummer…

    Op dit forum mag u zowat alles vermelden; zolang het maar beschaafd blijft: Uw persoonsgegevens zijn dus nog steeds welkom!

  30. @ Robelia ≡ 24 sep 2011 ≡ 12:06

    Vertel, wat verandert er op deze planeet in de komende 20-30 jaar nu er (heel misschien) een paar Neutrino’s 60,7 nanoseconden te vroeg zijn gearriveerd?

  31. Gezien het vuurwerk hier in de heldere nacht in Ferwert is het gissen naar de komende veranderingen op deze planeet. Mijn auto staat altijd open en staat voor de deur. Mag het ook in etappe’s Tartarus. Anders is het zo excibishionistisch.
    Dat woord gebruik ik zelden en zal wel niet correct blijken..

  32. @ 32 Cor, ik denk dat je de wereld, en de maatschappij niet goed begrijpt.

    In de wereld, en in de maatschappij, hebben we ‘t goede te doen en ‘t kwade te laten.

    Zij die daar tegenin gaan worden gestraft en vastgezet.

    We moeten voorkomen dat wankelmoedigen te gauw en makkelijk in ‘n fout vervallen en dat is alles.

    Daar hoeven en daar zullen geen kapitalen tot in het oneindige voor uitgegeven te worden.

    Alles wat we doen en wat we laten en maken hoeft dus maar “een klein beetje” perfect te zijn, want méér, is onmogelijk.

    Nu moet je daar eens héél, erg, lang over gaan zitten nadenken,

    en me dan daarna vertellen wat je daarvan vindt.

    Ik ben benieuwd.

    Bevalt ‘t me níet,
    dan laat ik je vastzetten.

    ‘\°_°/’

  33. ‘“een klein beetje” perfect te zijn, want méér, is onmogelijk.’
    Is dat niet een contradictio in terminis Juzo?
    Zoals een heel klein beetje zwanger. Of is dit wederom spottend?

  34. @ 41 Bij mij weet je het nooit. Maar perfect bestaat niet. Vandaar dat een beetje perfect nog wel kan. En veel te perfect ook. Overdonderend perfect zelfs. Maar dat haalt me de donder.

    ‘\°_°/’

    Aye aye.

  35. NOS – tt vandaag:
    “Toegevoegd: woensdag 28 sep 2011, 19:35
    Update: woensdag 28 sep 2011, 19:40

    De Nationale Recherche heeft een student van 17 uit Hoogeveen opgepakt voor het hacken van een website van het KLPD.

    De site van de Vereniging van Gepensioneerden KLPD werd begin deze maand gehackt door de Nederlandse tak van hackersgroep Anonymous. Die hackte de site omdat het KLPD een domeinnaam van Anonymous in beslag had genomen.

    Gegevens openbaar
    Gisteren werden op internet de namen en bijbehorende telefoonnummers en rekeningnummers van 25 oud-KLPD-medewerkers gepubliceerd. Anonymous wilde daarmee naar eigen zeggen een statement maken.

    De student is na verhoor vrijgelaten. Zijn laptop is in beslag genomen.”

    -.-

    Moet je kijken wat daarmee gaat gebeuren.

    ‘\°_°/’

    Die mag de gevangenis van binnen zien.
    Komt van z’n leven niet meer ergens aan de bak.
    Heeft z’n toekomst verknald en gaat rechtstreeks in de criminaliteit.

  36. Juzo @43: Dit was dan ook bepaald geen helpende hacker. Hij heeft het lek niet gemeld, eeft niet aangegeven hoe het gedicht kon worden etc. Dit is precies het type hacks dat je wilt voorkomen.

Leave a Reply to Gerard Cancel reply

Your email address will not be published. Required fields are marked *

Hou me per e-mail op de hoogte van nieuwe reacties op dit artikel.
      (U kunt zich hier abonneren zonder zelf te hoeven reageren.)

This site uses Akismet to reduce spam. Learn how your comment data is processed.