Voor wie het nog niet weet: u dient uw computer te beschermen en verantwoord om te gaan met persoonlijke informatie. Onze overheid is daarvoor een campagne gestart. Maar voordat richting de burgers met het belerende vingertje wordt gewezen, is het verstandig eerst de eigen zaken op orde te hebben. Want goed voorbeeld doet goed volgen. Zeker als de campagne soms ronduit domme adviezen geeft.

1. De campagnewebsite is zelf onveilig

Het meest opmerkelijke aan de campagne is de website zelf. Terwijl ons belerend wordt voorgehouden vooral voorzichtig om te gaan met informatie, publiceert de campagne websitedetails over het eigen systeem. Via een zogenaamde phpinfo-pagina lezen we de belangrijkste details over het systeem, de webserver en de daarop draaiende php-versie.

Deze functionaliteit blijkt erg handig voor een aanvaller die het Ministerie Justitie een hak wil zetten. De spiksplinternieuwe website draait namelijk op het verouderde CentOS 4. Versie 5 is al ruim twee jaar beschikbaar. Het mag er dan op lijken dat er een aantal security-updates zijn geladen, toch wordt voor de statische inhoud gebruik gemaakt van de programmeeromgeving php. Zelfs het enige dynamische element, het contactformulier, draait op de server van Postbus 51.

Dat zo'n keuze onnodig tot problemen kan leiden, blijkt bijvoorbeeld door het slecht functionerende contrast en de grootte van lettertypes. Waar dit prima in een CSS-stylesheet geregeld kan worden, dat tenslotte voor dit soort zaken bedoeld is, gebeurt de selectie nu in de programmacode. Dat er voor het wisselen van resolutie ongebruikte Javascript-code in de webpagina staat en het later toch maar anders wordt opgelost, bedekken we gemakshalve met de mantel der liefde.

Het bedrijf BlueDome is verantwoordelijk voor in ieder geval het opzetten van de faciliteiten en het beheer, bevestigt Justitie aan Webwereld. Die onderneming zwijgt ondanks een e-mail en diverse telefonische pogingen, alsof het om een staatsgeheim gaat dat dreigt uit te lekken. Er vallen nog de nodige vragen te stellen.

2. Beveiligingsgaten bij de overheid

Terwijl de overheid ons beleert hoe je veilig met computers zou moeten omgaan, geven die zelf met regelmaat van de klok het voorbeeld hoe het niet moet.

Een goede week geleden werd bekend dat de website van de Raad van State een geweldige plaats is om malware te installeren. De site werd aangepast, gekuist en ietwat veiliger. Er bleek overigens nog een uitdaging voor de betere hacker aanwezig. Wie namelijk kennis heeft van SQL-injection kon in ieder geval nog volop proberen te rommelen met de inhoud door een foutmelding te triggeren of een niet bestaand bestand op te vragen. Natuurlijk hebben we het lek braaf gemeld bij Govcert. Inmiddels is deze aanval niet meer mogelijk.

Eergisteren werden sites van het Openbaar Ministerie en de Rechtbanken platgelegd door een worm. Enkele dagen lagen die diensten plat.

In maart van dit jaar toonde Webwereld dat de servers van uitkeringsinstelling UWV in een gedeeld datacenter staan, waar allerhande mensen toegang tot hebben. Bovendien bleken die kasten al maanden open te staan, zodat iedereen met toegang tot de ruimte meteen ook toegang tot de machines heeft.

Eerder dit jaar zond het televisieprogramma NOVA uit hoe slecht sommige DECT-telefoons zijn beveiligd. Zo bleek het mogenlijk telefoongesprekken van een minister af te luisteren.

3. Domme adviezen aan de burger

De campagne adviseert sterke wachtwoorden te kiezen en verwijst door naar de website van Microsoft voor een advies over de kwaliteit van de eigen code. De meter geeft aan dat 'Brenno456' een sterk wachtwoord is, terwijl iedere expert zal vertellen dat bij een beetje serieuze aanval dit snel te kraken is. Natuurlijk zijn er wel goed werkende alternatieven, maar die zien er niet zo flashy uit. Of het verstandig mensen te adviseren een geheime code uit te proberen, is natuurlijk nog een discussie an sich.

Ook heeft de campagne een merkwaardige visie op aangeboden updates: “Je virusscanner controleert je computer op virussen, waarschuwt je als hij er een aantreft of gaat meteen tot actie over. Door hem up–to–date te houden, is hij altijd op de hoogte van de meest actuele beveiligingslekken. Accepteer daarom alle aangeboden updates. Of nog handiger, stel een automatische update in.”

De vraag is nu alleen nog maar hoe groot de volksstam zal blijken, die met dit advies in het achterhoofd, op een nep-antivirus popupscherm van de browser zal klikken om zeer effectief met malware te worden geïnfecteerd.

4. Hypocriete roep om gegevensbescherming

Het tweede advies van de campagne is om vooral voorzichtig met persoonlijke gegevens om te gaan. Daarbij is vooral aandacht voor gegevens die mensen zelf besluiten openbaar te maken. Ondertussen zijn er veel voorbeelden dat hoe hard wij ook proberen onze gegevens te beschermen de overheid bijna onophoudelijk deze moeite teniet doet.

Vorig jaar sprak Webwereld met de Amerikaanse staatssecretaris van Nationale Veiligheid Jamison. Onder zijn leiding besloot het departement af te stappen van het gebruik van het sofinummer voor veel registraties en alleen strikt noodzakelijke informatie te gebruiken om zo misbruik te bestrijden. Tijdens de regering Bush zijn veel omstreden maatregelen ten opzichte van burgers genomen, maar dit soort registraties werden toch als te link ervaren.

In Nederland is het sofinummer omgedoopt tot het BurgerServiceNummer dat juist intensiever wordt gebruikt om een burger te registreren. De trend is juist om met behulp van dat systeem meer gegevens aan elkaar te koppelen. Ook verzekeraars blijken dit nummer te gebruiken bij bijvoorbeeld zorgverzekeringen. Van de massale problemen rond identiteitsdiefstal in de VS is dan ook bitter weinig geleerd.

Ook is Nederland naar verluidt koploper in het afluisteren van de eigen burgers. Of dat wel veilig gebeurt, blijft obscuur. In 2002 werd duidelijk dat de beveiliging toen brak was. Onduidelijk blijft ook of dit een effectief opsporingsmiddel is. Recentelijk floot de rechter de AIVD nog terug voor het afluisteren van journalisten.

Donderdag werd bekend dat de Marechaussee van vliegtuigpassagiers vooraf paspoort en ticketgegevens wil om zo profilering te kunnen doen. Een dergelijk systeem lijkt op het Amerikaanse Secure Flight, waarbij namen worden aangehouden tegen obscure, weinig controleerbare databases. In de VS leidt dat regelmatig tot problemen. Beveiligingsgoeroe Bruce Schneier heeft diverse malen betwijfeld of dit nut heeft.

Diezelfde Marechaussee wordt opgetrommeld om laptops aan de grens te controleren, omdat naar alle waarschijnlijkheid de Douane bij een doorzoeking te weinig bevoegdheid heeft. Uit een Wob-verzoek blijkt dat die ingrijpende maatregel niet effectief is. Volgens opgave zijn er meer dan duizend controles uitgevoerd en in geen geval heeft dat tot een zaak geleid.

Daarnaast is er bijvoorbeeld het nodige te doen met privacyrisico's aan het Elektronisch Patiënten Dossier, de zeven jaar opslag van alle reisbewegingen van de OV-chipkaart, het registreren van kentekens in het verkeer zonder een duidelijke reden, de bewaarplicht voor internetverkeer, de opslag van een vingerafdruk in het passpoort en in een centrale database, enzovoorts.

5. De overheid neemt cybercrime niet echt serieus

Terwijl in de VS al jaren een actief beleid wordt gevoerd, en een zogeheten security-tsaar is ingesteld, wimpelt minister Hirsch-Ballin een dergelijke aanpak weg met de mededeling dat de VS een groot land is. Goede experts zijn er wel, maar bivakkeren op een enkel ministerie of bij Govcert. Dwingend optreden kunnen de medewerkers van die laatste organisatie niet.

Zo blijft de voorlichtingstaak beperkt tot vooral zeer basale problemen bij desktopsoftware. Deze week was er bijvoorbeeld een ernstig lek in de meest gebruikte DNS-server op internet, BIND, maar dit viel voor de Waarschuwingsdienst buiten hun doelgroep. Beheerders bij mkb-ondernemingen die de ondersteuning goed kunnen gebruiken, kunnen daar naar fluiten.

Voor de huidige taak is Govcert duidelijk onderbemand en is daar ook in de Tweede Kamer al aandacht voor gevraagd. Zou er meer dwingend werk moeten gebeuren dan moet de expertise van Govcert veel verder worden uitgebreid. Voorlopig zit dat er niet in en zal de overheid een onuitputtelijke bron blijven van hoe het niet moet.

Kunnen we dan niets waarderen aan de campagne? Ja hoor, de slogan: “Veilig internet heb je zelf in de hand.” Maar of aan zo'n zinnetje het belastinggeld moet worden verkwist, blijft dan natuurlijk de vraag.