vrijdag 22 juli 2011

Hackers Wanted

De laatste tijd is er een hoop gedoe over allerlei hacks bij bedrijven. Uiteraard is dit compleet de schuld van de hackers, en moeten ze levenslang worden opgesloten. Toch?


Voordat ik begin met mijn verhaal, wil ik even meegeven dat ik niet per definitie alle hack-acties van de afgelopen tijd goedkeuring geef. Ik vraag me echter af of het allemaal wel zo zwart-wit is als dat de media ons doet geloven.

Ons verhaal begint bij een kleine website gestart door iemand die aan het licht wilde brengen wat er echt gebeurt achter gesloten deuren. Vanaf 2006 brengt WikiLeaks geregeld "geheime" documenten en informatie naar buiten over het hoe en waarom bij verschillende overheden en dergelijke. Totdat er op 25 Juli 2010 een setje Amerikaanse documenten naar buiten werd gebracht over de oorlog in Afghanistan.

In plaats van zich af te vragen waar deze documenten vandaan kwamen, stortte de Amerikaanse overheid zich op het permanent kapot maken van WikiLeaks. Op dit moment heeft de oprichter van WikiLeaks, Julian Assange, huisarrest, nadat hij een maand na het lekken van de documenten (20 Augustus) werd opgepakt op verdenking van verkrachting. Toevallig, dat wel. Ondertussen werd WikiLeaks op alle computers van (in ieder geval) de US Air Force geblokkeerd:


Dit was het begin van de cyber-burgeroorlog (want dat is het) waar we ons op dit moment in bevinden. Tot op dit moment was er wel spanning tussen de die-hard internetgebruikers en de overheden, maar er gold een soort Status Quo, "Jullie laten internet met rust, wij laten jullie je ding doen op internet". Met de arrestatie van meneer Assange is daar verandering in gekomen.

Op dit moment heeft het idee "Anonymous" vorm gekregen. Anonymous is geen hackersgroep, zoals veel sites beweren, maar het idee dat het Internet (net als de maan) van iedereen is, maar ook van niemand. Een vrije deling van informatie, zonder censuur (Censuur zoals bijvoorbeeld de regering van China, die voor zijn inwoners beslist welke sites er wel of niet bezocht mogen worden).

Amerika heeft het WikiLeaks voorval echter aangegrepen om zoveel mogelijk controle over het internet in handen te krijgen. Onder het mom van "Terrorisme" en "Kinderporno" zijn er ideeën naar voren gekomen als:

  • Een internet killswitch, waarmee Amerika "het internet" met één druk op de knop kan uitschakelen.
  • Backdoors in encryptiesoftware zodat elke vorm van encryptie ten alle tijden kan worden ontcijferd kan worden.
  • Backdoors in communicatie software als Skype, zodat alle Skype gesprekken af te luisteren zijn.
  • etc, etc.
En al deze informatie wordt natuurlijk door de Amerikanen zelf opgeslagen, in een geheim datacentrum ergens. Wat gebeurt er met deze gegevens? Wie heeft toegang tot deze gegevens? Hoe lang worden deze gegevens opgeslagen? Irrelevant, volgens de US, als we terrorisme en kinderporno maar bestrijden.

Deze twee kanten botsen dus op dit moment, met alle hacks en aan de andere kant arrestaties tot gevolg. En hoewel het inbreken per definitie slecht is, toont het wel een paar fundamentele fouten aan waar veel mensen niet bij stil staan:
  • Als een groepje jongeren (Volgens de meeste mensen) dit al kunnen, wat kunnen 'echte' black-hat hackers dan wel niet?
  • Waarom worden de bedrijven niet op de vingers getikt voor de falende beveiliging?
  • De hacks van AntiSec en LulzSec komen uitgebreid in het nieuws, maar wie zegt dat zij de eerste zijn die hebben ingebroken bij de verschillende bedrijven? Wie weet hebben sommige groeperingen al jaren toegang ZONDER hier melding van te maken.
  • Waarom wordt er naast aangifte, nooit melding gedaan van de getroffen maatregelen?
Combineer de bovenstaande vier punten, met een (fictief) Amerikaans bedrijf waar de wat gevoeligere informatie staat van jou als Amerikaanse burger.

Dan heb ik het niet over datingsites, maar over jouw internetgebruik van de afgelopen jaren, jouw medische gegevens, uitgebreide rapporten van uitgevoerde militaire acties en, nog belangrijker, nog uit te voeren acties, jouw telefoongesprekken, noem maar op. Is het dan beter om aan het licht te brengen dat deze gegevens voor derden toegankelijk zijn, of willen we doen alsof er niks aan de hand is? Dit is slechts een voorbeeld. Zoals te zien was in de afgelopen weken zijn er veel grote bedrijven die niet eens de moeite nemen om de opgeslagen gegevens goed te beveiligen / versleutelen.

Geen wonder dat het volgende masker gebruikt wordt bij veel nieuwsartikelen, als logo van het idee Anonymous:


De kenners herkennen dit masker natuurlijk als het gezicht van hoofdpersoon "V" uit de film "V for Vendetta" uit 2006. Een film die als je het mij vraagt veel overeenkomsten heeft met de gebeurtenissen van de afgelopen tijd, en zeker het kijken waard als je hem nog niet gezien hebt. Het beschrijft ook de strijd tussen een overheid verslaafd aan macht, en een bevolking welke het uiteindelijk niet meer pikt.

Het blijft natuurlijk vervelend dat de onschuldige burger hier het slachtoffer van wordt, want deze gegevens komen uiteindelijk op straat te liggen. Maar vergis je niet, ze komen niet alleen op straat te liggen door de hackers van LulzSec en vrienden. Dit is simpelweg de eerste keer dat men erachter komt DAT het gebeurt. Wat kan je er aan doen? Weinig, behalve hopen dat de site waar jij je op inschrijft goed omspringt met beveiliging. Natuurlijk helpt het om met tootljes als KeePass een willekeurig wachtwoord te genereren voor elke site, en op te slaan.. Mochten die gegevens dan lekken, kan het wachtwoord in ieder geval niet misbruikt worden op andere sites.

Tot slot: dit is geen aanval van verwende kinderen tegen de maatschappij, dit is een wake-up call. Het is tijd om IT beveiliging serieus te nemen, en persoonsgegevens hetzelfde (zo niet voorzichtiger) te behandelen dan de portemonnee.