De reacties volgen op het artikel in Revu gisteren, waarin wordt uitgelegd hoe een hacker zich toegang tot de privémailbox van Defensie-staatssecretaris Jack de Vries wist te verschaffen.

Botnet van 14.000 pc's

Daarvoor schreef hacker 'Jeroen' een game met kwaadaardige payload die via Hyves werd verspreid. Met het zo gecreëerde botnet van 14.000 pc's werd de mailaccount van De Vries middels een bruteforce dictionary-aanval gekraakt.

"Dit is een verhaal waarbij je van te voren kunt inschatten dit gaat gewoon lukken", zegt Ronald Prins, directeur bij beveiligingsbedrijf Fox IT tegenover Webwereld. "Het is hetzelfde als een straat inlopen en kijken of we in een huis kunnen inbreken. Dat lukt." Voor hem heeft het verhaal dan ook geen waarde. Cynisch: "Ik vind het prachtig dat je kunt inbreken in het privémailadres van een staatssecretaris."

Hij verwacht dat Justitie nog langskomt en dat de auteur toch nog wel een "goede douw kan gaan krijgen." Bij het lezen van het artikel vroeg Prins zich wel af of "dit de journalistiek van tegenwoordig is." "Ik vind ook niet dat je dit onder het journalistiek cover van het landsbelang kunt gaan doen."

Riooljournalistiek

Joran Polak, hoofdredacteur van beveiligingswebsite Security.nl, heeft geen goed woord voor de actie over: "Dit is te walgelijk voor woorden. Dit is riooljournalistiek pur sang." Hij wijst erop dat er weinig wordt aangetoond met het kraken van de e-mail. "Wat ze gedaan hebben is een botnet bouwen", vertelt hij tegenover Webwereld. Hij hoopt dan ook dat aangifte volgt van de Hyvers die de malicieuze game installeerden, omdat hun computer bewust misbruikt is.

Polak benadrukt dat de situatie heel anders is dan bij de e-mail van Sarah Palin, die ook voor zakelijke doeleinden is gebruikt. "Dat is een heel andere situatie dan met Jack de Vries, die gewoon een normaal wachtwoord op zijn mail heeft gebruikt, die is afgeschermd", betoogt de expert. "Hij heeft geen rondslingerende geheime vragen. Hij loopt ook niet met zijn e-mailadres te koop. Dus ja uiteindelijk is dit een puur misdrijf."

Vervolging noodzakelijk

Bart Jacobs, hoogleraar beveiliging bij de Radboud Universiteit in Nijmegen, vindt het verstandig dat er aangifte is gedaan. "Ik vind het ook wel verstandig als het Openbaar Ministerie hier ook iets mee zou doen", zegt hij tegenover Webwereld. "Hier zijn grenzen overschreden en dat mag ook worden duidelijk gemaakt."

De dader 'Jeroen' is volgens hem dan ook niet te classificeren als een goede hacker. Jacobs erkent dat er niets kwaadaardigs met de informatie is gedaan. "Wel is het zo dat hij zonder scrupules is in de zin dat hij 14.000 machines besmet om zijn doel te bereiken en daar geen probleem in ziet.", stelt hij. "Dus relatie-middelen-doel is hier toch enigszins zoek en dat is niet iets dat je verwacht bij een white hat hacker."

Hij wijst erop dat volgens het artikel in de Revu de hacker in kwestie ook wel eens in opdracht van zijn baas openstaande access points zoekt en dan het bureaublad van computers verandert. "Dat wijst erop dat hij niet helemaal zijn grenzen kent."

Toch ziet Jacobs wel een lichtpuntje aan de affaire. "Als ik er iets positiefs over te zeggen heb dan is het toch wel dat je ziet hoe bad guys te werk gaan met dit soort dingen", stelt hij.

Schending van de privacy

Maarten Hilbrandie van het Ministerie van Defensie wijst erop dat de zaak eigenlijk geen zaak van zijn organisatie is. Er is volgens hem mogelijk sprake van een mogelijk inbreuk op de privacy van de bewindvoerder. "Dan doe je aangifte." Ook wil hij graag kwijt dat de "grens van het betamelijke verder wordt opgerekt."

"Ik weet niet of ik het daar helemaal mee eens ben", reageert Jacobs op de scheiding tussen privépersoon en publieke functionaris. "Het is in het algemeen toch zo dat bij publieke figuren in Nederland het enigszins geaccepteerd wordt dat sommige aspecten van het privéleven ook maatschappelijk relevant zijn. Dus zo scherp is dat onderscheid niet."

Staatsveiligheid

De auteur van het artikel, Nick Kivits, wijst er in een reactie op dat hij alleen het artikel heeft geschreven in opdracht van Revu, die ook met het idee is gekomen. "Ik heb alleen als middle man gefungeerd en ik heb niet gehacked", zegt hij tegenover Webwereld. "We hebben het artikel geschreven om te laten zien dat iedereen te hacken valt. In het kader van staatsveiligheid heet dat dan."

Over de aangifte tegen Revu heeft Kivits wel een duidelijke mening. "De heer de Vries kan ook niet anders, want als hij dit over zijn kant laat gaan dan is het hek van de dam", stelt hij. "Ik geef hem groot gelijk dat hij aangifte doet. Dat sowieso."

De kritiek van Jacobs op de hacker pareert hij door te stellen dat hij geen grenzen heeft overschreden. "We hebben niks misdaan met de gegevens, we hebben ze niet bekend gemaakt."

Spijt heeft Kivits niet. Hij stelt dat zijn doel was om het verhaal "out there" te krijgen en te laten zien dat mensen kwetsbaar zijn. "Dit maakt impact, mensen praten hierover. Nu zijn er veel mensen die denken 'ik heb ook de naam van mijn hond met cijfertje 1 als wachtwoord'."

Webwereld heeft diverse malen zonder succes een reactie proberen te krijgen van de redactie van Revu. Ook Hyves reageerde niet op een verzoek om commentaar. De gesprekken met de betrokkenen en experts zijn te beluisteren als podcast van De Beveiligingsupdate.