Want of je het nou wel of niet eens bent met het feit dat Gizmodo een gevonden prototype van de nieuwe generatie iPhones kocht, het was niet echt slim van die Apple-ingenieur om het apparaatje in een bar te laten slingeren. Maar een lek kan ook dingen onthullen die de organisatie liever niet onthuld zag. Op zijn minst komt het slordig over, en in het ergste geval is de schade aan de goede naam niet te overzien. Even voor de goede orde: dit gaat dus niet over security-gaten, maar over slordige of uit de school klappende medewerkers of externen.

Dure spionagesoftware die amper bestond

Zelfs (of misschien juist) een dienst als de Amerikaanse National Security Agency (NSA) ontkomt niet aan pijnlijke lekken en beschamende onthullingen. Eentje waar de dienst voor door het stof moest, was het lekken van documenten over Trailblazer in 2006 en 2007. Trailblazer is een project dat na de aanslagen van 11 september 2001 is gestart om al het data- en telecommunicatieverkeer te scannen op inhoud die met terrorisme te maken kan hebben.

Maar in 2006 begon een journaliste van de Baltimore Sun, Siobhan Gorman, artikelen te publiceren over het project dat topgeheim heette te zijn, en uiterst duur. Van alles kwam aan het licht. Zo bleek dat het systeem 1,2 miljard dollar heeft gekost, terwijl niet meer dan enkele forensische tooltjes in gebruik waren genomen. Het project stond zelfs nagenoeg stil.

Kwalijker nog was dat het systeem door de NSA werd gekozen terwijl een systeem met codenaam ThinThread nog steeds ruim voldeed. ThinThread werd sinds 1998 ingevoerd bij de NSA, maar werd na 9/11 afgedaan voor Trailblazer. Een van de redenen: anders dan Trailblazer had ThinThread waarborgen ingebouwd waardoor beschermde privacygevoelige gegevens van gewone burgers eruit werden gefilterd. Daarnaast werden tijdens de post-9/11 'overgangsperiode' de waarborgen van ThinThread uitgeschakeld.

Uiteindelijk bleek een zekere Thomas Drake, een voormalige senior-medewerker van de NSA, de belangrijkste bron van Gorman. Hij staat nu terecht, en hem hangt een gevangenisstraf van 40 jaar boven het hoofd.

Windows 2000/NT4: 'veel BSD en BS'

De grappen over Microsoft en open source waren niet van de lucht toen de broncode van Windows 2000 en NT4 op internet kwam te staan. Naast de bezorgdheid van beveiligers dat dit lek flinke implicaties zou hebben op securitygebied, was er ook verbijstering van programmeurs. Die reageerden vooral op de slechte code die te ontwaren was in de uitgelekte delen van de marktdominante besturingssystemen. Ook leek veel code 'geleend' te zijn van Unix-variant BSD, als we de commentaren op nerdnieuwssite SlashDot mogen geloven.

Naast dubieuze code werden ook de namen van vrouwen en vriendinnetjes teruggevonden in de broncode, evenals woorden die niet langs de censor van de EO zouden komen. De gebruiker krijgt deze normaliter niet onder ogen. Dit zijn dingen die verveelde programmeurs nou eenmaal doen als ze weer een lange nacht hebben doorgehaald en met bloeddoorlopen jolt-cola-oogjes richting het middaguur code aan het kloppen zijn. Maar eerlijk is eerlijk: het zou ook toegevoegd kunnen zijn door de klieren die de broncode online hebben gezet... Heel waarschijnlijk is dat overigens niet.

Het is maar een examen

Dit is een persoonlijke anekdote van deze redacteur, die indertijd op de redactie van Techworld werkte. In mei 2008 verscheen op Wikileaks, een website waar je in de regel geheime overheidsdocumenten vindt (een voorbeeld zijn vroege ACTA-documenten), een examen voor Red Hat Certified Engineer. Die dingen horen op zich niet buiten de examenzaal te komen, en deelnemers moeten een vertrouwelijkheidsverklaring tekenen op straffe van intrekking van hun diploma. Het ging om een praktijkexamen, waarbij oplossingen moesten worden gevonden. De 'antwoorden' stonden er niet bij. Potentiële examinanten konden zich hiermee hooguit beter voorbereiden.

De gelekte RHCE-examens zouden op zichzelf dus niet gênant zijn. De eerste reactie die Randy Russell, hoofd opleidingen bij Red Hat, gaf tegenover Techworld was dat wel. Hij dreigde deze redacteur indertijd dat iedere systeembeheerder die zou bevestigen dat het een authentiek examen is het risico liep dat diens RHCE-titel ingetrokken zou worden.

Niet chique, en ook niet effectief want de bevestiging was al binnen (anoniem) en het stuk was al gepubliceerd. Red Hat heeft het examen na het lek uit de poel van examens verwijderd, al bleef Russell tot het einde toe ontkennen dat het examen een echt document was. En ook iemand binnen Red Hat had min of meer toegegeven dat het een van hun examens is.

Bovendien: je moet als professional toch weten dat een jonge journalist van een niche-site geen betere bevestiging kan krijgen dan een persoonlijke ontkenning van de directeur van de wereldwijde afdeling?

Onveilig stemsysteem

Soms vraag je je af hoe lang het nog duurt voor we weer in het stenen tijdperk zijn. Is het immers niet raar dat we in Nederland, na jarenlang stemcomputers te hebben gebruikt, weer zijn teruggestapt naar het rode potlood? Maar die beslissing is des te beter te begrijpen als je hoort over een geval met Amerikaanse stemmachines. Specifiek: de zaak van de in 2003 uitgelekte broncode voor stemsoftware van Diebold Election Systems. De code werd via een handige Google-search achterhaald door een criticaster van stemcomputers.

Onderzoekers van de John Hopkins Universiteit hebben op basis van de gelekte code gehakt gemaakt van de stemsoftware. De boel was geschreven in C++ en ontworpen om te draaien op een Windows CE-laagje. Met de broncode in het arsenaal was het volgens de onderzoekers een fluitje van een cent om een gekraakte stempas te maken waarmee iemand onbeperkt kon stemmen. Medewerkers van stembureaus en anderen met direct fysieke toegang tot de systemen konden zelfs nog veel meer klaarspelen: resultaten manipuleren, achterdeurtjes installeren, namen aan stemmers koppelen, allemaal absoluut geen probleem.

Dat is al ernstig genoeg, en je zou verwachten dat Diebold lering heeft getrokken uit het incident. Niet dus.

Alles onder controle

Goed, als afsluiter eentje die een categorie op zichzelf is. Een lek dat keer op keer weer opduikt, en in gadgetland meer regel dan uitzondering is: het 'gecontroleerde lek'. Ofwel een product dat hoegenaamd geheim had moeten blijven, maar 'per abuis' in handen komt van een bevriende journalist.

De iPhone 4G lijkt het gezien de omstandigheden en vooral de nasleep niet te zijn, maar Apple heeft er in ieder geval een handje van, zo schreef voormalig marketing manager John Martellaro begin dit jaar.

Natuurlijk, Apple is absoluut niet de enige. Of het nou laptops zijn die 'per ongeluk' te vroeg online verschijnen, of het 'lekken' van onjuiste informatie: het is een beetje kinderachtig. Bovendien is het nog maar de vraag in hoeverre het lek echt 'gecontroleerd' is. Er kan immers meer naar buiten komen dan de bedoeling is. En het oordeel, de hype of juist hoon, en de nasleep zijn echt niet altijd te sturen. Ja, het is door de lekkende organisatie 'berekend', maar is en blijft een risico.