Hackers zijn het beu

De overheid blundert aan alle kanten met ICT-projecten. Keer op keer falen projecten of blijken de oplossingen zo lek als een rieten mandje. Vele miljoenen aan belastingcenten zijn zo al verloren gegaan, deels doordat de overheid geen idee heeft van ICT, deels door de hebzucht van de ICT-bedrijven die de diensten leveren maar waar de kwaliteit ver te zoeken is. We tellen een falend C2000 systeem, afgeblazen ICT-projecten bij de belastingdienst, een teruggefloten Electronisch Patiënten Dossier en een door en door gehackte SSLboer genaamd Diginotar, die maandenlang hun gehackte systemen verzweeg. De lijst met gevonden kwetsbaarheden wordt maar langer en langer.

Wordt Vervolgd
Mocht je als eerlijke hacker in Nederland een lek vinden in een ICT-implementatie of bij een bedrijfs- of overheidssite en dit aan ze melden, is de kans groot dat je een Boze Brief Van Hun Advocaat op je deurmat vindt. Journalist Brenno de Winter werd aangeklaagd door Translink systems omdat hij de slecht beveiligde OV-chipkaart aan de kaak stelde. Internetpionier en hacker Rop Gongrijp werd tegengewerkt door Nedap toen hij aantoonde dat stemcomputers onwettig en onveilig waren. Beiden zijn uiteindelijk door de rechter in gelijk gesteld.

Vorige week donderdag lekte door een domme fout van een overheids ICT-leverancier de miljoenennota wederom uit. Tegelijkertijd lag er een brandbrief van hackers bij het ministerie van Binnenlandse Zaken. Hun boodschap: ze zijn het beu met de slechte ICT-beveiliging bij de overheid.

Stroomversnelling
Sindsdien is het in een stroomversnelling gekomen en opgepakt door de politiek. Kamerlid Pierre Heijnen van de PvdA wil een klokkenluiderbescherming voor ‘eerlijke’ hackers die gevonden lekken melden. De PVV schaart zich, samen met de VVD, SP, GroenLinks en D66 ook achter dit voorstel. Een kamermeerderheid van 120 zetels wordt hiermee gehaald. De kans is dus erg groot dat deze bescherming er komt. Daarnaast komt er dit jaar ook een meldplicht datalekken, waardoor bedrijven verplicht zijn lekken te melden. De verenigde Nederlandse hackerspaces en -organisaties reageren enthousiast op deze ontwikkelingen.

Impact
Het voorstel van de PvdA gaat verder dan alleen lekken in overheids-ICT, het gaat over -alle- ICT. Maar wat heeft dit als impact op de ICT/ISP’s in Nederland? Deze bescherming zal hoogstwaarschijnlijk drempelverlagend werken met als gevolg een stortvloed van gemelde lekken en gekraakte websites. Wie zijn zaakjes niet op orde heeft, zal vroeg of laat tegen de lamp lopen en gehackt worden. Uiteindelijk zal dit voor een verschuiving zorgen waardoor er wel vanaf de start van een ICT-systeem (zoals een website) aandacht is voor de beveiliging ervan.

In de ISP-wereld zal de shared-hosting provider zeker geraakt worden. Er hoeft op zo’n platform maar één website lek te zijn en dit biedt een hacker vaak toegang tot de bronbestanden (source code) van rest van de gehoste websites. Hierdoor wordt het openbreken van deze sites een glass-box exercitie. De broncode bevat immers vaak de toegangsgegevens van de achterliggende database(s).

Een spelletje
ICT-bedrijven en ISP’s moeten in de toekomst een proactieve(re) houding richting hackers en gemelde kwetsbaarheden aannemen. Een goed voorbeeld hiervan geeft Google, die pakt het aan met prijzen voor gemelde fouten. Een voorbeeldfunctie wat mij betreft. Dit stimuleert op speelse wijze het op juiste wijze delen van kwetsbaarheden en zorgt voor een direct verbetering van de beveiliging van hun producten.

Ook mensen
In het kort, hackers zijn ook mensen. En ze kennen de digitale wereld als geen ander. Ze hebben ook een geweten en ze maken zich ook druk over maatschappelijke dingen. Vanwege hun achtergrond herkennen en erkennen ze de kwetsbaarheden en diens potentiële gevolgen. Er moet ruimte zijn deze kwetsbaarheden te melden, zonder angst vervolgd te worden. Om verder te komen moeten de partijen niet ten strijde trekken maar juist samenwerken. De aankomende bescherming en meldplicht zullen dit hopelijk stimuleren.


Ferdinand Hagethorn is IT-Security specialist bij Snow B.V. en oprichter/secretaris van Stichting Hack42, hackerspace Arnhem.

Over Ferdinand Hagethorn

Laatste artikelen