Nederlandse hackers willen meer bevoegdheden voor Govcert

Diverse Nederlandse hackerscollectieven hebben een brandbrief over het gebrek aan ict-expertise binnen de overheid naar de Tweede Kamer gestuurd. Volgens de hackers zou bijvoorbeeld Govcert meer bevoegdheden moeten krijgen.

De ondertekenaars van de brief, die namens de grootste Nederlandse hackerspaces zeggen te spreken, zeggen in een donderdagavond gepubliceerde brief dat ze zich zorgen maken over de beveiliging van de ict-systemen van de Nederlandse overheid.

"Keer op keer zien wij hoe basale beveiligingsprincipes niet worden toegepast binnen bestaande en nieuwe ict-systemen", zo staat in de brief te lezen. "Recente voorbeelden zijn de kwestie rond Diginotar en de ssl-certificaten, de ov-chipkaart, het elektronisch patiëntendossier en nog vele andere systemen en omgevingen." Donderdag nog werd aan die lijst het vroegtijdig uitlekken van de Miljoenennota toegevoegd toen de pdf met informatie per abuis al op de live omgeving bleek te staan.

De 'verenigde Nederlandse hackerspaces' bestaan uit diverse hackersclubs en -organisaties, waaronder Hack42, ACKspace, TkkrLab, Bitlair, Revelation Space, Randomdata, Frack, Sk1llz , Stichting eth0, 2600nl.net en Stichting HXX. Volgens deze spaces, waarbij een aantal van de bekendste whitehat-hackers van Nederland is aangesloten, is er een flinke lijst met voorbeelden van overheidssystemen waarvan de beveiliging niet op orde is.

"Dit zijn geen ingewikkelde hacks, maar fouten die mensen zonder opleiding kunnen misbruiken. Daarvoor is standaard programmatuur op internet voorhanden. Het gaat om elementaire beveiligingsprincipes die structureel niet worden toegepast."

Volgens hackerswoordvoerder Koen Martens heeft de overheid te veel vertrouwen in de expertise van ingehuurde bedrijven, terwijl er binnen de overheid onvoldoende kennis beschikbaar is om het geleverde werk te controleren. "Het wordt tijd dat de overheid investeert om fatsoenlijke ict-kennis in huis te hebben. Er kan nu niet worden bepaald of gewenste systemen wel echt voldoen."

Als het aan de hackers ligt, grijpt de Tweede Kamer de recente gebeurtenissen rondom DigiNotar aan om orde op zaken te stellen. "Wat er met DigiNotar is gebeurd, is geen los incident", zegt Martens tegenover Tweakers.net. "We hopen dat de politiek ziet dat het hier om een symptoom gaat van gebrek aan kennis en controle. Er is sprake van een structureel probleem, dat dus ook structureel moet worden aangepakt."

Die aanpak begint volgens Martens met bijvoorbeeld het geven van meer bevoegdheden aan Govcert. "Die organisatie heeft echt wel wat kennis in huis, maar mag nu alleen advies geven. Als de overheid een nieuw project bedenkt, zou dat echter degene moeten zijn die als een soort chief security officer binnen de overheid inspraak heeft over de systemen, de privacy-eisen en andere ict-gerelateerde zaken."

Martens hoopt dat de politiek de noodzaak van betere controle inziet en actie onderneemt. "Als dat niet gebeurt, moeten we mogelijk omzien naar creatievere middelen om de aandacht te krijgen en het belang aan te tonen."

Fokke & Sukke doen ICT voor het rijk | (c) Foksuk.nl

IT-banen

Reacties (101)

Fiander 16 september 2011 09:59

Ik werk zelf bij de rijksoverheid als icter, en ook ik vind dat het belabert is.
Dat ligt niet aan de mensen of die niet goed zijn, maar alle regeltjes waaraan we moeten voldoen.

Als ik aan een AD groep een extra recht wil koppelen:
bijvoorbeeld dat een account in die groep zelf zijn eigen SPN's mag zetten, dan mag ik eerst keurig een drietal A4tjes invullen met de wijziging, wat het inhoud, waarom ik dat wil wat er gebeurt als het niet gedaan word. Dat stapeltje A4tjes word vervolgens door een groep "securitie" mensen beoordeelt, en bij Gods gratie word het ooit een keer ingevoerd. En dat om te zorgen dat ik niet bij elk service account al die rechten en SPN's afzonderlijk hoef aan te vragen.

Het grootste probleem van de overheid is dat het gerunt word door managers ZONDER ict kennis. Niet dat er geen ict kennis aanwezig is bij de uitvoerdende mensen, maar alleen niet bij de managers. Het probleem met deze managers is, dat wanneer een afdeling onderbezet is, de meest voor de hand liggende oplossing is, om meer administratieve romslomp te introduceren, om zo in kaart te brengen wat er mis gaat. Dit gaat uiteraard gepaart met een slechtere doorstroming van het werk, en dat laatste is uiteindelijk mijn schuld. Bij aanschaf van beheersystemen hebben managers ook een andere visie op wat soon systeem moet kunnen dat beheerders. Beheerders willen er hun werk mee doen, en managers willen rapportjes kunnen draaien. Een keer raden waar het systeem uiteidelijk goed in is, en waar het niet geschikt voor is.

verder een leuke voor mensen die bij bedrijven werken welke zijn ingehuurt door de overheid:
Noem eens één ICT project van de overheid welke niet last had van continu wijzigende Specs, en dat niet alle wijzigingen van de specs bij alle onder aannemers terecht kwamen?

Verder zit een groot gedeelte van het probleem in de verplichte europese aanbesteding.
Combineer de wijzigende specs eens met het goedkoopste bedrijf, en je krijgt de OV kaart.
Verder was Diginotar ook de goedkoopste.

En wat betreft bezuinigen? Laat de overheid één afdeling inkoop oprichten, om zo dankzei schaal vergroting goedkoper te kunnen inkopen. 1000 x 10 licenties is duurder dan 1 x 10000 licenties. Dan zou de overheid grote slagen kunnen maken.

Korte samenvatting: Er zitten genoeg goeie Icters bij de overheid, alleen faalt het management er boven faliekant wat betreft het aansturen van deze mensen. Er is teveel bureaocratie, en teveel managers die elk iets anders willen.

sorry voor het onsamenhangende verhaal, maar het begint een beetje frustrerend te worden om telkens door collega tweakers voor onbekwaam uitgemaakt te worden, en door mijn eigen managers monddood. Het is voor "exterene" bedrijfen namelijk prijsschieten, aan de ene kant hebben ze gelijk, en aan de andere kant mogen de ambtenaren zich niet verdedigen.

edit : typo : invoud >> inhoud, vaalt >> faalt

[Reactie gewijzigd door Fiander op 23 juli 2024 05:17]

BeosBeing @Fiander • 22 september 2011 12:33

Onsamenhangend verhaal, dat vond ik niet, ik vond het duidelijk en logisch. Die die A4tjes en die security-beoordeling passen in het kader van splitsing van bevoegdheden, hetgeen een eerste vereiste is in de Administratieve Organisatie omdat er anders misbruik van gemaakt kan worden.

Helaas is dat bij veel organisaties, met name grote, en zeker de overheid, behoorlijk uit de klauw gelopen, worden de beperkingen dusdanig strak gemaakt dat uitvoerenden niet fatsoenlijk hun taak kunnen uitvoeren, vooral als die taak een beetje afwijkt van het standaardtakenpakket.

Ook systeembeheerders hebben er vaak een handje van te mogelijkheden te sterk te beperken. Als je veel kan kun je namelijk ook veel fout doen en dat moeten zij dan herstellen. Ik ken echter ook organisaties waar men (destijds) dat over liet aan de eigen verantwoordelijkheid van de gebruiker. Meestal gaat dat ook goed, en als het dan toch een keer fout gaat kan het systeembeheer dat eenvoudig oplossen (al moest je er in het begin ook drie niveau's langs). In het ergste geval deed men dan gewoon een fresh install.

Te sterke beperkingen zijn dan ook een bewijs van een incompetent systeembeheer/management. Dat laatste hoeft niet aan de mensen te liggen dat kan ook komen door onderbezetting of te strenge procedures.

Procedures moeten logisch zijn en niet het werk belemmeren maar juist fouten voorkomen. Zijn ze onlogisch, belemmeren ze het werk, dan zullen mensen proberen te omzeilen (bewust of onbewust) en dan gaat het pas echt fout,

Verwijderd 16 september 2011 10:29

Er is niet alleen een groot probleem bij de overheid betreffende de ICT veiligheid maar ook bij de gemeentes. Ik werk nu zelf bijna vijf jaar voor de gemeente en durf te stellen dat de ICT beveiliging zeer zeker enorm te kort schiet.
De kennis van de meeste ICT medewerkers is veel te laag en/of er wordt enorm laconiek met de beveiliging omgegaan. ICT medewerkers zijn bang voor hun baantje als ze niet doen wat het management wil en worden daardoor laconiek waardoor echte NL wetten worden overtreden zoals artikel 14 van WBP. Deze wet kent men zelf niet eens bij de gemeente zoals zoveel andere wetten waaraan men zich moet houden. Management leden hebben geen verstand van zaken en nemen adviesen van ICT afdelingen niet aan omdat hun wil wet is. Gebruikers hebben een lagere ICT kennis dan mensen die tegenwoordig van school afkomen. Ze weten niet eens dat je bepaalde vertrouwde gegevens niet per normale email moet gaan versturen. Zelfs maandstaten met naam, adres, BSN nummers worden gewoon per email verstuurd. Gebruikers worden niet opgeleid en/of geïnformeerd over hoe te werken en nieuwe ICT bedreigingen waar ze op zouden moeten letten. Zelfs HTTPS in de IE adres bar weten de meeste niet eens!
ICT medewerkers, zoals ik, die proberen ICT weer op orde te krijgen worden tegengewerkt met de hoop dat wij vertrekken. Vooral het lager management probeerd dit omdat zij willen slijmen bij het hoger management omdat ze op die wijze zich hoger in de boom werken. Dat ze daadwerkelijk de gehele ICT beveiliging op het spel zetten doet niet ter zake. Het hgoer management wil het, dus doe ik het, om een goede naam te houden bij hen en kans te maken om hogerop te komen. De hele organisatie is ziek en niet alleen de ICT. Volgens mijn manager moeten we ITIL gaan gebruiken maar hij weet zelf niet eens hoe je dat op een juiste wijze toepast omdat ze het nog nooit in de praktijk hebben gebracht. Een SLA is alleen voor de sier. Afspraken die erin staan wordt continu niet aan gehouden en ICT werkt 80 procent adhoc. Nieuwe software/hardware moet in een week werken zonder enig goed onderzoek te hebben gedaan naar de effecten op de veiligheid.

Zo kan ik nog wel even door blijven gaan maar waar het op neer komt is dat er een enorme cultuur slag moeten worden gedaan bij zowel de ICT van gemeentes als bij de gehele gemeentelijke organisaties. Het zijn niet de mensen met verstand maar de mensen die de macht reeds hebben en de mensen die de macht graag willen hebben (de zogenaamde carriëre mensen) die het voor het zeggen hebben en alles alleen in eigen belang doen. Over het algemeent werkt een ambtenaar van de tegenwoordige tijd niet meer voor de burger maar puur voor zichzelf. Houdt uw portemonee maar bij de hand!

Pistolebob 15 september 2011 19:58

"Als dat niet gebeurt, moeten we mogelijk omzien naar creatievere middelen om de aandacht te krijgen en het belang aan te tonen."
Jammer van de dreigende ondertoon op het laatst

Verder ben ik het ermee eens; DigiNotar is niet het eerste Overheids-ICT project wat niet veilig is.
Edit: DigiNotar is geen overheidsproject maar er werd wel op geleund.
Vraag me af of er ooit nog zoiets als het EPD komt.

[Reactie gewijzigd door Pistolebob op 23 juli 2024 05:17]

bwerg @Pistolebob • 15 september 2011 20:08

"Als dat niet gebeurt, moeten we mogelijk omzien naar creatievere middelen om de aandacht te krijgen en het belang aan te tonen."
Jammer van de dreigende ondertoon op het laatst

De enige manier om een systeem goed te testen, is door een goede poging te doen om het te hacken. Sommige instellingen die veiligheid wél serieus nemen vragen zelfs white-hat hackers (al dan niet van bijvoorbeeld universiteiten of bedrijven) om een poging te doen hun systeem te hacken, en de bevindingen te overleggen. De overheid lijkt nu vaak maar iets in elkaar te flansen en geen enkele test te doen. Het heft in eigen handen nemen moet je natuurlijk niet te overhaast doen maar een white-hat hacker mag van mij best een systeem aanvallen waar nota bene zijn eigen gegevens in zitten (EPD, DigiD etc.). Als het goed is komt hij daar toch niet doorheen, als het niet goed is dan wordt de beveiliging er alleen maar beter op.

Het moet natuurlijk niet zo gaan als anonymous doet maar dat is het verschil tussen internetvandalisme en een gecontroleerde test met als doel de beveiliging te verbeteren.

En een hack waarbij de resultaten pas openbaar worden gemaakt als de lekken zijn gedicht levert nog altijd minder schade op dan een staking, om maar eens wat te noemen. Dit is gewoon een manier om je onvrede kenbaar te maken en gebreken aan te tonen, daar hoeft niets mis mee te zijn.

[Reactie gewijzigd door bwerg op 23 juli 2024 05:17]

Zer0 @bwerg • 15 september 2011 20:53

white-hat hacker mag van mij best een systeem aanvallen waar nota bene zijn eigen gegevens in zitten (EPD, DigiD etc.).

Als alleen zijn gegevens er in staan gaat hij zijn gang maar, zolang mijn gegevens er ook in staan heb ik er wel bezwaar tegen.

Het moet natuurlijk niet zo gaan als anonymous doet maar dat is het verschil tussen internetvandalisme en een gecontroleerde test met als doel de beveiliging te verbeteren.

En wie voert die controle uit?

bwerg @Zer0 • 15 september 2011 20:58

En wie voert die controle uit?

Soms niemand, en daarom stellen deze lui ook voor dat zij het dan maar doen voordat anonymous langskomt. Van welke van die twee heb je liever dat ze jouw gegevens krijgen?

Natuurlijk zou het niet nodig hoeven zijn, ik heb ook liever dat een organisatie van de overheid dit in handen neemt. Maar als dat niet gebeurt dan mogen white-hat hackers het doen. Black-hat hackers doen het anders toch wel en maken er geen nette melding van. Stel je eens voor dat deze collectieven hadden voorgesteld diginotar te hacken voordat het bekend was dat er bij hun was ingebroken, had je het dan ook bezwaarlijk gevonden? Achteraf bekeken zou het de fouten een stuk sneller aan het licht hebben gebracht (en misschien zelfs dit hele gebeuren hebben voorkomen!).

Mensen denken vaak dat als ze niet horen dat een systeem gehackt is, het wel veilig zal zijn. En dat het ineens onveilig wordt zodra het bekend wordt dat er een hack is gepleegd. Onzin natuurlijk, dan was het systeem kennelijk al lang onveilig en wie weet wie er allemaal al naar binnen is geweest. Individuele hackers stoppen en veroordelen heeft dan ook weinig zin, als je vertrouwen hebt in je systeem laat je ze lekker aanmodderen. Zou de beheerder van het systeem dat niet willen dan geeft dat enkel aan dat hij er geen vertrouwen in heeft. Dat is een soort "security through obscurity" en is onbetrouwbaar.

[Reactie gewijzigd door bwerg op 23 juli 2024 05:17]

Zer0 @bwerg • 15 september 2011 22:22

Soms niemand, en daarom stellen deze lui ook voor dat zij het dan maar doen voordat anonymous langskomt. Van welke van die twee heb je liever dat ze jouw gegevens krijgen?

En wie zegt dat de hacker niet ook tot Anon behoord?

Stel je eens voor dat deze collectieven hadden voorgesteld diginotar te hacken voordat het bekend was dat er bij hun was ingebroken, had je het dan ook bezwaarlijk gevonden?

Als ze Diginotar hadden aangeboden gratis hun beveiliging te testen had ik geen enkel probleem gehad met een acceptatie van dat aanbod.

Als die collectieven zich werkelijk zoveel zorgen maken kunnen ze hun diensten gewoon aanbieden, in plaats van dreigen het ongecontroleerd te doen.

Natuurlijk zitten veel van deze white-hat hackers zelf in het security-vakgebied en werken ze liever voor geld. Gratis aanbieden levert niks op, dus dreigen we maar met hacks, zodat we hopelijk ingehuurd worden....

bwerg @Zer0 • 15 september 2011 23:11

En wie zegt dat de hacker niet ook tot Anon behoord?

Heel leuk allemaal maar je hebt helemaal geen idee welke hackers welke websites aanvallen totdat het een keer misgaat. Mensen tegenhouden om een website aan te vallen is een kansloze beveilingsmethode, doen deze mensen het niet dan honderd anderen (al heb je geen idee wie). Het maakt wat dat betreft geen bal uit of dit plotseling black-hats blijken te zijn. Een website is door iedereen op de wereld te bekijken, je weet niet wie er wel en wie er niet komt en wat hun bedoelingen zijn.

Bij een publiek toegankelijke site is het heel simpel. Als het goed is getest maakt het niet uit of hackers een poging doen, met welke intentie dan ook, het is enkel een bevestiging dat het kennelijk werkt. Als het niet goed is getest en er lekken aan het licht komen heb je sowieso een probleem want je weet niet meer of er is ingebroken, wie die gegevens allemaal heeft, hoe vaak er is ingebroken, of de data gemanipuleerd is, etc. Of dat door een white-hat hacker of door een black-hat hacker gebeurt maakt daarvoor niet uit.

Als die collectieven zich werkelijk zoveel zorgen maken kunnen ze hun diensten gewoon aanbieden, in plaats van dreigen het ongecontroleerd te doen.

Maar je kan toch moeilijk gaan verwachten dat ze zich daar als vrijwilliger aanmelden, van mensen die kritiek hebben op bijvoorbeeld de OV-chipkaart ga je ook niet vragen of ze dan maar vrijwillig zelf een systeem willen samenstellen. Je mag de overheid best vragen of ze taken op zich willen nemen waar je zelf de middelen niet hebt (en dat is in gevallen als deze niet meer dan redelijk, het is immers hun verantwoordelijkheid). Daarom geven ze ook aan dat de overheid hier zelf een instantie voor moet samenstellen. Of dat de mensen zijn die deze brief sturen of dat ze andere mensen inhuren maakt daarbij niet uit.

[Reactie gewijzigd door bwerg op 23 juli 2024 05:17]

Zer0 @bwerg • 15 september 2011 23:36

Maar je kan toch moeilijk gaan verwachten dat ze zich daar als vrijwilliger aanmelden

Het punt waar ik op reageerde:

Stel je eens voor dat deze collectieven hadden voorgesteld diginotar te hacken voordat het bekend was dat er bij hun was ingebroken, had je het dan ook bezwaarlijk gevonden?

Als ze het aangeboden zouden hebben betekend dat dat ze de middelen hebben...

bwerg @Zer0 • 15 september 2011 23:53

Ah zo. Nou, aanbieden om beveiliging te testen komt eigenlijk gewoon neer op hacken in overleg, dus je bedoelt in dat geval hetzelfde als ik.

Stoney3K

Overheid
Politiek en recht
Hackers
Nederland

@Zer0 • 16 september 2011 13:33

[...]

Het punt waar ik op reageerde:

[...]

Als ze het aangeboden zouden hebben betekend dat dat ze de middelen hebben...

En ik hoop dat je dan ook weet hoe een overheidsbedrijf daarop reageert?

Oh, jij beweert dat onze beveiliging niet op orde is, vooral niet op punten X, Y, Z... Leuk voor je, maar daar weet je zelf totaal niks van en we zijn er niet van gediend als er eventjes iemand komt vertellen hoe wij ons bedrijf moeten runnen.

Wil je de hacker uithangen? Veel succes ermee, wijsneus. We zien het wel als je binnen bent, dan staat binnen 2 minuten de politie op de stoep want we weten nu wie we moeten hebben.

Dat bedrijven soms totaal stompzinnig kunnen reageren en een ENORME plaat voor hun hoofd hebben zal ik ook zeker niet ontkennen, maar de 'wie niet horen wil, moet maar voelen' mentaliteit werkt in dit soort situaties averechts. Vooral als je het van te voren al als dusdanig aankondigt

Nee, met 'creatievere methodes' bedoelt Martens iets heel anders. Ik weet zelf hoe creatief de hacker-gemeenschap is en hoe ver de 'omdat het kan'-factor daarin meespeelt, want ik was samen met Martens, Jan (killercow) en de rest van Hxx mede-organisator van Hacking at Random in 2009. Daar werd geen systeem omver gehackt en geen loginnaam bekend gemaakt, maar er waren wel een hoop leuke en interessante projecten opgezet. Omdat het kan!

Verwijderd @bwerg • 15 september 2011 23:41

Systemen als test laten hacken is de slechtste manier om te beoordelen of de beveiliging afdoende is. Je weet dan niet waar nog meer gaten zitten. Waar het om gaat is dat een systeem vanuit de basis veilig ontworpen is. Bij een dergelijk systeem zijn de zwakheden ingecalculeerde risico's.

Rutix @Verwijderd • 16 september 2011 08:30

Penetratietests zijn zeker wel een manier om te kijken of een beveiliging afdoende is. Een goede penetratietest probeert namelijk niet op 1 manier binnen te komen maar op verschillende manieren.

miw @Rutix • 16 september 2011 09:57

Penetratie tests zijn alleen een garantie dat er een paar manieren om het systeem aan te vallen zijn geprobeerd. Het sluit niet uit dat er een simpele maar nog niet bekende manier is om het systeem aan te vallen. Wat dat betreft, levert het slechts een schijnzekerheid.

NoResult @miw • 16 september 2011 10:22

inderdaad. hacken is in feite out-of-the-box denken. ik denk dat penetratietests waardevol zijn voor het testen van "standaard" lekken/beveilingsfouten maar, zeker niet voldoende om een oordeel over een systeem te fellen. ik denk wel dat een hoop ellende kan worden voorkomen door standaard beveilingsprincipes toe te passen. die principes zijn niet voor niets ontstaan in de praktijk.

TheekAzzaBreek @Verwijderd • 16 september 2011 00:06

In software bestaan in de praktijk geen inherent veilige systemen. Ten minste, ik geloof er niet in. Ik weet dat daar in de academische wereld wel eens anders over wordt gedacht, maar ik geloof er niet in. De dagelijkse praktijk van software ontwikkeling is daar te ongecontroleerd voor.

Algemener is het een gangbare methode: om te bewijzen dat een stelling waar is ga je proberen te bewijzen dat hij niet waar is. Als dat niet lukt heb je nog steeds geen bewijs, maar ten minste een redelijk vermoeden dat de stelling waar zou kunnen zijn.

Testhacks zijn niet de manier, maar wel een waardevol onderdeel.

Trygve Redacteur @Pistolebob • 15 september 2011 20:18

Jammer van de dreigende ondertoon op het laatst

Als je de complete brief leest zie je dat daar (gelukkig) die opmerking niet in staat

Ik denk dat Martens dit als opmerking tegen Tweakers.net gemeld heeft.

[Reactie gewijzigd door Trygve op 23 juli 2024 05:17]

miw @Trygve • 16 september 2011 10:05

Echter, er heerst op dit moment een klimaat waarin de boodschapper wordt
gestraft en de betreffende departementen en bedrijven niet tot verantwoording
worden geroepen. Wij zijn daarom terughoudend in het delen van informatie over
deze beveiligingslekken.

Ik beschouw dit toch echt als een verkapt dreigement, vooral omdat in eerdere alinea's van de brief gemeld staat dat de hackersclubs de beschikking hebben over allerlei informatie over aanvallen op overheidssites.
Overigens, lijkt het me voor GovCert niet prettig om door een hackersclub aanbevolen te worden. Als hackers hun eigen belang verdedigen zouden ze juist een voorstander zijn van een minder gedegen beveiliging en kennelijk denken ze dat te bereiken door GovCert in meer projecten te betrekken.

Stoney3K

Overheid
Politiek en recht
Hackers
Nederland

@miw • 16 september 2011 12:43

[...]

Ik beschouw dit toch echt als een verkapt dreigement, vooral omdat in eerdere alinea's van de brief gemeld staat dat de hackersclubs de beschikking hebben over allerlei informatie over aanvallen op overheidssites.
Overigens, lijkt het me voor GovCert niet prettig om door een hackersclub aanbevolen te worden. Als hackers hun eigen belang verdedigen zouden ze juist een voorstander zijn van een minder gedegen beveiliging en kennelijk denken ze dat te bereiken door GovCert in meer projecten te betrekken.

Volgens mij heb je een verkeerd beeld van het concept 'hacker'.

Waar Hxx voor pleit is juist om die beveiliging op orde te hebben voordat het te laat is en er een zootje black-hats (of bijvoorbeeld Anonymous of LulzSec) voorbij komt en de boel hackt voor hun eigen belangen. Hxx wil juist GovCert daarvoor inschakelen omdat die door de overheid al de aangewezen partij was om de systemen van de overheid te testen. Als ze zelf op eigen houtje zouden gaan hacken en dat aan de grote klok hangen, dan zijn ze spontaan hun geloofwaardigheid kwijt.

White-hats zijn er juist bij gebaat om de beveiliging van het 'slachtoffer' zo goed mogelijk door alle situaties heen te testen waardoor de zwakke punten naar voren komen die gedicht kunnen worden. Ze hacken dan ook alleen om de uitdaging en zonder eigen belangen.

Black-hat crackers breken juist de boel open voor hun eigen gewin en jatten gewoon creditcard-gegevens, financiële informatie en logins zonder enig ethisch besef. Zulke figuren zul je dan ook nooit openlijk een brief naar de overheid zien schrijven of naar de pers zien stappen.

Het feit dat ze informatie hebben over aanvallen is nog niet eens zo verwonderenswaardig. (Ooit wel eens erover gedacht dat er ambtenaren bij Hxx kunnen zitten?

) Dat wil nog niet zeggen dat het om gevoelige informatie zoals encryptiesleutels en loginnamen gaat, maar waarschijnlijk meer over welke aanvallen er hebben plaatsgevonden. Ze doen er ook goed aan om het niet aan de grote klok te hangen maar dit soort dingen juist bewust voor zich te houden.

Diabolical @Pistolebob • 15 september 2011 20:01

Ja hoor. Het EPD komt er ook wel.. je ziet nu allerlei intiatieven ontstaan binnen ziekenhuizen en zorgregio's die eigen EPD's ontwikkelen. Die worden straks aan elkaar gekoppeld en voila, een landelijk dekkend EPD.

Roy23 @Diabolical • 15 september 2011 20:12

Ik heb stage gelopen op in een ziekenhuis, die waren inderdaad bezig met een eigen EPD.
Verder vind ik het mooi dat een vereniging voor hackers laat weten bezorgt te zijn, in plaats van een zwakke plek hacken, en vervolgens zeggen dat ze dit deden omdat ze ontevreden zijn over een en ander zoals je de laatste tijd vaak ziet.

Maar wat Pistolebob ook al zegt, is het onnodig om "Als dat niet gebeurt, moeten we mogelijk omzien naar creatievere middelen om de aandacht te krijgen en het belang aan te tonen." toe te voegen aan je brief.

BrainCrash @Roy23 • 15 september 2011 22:15

Die opmerking over de creatieve middelen is een opmerking van Martens gericht aan Tweakers.net. Die opmerking staat niet in de originele brief, zoals je via de link in het artikel kunt lezen...

tinzarian @BrainCrash • 15 september 2011 23:29

En dus? Als ze zo "whitehat" zijn als beweert wordt moeten ze gewoon volledig open kaart spelen, en niet met achterbakse bedreigingen komen.

.oisyn Moderator Devschuur®

Hackers

@tinzarian • 16 september 2011 00:04

En dus?

En dus is het geen dreiging. Een dreiging richt je aan je slachtoffer om wat van 'm gedaan te krijgen. Gewoon tegen iemand anders zeggen dat je mogelijk naar "creatievere middelen moet zoeken om het belang aan te tonen" kun je nauwelijks een dreiging noemen.

[Reactie gewijzigd door .oisyn op 23 juli 2024 05:17]

Verwijderd @tinzarian • 16 september 2011 17:05

Het is geen bedreiging. Het is een feit dat de overheid vrij traag is met het oppikken van dit soort problemen. Ook nu weer zal het nog wel enkele maanden duren, voordat de eerste discussies betreffende het probleem worden opgestart.Daarna nog enkele maanden voor dat de eventueel 'verzonnen' oplossingen worden geimplementeerd.
Wil je, als buitenstaander/burger hier druk op leggen, zodat de overheid eens een
keer OP TIJD wat doet met ict-veiligheid, dan moet je ze de noodzaak laten inzien.
Daarom WAARSCHUWEN ze (dus niet bedreigen) de overheid, dat dit voor de whitehats,
bij uitblijven van handelen door de overheid, de volgende 'course of action' is.

Liever hun, dan black-hats...

disheaver @Roy23 • 15 september 2011 21:12

Creatief voor hackers lijkt me juist niet gaan hacken. Ik geloof dat ze juist al creatief bezig zijn.

Verwijderd @Roy23 • 19 september 2011 14:18

dat is het wel, niemand wil luisteren als ze de principes er achter niet begrijpen

van de 100 white hacks zijn er
20 die het snel fixen en niets laten weten
50 die je gegevens proberen te achterhalen om je te vervolgen
20 die niets doen omdat je niet serieus wordt genomen
en 10 die je Vriendelijk bedanken( zoals het hoort, omdat je het netjes meld zonder te steelen)

en idd voor computer-technicus is de overheid niet goed bezig, ik heb meer vertrouwen in de ict vijlighijd bij mij thuis

het is uberhoud onlogies met overhijd en ict; een gemiddelde werknemer daar zit in minstens 4 database programma's te werken te gelijk(en daarna weer op een terminal server, dus het doe weinig voor securety). burger zaaken zoekt op bsn, cwi-net zoekt op naam(Hooftletter gevoellig (omfg)), en bij de polietie moetten ze elke 2 jaar een nieuw systeem(da's dus inclusie werkstations) (de afgeloopen 6 jaar)

zodra deze wet ingaat zal ik wat vaker langs het stadhuis gaan want iemand moet zorgen dat (ook de mijne) Nederlandse persoonsgegevens veilig staan, voor het zelfde geld zit Iran al lekker een kopie van iedereen zijn inkomsten te maken

TheekAzzaBreek @Diabolical • 15 september 2011 21:36

Inderdaad, en dat is pas een enge beweging. Als iedere regio zelf wat gaat knutselen, is de kans dat er ergens gaten ontstaan nog veel groter. Dat wordt een landelijk lekkend EPD,

@ bwerg: het enge is niet de patientgegevens in ziekenhuizen en artsenpraktijken, maar dat dat met allerlei regionale initiatieven aan elkaar geknoopt gaat worden. Liever een deugdelijk landelijk systeem.

En ja, ik ben voor een EPD (met opt-out). Ik heb helaas genoeg ervaring met met de zorg om te weten wat een risico gebrekkige communicatie kan vormen.

[Reactie gewijzigd door TheekAzzaBreek op 23 juli 2024 05:17]

bwerg @TheekAzzaBreek • 15 september 2011 21:54

Dan ben je dus vóór het EPD, want die lokale databases zijn er nu al en zouden juist door een centraal en veilig systeem vervangen worden.

Of dacht je dat ziekenhuizen tot nu toe geen patiëntengegevens hadden?

geerttttt @bwerg • 16 september 2011 00:49

Ik denk dat het EPD ook een prima systeem zou zijn (mits beveiligd ofcourse). Bovendein is het onzin dat er zoveel mensen bang zijn voor hun privacy blabla. Veel mensen hebben uberhaupt geen realistisch beeld op ict en gegevens.

Voorbeeld: Een collega kon zich helemaal woest maken omdat bij ons op het werk er tegenwoordig bij de webmail een disclaimer infoboxje vermeld stond met daarin dat beheerders inzage hadden in de e-mailboxen. Wil je je e-mail bekijken, dan moet je op ik ga akkoord drukken. Druk je op niet akkoord, kun je ook niet in je mail.

Hij weigert om op akkoord te drukken, want hij wil absoluut niet dat anderen in zijn (werk!) email kunnen kijken.

Hij is dus naief genoeg om niet te bedenken dat dat overal zo is, ook op zijn ziggo mail accountje thuis, zijn telefoonrekening, bankrekening, noem maar op. Genoeg mensen die het in kunnen zien als ze willen.

Zo ook het EPD, maar veel mensen kijken daar vreemd tegenaan omdat de privacy ervan aan de klok wordt gehangen. Dat anderen jouw gegevens kunnen bekijken. Guess what, er is zoveel van je te bekijken door bepaalde personen.

morphje @geerttttt • 16 september 2011 07:17

En ik geef de persoon in kwestie groot gelijk. Ook je werk e-mail is onderhavig aan privacy! in essentie geeft ze dit vinkje een vrijbrief. Uiteraard dient er wel opgenomen te worden in het ICT regelement dat de beheerders:
- gescripte toegang hebben tot je mailbox voor automatische handelingen (spam, virus, etc)
- bij vermoeden van fraude en met goedkeuren van directie toegang wordt verschaft
- elke toegang verkregen door menselijk handelen vermeld dient te worden aan de werknemer.

Ik probeer nog steeds mensen het idioterie in te rammen om niet hun wachtwoord af te staan, zodra ze op vakantie gaan. Onder het motto "ja maar dat is gemakkelijk". Totdat een hele afdeling/bedrijf deze praktijken er op nahoudt en je een sociale druk opgelegd krijgt.

Een groot (en zeer belangrijke) nuance: gegeven KUNNEN ingekeken worden, maar er zou voor elke database een strikte regelset moeten komen om die alleen te MOGEN indien er noodzaak voor is. Gelukkig zijn er nog mensen met ethiek op de wereld.

Het @morphje • 16 september 2011 08:48

Je kunt ook zeggen: ga lekker akkoord met de regels en als er daadwerkelijk door de baas/ICTer wordt gekeken stap je naar de rechter. Deze zal in het algemeen toch geen spaan heel laten van de argumenten van de werkgever als deze niet op de genoemde voorbeelden neerkomen.

Mellow Jack @morphje • 16 september 2011 09:01

Ik vind deze persoon een eikel

Nee hoor dat is maar een geintje alleen ik heb wel een iets andere situatie gehad. Toen de directie hoorde dat de persoon niemand toegang wilde geven hebben ze de opdracht gegeven om te kijken hoeveel mail die persoon krijgt (dat is wel legaal) en hebben ze hem op de grond van dat op het matje geroepen. (let wel, het is een functie die voor 75% via de mail wordt afgehandeld.)

Sgreehder @Diabolical • 15 september 2011 21:37

Dan heb je trouwens ook gemist hoe het EPD precies moest functioneren. 'Het' EPD is slechts een landelijk knooppunt van lokale EPD's zoals jij bedoelt.

Verwijderd @Diabolical • 16 september 2011 11:22

Ik heb van dichtbij mogen zien wat voor mensen verantwoordelijk zijn voor de invoering en het doordrukken van het Landelijk-EPD. Veiligheid is daarbij totaal ondergeschikt. Het target is de creatie van een LPD, dat moet worden gehaald. Degene die dit dossier vanuit de ziekenhuizen (via de NVZ) beheert heeft bijvoorbeeld slechts zeer oppervlakkige kennis van computers en netwerken. Het is gewoon een manager. Als je hem aanspreekt op de basale beveiligingsprincipes die in het plan worden geschonden, krijg je te horen dat er nu al tal van lokale EPD's zijn waar helemaal geen zicht is op de beveiliging en dat die daar ook vaak niet deugt. Alsof je daarmee de tekortkomingen van het LPD kunt goedpraten

Ik heb hem zelfs voorgehouden dat de onveiligheid alleen maar toeneemt met een LPD. Dan is immers nog maar 1 goede hack nodig om de medische gegevens van ALLE Nederlanders buit te maken. Nu zul je al die lokale EPD's moeten hacken om gegevens van alle Nederlanders te krijgen wat nog een behoorlijke klus is.

Ook dat zag ik natuurlijk helemaal verkeerd....

stefan-smit20 @Pistolebob • 15 september 2011 20:17

Tja dan komt dit spreek woord om de hoek kijken:

'' Wie niet horen wil, moet voelen ''

Natuurlijk is dit niet de beste manier, maar het is wel een manier wat dan hard aan komt bij de overheid. En ja die bezuiniging hé? daar komt het van.

Ik vindt het een goede actie van de hackers, anders kwam de overheid er pas achter wanneer buitenlandse mensen gingen rondneuzen en gevoelige informatie verkregen.
En dat wil niemand, toch?

Jonathan-458 @stefan-smit20 • 16 september 2011 00:41

Ligt niet zo zeer aan het bezuinigen denk ik, volgens mij ligt het probleem bij de gemeentes die ieder een ander systeem (denken) handig vinden ipv een landelijk systeem te maken zodat je systemen ook makkelijker te onderhouden en beveiligen zijn.

Daarnaast zou het beter zijn om wat meer ambtenaren hierbij buitenspel te zetten, gewoon wensen en eisen door geven, bedrijf laten werken aan het project extern pro hackers er oplos laten gaan en verbeteren.

[Reactie gewijzigd door Jonathan-458 op 23 juli 2024 05:17]

Het @Jonathan-458 • 16 september 2011 08:53

Het probleem (wat trouwens in de gehele overheid speelt) is dat externe partijen duurder zijn dan interne partijen. In tijden van bezuinigingen ga je dus geen extra geld over de balk smijten om dingen aan te schaffen die je intern kunt doen.

(off topic: daarom kost het ontslaan van ambtenaren over het algemeen ook meer geld dan dat het oplevert, terwijl de kwaliteit van 'de overheid' wellicht toe zou kunnen nemen).

blouweKip @Pistolebob • 15 september 2011 20:31

Diginotar is een commercieel bedrijf, geen overheids ict project.

bwerg @blouweKip • 15 september 2011 20:34

Maar een overheid is natuurlijk wel verantwoordelijk voor hun uitbestedingen, en die uitbesteding is wel flink mislukt.

Als een bedrijf in dienst van de overheid fouten maakt kan de overheid daar soms niets aan doen. Je kan de toekomst niet voorspellen dus al lijkt de uitbesteding nog zo goed geregeld, het kan altijd mis gaan. Maar als ze gewoon één serieuze controleur naar diginotar hadden gestuurd hadden ze meteen gezien dat het nu niet echt goed ging.

[Reactie gewijzigd door bwerg op 23 juli 2024 05:17]

elmuerte @Pistolebob • 15 september 2011 21:43

"Als dat niet gebeurt, moeten we mogelijk omzien naar creatievere middelen om de aandacht te krijgen en het belang aan te tonen."
Jammer van de dreigende ondertoon op het laatst

Hoezo? Veel andere groepen doen soortgelijke dingen, meestal noemt men het een "staking". Verschillende OV monopolisten vonden dat nodig het afgelopen jaar.

TheekAzzaBreek @elmuerte • 16 september 2011 00:08

Right. Vakbonden zijn OV monopolisten. Inzichtvol ...

i-chat @Pistolebob • 15 september 2011 23:09

drijgende ondertoon... is dat niet wat elke nederlander doet, als ie tegen z'n buurman zegt... zet die radio uit 'of' ik bel de politie, de verhuurder etc. etc...

rijd niet de hard of..... je krijgt een boete...

als de overheid mag chanteren, moeten ze niet gek kijken als wij (het volk) of in dit geval een stel goed bedoelende hackers namens ons.. deze overheid wil dwingen zich aan de zelfde regels te houden...

of geldt de wet alleen voor de zwakkere in de samenleving... en mogen de rijken en de hun politieke vriendjes zomaar alles maken... (en laat plz de sp / vvd discussie achterwege)

Het @i-chat • 16 september 2011 08:55

Ook zonder partijen te noemen is het in de huidige situatie toch vrij duidelijk dat mensen met politieke vriendjes zich meer kunnen permitteren dan anderen.

kraats

15 september 2011 20:36

Jammer dat DigiNotar weer als voorbeeld genoemd wordt, terwijl dit gewoon een onafhankelijk bedrijf is.
Verder ben ik het (als systeembeheerder bij de lokale overheid) wel eens met de stelling dat er meer aandacht besteed moet worden aan de ICT-veiligheid. Het is alleen jammer dat ik verwacht dat zodra mensen merken dat ze er meer belasting voor moeten gaan betalen, dat daar dan weer steen en been over geklaagd wordt.
De meeste (foute) beslissingen worden nu door het algemene gebrek aan geld puur op financiële gronden genomen en niet op een goede afweging op kwaliteit. En daar springen allerlei bedrijfjes weer handig op in, zeker met de verplichte Europese aanbestedingen op het moment.

petturik @kraats • 15 september 2011 22:57

Zoals Kraats al aangeeft is het niet puur een kwestie van gebrek aan kennis en kunde bij de overheid. Er spelen (helaas) meer zaken mee waarvan geld met name een hele belangrijke is. Ik praat het niet goed, maar het is te simpel om te stellen dat bij de overheid alleen maar mensen zitten die niet weten wat ze doen. Bovendien ben je als overheid ook vaak afhankelijk van bedrijven die bepaalde IT projecten voor je uitvoeren en hoezeer je dat ook aftimmert, je bent nooit 100% procent zeker. Ik vind het trouwens een prima initiatief van deze hackers, kan alleen maar positief werken.

Wat ik bovendien heel interessant zou vinden om te weten is of het bij (grotere) commerciele bedrijven zoveel beter gaat. Of zijn die gewoon beter in het verbergen van hun fouten/problemen?

Als laatste wil ik iedereen die hier zit te bashen uitnodigen om bij de overheid te komen werken en wat aan die problemen te gaan doen? Ideeen genoeg zo te horen.

[Reactie gewijzigd door petturik op 23 juli 2024 05:17]

bwerg @petturik • 15 september 2011 23:59

Ik praat het niet goed, maar het is te simpel om te stellen dat bij de overheid alleen maar mensen zitten die niet weten wat ze doen. Bovendien ben je als overheid ook vaak afhankelijk van bedrijven die bepaalde IT projecten voor je uitvoeren en hoezeer je dat ook aftimmert, je bent nooit 100% procent zeker.

Maar als de overheid meerdere ICT-projecten runt, of het nou intern of extern is, dienen daar natuurlijk wel richtlijnen voor te zijn. Ik heb nu het idee dat die er niet zijn of dat ze vaak niet worden nageleefd. Voor scholen is er spijbelinspectie, voor bedrijven in de voedselindustrie is er inspectie, maar bijvoorbeeld Diginotar schijnt nooit echt gecontroleerd te zijn. Ook lokale websites zoals die van Noord-Holland die met een standaardwachtwoord beveiligd zijn kunnen onmogelijk aan strenge richtlijnen hebben voldaan.

Natuurlijk kunnen er fouten zijn, maar je moet wel structureel zorgen dat deze fouten zo min mogelijk voorkomen. Dàt is wel echt iets waarvan je 100% zeker moet kunnen zijn.

[Reactie gewijzigd door bwerg op 23 juli 2024 05:17]

Freee!!

@petturik • 16 september 2011 08:28

Er spelen (helaas) meer zaken mee waarvan geld met name een hele belangrijke is.

Klopt, de overheid wil te vaak voor een dubbeltje op de eerste rang zitten. Helaas heeft de overheid (zowel landelijk als lokaal) nog steeds niet door dat goedkoop duurkoop is. Hiermee zeg ik niet dat ze er maar geld tegen aan moeten smijten (dat helpt ook niet), maar eens een keer investeren in gedegen onderzoek/bewezen methodes zou geen kwaad kunnen.

killercow @kraats • 15 september 2011 20:44

Het is vooral de reactie van de overheid die in het verkeerde keelgat geschoten is bij de mensen met kennis en kunde.

De reactie: "Er is niets aan de hand, ga rusig door, doe vooral je belastingaangifte, Diginotar heeft ons verzekerd dat er niks aan de hand is, dus geloven we ze"

De hackercommunities waarschuwen gratis en vooraf vaak genoeg dat dingen niet correct werken, niet correct ontworpen zijn, of simpelweg een heel slecht idee zijn. Deze gratis hulp wordt simpelweg genegeerd door de betrokken ambtenaren, om er dan later achter te komen dat het project grondig aangepast moet worden, of ergen helemaal geen doorgang kan of mag hebben.

Stoney3K

Overheid
Politiek en recht
Hackers
Nederland

@killercow • 16 september 2011 13:48

Het is vooral de reactie van de overheid die in het verkeerde keelgat geschoten is bij de mensen met kennis en kunde.

De reactie: "Er is niets aan de hand, ga rusig door, doe vooral je belastingaangifte, Diginotar heeft ons verzekerd dat er niks aan de hand is, dus geloven we ze"

Als er geroepen wordt "Nothing to see here, carry on", dan is dat voor mij een trigger om me JUIST zorgen te maken over wat er precies aan de hand is. Dan geef je als overheid een signaal af van 'dit is niet belangrijk voor jullie als domme burgers' terwijl het uiteindelijk wel op iedere Nederlander zijn weerslag heeft.

Ik had liever gezien dat de overheid een keer eerlijk zou reageren met "Oh, FUCK!" en gewoon toegeven dat er iets niet helemaal in orde is. Mensen maken nu eenmaal fouten, en als je toegeeft dat er nog wel eens een foutje in kan sluipen dan zullen mensen je ook eerder vertrouwen, dan wanneer je Murphy op gaat roepen met de bekende woorden "Wat zou er ooit fout kunnen gaan?"

Verwijderd @kraats • 16 september 2011 09:19

Pay peanuts, get monkeys.

Aanbestedingen op prijs uitkiezen blijkt in de praktijk dus tegen en moet het kwaliteitsaspect gewoon zwaarder wegen. Zoals bijv een soort van rapportcijfer gegeven door de opdrachtgever van de vorige projecten dat voldoende moet zijn. Daar heeft zowel het huidige en vorige project baat bij.

Stoney3K

Overheid
Politiek en recht
Hackers
Nederland

@Verwijderd • 16 september 2011 13:49

Pay peanuts, get monkeys.

Met al die apen die de overheid tegenwoordig achter een toetsenbord heeft gezet mag je toch verwachten dat er inmiddels wel een keer Shakespeare is uitgerold?

cire 15 september 2011 20:14

Hoewel ik het er wel mee eens ben dat alle incidenten laten zien dat er meer aandacht voor digitale veiligheid moeten komen, vind ik het aan de andere kant ook een beetje kansloos.

Bijvoorbeeld de OV chipkaart hack. Hackers roepen allemaal dat het zo onveilig en simpel te kraken was... Waarom heeft niemand dat dan gedaan in de 10-15 jaar lange levensduur van deze kaart. Tenminste tot het natuurlijk in Nijmegen wel gebeurde. Die mensen hebben recht van spreken, de rest "blaat" achteraf.

In de meeste gevallen is het zo dat extra beveiliging ook geld kost. In sommige gevallen weegt dat niet op tegen de fraude. Dus soms is het een keuze om een minder veilig systeem toch te gebruiken.

Neemt niet weg dat de Diginotar hack natuurlijk weinig met keuze te maken heeft. Dat was "gewoon" slechte organisatie.

gnu @cire • 15 september 2011 20:18

Sorry hoor maar dit is een non-argument, normaal gesproken wordt als er iets wordt gekraakt dit aangepast of niet meer gebruikt. Of het wordt in ieder geval afgeraden om het te gebruiken (bijvoorbeeld: md5)

Op het moment dat de chip voor de ov chipkaart werd gekozen was al bekend dat deze een bepaalde zwakheid had, in de 10 a 15 jaar daarvoor (bron??) was deze wellicht zwakheid nog niet bekend en was deze nog niet gekraakt.

Daarnaast is het altijd een slecht idee om gegevens alleen offline te controleren (ovchipkaart waar alle data op de kaart zelf staat) het hele probleem was niet aanwezig geweest als ze middels een simpele check online zouden kijken of de data op de chip daadwerkelijk overeenkomt met de data die online staat.

Les nummer 1 in beveiliging: Never trust user input.

[Reactie gewijzigd door gnu op 23 juli 2024 05:17]

cire @gnu • 15 september 2011 21:03

@gnu
Jij zegt dat als iets gekraakt is het word aangepast of niet meer gebruikt. Dat klopt natuurlijk niet. We hebben bijvoorbeeld jarenlang bankpassen met een magneetstrip erop gehad. We hebben ook jarenlang strippenkaarten gehad. Van beide is allang bekend dat ze niet 100% veilig zijn. Dat heeft er echter niet voor gezorgd dat ze vervangen werden. Bij de bankpassen is het pas echt op gang gekomen toen de fraude in Nederland van minder dan 5 miljoen naar zo'n 40 miljoen groeide binnen 5 jaar tijd. Het gaat er niet om dat iets 100% veilig is, het gaat erom dat iets afdoende veilig is.

Wat betreft de mifare kaart: die is geintroduceert in 1994 en gehackt in 2007 (en pas compleet gehackt in 2009). Dat is dus in elk geval 13 jaar.

[Reactie gewijzigd door cire op 23 juli 2024 05:17]

Stoney3K

Overheid
Politiek en recht
Hackers
Nederland

@cire • 16 september 2011 12:48

Wat betreft de mifare kaart: die is geintroduceert in 1994 en gehackt in 2007 (en pas compleet gehackt in 2009). Dat is dus in elk geval 13 jaar.

Die hack was ook pas gezet nadat Trans Link Systems een landelijke OV-chipkaart wilde introduceren en de hack is specifiek aan het systeem van TLS.

Probeer maar eens een Engelse Oyster-card te hacken met een OV-chipkaart hack, dat gaat je gewoon niet lukken.

bwerg @gnu • 15 september 2011 20:43

Even een nuancering: vanuit veiligheidsoogpunt wordt de OV-chipkaart natuurlijk gezien een flop. Voor een commerciële organisatie is het een zaak van kosten en baten. Er zijn waarschijnlijk maar weinig mensen die echt veel geld besparen door hun OV-chipkaart te kraken, en een betere beveiliging zou dit voorkomen maar netto kost het veel meer geld. Een lokale bakker beveilig je ook niet met 4 militairen, want het kost veel meer dan het oplevert. Niemand die zeurt dat je 'zomaar een kraak kan zetten bij de bakker en voor 100,- taart kan meenemen'.

Overigens is 'gratis' reizen helemaal niet zo gemakkelijk. Door het offline checken kan je je gehackte kaart maar één dag gebruiken en dus je moet steeds nieuwe halen. Wat mij betreft veilig genoeg voor het doeleinde.

Al was er natuurlijk nog genoeg andere kritiek op het nieuwe OV-systeem, zoals moeilijk overstappen, geen korting krijgen, etc. dus een goed systeem wil ik het alsnog niet noemen.

[Reactie gewijzigd door bwerg op 23 juli 2024 05:17]

MicGlou 15 september 2011 20:17

Volgens mij zijn de jongens op zoek naar werk...

Maar even serieus... dit is toch wel de manier waarop het hoort, heel netjes. Dat is wat anders dan eerst je kraakje zetten, informatie stelen en publiceren en dan luid gaan schreeuwen wat je gedaan hebt en hoe dom de ander was.

Ik ben zelfs van mening dat onze overheid een voorloper moet gaan worden op dit gebied en dergelijke groeperingen omarmt om er zelf slimmer van te worden. Want niemand die je beter kan vertellen wat je fout doet dan de hacker himself. Daarom eigenlijk ook de grap... het is toch eigenlijk een soort van open sollicitatie.

killercow @MicGlou • 15 september 2011 20:41

Neuh, die jongens hebben genoeg werk, de meeste hebben eigen bedrijven, developpen software of beheren systemen. De kennis die ze daarvoor nodig hebben hebben ze opgedaan door te proberen, te klooien, en out of the box te denken.

Die zelfde kennis zorgt er ook voor dat ze problemen met systemen zien, en waardoor ze na de eindeloze lijst van overheids faal nu eigenlijk wel klaar zijn met de gevaarlijke systemen die de overheid ons opdringt, of waarmee ze onze gegevens verwerkt.

Alleen als de overheid niet luisteren wil, tjah dan zit er niet veel anders op dan te laten zien wat er dan mis is, en dat naar buiten te brengen. Gelukkig valt dat gewoon onder de journalistieke vrijheden, mits die regels worden gevolgd (zoals de heer de Winter heeft gedaan met betrekking tot de OVchip kaart)

MicGlou @killercow • 16 september 2011 06:58

Neuh, die jongens hebben genoeg werk, de meeste hebben eigen bedrijven, developpen software of beheren systemen. De kennis die ze daarvoor nodig hebben hebben ze opgedaan door te proberen, te klooien, en out of the box te denken.

Eigen bedrijven... Software development? En dan niet geïnteresseerd om hun expertise te kunnen verkopen aan de overheid? Dan mogen het slimme hackers zijn... als dat zo is dan ben je iig niet zo'n beste ondernemer

Op zoek naar 'werk' hoeft natuurlijk niet te betekenen in een baantje als systeembeheerder oid...

Als die hackers kunnen aantonen wat er mis is, dan kunnen ze de gaten ook helpen dichten... dan zou ik JUIST de persoon willen zijn die daar aan verdiend. Anders geef je gratis het beste advies weg aan het eerst falende bedrijf met jouw kennis zijn bedrijf oplapt... Ze zullen dit toch niet doen uit puur patriottistische redenen?

Het @MicGlou • 16 september 2011 09:00

Patriottisme lijkt me niet het juiste argument. Maar op zich betalen deze mensen bleasting en van die belasting worden dingen gedaan die overduidelijk de prijs niet waard zijn. Ik zou mij dan ook zorgen gaan maken als ik verstand van zaken had. Zeker als je hoort dat de overheid in essentie alle gegevens van alle burgers toegankelijk wil maken. Daar horen dus ook hun gegevens toe.

postbus51 15 september 2011 20:20

Had al eerder dit gezegd , mss dat nu de oogkleppen verwijderd worden dit al helemaal
nu dus een bepaalde nota al openbaar is
En omdat onze senaat op de appletjes lekker bij de tijd gaan zijn
Wel hoop dat er nu egt wat nadenk werk komt , ander zie ik Neeltje vaker onzin verkopen op het nieuws

"Net als het digi openbaar betaal vervoer , na aangetoonde fouten toch instemmen en zeggen dat het oplosbaar is
UVW ,de Belastingdienst en gemeente Amsterdam die miljoenen verneuken in de IT"

tinzarian @postbus51 • 15 september 2011 23:53

En omdat onze senaat op de appletjes lekker bij de tijd gaan zijn
Wel hoop dat er nu egt wat nadenk werk komt , ander zie ik Neeltje vaker onzin verkopen op het nieuws

Schrijf ditzelfde nog eens maar dan in enigszins normaal, maar vooral begrijpelijk, Nederlands. Ik ken bakstenen die minder onzin uitkramen dan jij.
BTW als je daadwerkelijk achterlijk bent dan bij deze mijn excuses dat ik dat niet door had.

blouweKip @postbus51 • 15 september 2011 20:34

De beste stuurlui staan aan wal

SkyStreaker 15 september 2011 20:27

Iedereen denkt bij "creatievere middelen" meteen aan het ergste zeker? Dat idee krijg ik wel namelijk, terwijl ze wellicht hele andere ideeën hebben. De binnenplaats van het Hof lasertaggen, landelijke metro-advertentie op de omslag.... Kan van alles zijn.

Stoney3K

Overheid
Politiek en recht
Hackers
Nederland

@SkyStreaker • 16 september 2011 13:02

De binnenplaats van het Hof lasertaggen...

Je hebt die niet toevallig stiekem al met Hxx overlegd of zo?

Maar inderdaad, met 'creatieve oplossingen' bedoelt Koen vooral mogelijkheden om aandacht te trekken naar de media zodat de overheid op een gegeven moment wel genoeg vragen op zijn bord krijgt.

Het gaat dus NIET om een dreigement van 'als je nog altijd eigenwijs doet, dan hacken we je helemaal plat', maar meer om zaken als stiptheidsacties, ludiek protest en andere stunts om zo veel mogelijk de krant, radio en TV te halen. Het internet hoeven we het niet voor te doen.

Een mooi voorbeeld is de installatie van Blinkenlights Stereoscope in Toronto, waar het natuurlijk niet lang uit kon blijven voordat iemand een welbekend filmpje van Rick Astley door de hele stad heen liet schallen.

Batiatus 15 september 2011 22:28

Heb me wat verdiept in de ssl certificaten kwestie. Op dat gebied is er toch al een behoorlijke improvement gemaakt. Hier de site:
http://www.de-electronische-signatuur.nl/

tinzarian @Batiatus • 15 september 2011 23:58

Ik ben niet zo goed met sarcasme, dus wellicht mis ik iets, maar wat is hier de verbetering?? Voor zover ik kan zien is dit niet meer dan een andere schakel, in hetzelfde onbetrouwbare systeem, als Dignotar

Demoterror 16 september 2011 00:51

Tja ik heb er niets op tegen dat kennis van hackers gebruikt zou worden bij het testen van bepaalde overheid systemen etc.
Echter vraag ik me wel af of het 'lekken' van de Miljoenennota een dag voordat die uit zou komen. Who cares?
Het is niet alsof ze in staat waren er structurele aanpassingen aan te maken ofzo, het lekte alleen op een kinderlijk makkelijke manier uit.
Met persoonsgegevens is het uiteraard een ander verhaal maar laten we nu niet elke 'fout' van de overheid-ict gaan aanroepen om maar te zeggen hoe slecht het wel niet is.

Als je als autofabrikant tig miljoen aan inbraakpreventie in je ontwikkelingsplan stopt voorkom je alsnog niet dat iemand een stoeptegel die naast de auto ligt opraapt en dat raampje ingooit.

Kan het beter? Ja.
Kan er hulp worden gebruikt? Ja.
Moeten we alles wat we kunnen vinden gebruiken om dat aan te tonen? Nee.

Standeman @Demoterror • 16 september 2011 09:52

Het punt is een beetje dat er een document is wat de overheid nog geheim wil houden zomdaar open en bloot op het internet wordt geslingerd.
Dat betekend dat er een flink gat in de procedures en het verstand van medewerkers zit en dat is een beetje het enge aan het verhaal. Als de overheid al bij zoiets basaals faalt, hoe zit het dan met de rest? Blijkbaar is de overheid niet in staat om documenten voor zichtzelf te houden. Dit keer is het de miljoenennota, volgende keer jouw belastinggegevens.

Op dit item kan niet meer gereageerd worden.

Nederlandse hackers willen meer bevoegdheden voor Govcert

Lees meer

IT-banen

Reacties (101)

Sorteer op:

Weergave: