Verlies

Harry Onderwater hield zich als een van de eerste rechercheurs bezig met hackers toen die zich in Nederland roerden. Hij was verdomd goed in dat werk. Onderwater snapte die jongens; deels omdat-ie zelf eigenlijk ook een hacker was, maar vooral omdat hij met ze in gesprek ging. Hij had accounts bij allerlei bulletinboards waar hackers rondhingen, zoals Utopia en HackTic, en mengde zich permanent in hun onderlinge conversaties.

Hij was geen man van de repressie, trok geen scherpe lijnen van goed en fout waarachter hij zich verschanste. Om sommige dingen die de hackers deden, moest-ie eigenlijk wel lachen, en op andere momenten corrigeerde hij ze publiekelijk. Hij waarschuwde geregeld dat ze ook elkaar onderling in de gaten moesten houden: de strapatsen van een enkeling zouden immers gevolgen hebben voor alle anderen. Hij leerde ze de waarde van zelfregulering.

Op het eerste grote hackersfestival dat XS4all organiseerde – XS4all was zelf kort daarvoor van een hackersclub een keurige internet provider geworden – werd hij uitgenodigd als spreker; hij zou een lezing houden over hackers en de wet. Harry’s baas vond dat geen goed idee: op zo’n festijn zou vast ook wel iets illegaals gebeuren, daar kon hij als rechercheur toch moeilijk bij aanwezig zijn?

Onderwater bleef nuchter: ‘Wie zo stom is om daar onder mijn neus iets illegaals te doen, arresteer ik gewoon. Dat is toch mijn vak?’

Onderwater verloor nooit het onderscheid tussen onbesuisdheid en moedwil uit het oog. Zelfs met de paar hackers die hij uiteindelijk oppakte, behield hij daardoor een goede verstandhouding. ‘Ja jongen, ik kan niet anders, dat snap je ook wel. Je bent nu te ver gegaan.’ Als er strenge straffen werden geëist, was-ie vervolgens de eerste om publiekelijk te zeggen dat je als rechtstaat ook overdrijven kon.

Zijn bazen snapten zijn aanpak niet altijd. De heersende mening was dat hackers minstens tegen het criminele aanhingen, dan wel diep erin zaten. Onderwater dacht daar het zijne van: hij wist hoe belazerd slecht de netwerken van universiteiten en bedrijven vaak beveiligd waren, en hoe overtrokken hun claims van de opgelopen schade. En tussendoor probeerde hij ‘zijn’ jongens op het rechte pad te houden, wat goed lukte.

Harry Onderwater was een schilderachtig figuur. (Op Bureau Warmoesstraat doen nog steeds verhalen de ronde over die grote man in zijn paars gespoten Dafje.) Vorige week overleed hij plotseling. Hij zal niet alleen door hackers worden gemist.
 

Update, 26 januari 2012: De familie heeft een condoloanceregister geopend voor Harry. U kunt het hier vinden en er een persoonlijke boodschap achterlaten.

Welkom in uw toekomst

In december zond het Britse Channel4 een korte dramaserie uit: Black Mirror. Elke aflevering nam een specifiek aspect van technologie onder de loep en werkte de impact daarvan op ons leven uit door alles nét een beetje te vergroten. Dat leidde tot science fiction die voldoende dichtbij huis bleef dat alles akelig vertrouwd was maar tegelijkertijd doodeng werd. Daardoor slaagde de serie er uitmuntend in om haar toekomstbeeld menselijk te houden, en nooit pamflettistisch.

De eerste aflevering was briljant en zo pijnlijk. Een mooi prinsesje is ontvoerd; de boosdoener eist als losgeld dat de minister-president een uiterst gênante daad zal verrichten: hij moet – live op tv – een varken neuken. De regering bedenkt onder strikte geheimhouding hoe ze deze crisis het hoofd kan bieden en toch de kool en de geit kan sparen. Ze zoeken koortsachtig naar de juiste spin.

Dan blijkt dat de overheid geen enkele grip heeft op de berichtgeving: de ontvoerder heeft zijn eisenpakket immers allang op YouTube gezet. Lang voordat de regering erin slaagt het filmpje te verwijderen, is het overal gemirrord en heeft het nieuws zich via Twitter en blogs razendsnel verspreid.

Het nieuws is niet meer te onderdrukken. Het enige dat de regering rest, is samen met de spindoctors monitoren hoe er op het desastreuze nieuws wordt gereageerd en peilen wat de beste optie voor de minister-president is. En het volk – aanvankelijk op sensatie belust – hitst de publieke opinie dusdanig op dat de minister-president geen keuze meer rest dan in te stemmen met de eisen. Waarna iedereen in afgrijzen toekijkt naar wat ze samen hebben aangericht, en de minister-president doet wat hij doen moet om de prinses te redden.

Natuurlijk dacht ik aan Wilders, die denkt dat tweeten gelijk staat aan beleid voeren. Natuurlijk dacht ik aan de hypes en de sensatie van instant berichtgeving. Maar ook dacht ik aan al die serieuze beleidsmakers die bij god niet weten hoe ze met de stem van het volk moeten omgaan, en die nog steeds denken dat je ‘echte’ politiek binnenskamers moet houden. En aan al die mensen die ontdekken dat sensatie niet is waarom het draait, en die niet meer weten waar ze in hemelsnaam moeten kijken als de sensatie al te echt wordt. Die uiteindelijk vooral blijven kijken om de minister-president niet alleen te laten in zijn schande.

Een fantastische serie. Wie zend hem hier uit? Gruwel is soms heel leerzaam.

Innoveer nou!

Iedereen praat elkaar na dat piraterij de entertainmentindustrie doodmaakt, en dat strengere wetgeving nodig is om films en tv-series rendabel te houden.

Het is simpelweg niet waar. Films die veel worden gedownload, doen het in de bioscoop uitstekend. Downloaden fungeert eerder als een geweldige reclamecampagne van onderaf. Vroege kijkers raden hun vondsten aan vrienden aan, schrijven erover, en scheppen de zo gewenste buzz die een film of serie bij een groter publiek gewild maakt. (Niemand vertrouwt reclame nog, maar naar authentieke fans die uitleggen waarom je dit écht moet gaan zien, luisteren we zonder argwaan.)

Voorts blijken downloaders keer op keer de beste klanten van de entertainmentindustrie te zijn. Zij geven beduidend meer geld uit aan filmbezoek, dvd’s en cd’s dan de gemiddelde burger.

De film- en tv-industrie zou downloaders beter kunnen beschouwen als bondgenoot dan als haar vijand. En vooral kan de industrie van ze leren: waarom downloaden mensen?

Uit alles blijkt dat het ouderwetse model van nationale pakketten en van gefaseerde distributie niet langer wordt geaccepteerd. Amerikaanse films zijn pas maanden na de première in Europa te zien, vaak duurt het jaren voordat goede buitenlandse series hier op tv komen. Er er is geen nette manier voorhanden om aan mijn film- en serieliefde te voldoen. Ik kan buitenlands spul niet op HBO of op Netflicks bekijken, niet via iTunes of Amazon kopen. Ik ben Nederlands: aan ons wordt nog niet gedistribueerd. Mijn geld wordt botweg geweigerd.

Daarom download ik: ik wil niet wachten tot Nederland eindelijk zover is. Verse afleveringen van Game of Thrones of Fringe wil ik zien kort nadat ze zijn uitgezonden. De fans met wie ik praat en de serie uitpluis, hebben die nieuwe aflevering immers al wél gezien?

Film1, een Nederlands betaalkanaal, is de eerste die snapt dat je winst kunt maken door het nationale aanbod te globaliseren. Vanaf deze maand zenden ze – met slechts enkele weken vertraging – actuele Amerikaanse series uit, ondertiteld en al. Goed zo! Dat gaat de goede kant op, al biedt Film1 vooralsnog alleen series van HBO.

Wat ik als kijker liefst wil, is onafhankelijk zijn van nationale grenzen, van omroeppakketten en zendtijden. Ik wil me op zelfgekozen series kunnen abonneren, ongeacht hun herkomst: hier iets van HBO of SyFy, daar iets van de Vara. Inclusief de mogelijkheid om – betaald – oude series op te halen. Dan weet ik bovendien dat mijn kijkgeld belandt bij wat ik waardeer.

Big Brother Awards

Binnenkort worden de Big Brother Awards weer uitgereikt, de prijzen voor de grootste privacyschenders in Nederland. Als vanouds kan iedereen bedrijven, overheidsinstanties en personen voordragen die voor deze poedelprijs in aanmerking komen. Een deskundige jury stelt aan de hand van alle inzendingen per categorie een top-drie van genomineerden vast. Wie de onfortuinlijke winnaars zijn, wordt op 7 maart 2012 tijdens een feestelijk evenement bekend gemaakt. Tevens wordt er via een internetstemming een publieksprijs toegekend.

Heb je een nominatie? Die kun je hier indienen: bedrijvenoverheidsinstantiespersonen. Wees specifiek en motiveer je toelichting zo goed mogelijk! Een nominatie als ‘De overheid, want die suckt’ zal het niet heel ver schoppen…

Wil je eerst meer weten over eerdere winnaars? Dat kan. Het uitgebreide juryrapport van de BBA 2010 staat hier (pdf). Of bekijk de uitslagen en foto-impressies van de eerdere Big Brother Awards uitreikingen: 2010, 2009, 2007, 2005, 2004, 2003 of 2002.

De jury bestaat dit jaar uit:

  • Antoinette Hertsenberg, eindredacteur en presentator van het consumentenprogramma Radar. Zij werd in 2009 door Villamedia uitgeroepen tot journalist van het jaar.
  • Nico van Eijk, hoogleraar Informatierecht, voorzitter van de Vereniging voor Media- en Communicatierecht (VMC), en lid van de Raad van Toezicht van de Nederlandse Publieke Omroep (NPO).
  • Typhoon aka Glenn de Randamie (rapper). Hij won in 2004 De Grote Prijs, de meest begeerde talentenprijs van Nederland, en houdt zich ook in zijn werk vaak bezig met privacy.
  • Edo Roos Lindgreen, partner bij KPMG en mede-oprichter van het Amsterdam Platform for Privacy Research).
  • Karin Spaink, schrijfster en columnist; voorzitter van de jury.

Dit is de achtste en laatste keer dat ik jury-voorzitter ben. Dus maak er iets moois van en lever allemaal een prachtige nominatie in!

Maxime maakt monddood

Sinds 2008 wordt internationaal gewerkt aan ACTA, het Anti-Counterfeiting Trade Agreement. Het verdrag moet namaakartikelen, inbreuk op (medicijn)patenten en auteursrechtschending tegengaan. De onderhandelingen waren geheim, al lekten allerlei versies van het verdrag uit.

Nu is het verdrag af. De Europese Commissie wil tekenen, maar heeft daarvoor het fiat van alle lidstaten nodig.

De uitgelekte versies zijn zorgelijk. Zo wordt verdachten een fair process beloofd. Dat is een juridisch nouveauté. Het internationaal recht kent de termen ‘eerlijk proces’ (fair trial) en ‘deugdelijke rechtsgang’ (due process), maar die erkende begrippen worden secuur vermeden. De feitelijke invulling van veel maatregelen is naar de voetnoten gedelegeerd, zodat de status ervan onduidelijk is. Ook krijgt ACTA waarschijnlijk de bevoegdheid om de regels en reikwijdte van het verdrag naar eigen inzicht aan te passen, oftewel: zonder nadere onderhandelingen of toetsing.

Hoe ACTA zich verhoudt tot bestaande nationale en internationale wetgeving is evenmin duidelijk. Mag je een handelsmerk gebruiken in een parodie? In een politieke of artistieke context? Hoe verhouden de vrijheid van meningsuiting en het citaatrecht zich tot de strenge auteursrechtinterpretatie van ACTA? Kan Nederland haar downloadregeling handhaven na invoering van het verdrag? Wat blijft er over van onze eigen wetgeving, die providers ontziet en verdachten recht op verweer geeft?

De Tweede Kamer eist een debat voordat Nederland haar fiat aan ACTA kan geven. Maxime Verhagen, de verantwoordelijke minister, weigert dat. Hij wil de verdragstekst buiten de kamerstukken houden en ACTA alleen in een besloten sessie bespreken. Zijn auteursrechtverdragen zo precair dat ze parlementaire geheimhouding vereisen? Waarom mogen burgers niet weten welk beleid hun regering voorstaat? Wanneer ACTA vergt dat zelfs de Tweede Kamer moet zwijgen, belooft het voor burgers al helemaal weinig goeds…

Intussen dreigt Verhagen dat hij de Tweede Kamer desnoods zal negeren en op eigen gezag wil instemmen met het verdrag. Een kunstje dat het CDA al eerder heeft geflikt: in 2006 ging toenmalig minister Donner, tegen alle Kamermoties in, akkoord met de Europese bewaarplicht; een richtlijn die nadien in allerlei lidstaten ongrondwettig is verklaard [zie bv. Tsjechië, Duitsland, Roemenië, Ierland].

Verhagens pogingen om de Kamer de mond te snoeren en de verdediging van bedrijfsbelangen tot staatsgeheim te verklaren, verrassen me derhalve niet. Wel verrast me dat Verhagens strapatsen de nationale pers compleet zijn ontgaan, temeer daar het vraagstuk van nationale autonomie versus Europa momenteel elke politieke agenda beheerst. Maar ja, ACTA is een internetkwestie, hè. En internet is nog steeds geen echte politiek.

Update 15 december: Door plotselinge steun van de PVV kon Verhagen gisteren wegkomen met dit onzalige plan. Nederland heeft ingestemd met ACTA, en de Europese Commissie heeft vanmiddag ingestemd; aankomend weekend zullen de EU regeringen ACTA tekenen. Nu is het Europees Parlement nog de enige mogelijke sta-in-de-weg, maar het EP heeft al eerder geweigerd haar eigen commentaar op ACTA publiek te maken: dat zou de onderhandelingen maar verstoren…

Facebook dwang

In navolging van Google+ is ook Facebook nu begonnen een real-name policy af te dwingen. Wie onder een alias post, riskeert te worden geblokkeerd – vaak zonder waarschuwing vooraf of uitleg na afloop.

Waarom zulk beleid kortzichtig is en makkelijk tot politiek wapen kan verworden, legde ik al eerder uit in een column voor Het Parool. En wat is eigenlijk iemands ‘echte’ naam? De naam die in je paspoort staat? Dan komt elke Johannes die zich sinds jaar en dag Jan of Johan noemt, elke Geertruida die voor iedereen Gerda heet, onder vuur te liggen. En hoe moet het met getrouwde, gescheiden en hertrouwde vrouwen? Heet Jacqueline Kennedy volgens Facebook Jackie Kennedy, Jacqueline Lee Bouvier of Jacqueline Onassis?

De maatregel treft – buiten mensen die hun echte naam om veiligheids- of politieke redenen liever niet willen prijsgeven – vooral artiesten. Lang niet elke musicus, zanger, schrijver, tekenaar of columnist opereert immers onder ‘eigen’ naam. Denk aan Bernlef, Prince, Zak, Yrrah, Bibeb, Junkie XL, Anna Enquist, Gummbah, Kronkel, Opheffer, A.F.Th., Andreas Burnier, Marjolijn Februari, Drs. P., Arjan Ederveen, Elton John, Kader Abdollah, Freddy Mercury, Blixa Bargeld, Erwin Olaf, Marilyn Monroe. Gerard Reve is dood, maar had-ie volgens Facebook Gerard Reve moeten heten, Gerard van het Reve, Gerard van ‘t Reve of Gerard Kornelis van het Reve?

In Nederland sloot Facebook recent een serie mensen af die daar onder hun publieke pseudoniem actief waren, oftewel juist onder de naam waarmee ze het meest bekend zijn. Het betrof – of dat toevallig was of niet laat ik aan uw verbeelding over – een duidelijk omschreven groep Facebookers: mannen die geregeld in travestie optreden en dat als politiek statement gebruiken. Exit Jennifer Hopelezz, exit Pamela Andersom.

Sommige van hen werken al bijna twintig jaar onder hun artiestennaam en hebben in die hoedanigheid een serieuze carrière opgebouwd, zoals Dolly Bellefleur. Vanzelfsprekend gebruiken zij op Facebook daarom hun artiestennaam wanneer ze over hun werk en activiteiten vertellen. (Soms hebben ze daarnaast onder hun oorspronkelijke naam een ander account, bedoeld voor contact met vrienden.)

Afgelopen week werd zodoende ook Dolly Bellefleur afgesloten. Ze kreeg pas na veel gedonder haar account terug en dat alleen op voorwaarde dat ze voortaan haar artiestennaam aan haar persoonlijke naam koppelde. Sindsdien heet Dolly op Facebook verplicht ‘Ruud Douma (Dolly Bellefleur)’. Een gewrochte en onhandige oplossing, die twee pijnlijke consequenties heeft. Enerzijds ondermijnt-ie ‘Dolly Bellefleur’ als zelfstandige entiteit en daarmee haar impact als performer. Bij alles wat Dolly voortaan op Facebook zegt of doet, wordt ze gereduceerd tot een rol, tot een ‘fictief’ persona, waarmee haar politieke dimensie onderuit wordt gehaald. Anderzijds kan Ruud Douma zich nu nooit meer persoonlijk op Facebook manifesteren: Facebook heeft hem – op straffe van verbanning – verplicht zijn privéleven volledig gelijk te stellen aan zijn werk.

Facebook wordt steeds minder leuk. Maar er is één troost: naarmate Facebook strenger wordt in wie we er mogen zijn en wat we er kunnen zeggen, wordt het minder aantrekkelijk om daar even te gaan buurten. Ik doe steeds minder met Facebook…

(Foto: Dolly Bellefleur, door Erwin Olaf.]

Natte maand

Datalekken vinden is inmiddels een gewilde sport geworden. Helaas is het geen topsport: terwijl instanties instellingen en bedrijven steeds meer gegevens van ons willen, zijn diezelfde dataverzamelaars vaak laks met de beveiliging ervan – wat raar is.

Juist wanneer onze gegevens zo onmisbaar zijn voor hun bedrijfsvoering, voor onze identificatie en voor het correct uitvoeren en verwerken van onze transacties, verdienen die een hoge graad van bescherming. Desondanks gaan veel websites en applicaties gebukt onder elementaire fouten. Derden kunnen daardoor makkelijk met onze gegevens aan de haal gaan. Privacyschendingen, fraude, identiteitsdiefstal en valse verdenkingen zijn het gevolg.

Zo bleek vorige maand dat je bij de Belastingdienst met een willekeurig DigiD op andermans naam een toeslag voor huur-, zorg- of kinderbijslag kon aanvragen, diens rekeningnummer in het jouwe kon veranderen en die toeslag kon wegsluizen. De Belastingdienst is zo naar schatting voor ruim een miljoen opgelicht; honderden – mogelijk duizenden – mensen zijn ofwel hun toeslag misgelopen, ofwel valselijk als fraudeurs aangemerkt.

SQL-injects en cross-site scripting (XSS) klinken ingewikkeld, maar elke skriptkiddie kan het, waardoor de achterdeur van veel site wagenwijd openstaan. Via deze weg en kun je volledige databases uitlezen of iemands inlogsessie overnemen. Door precies zo’n fout kon ik een paar jaar geleden alle 1,2 miljoen patiëntendossiers van een groot ziekenhuis bekijken, ja zelfs veranderen. Dat zulke basisfouten nog steeds bij de vleet worden gemaakt, is verontrustend.

Webwereld is het zat. Het blad heeft oktober prominent uitgeroepen tot lekmaand en wil elke dag een datalek publiceren. Alles in het nette, uiteraard: het blad zal eerst de falende instanties waarschuwen, opdat men daar de boel kan repareren. Pas dan wordt het lek daadwerkelijk gepubliceerd.

Behalve een hopelijk leerzaam lesje voor overheid, bedrijven en instellingen, is het initiatief ook een slim charme-offensief van hackers. Ze tonen er hun goede wil mee aan, laten zien dat zij vaak meer kaas hebben gegeten van beveiliging dan allerlei dure ontwikkelaars, en onderstrepen de noodzaak voor zowel een meldplicht van datalekken als bescherming van de melders ervan. (Nog vorige week deed de provincie Noord-Holland aangifte tegen iemand die braaf een lek in hun site meldde.)

Uit vrees voor ‘maatschappelijke ophef’ hebben de gemeentes zich al schrap gezet voor de resultaten van deze lekmaand. Eindelijk! Nu de ziekenhuizen, de huisartsen, de apothekers, de datingsites, de zorgcentra, de jeugdzorg, de scholen, de Belastingdienst, de politiesystemen, de ambulances, de verzekeraars, de notarissen, de advocaten en al die anderen nog.

Helpende hackers

In een brandbrief hebben de verzamelde Nederlandse hackerorganisaties afgelopen week de overheid hun diensten aangeboden. Het gaat immers vaak ernstig mis met overheids-ICT. Denk aan de stemcomputers, het elektronisch patiëntendossier, de OV-chipkaart en Diginotar. Denk aan de Belastingdienst die toestaat dat via een willekeurig DigID iemands bank- of rekeningnummer kan worden veranderd, waarna de onverlaten valselijk allerlei toeslagen (huur, zorg, kinderopvang) konden incasseren. Denk aan de talloze lekke overheidswebsites.

Terecht schrijven de hackers dat ‘elementaire beveiligingsprincipes’ structureel niet worden toegepast en dat er sprake is van ‘blind vertrouwen in techniek, gestoeld op onvoldoende begrip van de risico’s. Audits en certificeringen zijn papieren tijgers. Er wordt onvoldoende gekeken naar de systemen zelf en blind vertrouwd op verklaringen van bijvoorbeeld de ontwikkelaars.’

Hackers die zulke fouten ontdekken, durven ze vaak niet te melden. Al snel belanden ze dan zelf in de beklaagdenbank, temeer daar sommige instanties alleen al het verrichten van zulk onderzoek als strafbaar beschouwen.

De Tweede Kamer reageerde plezierig snel en adequaat. Binnen een paar dagen vond viervijfde van de Kamer dat hackers die te goeder trouw beveiligingslekken willen aantonen en die openheid nastreven, dezelfde bescherming verdienen als klokkenluiders. Een stap vooruit!

Maar klokkenluiders zijn in Nederland erg slecht af (denk aan de bouwfraude), dus uiteindelijk schiet je er niet veel mee op. Daarnaast kun je pas dataklokkenluider worden nadat de fouten zijn doorgevoerd. Liever wil je voorkomen dat de elementaire ontwerp- en beveiligingsfouten waarmee de overheid nu steeds kampt, het überhaupt tot beleid en praktijk kunnen schoppen.

Ook daar is iets op te bedenken. Waarom laat de overheid – landelijk, provinciaal, gemeentelijk – haar ICT-projecten niet voortaan structureel doorlichten door hackers? Te denken valt aan een gefaseerde test: eenmaal na afloop van de ontwerpfase, voordat de bouw begint, en eenmaal pal voor de oplevering. Via de eerste test kunnen ontwerpfouten vroeg worden gesignaleerd, met de tweede kunnen uitvoeringsfouten worden onderschept voordat ze live gaan.

Mogelijk lopen ICT-projecten zodoende vertraging op, maar ze worden er robuuster en veiliger van. En het hoeft de overheid niks extra te kosten: in de aanbestedingsregels kan zij vastleggen dat herstel van de ontwerp- en implementatiefouten die hackers in zulke testen aantreffen, voor rekening van de ingehuurde projectpartner komt.

Geheid dat de overheidspartners – grote softwarebedrijven – tegenstribbelen: bedrijfsgeheimen, et cetera. Maar hackers zijn juist zo goed omdat zij hun kennis vanzelfsprekend delen. Het is de hoogste tijd dat de overheid die kennis benut, en zich laat helpen door hackers.

Misdadige nalatigheid

Door toedoen van een Nederlands bedrijf lopen 300.000 Iraniërs nu gevaar: hun e-mails, hun surfgedrag, hun skypegesprekken, hun contacten zijn een maandlang afgeluisterd, waarschijnlijk door Iran zelf. Deze mensen dachten versleuteld met Skype, Google, Twitter of andere websites te communiceren, maar gaven ongemerkt al hun informatie door aan valse sites die zich tussen hen en hun werkelijke bestemming hadden gemanoeuvreerd. Een klassieke man-in-the-middle aanval.

De afluisteraars vermomden zich via certificaten als the real thing. Zulke certificaten worden door erkende autoriteiten opgesteld en dienen als bewijs van echtheid. Maar het Nederlandse DigiNotar deelde sinds begin juli honderden valse certificaten uit, aangemaakt door –vermoedelijk Iraanse – hackers. DigiNotar bemerkte de hack pas weken later, trok een serie valse certificaten in, maar waarschuwde niemand. Meer valse certificaten werden gevonden en weer ingetrokken.

Terwijl DigiNotar de zaak stilhield, gingen de hacks gewoon door. Op 4 augustus lukte het om een vals certificaat op grote schaal in Iran te verspreiden. In de weken erna vroegen 300.000 Iraanse computers bij DigiNotar na of dat wel een écht Google-certificaat was. ‘Ja hoor,’ antwoorden de computers van DigiNotar 300.000 keer. Waardoor die computers stuk voor stuk werden gecompromitteerd en wekenlang konden worden afgeluisterd.

DigiNotar viel door de mand, is nu extern doorgelicht en blijkt een onthutsende klungelaar. Simpele wachtwoorden, geen virusscanner, geen goede logs, geen updates, amper controles: een grabbelton van beginnersfouten.

Meest pijnlijk is dat DigiNotar niemand op de hoogte stelde van de hack en zelf bleef doorklungelen, met mogelijk zeer ernstige gevolgen voor de mensen achter die 300.000 Iraanse computers. Mensen die juist extra hun best deden om zichzelf te beschermen, door alleen versleutelde sites te gebruiken. Het is misdadige nalatigheid.

Ook Nederland is beschadigd. DigiNotar verzorgde veel certificaten voor de overheid: websites van ministeries, de Belastingdienst, 3500 gemeentelokketten. Duizenden certificaten moeten worden vervangen, wat vooral bij de gemeentes veel gedoe oplevert. En computers met oude certificaten zijn niet meer te vertrouwen.

De Belastingdienst trok gisteren de enige logische conclusie: we kunnen nu ook het DigiD – de elektronische identificatie van burgers – ‘even niet meer vertrouwen’. De gegevens van burgers die de afgelopen weken hun DigiD-hebben gebruikt, zijn mogelijk afgetapt; een vrijbrief voor identiteitsfraude. (Tip: verander over een paar dagen allemaal het wachtwoord voor je DigiD!)

Laten ons hier alsjeblieft van leren. Het is hoog tijd om serieus na te denken over databeveiliging, over verplichte melding van hacks en van datalekken; over veilige en beschermde communicatie.

Echte namen

Google+ vindt dat deelnemers ‘echte’ namen moeten gebruiken. De rest wordt zonder pardon geschrapt. Daaronder vallen namen met rare tekens (zoals K@r1n Sp@1nk), maar ook Max Laadvermogen, Opa Vertelt of Theevogel worden geweerd.

Facebook propageert een vergelijkbaar beleid. Oprichter Mark Zuckerberg vindt dat meerdere online identiteiten hebben ‘een teken van tekortschietende integriteit is’. Hun marketing directeur zei vorige maand zelfs dat ‘anonimiteit op internet zou moeten verdwijnen’. Ook in de politiek klinken zulke geluiden.

Het argument? Anonimiteit zorgt voor ruwere omgangsvormen. Wanneer we mensen dwingen onder hun eigen naam te posten, zullen ze zich beter gedragen. Ze zijn dan immers herkenbaar, traceerbaar en aanspreekbaar.

Wie dat gelooft, overschat ‘echtheid’. Ook onder hun eigen naam – zelfs rechtstreeks in elkaars gezicht – zeggen mensen geregeld de vreselijkste dingen. (Kijk maar naar politici.) Een verplichting om online je echte naam te gebruiken, maakt een mens niet vanzelf beleefder, de onderlinge omgang niet zomaar beschaafder.

Bovendien: wat heb je eraan als iemand zich online presenteert als Piet Jansen? Al is die naam waarheidsgetrouw, onderscheidend is-ie niet. Mag je ook geen andere naam kiezen wanneer er op Google+ al een Piet Jansen rondloopt? Ook niet wanneer die Piet Jansen opvattingen ventileert waarmee jij pertinent niet geassocieerd wilt worden?

Terwijl er weinig tegen pseudoniemen pleit, pleit veel ervoor. Een nom de plume – een vaste, herkenbare schuilnaam – is vaak de enige uitweg voor wie onder een fout regime leeft, of voor wie klokkenluider wil zijn. Voor wie wil praten over verslaving, homoseksualiteit, ziekte, misbruik, of geloofsafvalligheid. Het is nuttig voor al wie werk en privé gescheiden wil houden, en voor wie niet wil dat Google alles wat hij of zij online doet of zegt, indexeert en aan elkaar knoopt. Pseudoniemen bieden bescherming en vrijheid.

Onverhoopt maakt juist het beleid om alleen ‘echte namen’ toe te staan, namen tot een politiek wapen. Gebruikers kunnen elkaar rapporteren bij Google+ wanneer zij menen dat iemand onder valse vlag opereert; zo’n account wordt dan tot nader order geschorst. Het gevolg? Creationisten en andere religieuze fundamentalisten rapporteren en masse aanhangers van de evolutietheorie: ‘Zij heet helemaal niet Liz Stephens, ze heet Elisabeth, en Stephens is haar meisjesnaam!’ Hup, account geschorst, tegenstander gewipt. Next!

Dat zowel Google als Facebook in persoonsgegevens en profielen handelen en daarom profijt hebben bij de afschaffing van pseudoniemen, zeggen ze er niet bij. Oh nee: ’t is heus alleen voor ons bestwil.