De journalistieke hack van Revu

Staatssecretaris Jack de Vries (Defensie) gaat aangifte doen bij Justitie tegen de redactie van het tijdschrift Revu, meldde nu.nl donderdag. Het tijdschrift had via een “virtueel beveiliger” toegang tot het privé mailaccount van de staatssecretaris weten te krijgen, en vervolgens een forward kunnen installeren zodat nieuwe mails naar een aparte mailbox werden doorgestuurd. Tenminste, als ik Webwereld goed begrijp. Security.nl voegt toe dat men via een botnet het wachtwoord heeft gebruteforced.

Het doet denken aan die zaak van half oktober, waar een ex-vennoot zakelijke mails liet doorsturen naar een eigen Google Mail account. Dat mocht niet, en het lijkt me duidelijk dat hier net zo goed sprake is van computervredebreuk. Jezelf toegang verschaffen tot andermans beveiligde mailbox is strafbaar, en het doorsturen lijkt mij de strafverzwarende omstandigheid van het kopiëren van gegevens.

Revu beroept zich op het landsbelang:

We wilden laten zien hoe makkelijk het is om binnen te dringen in mailadressen en dat vrijwel iedereen te hacken is. Zelfs iemand van de overheid. Hopelijk schroeven ze naar aanleiding van het artikel de beveiliging op. Wij hadden geen kwaad in de zin, maar er zijn genoeg anderen die dat wel hebben.

Een klassiek antwoord, maar wel fout. Ook journalisten mogen de wet niet breken, zelfs niet om aan te tonen dat sprake is van een misstand. In 1995 werd een journalist tot voor de Hoge Raad schuldig verklaard aan valsheid in geschrifte omdat hij onder valse naam rijbewijzen had aangevraagd (en gekregen). Het verweer dat hij wilde aantonen dat de uitgifte van rijbewijzen niet klopte, werd niet geaccepteerd. Wel kreeg hij een lagere straf opgelegd dan normaal, maar of dat nu kwam omdat hij de rijbewijzen niet had gebruikt of omdat de rechters toch gevoelig waren voor de persvrijheid, is mij niet duidelijk.

Die journalist had nog enig verhaal: de minister had namelijk eerder nog gezegd dat die uitgifte in orde was, en hij had maar 1 manier om aan te tonen dat de boel toch echt fout zat. De situatie hier vind ik heel wat minder sterk. Er was geen enkele reden of aanwijzing om die mailbox te hacken. De Vries had niets gezegd dat kon suggereren dat hij onoorbare dingen zou doen met zijn privé mailbox of dat hij sterk tegen het gebruik van privé mailboxen zou zijn of iets dergelijks. Ik kan dus geen enkele goede reden bedenken om deze hack uit te voeren. Behalve dan om leuk te scoren met je tijdschrift, maar dat is geen journalistieke reden.

Wat vinden jullie? Persvrijheid of gewoon crimineel gedrag? En zou het anders liggen als in die privé mailbox allerlei staatsgeheime documenten zaten?

Arnoud

15 reacties

  1. Is er in Nederland een wet die het gebruik van prive e-mail adressen verbied voor overheidspersoneel zoals een staatssecretaris? Dit verhaal is immers overduidelijk gebaseerd op het Sarah Palin ‘kraken’ (cq gokken van het antwoord op haar geheime vraag, wat men van Wikipedia had kunnen halen), maar in de USA speelde mee dat je daar geen werk-mails op je prive e-mail kan ontvangen. Als dat in Nederland ook niet mag, dan zie ik een groter journalistiek belang (wat iemand van defensie, die op zijn prive mail zaken over eventueel gevoelige zaken op z’n mail binnenkrijgt, dat zie ik als een aardig journalistiek iets). Anders is het gewoon crimineel gedrag.

  2. @Martijn, dit zal inderdaad waarschijnlijk gebaseerd zijn op de Sarah Palin hack gecombineerd met de inbraak van Alberto Stegeman die eenvoudig op een legerbasis inbrak en daar uiteindelijk niet voor vervolgd wordt. Echter heeft deze aanval niks met journalistiek te maken en is dit niets anders dan criminaliteit waar de “journalist” in kwestie zelf beter van hoopt te worden (door de te verwachten publiciteit).

  3. @Martijn, @ Arnout Veenman

    Brute force is niets anders dan blijven proberen. (en dat door een computer laten uitvoeren) Dus een kwestie van starten bij a en eindigen bij zzzzzzzzzzzz. Beetje jammer dat er geen maximale inlogpogingen ingesteld staan bij de desbetreffende ISP.

  4. Wat me bij deze actie enorm tegen de borst stuit is dat men “voor het gemak” een trojan horse verspreidt om een botnet van 40.000 computers te creeren voor de aanval. Welke schade is er aan deze 40.000 computergebruikers toegebracht?

  5. Arnoud, je moet niet zulke moeilijke vragen stellen 😉

    Om een enkele keer de wet te overtreden om aan te tonen dat iets mis is, is niets mis mee denk ik (mits dat niet anders kan). Denk aan Peter R. de Vries die wel eens een aantal pistolen en soortgelijk spul in handen kreeg. Er was geen andere manier om aan te tonen dat het zo (relatief) makkelijk is dan door het zelf te doen. Het feit dat Peter deze wapens nooit tegen iemand gebruikt heeft, ze niet al te lang na dit incident heeft ingeleverd, er geen andere manier was om dit aan te tonen, en het heeft uitgezonden op tv (draagt bij aan de discussie over dit maatschappelijke probleem), doet mij vinden dat dit gezien de omstandigheden gerechtvaardigd was. Aan de andere kant, Peter heeft een redelijke reputatie (imho) op dit gebied, en dat zal ongetwijfeld hebben bijgedragen aan zijn geloofwaardigheid, en het uiteindelijke besluit om hem hiervoor niet te vervolgen. Maar wat nou als er een andere tot dusver onbekende journalist zou zijn die precies hetzelfde doet, maar redhanded gepakt wordt? Als hij hetzelfde verhaal als Peter vertelt, wordt dat dan ook geloofd? Ik zou denken van niet. Tegelijkertijd betekent dat dat Peter niet vervolgd is vanwege zijn reputatie, en daar wringt toch iets.

    Om terug te komen op Jack de Vries, het inbreken in zijn persoonlijke mailbox heeft in principe niets met zijn werk te maken, en is daarom wat mij betreft dan ook even illegaal als dat ieder ander persoon dit bij wie dan ook (ongevraagd) zou doen. Echter, wat nou als er allemaal stukken in zijn mailbox werden aangetroffen die wel met de staatsveiligheid te maken hebben, is het dan wel gerechtvaardigd? En wat nou als zijn zakelijke mail was “gehacked” door middel van een bruteforce, was dit, indien succesvol, dan wel gerechtvaardigd? Dit is een lastige, maar uiteindelijk denk ik van wel omdat men prima een bruteforce-detectie had kunnen installeren, en het toont toch een probleem aan dat staatsveiligheid betreft.

  6. Is het plegen van computervredebreuk op de prive-mailbox van een persoon verdedigbaar? Mijn antwoord is in de meeste gevallen niet en zeker niet om “de beveiliging van de mailbox te testen”. Hoe dan ook, ik kan me geen verdediging voorstellen voor het plegen van computervredebreuk op 14.000 [*] willekeurige computers om een botnet te bouwen voor brute-force cracking. Het was ook mogelijk geweest om een aantal computers aan te schaffen of te huren. Een tweede probleem is dat Nieuwe Revu het risico genomen heeft dat de betreffende mailserver plat zou gaan onder een DDoS aanval van honderden aanmeldpogingen per seconde. Met zoveel schade (schoonmaken van 14000 computers) en potentiele schade bij de ISP kan ik het gedrag van de Nieuwe Revu journalisten niet anders beoordelen dan onverantwoordelijk. Het gaat hierbij vooral om de schade aan de omstanders. (geldt de boete van ???16.750 per computer of is het voor alle 14.000 samen?)

    [*] Er doen twee verschillende getallen de ronde, 14.000 en 40.000.

  7. Ik vind de mate van beveiliging van het priv? emailaccount van de Staatssecretaris van Defensie wel een zaak van landsbelang – ofwel van Staatsveiligheid. Een spion heeft zeker wel belang bij de inhoud van die mailbox, om de volgende redenen: 1. Het is niet ontdenkbaar dat er vertrouwelijke informatie van defensie uit is te halen (ook al mag die misschien officieel niet in de priv?-emailbox terecht komen); 2. Er kan heel goed informatie in worden aangetroffen die kwaadwilligen zouden kunnen gebruiken om de Staatssecretaris onder druk te zetten; 3. De informatie is van belang voor de persoonsbescherming. Een lid van het kabinet is een aantrekkelijk doelwit voor een terrorist, die dus graag van te voren wil weten wanneer een bewindspersoon bijvoorbeeld bij zijn tante op bezoek gaat.

    Dit zijn allemaal in principe wel echte risico’s, maar het is ook wel een beetje vergezocht. Zo gigantisch groot zijn die risico’s niet. Ik betwijfel dan ook of dit voldoende rechtvaardiging is voor een zo ver gaande actie als deze.

  8. Journalisten mogen de wet niet overtreden, maar als ze dat doen en binnen de grenzen van hun beroepsethiek blijven, neigt de rechter tot lagere straffen of legt zelfs helemaal geen straf op (bij een wel schuldig verklaring).

    Ik ben het met je eens dat het vonnis in die 1995-zaak niet eenduidig is, maar in het boek van Gerard Schuijt (Vrijheid van nieuwsgaring) wordt geschetst dat er wel degelijk sprake is van een patroon van uitspraken. Essentie: de wet overtreden mag niet, maar wordt in het geval van journalisten nog wel eens gebillijkt.

  9. Hmm, Revu heeft eigenlijk alleen aangetoond dat De Vries zo naief is om zijn email-wachtwoord in een andere applicatie dan zijn mailsoftware in te vullen. Een nogal domme beginnersfout die een staatsercretaris niet zou moeten begaan: welke securitymaatregelen kunnen d??r tegenop?

    Ik ben het met Peter Rozemaal eens dat ze wel ?rg veel resources hebben gebruikt om dat aan te tonen. Een beetje journalist had natuurlijk op een eenvoudigere manier aangetoond dat De Vries qua security-kennis naief is.

  10. @Arnoud, dat m??nde ik ergens gelezen te hebben, dat het om een trojaans spelletje ging, dat na 3 keer spelen om mail+wachtwoord vroeg…

    Maar ik kan dat inderdaad nergens terugvinden. Het zal dus via die 1017/117 pogingen per seconde zijn gebeurd. In dat geval treft De Vries helemaal geen blaam, lijkt mij. En heeft de Revu met een kanon op een mug geschoten om “iets aan te tonen.”

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.