Categorie: responsible disclosure

300 voicemails democraten gelekt en ze zijn dodelijk saai

300 voicemails democraten gelekt en ze zijn dodelijk saai

Vandaag heeft wikileaks 300 audiobestanden online gezet. Dit zijn digitale opnames van voicemails aan het adres van het Democratic National Committee (DNC). In totaal gaat het dus om 300 berichten en zoals te verwachten, bestaan de meeste voicemails uit niet veel meer dan het verzoek om terug te bellen.

Aardig is dat er een paar boodschappen bij zitten waar we een inkijkje krijgen in wat bepaalde individuele donateurs vinden van bijvoorbeeld Bernie Sanders. Ook weten we nu dat een privé-diner met Hillary Clinton 200000 dollar kost. Maar al met al is het een bijzonder weinig inspirerende bron. Wat wel interessant is, is dat Assange van zich heeft laten horen en dan met name over de mogelijke bron(nen) van de e-mails. Hij hult zich volkomen in stilzwijgen en gaat ook niet mee in vooronderstellingen. Maar het blijft wel een interessante vraag of mogelijk gestolen bronnen op deze manier gebruikt mogen worden.

Ik wil vandaag wat meer kijken naar de kant van de klokkenluider. Want hoe kan je, zonder angst voor vervolging of zelfs een aanslag op je leven, doen wat “goed” is? In de huidige wereld is dat zowel heel moeilijk als heel makkelijk. Heel makkelijk omdat het anoniem verspreiden van informatie via het internet en de sociale media steeds eenvoudiger lijkt te worden, moeilijker omdat het ook steeds eenvoudiger wordt om online te achterhalen wie wat heeft gedaan. Niet in de laatste plaats omdat uiteindelijk ieder systeem te kraken lijkt te zijn.

Maar is er dan geen manier om mensen met dit soort databronnen de mogelijkheid te geven deze ergens te toetsen? Dat zou natuurlijk kunnen maar op dat moment is er een absoluut vertrouwen nodig in de instantie die de controle uitvoert waar het gaat om het waarborgen van de anonimiteit van de dataleverancier. De enige partner waarin dit soort vertrouwen momenteel bestaat is…. Juist, wikileaks. Maar zij zijn er vooral op uit om informatie, ook met twijfelachtige bronnen, zo snel mogelijk online openbaar te maken. Ik zou liever een soort hackmeldpunt.nl, bij voorkeur gesteund door duidelijk wetgeving vanuit de overheid, zien.

Voordat we nu verder gaan, even wat duiding aangaande de term ethisch hacken, die term wordt, zeker in de politiek nog weleens verschillend uitgelegd. Ikzelf hou de definitie aan dat een ethisch hacker iemand is die op uitnodiging van de eigenaar van het te hacken systeem de veiligheid test. Het gaat daarbij dus niet om “hackers met goede bedoelingen”, de zogenoemde whitehat hackers, dit zijn hackers die niet op uitnodiging van of namens een eigenaar hacken maar dit doen om zwaktes bloot te leggen en te melden aan de eigenaar, of ze dit nou doen uit de goedheid van hun hart, verveling of spanning maakt voor mij dan niet uit.

ethical-hacking-presentation-8-638

Momenteel kunnen deze whitehat hackers zich enkel beroepen op de leidraad responsible disclosure van het nationaal cyber security centrum (NCSC). Probleem is dat dit enkel een handreiking is, dus geen wetgeving. Het Openbaar Ministerie kan bij een hack dus alsnog overgaan tot vervolging, zelfs als een hacker zich aan álle regels heeft gehouden en zowel het bedrijf als de hacker de leidraad onderschreven hebben en dit hebben gemeld bij het NCSC.

Het is dan ook niet vreemd dat veel hackers, ook de whitehat hackers, ervoor zorgen dat ze zo anoniem mogelijk zijn bij het melden van zwaktes in de beveiliging. Het kan tenslotte zomaar gebeuren dat je alsnog wordt aangeklaagd en opgepakt. Het zou dan ook mooi zijn als de leidraad uit 2013 wordt aangepast en opgewaardeerd tot wet. Onder andere D66 zet zich daar in de kamer voor in, ik hoop van harte dat andere partijen snel volgen. Onder andere deze kamer vragen, en antwoorden, zouden weleens de aanzet kunnen zijn tot een hernieuwd debat over dit politiek gevoelige onderwerp.

 

 

 

Advertenties