Lektober, de maand waarin Webwereld elke dag een privacylek blootlegde, is vandaag ten einde gekomen. Een spetterend einde mag wel gezegd worden: op de valreep werd de persoonlijke server van Lektober-voorman Brenno de Winter zelf gehackt. Sommigen vinden het ‘boontje komt om zijn loontje’, maar als je het mij vraagt, laat het vooral zien dat iedereen enorm goed op zijn hoede moet zijn. Zelfs bij een zeer oplettende hacker die veel om beveiliging geeft, zijn er lekken te vinden.
Lektober had ook Lacktober had kunnen heten. Tientallen gemeentesites bleken niet goed beveiligd, maar in plaats van dat alle gemeenten direct hun eigen beveiliging gingen checken, wachtten ze totdat ze terechtgewezen werden. Hetzelfde gold voor bedrijven. Talloze malen werd al duidelijk dat hackers tamelijk eenvoudig klantinformatie kunnen achterhalen. Zelf alvast kijken of het met de eigen beveiliging wel goed zat was blijkbaar te veel voor bedrijven als CheapTickets, de BOVAG, de vliegschool van Lelystad en een escortservice.
Oktober telt 31 dagen, 31 lekken zijn er naar voren gekomen. 32 als je het lek van Brenno’s eigen site meetelt. Het punt leek op dag 3 al wel gemaakt. Waarom lieten zoveel beheerders na hun eigen website te checken, zodat de 28 overige dagen niet meer nodig waren? Natuurlijk denkt iedereen dat het bij zijn eigen website of bedrijf in zo’n vaart niet zal lopen. En er is wellicht een te groot vertrouwen in de techniek of gebrekkige kennis erover. Maar blijkbaar maakt men zich ook niet zo druk om de gegevens van zijn klanten, anders zou iedereen die (klant)gegevens bijhoudt zich wel goed verdiepen in beveiliging.
In oktober werd er ook over het onderwerp gedebatteerd in de Tweede Kamer. Tijdens en na het debat dat de Kamer hield naar aanleiding van het Diginotar-debacle werd wederom duidelijk dat deze maand net zo goed Lacktober had kunnen heten. Eind september boden hackers hun diensten al aan de overheid aan. Maar een van de uitkomsten van het debat was helaas dat hackers niet direct betrokken dienen worden bij grote ICT-projecten van de overheid. Beveiligers mogen de overheid wel komen helpen.
Maar hoe leuk dat in theorie ook klinkt, het wringt. Want hackers leiden en beveiligers volgen. Hackers zorgen met hun creativiteit en intelligentie steeds voor nieuwe wegen door de beveiliging heen. De beveiligers timmeren die wegen vervolgens weer dicht. Wie kan beter bedenken hoe hackers buiten de deur zijn te houden, dan hackers zelf? Jammer dat de overheid niet op het aanbod van de hackers in durft te gaan.
Ik betwijfel of er het komend jaar veel zal veranderen. Ik ben benieuwd naar volgend jaar Lektober voor de proef op de som.
(Featured foto van Sebastiaan ter Burg)
Reacties (7)
op de valreep werd de persoonlijke server van Lektober-voorman Brenno de Winter zelf gehackt. Sommigen vinden het ‘boontje komt om zijn loontje’, maar als je het mij vraagt, laat het vooral zien dat iedereen enorm goed op zijn hoede moet zijn.
En sommigen denken dat het een één-tweetje met Brenno zelf was, om extra media-aandacht te geven aan lektober, dat veder geruisloos voorbij is gegaan.
De meeste van die beveiligingsbedrijven hebben (ex-)hackers in dienst, hoor.
In het licht van en geinspireerd door het bovenstaande sla ik het volgende voor:
– Vanaf nu ieder jaar in de maand augustus, wanneer veel mensen op vakantie zijn, organiseren we iedere dag een inbraak (in de real world) bij een overheidsinstantie en/of een groot bedrijf. We laten dit uitvoeren door professionele inbrekers.
– We noemen deze maand snaaigustus.
– Vervolgens bieden deze inbrekers hun diensten aan aan de overheid om de veiligheid van de betroffen bedrijven en instanties te verbeteren. De insider-kennis die ze daarbij opdoen kunnen de inbrekers gebruiken om het jaar daarop nog gerichter en doeltreffender in te breken.
(Wat de inbrekers de rest van het jaar doen, is hun zaak.)
Geheid dat de maand snaaigustus niet geruisloos voorbijgaat!
Bob, Hoe jij jouw eigen spullen beveiligd is jouw probleem en jouw verantwoordelijkheid. Hoe de overheid of een bedrijf mijn gegevens beveiligd is mijn probleem, maar de verantwoordelijkheid van het bedrijf.
En ik zeg bewust “mijn probleem”, want bij een lek is meestal het eerste wat je ziet dat de lek stilgehouden word, het probleem afgeschoven word op de hacker, de leverancier van de software, etc. Alles om te zorgen dat het een probleem van de echte slachtoffers blijft en niet van de verantwoordelijke instelling.
Beveiligt is met een t (derde persoon enkelvoud), maar dat is flauw, ik weet het.
In principe ben ik het eens met de strekking van het artikel, alleen de pathetische ophemeling van de hackers stuitte mij enigszins tegen de borst, respectievelijk ging ik er van over mijn nek.
Het is goed dat er veilgheidslekken blootgelegd worden.
Nu we het er toch over hebben: Sinds een maand krijg ik aankondigingen van Yahoo-mail dat ze overstappen op een nieuw systeem. Een van de “features” van de nieuwe web-gebaseerde mail-browser (of hoe heet zo’n ding), is dat hij mijn mails DOORZOEKT op begrippen waarmee dan gerichte reclame gepresenteerd kan worden. Hier een linkje naar een verhitte discussie daarover (Duits).
http://www.forum-3dcenter.org/vbulletin/showthread.php?t=515465
Voor mij een reden om Yahoo op te zeggen en weer terug te verhuizen naar gmx. Wellicht een onderwerp voor Sargasso?
Spelling en grammatica zijn niet mijn sterkste punten. Bedankt.
De werkelijkheid is dat veel behulpzame mensen gecriminaliseerd worden. Dat de opinie soms iets te ver doorschiet de andere kant op is heel normaal. De waarheid ligt in het midden. Ik zie dan ook niet graag dat mensen hackers belachelijk maken en daarmee doen alsof het onderliggende probleem niet bestaat.
“Beveiligers mogen de overheid wel komen helpen”
En bij de hack van Brenno hebben we kunnen zien hoe professioneel, integer en betrouwbaar die handelen….