Twitter0508Facebook0508Linkedin0508Youtube0508nieuwsbrief0516RSS0508

Evenementenkalender
woensdag 23 mei 2012 More IP 2012
woensdag 06 juni 2012 World IPv6 Launch
Laatste tweets
attilladegroot : RT @gjdeboer: Denial of Service aanval: netwerk onder vuur http://t.co/ksf5PFCq via @isptoday #in
vrijdag 18 mei 2012 om 15:59
cigo_deboer : RT @gjdeboer: Denial of Service aanval: netwerk onder vuur http://t.co/ksf5PFCq via @isptoday #in
vrijdag 18 mei 2012 om 13:04
isptoday : Denial of Service aanval: netwerk onder vuur http://t.co/CYQaG078 door Gert-Jan de Boer @aazoo #DoS #netwerk #isp
vrijdag 18 mei 2012 om 08:43
isptoday : ISP Today Nieuwsbrief 17/05/2012 - http://t.co/KcLVjcL7
donderdag 17 mei 2012 om 14:00
Partners

Previder_100Global-e-datacenter
Uw LogoUw Logo


Supporting Partners

WebHostingTalkcopy_of_aalderingict.png
FourDigitsWit_partnervlakje

Hackers zijn het beu

Hackers zijn het beu

Ferdinand Hagethorn op maandag 19 september 2011

De overheid blundert aan alle kanten met ICT-projecten. Keer op keer falen projecten of blijken de oplossingen zo lek als een rieten mandje. Vele miljoenen aan belastingcenten zijn zo al verloren gegaan, deels doordat de overheid geen idee heeft van ICT, deels door de hebzucht van de ICT-bedrijven die de diensten leveren maar waar de kwaliteit ver te zoeken is. We tellen een falend C2000 systeem, afgeblazen ICT-projecten bij de belastingdienst, een teruggefloten Electronisch Patiënten Dossier en een door en door gehackte SSLboer genaamd Diginotar, die maandenlang hun gehackte systemen verzweeg. De lijst met gevonden kwetsbaarheden wordt maar langer en langer.

Wordt Vervolgd
Mocht je als eerlijke hacker in Nederland een lek vinden in een ICT-implementatie of bij een bedrijfs- of overheidssite en dit aan ze melden, is de kans groot dat je een Boze Brief Van Hun Advocaat op je deurmat vindt. Journalist Brenno de Winter werd aangeklaagd door Translink systems omdat hij de slecht beveiligde OV-chipkaart aan de kaak stelde. Internetpionier en hacker Rop Gongrijp werd tegengewerkt door Nedap toen hij aantoonde dat stemcomputers onwettig en onveilig waren. Beiden zijn uiteindelijk door de rechter in gelijk gesteld.

Vorige week donderdag lekte door een domme fout van een overheids ICT-leverancier de miljoenennota wederom uit. Tegelijkertijd lag er een brandbrief van hackers bij het ministerie van Binnenlandse Zaken. Hun boodschap: ze zijn het beu met de slechte ICT-beveiliging bij de overheid.

Stroomversnelling
Sindsdien is het in een stroomversnelling gekomen en opgepakt door de politiek. Kamerlid Pierre Heijnen van de PvdA wil een klokkenluiderbescherming voor ‘eerlijke’ hackers die gevonden lekken melden. De PVV schaart zich, samen met de VVD, SP, GroenLinks en D66 ook achter dit voorstel. Een kamermeerderheid van 120 zetels wordt hiermee gehaald. De kans is dus erg groot dat deze bescherming er komt. Daarnaast komt er dit jaar ook een meldplicht datalekken, waardoor bedrijven verplicht zijn lekken te melden. De verenigde Nederlandse hackerspaces en -organisaties reageren enthousiast op deze ontwikkelingen.

Impact
Het voorstel van de PvdA gaat verder dan alleen lekken in overheids-ICT, het gaat over -alle- ICT. Maar wat heeft dit als impact op de ICT/ISP’s in Nederland? Deze bescherming zal hoogstwaarschijnlijk drempelverlagend werken met als gevolg een stortvloed van gemelde lekken en gekraakte websites. Wie zijn zaakjes niet op orde heeft, zal vroeg of laat tegen de lamp lopen en gehackt worden. Uiteindelijk zal dit voor een verschuiving zorgen waardoor er wel vanaf de start van een ICT-systeem (zoals een website) aandacht is voor de beveiliging ervan.

In de ISP-wereld zal de shared-hosting provider zeker geraakt worden. Er hoeft op zo’n platform maar één website lek te zijn en dit biedt een hacker vaak toegang tot de bronbestanden (source code) van rest van de gehoste websites. Hierdoor wordt het openbreken van deze sites een glass-box exercitie. De broncode bevat immers vaak de toegangsgegevens van de achterliggende database(s).

Een spelletje
ICT-bedrijven en ISP’s moeten in de toekomst een proactieve(re) houding richting hackers en gemelde kwetsbaarheden aannemen. Een goed voorbeeld hiervan geeft Google, die pakt het aan met prijzen voor gemelde fouten. Een voorbeeldfunctie wat mij betreft. Dit stimuleert op speelse wijze het op juiste wijze delen van kwetsbaarheden en zorgt voor een direct verbetering van de beveiliging van hun producten.

Ook mensen
In het kort, hackers zijn ook mensen. En ze kennen de digitale wereld als geen ander. Ze hebben ook een geweten en ze maken zich ook druk over maatschappelijke dingen. Vanwege hun achtergrond herkennen en erkennen ze de kwetsbaarheden en diens potentiële gevolgen. Er moet ruimte zijn deze kwetsbaarheden te melden, zonder angst vervolgd te worden. Om verder te komen moeten de partijen niet ten strijde trekken maar juist samenwerken. De aankomende bescherming en meldplicht zullen dit hopelijk stimuleren.


Ferdinand Hagethorn is IT-Security specialist bij Snow B.V. en oprichter/secretaris van Stichting Hack42, hackerspace Arnhem.

3 reactie(s) op dit artikel

Stephan op maandag 19 september 2011 om 16:04
Goed gedaan! Ik ben blij dat die bescherming er inderdaad aan zit te komen. Dat is iets waar we hier in Amerika maar van kunnen dromen. Hier heeft het 'grote geld' zoveel invloed op de politiek en derhalve de wetgeving dat je hier 15 jaar de bak in kan gaan voor alleen maar scheef kijken naar een beveiligingssysteem.
Anonieme gebruiker op maandag 19 september 2011 om 16:15
Er is een mooie vergelijking met een automonteur die je bij een benzinepomp gratis verwittigt dat je wielen loszitten en je zelfs hulp aanbiedt... Die ga je toch niet voor de rechter slepen?
Anonieme gebruiker op dinsdag 15 november 2011 om 17:06
Mooi gedaan hoor Furbynand :-)
Groenton van je oude collegaatjes.