Exploits for sale!!!

Greetingz,
Jacco

De hackercommunity is het volledig met Mevrouw Antic eens,

Elke wet moet pas aangenomen worden nadat deze goed doordacht is. Het zelfde zou moeten gelden voor software waarin de gegevens van duizenden burgers wordt opgeslagen. Waar wetten altijd nog door een rechter geïnterpreteerd kunnen worden om zo alsnog de juiste keuze te maken is er bij software nooit zo'n moment en een lek hierin alleen geïnterpreteerd door de software zelf.

Een gehackt systeem lijdt veels te vaak tot een lek van gegevens van duizenden onschuldige burgers, iets wat niet meer teruggedraaid kan worden. Daarom heeft de wereld elke 'hacker die ter goeder trouw is' nodig.

Zolang zelfs gerenommeerd onderzoeksjournalisten als Brenno de Winter hun vrijheid niet zeker zijn en aangeklaagd na het aantonen van een lek in een landelijk syteem dat voor worden zal er geen weldenkend mens zijn eigen vrijheid op het spel willen zetten om deze misstanden aan te kaarten en blijven alleen de echte criminele over welke de keuze voor winst allang gemaakt hebben.

Advocate Antic zegt diplomatiek dus eigenlijk dat rechters verstandelijk geen beslissing kunnen nemen wie wel of geen klokkenluider zou zijn? Want hoe vaag wil je artikel 5 van de wegenverkeerswet hebben, terwijl geen rechter een probleem heeft om te bepalen wie er wel of niet schuldig is. Een wetgeving rond klokkenluiders hoeft helemaal niet gedetailleerd of ingewikkeld te zijn in wat we er onder verstaan.

Zou het niet zo zijn dat Antic toevallig advocate is die een leuke betaling krijgt om personen te verdedigen die als ISP of eigenaar van een webwinkel er een flinke puinzooi van maken wat betreft omgang met persoonsgegevens van klanten en ze het erg lastig gaat krijgen wanneer klokkenluiders makkelijk haar klanten in discrediet kunnen brengen...

Lees het artikel onder de link SOLV eens helemaal door. Daarin wordt uitgebreid ingegaan over het hoe en waarom waarbij tevens de memorie van toelichting van de huidige wetgeving wordt aangehaald:

Quote
De idee dat een hacker vrijuit zou moeten gaan indien het slachtoffer van de inbreuk op de hoogte stelt is niet nieuw. Al in 1990 werd hier bij de strafbaarstelling van hacken over nagedacht en afgewezen. In de Memorie van Toelichting (Kamerstukken II 1989-1990, 21 551, nr. 3) wordt door de toenmalige Minister van Justitie op pagina 17 hierover het volgende opgemerkt:

'Een dergelijk systeem kan worden verdedigd op grond van de gedachte dat onder deze omstandigheden de "hacker" een nuttige functie vervult, daar hij de beheerder van het computersysteem aldus behulpzaam is bij het ontdekken van mogelijke gebreken in de beveiliging. Toch heb ik daarvan afgezien daar een dergelijke benadering onvoldoende duidelijk maakt dat het inbreken in een computer onvoorwaardelijk niet is toegestaan. Het zou bovendien uitnodigen tot het inbreken in een computer in de verwachting dat bij dreigende ontdekking van het feit nog altijd een strafuitsluitende omstandigheid kan worden geschapen.'

De toenmalige minister betoogt dus dat van een dergelijke regeling een verkeerd signaal uitgaat en het bovendien het onwenselijke effect creëert dat alle verdachten een beroep zullen doen op de strafuitsluitingsgrond. Ik denk dat dit terechte overwegingen zijn. Unquote

Twee dagen geleden stond er een vergelijkbare reactie op webwereld.nl. Ook die reactie ging eraan voorbij dat internet geen onbewegelijk medium is en ook deze mevrouw, gespeend van relevante ICT kennis/ervaring, mist het punt volledig. Daarnaast is een onvolledige en rammelende argumentatie uit de hoek van een persoon die geld verdient aan het bijstaan van partijen die (ondanks de mogelijkheden daartoe) de veiligheid van publiek toegankelijke informatie niet deugdelijk hebben geregeld op zijn minst verdacht.

In de genoemde reactie stond te lezen: "De eigenaar van een systeem kan altijd hackers inhuren of een verzoek doen lekken in het systeem aan te tonen waarna de beveiliging kan worden verbeterd."

Juist hier zit hem de pijn. Het gaat om: kan. Dit zou bij overheidssites moeten zijn: moet.

Ze zijn verzot op reglementen en regels bij de overheid. Het lijkt mij niet zo moeilijk om (samen met de hackersgemeenschap) een lijst op te stellen waaraan een website qua veiligheid moet voldoen. Waar is deze lijst op dit moment? Deze punten zullen dan door hackers moeten worden getoetst. Dit betreft dan de toetsing vooraf.

Echter, de techniek staat niet stil en de lijst zal onderhoud vergen. Hier komt de aap uit de mouw. De nieuwste exploits zijn vaak bekend bij hackers, niet gelieerd aan een (ethische) hackersgroep. Door deze omstandigheid hebben dergelijke personen geen toegang tot de (overheids-)website voordat deze publiekelijk bereikbaar is. Dit neemt niet weg dat de door dergelijke personen aangetoonde zwakheden geen reden zouden moeten zijn ze strafrechtelijk te vervolgen. Nee een bedankje is eerder van toepassing. Uiteraard uitsluitend indien de zwakheid allereerst wordt gemeld en niet direct wordt misbruikt. Maar na een aantal keer (voorstel: 3) dezelfde zwakheid te hebben gemeld, waarmee niet verstandig wordt omgegaan (waar kennen we dat ook al weer van) vervalt het recht van de overheid om het "onder de hoed" te houden en is de overheid verplicht de zwakheid te publiceren. Dit om af te dwingen dat de overheid wordt gedwongen zich tot het uiterste in te spannen (een novum).

Na verificatie van de melding dient de website natuurlijk wel direct offline te worden gebracht en het lek gerepareerd. Zoals de bestuurlijke platitude luidt: "Veiligheid voor alles".