Een groep Nederlandse hackers is boos op het Openbaar Ministerie. Dat vraagt op zijn website aan burgers wat ze geschikte straffen vinden voor hacken. Daarbij doet het OM alsof hacken strafbaar is, en dat is niet zo.

Hacken is op creatieve wijze meer doen met techniek dan de makers ervan zelf bedacht hadden, schrijven de hackers. Hacken is dus niet hetzelfde als computervredebreuk. Natuurlijk gebeurt het dat hackers grenzen overschrijden en beveiligingen doorbreken, maar dat betekent niet dat hacken per definitie slecht is. XS4ALL is het daar roerend mee eens. Wij weten als geen ander dat hacken een force for good is, geen force for evil. XS4ALL is opgericht door de Amsterdamse hackersgroep Hacktic en dankt haar bestaan dus direct aan de creativiteit van hackers. In het verleden hebben hackers meermalen aangetoond dat zij een cruciale rol spelen in de verdere verfijning en beveiliging van nieuwe technologieen.  De hack-acties op stemcomputers en de OV Chipkaart bijvoorbeeld, laten zien dat het werk van onafhankelijke en kritische hackers verbeteringen heeft opgeleverd, met een breed
maatschappelijk nut.

Op de website van het OM valt één zaak in het bijzonder op: Casus 3. In deze hypothetische zaak breekt iemand in in de systemen van een telecomprovider en bemachtigt zo de persoonsgegevens van 1000 klanten. Het OM vraagt: De aanbieder van telefoondiensten is vorig jaar door de overheid al gewezen op bepaalde fouten in het computersysteem. Deze fouten heeft de aanbieder nooit gerepareerd. De aanbieder heeft geen maatregelen getroffen. Vindt u deze situatie: Straf verminderend, strafverzwarend, of geen invloed hebben op de straf (die de inbreker moet krijgen, NH).

Het uitgangspunt van deze vraag is helemaal fout. Telecomaanbieders hebben, net als alle andere bedrijven, de wettelijke verplichting zorgvuldig met de gegevens van hun klanten om te springen en ze adequaat te beschermen. Als dat niet gebeurt, verdient het bedrijf straf en de inbreker een lintje,niet andersom. Maar wel op voorwaarde dat die inbreker geen misbruik maakt van de gevonden kwetsbaarheid.

Wij geloven dat hackers juist een heel belangrijke rol hebben bij het verbeteren van beveiliging: als een systeem zwakke plekken blijkt te hebben, dan is het in ieders belang dat die worden gefixt. En de beste manier om dat voor elkaar te krijgen is niet hackers te straffen, maar ze juist te belonen. We vinden dat we onze beveiliging goed geregeld hebben, we besteden veel aandacht aan security. Juist daarom weten we dat geen enkel systeem gegarandeerd 100% veilig is. Dus als er ergens een zwakke plek zit in onze systemen, dan willen we dat graag horen!

Doordat computervredebreuk strafbaar is kunnen we ons voorstellen dat niet iedere hacker die zo’n zwakke plek gevonden heeft, dat durft te melden. Het OM ziet hackers immers als criminelen. Daarom hebben we een responsible disclosure beleid opgesteld. Daarin beloven wij dat we geen aangifte zullen doen, als degene die zo’n zwakke plek vindt, daar geen misbruik van maakt en meldt wat hij of zij gevonden heeft.

“Als jij een kwetsbaarheid ontdekt in een van de systemen van XS4ALL, dan willen we dat graag weten zodat we het probleem kunnen oplossen. Als jij belooft de kwetsbaarheid niet te misbruiken, dan beloven wij dat we geen aangifte doen. Je krijgt een heerlijke appeltaart als beloning en als we besluiten de gevonden kwetsbaarheid openbaar te maken, dan doen we dat in goed overleg met jou.”

Verder staan in het beleid een aantal regels waaraan wij en degene die de kwetsbaarheid gevonden heeft, zich moeten houden. Zo hopen we ervoor te zorgen dat eventuele onkwetsbaarheden in onze systemen eerlijk gemeld worden zodat we ze snel kunnen oplossen.

Lees hier het responsible disclosure beleid van XS4ALL.

Deel dit:

Reacties

  1. Hawick says:

    aan Willem:

    het hacker zijn maakt iemand niet crimineel

    iemand die hacker-vaardigheden misbruikt is dat wel.

    er worden heel veel nuttige dingen gedaan met die zelfde vaardigheden
    en ook een heleboel leuke

  2. Willem says:

    Ik vind alle meningen nogal ongenuanceerd. OM: veel straf of weinig straf, maar straf. Xs4all: hackers zijn geen boeven. Iemand die reageert: alle politici deugen niet. Mijn god, wat een discussie. Zo zwart-wit, zo dom. Je kunt toch niet ontkennen dat er ook gehackt wordt om minder leuke dingen mee te doen en dat dat bestraft moet worden. Nee, wij komen uit de idealistische hackers-club en dus zijn we goed. Ja, ik kom uit zestiger jaren en de flower-powerbeweging heeft het ook niet echt gered meen ik te zien. IS, Poetin, Rode Khmer, etc., etc. Ideaal is het nog niet helemaal, maar hackers zijn geen boeven …

  3. Hawick says:

    aan Jan Sloterdijk:

    Het woord hacker was er eerder en had een andere betekenis. Dat je slachtoffer bent van geboefte is een ding, maar om nu iedereen die de vaardigheid heeft om creatief met ICT-techniek om te gaan crimineel te noemen gaat echt te ver.
    Volgens diezelfde logica moeten we iedereen die met een schroevendraaier om kan gaan maar een dief noemen omdat er nu eenmaal dieven zijn die met een schroevendraaier inbreken.

    Dat het vervelend is wat je staat overkomen staat buiten kijf. Dat daar een eind aan moet komen ook. Maar je generaliseert te ver door.

  4. Als U vind dat hackers geen boeven zijn wat zijn het dan mijn website http://www.skooterjan.nl werd vol gestouwt met on begrepen berichten in mijn geastenboek.
    Uit heel veel vreemde landen ,en dan krijg ik wel 60 email berichten binnen heb gelijk mijn email adres en wachtwoord veranderd.
    Maar ik was te laat mijn website was niet meer te redden.
    Dus het zijn criminelen of boeven.
    Groeten Jan.Sloterdijk

  5. Arend Compagner says:

    De inhoud van het boek CCC de Chaos Computer Club van 1988 is nog steeds actueel.
    Ik heb dat boek toen in no time uitgelezen, zo spannend was het. Ook in het boek worden de hackers die de datalekken van bedrijven aan de orde stelden door de overheden als boeven gezien. Wij als burgers mogen blij zijn met deze eerlijke en goed bedoelde hackers die data lekken aan de kaak stellen om te voorkomen dat ook overheden lukraak al je privé data kunnen onderscheppen. Daarom is het boek CCC de Chaos Computer Club inhoudelijk nog steeds actueel. Dus een goedbedoelde hacker moet je belonen voor onze eigen dataveiligheid.

  6. Wijnand Nijs says:

    OM, bekijk deze documentaire eens…

    http://www.youtube.com/watch?v=8oe24vZxiVE

  7. onkwetsbaarheden says:

    “eventuele onkwetsbaarheden” ???

  8. JePe says:

    Wat erg, zo’n misverstand. Het gaat niet om misbruik maken van onwettige toegang, het gaat om gebruik maken van onwettige toegang, met welk oogmerk dan ook.

  9. Thomas Roes says:

    Zoals wel vaker, iedereen heeft gelijk. Het probleem is dat we niet de zelfde definitie van hacker gebruiken.

    ethimologisch is discrimineren niets anders dan onderscheid maken. Men zegt het tegenwoordog vaak te gebruiken voor onderscheid maken op grond van zaken die niet relevant zijn, terwijl het er vaak op lijkt dat het is onderscheid maken op grond van politiek/maatschappelijk gevoelige criteria (ongeacht of ze relevant zijn).

    Zo ook, wat is een hacker. Voor het OM lijkt misbruik maken van de onwettige toegang die verkregen is in de definitie van hacker besloten te liggen. Xs4all (en ik) denken daar anders over, maar ja, als je de minderheid bent die anders over het gebruik van een woord denkt……

    Maar ik blijf voorlopig nog lekker bij mijn xs4all (alleen, wanneer komt er glas in de merenwijk)

  10. JePe says:

    Ik ben al klant bij xs4all sinds de dagen van HacTic, en vóór de introductie van browsers zoals Mosaic. Bovendien ben ik al sinds 1964 actief in de automatisering (mijn eerste programma schreef ik toen) en tegenwoordig houd ik mij bezig met de geschiedenis van de softwaresector in Nederland. Ik ben tevreden over xs4all, maar hun standpunt over hacken slaat nergens op. Er wordt in deze reacties een zodanige hoop onzin geproduceerd dat ontkrachten daarvan onbegonnen werk is, maar de input van JP dekt ongeveer ook mijn mening. Ik vind dat het management van xs4all moet ophouden met de valse hackersromantiek, en er ruiterlijk voor uit moet komen dat ook zij er zijn for the money, net als Microsoft en net als ik. Hun hackersstandpunt is marketingretoriek, en meer niet. Ze trekken daardoor wel het verkeerde publiek aan, zoals blijkt uit bovenstaande reacties. Dat is een bedreiging voor hun andere klanten, zoals ik (en JP?).

  11. L.Medemblik says:

    Hacken zonder toestemming is inbreken en dus strafbaar in mijn ogen.
    Ik laat ook niet zonder toestemming mijn huis testen of deze inbraakgevoelig is.
    Als “leek” weet je niet of de hacker goede intenties heeft.
    Dus stel je eerst eens netjes voor zodat er onderzoek gedaan kan worden en vraag dan om toestemming.

    • L.Medemblik says:

      P.S. Voor de duidelijkheid;
      Een hack, een aanpassing of wijziging, van gelicentieerde of gepatenteerde hard- software zonder toestemming van de eigenaar zie ik als een inbraak en dus strafbaar.

  12. Joost says:

    Tja, het gaat hier gewoon om de betekenis die de verschillende groepen er aan geven. Persoonlijk ben ik van mening dat mensen die ongevraagd en bewust gaan zoeken naar gaten in beveiliging (of je dat hacken noemt mag je zelf weten) al een grens over gaan. Dan kun je wel schermen met “fijn dat ze je er op wijzen dat er een beveiligingsrisico in je software/site/systeem zit” maar zoals al vaker genoemd hier zijn de meningen vrij duidelijk als je het naar de niet digitale wereld haalt. Iemand die alle auto’s op een parkeerplaats af loopt en aan elk portier voelt of het open is kan niet echt op veel sympathie rekenen.

    “Nee agent, ik wil alleen maar kijken of de eigenaar zijn auto goed op slot heeft gedaan en dan doe ik een briefje onder zijn ruitenwisser om hem/haar te waarschuwen”.

    Als iemand je vraagt om de beveiliging te testen ok, doe je ding en leef je uit. Wordt die vraag niet gesteld dan blijf met je fikken van andermans spullen af.

    Opnieuw: dit gaat over het gedrag, niet over de naam waaronder je dit gedrag vertoont. Wat mij betreft mag het OM de vraag gerust stellen mits ze zelf een duidelijke definitie geven van wat zij onder “Hacken” verstaan.

  13. Olivier says:

    Dit is bijzonder onzorgvuldig van het OM om in de vraagstelling alleen “forced choice” alternatieven met straffen de behandelen zonder het altenatief : “geen straf” te geven. Het is vooringenomen om er van uit te gaan dit alle respondenten per definitie vinden dat er gestraft moet worden. Hiermee wordt de waarde van de uitslag van dit onderzoek ondermijnd. Dit geldt voor de drie casussen en in het bijzonder voor casus 2 en 3.

  14. Hawick says:

    eens met Albert van der Horst.

    En nu microsoft toch genoemd is en hun manier van [wat ik noem] geschiedsvervalsing: Volgens mij was Microsoft de eerste of een van de eerste grote computerfirma[s] die het internet misbruikte en zonder voorafgaande expliciete gedetailleerde toestemming van gebruikers allerlei ongespecificeerde gegevens van de computer plukte en via internet binnenhaalde.

    Als we ‘ hackers’ toch gaan gebruiken als synoniem met internetcriminelen, dan lijkt het mij niet meer dan logisch deze betiteling ook te gebruiken voor alle microsoft medewerkers uit die tijd.

    Gezien de vele miljarden die ze ook al hebben moeten betalen aan boetes en schikkingen in verband met onwettige en dus criminele concurrentie vervalsende activiteiten, kan ik me niet voorstellen dat ze van een Nederlands rechter niet crimineel mogen worden genoemd.
    Ook ik ben toen gedupeerd.

    En nog steeds ….

    Zoek b.v. ook maar eens op hoe ze ODF hebben geprobeerd te verneuken zowel in ANSI standaardisatie als in Engeland [waar ODF nu verplicht is als bestandsformaat voor interdepartementale communicatie].

    En ook in mijn ogen, zijn in het verleden een aantal topambtenaren medeplichtig geweest . Ook, maar niet alleen in Nederland.

  15. Veel van de (aan histerie grenzende) reacties gaan voorbij aan het belangrijkste punt. Men is bezig de naam hacker om te bouwen tot een criminalisatie zodat achteraf iedereen die zich hacker noemde bij de leek als crimineel te boek gaat. Een hacker is iemand die met een simpele bijl niet alleen een blokhut, maar ook meubels weet te maken. Richard Stalman bediende zich trots van deze naam. Microsoft is er in geslaagd dit propagandistisch te buigen zodat het nu lijkt dat de oprichter van GNU linux zelf toegeeft een crimineel te zijn.
    En verder een overheid die de boodschapper pakt en de bedrijven die criminelen grote kansen bieden niet aanpakt, zit natuurlijk goed fout.

  16. Hawick says:

    JP heeft hacken al synoniem gemaakt met criminaliteit. Hij/zij kent dus niet de geschiedenis / context. Ik ben het met bijna alles eens van JP als hij/zij een ander woord gebruikt in plaats van hacken / hacker.

  17. Hoxolotl says:

    De vergelijking met inbreken is de verkeerde.

    Neem als voorbeeld eerder de veiligheid van auto’s

    leuk al die air-bags , ABS, veiligheidsgordels… stel je nu es voor dat er niemand was geweest die het kon boeien dat er mensen bij auto ongelukken omkwamen en dat we auto’s nog steeds zo bouwden met de beveiliging van een Ford-T….

    Als bij de brandweer blijkt dat een type auto systematisch bij een frontaal auto-ongeluk de bestuurder op het stuur spiest, zou het dan niet een idee zijn om auto’s zo te bouwen dat het niet meer gebeurd?
    Hadden mensen liever dat het werd verzwegen of dat er betere auto werden gebouwd?

  18. mobilya says:

    Dank u zeer zeer nuttig

  19. J.P. says:

    Dit is een hele merkwaardige redenatie om het gedrag van hackers goed te praten. Stel dat er in mijn huis wordt ingebroken door een inbreker met een schroevedraaier. Hij loopt een beetje door mijn woning te slenteren en bekijkt al mijn spullen, leest mijn administratie, en de inbreker laat een briefje achter dat ik het houten kozijn van het raampje van mijn toilet moet veranderen in een metalen kozijn. Ben ik dan dankbaar? Nee! Want ik heb niet gevraagd om deze actie en het is tenslotte mijn huis. Vervang ik het kozijn, komt de inbreker de volgende keer met een glassnijder aanzetten. Stel, ik ben het daarna helemaal zat met die inbreker. Ik metsel mijn huis helemaal dicht met beton, een tankgracht ervoor en prikkeldraad eromheen. Komt de inbreker met een antitankgranaat aanzetten om de lek in de beveiliging aan te tonen of met een strategisch bombardement om te laten zien dat de beveiliging van mijn huis echt nog beter kan. Dit is het soort onzinnige argumentatie dat wordt gebruikt om hacken te rechtvaardigen.

    Het grote punt is natuurlijk: Deze redenatie gaat uit van de veronderstelling dat je een beveiliging 100 % dicht kan krijgen. Nog afgezien van verschillende sociale en psychologische trucks om een beveiliging te kraken door middel van het menselijk tekort is dat gewoon onzin. 100 % Beveiliging bestaat niet. Bovendien moet een leefwereld met computers ook nog werkbaar en leefbaar blijven.

    Het zou mooi zijn als bedrijven en de overheid standaard “hackers” in dienst nemen om hun eigen beveiliging kritisch onder de loep te nemen. Dat is de enige rechtvaardiging van hacken, de rest is flauwekul. Hackers zijn gewoon boeven. Geen hele erge boeven, maar wel boeven.

    Ik heb trouwens opgezegd. Die romantiek uit de begintijd is al heel lang verdwenen hoor. Dat is leuke public relations, maar snijdt verder geen hout als volle dochter van KPN, en begint me onderhand te storen. De boel is voor veel geld verkocht, weten jullie nog wel? XS4ALL weet met veel tamtam te melden dat ik 40 cent per maand goedkoper uit ben en dat ze weer een prijs bij de Consumentenbond hebben gewonnen. Als je echter de verschillen tussen de providers goed bekijkt in de vergelijking van de Consumentenbond zie je dat het echt sneller en goedkoper kan. Hier verliest de public relations het van de rekenmachine. XS4ALL is nu een van velen. Triest dat het zo heeft moeten lopen.

    Met vriendelijke groet,
    J.P.

    • Tweety says:

      @J.P. De politie controleert in wijken waar veel wordt ingebroken ook woningen. Ze doen dit uiteraard zonder schade aan te richten. Veel mensen zijn dankbaar als ze attent worden gemaakt op onvolkomenheden in hun “beveiliging”. Als jouw buurman je er op attent maakt dat je achterdeur al de hele dag op een kier staat en hij weet dat jij niet thuis bent vind je dat dan erg?

      Het grote punt is natuurlijk dat je een woning niet kan vergelijken met een server waarop privacy gevoelige gegevens staan van vele honderdduizenden klanten. XS4ALL geeft aan in het responsible disclosure beleid hoe ze omgaan met meldingen van kwetsbaarheden dit lijkt mij een goede zaak.

      XS4ALL is een zelfstandige dochter van KPN en is verkocht omdat het zelfstandig geen bestaansrecht had. Dat het goedkoper en sneller kan klopt deels. Je moet dan wel appels met appels vergelijken. Doordat het kabel netwerk een gesloten netwerk is mogen er geen andere aanbieders hun diensten op aanbieden, hierdoor hebben Ziggo/UPC een monopolie op de kabel.

      Op ADSL/VDSL/Glasvezel (Reggefiber netwerk) is XS4ALL net zo snel als de andere aanbieders die dezelfde techniek aanbieden.

      Anders aanbieders (o.a. Ziggo) verlagen hun prijzen niet voor bestaande klanten. Ik had voorheen Online en betaalde EUR 10,00 per maand meer dan nieuwe klanten (zonder actie tarief). XS4ALL heeft, zover ik weet als enige, een transparant prijs beleid. Elke klant betaald (uitgezonderd van acties het 1ste halfjaar) hetzelfde.

      Bij Glasvezel biedt XS4ALL (in tegenstelling tot KPN) een download en upload die gelijk zijn, bij KPN moet je hiervoor “flink” bijbetalen. Als je een goede vergelijking maakt is XS4ALL dus goedkoper dan KPN.

      XS4ALL neemt het op voor een open internet. Dit heeft de rechtzaak van Brein wel aangetoond. XS4ALL was geen partij maar voegde zich bij de rechtzaak om een open internet te beschermen, vraag is of Ziggo dit had beschermt?

      Ik blijf dus klant bij XS4ALL en dat KPN eigenaar is, tja dat is jammer maar KPN is bijna eigenaar van elke provider op ADSL/VDSL/Glasvezel dus weinig keuze.

      • J.P. says:

        Bedankt voor je reactie Tweety. Je hebt in die zin gelijk dat je je natuurlijk kunt afvragen of je de metafoor van een huis kunt gebruiken voor een computer en die van bedrijfspand voor een server. Op zich wordt het vaker gebruikt om beveiligingsonderwerpen uit te leggen, ook op een wat hoger niveau, en dan hoor je eigenlijk nooit bezwaren. Ik denk daarom dat het een goede metafoor is.

        Om op jouw metafoor van de alerte buurman in te gaan die mij laat weten dat mijn raam openstaat. Mijn buurman klimt daarna niet door het raam naar binnen, loopt in mijn huis rond, bekijkt mijn administratie en mijn spullen en belangrijker, heeft er daarna weet van. Hij doet dat zeker niet ongevraagd. En dat is precies wat een hacker doet en daarna weet.

        Je mist de essentie van mijn betoog, namelijk dat 100 % beveiliging niet bestaat, en dat hackers daar in hun rechtvaardiging van hun acties wel vanuit gaan. Hoe werkbaar is een server waarvan alle ports (ramen en deuren) altijd dicht staan? Niet werkbaar toch? Het heeft ook te maken met het feit dat ik van mening ben dat je andermans spullen met rust moet laten. De planten in mijn tuin kun je er zo uithalen. Het zou toch ook een beetje gek zijn als een voorbijganger die er uittrekt om te laten zien dat mijn plantenbeveiliging niet deugt. Ja ik weet het. Ik kan prikkeldraad gebruiken. Ja, ook landmijnen.

        Ik snap dat je je thuis voelt bij XS4ALL. Het is nog steeds een goede provider, maar wel wat duur en met valse romantiek. Hoe rationeel ben je precies als je de acties niet meeneemt in je vergelijking van de verschillende providers? Neem je die pot pindakaas ook niet mee als hij in de (andere) supermarkt in de actie ligt, er even vanuit gaande dat je regelmatig pindakaas gebruikt.

        Misschien moeten de mensen die belangstelling voor dit onderwerp hebben wat meer nadenken voor ze dingen roepen. Dat geldt niet in het bijzonder voor jou, maar meer in het algemeen. Beveiliging is altijd een een afweging van kosten en baten, waarin, nogmaals, 100 % beveiliging niet bestaat. Met andere woorden. In een bedrijf wordt gewoon een risicoanalyse gemaak en de beveiligingskosten worden doorberekend aan de klant en zit in de prijs van het product. Daarbij wil je je product niet uit de markt prijzen, dus er zit een bovengrens aan de kosten van de beveiliging die je kunt maken.

        Zoals je weet is de overheid ook bezig met allerlei zaken die het hacken van computers door de overheid gemakkelijker maakt. Zie Bits of Freedom voor deze ontwikkelingen. Ik vind dat een hele slechte ontwikkeling. Je zal zien, dat ze dezelfde soort redenatie gebruiken om dit hacken door overheid te rechtvaardigen als waar nu de “white hat hackers” zichzelf mee rechtvaardigen.

        In essentie wil ik gewoon met dat mijn computers met rust gelaten worden, zowel door de “gray hats” van de overheid als door de “white hats” “black hats” of wat voor “hats” dan ook. Is dat een gekke wens?

        Groet,
        J.P.

      • NB says:

        J.P.
        Ik begrijp je wens, ik zou ook graag leven in een wereld waar sloten op de deur niet nodig zijn….
        Helaas zijn er mensen die graag spullen van anderen stelen. Dus zijn er sloten uitgegevonden.

        Maar als ik sloten Merk X op m’n deuren heb, en het blijkt dat de fabrikant van Merk X een serie heeft die ondeugdelijk zijndan ben ik best blij als niet de inbreker dat als eerste ontdekt maar iemanddie mij waarschuwd voor het gevaar.
        Het probleem is dat je een sloten fanaat moet zijn om te weten dat die sloten zwak zijn. En dat die bepaalde zwakheid ook bij andere sloten kan voorkomen. Een sloten “hacker” dus.

        Het gaat niet over de schroeven draaiers ende anti-tank granaten. Het gaat over miniscule details als de tolerantie in sloten die maken hoe veilig ze zijn. De varianten in digitale sloten is nog veel groter dan die in de ijzeren vorm. De fouten die er in kunnen zitten ook.
        Ik maak dus wel onderscheid in “hackers” die meer met techniek en bezig zijn de randen ervan te verkennen, en (cyber-)criminelen die alleen maar uit zijn op schade, eigen gewin…

  20. hawick says:

    De grootste bendes computercriminelen zitten momenteel bij de overheid. De enorme discrepanties tussen europees rechts en wat de overheid zelf feitelijk doet met gedigitaliseerde data rechtvaardigt een parlementaire enquete. Is het verscherpte toezicht op ALLE politiediensten inmiddels al opgeheven inzake data-retentie en omgang met privacy-gevoelige data ?

    Deze inleiding was even nodig, om duidelijk te maken dat de ambtenaren een bonafide naam voor iemand die creatief en competent en doorgaans juist heel positief omgaat met ICT-technologie nu systematisch proberen te laten devalueren tot een naam om een echte crimineel aan te duiden. We hebben al een goed woord: computer-crimineel of internet-crimineel. In mijn ogen zijn veel ambtenaren computer-crimineel.

    Dit criminaliseren van groepen door ‘vaktermen’e.d. te kapen is veel vaker in de geschiedenis gebeurd. Lang geleden waren woorden als ‘idioot’ of ímbeciel’geen scheldwoord, maar een professionele term om mensen aan te duiden met bepaald specifieke lage niveau’s van intelectueel functioneren. Deze woorden waren toen een vakterm, dus functioneel en waarde-vrij. Nu wordt het alleen maar als scheldwoord gebruikt.

    Waarom dan nu afgeven op mensen die creatiever zijn dan de ambtenaren die zogenaamd nederland vrij zouden moeten houden van computercriminaliteit? Of is dit soms uit afgunst?

    Er hoeft voor mij geen misverstand te zijn. Ook ik vind dat het zich zonder meer toegang verschaffen tot andermans computer-systemen o.i.d. in principe fout is. Echter de kennis benodigd om crimineel bezig te zijn met ICT is vrijwel identiek aan die om b.v. technische problemen met ICT op te lossen. Diverse daar mee samenhangende tools zijn dus zowel bona-fide als crimineel toepasbaar. Dual-use technologie.

    Dat is ook met andere dingen zo. Een dief kan zich toegang verschaffen tot een huis met een schroevedraaier. Is daarom iemand die handig is met gereedschap een crimineel ? Is daarmee elke schroevedraaier een wapen of crimineel ‘gereedschap’.

    Laten we gewoon de zaken correct bij z’n naam noemen en iemand die criminele activiteiten ontplooit middels ICT bijvoorbeeld een computer-crimineel noemen.

    In deze discussie wordt ook aangegeven dat sommigen positieve ethische waarden zien in het -onder strikte voorwaarden- gedogen of aanmoedigen van het creatief gebruik van ICT-kennis om daarmee b.v. zwakke plekken in beveiliging bloot te leggen. Dat is een discussie die irrelevant is voor de beoordeling of sprake is van criminaliteit. Een slotenfabrikant kan ook een voormalig inbreker uitdagen om een nieuw beveiligingsproduct uit te testen.

    Vooruitgang in de maatschappij is nog nooit bereikt door regeltjes en restricties. Evenmin heeft het criminaliseren van mensen met een creatieve geest de mensheid ooit enig voordeel geboden. Laten we dus vooral maximaal tegengas geven tegen hen die zonder benul van zaken ons allemaal in een dwangbuis van regeltjes willen plaatsen.

    We hebben geen nieuwe namen / normen nodig inzake computer-criminaliteit.

    En voor de paar avonturiers die creatief grenzen willen verkennen: dus hun vaardigheden als hacker willen toepassen op het scherp van de snede: alle wetgeving / jurisprudentie die de juridische kaders vormen voor hedendaagse onderzoeks-journalistiek geven al een heel compleet beeld van de vrijheden die je je eventueel zou kunnen permitteren en alle hierbij relevante randvoorwaarden.

    Er is dus voor de hele maatschappelijke discussie over computer-criminaliteit beslist geen noodzaak om de term ‘hacker’ te vervuilen [te ‘overloaden’zou een C++ programmeur zeggen].

    Een ander probleem is, dat de meeste criminele computer-activiteiten voor het grootste deel thuis horen onder de noemer ‘social engineering’. Het is eigenlijk wel grappig dat men vroeger altijd de hacker zag als een soort nerd [als in ‘social misfit met technische/ICT-skills’ en hen nu wil toeschrijven sociaal zo vaardig te zijn dat zich kunnen bedienen van social engineering.

    Ook dat betekent weer, dat de ambtenaren die hierover bezig zijn zelf nauwelijks weten waar ze mee bezig zijn. En we liepen al over van vertrouwen op onze overheid. Niet dus!

    Ambtenaren: zorg dat je begrijpt waar je het over hebt en stop met deze onzin!!
    Stop met het criminaliseren van hackers.
    Het zijn juist creatieve mensen met het denkniveau van echte hackers, die zorgen dat BV Nederland geld verdient. Ambtenaren verdienen geen geld voor BV Nederland.

    Stop deze onzin !!!

  21. Wally says:

    Tja.. vroeger kreeg je nog een jaar gratis internet.
    Nu nog een appeltaart?

    • Pully says:

      Dat dacht ik dus ook al, of een half jaartje internet……

    • JeroenW says:

      Zat het net te denken Wally. :) Aan de andere kant.. appeltaart is wel een Xs4all traditie die terug gaat naar de hacktic dagen.

      • Tweety says:

        Geen jaar gratis internet, je kreeg een Pack Abonnement. Hiermee kun je inbellen (kan nog steeds), 5 mailboxen en nog wat van dat soort zaken.

      • Wally says:

        Maar dat werkte meer andersom toch? Dat was een soort betaalmiddel om iets regeld te krijgen ;)

  22. Anonymous says:

    Ik begrijp uit deze dat de medewerkers van Xs4all het op prijs zouden stellen als er in hun huis wordt ingebroken. Foto’s en kledingkasten worden doorzocht en bekeken, dat is geen enkel probleem als het maar niet wordt meegenomen?

    • Philip says:

      Niet helemaal een juiste vergelijking. Ik denk dat ze het waarderen als je meld dat de het zolderraam nog openstaat.

      • Gerrit says:

        Het is echt niet zo dat de systemen van xs4all etc onbeveiligd zijn en dat het zichtbaar openstaat (open deur, open zolderraam). Hackers rukken, en breken wel degelijk de deur en zolderraam etc open. En zeggen vervolgens je moet maar een beter slot kopen en daar moeten we ze dankbaar voor zijn. Het is en blijft gewoon inbreken. De open deur/zolderraam zijn in feite de situaties die oplettende gebruikers (kunnen) zien en hebben niets van doen met het opzettelijk omzeilen van beveiligingen.

      • Philip says:

        Dat is nou juiste de nuance tussen een hacker en een cybercrimineel. Een cybercrimineel zet alles in met het doel om informatie te stelen en systemen te gebruiken voor illegale praktijken.

        Een (white-hat) hacker is niet fout zolang ze gebruik maken van responsible disclosure. Dan moeten ze hier uiteraard wel de mogelijkheid toe hebben en het dialoog kunnen voeren met een partij die hier ook serieus werk van maakt.

        Henk Krol is (deels) een mooi voorbeeld. Iemand die streeft naar security en privacy moet de mogelijkheid krijgen dit op een nette manier bij de desbetreffende partij te melden en dient serieus genomen te worden zonder het risico door de desbetreffende partij vervolgt te worden.

        https://www.security.nl/posting/40096/Krol+krijgt+boete+wegens+computervredebreuk

    • VJ says:

      Volgens mij is de analogie meer dat ze het niet erg vinden als jij kijkt of de deur te openen is, zo lang je niet naar binnen gaat vinden ze het niet erg.

      Uiteraard verwacht ik niet dat de medewerkers van xs4all dit niet erg vinden, maar dat is ook niet wat xs4all zegt. Het beleid van een bedrijf kun je niet altijd afzetten tegen wat de medewerkers vinden.

  23. Alex says:

    Als ze nou eens de echte criminelen gaan aanpakken, die in de tweede kamer zitten en zo. Dan doen ze eens wat nuttigs. Oh wacht, die criminaliteit is legaal… Laat ieder gewoon zijn ding doen. Zolang het geen computervredebreuk is is er niets aan de hand. Droeftoeters bij het OM.

  24. JTW says:

    Inbraak op computer systemen is nooit goed te praten, diefstal van data evenmin. En het dan publiek maken van die data, met mogelijk ernstige gevolgen voor derden, al helemaal niet.

    Als die zogenaamde “goede hackers” zo begaan waren met de data veiligheid van dat bedrijf, hadden ze het bedrijf gewaarschuwd over de lekkende beveiliging, en als dat niet helpt de verantwoordelijke toezichthouders.

    Blijft een feit dat de overgrote meerderheid van de hack pogingen wordt gedaan voor zelf verrijking, om data te stelen die dan gebruikt kan worden om bankrekeningen te plunderen, mensen af te persen, etc..

    De veneer van de “sociale hacker” die uit een beginsel van begaanheid met de veiligheid van computersystemen probeert deze te kraken en dan de eigenaren te helpen de lekken te dichten is al zeker 15, meer waarschijnlijk 25 jaar niet meer van toepassing.
    Misschien bestaan de idealisten nog, maar ze komen niet in het nieuws, ze zoeken het nieuws niet en de bedrijven waar ze mee te maken krijgen ook niet.

  25. Dhjana says:

    Ik ben al jaren klant bij xs4all. Eigenlijk kan ik me de kosten niet veroorloven, met een inkomen ver onder het minimum. Maar door dit soort statements weet ik weer precies waarom ik bij jullie zit en niet bij een andere provider – en waarom ik dat ook niet zou willen veranderen. Campagnes als deze vanuit het OM zijn niets meer en minder dan propaganda ter voorbereiding op nog meer controle, repressie en privacyschendingen.
    Chapeau!