Je kan jezelf nog zo hard "democratisch" en "volksrepubliek" noemen, het maakt je geen van beiden.
Je kan jezelf nog zo hard "ethisch" en "hacker" noemen, het maakt je geen van beiden.
De technische term is "pentester", en het enige wat zo iemand inhuren je vertelt is dat'ie wat gevonden heeft; of als'ie niets vindt, dat'ie niets gevonden heeft. Het zegt niets over hoeveel er nog meer te vinden is.
Dat er wat te vinden is, is niet verbazend. De hele stack van hardware, via firmware, besturingssoftware, tussensoftware, applicatiesoftware en zo verder, het zit vol met gaten en zwakheden. Dat als je administratieve toegang te pakken krijgt je overal toegang toe hebt is ook al niet verbazend, zo zijn de systemen opgezet. Dat dit te doen is, nouja gaten in de software of zelfs een simpele misconfiguratie want meestal worden de goedkoopste mensen die nog net kunnen wat er van ze verwacht wordt ingehuurd. Systeembeheer voor een enkel machientje kun je wel door MBOers laten doen maar voor een hele organisatie wordt dat snel anders, gewoon omdat de complexiteit toeneemt met de grootte.
Dit weten we al jaren. Iedereen die het niet wist had het op z'n vingers na kunnen tellen. Waarmee deze sensatie de gebruikelijke s'kiddie-hype is waar de security industrie zichzelf relevant mee probeert te maken. Het werkt al 30 jaar niet. Erger nog, je hebt helemaal niets aan zulke aankondigingen. Je zou denken van wel, maar in de praktijk toch niet. Het grotere gevaar is niet dat deze gemeente nu met de billen bloot gaat, maar al die andere gemeentes die dat nog niet gegaan zijn. En alweer, je weet absoluut niet of hiermee de kous af is.
Waarmee we onszelf met zulke berichtjes in slaap sussen dat er toch iets gebeurt dus moet het wel de goede richting op gaan... alleen dat doet het dus niet. Maar toch weer mooi in het nieuws geweest en jezelf als "ethisch" en "hacker" weggezet. Goed gedaan hoor, maar je bent en blijft een poser, een s'kiddie, en onderdeel van het probleem.