Een berg dode kanaries (Computers, Hackers, Rants, XS4ALL)
In kolenmijnen was het vroeger normaal om een kanarie mee te nemen. Deze kanarie had de belangrijke rol om vroegtijdig koolmonoxide in de lucht te detecteren zodat er geen doden vielen.
Bij veel van de grote automatiseringsprojecten van de laatste jaren hebben hackers (en onderzoekers) een soortgelijke functie vervuld. De waarschuwingen waren duidelijk en gingen over zaken als paspoorten die onveilig bleken, stemcomputers die oncontroleerbaar waren, persoonlijke medische gegevens die gemakkelijk in te zien waren en een OV-chipkaart met bar slechte beveiliging. Het antwoord van de verantwoordelijken op die waarschuwingen was en is steevast hetzelfde. Het loopt allemaal zo’n vaart niet, het is te ingewikkeld voor de gewone mens, de impact is klein. Het pad van veel grote automatiseringsprojecten ligt zo bezaaid met genegeerde kanaries.
In ‘Alles kunnen hacken is niet fijn’ (Opinie & Debat, 29 januari 2011) gaat David Hessing nog een stapje verder. Hij maakt gewoon de kanaries verantwoordelijk voor de koolmonoxide, door te suggereren dat de problemen met de OV-chipkaart er niet zouden zijn als de hackers, die anonieme, onbegrijpelijke en daardoor kennelijk onbetrouwbare groep, gewoon met hun vingers overal af zouden blijven. Zonder hackers had niemand immers geweten dat de OV-chipkaart onveilig is en zou niemand daar misbruik van maken. Daarbij wordt ook het morele kompas van hackers in twijfel getrokken. Vergeten wordt dat het juist hackers zijn die dit soort onderwerpen op de maatschappelijke en politieke agenda zetten en zorgen voor verbeterde en veiligere oplossingen. Wees blij dat er nog iemand aandacht aan besteedt. Nu is het een OV-kaart, straks is het misschien je eigen medische dossier dat door gebrek aan deugdelijke beveiliging door iedereen is in te zien.
Ik ben bijna 20 jaar geleden met een groep hackers een bedrijf begonnen. In dit bedrijf staat, ook nu nog, de hacker-mentaliteit centraal; kijken of je iets ook op een andere manier kunt gebruiken dan hoe het bedoeld was. Bij alles wat we doen wordt kritisch gekeken naar de impact op privacy en veiligheid. Dit zorgt voor extra werk en frustratie aan het begin, maar uiteindelijk biedt het alleen maar voordelen: het leidt tot betere veiligheid en dus hogere kwaliteit. Ik kan iedereen sterk aanraden om hackers te omarmen en hun input juist te zien als positieve bijdrage. Dat scheelt op termijn een hoop geld en ellende.
Cor Bosman
Cor Bosman is mede-oprichter van XS4ALL en werkt nog steeds bij die internetprovider als hacker, programmeur en netwerkbeheerder.
(this response appeared in the VK on monday february 7 2011)
Ik zie zeker het nut van hackers, als het maar white-hat zijn. Dat moet omdat er black-hat hackers zijn.
De basis blijft natuurlijk: Ik moet mijn fiets stevig op slot zetten omdat er fietsendieven zijn. Maar is het eigenlijk wel mijn schuld als mijn fiets gestolen wordt omdat ik hem niet, of met een makkelijk te kraken/slopen slot, op slot heb gezet?
Nee, het is niet jouw schuld. Net zoals het niet mijn schuld is als iemand misbruik maakt van de gegevens op mijn paspoort of mijn ov-kaart. Het is de schuld van de fiets of slot fabrikant door waarschuwingen over het gebrekkige slot in de wind te slaan en zeggen dat er niks mis is, ondanks dat er duizenden fietsen gestolen worden omdat het slot slecht is.
Wanneer is genoeg nou genoeg? Wanneer zeggen we als maatschappij nou eens dat de overheid moet luisteren naar veiligheidsexpert en deugdelijke software laat afleveren. Of beter nog, helemaal niet in de verleiding komt om continue maar weer meer en meer data te willen vergaren die vervolgens op straat komt te liggen.