Net toegevoegd aan mijn overzicht van Nederlandse data breaches: de Nederlandse Lotto kocht de gegevens van een miljoen abonnees op Veronica Magazine en stuurde die een brief met een speciale actiecode, die de ontvangers op een website konden invoeren. Probleem: op die manier bleken alle gekochte namen en adressen zichtbaar, gesorteerd op postcode. De abonnees waren niet blij.Ze wisten niet eens dat hun gegevens verkocht konden worden. De Lotto heeft het probleem inmiddels verholpen. (Bron: Webwereld, 1 december 2008).
Author: Spaink
beheerder / moderator
Vitale informatie
Het regent problemen, ineens. Begin november werd bekend dat een verzekeringsmaatschappij beroofd was van een miljoen patiëntgegevens die ze onder haar hoede had. Het heeft er alle schijn van dat de diefstal, zoals overigens meestal het geval is wanneer persoonsgegevens worden gejat en verhandeld, een inside job was. De dieven chanteerden daarna de verzekeraar in kwestie: tenzij ze fiks betaald kregen, dreigden ze, zouden ze alle gegevens publiceren. Inmiddels werkt de FBI aan de zaak maar vooralsnog is niemand opgepakt, en zwerven ergens een miljoen patiëntgegevens rond.
Half november moesten in Londen drie ziekenhuizen hun computernetwerken uitschakelen: de systemen waren besmet geraakt met een computerworm die zichzelf kopieerde en die tevens een achterdeur in het systeem schiep waardoor derden heer en meester werden over de systemen. Dat het om een oud en bekend computervirus ging – het ding was al sinds begin 2005 bekend – bewijst dat de systemen buitengewoon slecht waren beveiligd: elke up-to-date virusscanner had het ding kunnen tegenhouden. De schade viel mee, beweerden de ziekenhuizen in een persbericht: ze hadden immers een back-up van de patiëntgegevens en die konden ze gewoon terugzetten.
Geen woord over de achterdeur die in het systeem had gezeten, geen woord over de mogelijke diefstal van gegevens, geen woord over de vraag sinds wanneer het ding er al rondzwierf. Zeggen dat je kunt overstappen op een back-upsysteem klinkt leuk, maar als je niet weet wanneer je besmet bent geraakt weet je ook niet hoe ver in de tijd je moet teruggaan – nog daargelaten hoe je dan de gegevens die sinds die laatste, ‘gezonde’ back-up zijn ingevoerd, weer in het systeem krijgt.
In oktober publiceerde het TNO haar afsluitende rapport over de twee jaar durende Twentse proef met het waarneemdossier (WND) voor huisartsen. Het was een zootje. De kleinste verandering – nieuwe paslezers, een software-update – maakt dat de hele informatieketen van huisarts naar het landelijk schakelpunt in elkaar stort. Het TNO meldt voorts dat het WND slecht schaalt, dat UZI-passen – waarmee zorgverleners zich moeten identificeren en die toegang tot het landelijk schakelpunt geven – geregeld onbeheerd zijn of standaard in de kaartlezers zitten, etc. De Twentse huisartsen zelf zijn het systeem volledig beu: het werkt vaker niet dan wel, zodat ze – als ze al contact krijgen met het landelijk schakelpunt – er niet op kunnen vertrouwen dat de gegevens die ze vinden inderdaad up to date zijn.
In november publiceerde de Inspectie een rapport over de beveiliging van elektronische patiëntendossiers: het was bar gesteld, concludeerde men. Weinig veiligheidsbesef, wachtwoorden en passen die afdelingsgewijs werden gebruikt en wat dies meer zij. Nu ken ik nogal wat ziekenhuizen die al met varianten op het EPD werken; zo ook het Erasmus MC, een van de weinig ziekenhuizen die beveiliging en training van al haar personeel op dit vlak hoog in het vaandel heeft. Het Erasmus is voorbeeldig. Maar ook daar ontdekte de Inspectie serieuze problemen. Als zelfs het Erasmus al niet goed genoeg presteert, dan houd ik mijn hart vast wat betreft die ruim honderd andere ziekenhuizen. Om nog maar niet te spreken over de huisartsenposten, die geregeld kampen met computervirussen.
De juiste patiënteninformatie hebben, kan levens redden. Omgekeerd kan slecht beveiligde patiënteninformatie, waarmee jan en alleman kan rommelen, levens kosten. Patiënteninformatie accuraat, betrouwbaar en strikt beveiligd beheren is derhalve van vitaal belang voor de gezondheidszorg, en al evenzeer voor het vertrouwen dat wij patiënten in onze artsen en verpleegkundigen stellen.
Elke arts die zich dat niet tot op het bot realiseert, is een Semmelweis-ontkenner après la lettre: iemand die weigert zijn handen te wassen voor een operatie, iemand die de hele dag met dezelfde naald prikt. We moeten datahygiëne werkelijk serieus gaan nemen. En nog eens heel goed nadenken over dat EPD.
18 november 2008 / MC, 28 november 2008
FiFi: lezing HackTic4all
Aanstaande vrijdag vindt FiFi plaats, een congres georganiseerd door XS4all, over vijftien jaar internet. Fifi – Fear it? Fix it! – vindt plaats in de Westergasfabriek.
Samen met Cordula Rooijendijk houd ik de openingslezing van FiFi. Cordula is de schrijfster van het boek Alles moest nog worden uitgevonden; haar boek gaat over de opkomst van computers in Nederland. Cordula vertelt op FiFi over de periode tot grofweg eind jaren negentig van de vorige eeuw. Daarna vertel ik over het ontstaan van het hackersblad Hack-Tic en de oprichting van XS4all. Mijn lezing is het eerste publieke voorproefje van mijn geschiedenisboek dat in 2010 zal verschijnen. (Tweeduizendtien, dat klinkt enorm ver weg, maar over anderhalf jaar moet het boek af zijn.) Een lezing met veel plaatjes en smakelijke anekdotes. (Ik heb ‘m bijna af.)
FiFi wordt buitengewoon vol en leuk. Er zijn drie parallelprogramma’s, veel workshops en debatten. Het volledige programma kunt u hier vinden.
Kaduuk (en geplakt)
Zoals u wellicht heeft gemerkt, was mijn blog de afgelopen dagen enigszins kaduuk: alle reacties kwijt, de tags weg, en nog zo wat meer. De oorzaak: een kapotte database.
Afgelopen nacht is een back-up teruggezet en nu werkt alles weer. Helaas is alles van na 14 november kwijt… Ik zal zometeen mijn eigen stukjes weer terugzetten, maar alle reacties die tussen 14 en 24 november zijn geplaatst, zijn helaas in de grote bittenbak van cyberspace beland.
For the LULz
Internet excelleert in grillige ideeën die zich rap voortplanten. Sommige, zoals LOLcats, blijven lang hangen: een website waar mensen foto’s van katten met bijschriften plaatsen. Het klinkt flauw – en dat is het meestal ook – maar doordat de gebruikers zich een krom kats taaltje hebben aangemeten en veel computergrappen maken, is de site goed voor een miljoen bezoekers per maand en minstens één grijns of giechel per dag. Op de foto: een kat die zich uit alle macht verzet wanneer iemand hem in bad wil stoppen, zijn voorpoten rond de doucheslang geklauwd, die uitroept: No! U go chek! Manual sez ‘self-kleening’ Bijschrift bij een nest van negen Siamese katjes: U left copier running. Kat languit slapend over een toetsenbord: Crashed. Press ctrl-alt-del to restart yr kitteh.
Slash-B – een obscuur platform met veel foute humor – is de bakermat van veel dergelijke internet memes. Ooit werd vanuit Slash-B een inval georganiseerd in het online kinderspel Habbo Hotel. De Slash-B’ers kozen daarbij massaal het karakter dat niemand wilde, een zwart popje, zodat Habbo ineens wemelde van de kroeskapsels en een ware melting pot werd.
Uit diezelfde gelederen komen overigens ook serieuzer acties voort: Slash-B is de bakermat van de maandelijkse demonstraties tegen Scientology die Anonymous sinds begin dit jaar organiseert. Reden waarom veel demonstraten een goedkope afropruik dragen. Anderen die anoniem willen blijven, dragen het masker uit de film V for Vengeance, waarmee ze twee vliegen in één klap slaan: ze zijn anoniem, wat het Scientology lastig maakt ze te traceren, en ze geven aan wat ze willen: rechtvaardige genoegdoening. (Waarna je dat masker ineens op andere rare plaatsen zag opduiken, en feestwinkels overal ter wereld verbaasd op hun hoofd krabden: waarom wou iedereen ineens dat V for Vengeance masker hebben?)
Ook Tom Cruise nadoen was een tijdje populair: allerlei mensen maakten varianten op het filmpje waarin Cruise de loftrompet over de sekte steekt. Sommigen waren angstig goed.
Rickrolling is een andere internetgekte. Je ziet beschrijving van een interessant filmpje op een pagina staan, klikt het aan, en ineens word je ontvoerd naar een video waarin Rick Roll zijn hit Never gonna give you up uit 1987 zingt. Ook serieuzere media raakten in de greep van het virus: Johnny Carson kondigde in juni 2007 een item over Paris Hilton aan, maar het bleek een rickroll. Ook de politieke talkshow The Daily Show werd gerickrolled: een item over Irakese kernwapens bleek ietsjes anders uit te pakken dan verwacht. Anonymous doet geregeld live rickrolls: tijdens hun speeches heffen ze ineens het hitje aan. Rick Roll zelf vindt het fenomeen overigens buitengewoon geestig.
Bij de LULz die nu opgang maakt – ‘lulz’ is de Slash-B verbastering van LOL, de internetafkorting van lauging out loud – moest ik even slikken. Je neemt het fragment uit Der Untergang waarin Hitler zich realiseert dat hij de oorlog heeft verloren en zijn manschappen de huid vol scheld, en zet daar een alternatieve vertaling onder. Zo zien we Hitler woedend worden omdat Windows Vista weer niet wil starten, Hitler die boos wordt omdat-ie uit World of Warcraft is gezet, en – uiteraard – Hitler die gerickrolled wordt. Sommige varianten hebben al bijna een miljoen kijkers op YouTube getrokken.
De draak steken met Hitler is wellicht niet erg netjes. Maar zelf kon ik na drie filmpjes mijn lachen niet meer houden, en spot is altijd een goed wapen geweest. Zonder LULz geen leven.
Correcties en aanvullingen:
- Kennelijk werd ik mentaal gerickrolled toen ik dit stukje schreef: de zanger van Never gonna give you up heet natuurlijk Rick Astley, niet Rick Roll;
- V for Vengeance heet uiteraard V for Vendetta;
- Vriendin T. stuurde me een link naar een Hitlerparodie van Nederlandse bodem. Op afstand de beste van allemaal: Hitler wil bowlen en heeft een Brabants accent.
- De Thanksgiving Parade in New York werd vandaag live gerickrolled – door niemand minder dan Rick Astley himself.
Paradox
Al jarenlang wordt de groep mensen van wie DNA wordt afgenomen en opgeslagen, geleidelijk uitgebreid. Vroeger namen we alleen DNA af van mensen die wegens ernstige misdrijven waren veroordeeld, tegenwoordig moet iedereen die een veroordeling op zijn naam heeft staan eraan geloven. Geregeld gaan er stemmen op om ook van andere groepen mensen standaard DNA af te nemen: iedereen die ergens van wordt verdacht, alle TBS’ers etc.
Het nut van een DNA-databse is omstreden. Uit een steekproef in 2000 van 1827 ernstige misdrijven – moord, brandstichting, verkrachting en inbraak – werden er ruim duizend vlot opgelost. In 778 gevallen was van meet af aan al duidelijk wie de dader was. Bij slechts 21 van het totaal aantal opgeloste zaken waren forensische sporen zoals DNA, vingerafdrukken en sperma nodig als extra bewijs. Moet je voor zo’n luttel percentage nu werkelijk iedereen die ooit – en soms zelfs ten onrechte – ergens van verdacht is geweest in de databank stoppen? Bovendien, wat is het nut van DNA-banken als iemand de radio uit je auto jat? In zo’n geval zoekt de politie niet eens naar vingerafdrukken, laat staan naar huidschilfers.
Nu overweegt de politie om het DNA van haar eigen medewerkers af te nemen, vooral om zodoende de sporen van agenten op een plaats delict eruit te kunnen filteren. Wat blijkt na een enquête? De politie is mordicus tegen het afstaan van haar eigen DNA, en de politievakbond ACP wil zelfs niet dat agenten op vrijwilige basis hun DNA afstaan. Security.nl wijdde vandaag een stukje aan dat onderzoek:
“De afname van DNA bij politiemensen is slechts bij hoge uitzondering aanvaardbaar en dan alleen indien daartoe een dringende noodzaak is”, aldus voorzitter Gerrit van de Kamp. [.] Volgens het bondsbestuur is, bij de bepaling van dit standpunt, vooral een afweging gemaakt tussen de noodzaak van de maatregel ten behoeve van het politieonderzoek en de bescherming van o.a. de privacy van politiemensen. De politie geeft zelf toe dat forensisch DNA-onderzoek erg ingrijpend op het gebied van de privacy is.De reacties van agenten op deze pagina spreken boekdelen, hoewel er ook voorstanders zijn: “Ik kan alleen voor een voorstel tot een DNA databank zijn als alle mensen, inwonend in Nederland opgenomen worden in deze databank. Anders ben ik bang dat de gegevens ook voor andere doeleinden worden gebruikt.” of “Ik verlies zeker de pluspunten voor onderzoeken niet uit het oog, maar de nadelen zijn mijns inziens groter: gevoelige info over politiemensen ligt vast, en een waterdichte garantie dat deze niet uitlekt of op onjuiste wijze gebruikt/ bevraagd wordt, kan men zeker niet geven.”
Grappig. Datzelfde standpunt heb ik al jaren. Maar dan niet alleen over het DNA van politie-agenten.
Vijftien keer vouwen
([xtra], een nieuw blad van XS4all, is zojuist verschenen en is hoofdzakelijk gewijd aan het vijftienjarig bestaan. Bij deze mijn column voor het blad. [xtra] staat ook online, op www.xs4all.nl/xtra/editie1/.)
Op YouTube zwerft een filmpje van een Oosterse kok die een lange deegsliert uitrekt en dan behendig dubbel vouwt, door de bloem haalt, uitrekt, dubbel vouwt, door de bloem haalt, uitrekt, dubbel vouwt – en zo verder. Hij doet dat in totaal twaalf keer, het hele proces duurt hooguit een paar minuten. Met gereserveerde trots laat hij daarna het resultaat zien. In zijn handen houdt hij vierduizendzesennegentig meeldraden, elk deegsliertje zo fijn als engelenhaar.
Elke keer opnieuw ben ik verbaasd. Elke keer opnieuw roep ik mezelf daarna wiskundig tot de orde: oh ja natuurlijk, twee keer twee is vier, maal twee is acht. Dat klinkt allemaal nog overzichtelijk, maar vervolgens gaat het ineens vreselijk hard: acht maal twee is zestien, maal twee is tweeëndertig, maal twee is vierenzestig. Bij twee tot de twaalfde macht zit je al op 4096 en een stap verder warempel op 8192.
Mensenhoofden zijn niet ingesteld op exponentiële ontwikkelingen. We denken liever lineair, in lijnen die rustig schuin omhoog lopen. We horen: ‘elk jaar een verdubbeling’, we denken: ‘twee vier acht tien veertien’, en vinden dan van onszelf dat we heel genereus calculeren. Dat die zo ruim geachte schatting mijlenver achter de feiten aanloopt, is elke keer stof tot verbazing. Dat is precies wat internet en computers zo intrigerend en zo absurd onvoorspelbaar maakt. Want daar is de ontwikkeling exponentieel. Als we mazzel hebben, tenminste – want meestal gaat-ie nog harder dan dat.
Toen XS4ALL begon, was internet klein. Niet dat we internet toen klein vonden: integendeel. Het voelde als een nieuw werelddeel dat opengelegd werd: alles was nieuw, er was zoveel te ontdekken, zoveel te doen.
Pas als je terugkijkt, zie je hoe idioot hard alles is gegaan. Websites bestonden indertijd uit pagina’s bijna onopgemaakte tekst waar je met je pijltoetsen doorheen moest lopen, plaatjes had je nog niet. In 1993 waren er 50 Nederlandse domeinnamen, eind 1995 al 600, en een jaar later bijna 10.000. De driemiljoenste Nederlandse domeinnaam werd in juli 2008 geregistreerd. Belde je in 1993 in met een modem dat 1440 bytes per seconde deed, tegenwoordig meten we onze snelheid in megabits: duizend keer zo snel, en staat internet altijd aan.
Ooit handelde XS4ALL haar internetverkeer af op een server in iemands gangkast, nu zijn daar datacentra voor nodig die zo groot zijn dat ze eigen aggregaten behoeven en alleen al voor de koeling van de servers een apart gebouw nodig is. De hoeveelheid mail die we krijgen stijgt exponentieel (om over de spam maar niet te spreken), de snelheid van computers en de opslagruimte van de gemiddelde harddisks verdubbelt elk jaar – het is voor een gewoon mensenhoofd amper te bevatten.
En da’s nog maar de buitenkant. Wie had, toen internet in 1993 eindelijk publiek toegankelijk werd, ooit kunnen bedenken dat we vijftien jaar later via datzelfde medium zouden telefoneren, tv konden kijken, boeken bestellen, muziek afspelen, onze geldzaken regelen, oude vrienden zouden terugvinden, producten konden vergelijken, vakantiereizen boeken en kijken of het zo meteen gaat regenen? Wie had ooit bedacht dat willekeurige mensen die elkaar helemaal niet kennen, wekenlang gratis en voor hun plezier zouden samenwerken aan allerlei wiki-pagina’s die uiteindelijk bijna even degelijk blijken te zijn als artikelen in de Winkler Prins of de Encyclopedia Britannica?
Ik niet. Niemand niet. Ook de internetmensen van het eerste uur niet. Zelfs – zo denk ik – die rustig doorvouwende Oosterse kok niet, terwijl die man beter dan veel anderen snapt wat de macht van de verdubbeling is. En hij hield na twaalf keer vouwen al op.
*
Correctie: Piet Beertema, de man die het weten kan – hij deed immers jarenlang eigenhandig de domeinregistratie in Nederland – mailde me zojuist de precieze cijfers:
– eind 1992: 270 domeinnamen
– eind 1993: 443 domeinnamen
– eind 1994: 945 domeinnamen
– eind 1995: 3019 domeinnamen
– eind 1996: 9215 domeinnamen
– eind januari 1997 (overdracht aan SIDN): 10204
Klacht afgewezen
Zojuist kwam – eindelijk – de uitspraak binnen van de Raad voor de Journalistiek naar aanleiding van de klacht die hosting provider Leaseweb heeft ingediend over mij, Addie Schulte en Het Parool. Leaseweb betichtte ons van onzorgvuldige berichtgeving in onze stukken over het kinderpornofilter (zie verder het stukje Klacht Raad voor de Journalistiek van 11 september 2008).
Goed nieuws: de klacht is afgewezen. Schulte en ik hebben zorgvuldig gehandeld en uit niets blijkt dat onze weergave van de feiten onjuist is.
Foutmarge
De Amerikaanse TSA – de Transportation Security Administration – heeft haar werknemers opgeleid om controles op ‘verdacht gedrag’ uit te voeren door op ‘micro uitdrukkingen’ te letten. Getrainde medewerkers zouden in staat zijn om mensen die nerveus zijn, of juist overmatig kalm, uit een rij passagiers te pikken.
Gisteren werd bekend dat ze een foutmarge van 99% hebben. Slechts 1% van de mensen die uit de rij worden gehaald en aan nadere inspectie worden onderworpen, wordt daadwerkelijk gearresteerd, meestal op verdenking van identiteitsfraude; in hoeveel gevallen de arrestaties tot een veroordeling hebben geleid, is niet bekend.
“That’s an awful lot of people being pulled aside and inconvenienced,” said Carnegie Mellon scientist Stephen Fienberg, who studied the TSA program and other counterterrorism efforts. “I think it’s a sham. We have no evidence it works.” [..] Some scientists say the TSA effort is just as likely to flag a nervous traveler as a terrorist.
De TSA is niettemin buitengewoon in z’n nopjes met deze resultaten en zegt in een verklaring het ptogramma juist ‘ongelooflijk effectief’ te vinden:
TSA spokeswoman Ellen Howe said the program has been “incredibly effective” at catching criminals at airports. “It definitely gets at things that other layers of security might miss,” Howe said.
Ziekenhuizen ziek
Drie Britse ziekenhuizen hebben een virus opgelopen:
Drie Londense ziekenhuizen hebben hun complete netwerk vanwege een wormbesmetting voor tenminste 24 uur moeten uitschakelen. In een verklaring laat een van de ziekenhuizen weten dat er noodprocedures aanwezig zijn en men op backup-systemen kon overstappen. De dienstverlening aan patiënten zou niet door de infecties in gevaar zijn gekomen, alleen een aantal “minder essentiële activiteiten” zijn op een lager pitje gezet.Volgens de Britse virusbestrijder Sophos zijn de ziekenhuizen met een variant van de Mytob worm besmet geraakt. De eerste variant dateert uit februari 2005 en opent een achterdeur op geïnfecteerde systemen, waardoor een aanvaller volledige controle heeft. Hoe de drie ziekenhuizen besmet raakte is nog altijd niet bekend. Met Mytob geïnfecteerde systemen worden meestal ingezet voor het uitvoeren van DDoS-aanvallen en het versturen van spam, hoewel aanvallers ook op vertrouwelijke informatie uit kunnen zijn.
– Computerworm infecteert Britse ziekenhuizen, Security.nl, 18 november 2008
Als deze oude worm de computersystemen kon binnendringen, was de beveiliging bepaald niet op orde. Erger is de zin ‘…waardoor een aanvaller volledige controle heeft.’ Dat betekent immers dat iemand gegevens heeft kunnen kopiëren of, erger nog, wijzigen. Roepen dat je kunt overstappen op een back-upsysteem klinkt leuk, maar als je niet weet wanneer je besmet bent geraakt weet je ook niet hoe ver in de tijd je moet teruggaan – nog daargelaten hoe je dan de gegevens die sinds die laatste, ‘gezonde’ back-up zijn ingevoerd, weer in het systeem krijgt.