Afgelopen week baarde Revu opzien door te beschrijven hoe ze met een botnet het wachtwoord van de privémailbox van staatssecretaris Jack de Vries achterhaalden. Justitie, beveiligingsgemeenschap en journalistiek reageren verontwaardigd.

1. Revu mist het echte nieuws

De mailbox van Jack de Vries was beveiligd met een wachtwoord, waarvoor een botnet nodig was om het via bruteforce te kraken. Dat doe je niet zomaar, maar vergt heel wat werk. Er was dus niet sprake van een extreem makkelijke taak, maar van een gerichte aanval. Wie lang genoeg probeert zal uiteindelijk ieder wachtwoord kunnen kraken door geduldig genoeg te proberen. Voor Bart Jacobs, professor informatiebeveiliging bij de Radboud Universiteit, en Ronald Prins, directeur bij beveiligingsbedrijf Fox IT, bewijs je hier eigenlijk niets mee.

Wel is het opvallend dat de provider kennelijk zoveel mislukte inlogpogingen niet detecteert. Hierdoor kunnen mensen ongestoord hun gang gaan met het inbreken op het account. In het artikel wordt Het Net als provider genoemd, maar Revu gaat er kennelijk vanuit dat alle beveiligingsverantwoordelijkheid bij de eindgebruiker ligt. Ook blijft onduidelijk of de provider meer steken laat vallen, waar gebruikers geen invloed op uit kunnen oefenen.

Anders nieuwswaardig feit is dat Hyves kennelijk goed functioneert als distributieplatform voor het verspreiden van virussen die een botnet bouwen. Gebruikers vertrouwen de website, terwijl nu blijkt dat er zeer kwaadaardige content op kan staan. Ook dit werd niet als nieuwswaardig feit gesignaleerd.

2. Revu laat hackers zeer twijfelachtig werken

Het is niet de eerste keer dat hackers worden ingezet om journalistiek een punt te maken. Eerder deed Karin Spaink dat om aan te tonen dat ziekenhuizen niet klaar zijn voor de invoering van het Elektronisch Patiënten Dossier. Daarvoor werden vooraf heldere afspraken op papier gezet, waarbij de hackers zelf het tijdstip mochten bepalen. Uiteindelijk kregen ze toegang tot medische gegevens van 1,2 miljoen mensen.

Ook journalist Francisco van Jole krijgt met enige regelmaat van collega's de vraag om dit te doen. Hij vertelt tegenover Webwereld dat zulke verzoeken snel worden ingetrokken als hij vraagt of er op een computer of thuis moet worden ingebroken.

Niet alleen de manier waarop de hacker is ingezet roept vragen op, ook de kraker 'Jeroen' zelf. Het artikel beschrijft dat de dader voor zijn baas op zoek gaat naar open draadloze netwerken om daarmee in te breken op computers en de achtergrond op de machine als waarschuwing te veranderen. Dat is niet wat in het algemeen wordt ervaren als responsible disclosure (verantwoorde onthulling). Jacobs vermoedt dan ook dat de persoon zonder scrupules handelt.

3. Het bouwen van een botnet

Om een massale hoeveelheid inlogpogingen te doen en niet iedere keer hetzelfde ip-adres te gebruiken, creëerde de hacker een flink botnet. Dat deed hij door een spelletje 'Whack a Mole' te schrijven dat tevens een programmaatje bevatte dat op de achtergrond een deel van de aanval uitvoerde. De verspreiding ging via Hyves. Ook maakte het gebruik van de mailbox van het spelende slachtoffer om de vrienden en bekenden te mailen. Zo werden uiteindelijk 14.000 mensen bereikt.

Door dit te doen werden veel mensen bij de zaak betrokken, terwijl zij er niets mee te maken hebben. Dit had ook anders gekund door bijvoorbeeld de aanval over een langere tijd uit te voeren en bijvoorbeeld gebruik te maken van Tor om het netwerkverkeer te anonimiseren.

4. De handelingen zijn illegaal

Al wordt bij journalisten iets meer door de vingers gezien, toch mogen zij niet de wet overtreden. Internetjurist Arnoud Engelfriet verwijst op zijn blog naar een journalist die gefraudeerd had om aan te tonen dat er met rijbewijzen gesjoemeld kan worden. Ondanks zijn doel werd hij toch schuldig bevonden. Volgens hem gaat de vlieger van hacken in landsbelang hier dan ook niet op.

Er is een botnet gebouwd. Gewoonlijk treedt het Openbaar Ministerie hard op tegen de daders. In juli werd een 19-jarige man uit Sneek aangehouden en zal zijn kerstdiner in hotel "de Tralie" moeten nuttigen. De toxbotbouwer werd in september veroordeeld tot twee jaar cel.

Met behulp van het wachtwoord kreeg 'Jeroen' toegang tot de mailbox van Jack de Vries. Dat is in principe computervredebreuk. Eerder dit jaar werden de criminele voorlichters van het Ministerie van Sociale Zaken hiervoor nog veroordeeld, zelfs al hadden zij het wachtwoord gekregen.

Het doorsturen van e-mail van Jack de Vries is op zichzelf ook al niet toegestaan. Engelfriet trekt hierbij een parallel met een zaak waarbij een vennoot in een bedrijf mails liet doorsturen naar een gmailbox.

Soms mag het overtreden van de wet wel, maar is dat niet in de Nederlandse wet geregeld. Volgens Wouter Hins, universitair docent rechten aan de Universiteit van Amsterdam, kan artikel 10 van het Europees Verdrag voor de Rechten van de Mens soms zwaarder wegen dan de strafwet. Voor die afweging zijn dan zaken van belang als de ernst van de overtreding, de vraag of het belangrijke informatie is, of er andere wegen waren om dezelfde informatie te verzamelen. "Hoofdregel is dat ook journalisten zich aan de strafwet moeten houden, maar er kunnen omstandigheden zijn waarin het belang van de nieuwsvoorziening aan het publiek zwaarder weegt dan strikte handhaving van de wet", stelt hij dan ook. Bij een privémailbox vol geneuzel en spam lijkt dat niet het geval, ook al is die van de staatssecretaris van Defensie.

5. Revu wil onthullen, maar geeft zelf geen openheid

De redactie had met het artikel het doel om een maatschappelijke discussie los te maken, vertelt auteur Nick Kivits tegenover Webwereld. Terwijl hij wel zijn kant van het verhaal wil doen, reageert Revu niet op diverse pogingen om commentaar te krijgen.

Ter verdediging kan wel gezegd worden dat er aangifte is gedaan tegen Revu en dat justitie tegenover Webwereld bevestigt de zaak serieus te onderzoeken. Mogelijk heeft de duidelijk in beveiliging geïnteresseerde redactie het blog van Bruce Schneier gelezen, waarom je nooit met de politie moet praten. Of met andere media blijkbaar. Als je onder verdenking staat, kun je wellicht beter maar zwijgen.