Uit de comments bij WebWereld

“Om aan te tonen hoe makkelijk het is een ramkraak te plegen, hebben wij een shovel van een bouwterein gestolen en zijn daarmee bij de Media Markt naar binnen gereden”

  1. 1

    What the fuck? Zijn ze niet goed bij hun hoofd ofzo?

    Daarnaast, vind je het gek dat zoiets bij hetnet kan gebeuren. Hetnet is een sticker op een KPN doos, meer niet: duh dat een brute force aanval daar niet afgevangen wordt. Plus waarschijnlijk een wachtwoord de naam van een huisdier met een cijfer erachter ofzo. Had ie maar een mailbox bij XS4ALL moeten nemen.

    Afgezien daarvan, kijhard afstraffen dit soort onzin.

  2. 3

    De bak in met die gasten. Dit slaat echt nergens op. Als ik deze aktie had uitgevoerd zou ik het heel erg stil houden, aangezien er helemaal niets bereikt is. Dubbeldom dus.

  3. 4

    Verschil dat bij een ramkraak schade wordt gemaakt en hier niet, en dat bij een ramkraak niks wordt aangetoond en hier wel. Goede actie van het Revu, politici moeten inderdaad eens beter gaan letten op de beveiliging van hun mailbox, elke buitenlandse overheidsdienst (of 14 jarige scriptkiddie) had dit ook kunnen doen, en Jack de Vries is staatssecretaris van defensie.

    @2, die gebruiken ze juist niet zelf.

  4. 6

    @Steeph
    Los van of anoniem nu een punt heeft of niet, jou vergelijking in #5 gaat natuurlijk niet op. Dat zijn die beruchte drogredenen zo makkelijk gebruikt door politici. Gelul dus.

  5. 7

    @5, Nee maar het is wel toegestaan om als journalist in het kantoor van een politicus binnen te sluipen met een waterpistool om aan te tonen dat de beveiliging niet deugd.

    Mijn belangrijkste argument was “geen schade” maar dat negeer je gewoon.

  6. 8

    @Anoniem: Okay, punt (ook @HansR) qua schieten op politici. Maar “geen schade” is betrekkelijk. Het veroorzaakt heel veel werk om het beveiligingsniveau nog een stap hoger te krijgen (elektronisch). Dat is ook schade. Zonder garantie dat er dan niet meer ingebroken kan worden.
    De parallel met de shovel gaat daarmee op (denk aan de investering in betonnen paaltjes, maar de volgende keer wordt een graafmachine met lange arm gebruikt)

  7. 9

    @7: Hoezo geen schade? Mensen hebben de privacy van iemand geschonden en zijn privé-mail gelezen. Dat is behoorlijk veel schade. Persoonlijk vind ik dat veel erger dan als ze zijn werkmail hadden gehackt (en dat durfden ze dan weer niet, vanwege de grote kans dat ze dan vertrouwelijke zaken waren tegengekomen met als gevolg een inval op kantoor en een terrorisme-aanklacht).

  8. 10

    @8 De beveiliging is niet slechter geworden door de actie van het Revu, de beveiliging was al zo slecht, en het is juist dankzij de Revu dat ze daar nu van op de hoogte zijn en er wat aan kunnen doen. Als ze het acceptabel vinden dat hun mailbox door elke buitenlandse overheidsdienst en elke 14 jarige scriptiekiddie gehackt kan worden dan kunnen ze nu nog steeds besluiten niks aan de beveiliging te doen. Maar dat zou, op zijn zachts gezegd, niet zo verstandig zijn.

    De actie van Revu heeft dus geen schade opgeleverd, maar alleen bestaande schade blootgelegd.

  9. 11

    @9, maar ze hebben de emails niet gepubliceerd en hebben zelf meteen aan Jack doorgegeven dat zijn mailbox hackbaar was. Dat eenmalig een stuk of drie privemailtjes van Jack zijn gelezen weegt zeker op tegen het ongelovelijke voordeel dat in de toekomst niet meer iedereen de privemailtjes van de staatssecretaris van defensie (en andere bewindslieden) kan lezen zónder dat Jack dit weet of ooit te weten komt.

  10. 12

    @Anoniem: Het blijft altijd wonderlijk dat voor de virtuele wereld kennelijk andere normen gelden dan voor de echte wereld. Ga nu eens in op de parallel die getrokken wordt.
    Jouw redenering geeft aan dat je het dus stom vindt van winkels dat ze geen betonnen paaltjes neerzetten omdat iedere willekeurige puber met een shovel hun pand in kan rijden en de boel kan leeg plukken.

    Verder gaat het hier over de prive-mail van de Vries. Als hij die voor staatszaken gebruikt is dat niet slim.

  11. 16

    De parallel in deze is misschien beter met een fiets die je wel op slot zet maar waar je niet twee extra kabelsloten aan hangt.

    @15: Dus het slachtoffer (de juwelier) is schuldig?

  12. 17

    @11: Ze hebben ze wel gelezen, dat is al erg genoeg. Of er “een stuk of drie mailtjes” zijn gelezen, is maar de vraag en of dit gaat voorkomen dat hetzelfde later nog eens gaat gebeuren ook. Ik denk eerder het omgekeerde: Nu erop gewezen is dat de Vries zijn mail bij HetNet heeft en bekend is dat die makkelijk hackbaar is, zal elk 14-jarig scriptkiddie ook even gaan kijken. En waarom het bij de Vries houden? Elke klant van HetNet wordt hiermee onder de aandacht gebracht van puistenkopjes met teveel vrije tijd. De schade is potentieel enorm.

  13. 18

    @16: A la, je bent schuldig aan fietsendiefstal als je niet minstens 3 sloten op je fiets hebt zitten, waaronder minstens 1 kabel/ketting die aan een ander object is vastgezet? Omgekeerde wereld inderdaad.

  14. 19

    @16 Nee natuurlijk niet, hoe kom je daar bij? Maar je zet je fiets toch ook niet niet op slot, alleen omdat diegene die hem steelt dadelijk schuldig is en jij niet? De schade van de juwelier is oneindig veel groter als hij het slachtoffer wordt van een ramkraak, dan de kosten die hij moet maken voor twee betonnen paaltjes. En ramkraken komen veel voor getuige het linkje bij mijn vorige reactie. Dus is het stom voor de juwelier om de paaltjes niet te plaatsen.

    Het gaat niet om wie er schuldig is, maar om welke maatregelen verstandig zijn te nemen om de risico’s die jij, als onschuldige, loopt te beperken.

  15. 20

    @17 Het gaat hier om een hoge functionaris binnen de Nederlandse regering op defensiegebied. Dan is het niet voldoende om er maar op te hopen dat 14 jarige scriptkiddies geen interesse hebben in de politiek en dus waarschijnlijk niet in je mailbox gaan kijken. Het gebrek aan beveiliging is een probleem en dat kan alleen opgelost worden omdat dat nu bekend is.

  16. 21

    @Anoniem #19: De mailbox zit op slot bij default. Er is een bewuste actie voor nodig om toegang te krijgen. Vergelijk het met het gebruiken van een loper. Hoeveel “sloten” is acceptabel voor een fiets voordat jij de fietser geen stommeling vindt.
    Ik neem aan dat je vindt dat zijn huis nu ook permanente politie bewaking en een hek moet krijgen. Het is immers heel eenvoudig om met diezelfde shovel zijn huis binnen te gaan en zijn tas met documenten te roven.

    Ik snap je punt wel, een zekere drempel moet er zijn. Maar om dan vervolgens het slachtoffer de schuld te geven ipv te zeggen dat daders strenger gestraft moeten worden (oid) is en blijft vreemd. Die redenering eindigt namelijk nooit. Er bestaat namelijk geen perfecte beveiliging.

  17. 22

    @21, Ik zei juist dat degene die de fiets steelt schuldig is, niet diegene die de fiets niet op slot zet. En nu zeg je weer dat ik het slachtoffer de schuld geef. Ik wil best met je discussieren maar ga dan iig in op wat ik zeg.

  18. 23

    @22: “Ik zei juist dat degene die de fiets steelt schuldig is, niet diegene die de fiets niet op slot zet.”

    Waarom trek je die redenering niet door naar het hacken? Er is wel beveiliging voor mailboxen (je komt er niet in zonder sloten te forceren), dus als je je toegang tot de mail verschaft ben je schuldig.

  19. 24

    Shovel vind ik een verkeerde vergelijking. Eerder 100 keer aan de fabriekspoort verschijnen met een nep pasje en de 100ste keer binnengelaten worden. Je kunt je als provider tegen bewapenen (aantal foute logins afbakenen). Maar het is maar HetNet, en als Oma de foto’s van haar kleindochters wil zien wil ze ook niet steeds de helpdesk opbellen om de blokkering ongedaan te maken. De overheid mag tegen een hogere standaard worden gehouden, maar ik verwacht danook niet dat zo’n HetNet mailbox wordt gebruikt voor vertrouwelijke stukken.

  20. 25

    Hoewel ik het kinderachtig vindt van De Vries dat hij een zaak begint, denk ik dat Revu het gewoon moet ondergaan. Als Revu het zo’n belangrijk thema vindt, moeten ze daar de consequenties ook van aanvaarden.

    Interessant in deze: De Amerikaanse President mag helemaal niet e-mailen, juist om deze grappen te voorkomen.

    Het komt ook vreemd op me over. Zelfs Kamerleden moeten hun hele handel en wandel aan Joustra en de NCTb melden. Waarom mag nota bene de staatssecretaris van Defensie dan een e-mailaccount hebben, waarvan bekend is dat kraken mogelijk is.

    De man is verantwoordelijk voor de troepen in Afghanistan, maar het zogenaamde prive ‘gekeuvel’ met kennissen kan hem chantabel maken.

  21. 27

    @26: Maar uit oa. #11 begrijp ik wel dat je de Revu niet als schuldig (of zelfs maar als schadelijk) ziet. Die mensen hebben gewoon de wet overtreden en schade aangericht bij de Vries (en mogelijk bij HetNet). Hoewel de ernst misschien anders dan het ramkraakvoorbeeld van Olaf, is het principe wel hetzelfde.

  22. 28

    Ze hebben geen (of nauwelijks, als je het lezen van drie privemailtjes schade noemt) schade aangericht, ze hebben alleen al bestaande schade alleen aangetoond. Ze hebben daarmee Jack de Vries & het publieke belang een veel grotere dienst bewezen dan de minimieme schade die ze hebben veroorzaakt.

    De wet overtreden is in bepaalde gevallen rechtvaardigbaar. Zeker voor een onderzoeksjournalist die daarmee grove misstanden aan de kaak stelt.

    Waarom de ramkraak niet vergelijkbaar is heb ik in #4 al uitgelegd. Een beter voorbeeld is een jounalist die de werkkamer van de premier binnensluipt met een waterpistool. Hij spuit het pak nat, het moet naar de stomerij. De wet overtreden & minieme schade maar wel met het rechtvaardigbare journalistieke doel de gebrekige beveiliging van de premier aan te tonen.

  23. 29

    @28: Waar haal je de 3 mailtjes vandaan en wie zegt niet dat dat een forse schade is (ik zou het iig heel schadelijk vinden als mijn privé-mail zonder mijn toestemming door vreemden gelezen wordt)? Daarnaast welke schade was er voor de inbraak door die hacker? Welke dienst is er bewezen door de inbraak?

    Om terug te keren naar de fiets: Als een fiets van me gejat wordt, beschouw ik het niet als een dienst te weten dat fietsendieven 1 slot kunnen doorknippen (want 2 of 20 lukt ze dan ook wel) en tot mijn fiets gejat werd, was er helemaal geen schade.

    De werkkamer van de premier is mijns inziens onvergelijkbaar (dat is niet de privé-sfeer, itt). Als je echter het huis van de premier insluipt om hem daar in zijn slaapkamer nat te spuiten, mag je van mij ook de bak in, ook al is de schade “miniem”.

  24. 30

    Zwak verhaal van Nieuwe Revu, de gedachtengang dat het doel de middelen zou heiligen als het landsbelang hiermee gediend is, wordt door hun eigen bevindingen onderuit gehaald: er werden immers geen mails van enig belang aangetroffen.
    Dat reduceert de actie tot een botte, onnuttige schending van privacy.

  25. 31

    @29
    Waar haal je de 3 mailtjes vandaan?
    -Er staat ‘diverse emails’ dat klinkt niet alsof het er 100 waren. En de emailtjes zijn door Revu vertrouwelijk behandeld. Revu heeft ook geen emails openbaar gemaakt en meteen aan Jack de Vries doorgegeven dat de beveiliging niet deugde. Revu had er dus ook geen belang bij door te gaan met het onderscheppen van emails die ze toch niet openbaar maken.

    Daarnaast welke schade was er voor de inbraak door die hacker?
    -De beveiliging was ondermaats, elke scriptiekiddie, elk bedrijf met defensiebelangen of elke buitenlandse overheidsdienst kon vertrouwelijke email lezen van de staatssecretaris van defensie.

    Welke dienst is er bewezen door de inbraak?
    -Dienst: aantonen dat de emailbox van de staatssecretaris van defensie slecht beveiligd was.

    (ik zou het iig heel schadelijk vinden als mijn privé-mail zonder mijn toestemming door vreemden gelezen wordt)
    -Klopt, en Revu laat aan Jack de Vries zien dat bijna iedereen dat kan. Daardoor kan hij dat nu voorkomen. En andere regeringsleden ook. Als Revu dit niet had gedaan dan had Jack de Vries misschien nog jaren dat emailadres gebruikt terwijl allerlei mensen kunnen meelezen.

    Om terug te keren naar de fiets: Als een fiets van me gejat wordt, beschouw ik het niet als een dienst te weten dat fietsendieven 1 slot kunnen doorknippen (want 2 of 20 lukt ze dan ook wel) en tot mijn fiets gejat werd, was er helemaal geen schade.
    -Dit voorbeeld gaat niet op om de volgende redenen:
    *Er wordt geen misstand mee aan de kaak gesteld. Jij weet al dat fietsen op die manier gejat kunnen worden, Jack wist nog niet dat het zo makkelijk was om zijn email te hacken; De fietsendiefstal wordt niet openbaar gemaakt door de fietsendief, Revu maakt wel openbaar dat ze het adres gehackt hebben.
    *Je hebt grote schade (fiets kwijt) terwijl Jack de Vries nauwelijks schade heeft. Tenminste geen schade die door Revu is veroorzaakt.

    De werkkamer van de premier is mijns inziens onvergelijkbaar (dat is niet de privé-sfeer, itt). Als je echter het huis van de premier insluipt om hem daar in zijn slaapkamer nat te spuiten, mag je van mij ook de bak in, ook al is de schade “miniem”.
    -Vreemde zaak dat de kamer hier wat uitmaakt, terwijl het erom gaat dat de beveiliging van de premier ondermaats is. Het maakt toch niet uit waar hij mogelijk doodgeschoten wordt. De journalist is er niet op uit om Balkenende in zijn slaapkamer te bespioneren, om vervolgens een stuk te schrijven over diens bedgewoontes, dat doet hij namelijk ook niet. Hij laat alleen zien dat de beveiliging van de premier ondermaats is, en dat is een journalistiek legitiem onderwerp.

  26. 33

    @31: Diverse zegt weinig over de kwantiteit, dat kan makkelijk honderden zijn (en in ieder geval meer dan drie, waar je eerdere enkele voor zou gebruiken), maar doet verder niet ter zake 1 privé-mail gelezen is al de privacy geschonden. Dat de Revu er “vertrouwelijk” mee omgaat (wat is er vertrouwelijk aan het lezen van een mail die niet voor je bedoeld is?), doet niet ter zake.

    Een “ondermaatse” (is dat wel zo? Hoe “makkelijk” was het, hoeveel moeilijker kan het gemaakt worden en zelfs dan, heb je er wat aan om het moeilijker maar nog steeds mogelijk te maken?) beveiliging hebben is geen schade, die beveiliging doorbreken wel. Wie zegt overigens dat de Vries niet op de hoogte was van het feit dat email hackbaar is (hij zou de enige in Nederland zijn, daarnaast de afwezigheid van werkdocumenten doet anders vermoeden) en er is ook geen enkele dienst aan dit aan te tonen.

    Het doet er niet toe met welk doel je in de slaapkamer van de premier ingeslopen bent (na over een drie meter hoge muur met glasscherven te zijn geklommen en met een loper de deur te hebben geopend), punt is dat de slaapkamer van de premier zijn privédomein is, waar jij noch een journalist die wil aantonen dat de premier niet goed beveiligd wordt, iets te zoeken heeft. Ongeacht je doel, heb je wel zijn SM-muur gezien en mogelijk zijn vrouw aangetroffen met Gerrit Zalm. Dat is gewoon schending van privacy en dat is uitermate schadelijk en verdient bestraffing.

  27. 34

    Overigens had de Revu ook gewoon het scriptkiddie kunnen vragen hoe je de email van de Vris hackt, daar een handleiding van kunnen maken en die opkunnen sturen naar de Vries en HetNet, daarmee was het zelfde aangetoond zónder inbreuk op privacy. De inbreuk plegen was dus niet nodig om de Vries die ongevraagde “dienst” te bewijzen.

  28. 35

    Ongeacht het doel? Mag je de slaapkamer van de premier ook niet binnendringen als je ziet dat het huis in brand staat en je het dochtertje van de premier vanuit de slaapkamer hoort roepen? Dan zie je misschien ook zijn SM muur. Natuurlijk zijn er rechtvaardigheidsgronden, en het aan de kaak stellen van een grove misstand bij de overheid door een journalist vindt ik een bijzonder goede reden om af en toe de wet te overtreden.

    Het ging om een bruteforce attack, geen geavanceerde techniek die alleen 3 gelukkige informatica-professoren ter wereld kunnen. Het emailadres van de staatssecretaris lag dus open voor iedereen die er interesse in heeft. En zelfs als het alleen privégegevens zijn dan maakt het de staatssecretaris nog steeds mogelijk chantabel, is het voer voor de roddelbladen en vindt de halve wereld het verdomd interessant wat publieke figuren allemaal uitvreten in hun privéleven.

    Verder kan ik niet geloven dat Jack de Vries wist dat iedereen zijn email kon lezen, maar dat hem dat eigenlijk niets kon schelen totdat Revu dat deed, zoals jij aandraagt.

    @34 Er is een verschil tussen een artikel schrijven over wat er theoretisch misschien allemaal mogelijk is en aantonen dat iets kan.

  29. 36

    “Mag je de slaapkamer van de premier ook niet binnendringen als je ziet dat het huis in brand staat en je het dochtertje van de premier vanuit de slaapkamer hoort roepen?”

    Van achter die 3m hoge muur kun je dat niet zien of horen, net zoals je zonder te hacken niet kunt zien of er in de mail van de Vries iets zit dat hem chantabel maakt. Ik denk dat je er (terecht) niet mee wegkomt als je in de slaapkamer van Balkenende aangetroffen wordt omdat je even kwam kijken of het huis niet in brand stond en Balkenende junior in de slaapkamer was opgesloten.

    “Verder kan ik niet geloven dat Jack de Vries wist dat iedereen zijn email kon lezen, maar dat hem dat eigenlijk niets kon schelen totdat Revu dat deed, zoals jij aandraagt.”

    Heel misschien dacht de Vries wel dat het hacken van email verboden is en dat hij bescherming van de wet zou krijgen tegen die inbreuk. Totdat jij langs kwam natuurlijk en stelde dat de wet best gebroken mag worden als het maar door een “nieuwsblad” gedaan wordt dat zich daarmee een “journalistiek legitiem onderwerp” verschaft.

    “Het emailadres van de staatssecretaris lag dus open voor iedereen die er interesse in heeft.”

    En er moeite en tijd in wil steken om willens en wetens de wet te overtreden. Op dezelfde wijze is mijn fiets beschikbaar voor iedereen die een betonschaar koopt en niet tilt aan diefstal. Los daarvan, er zijn waarschijnlijk minder mensen op de wereld die een brute force attack op kunnen zetten (geen idee wat het is) dan die beschikken over de middelen om zijn snailmail te onderscheppen (een mes om zijn postbode te bedreigen). Morgen een artikel over hoe simpel het is om de privé post voor Rouvoet te onderscheppen middels een brute force attack op zijn postbode?

    “Er is een verschil tussen een artikel schrijven over wat er theoretisch misschien allemaal mogelijk is en aantonen dat iets kan.”

    Dus het ging de Revu niet om het bewijzen van een dienst maar om puur winstbejag? De handleiding was voor het eerste immers wel voldoende geweest (dan had HetNet zelf wel kunnen proberen of haar mail kraakbaar was).

  30. 37

    Je klets lekker Bismarck ,maar als ik in jouw mailbox kijk zie ik ettelijke inschrijvingen op stormfront, vage correspodentie met het midden oosten en sinds wanneer heb je een Pools vriendinnetje waar je vrouw niets vanaf weet?

    Nieuwe Revu werkt net als de vent met een nepkoffer op schiphol, snel en makkeijk resultaat gemakkelijk scoren. Geen jornalistiek.

  31. 40

    Ik ben het grotendeels eens met Anoniem. Er is geen of nauwelijks schade aangericht, en er is een groot veiligheidsrisico aangetoond.

    Overigens zei hoofdredacteur Erdogan van de Revu dinsdag bij P&W dat ze er vanuit gaan vervolgd te worden.

    Ik snap overigens niet wat dit nou te maken heeft me de betutteling te maken heeft, waarover dat nummer van de Revu gaat; het argument was iets van: “In plaats van zich druk te maken over al die wetten, kunnen ze beter echte problemen [zoals deze] aanpakken.”

  32. 41

    Even voor de duidelijkheid:

    Hier is NIETS nieuws mee aangetoond. Brute force is een van de oudste manieren om wachtwoorden te achterhalen. Dat een slechte provider daar gevoelig voor is dat wist iedereen al.

    Ten tweede wat het allemaal leuk en aardig geweest als ze toegang gekregen hadden en dit meteen gemeld hadden. Maar in plaats daarvan hebben ze mailtjes geopend. Op dat moment zijn ze net een stap te ver gegaan. Wat ze wilden doen is aantonen dat de beveiliging zwak was, was het nodig om daarvoor ook iemands privé e-mail te lezen?

    Aanklagen en opsluiten dit soort malloten.