Daar komen de hackers

Petra Kramer

Scene uit Santa’s Slay.

“Als je tegen deze wet was, dan was je voor kinderporno, dan was je voor terroristen, dan was je voor criminelen.” Het is mijn partij bepaald niet, maar Kees Verhoeven van D66 heeft zich met man en macht verzet tegen een draconische wet die de doos van Pandora doet verbleken als kinderspel. Als de PvdA en de VVD hun zin krijgen, mag de politie iedereen de moeder hacken. Voormalig gedoogpartner CDA doet daar nog een schepje bovenop. Wat het CDA betreft, kan de hackwet niet draconisch genoeg zijn.

Ironisch genoeg is de PVV in principe voor de hackwet tenzij het CDA z’n zin krijgt en we alle remmen loslaten. Of Geert Wilders tegen een totalitaire politiestaat is, waag ik te betwijfelen maar PVV-Kamerlid Lilian Helder lijkt dat wel te zijn. Niet dat ik haar inbreng nou je van het vond omdat die valt te vergelijken met het schizofrene gedoogbeleid waarbij wiet verkopen wel mag maar telen niet. Volgens Helder mag de politie het zogeheten 0days wel gebruiken, maar niet kopen. Dat is wensdenken. 0days zijn kwetsbaarheden in software die bij de leverancier onbekend zijn.

Misbruik

Staatssecretaris Dijkhoff van Veiligheid en Justitie is het met Helder eens dat de politie geen gebruik mag maken van 0days. De inkoop daarvan is verboden. Tenzij er een mooie strik omheen zit. De inkoop van hacking-tools mag namelijk wel.

De VVD wil de handel in onbekende kwetsbaarheden het liefst legaliseren. Met veiligheid heeft dat niks te maken, met misbruik maken van kwetsbaarheden des te meer. De leverancier van de software wordt niks verteld, terwijl de zwarte markt gespekt wordt. Daarbij doet het Kabinet alsof die markt toch al bestaat en dat ze slechts een kleine speler is, maar dat is onzin. Reuters heeft aangetoond dat de Amerikaanse overheid de grootste speler op de markt is en Nederland wil daaraan gaan meedoen.

verouderde meuk

De titel van het artikel van Reuters is veelzeggend. ‘U.S. cyberwar strategy stokes fear of blowback‘. De angst voor blowback is bepaald niet irreëel. De overheid die kwetsbaarheden in software minimaal vier weken en maximaal tot in lengte van dagen onder de pet wil houden, brengt iedereen in gevaar.

Met name zichzelf. Er is niemand die zoveel verouderde meuk gebruikt als de overheid. Bovendien heeft HackingTeam niet nagelaten om de eigen klanten op te zadelen met een rootkit als dat nodig was om hun belabberde spionagesoftware werkend te krijgen. Dat is een meme op Twitter geworden.

Microsoft fucken

De politie hangt aan elkaar van ouderwetse rommel. De laatste keer dat ik verhoord werd, draaide de politie nog Windows XP en gebruikte ze godbetert Internet Explorer 6. Natuurlijk draaien ambtelijke molens traag, maar er is geen excuus voor om afhankelijk te zijn van software waarvoor de updates twee jaar geleden gestopt zijn.

Helaas denkt de overheid daar anders over. Daarom betaalt de overheid minstens drie miljoen om kwetsbare software die 12,5 jaar oud is zogenaamd up to date te houden. Iedereen met een beetje verstand van Windows had dat gratis kunnen verkrijgen door welgeteld één registersleutel te veranderen. De overheid, die blijkbaar niet bij machte is om Microsoft te fucken door middel van een enorm simpele hack, wil nu dat de politie gaat hacken.

Politie is achterlijk

Iedereen die ooit verhoord is door de politie zal erkennen dat die notoir achterlijk is. De politie betaalt zich blauw voor extended-extended support voor een systeem dat ze überhaupt nooit had moeten gebruiken. En dat – zoals gezegd – geen drie miljoen per jaar hoeft te kosten als je het slimmigheidje kent. Ik ben geen wonderkind, maar ik ben wel slimmer dan iedere duurbetaalde politiekracht.

De politie, die werkelijk geen idee hoe heeft hoe de eigen systemen zo goedkoop mogelijk beveiligd kunnen worden, krijgt, als het aan de VVD, het CDA en de PvdA ligt, de bevoegdheid om te gaan hacken. Daarbij schreeuwen al die drie partijen dat de politie dat zelf moet doen en dat het geen dure grap mag worden. De hackwet die het inkopen van 0days toestaat, mag zogenaamd geen vrijbrief zijn om maar 0days te kopen.

Hackers in staatsdienst

De overheid is daarbij bereid om een blik met wormen te openen. Alles en iedereen mag gehackt worden als het aan VVD, CDA en PvdA ligt. Wat de consequenties zullen zijn, wordt totaal genegeerd. Alle drie de partijen vinden het onnodig om te controleren in welk land een server staat voordat erop ingebroken wordt.

Dat is nogal wat. Als wij een vrijbrief hebben om op alles en iedereen in te breken, dan hebben Rusland en China dat ook. En reken er maar op dat zij terug zullen slaan. Volgens Kees Verhoeven heeft China 180.000 hackers in staatsdienst terwijl Nederland moeite heeft om vijfhonderd vacatures te vullen.

Overheid is dom

De overheid denkt weinig tot geen 0days nodig te hebben. De overheid is dom. Rusland mag dan laat op het feestje zijn, ze hebben geen ziekenhuizen die op Windows XP draaien. En wij wel. Daarom zou ik maar eens voorzichtig zijn met het hele cyberwarfaregebeuren, want er is niks dat er op wijst dat wij gaan winnen.

Petra Kramer omschrijft zichzelf als ‘anarcho-jihadi’ en ’transliban’. Ze is snoeihard en messcherp. Volg haar op Twitter en lees haar op (onder andere) Meedogenloos en Vileine. Dit stuk stond al op Meedogenloos.