|
405 # Hackdiscussie onder vuur # |
Gepost door Misdefinitie op 24-08-2009 om 22:52.
Van websites verwachten we dat ze bijna altijd bereikbaar zijn als we ze willen oproepen. Af en toe een kleine hapering en eens in de zoveel tijd een grote storing is nog wel te behappen, maar wanneer we het www gebruiken moet het gewoon werken. Door deze vanzelfsprekendheid zouden we bijna vergeten dat websites meestal gewoon op computersystemen worden gehost door ze aan een netwerkverbinding te hangen en het geheel daardoor vrij kwetsbaar is. Er is geen enkele garantie dat gegevens online blijven. Wat online kan, kan ook weer offline. Behalve als uw naam onterecht in Google verschijnt, maar dat terzijde. De servers moeten worden onderhouden en beveiligd zodat gespuis buiten de deur blijft. Bij grote websites zoals Fok! kunnen ze daarover meepraten. Dit weekend kwam naar buiten dat ze weer eens een schandaaltje hebben. Zwaar verouderde beveiligingstechnieken veroorzaakten een hack. Grootschalige aanvallen op websites komen steeds vaker voor. De trend daarin wordt niet besproken.
Amateurisme leidt tot hack.
Laten we maar meteen met een keihard standpunt binnenvallen: alles is te hacken. Wat door mensen is binnengelaten, kan er ook weer uitgeschopt worden. Wat door mensen is gemaakt, kan ook weer gesloopt worden. Zware beveiliging gebruiken kan, maar des te beter een beveiliging moet worden des te meer kosten er worden gemaakt. Daarbij komt het probleem dat er geen software bestaat zonder fouten. Programmeren blijft mensenwerk en het is ondoenlijk om ervoor te zorgen dat alle gaten en lekken gedicht zijn zodat niemand binnen kan komen. Grote websites zijn door dit principe vaak kwetsbaarder. Aangezien een grote site bekend is en veel publiek trekt, zal een hack veel meer impact hebben dan het inbreken bij de "mijn eerste poesje"-website van uw buurmeisje. U kunt zich voorstellen dat een grote website daarom ook op veel belangstelling van hackers, crackers en scriptkiddies kan rekenen. Wel speelt beveiliging een grote rol bij de preventie. Fok! werd eenvoudig geveld door een relatief simpele hack.
Toegegeven, het kan iedereen overkomen, maar grote websites zijn net als grote bedrijven. Ze behoren professioneel georganiseerd te zijn. Bij een multinational verwachten we net zo goed minder snel een makkelijke kraak dan bij een slecht beveiligd woonhuis. We hebben Fok! echter leren kennen als een amateuristische organisatie waarbij beheerder Danny Roodbol een omstreden karakter heeft. Twee jaar geleden beweerde hij nog recht in de gezicht van mensen die de website wilden verbeteren dat geloofwaardigheid niet tot de doelstelling behoort. Ruzies, rassenrellen, bedreigingen en allerlei andere leuke zaken des levens kwamen als pus uit een wond naar buiten en de schandalen volgden zich in rap tempo op. Zo kwam Danny Roodbol vorig jaar onder vuur te liggen nadat bleek dat hij zich stiekem lag af te trekken te verkneukelen toen hij geheime persoonlijke berichten van forumgebruikers las. Roodbol suggereert arrogant dat hij het allemaal wel weet en het goed op de rails kan houden. Zo maakt hij mensen kwaad.
Feitelijk gaat het niet eens om de technische details van de hack, al zijn die wel de moeite van het bekijken waard. Men maakt gebruik van zelfgeschreven software en externe software. Met dat laatste ging het goed mis. Hackers ontdekten dat het via die software mogelijk was om commando's aan de database te geven. Iets wat door kenners "SQL-injection" wordt genoemd. De database gaf netjes antwoord terug en gaf de inbreker de MD5 hash van het wachtwoord van Danny. Even een website opzoeken of er een wachtwoord bij de hash bekend is en klaar zijn ze. Inloggen op het account als admin is vervolgens voldoende om alles te kunnen doen op de website. Later, toen dat probleem opgelost was, kwamen ze nog meer onder vuur te liggen. Er bleek een grote DDoS-aanval aan de gang te zijn waarbij miljoenen gekraakte computers zoveel informatieaanvragen deden dat de website voor uren plat ging. Vrijwel alle sites kunnen van door dit soort criminaliteit volledig plat gaan. Waar het echter om gaat is de hele discussie er omheen.
Discussie over hacken.
Om orde in de chaos te krijgen, kijken we liever naar wat verschillende groepen in te brengen hebben. Allereerst valt de eeuwige discussie over wat een hacker is en doet op. Voor de meeste mensen staat het woord hacker gelijk aan iemand die inbreekt in een computer. Aangezien inbreken als misdrijf wordt gezien, is het oordeel dat het per definitie illegaal is. Hackers zijn dus stout en dienen in die visie hard gestraft te worden. Anderen verdedigen een heel wat genuanceerdere versie van het verhaal. Zij onderscheiden heads: white, gray en black. Dit is zo'n beetje te vergelijken met hoe we dieven categoriseren. De overheid besteelt ons, maar heeft dat gelegaliseerd. Wordt u beroofd door een Marokkaan, dan wordt dat goedgepraat met een rechtvaardiging. Heeft u privébezit, dan valt u onder black wegens het ondermijnen van het communistische systeem. Wel nu, een grayhead hacker zit net op de grens: hij breekt in en steelt, maar maakt niks kapot. Misdaad blijft echter misdaad. Stelen is stelen en inbreken is inbreken.
Hackers kunnen wisselend op sympathie rekenen. De een noemt ze hackers in de zin van inbrekers die andermans eigendom jatten en / of beschadigen. De ander noemt de dieven crackers waarbij hackers worden gezien als goede oude vrienden die beveiligingen testen. Ze vinden het zeker ook fijn als iedereen die langs hun woning loopt even test of de deur op slot is, even kijkt wat u in uw schuur heeft liggen, probeert om uw autoportieren open te krijgen of tracht de sleutels in handen te krijgen. Zomaar, voor de lol. Als dat gelukt is, dan is verder gaan natuurlijk ook geen probleem. Even naar binnen wippen om te kijken of u wat leuke spulletjes heeft om mee te nemen is voor ons gewoon inbraak en diefstal. Misdaden die veelal goed worden gepraat als het om computercriminaliteit gaat. Voor velen is het al voldoende als degene die zich met dit soort zaken bezighoudt even een waarschuwing geeft. Gebeurt er dan niks, dan is het wereldkundig maken van de inbraak geen probleem. Sodemieter op en blijf van andermans eigendommen af.
Ondertussen weten forumbezoekers het allemaal beter. Zouden we hen moeten geloven, dan is beveiligen van een website een eitje. Injecteren van verkeerde gegevens in databases zou simpel te voorkomen zijn door het controleren van alle invoer die gebruikers kunnen doen op de website. Klinkt eenvoudig, maar in de praktijk toch altijd lastiger uit te voeren dan men denkt. Gebruikers kunnen namelijk vrij veel en sommige werklozen hebben alle tijd van de wereld om uit te vinden hoe ze een website kunnen naaien. Lekken hebben in een website is geen bewuste actie. Geen enkele websitebeheerder zal bewust een aantal lekken maken zodat hackers kunnen aantonen dat hij een incapabele lul is. Uiteraard zijn er luie beheerders die weten dat hun website zo lek als een mandje is en het gewoon laten zitten totdat ze alles kwijt zijn, maar dat is meer onwetendheid dan bewust het gevaar opzoeken. Juridisch kan het een aantal grote consequenties hebben. Aan websites zoals Fok! kan nalatigheid worden verweten.
Interessante opmerkingen over de verouderde techniek vliegen ons om de oren. Gebruik maken van MD5 zou op hetzelfde neerkomen als wachtwoorden gewoon als tekst op te slaan. Ons wachtwoord is geheim. Salt en SHA512 zijn termen die veelvuldig genoemd worden. Danny vindt dat zelf maar onzin. Volgens hem boeit dat geen kont. Hij stelt dat als het wachtwoord kort is en ze de hash hebben, ze alsnog kunnen hacken. Danny heeft blijkbaar iets met konten, maar wat echt vreemd overkomt in de opmerking is het idee dat er kennelijk sprake was van een kort wachtwoord! Aangezien het echt gevaarlijk werd toen de aanvaller het wachtwoord van het account van Danny had bemachtigd, is dit wel erg bizar. Kennelijk had ome Danny een heel kort wachtwoord, iets als kont, waardoor zijn account al snel gehackt kon worden. Oei, dat is grove nalatigheid van een prutser die normaliter zoveel noten op zijn zang heeft. Boze tongen roepen al jaren dat de beheerder vooral een grote bek heeft, maar niks kan.
Vaste fans kunnen meer respect opbrengen. Zij stellen dat een hack die plaatsvindt in software van derden, websites als Fok! niet kunnen worden aangerekend. Nog even en dan bestaat er helemaal geen verantwoordelijkheid meer voor software die geďnstalleerd wordt. Het beheer van Fok! probeert inmiddels de boel goed te praten. De hack zou ontstaan zijn door fouten in hele oude code die ze eigenlijk niet konden aanpassen. Gecombineerd met een verouderde manier van beveiligen was het appeltje eitje om daar binnen te komen. Zeer matige verklaring, want nu ze de klos zijn kunnen de aanpassingen zo binnen twee dagen gemaakt worden. Oude methoden zijn weggegooid, er is een nieuwe hashmethode en ze hebben zich bekwaamd in het geven van goede adviezen: geef nooit uw wachtwoord aan slechte sites. In werkelijkheid waren ze gewoon incapabel en zullen ze wel weer hulp van tweakers.net hebben gehad. Doen alsof er feitelijk niks aan de hand is en er professioneel is opgetreden lijkt belangrijker dan incompetentie toegeven.
Andere websites hebben eveneens last van deze kwaal. Na de hack van Fok! kreeg het hackertje niet genoeg aandacht en begon meteen een DDoS-aanval. Fok! ging alweer plat voor een aantal uren, maar schonk er verder geen aandacht aan. GeenStijl zou ook een slachtoffer zijn geweest van deze aanval, maar tot onze verbazing hebben ze alleen een grote mond over de sluiting van Piratebay, een Turk die een theedoek vermoordde en de moord door de politie op het strand van Hoek van Holland. Over een aanval wordt met geen woord gerept. Vroeger zouden ze de daders hebben opgespoord en publiekelijk hebben vernederd, maar nu kan het kennelijk ongestraft. Tweakers.net wist de aanval gedeeltelijk af te slaan en pronkte daarna met de veren. Een goede prestatie, dat dan weer wel. Al geven ze het geheim van de smid niet weg. Logisch, want een echt grote aanval kan ooit nog komen. Massale radiostilte voor dit soort zaken is opmerkelijk. Ons inziens kan er niet genoeg aandacht voor gevraagd worden.
Overweging.
Discussies over hacken worden veelal gevoerd in termen van goed en fout. Waardeoordelen over de hackers die goed of fout zijn, de status en imago van de juiste woorden voor hacker en cracker en de mate waarin de getroffen websites goed of juist slecht georganiseerd waren. Eigenlijk zijn die standpunten min of meer achterhaald. Beargumenteren waarom iemand die moedwillig veel tijd en moeite gaat steken om een website neer te halen moet worden verheerlijkt is echt iets voor figuren die kicken op de sensatie of zich zelf wel eens schuldig maken aan pogingen tot computercriminaliteit. Websites door het slijk halen die zich hebben laten hacken is weliswaar leuk, maar iedereen weet toch wel dat het enkel leedvermaak is met als doel de reputatie verder om zeep te helpen. Natuurlijk mag en moet een website die de zaken niet op orde heeft keihard aangepakt worden. Organisaties die doen alsof ze professioneel zijn mogen dit soort dingen niet laten gebeuren. Hoe vaak hebben we niet op het belang van professionaliteit gewezen?
Wij maken ons eerder zorgen over mentaliteit en trends die te ontdekken zijn. Site wordt gehackt? Laten we er maar zo min mogelijk over zeggen, want anders zullen ze die aandacht gebruiken voor meer. Zo wist Autoweek een hack 2 maanden stil te houden en hebben een aantal websites niks durven zeggen over de DDoS van dit weekend. Komen ze er echt niet onderuit, dan doen ze alsof ze er niks aan konden doen. Al kunnen ze er meestal wel opeens voor zorgen dat het zogenaamd nooit meer gaat gebeuren. Beheerders lijken plots professor in de informatica, oplossingen worden razendsnel doorgevoerd en de gebruikers zitten met de gebakken peren. Beheerders als Danny Roodbol weten heel goed de schijn op te houden dat ze alles in de hand hebben. Sowieso is Roodbol een geval apart. Arrogant schijt hebben aan alles, maar u moet weten dat het niet zo toevallig is dat hij en zijn website zo vaak de klos zijn. Terwijl hij toch een vrij neutrale website beheert. Kijk, wij zijn nazi's. De trend is echter dat vrij normale websites worden gekraakt.
Is een gebruiker het niet eens met de beslissing van een moderator? Hup, een beetje rotzooien om wraak te nemen is zo gepiept. Schrijft een site iets waar anderen het niet mee eens zijn? Gedistribueerde aanvallen zijn nauwelijks te stoppen en wie de juiste vriendjes heeft of een zak geld meeneemt kan zo'n aanval eenvoudig laten starten. Justitie weet toch niet wat ze met deze vormen van computercriminaliteit aanmoet en zit liever achter webloggers aan dan achter criminelen. Ondertussen krijgen hacks veel sympathie bij mensen die het allemaal wel tof vinden. Hacks en aanvallen zijn bedoeld om ergens binnen te komen of om een site plat te leggen, maar klaarblijkelijk zijn er veel mensen die het geweldig vinden als het een bekende site betreft. Dit is een gevaarlijke ontwikkeling. Gaan we straks conflicten oplossen op deze manier? Wordt inbreken een sport als het gaat om "vervelende" websites? Leven we straks in een wereld waarin we altijd voor iedereen moeten opletten? Liever niet. Anderen mogen nooit bepalen of een website online blijft.
Reacties: 0 Pagina's: 1 |
Reactie toevoegen |
U dient in te loggen om een bericht te kunnen plaatsen.
|
|