Onlangs lazen we in de online media een opmerkelijk bericht: “Nederlandse hackers richten eigen GovCERT op”. Het bericht maakt melding van een website (realcert.org), waarin o.a. naar deze site werd gelinked. Uiteraard leverde ons dat een flink aantal verwonderde vragen op. “Zitten jullie hier achter?”, “Weten jullie hier meer van?”.
Anoniem vertrouwen?
De groep achter realcert heeft er voor gekozen hun identiteit geheim te houden. Sterker nog, er is moeite gedaan om te voorkomen dat via bijvoorbeeld whois (het register van de diverse internet domein-aanbieders) en IP-adressen te achterhalen is wie er achter de site schuil gaan. Dat wekt wantrouwen: hoe kan ik iemand vertrouwen die ik niet ken?
Vertrouwen komt van twee kanten. Enerzijds wil ik graag weten wie er met mijn melding aan de slag gaan. Anderzijds moet je als ontvanger van de melding weten wat voor vlees je in de kuip hebt. Weet je niet met wie je te maken hebt dan bestaat het gevaar dat je voor andermans karretje gespannen wordt.
De taal op de website, die kort kan worden samengevat als ‘govcert is dom, wij zijn slim’, gaf veel hackers niet het idee dat het een goed doordacht initiatief was. Het gonsde derhalve op de diverse communicatie-kanalen van de speculatie, kritiek en verwondering. Blijkbaar hebben de oprichters zich dit aangetrokken, en is de site inmiddels off-line, en pogingen tot verder contact worden vooralsnog niet beantwoord.
Hoe moet het dan wel?
Hoewel het initiatief RealCERT niet vanuit de Verenigde Nederlandse Hackerspaces en Organisaties (VNHO) kwam, wordt er op de achtergrond inderdaad gewerkt aan een platform waar consciëntieuze hackers lekken kunnen melden (of dit nu bij de overheid of het bedrijfsleven is). Onze uitgangspunten komen hierbij grofweg overeen met die van RealCERT:
- Bescherming van de melder;
- Cowboys buitengaats houden;
- Verantwoord omgaan met gemelde problemen;
- Openheid.
Om met de eerste te beginnen: het beschermen van de melder is slechts ten dele een technisch probleem en vereist juridische spierballen. Want hoe je het ook wendt of keert, voor het aantonen van een beveiligingslek moet je laten zien dat je ergens bij kan waar je niet bij mag. En dat is (naar de letter van de wet) computervredebreuk en strafbaar.
Hackers die naar eer en geweten handelen en een beveiligingsprobleem melden krijgen niet zelden te maken met juridische procedures waarin zij zelf in het beklaagdenbankje zitten en soms zelfs geintimideerd worden met psychologische oorlogsvoering en maffia-achtige praktijken door private recherche bureaus.
Het is daarom van groot belang om als stroman die het probleem in ontvangst neemt en hiermee naar de getroffen organisatie stapt te weten welke middelen de tegenpartij juridisch in kan zetten om de identiteit van de melder te achterhalen. Dit is geen sinecure, niet iets dat je even in een roes van club-mate neer zet. De mensen die bezig zijn met hackerleaks werken daarom samen met ter zake kundige juristen.
Natuurlijk zijn er ook hackers die niet naar eer en geweten handelen. Die bijvoorbeeld voor geldelijk gewin gaan, hun ego willen strelen of andere onzuivere motieven hebben. Hoewel dit over het geheel genomen een miniem percentage van de hackers betreft, wil hackerleaks voorkomen door deze types gebruikt te worden voor de uitvoering van een verborgen agenda.
Persoonlijk contact tussen melder en stroman is onontbeerlijk. Maar hoe geef je dit zodanig vorm dat de melder zich veilig kan voelen? Welke maatregelen kan en moet je nemen om te zorgen dat een ontmoeting niet kan leiden tot de ontmaskering van de melder door de getroffen partij? Interessante vragen, waar goed over nagedacht wordt door de aanjagers van het hackerleaks initiatief.
Samenwerking
Verantwoord omgaan met gemelde problemen is iets wat voor veel hackers vanzelf spreekt. Onze inzet is het veiliger krijgen van systemen die op wat voor manier dan ook privacy-gevoelige informatie bevatten of op een of andere manier misbruikt kunnen worden. Het op straat gooien van gegevens om je lek aan te tonen is daar duidelijk mee in tegenstrijd. Maar ook het vroegtijdig publiceren van een probleem zonder de andere partij kans te geven hier actie op te ondernemen is onverantwoord.
Waar RealCERT vooral denigrerend was over GovCERT, denken wij juist baat te kunnen hebben bij samenwerking met govcert. Deze toenadering is reeds in gang, desondanks deelt hackerleaks wel de opinie dat GovCERT te gesloten is en te weinig openbaarheid geeft over het aantal meldingen of ontdekte problemen, de aard van deze meldingen en op welke instanties of departementen deze meldingen betrekking hebben. Dat is ook voor hackerleaks onacceptabel.
Tegelijkertijd zijn de techneuten van GovCERT geen domme mensen, die snappen heus wel hoe de vork in de steel steekt als het gaat over de ‘hardcore down to the bare-metal’ beveiliging van ICT. Net zo goed als de onafhankelijke hackergemeenschap dat weet. Ik geloof daarom veel meer in een toenadering dan verwerpen.
Desondanks zal hackerleaks onafhankelijk zijn van GovCERT in het bijzonder, de overheid in het algemeen en welke commerciele organisatie dan ook. De organisatie zal tevens worden geimplementeerd in een niet-natuurlijke rechtspersoon om te voorkomen dat eventuele justitiele activiteiten met als doel het ontmaskeren van melders minder op de individuele leden van de organisatie gericht zullen zijn. Geen losse groep individuen, maar een organisatie die ook juridisch een vuist kan maken als dat nodig is.
Het wiel
Wie bovenstaande leest zal wellicht al denken, “Hee, dat komt me allemaal bekend voor”. En inderdaad, op het wereldtoneel zagen we wikileaks en recent openleaks. Zij hebben met dit bijltje gehakt, en daar is veel van geleerd. Dankzij het omvangrijke netwerk van de groep die bezig is om alle details rondom hackerleaks zorgvuldig uit te werken, kunnen deze wijze lessen meegenomen worden in de uiteindelijke implementatie van het boven geschetste concept.
Dat dit even duurt, mag niemand verbazen. Maar zoals de snelle aftocht van RealCERT heeft laten zien: haastige spoed is zelden goed. Mocht de lezer na bovenstaande geinteresseerd zijn mee te denken of anderszins van dienst te zijn, dan kan deze (geheel vrijblijvend) contact opnemen via info@hackerspaces.nl. Ook de initiatiefnemers van RealCERT zijn bij deze expliciet van harte uitgenodigd om de gelederen te versterken.
(Auteur: Koen Martens)