Een groep Nederlandse hackers is boos op het Openbaar Ministerie. Dat vraagt op zijn website aan burgers wat ze geschikte straffen vinden voor hacken. Daarbij doet het OM alsof hacken strafbaar is, en dat is niet zo.

Hacken is op creatieve wijze meer doen met techniek dan de makers ervan zelf bedacht hadden, schrijven de hackers. Hacken is dus niet hetzelfde als computervredebreuk. Natuurlijk gebeurt het dat hackers grenzen overschrijden en beveiligingen doorbreken, maar dat betekent niet dat hacken per definitie slecht is. XS4ALL is het daar roerend mee eens. Wij weten als geen ander dat hacken een force for good is, geen force for evil. XS4ALL is opgericht door de Amsterdamse hackersgroep Hacktic en dankt haar bestaan dus direct aan de creativiteit van hackers. In het verleden hebben hackers meermalen aangetoond dat zij een cruciale rol spelen in de verdere verfijning en beveiliging van nieuwe technologieen.  De hack-acties op stemcomputers en de OV Chipkaart bijvoorbeeld, laten zien dat het werk van onafhankelijke en kritische hackers verbeteringen heeft opgeleverd, met een breed
maatschappelijk nut.

Op de website van het OM valt één zaak in het bijzonder op: Casus 3. In deze hypothetische zaak breekt iemand in in de systemen van een telecomprovider en bemachtigt zo de persoonsgegevens van 1000 klanten. Het OM vraagt: De aanbieder van telefoondiensten is vorig jaar door de overheid al gewezen op bepaalde fouten in het computersysteem. Deze fouten heeft de aanbieder nooit gerepareerd. De aanbieder heeft geen maatregelen getroffen. Vindt u deze situatie: Straf verminderend, strafverzwarend, of geen invloed hebben op de straf (die de inbreker moet krijgen, NH).

Het uitgangspunt van deze vraag is helemaal fout. Telecomaanbieders hebben, net als alle andere bedrijven, de wettelijke verplichting zorgvuldig met de gegevens van hun klanten om te springen en ze adequaat te beschermen. Als dat niet gebeurt, verdient het bedrijf straf en de inbreker een lintje,niet andersom. Maar wel op voorwaarde dat die inbreker geen misbruik maakt van de gevonden kwetsbaarheid.

Wij geloven dat hackers juist een heel belangrijke rol hebben bij het verbeteren van beveiliging: als een systeem zwakke plekken blijkt te hebben, dan is het in ieders belang dat die worden gefixt. En de beste manier om dat voor elkaar te krijgen is niet hackers te straffen, maar ze juist te belonen. We vinden dat we onze beveiliging goed geregeld hebben, we besteden veel aandacht aan security. Juist daarom weten we dat geen enkel systeem gegarandeerd 100% veilig is. Dus als er ergens een zwakke plek zit in onze systemen, dan willen we dat graag horen!

Doordat computervredebreuk strafbaar is kunnen we ons voorstellen dat niet iedere hacker die zo’n zwakke plek gevonden heeft, dat durft te melden. Het OM ziet hackers immers als criminelen. Daarom hebben we een responsible disclosure beleid opgesteld. Daarin beloven wij dat we geen aangifte zullen doen, als degene die zo’n zwakke plek vindt, daar geen misbruik van maakt en meldt wat hij of zij gevonden heeft.

“Als jij een kwetsbaarheid ontdekt in een van de systemen van XS4ALL, dan willen we dat graag weten zodat we het probleem kunnen oplossen. Als jij belooft de kwetsbaarheid niet te misbruiken, dan beloven wij dat we geen aangifte doen. Je krijgt een heerlijke appeltaart als beloning en als we besluiten de gevonden kwetsbaarheid openbaar te maken, dan doen we dat in goed overleg met jou.”

Verder staan in het beleid een aantal regels waaraan wij en degene die de kwetsbaarheid gevonden heeft, zich moeten houden. Zo hopen we ervoor te zorgen dat eventuele onkwetsbaarheden in onze systemen eerlijk gemeld worden zodat we ze snel kunnen oplossen.

Lees hier het responsible disclosure beleid van XS4ALL.

Deel dit:

Reacties

  1. Hawick says:

    aan Willem:

    het hacker zijn maakt iemand niet crimineel

    iemand die hacker-vaardigheden misbruikt is dat wel.

    er worden heel veel nuttige dingen gedaan met die zelfde vaardigheden
    en ook een heleboel leuke

  2. Willem says:

    Ik vind alle meningen nogal ongenuanceerd. OM: veel straf of weinig straf, maar straf. Xs4all: hackers zijn geen boeven. Iemand die reageert: alle politici deugen niet. Mijn god, wat een discussie. Zo zwart-wit, zo dom. Je kunt toch niet ontkennen dat er ook gehackt wordt om minder leuke dingen mee te doen en dat dat bestraft moet worden. Nee, wij komen uit de idealistische hackers-club en dus zijn we goed. Ja, ik kom uit zestiger jaren en de flower-powerbeweging heeft het ook niet echt gered meen ik te zien. IS, Poetin, Rode Khmer, etc., etc. Ideaal is het nog niet helemaal, maar hackers zijn geen boeven …

  3. Hawick says:

    aan Jan Sloterdijk:

    Het woord hacker was er eerder en had een andere betekenis. Dat je slachtoffer bent van geboefte is een ding, maar om nu iedereen die de vaardigheid heeft om creatief met ICT-techniek om te gaan crimineel te noemen gaat echt te ver.
    Volgens diezelfde logica moeten we iedereen die met een schroevendraaier om kan gaan maar een dief noemen omdat er nu eenmaal dieven zijn die met een schroevendraaier inbreken.

    Dat het vervelend is wat je staat overkomen staat buiten kijf. Dat daar een eind aan moet komen ook. Maar je generaliseert te ver door.

  4. Als U vind dat hackers geen boeven zijn wat zijn het dan mijn website http://www.skooterjan.nl werd vol gestouwt met on begrepen berichten in mijn geastenboek.
    Uit heel veel vreemde landen ,en dan krijg ik wel 60 email berichten binnen heb gelijk mijn email adres en wachtwoord veranderd.
    Maar ik was te laat mijn website was niet meer te redden.
    Dus het zijn criminelen of boeven.
    Groeten Jan.Sloterdijk

  5. Arend Compagner says:

    De inhoud van het boek CCC de Chaos Computer Club van 1988 is nog steeds actueel.
    Ik heb dat boek toen in no time uitgelezen, zo spannend was het. Ook in het boek worden de hackers die de datalekken van bedrijven aan de orde stelden door de overheden als boeven gezien. Wij als burgers mogen blij zijn met deze eerlijke en goed bedoelde hackers die data lekken aan de kaak stellen om te voorkomen dat ook overheden lukraak al je privé data kunnen onderscheppen. Daarom is het boek CCC de Chaos Computer Club inhoudelijk nog steeds actueel. Dus een goedbedoelde hacker moet je belonen voor onze eigen dataveiligheid.

  6. Wijnand Nijs says:

    OM, bekijk deze documentaire eens…

    http://www.youtube.com/watch?v=8oe24vZxiVE

  7. onkwetsbaarheden says:

    “eventuele onkwetsbaarheden” ???

  8. JePe says:

    Wat erg, zo’n misverstand. Het gaat niet om misbruik maken van onwettige toegang, het gaat om gebruik maken van onwettige toegang, met welk oogmerk dan ook.

  9. Thomas Roes says:

    Zoals wel vaker, iedereen heeft gelijk. Het probleem is dat we niet de zelfde definitie van hacker gebruiken.

    ethimologisch is discrimineren niets anders dan onderscheid maken. Men zegt het tegenwoordog vaak te gebruiken voor onderscheid maken op grond van zaken die niet relevant zijn, terwijl het er vaak op lijkt dat het is onderscheid maken op grond van politiek/maatschappelijk gevoelige criteria (ongeacht of ze relevant zijn).

    Zo ook, wat is een hacker. Voor het OM lijkt misbruik maken van de onwettige toegang die verkregen is in de definitie van hacker besloten te liggen. Xs4all (en ik) denken daar anders over, maar ja, als je de minderheid bent die anders over het gebruik van een woord denkt……

    Maar ik blijf voorlopig nog lekker bij mijn xs4all (alleen, wanneer komt er glas in de merenwijk)

  10. JePe says:

    Ik ben al klant bij xs4all sinds de dagen van HacTic, en vóór de introductie van browsers zoals Mosaic. Bovendien ben ik al sinds 1964 actief in de automatisering (mijn eerste programma schreef ik toen) en tegenwoordig houd ik mij bezig met de geschiedenis van de softwaresector in Nederland. Ik ben tevreden over xs4all, maar hun standpunt over hacken slaat nergens op. Er wordt in deze reacties een zodanige hoop onzin geproduceerd dat ontkrachten daarvan onbegonnen werk is, maar de input van JP dekt ongeveer ook mijn mening. Ik vind dat het management van xs4all moet ophouden met de valse hackersromantiek, en er ruiterlijk voor uit moet komen dat ook zij er zijn for the money, net als Microsoft en net als ik. Hun hackersstandpunt is marketingretoriek, en meer niet. Ze trekken daardoor wel het verkeerde publiek aan, zoals blijkt uit bovenstaande reacties. Dat is een bedreiging voor hun andere klanten, zoals ik (en JP?).