On thursday October 6th I spoke to a diverse audience of ICT managers and engineers representing Dutch companies and governmental organisations to evangelize about hacking and the hacker community in The Netherlands on the Heliview Cyber Security conference. A recording of the audio and the slides are available for your viewing pleasure:

If your browser does not support video or ogg/theora, you can download the video directly. An overview of ogg/theora capable video players for various platform can be found on the Xiph wiki.

Naar aanleiding van het idee van PvdA kamerlid Pierre Heijnen om hackers bescherming te bieden als zij te goeder trouwe handelen, en een beveiligingsfout melden aan de verantwoordelijke organisatie (hetzij overheid, hetzij bedrijfsleven) heb ik heel wat meningen voorbij zien komen. De een is het er roerend mee eens, de ander vindt het niet ver genoeg gaan en een enkeling is bang dat de bescherming een vrijbrief zou zijn voor criminelen. Het is erg vroeg om nu al conclusies te trekken: het voorstel moet in de komende maanden nog worden uitgewerkt en pas dan is een zinnige beoordeling te maken.

Uitgangspunt in de regeling zou mijns inziens moeten zijn dat onafhankelijke toetsing van een ICT-systeem bijdraagt aan de algehele veiligheid. De overheid als opdrachtgever bestaat vooral uit juristen en boekhouders. De opdrachtnemers, de bedrijven die voor de overheid ICT verzorgen, zijn commerciële instellingen die simpelweg winst willen (moeten) maken.

ITsec industry per definitie niet onafhankelijk

Een veelgehoord argument tegen de regeling is dat er voldoende bedrijven met verstand van zaken zijn. Een organisatie kan deze bedrijven inhuren om de veiligheid van haar systemen te onderzoeken en een rapport uit te brengen. Dit is de huidige praktijk. Een recent voorbeeld is het digitale loket van Amsterdam. Dit bleek lek te zijn, het was mogelijk om zonder wachtwoord of gebruikersnaam de inhoud van de site te wijzigen en gebruikers naar een andere site te leiden. De gemeente Amsterdam nam een beveiligingsbedrijf in de arm, en verklaarde na een oppervlakkig onderzoek dat alles veilig was. De dag erop werd opnieuw een lek gevonden en de procedure herhaalde zich.

En dit is waar de schoen wringt. Ik weet dat het bedrijf in kwestie over voldoende kennis en kunde beschikt om een systeem compleet door te lichten. Maar wat een bedrijf kan en wat er van hen gevraagd wordt zijn natuurlijk twee verschillende zaken. In het bovenstaande voorbeeld is het bedrijf uitsluitend gevraagd om te onderzoeken of het ontdekte lek misbruikt is. Dat de rest van het systeem mogelijk ook zo lek is als een mandje wordt buiten beschouwing gelaten. Daar wordt het betreffende bedrijf niet voor betaald, en elke ondernemer weet dat het zakelijk onverstandig is om structureel meer te doen dan waar je voor wordt betaald.

De hacker echter is niet gemotiveerd door commerciële belangen, maar ontdekt beveiligingsfouten vaak in zijn of haar vrije tijd. Hackers zijn ook gewoon burgers, en moeten paspoorten of toeslagen aanvragen. Wat de hacker echter onderscheidt van de rest van de wereld, is zijn nieuwsgierigheid en opmerkzaamheid. Een hacker ziet al snel patronen in een onschuldig ogend invulformulier van de gemeente, en gaat verder zoeken. En komt dan vaak tot de ontdekking dat er van alles rammelt.

Goed gedrag bestraft

Nu zijn er twee soorten hackers: zij die net als ieder ander besef hebben van wat moreel juist is en zij die net als criminelen daar minder precies in zijn. De laatste groep vormt, net als in de rest van de samenleving, een minderheid. Hackers uit de eerste groep willen net als ieder ander misstanden melden in de hoop dat er iets aan gedaan wordt. Vergelijk dit met een toevallige passant die getuige is van geweld op straat. Ieder weldenkend mens zal dit terstond melden aan de politie, en zichzelf later als getuige beschikbaar stellen. Misschien zelfs proberen om escalatie te voorkomen door de aanvaller tegen te houden.

Het rare is dat dit bij de beveiliging van ICT-systemen heel anders ligt. Wie ontdekt dat er een beveiligingsprobleem is en dit netjes meldt, kan vaak rekenen op dreigementen. De eerste reactie is vrijwel altijd in termen van juridische maatregelen. Oftewel: degene die een probleem constateert en meldt krijgt straf. Zou het niet raar zijn als je als getuige van geweld op straat zou worden aangeklaagd door de overvaller, omdat je zijn broodwinning onmogelijk maakt? Ik zou me wel drie keer bedenken voor ik me in het vervolg nog zou bekendmaken als getuige.

En dat is precies wat nu gebeurd. Waar de opdrachtgevers en -nemers falen en beveiligingsproblemen laten liggen, zijn het hackers die onafhankelijk en ongevraagd deze problemen wel ontdekken. Helaas worden de problemen zelden gemeld, simpelweg omdat het inmiddels duidelijk is dat men dan kan rekenen op minstens een paar maanden onzekerheid en dreigende veroordeling. Daarnaast wordt het lastig om nog een baan te vinden bij de overheid of in de ICT industrie, want een verklaring van goed gedrag kan je op je buik schrijven.

Dat hackers problemen niet meer durven te melden is kwalijk. Immers, als hackers die te goeder trouw handelen deze problemen kunnen vinden, dan kunnen hackers met minder moreel besef dat ook. En die zullen al helemaal niet geneigd zijn het lek te melden, maar zullen het ten volste misbruiken voor eigen gewin. Vaak had dat voorkomen kunnen worden. Het is eigenlijk een simpel rekensommetje: de goede hackers zijn in de meerderheid. De kans dat een probleem dus eerder door een ‘white hat’ (de informele term voor een goede hacker) wordt ontdekt is groter dan dat een ‘black hat’ (kwade hacker) datzelfde probleem als eerste ontdekt.

Lastige maar noodzakelijke klus

De regeling die wordt voorgesteld zou bovenstaand probleem moeten adresseren. En ja, wanneer handelt iemand te goeder trouw? Dat is inderdaad soms een ‘tough call’, maar vaak ook compleet evident. Wie, zoals aangehaald in een blogpost vanuit de beveiligingsindustrie, een botnet moet inzetten om iets aan te tonen gaat te ver. Wie pas ver na het ontdekken van de problemen melding maakt, had misschien andere motieven. Het lijkt mij dat dit echter, net als bij alle andere juridische aangelegenheden, op individuele basis door een rechter getoetst kan worden.

Het steggelen over de exacte tekst laat ik graag aan juristen. Dat is niet mijn vak. Het is wel belangrijk dat we daarbij niet alleen juristen uit de industrie horen, maar ook juristen die zich meer verwant voelen met de onafhankelijke hackergemeenschap. Ik heb er alle vertrouwen in dat Heijnen en zijn collega’s in de andere 119 zetels die achter dit idee staan bij de uitwerking alle kanten van het verhaal zullen beschouwen.

Dat niet altijd duidelijk is wat nu precies ‘te goeder trouw’ is, en wat nu de definitie van ‘ICT-systeem’ zou moeten zijn lijkt mij geen reden om het hele idee meteen van de tafel te vegen. Het is een moeilijke opgave, maar de bescherming van onze identiteitsgegevens is dat meer dan waard.

Zojuist is onderstaande brandbrief in de ronde tafel van de commissie BiZa van de Tweede Kamer uitgereikt. De hackerspaces en organisaties van Nederland spreken zich hier expliciet uit over het gebrek aan besef van ICT-beveiliging bij de Nederlandse overheden. De brief is opgesteld en ondertekent door alle Nederlandse hackerspaces en drie organisaties die de Nederlandse hacker-community verenigen. De brandbrief is tevens verstuurd aan de landelijke media. Wij hackers zijn het simpelweg zat om keer op keer te moeten vernemen dat bij de implementatie van grote ICT overheidssystemen kinderlijke vergissingen worden gemaakt die de privacy van burgers aantast en soms zelfs tot gevaar voor mensenlevens lijdt.

De verenigde Nederlandse hackerspaces en organisaties
Postbus 503
2501 HJ Den Haag

Aan: de leden van de commissie Binnenlandse Zaken van de Tweede Kamer der Staten-Generaal

Betreft: brandbrief van nationale hackergemeenschap inzake ICT-beveiliging overheid

Den Haag, 15 september 2011

Zeer geachte leden van de vaste Tweede Kamercommissie BiZa,

De Nederlandse hackergemeenschap, vertegenwoordigd door de ondergetekende
organisaties, maakt zich zorgen over de beveiliging van ICT-systemen van de
Nederlandse overheid. Keer op keer zien wij hoe basale beveiligingsprincipes
niet worden toegepast binnen bestaande en nieuwe ICT-systemen.

Recente voorbeelden zijn de kwestie rond Diginotar en de SSL-certificaten, de
OV-chipkaart, het elektronisch patiëntendossier (EPD) en nog vele andere
systemen en omgevingen. Wij hebben een omvangrijke lijst van voorbeelden van
overheidssystemen die persoonsgegevens bevatten of persoonsgegevens vragen aan
burgers waar de beveiliging niet op orde is.

Dit zijn geen ingewikkelde hacks, maar fouten die mensen zonder opleiding
kunnen misbruiken. Daarvoor is standaard programmatuur op internet voorhanden.
Het gaat om elementaire beveiligingsprincipes die structureel niet worden
toegepast en een blind vertrouwen in techniek, gestoeld op onvoldoende begrip
van de risico's. Audits en certificeringen zijn papieren tijgers. Er wordt
onvoldoende gekeken naar de systemen zelf en blind vertrouwd op verklaringen
van bijvoorbeeld de ontwikkelaars.

Er wordt niet voldoende getoetst of de beloftes van ICT-bedrijven ingehuurd
door de overheid realistisch zijn en worden nagekomen. Adequate bescherming van
databanken met persoonsgegevens is onvoldoende gewaarborgd. Er wordt niet
nagedacht over mogelijk misbruik van nieuwe systemen. Tegelijk worden aan de
overheid gelieerde instanties zoals het College Bescherming Persoonsgegevens
(CBP) en GOVCERT in onvoldoende mate betrokken bij ICT-trajecten.

De hackergemeenschap voelt zich geroepen deze zaken aan de kaak te stellen.
Echter, er heerst op dit moment een klimaat waarin de boodschapper wordt
gestraft en de betreffende departementen en bedrijven niet tot verantwoording
worden geroepen. Wij zijn daarom terughoudend in het delen van informatie over
deze beveiligingslekken.

Wij maken ons zorgen over het feit dat de beveiligingslekken dermate elementair
zijn, dat het vrijwel zeker is dat mensen met kwade bedoelingen zich hiervan
bewust zijn en deze fouten kunnen uitbuiten. Zoals de recente kwestie met de
Iraanse overheid heeft laten zien.  Wij roepen derhalve op om de kwestie
Diginotar niet als incident te zien, maar als een symptoom van een gebrek aan
controle op de veiligheid van ICT-systemen bij de overheid. Het is tijd dat de
leden van de Tweede Kamer, zij die het volk vertegenwoordigen en geacht worden
het volk te behoeden voor dit soort vergissingen, zich realiseren dat er sprake
is van een structureel probleem.

De Nederlandse hackergemeenschap beschikt over de kennis en kunde met
betrekking tot bovengenoemde zaken, en deelt deze graag met de
volksvertegenwoordigers.

Hoogachtend,

Koen Martens
Namens de verenigde Nederlandse hackerspaces en organisaties:

Stichting Hack42 te Arnhem
Stichting ACKspace te Heerlen
Stichting TkkrLab te Enschede
Stichting Bitlair te Amersfoort
Stichting Revelation Space te 's-Gravenhage
Stichting Randomdata te Utrecht
Stichting Frack te Leeuwarden
Stichting Sk1llz te Almere

Stichting eth0
2600nl.net
Stichting HXX

Naar aanleiding van een discussie met een hacker die de zoveelste simpele beveiligingsfout in een overheidswebsite had ontdekt (jawel, een SQL-injectie) verwonderde ik me er over dat er geen enkele controle is op systemen die grootschalig persoonsgegevens verwerken of opslaan. Dat is eigenlijk raar, en geeft aan dat het besef van risico’s op het gebied van ICT bijzonder laag is bij de overheid. Ik was dan ook blij verrast een uitnodiging voor een ‘open koffie’ in mijn mailbox te vinden voor maandag 9 mei a.s. waarin dit onderwerp aan bod komt, georganiseerd door ambtenaar 2.0. Ik ben daarbij, om te pleiten voor een verplichte controle door een onafhankelijke partij die verstand heeft van beveiliging wanneer een systeem wordt opgeleverd, en deze partij al bij het opstellen van de eisen ind de aanbesteding te betrekken.

Het is niet de eerste keer, en zeker niet de laatste, dat een overheidssite slecht in elkaar blijkt te zitten. Vorig jaar al kondigde een andere bevriende hacker de ‘mogbug’ (‘month of government bugs’) aan. Hij/zij had in maar liefst 30 verschillende overheidssites lekken gevonden die toegang gaven tot persoonsgegevens of mogelijk gebruikt konden worden om bezoekers te misleiden en hun gegevens prijs te geven. Het gaat dan om elementaire fouten zoals SQL-injectie of cross-site scripting (XSS). Dit zijn fouten die een beginnend programmeur nog mag maken, maar bij een professioneel ICT-bedrijf simpelweg niet mogen voorkomen. En al helemaal niet bij een bedrijf dat door de overheid wordt betaald om systemen te ontwikkelen.

Dat deze fouten toch keer op keer de kop op steken heeft een aantal redenen. Om te beginnen is er bij de gemiddelde ‘brood-programmeur’ weinig besef van beveiliging. Er wordt gekeken naar de functionele eisen aan het systeem, en wanneer het geschreven programma daar aan voldoet is het ‘af”. De functionele eisen worden oogkleppen, de programmeurs bezien hun noeste arbeid slechts in het licht van normaal gebruik. Voer het systeem onverwachte input, en er gebeuren ineens vreemde dingen.

Er zijn enkele basis-principes die een programmeur kan aanhouden om dit soort voor de hand liggende maar verstrekkende fouten te voorkomen. De principes zijn geen goed bewaard geheim, wie een simpele google query doet naar “how to build secure web applications” is al een heel eind. Het hoeft niet meer dan een half uur te kosten om programmeurs bewust te maken van de meest voor de hand liggende risico’s. Wie dan ook nog eens een paar uurtjes steekt in het lezen van bijvoorbeeld de vrij beschikbare OWASP development guide zal niet snel meer met open ogen in de oude valkuilen lopen.

Kortom, met een kleine hoeveelheid basis-kennis en een dosis gezond verstand kunnen de keer op keer weer gemaakte beginnersfouten worden voorkomen. Echter, er is meer nodig. Veiligheid is niet iets dat achteraf aan een systeem kan worden toegevoegd. Voor een veilig systeem is het nodig reeds in de beginfase al na te denken over mogelijke aanvallen op het systeem. ‘Security by design’ moet het uitgangsprincipe zijn. Wanneer het systeem ontworpen wordt, moeten de architecten en ontwikkelaars al nadenken over de risico’s en hoe deze zo klein mogelijk te maken.

Een goed ontwerp maken dat ook rekening houdt met alle mogelijke aanvallen die het systeem kunnen breken kost natuurlijk wel wat meer tijd dan wanneer men uitsluitend let op de functionele eisen. Een gebrek aan inzicht in beveiliging leidt er toe dat overheidsinstellingen dit niet voldoende meenemen in aanbestedingen van grote software-projecten. Hierdoor zal, bij gelijke aandacht voor de functionele eisen, de partij die wel ‘security by design’ toepast duurder uitpakken dan de partij die dit onder het tapijt schuift.

Tot slot is het belangrijk dat een opgeleverd systeem door een derde, onafhankelijke partij wordt getoetst. Het is eigenlijk niet zo heel ongewoon. Wanneer de overheid een pand laat bouwen, wordt na oplevering een bouwkundige inspectie uitgevoerd. Een opgeleverd ICT-systeem wordt echter klakkeloos in bedrijf genomen. De partij die het systeem heeft ontwikkeld mag het ook installeren en uitrollen. Er is geen inspecteur, die kijkt of het systeem veilig is gebouwd. Er is niemand die kijkt of niet weer de gebruikelijke fouten zijn gemaakt.

Gelukkig beschikt Nederland over een gezonde en bloeiende hacker-community, mensen met een idealistische drijfveer. Mensen zoals in mijn inleiding al genoemd. Zij kijken ongevraagd met een kritische blik naar alle systemen die de overheid uitrolt. Zij vinden de voor de hand liggende, en minder voor de hand liggende fouten. En rapporteren het resultaat van hun onderzoek onbetaald aan de overheid. Jammer genoeg is dat vaak aan dovemansoren gericht, en worden de bezwaren onder het tapijt of in de doofpot geveegd. “We willen niet de indruk geven dat we onzorgvuldig met gegevens van burgers omgaan”, “er is al zoveel geld uitgegeven, we kunnen dit nu niet meer terugdraaien”, en andere excuses om het eigen falen te verbloemen zijn niet van de lucht. In uitzonderlijke gevallen kreeg de goedbedoelende klokkenluider zelfs te maken met juridische intimidatie om toch vooral stil te houden dat er iets fundamenteel niet deugt.

Ik denk dat de privacy van burgers gebaat is bij het structureel toepassen van controle door ter zake kundige beveiligingsexperts. Huur hiervoor een gerenommeerd ICT beveiligingsbedrijf in, of beter nog zorg voor een eigen overheidsdienst met mensen die snappen waar het over gaat. Zorg dat elk systeem eerst aan een uitgebreide controle wordt onderworpen, waardoor de elementaire vergissingen nog voor ingebruikname worden gesignaleerd. Betrek deze controleurs al vroeg bij het bedenken, uitwerken, implementeren en uitrollen van systemen zodat zij ook mee kunnen denken over de aanbesteding en al tijdens het uitvoeringstraject aan de bel kunnen trekken.

Het frappante is, er bestaan al een aantal organen die deze rol zouden kunnen (of moeten) vervullen. Enerzijds is er GOVCERT. Deze overheidsorganisatie heeft als missie ‘het voorkomen en afhandelen van ICT-veiligheidsincidenten’. In de praktijk blijkt dit een papieren tijger. Het team wordt niet tijdig bij grote aanbestedingen betrokken. Maar ook wanneer ze worden geconfronteerd met lekken in bestaande systemen, staan ze met de handen op de rug gebonden. Ze hebben geen macht, maar kunnen slechts advies geven.

Hetzelfde geld eigenlijk voor het College Bescherming Persoonsgegevens (CBP). Zij is ingesteld om toe te zien op de naleving van de wet bescherming persoonsgegevens. Hoewel ze advies kunnen geven, is het niet verplicht bij de implementatie van een systeem om ook de veiligheid hiervan te laten toetsen door het CBP (dit even los van de vraag of het CBP uberhaupt over de technische know-how beschikt om hier een deskundig oordeel over te kunnen vormen).

Dus zowel de officiele instanties zoals GOVCERT en het CBP alsmede de hacker-community lopen voortdurend achter de feiten aan. Pas als het eigenlijk al te laat is, krijgen zij de kans om lekken in de software te onderzoeken en te signaleren.

Ik pleit er daarom voor dat beveiliging van systemen een principieel uitgangspunt wordt bij de start van een nieuw groot overheidsproject. GOVCERT moet hierin een belangrijke rol krijgen. Dit betekent ook dat zij vooraanstaande experts op het vakgebied meer moeten betrekken, of wellicht zelfs in dienst moeten nemen. Ook moeten de bevoegdheden worden uitgebreid. Van vrijblijvend advies moet een fiat van GOVCERT een vereiste worden bij aanbestedingsprojecten en uitrol van nieuwe systemen.

En blijft de overheid falen? Dan is het aan ons, hackers van Nederland, om ons nog meer dan voorheen in te zetten om het falen aan de kaak te stellen. WOB de ontwikkeltrajecten, stel lijsten op van software-huizen die keer op keer onveilige systemen hebben afgeleverd, spreek top-ambtenaren publiekelijk aan op hun verantwoordelijkheid voor onze privacy, leg de zaken uit aan politici, benader de pers en blijf de overheid hacken. Wij zijn het technologisch geweten van de samenleving.

Naar aanleiding van het besluit van de TK-fractie van GroenLinks om in te stemmen met een nieuwe missie naar Afghanistan dient Piet Dofferhoff (op persoonlijke titel) onderstaande motie van treurnis in. GroenLinks leden die mee willen ondertekenen, kunnen mailen naar piet -punt- dofferhoff -apestaartje- casema -punt- nl .

Motie van treurnis

Het congres, bijeen op 5 februari 2011,

constateert dat de TK-fractie in overgrote meerderheid steun heeft gegeven aan de missie naar Afghanistan;

meent dat deze missie in de oorlogssituatie in Afghanistan per definitie een vecht- en oorlogsmissie zal zijn;

overweegt dat de fractie dit besluit heeft genomen in het volle besef dat een groot deel van de leden op voorhand tegen welke missie dan ook was en is;

overweegt dat hiermee het belang van de partij ondergeschikt is gemaakt aan de eigen verantwoordelijkheid van de fractie;

constateert dat hiermee schade is toegebracht aan de partij als geheel;

betreurt dat de fractie dit besluit heeft genomen,

en gaat over tot de dagelijkse orde van de politiek.

Piet Dofferhoff
en tenminste 14 andere partijleden

Toelichting:

De fractie heeft zich met loze beloften van de kant van het kabinet, dat er uitsluitend sprake zal zijn van een civiele missie, in een positie laten brengen om voor de missie te (moeten) stemmen. Dergelijke beloften zijn gebaseerd op een papieren werkelijkheid. In verschillende media hebben vertegenwoordigers van de Afghaanse regering en andere Afghaanse autoriteiten verklaard dat, indien nodig, de door Nederland getrainde politie-agenten zullen worden ingezet in oorlogshandelingen. Hiermee wordt de missie een bijdrage aan de (verlenging van de) oorlog.

Bij deze twijfelachtige missie had de fractie de grote weerstand onder de leden het voordeel van de twijfel moeten geven en niet met de missie akkoord moeten gaan. Nu is de eenheid in de partij zwaar aangetast. Terwijl juist met het oog op de komende PS- en EK-verkiezingen die eenheid zeer nodig is. Van de leden wordt gevraagd om zich met volle overtuiging in deze verkiezingscampagne te manifesteren om een meerderheid van de coalitiepartijen in de EK te voorkomen. Met dit fractiebesluit tegen de zin van een groot deel van de leden zal naar onze stellige verwachting de animo onder de leden voor deze verkiezingscampagne sterk zijn verminderd. Dat is wel heel erg zuur voor alle kansrijke PS-kandidaten.