Henk Krol krijgt pluim en boete voor journalistieke hack EPD

| AE 5127 | Security | 38 reacties

Henk Krol is schuldig bevonden aan computervredebreuk en krijgt een boete van 750 euro, meldde Webwereld vrijdag. De rechtbank vindt wel dat hij zorgvuldig te werk ging bij het in kaart brengen van het lek. Vorig jaar had de politicus van een tipgever gehoord dat patiëntgegevens eenvoudig in te zien waren: er bleken accounts te zijn waarvan usernaam en wachtwoord hetzelfde (en vijf tekens lang) waren. Die misstand aan de kaak stellen was gepast, maar hij had niet zo veel dossiers mogen opvragen als hij had gedaan. En meteen naar de media rennen was ook niet helemaal zoals het hoorde.

De beveiliging van een gevoelig medisch systeem zoals een EPD is natuurlijk al snel nieuwswaardig. En bij beginnersfouten zoals gelijkluidende gebruikersnamen en wachtwoorden (of wachtwoorden van vijf tekens) is het dan ook al snel goed om aan de bel te trekken. Maar, een beetje ethisch hacker seint éérst de dienstverlener in en geeft deze een kans het probleem te herstellen. En dat is waar Krol een beetje te snel ging: na één afpoeiertelefoontje al naar de pers stappen is niet hoe het hoort. En dat de telefoniste hem niet wilde doorverbinden met een verantwoordelijke maar zei dat hij maar een brief moest sturen, maakte daarbij niet uit. Hij had op zijn minst kunnen wáárschuwen dat hij journalist was en dat het hem ernst was.

Ook het feit dat er geen technisch probleem met de beveiliging was, maar enkel één gebruiker met een dom wachtwoord, maakte dat de actie nogal overtrokken was, aldus de rechtbank. Er was geen aanwijzing dat die zwakke wachtwoorden een epidemie (haha, hij zei epidemie en het is bij een EPD) waren. En bij één dom wachtwoord al de pers bellen, gaat wat snel. Daar heb ik dan weer moeite mee: dat één zo’n zwak wachtwoord kan, bewijst dat er geen adequate checks op wachtwoorden zitten. En dan durf ik wel te zeggen dat er meer henk/henk userpasswordcombinaties zijn.

En zoals verwacht maakt de rechtbank er ook een stevig punt van dat Krol in aanwezigheid van de cameraploeg van Omroep Brabant diverse dossiers had opgevraagd, in plaats van alleen de strikt noodzakelijke. “Mede gezien het feit dat het hier om uiterst gevoelige, medische gegevens gaat van patiënten”, heet het dan. Maar, eh, is niet juist het nieuws dát er zo veel dossiers op te vragen zijn met zo’n zwak wachtwoord? Kun je dat nieuwsfeit wel onderbouwen met één opvraging van één dossier? Maar oké, hij had een paar vrienden kunnen vragen of hij hun dossier mocht lichten als bewijs, in plaats van random users.

Daarbij woog ook nog mee dat Krol bepaalde gegevens meermalen opvroeg. Dat bewijst volgens de rechtbank dat hij niet zorgvuldig te werk ging. Hm. Ik zou denken, als ik in zo’n systeem zit dan ga ik ook eerst op knoppen drukken om te zien of het écht is, en pas als ik van de schrik bekomen ben, zou ik m’n printscreenknop te voorschijn halen. En ja, dan sta je dus dingen twee keer op te vragen.

De rechtbank twijfelt bij dit alles niet aan de goede bedoelingen van verdachte, aldus de rechtbank. Daarom wordt de geëiste boete naar €750 euro gezet.

De meer dan een ton aan schadeclaim van het zwakkewachtwoordentoelatende DvU wordt teruggebracht tot € 1.000afgewezen. De rechtbank kan niet vaststellen of sprake is van voldoende causaal verband tussen de hack en de geclaimde schade, want die is maar matigjes onderbouwd. Ook is niet duidelijk in hoeverre de schade als “eigen schuld” aan te merken is, en dat is toch echt een grond om een schadevergoeding te verlagen.

Ik ben nu wel aan het twijfelen: was het nu echt zo overtrokken wat Krol deed? Moet je bij een zwak wachtwoord op een EPD-account inderdaad maar een brief sturen en na de mededeling “dank u, het wachtwoord is gewijzigd” het erbij laten? Ligt het nou aan mij of ís het gewoon nieuws dat dit kon gebeuren?

Arnoud

Henk Krol, EPD-hacker, eh wacht, wat?

| AE 4801 | Security | 21 reacties

Medisch onderzoekscentrum ‘Diagnostiek voor U’ gaat schadevergoeding eisen van Kamerlid Henk Krol die in april een EPD-lek heeft onthuld, meldde Webwereld. Hij downloadde eerder dit jaar medische dossiers via het EPD nadat hij erachter kwam dat patiëntgegevens eenvoudig in te zien waren: er bleken accounts te zijn waarvan usernaam en wachtwoord hetzelfde (en vijf tekens lang) waren. Een gevalletje “let’s shoot the messenger”, lijkt het.

Natuurlijk, je mag niet inloggen op een account waar je geen officiële toegang toe hebt. Of het wachtwoord sterk of zwak is, maakt voor de wet niet uit. Computervredebreuk is computervredebreuk. Maar wanneer het nieuwsbelang zeer groot is, kán het zijn dat de rechter de strafwet buiten toepassing laat of je laat wegkomen met een schuldigverklaring zonder straf. Een bekend al wat ouder voorbeeld is de Revu-hack, waarbij het tijdschrift de privé-e-mailbox (brr wat een woord) van toen-staatssecretaris Jack de Vries wist te bruteforcen. Dat mocht van de rechter, hoewel het daarna snuffelen in de mailtjes alsnog werd bestraft.

Die zaak doortrekken zou betekenen dat Krol wél had mogen kijken of het klopt, die debiel slechte wachtwoorden, maar dat hij niet vervolgens allerlei dossiers had mogen opvragen. Want dat iedere ingelogde user bij ieder dossier kan, is een feature en geen bug. De nieuwswaarde daarvan is dus nul.

DvU pakt wel heel stevig uit met hun schadeclaim: alle gemaakte uren plus facturen van een extern bedrijf voor alle noodreparaties en herstelwerk. Of je dát allemaal aan Krol kunt wijten, waag ik toch te betwijfelen.

En hoe je dan boven een ton uitkomt al helemaal. Ik kan me dat bedrag alleen voorstellen als ze naast het noodwerk ook de tijd voor structurele verbeteringen hebben meegeteld. En dát mag niet, zo bleek uit de DDoS-kabouterschadeclaimzaak waarin overheidsautomatiseerder ICTU een dikke vier ton vorderde voor oplossen problemen en structureel herstel van schade. Nee, zei de rechter:

Slechts de kosten, gemaakt ten behoeve van de oplossing van de crisissituatie, ontstaan als gevolg van de aanvallen, kunnen aan gedaagden worden toegerekend. Kosten als gevolg van structurele (beveiligings)maatregelen dienen voor rekening van ICTU te blijven.

Ik kan me niet voorstellen dat de situatie hier anders is.

Overigens, zoals mijn collega Matthijs al schreef, Krol zal niet wegkomen met dat hij parlementariër is: alleen voor uitlatingen tijdens de vergadering van het parlement heeft hij immuniteit. Het zou wel wat zijn om dan eens live een hack uit te voeren, maar dat terzijde.

Arnoud

Belgische spoorwegmaatschappij verbiedt deeplinken naar zijn site

| AE 2134 | Informatiemaatschappij, Iusmentis | 24 reacties

belgieDe Nationale Maatschappij der Belgische Spoorwegen verbiedt sites om naar zijn internetpagina’s te linken, meldde Tweakers gisteren. Linken naar de startpagina mag alleen na toestemming:

Om een link te leggen, dient u de hierna volgende procedure te volgen:
  • u vraagt per e-mail (communicatie@b-holding.be) aan de NMBS of u een link mag leggen, met vermelding van de naam van de site, van de verantwoordelijke ervan en van het doel waarvoor de link wordt gevraagd; en
  • u verklaart uitdrukkelijk in voormelde e-mail dat u de voorwaarden van de NMBS om een link te leggen alle zonder enig voorbehoud aanvaardt en zal respecteren; en
  • de NMBS onderzoekt uw aanvraag en geeft u, voorafgaandelijk aan het leggen van de link, per e-mail haar akkoord of desgevallend haar weigering.

Kan dit ook in Nederland, vroegen diverse mensen mij.

Nee, dit kan niet. Het is een volstrekt uitgemaakte zaak dat een gewone hyperlink naar een gewoon vrij online staande webpagina niet verboden kan worden. Pas als je linkt naar iets dat niet online hoort te staan of naar een pagina die niet direct toegankelijk hoort te zijn (maar dat door bv. een programmeerfout is) kán dat anders komen te liggen. Dat blijkt bv. uit de zaak Deutsche Bahn vs Indymedia) en XS4All/Deutsche Bahn).

Een site kan natuurlijk wel op basis van de referer mensen blokkeren die via jouw link op hun site komen. Het is hun site dus zij bepalen wie erop mag (Ab.Fab/XS4all).

Arnoud

Bericht verwijderd, excuses

| AE 1531 | Ondernemingsvrijheid, Uitingsvrijheid | 19 reacties

Gistermiddag stond op deze plaats een blogbericht dat als 1-aprilgrap bedoeld was. Ik had me echter niet gerealiseerd dat dit bericht gemakkelijk verkeerd te lezen zou zijn geweest. Hierdoor heb ik een aantal personen zwaar geschoffeerd, hetgeen ik ten zeerste betreur want dat was niet mijn bedoeling. Mijn welgemeende excuses aan de betrokkenen. Ik heb… Lees verder

Tim Kuik heeft zelf een gaatje in zijn hoofd

| AE 1422 | Intellectuele rechten | 47 reacties

Ik word niet snel kwaad maar nu ben ik het wel. “Je betaalt er niet voor, dus is het niet legaal”, zegt DLA Piper advocaat Carja Mastenbroek in de Volkskrant. Dit naar aanleiding van oprispingenuitlatingen van Tim Kuik dat “aankoopvervangend downloaden” niet onder de thuiskopieregeling zou vallen. “Wie denkt hij rechtmatig handelt als hij een… Lees verder

Petitie Vroeg Op Stap vanwege digitale handtekeningen ongeldig

| AE 937 | Informatiemaatschappij | 5 reacties

De petitie van actiegroep Vroeg Op Stap blijkt ongeldig, meldt onder andere Nu.nl. De groep wil vervroegde horecasluitingstijden wettelijk laten vastleggen, en had daarvoor een website opgezet waar sympathisanten hun handtekeningen konden achterlaten. Met 40.000 handtekeningen kun je dan een wetsvoorstel op burgerinitiatief indienen. Vroeg Op Stap had er meer dan 120.000. De commissie burgerinitiatieven… Lees verder

Pornografische pleitnota

| AE 465 | Iusmentis | Er zijn nog geen reacties

Homoporno in de pleitnota. Ja, dat kan, en antispelletjeskruisvaarder Jack Thompson deed het ook nog: The attached exhibit, which includes several graphic images of oral and genital sex between adult males, was filed electronically in the docket in this case, without prior permission from the court… To the extent that the other attorney’s alleged conduct… Lees verder