Henk Krol, EPD-hacker, eh wacht, wat?

| AE 4801 | Security | 21 reacties

Medisch onderzoekscentrum ‘Diagnostiek voor U’ gaat schadevergoeding eisen van Kamerlid Henk Krol die in april een EPD-lek heeft onthuld, meldde Webwereld. Hij downloadde eerder dit jaar medische dossiers via het EPD nadat hij erachter kwam dat patiëntgegevens eenvoudig in te zien waren: er bleken accounts te zijn waarvan usernaam en wachtwoord hetzelfde (en vijf tekens lang) waren. Een gevalletje “let’s shoot the messenger”, lijkt het.

Natuurlijk, je mag niet inloggen op een account waar je geen officiële toegang toe hebt. Of het wachtwoord sterk of zwak is, maakt voor de wet niet uit. Computervredebreuk is computervredebreuk. Maar wanneer het nieuwsbelang zeer groot is, kán het zijn dat de rechter de strafwet buiten toepassing laat of je laat wegkomen met een schuldigverklaring zonder straf. Een bekend al wat ouder voorbeeld is de Revu-hack, waarbij het tijdschrift de privé-e-mailbox (brr wat een woord) van toen-staatssecretaris Jack de Vries wist te bruteforcen. Dat mocht van de rechter, hoewel het daarna snuffelen in de mailtjes alsnog werd bestraft.

Die zaak doortrekken zou betekenen dat Krol wél had mogen kijken of het klopt, die debiel slechte wachtwoorden, maar dat hij niet vervolgens allerlei dossiers had mogen opvragen. Want dat iedere ingelogde user bij ieder dossier kan, is een feature en geen bug. De nieuwswaarde daarvan is dus nul.

DvU pakt wel heel stevig uit met hun schadeclaim: alle gemaakte uren plus facturen van een extern bedrijf voor alle noodreparaties en herstelwerk. Of je dát allemaal aan Krol kunt wijten, waag ik toch te betwijfelen.

En hoe je dan boven een ton uitkomt al helemaal. Ik kan me dat bedrag alleen voorstellen als ze naast het noodwerk ook de tijd voor structurele verbeteringen hebben meegeteld. En dát mag niet, zo bleek uit de DDoS-kabouterschadeclaimzaak waarin overheidsautomatiseerder ICTU een dikke vier ton vorderde voor oplossen problemen en structureel herstel van schade. Nee, zei de rechter:

Slechts de kosten, gemaakt ten behoeve van de oplossing van de crisissituatie, ontstaan als gevolg van de aanvallen, kunnen aan gedaagden worden toegerekend. Kosten als gevolg van structurele (beveiligings)maatregelen dienen voor rekening van ICTU te blijven.

Ik kan me niet voorstellen dat de situatie hier anders is.

Overigens, zoals mijn collega Matthijs al schreef, Krol zal niet wegkomen met dat hij parlementariër is: alleen voor uitlatingen tijdens de vergadering van het parlement heeft hij immuniteit. Het zou wel wat zijn om dan eens live een hack uit te voeren, maar dat terzijde.

Arnoud

Deel dit artikel

  1. Mijn eerste gedachte die ik kreeg toen ik las dat hij een set dossiers had gedownload was: wat dom. Wat ik begreep is dat hij van willekeurige mensen het dossier heeft opgevraagt wat in mijn non juristen veronderstelling op zijn minst een zware inbreuk op de privacy is. Wat dus een hele makkelijke oplossing is, is het downloaden van je éigen dossier en dat van Pietje die jou helpt of partijmaat X die ook het punt wil maken. Klopt het dat de rechter in zon geval waaschijnlijk meer de neiging heeft om je ermee weg te laten komen? Je hebt immers ook netjes geprobeerd niet andermans privacy te schenden, maar toont wel het lek aan.

    • Het doet me denken aan die man die wilde aantonen dat automatische incasso’s slecht beveiligd zijn. Hij deed dat door € 739.435,80 bij 93 willekeurige mensen af te boeken, en dat werd tot aan de Hoge Raad als computervredebreuk gezien.

      Verdachte had ter onderbouwing van zijn stelling bijvoorbeeld kunnen kiezen voor een opdracht tot incasso, al dan niet van een groot bedrag, ten laste van een bij zijn onderzoek betrokken persoon of instelling en daaraan publiekelijk de conclusie kunnen verbinden dat zijn actie evenzeer een niet betrokken persoon of instelling had kunnen betreffen.
      Natuurlijk kun je zeggen, als ik het bij drie man doe dan valt het niet op dus ik móet het wel bij een grote club mensen testen maar dat zou ik pas doen nadat het bij drie man inderdaad niet opviel. En dan nog liever 20 man die je kent van de sportschool dan 20 willekeurige rekeningnummers.

      (Het is overigens écht waar dat incasso’s volstrekt debiel beveiligd zijn, ik kan sinds een jaar via mijn bedrijf van ieders rekening een willekeurig bedrag afboeken en er kan hooguit achteraf iets tegen worden gedaan.)

      • Het is overigens écht waar dat incasso’s volstrekt debiel beveiligd zijn, ik kan sinds een jaar via mijn bedrijf van ieders rekening een willekeurig bedrag afboeken en er kan hooguit achteraf iets tegen worden gedaan.

        Dat heeft volgens mij niks met beveiliging te maken, maar met hoe het systeem van consumentenincasso’s is ingericht in Nederland (en binnen SEPA). Voor het gemak van beide partijen wordt geen mandaat vooraf van de consument gevraagd en in ruil daarvoor kan de klant zonder opgaaf van reden het bedrag weer terug laten boeken binnen 60 dagen. Na die periode heb je geloof ik nog 13 maanden waarin je als incasseerder het mandaat moet kunnen overleggen.

        Als ik me niet vergis is voor B2B incasso’s wel een mandaat vooraf vereist en dus ook geen terugboeking achteraf mogelijk.

        Dat kun je debiel noemen, maar ik vind dat een verdedigbare keuze.

        • Ach, omdat de consument terug kan laten boeken, zit bij een malafide incasseerder de pijn tussen incasseerder en bank. De bank bepaalt (mede) hoe het contract met de incasseerder eruit ziet, en is daarbij vrijwel altijd de grotere partij. Bankieren is blijkbaar nog steeds vertrouwen, maar ik kan me voorstellen dat de heer Otto Plichter minder makkelijk een contract krijgt dan de respectabele firma van Arnoud. Wat wel heel wazig is, is dat je niet via internet een machtiging af mag geven, maar alleen op papier. Dat sluit niet erg aan bij de praktijk van vandaag. Met de nieuwe SEPA incasso komt daar ook verandering in. Overigens komt de B2B incasso zonder terugboekmogelijkheid ook pas met SEPA, en zijn de voorwaarden daarvan dermate strikt dat EN niemand zich eraan gaat houden (2 weken vooraankondiging naar de klant) EN heel weinig bedrijven deze gaan gebruiken (opnieuw handtekening halen bij de klant + klant moet de bank actief informeren met toestemming.) Daarnaast zullen niet alle banken deze methode ondersteunen.

  2. ‘Natuurlijk’ staat het downloaden van je eigen dossier in dit systeem technisch gelijk aan het downloaden van een willekeurig ander dossier. Maar juist het zonder toestemming kunnen downloaden van een willekeurig (of het is misschien interessanter om een heel specifiek dossier te kunnen downloaden) dossier is wat er zo fout is aan het EPD.

    Ik heb nog niet ergens gelezen WAT hij met die dossiers heeft gedaan. Als hij er alleen simpele persoonsgegevens uit heeft gehaald en ze meteen weer verwijderd heeft.

    Je schreef:

    Die zaak doortrekken zou betekenen dat Krol wél had mogen kijken of het klopt, die debiel slechte wachtwoorden, maar dat hij niet vervolgens allerlei dossiers had mogen opvragen.
    Een fatsoenlijk beveiligd systeem zou aan een account speciale rechten toe (kunnen) voegen. Dan zou je met zo’n makkelijk te kraken account misschien juist niet bij willekeurige dossiers kunnen en zou je dat dus wel even uit moeten proberen.

  3. Een wachtwoord diens zwakte maakt voor de wet niet uit? Bij veel websites en diensten wel hoor. Blijkt voor mij wederom sinds ik hier wel eens lees, dat wij een ‘ICT bezien juridisch systeem’ hebben uit 1900, welke zich zelfs dan nog amper over Zwitserse klokken kunnen uitlaten. Krol is, officieel dan wel fout, echter zoals bekend mag zijn , is er geen eis opgesteld door politici van ooit, dat ging eerder over wachtgeld en vergoedingen. Hij moet het boekje van orde kennen, ik betwijfel of dit er in staat, eveneens zoals met een ray ban zonnebril aanschaffen op staatsgeld. Het is heel aannemelijk dat Krol niet weet dat zijn ‘onaanraakbaar zijn’ alleen IN de parlementaire discussie het geval is.

    Indien Krol net als mensen van ‘wij vertrouwen stemcomputers niet’ (Waarbij de wet ook al door de praktijk voorbij gesneld is en dus de burger tegen cyber crimis moest worden afgeschermd, kansen weg nemen, buit er uit, deur op slot anders een boete/waarschuwing van de buurt agent) een actie ooit ivm auto diefstallen weet u nog?) die wet geld nog steeds denk ik?)

    Zoals ook blijkt is hij eigenlijk geen hacker, maar hebben heackers hem voor de kar gespannen. Met als doel openheid en klokken luiden omtrent wederom falende ict sloten op privacy gevoelige zaken. Komt er ook een boete voor nalatigheid voor het ziekenhuis, En voor de zaken niet op orde hebben? Of minimaal een openbare berisping, wegens slecht testen?

    Men zou hem op de blote knietjes moeten bedanken. Vervolgen…. wanneer is ‘den haag’ eens aan de beurt? op grond van slecht rentmeesterschap of zo, en anti-privacy, burger-belangen etc…

    In NL lijkt het altijd gekker te kunnen. “Buurman, uw lichten branden nog! , Wat? jij stalker ik ga je aangeven!”

  4. Want dat iedere ingelogde user bij ieder dossier kan, is een feature en geen bug. De nieuwswaarde daarvan is dus nul.

    Wat!? Dat lijkt me toch absoluut niet de bedoeling! Dan kan namelijk iedere medewerker van een ziekenhuis bij de gegevens van alle patienten in heel Nederland. Dat heeft zeker wel nieuwswaarde, aangezien een redelijk afgeschermd systeem alleen gegevens verstrekt aan daartoe bevoegde personen. Een willekeurige ziekenhuismederwerker is natuurlijk geen bevoegd persoon.

    (edit: bold in blockquotes werkt niet meer.. even de quote bijgeknipt)

  5. Sowieso een rare reactie van Diagnostiek voor U (die naam alleen al). Stel dat Krol de krant had gebeld. “Wist u dat bij Juwelier Jansen de deur gewoon open staat? Kijk maar, dit prijskaartje heb ik zojuist uit de etalage gehaald, is dat niet een beetje raar?”. En vervolgens niet alleen wordt opgepakt wegens het beroven van de juwelier, maar bovendien de kosten voor de nieuwe beveiligingsinstallatie, de nieuwe deur en het onbreekbare glas moet betalen. En “de kosten van de medewerkers die nu, dat wordt vaak vergeten, opeens iets belangrijks moesten doen terwijl ze ook iets anders belangrijks hadden kunnen doen. Laten we wel wezen, als Krol niet had ingebroken dan hadden we al die investeringen niet hoeven doen.”

  6. > Wat ik begreep is dat hij van willekeurige mensen het dossier heeft opgevraagt wat in mijn non juristen veronderstelling op zijn minst een zware inbreuk op de privacy is.

    Voor mij is nu juist de nieuwswaarde dat hij de dossiers van willekeurige mensen kon inzien. Als hij in het systeem kon komen en toch géén dossiers kon inzien vond ik de hack minder relevant. Dus als hij wilde aantonen dat er een relevant lek is in het systeem, dan is het logisch dat hij probeert te kijken of hij dossiers van anderen kan inzien. En wat mij betreft is ie daar in geslaagd.

  7. Een belangrijk punt om te onthouden is het feit dat de heer Krol totaal geen verstand heeft van computers, net als een groot deel van de rest van Nederland. Mensen weten wel hoe ze een tablet, telefoon of computer aan moeten zetten, hoe ze spelletjes kunnen opstarten of Word, of de Internet-browser. Velen zullen ook nog wel weten hoe Google, Bing of Yahoo werken en hebben vast wel enkele “social accounts”. Maar voorbij dit punt houdt de kennis voor velen gewoon op. Laat staan dat ze weten wat nou eigenlijk wel of niet mag op het Internet.

    Voor hackers is het vaak de vraag op welk punt je genoeg hebt aangetoond dat een systeem kwetsbaar is. Dat is b.v. het geval als je kunt inloggen en een enkel dossier kunt opvragen. En als je ziet dat deze met succes is opgevraagd moet je direct stoppen, zonder het dossier verder in te kijken. Voor wie onbekend is met hacken is het lastig om die grens te bepalen. Het doel is namelijk om aan te tonen dat je eenvoudig bij dossiers kunt komen. Dat lukt dus al met 1 poging. Maar gebrek aan kennis maakt onzeker, waardoor beginners vaak te lang door blijven gaan, en dat is niet goed. Beginnelingen blijven vaak te lang doorgaan uit onzekerheid.

    Toch is het een enorm duidelijk signaal dat zelfs een leek als de heer Krol zo eenvoudig in het systeem weet te komen. Dan is er niet nagedacht over beveiliging en als je niet nadenkt over beveiliging, is er dan wel beveiliging? Ik denk dat de ICT-wereld gewoon een duidelijk statement moet maken: als een beveiligings-systeem ze zwak is als een toiletpapiertje in een plas water, dan is er gewoon geen sprake van beveiliging. Er moet gewoon een minimum-eis gesteld worden voordat een systeem aangemerkt kan worden als beveiligd.

    • @Wim, we kunnen hier heel hard discussiëren of je nu een, twee of drie dossiers moet opvragen om aannemelijk te maken dat alle dossiers via betreffende login op te vragen zijn, maar dat is niet zo relevant hier. De relevante actie is dat Krol de publiciteit heeft gezocht met een veiligheidsgat ter grootte van een volledige privé-kliniek.

      Dat betekent dat Krol zich kan beroepen op “het openbaarmaken van een misstand” (de opstelling van de Diagnostiek-directie doet me vermoeden dat ze de misstand graag hadden laten voortduren.) De rechter zal bij de beoordeling van deze zaak Krol’s rechtvaardiging meewegen; een aanzienlijke kans dat hij vrijgesproken wordt. (Zie de eerdere uitspraken mbt. journalistieke hacks.)

      • Mathfox, Arnoud noemt zelf al de Revu-zaak waarbij journalisten met brute-force een email account wisten te hacken, wat mocht. Om vervolgens door de emails te snuffelen maar dat ging weer te ver. Er was al aangetoond dat de toegang te hacken was, dus had het daarbij moeten blijven volgens de rechter. Idem voor Krol die na het ophalen van 1 dossier al voldoende bewijs had dat er een lek was, maar desondanks doorging met bladeren om… Tja, met welk doel eigenlijk? Want 1 dossier of drie dossiers maakt geen verschil. Krol is eigenlijk schuldig, maar zou ervoor niet gestraft moeten worden. Een duidelijke waarschuwing zou genoeg moeten zijn. En de schadeclaim? Ik denk dat Medisch onderzoekscentrum ‘Diagnostiek voor U’ zelf een schadeclaim dient te ontvangen omdat hun patienten allemaal in hun privacy geschonden zijn! Maar ja, aan die schade is geen bedrag mee te verbinden zodat het sommetje op nul blijft staan. Maar dergelijke knullige ICT’ers moeten gewoon op straat gezet worden, zonder WW uitkering. Te knullig voor woorden!

        • Wim, laat ik eens een vergelijking maken met bestandspermissies. Ik kan “iedereen” toegang geven om de inhoud van een map op te vragen, maar daarbij op individuele bestanden alleen leesrechten toekennen aan bepaalde personen. Het feit dat Krol, ingelogd als “doctor Janssen” het dossier van “””zijn””” patiënt “mw. Pietersma” kan inzien is van een andere orde dan dat hij ook toegang heeft tot het dossier van “dhr. Klaasen” die “doctor Janssen” nooit gezien heeft. Maar zoiets wil Krol wel graag aantonen; dat zijn twee dossiers te openen. (Voor de niet-beveiligingsexperts: Als de data “gecompartimenteerd” is, is de privacy-schade van een gehackt account beperkt tot een kleine groep patiënten; nu zijn alle patiënten de klos.)

          • Mathfox, als ik het WebWereld artikel nalees heeft Krol niet alleen drie dossiers geopend maar ook gedownload, kennelijk om offline te bekijken. Waarom moet je die dossiers ook nog eens inzien? Dat kan als je er 1 hebt, maar drie dossiers inkijken? Uiteindelijk zal een rechter zich nu moeten buigen of Krol het bij 1 dossier had moeten houden of dat er redenen waren om meer dossiers door te nemen. Daarvoor hebben wij eigenlijk te weinig details over wat er precies is gebeurd met die dossiers.

            Maar goed, toegeven dat hij fout is geweest en geen straf/schadevergoeding. Dat lijkt mij de beste uitkomst in deze kwestie. En als ik ‘Diagnostiek voor U’ zou zijn dan zou ik zo snel mogelijk proberen alle publiciteit te stoppen over deze zaak want ze staan echt met hun broek om hun enkels. Deze aanklacht is gewoon wat extra ‘Streisand-effect’ over de gehele kwestie: meer negatieve publiciteit en Krol die als leek een helden-onthaal krijgt bij hackers, inclusief een martelaars-status…

        • Inderdaad mathfox. Voorts schijnt het bij hackers zo te zijn dat 1 file geen bewijs is, dat kunnen script kiddies met cookies en een open sessie ook. Nee dan anonymous, als die claimen er 100.000 zo te hebben kunnen bemachtigen zonder amper te hacken uberhaupt, ja dan bewijzen ze dat door er van bijv. elke letter (personen) bijv. 100 te plaatsen op pastebin. Dus dat hij er bijv. 5 uit diverse mappen haalt en ook kOn halen uberhaupt, vertelt 1 ding, nog buiten al het juridische om, EPD , slecht geregeld. Overigens denk ik dat pastebin ook nog aan bod zal komen t.z.t., want ze fasciliteren, net als usenetproviders en e-koerier diensten… Dat wordt nog wat, want stel je zet met graffitie heel groot gegevens van de president op een groot gebouw in een druk centrum. Is de eigenaar van het gebouw dan mede-schuldig omdat hij ruimte ‘bood’ voor graffiti?

          Krol had het anoniem naar journalisten moeten twitteren, of whatsappen, op de manier dat hij geen 2e vinkje krijgt uiteraard, had niemand wat kunnen bewijzen.. Geen 2e vinkje is voor NL rechters inmiddels namelijk ‘mogelijk verzonden maar zeker (‘aannemlijk’) niet ontvangen’.

          Hopelijk is Krol zo slim geweest alles op zijn pc te deleten, overschrijven, shredden, wat hij in heeft gekeken. Dat hij er dus niets negatiefs mee doet. Dan zal zijn nek uisteken en veroordeling hem vast stemmen opleveren. Helden, daar moeten we zuinig op zijn.

    • Wim, helaas gaan rechters gewoon door op oude kennis, de politiek blijft achter, de verkeerden krijgen met de knoet. ICT muss zijn zo lijkt het wel, terwijl juist de experts waarschuwen voor een gesloten wereld enerzijds vanuit politiek, maar, in de praktijk, open en bloot voor waar het burgers betreft. Ook het motief zie ik niet echt meegewogen, evenals uitvoering (heeft hij de verkregen info verspreid?, perst hij mensen af met kennis van hun zaken?) Waarom nu geen ‘voordeel van de twijfel’? IK ben heel blij als politici ballen tonen om de massa te beschermen tegen overheids- en aanverwante zaken. Niet in het minst als het gaat om voor ‘iedereen’ te hacken zaken op internet. Er is kennelijk bij dat hele EPD geen eis gesteld aan beveiliging niveau, of een lijst met namen wie er in kunnen, zodat bij data handelen (wat gaat gebeuren, vast al is gebeurt ook..) er een kleine groep verdachte personen is, of… als men gehackt is, dat er dus een systeem is dat die hack zo makkelijk mogelijk terug te vinden is. Persoonlijk ben ik om deze en nog wat reden anti-EPD. Voorheen, zonder EPD werkte het ook. Als iemand nu iets er fout in zet, dan is de volgende die het uitleest zonder twijfels en maakt dan dus een fout. Stel dat gebeurt bij een rijke familie en die klagen aan, dan moet de uitvoerder maar aantonen wie de foute invoer er in zette. Nu kan (misschien is dat wel, weet ik niet) men er wel bij zetten wie de veranderingen invoert, echter in de praktijk zegt een arts toch een keer, hier ‘mien de assistente’ de code, zet er ff dit en dat in.

      Anderzijds ben ik democraat, dus wie wel een EPD wil, niet met privacy en fouten zit, daar mag dat systeem er best voor zijn natuurlijk. Nothing to hide toch? Waarom geen totaal open systeem dan, voor burgers EN overheid (minus nucleaire / militaire e.d. zaken) http://www.youtube.com/watch?v=70pVjsiIdk <– dat clipje is al heel vaak verwijderd. Staat nu op 700 nog wat views, dat is ook wel eens 70.000 geweest. Gelukkig heeft o.a. anonymous hem en na weghalen staat hij er vaak weer even op. Het legt ook niet-ICT ers uit wat de gevaren zijn van alles-in-de-ICT opslaande regeringen. En de fouten die er gewoon uit _zullen onstaan. Vrije keuze is dus het sleutelwoord. Wil je in een semi-open database, of niet?

  8. Als ik het goed heb kon Krol met de gebruikersnaam ‘12345’ en identiek wachtwoord in het systeem komen. Met zo’n beveiliging heb je helemaal geen hackers meer nodig. Verder heeft hij wel naar zijn eigen dossier gezocht, maar kon dat niet vinden. Hij heeft toen de dossiers van familieleden opgevraagd. Zonder het opvragen van een of meerdere dossiers heeft de hele zaak geen enkele nieuwswaarde. Dan kan het onderzoekscentrum het afdoen als dat de dossiers zelf niet toegankelijk waren, of dat er geen privacy-gevoelige informatie in stond.

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS