Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 46 reacties

Het Nederlandse persbureau GPD, dat nieuws aanlevert aan verschillende regionale kranten, stelt dat het ministerie van Sociale Zaken zich op onrechtmatige wijze toegang verschaft heeft tot de computersystemen van het bureau, zo meldt NOS.

Hoofdredacteur en directeur Van Lingen claimt dat het gaat om een flagrante schending van de persvrijheid. Ambtenaren van Sociale Zaken zouden met behulp van wachtwoorden van een medewerker en een ex-medewerker toegang verkregen hebben tot de computers van het persbureau. Op die manier wilden zij volgens het bureau zo vroeg mogelijk op de hoogte zijn van eventuele artikelen met een negatieve berichtgeving over het ministerie of de overheid. Het zou sinds juni vorig jaar gaan om meer dan driehonderd gevallen. Het ministerie wilde in afwachting van een intern onderzoek niet op de beschuldigingen reageren.

Moderatie-faq Wijzig weergave

Reacties (46)

Of het nou een fout was van de systeembeheerder aldaar of een 'foute' (ex)werknemer doet er niet eens toe. Als ik mijn achterdeur open laat staan en mijn keet word leeggetweakt dan is de betreffende tweaker gewoon strafbaar, dan krijg ik misschien wel op mijn flikker van om agent maar daar maakt het het vergrijp er niet minder om.
Justitie mag dit misschien, maar dan onder bepaalde voorwaarden. Als dit klopt dan riekt dit toch naar nogal dictatuur-trekjes.
Mocht ik toevallig een wachtwoord hebben van een of andere overheidsinstelling en daar lekker gaan rondneuzen en dit word ontdekt... Dan sta ik niet raar te kijken als oom agent of wat voor instantie dan ineens voor mijn deur staat. Goedemiddag meneer maniacshouse, wij verdenken u van terroristische activiteiten.

Nee maar dit mag wel onder het mom van staatsveiligheid zeker? Ben benieuwd naar de motivatie van den heren.

Zit met ineens te bedenken dat ze misschien wel gewoon denken dat ze dat kunnen doen. Want wij zijn de overheid! En wij moeten en mogen er alles aan doen om u te beschermen. Zo dom zullen ze toch wel niet zijn?

[Reactie gewijzigd door ManiacsHouse op 3 november 2007 11:49]

Iedereen valt over de GPD slordigheden maar ik kan het alleen maar met maniacshouse eens zijn dat juist de inbraak (en niet hack) van de overheid je zorgen zou moeten baren. Inzage? Is wel heel vriendelijk verwoord.

Minimaal een hoge ambtenaar maar liefst Donner zou zijn conclusies moeten trekken.
Net zoals ik t.net nu kraak om een bericht achter te laten, ik moest drie keer raden voordat ik mijn wachtwoord weer wist :)
Op die manier wilden zij volgens het bureau zo vroeg mogelijk op de hoogte zijn van eventuele artikelen met een negatieve berichtgeving over het ministerie of de overheid.
Om eventueel te kunnen censureren?

[Reactie gewijzigd door mossel op 3 november 2007 10:35]

Waarschijnlijker om adequaat te kunnen reageren en negatieve publiciteit vroegtijdig te kunnen torpederen. Het scheelt nogal als je als persvoorlichter je verhaal een paar uur eerder kan gaan schrijven ;)

Nochtans is het bewijs erg zwak. Ja, er zal vast wel vanaf het IP van het ministerie ingelogd zijn op hun intranet, dat wil ten eerste nog niet zeggen dat dit in opdracht van is gebeurd en ten tweede niet dat de informatie misbruikt is. Voor hetzelfde geld is het broertje van iemand die bij GPD werkt wel nieuwsgierig ingesteld en logt hij vanaf werk in z'n pauze in om lekker op tijd nieuws te kunnen lezen.

Als het echt in opdracht van was gebeurt zijn het ook wel enorme sukkels dat ze niet een anonieme proxy gebruikt hebben trouwens :) En GPD is ook vrij naief als ze denken dat er niemand van de overheid meekijkt met wat zij ontvangen - informatievergaring is de belangrijkste taak van inlichtingendiensten als de AIVD, zou vrij stom zijn als die moeten wachten tot iets op nu.nl staat voor ze erachter komen dat het uitgelekt is ;)

[Reactie gewijzigd door FragFrog op 3 november 2007 11:15]

Jij hebt een fijn idee bij hoe een en ander zou werken... AIVD staat voor Algemene Inlichtingen- en Veiligheidsdienst... Als deze zich ook al bezig gaan houden met wat de pers misschien gaat schrijven over Pietje Donner of Jan Jaap Balkenende dan is dat niet bezighouden met de veiligheid van de burgers maar het van tevoren in de doofpot stoppen of 'beschermen' (let op de '' ) van politici.

AIVD is er voor algemeen belang. Niet om te voorkomen dat een politicus zijn vuile was op straat komt.

Persvrijheid is hier het woord... ;)

[Reactie gewijzigd door ManiacsHouse op 3 november 2007 14:20]

En toch kan je er donder op zeggen dat ze meekijken. Niet om te voorkomend dat er iets gepubliceert gaat worden dat misschien een minister niet zo goed uitkomt, maar wel om te kijken of er iets ligt wat de staatsveiligheid in gevaar zou kunnen brengen.
Dus de pers is staatsvijand nummer 1?

(wat gezien de reacties hier er soms wel op lijkt)
Idealiter gezien heb je absoluut gelijk, maar zoals ATS al postte, het zou me zeer verbazen als ze niet meelezen. Een journalist kan bijvoorbeeld veel makkelijker in bepaalde gevallen bij informatie komen die de staatdsveiligheid in gevaar brengt dan iemand van de AIVD - het zou niet de eerste keer zijn als een klokkenluider naar bijvoorbeld een Peter de Vries stapt in plaats van de politie.

En nee, dat mag niet. Als overheid inloggen op het intranet van een persbureau mag ook niet, maar dat gebeurt ook. Democratie en persvrijheid zijn mooie idealen, maar er blindelings vanuit gaan dat ze er nog zijn is het domste wat je kan doen.

Vergeet ook niet dat de diverse veiligheidsdiensten in Nederland al in bepaalde gevallen exact kunnen zien wat jij op internet doet dankzij je provider, tenzij je alles met een stevige encryptie verstuurd wordt het wel heel gemakkelijk voor een systeem als Echelon om alarmbelletjes te laten afgaan zodra een journalist een emailtje krijgt van Bin Laden, just to name something, of een realistischer voorbeeld, de meeste videotapes van laatstgenoemde duiken op via Al Jazeera, waar denk jij dat de CIA een mannetje heeft geplaatst toen ze op'm gingen jagen? ;)

Maargoed, niet dat we daar snel achter zullen komen - dit is overduidelijk het werk geweest van een prutsende amateur. De AIVD en consorten zal eerder hun verkeer monitoren vanaf de providerkant, of, als dat niet lukt, een trojan op hun bedrijfsnetwerk hebben rondsluipen. Journalisten willen doorgaans toch wel vrij op internet kunnen gaan gok ik, met een beetje social engineering ben je dan vrij snel binnen.
Toen ik de titel las had ik al een gevoel van ongeloofwaardigheid.... onze overheid en hacken? Ik geloof niet dat ze daar de kennis voor hebben.

Maar na het hele stuk te lezen gaat het dus over misbruik van accounts, ofwel iemand anders de schuld geven van slechte security.
Of het nou hacken op hoog technisch niveau is, of een geval van gelekte wachtwoorden, het geval wordt er niet minder ernstig van.

De overheid die zich wederrechtelijk toegang verschaft tot de systemen van een persbureau, dat soort dingen zijn ongehoord in een gezonde democratie.
Niet mee eens.

Kijk bij hacken komt veel meer kijken, dan wordt er echt veel moeite gedaan om een systeem te kraken. Hier worden vele uren ingestoken, en zijn meerdere afdelingen/medewerkers bij betrokken.

In het geval van de account misbruik, kan het gewoon zo zijn dat klaas (overheid) het wachtwoord weet van piet (GPD) en af en toe eens kijkt in het systeem van piet of daar niet wat info staat over zijn ministerie. Terwijl de baas van Klaas hier dan helemaal niets van af weet.

Wat ik er mee wil zeggen is dat account misbruik een individuele actie kan zijn. En een hackpoging toch echt een actie is die geinitiseerd is door het management.

Dat is veel erger, dan is het geen zielige medewerker die een keer negatief in het daglicht is gekomen, maar een heel ministerie die de boel loopt te flessen.
Grappig, "onze overheid en hacken? Ik geloof niet dat ze daar de kennis voor hebben." dat is letterlijk wat ik ook dacht.

Maar zo als het hier staat lijkt het me wel heel goed mogenlijk. En dan bevestigt dat alleen maar wat ik al langer zei (en waar ik ook nog een hele discusie op tweakers over heb gevoerd (Die overgens is weggemod. Wel leuk als dan nog geen week later zo'n bevestigent artikel komt :*) )), de overheid is in Nederland niet bepaalt democratisch bezig, en gaat zelfs naar het communistische toe met het verkeert informeren van mensne en dingen verborgen houden voor mensen.

Dit valt daar in principe ook onder. Als de overheid weet wat er in de krant komt te staan kan de overheid al van te voren maatregelen nemen om er voor te zorgen dat het net is alsof het onzin is.

Gaat echt de verkeerde kant op hier, en dit is PUUR voor zichzelf te beschermen / in te dekken. Dit heeft niets met veiligheid of zoiets te maken. Het geen waar ze al die andere niet-democratische besluiten onder laten vallen. (blokkeren van sites enz enz)

Vraag me af er op de een of andere manier nog een bepaalde partij achter zit.
Het verkeerd informeren en bespioneren door overheden is geen alleen recht van het communisme. Dit komt namelijk ook voor een democratie (denk aan Amerika), dictatuur, of iedere andere staatsvorm waarin de machthebbers bang zijn om macht te verliezen.

Alleen wel jammer dat het hier in Nederland ook steeds meer die kant op gaat.
Het komt er zeker voor maar het hoort er niet in voor te komen terwijl het bij een communisme en indd ook ein en dictatuur eigenlijk standaart is zodat de mensen luisterenen precies doen wat er van ze verlangt word en ze vooral niet tegen stribbelen.
De kennis niet, het geld vast wel. Maar ik geloof hier niet in, zo slecht zijn ze ook weer niet.
Sorry hoor maar als je weet dat het zolang bezig is, dan heb je die wachtwoorden toch al lang gewijzigd. En zeker van ex-werknemers die verwijderd ?
En wat nou als ze het niet door hadden, maar op een gegeven moment er wel achter kwamen en dat ze toen de logs gingen uitpluizen en erachter kwamen dat het al sinds juni vorig jaar gaande was?
Dan praat je nog steeds over een groot wanbeleid van de desbetreffende ICT'er die bij ontslag niet de login gegevens heeft verwijderd. |:(
Wanbeleid wordt niet gevoerd door ICT-er in kwestie, maar door management. Als het management niet doorgeeft dat de betreffende medewerker ontslagen is kan de ICT-afdeling de medewerker ook niet uit het systeem halen. ;)
In dit soort zaken is het vaak van belang dat de organisatie duidelijk richtlijnen opstelt bij vertrekkende werknemers en zich ook aan die richtlijnen houd.
Meer dan dat. Soms is het zelf niet praktische haalbaar. Als de desbetreffende ICT persoon toegang heeft tot een paar dozijn login gegevens, dan is het niet altijd praktische om deze te veranderen.

Of nog leuker, als de persoon in questie bijvoorbeeld een afdelingshoofd is, en als Únige de meeste login gegevens beheerder. Begin dan maar eens de login gegevens te veranderen ;)

Veel hangt af hoe deze persoon vertrokken is.
@Arqion
En voor dat soort dingen bestaan al sinds heel wat jaren diverse oplossingen. Identiteitmanagement is niet iets wat nog maar net om het hoekje komt kijken. De koppeling met HRM systemen ook niet. Bij mensen met een vast contract kun je het zelfs zo inrichten dat het account geldt voor de contractduur. Grote instellingen hebben dit soort gekoppelde systemen wel maar dit persbureau mogelijk dus niet.
Wanbeleid wordt niet gevoerd door ICT-er in kwestie, maar door management.
Ook de ICT afdeling valt wat te verwijten: als loginnamen een jaar na uitdiensttreding nog geldig zijn, wil dat zeggen dat hun Directory dus niet/nauwelijks opgeschoond wordt. Dat houdt een onnodige belasting in van hun Directory, mailsystemen en datasystemen, alsmede de backups.

Misschien dat het management te kort is geschoten in het maken van beleid ten aanzien van in- en uitdiensttredingen, maar de afdeling ICT heeft hier blijkbaar niet over aan de bel getrokken. Of het beleid is er wel, maar wordt niet uitgevoerd door de afdeling ICT, of het beleid is er wel maar moet nodig eens tegen het licht gehouden worden...
"Wanbeleid" of niet doet niet terzake.
Het feit is (ALS het waar is) dat er blijkbaar het ministerie op onrechtmatige wijze zich toegang verschafte tot de systemen van GPD.
Dat is gewoon ronduit strafbaar. punt uit.
En dat het geen op zich staand incident is maar blijkbaar al bijna 1,5 jaar aan de gang is en dat het in die periode al zeker 300 keer gedaan is is natuurlijk helemaal niet meer te verkroppen.
Hier is gewoon sprake van een structurele misstap.
Daarbij zal er ook binnen GPD hier ook nog wel een stevig babbeltje overgesproken worden, maar dat is iets voor hunzelf.
@ Petervs
Ook de ICT afdeling valt wat te verwijten: als loginnamen een jaar na uitdiensttreding nog geldig zijn, [...]
Ik snap wat je bedoeld, maar je moet ook niet vergeten dat sommige bedrijven / organisaties er juist bewust voor kiezen om de boel niet op te schonen.
Dit onder het motto "misschien hebben we nog iets nodig wat daar staat"

* ]Byte[ heeft dit zelf pas nog meegemaakt. na ruim 4 jaar weg te zijn geweest bestond z'n account nog steeds (wel geblokkeerd....)

[Reactie gewijzigd door ]Byte[ op 4 november 2007 16:07]

Ik snap wat je bedoeld, maar je moet ook niet vergeten dat sommige bedrijven / organisaties er juist bewust voor kiezen om de boel niet op te schonen.
Dit onder het motto "misschien hebben we nog iets nodig wat daar staat"

Sorry, maar daar heb je backups voor. Als je geen accounts van gebruikers durft te verwijderen uit angst dat er belangrijke data verloren gaat, klopt er toch iets niet in je organisatie. Je kan de shit van een ander nou eenmaal niet eeuwig achter je aan blijven slepen.
Het lijkt erop dat het persbureau GPD zijn eigen zaakjes niet op orde heeft en hun problemen nu op een ander proberen af te schuiven. Lekker handig wel.

Zoals gezegd moet je ervoor zorgen dat ex-medewerkers uit het systeem verwijderd worden zodat ze achteraf geen gebruik meer kunnen maken van systemen of informatie wat niet voor hun bestemd is.
Als GPD interne memo's e.d. goed wil beschermen zouden ze er ook voor moeten zorgen dat deze informatie in het geheel niet toegankelijk is van buitenaf, maar alleen via het interne bedrijfsnetwerk toegankelijk is.
Op die manier kun je van buitenaf helemaal niet bij interne vertrouwelijke informatie komen, zelfs niet al zou je de login en wachtwoord gegevens van (ex) medewerkers hebben.

[Reactie gewijzigd door HoppyF op 3 november 2007 11:29]

Dat ze daar de informatiebeveiliging niet op orde hebben is duidelijk. Dat geeft je echter niet het recht om zomaar bij die bedrijfssystemen naar binnen te wandelen. Als iemand een reservesleutel onder zijn deurmat bewaart is dat ook niet handig, maar het blijft inbraak als jij daar gebruik van maakt. Inbraak is niet toegestaan door de wet, zeker bij de overheid zou men dat moeten weten.
Volgens de staat's eigen definities is dit idd cracken.
Dit zijn wel echte Sovietpraktijken. Hacken naar aanleiding van serieuze aanwijzingen over terrorisme vind ik prima, dan maar een beetje privacy inleveren om te voorkomen dat er een aanslag komt. Het schenden van de privacy om imagoschade van een overheidsinstelling te beperken vind ik gewoon walgelijk. Ze overtreden daarmee niet alleen de wet, maar ze verspillen zo ook belastinggeld door die ambtenarenuren niet beter te besteden. Laat ze imagoschade maar beperken door het werk goed te doen.
vind ik prima, dan maar een beetje privacy inleveren om te voorkomen dat er een aanslag komt
Dat is helemaal niet prima. Als justitie denkt dat jij informatie hebt over een aanslag dan ben je een getuige of verdachte en mag justitie onderzoek doen of een getuigenis eisen. Maar in alle andere gevallen moet justitie jouw privacy respecteren en niet denken "er zal ooit wel eens een aanslag worden voorbereid dus laten we nu al bij willekeurig mensen rondneuzen of we iets leuks vinden".
Hacken?
Een ex--medewerker die misschien nog wat ondersteuning verleent aan een medewerker?

Zijn wel weer erg snel met beschuldigingen van hacken, paranoia!
Om dezelfde reden heb ik ooit moeten voorkomen. Ik had op mijn school site ingelogd als admin/admin en wonderbaarlijk bestond dit account en had ik het wachtwoord goed gegokt!

Een jaar later politie aan mijn deur verdacht van hacken. Uiteindelijk heb ik de zaak wel gewonnen :)
Social engineering is een effectieve manier van hacken. Even een belletje plegen is een stuk makkelijker dan een password brute-forcen en is ook een stuk moeilijker te achterhalen.
De Nederlandse Watergate.

Bijzonder knullig van GDP. Werknemers die weggaan en accounts niet blokkeren. Desondanks, het ministerie had hier NOOIT misbruik van mogen maken. Hier moeten koppen voor rollen, bij GDP maar zeker ook bij het ministerie.

Edit: rollen van koppen uitgewerkt }>

[Reactie gewijzigd door florishack op 3 november 2007 10:22]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True