Tendentieus, ongefundeerd & nodeloos kwetsend

Website Burgernet heeft enorm privacylek

Shower_7640_nevit.gif Nederland, nabije toekomst: Tim Kuik die met Fred Teevens downloadverbod in de hand komt eisen dat je op ontsleutelbevel van Ivo Opstelten de wachtwoorden voor toegang tot al je digitale data moet ophoesten omdat je geen aankoopbonnetjes kunt tonen bij de films die je ter download aanbiedt. Nee. Is geen satire. Kijk maar: downloadverbod, ontsleutelbevel, aankoopbonnetjes. Allemaal ideetjes van het Ministerie van Kafka, dat op volle toeren draait om het internet te behangen met bordjes 'hier geen fietsen plaatsen' en 'niet op het gras lopen' om te zorgen dat de burger met angst om wetten te overtreden online gaat, zodat de overheid zelf iets minder bang hoeft te zijn voor dat wrede, cynische internet met haar boze burgers en anarchistische vrijheden. Andersom kun je in de echte wereld de stay connected mentaliteit van demense juist weer goed gebruiken om een groot overheidsgestuurd klikspaannetwerk te bouwen: Burgernet. Volstrekt anoniem burgerpliesie spelen voor de overheid. Privacy gegarandeerd. Alleen dan toch niet. Want alle persoonlijk info die je op Burgernet.nl invult, wordt onversleuteld verstuurd. Precies zoals Opa Ivo het graag ziet. De site gebruikt namelijk geen https-beveiliging: er is alleen forced SSL op de inlogpagina, maar het aanmeldformulier is volkomen onbeveiligd en daarom gevoelig voor hackers. Technische duiding door een man op een donker zolderkamertje tussen de pizzadozen en lege Club Mate-flessen na de breek. Hallo overheid. Doe eens fixen. Of nog te druk met nieuw troetelkindje NL Alert geschikt te maken voor iPhones? Kamervragen: Marcouch en Oosenbrug willen van de regering weten hoe het zit met dat lek (pdf). De website van Burgernet verstuurt alle aanmeldingen in plain-text. Dat zijn dus: Je persoonlijke gegevens, je gebruikersnaam en je wachtwoord. Dit gaat zo het hele formulier door, vanaf Stap 1 tot en met Stap 3. In hun broncode staat een referentie naar "http://burg..." in plaats van "https://burg...". Zelfs als je zelf https://www.burgernet.nl opent, is in het menu de link naar het aanmeld formulier een http ipv https link. (Zie screenshot 1, opklik voor groot) BurgernetVeilig1-1534.jpg.jpg Zelf claimen ze in hun FAQ dat alles beveiligd wordt verstuurd, dat geld echter uitsluitend voor het inlog formulier. Die is forced SSL. Het aanmelden zelf? Die is automatisch onveilig... Screenshot 2 is de view van de page waar ik wat persoonlijke info heb ingevuld: gebruikersnaam: veiligheidtest Wachtwoord: SL3CHTh00r! BurgernetVeilig2-2534.jpg.jpg Zie screenshot 3 voor een wireshark trace... Zowel geen client side encryption als server side encryption. Wat wel kan, is als je zelf als je op het aanmeld formulier komt even in je address bar het aanpassen van "http" naar "https" en voila je bent met SSL beveiligd. Zelf forceren ze dit dus niet. En er is geen hond die zelf in z'n adres balk het gaat wijzigen natuurlijk. BurgernetVeilig3-3534.jpg.jpg

Reaguursels

Inloggen

firefox add-on https everywhere gebruiken.

razerhead | 30-11-12 | 07:58

blinde kip | 29-11-12 | 16:05 | Ik vrees dat je volledig gelijk hebt. Sowieso: 'burgernet'? 'Burgers helpen pliesie'? De pliesie is AL LANG AFGESCHAFT. Wat is dit nou weer voor kolder?

FlonVabbergasted | 30-11-12 | 07:03

Heel Nederland is één groot privacylek. Dus was is jullie probleem?

Ouslender | 30-11-12 | 04:34

En wie zegt dat het een foutje is? Als je de twee zaken combineert (www.geenstijl.nl/mt/archieven/2012/11/...) dan wekt het de indruk dat de overheid aan de ene kant de indruk wekt dat het allemaal heel veilig is (de login lijkt veilig te zijn) maar heeft daarbij ook de mogelijkheid om buiten alle bestaande waarborgen om toch even te kijken wie er wat gestuurd heeft zonder enige vorm van controle. Het is wel een toevallig foutje. En het zou niemand opgevallen zijn gedurende de 12 miljoen zoekopdrachten?

Handboek | 29-11-12 | 22:21

En dan hebben we het nog niet eens over de taalfouten in de FAQ van Burgernet (zie de link in het bericht)...

Daar zal ook wel op bezuinigd zijn.

Kobus | 29-11-12 | 21:23

HOAX! Hoe kan je Opera gebruiken bij geenstijl? trekt altijd 100% cpu

cDR | 29-11-12 | 20:31

Het bizarre is dat blijkbaar in de architectuur er wel rekening mee is gehouden maar dit dus niet is aangezet. Dan is er sowieso bij oplevering iets verkeerd gegaan. Niemand dus die achter zijn oren krabt, dit hoort toch beveiligd te zijn.

Kaas de Vies | 29-11-12 | 20:16

@normanius | 29-11-12 | 19:18 | + 2 -
LoL. Ja zo gaat het en niet anders.

Kaas de Vies | 29-11-12 | 20:15

Overheid:
Laten we een of ander participatieproject opzetten waarbij burgers ons kunnen helpen om misdaad aan te pakken. We gooien een aanbesteding de deur uit om zoiets technisch te laten ontwikkelen waarbij het moet voldoen aan de volgende specificaties; het moet beheerbaar, innovatief, online, veilig en laagdrempelig zijn. Tot slot noemen we het burgernet en het niets kosten.
.
meerderheid 2ekamer;
Jah doen!
.
Aanbestedingsronde;
aan aanbestedingsregels voldoende ICT boeren A, B en C, doen om beurten hun pitch.
.
ICT boer A komt met een mooi, goed te beheren, veilig en gebruiksvriendelijk systeem voor de prijs van 3.000.000.
.
ICT boer B komt voor 2mio met een bijna even geweldig systeem als ICT boer A, echter is het beheer wat minder eenvoudig.
.
ICT boer C komt als laatste een pitch houden en heeft besloten om in plaats van iemand met verstand van zaken de presentatie te laten doen, een gehaaide salesmanager te sturen. Na een half uur gladde praatjes, referenties van grote security jongens als FOX IT en moeilijk taalgebruik over even zo moeilijke garantie bepalingen komt onder de streep het bedrag van 1mio tevoorschijn.
.
Inmiddels beginnen de privacy voorvechters zich al te roeren maar hun argumenten worden vrij eenvoudig van tafel geveegd.
.
Het systeem gaat er komen en via de openbare aanbesteding is bepaald dat ICT boer C de opdracht binnensleept. ICT boer C is immers de goedkoopste en had de beschikking over een gehaaide salesmanager en referenties van gerenommeerde beveiligingsjongens.
.
Burgernet gaat na een budgetoverschrijding van 200% en een jaar vertraging online. We horen er een poosje niet zoveel meer over.
.
29-11-2012.
Bekend wordt dat burgernet zo lek is als een mandje. Heel Nederland spreekt er schande van, ministers buitelen over elkaar om de zoveelste overheids ICT clusterfuck te downplayen terwijl de NOS, DWDD en RTL4 hun paradepaardje FOX IT massaal van stal halen voor de broodnodige duiding.
.
Zoals gewoonlijk wordt er een onderzoek ingesteld wat uiteraard uitgevoerd wordt door FOX IT. Dit is namelijk 'DE' ICT beveiliger van de overheid en tevens de belangrijkste adviseur voor het NCSC.
.
29-5-2013
Het onderzoeksrapport over de burgernet clusterfuck wordt gepresenteerd en nog diezelfde avond valt iedereen weer over elkaar heen om de duiden, te debunken en te vingerwijzen.
.
Na een paar dagen raakt de discussie uit de gratie en verdwijnt het uit de media. Alles is weer zoals het was.
.
29-11-2013
Op webwereld verschijnt een artikel over een gehackte EPD database waarbij de privé en medische gegevens van zo'n 16mio Nederlanders zijn buitgemaakt, de NOS pikt het artikel op en de volgende ochtend spreekt heel Nederland er schande van en ministers buitelen over elkaar heen om...
.
Kortom, dit blijft gebeuren zolang de overheid gebruik blijft maken van een IT beveiliger met verschillende agenda's en het streven om voor een duppie op de eerste rij te kunnen zitten niet overboord gegooid wordt door mensen met kennis van zaken en een olifantenhuid als het gaat om gladde sales praatjes.

normanius | 29-11-12 | 19:18

Niets nieuws onder de zon. In de Tweede Wereldoorlog kende men al een uitgebreid burgernet. Uiteindelijk zijn die verraders toch veelal zelf ook verraden, meestal met een bijzonder vervelende afloop voor de persoon in kwestie.
Logisch, als geheim uiteindelijk helemaal niet geheim blijkt te zijn.

V®aagTeken | 29-11-12 | 18:51

Als ambtenaren iets moeten regelen krijg je dit soort resultaten. 6 keer over het budget heen, verkwisting, fout op fout, planningen die nooit gehaald worden en incompetentie in het kwadraat. En het "mooiste" is: niemand is verantwoordelijk. Om te huilen.

Rest In Privacy | 29-11-12 | 18:39

Mensen die zich aanmelden bij Burgernet verdienen het om gehackt te worden.
Burgernet is gewoon de digitale NSB.

r04drunn3r | 29-11-12 | 18:16

Duh. Dit is alleen linke soep wanneer er iemand meekijkt. Ivo hoeft hier enkel de richtlijn 'niet meekijken' naar de burger uit te rollen. Dat kan aankomend weekend (lees: dubbele uren schrijven) in een vijfsterren hotel met dito hoertjes worden afgebabbeld in een werkgroep toppraat, waarna voor een paar miljoen een expertise centrum uit de grond gestampt kan worden. Ik zeg, toe maar.

Shareholder II | 29-11-12 | 18:10

@ Kapitein Sjaak Mus | 29-11-12 | 17:58 |
* beschaamd de slashes de andere kant opbuigt *

Kapitein Sjaak Mus | 29-11-12 | 18:00

@TypischTypetje | 29-11-12 | 17:49:
Ja elk semi-nerd type met een joint in de bek en een blikje Hollandia in den hand die een MBO Niveau 2 opleiding en een CCNA Discovery certificaatje heeft noemt zichzelf tegenwoordig al "gecertificeerd systeembeheerder", dus wat dat betreft zegt het vrij weinig; doch hoop ik natuurlijk dat u niet van dat soort bent. :-)

Dat is waar, echter zou dit denk ik meer problematisch zijn dat men niet meer anoniem is als de gegevens onderschept worden. Kan je zo een lijstje aanmaken voor het verzet niet waar? :P Althans, een ieder die zich aanmeld via een openbaar danwel ruk beveiligd netwerk. (Eg: 80% van de KPN klanten die nog op een SpeedTouch router zitten...)
Mensen die na alle waarschuwingen nu nog steeds overal hetzelfde wachtwoord gebruiken vragen bijna om problemen... *zucht*

Enfin zoals @Sioux | 29-11-12 | 17:36 | + 1 zegt:
Het probleem is opgelost. Bizar eigenlijk, een overheid project dat daadwerkelijk actie onderneemt! Er zit een luchtje aan brom ik u.

Liroy | 29-11-12 | 17:59

Voor de gein eens intikken:
Https:\\www.geenstijl.nl

Kapitein Sjaak Mus | 29-11-12 | 17:58

Liroy | 29-11-12 | 17:22
SSSST nou doe je het weer!!!111one

Ik weet wat de tools zijn en wat Secure Socket Layer is, ik ben gecertificeerd systeembeheerder ;)
En ja, het is idd zeer makkelijk, deze techniek die we ook wel "Sniffing" noemen. Als je de gestolen gegevens gebruikt om oneigenlijk informatie systemen binnen te dringen, is het nog steeds wel computervredebreuk. Dus je mag het een vorm van hacking noemen, al is het weinig creatief.

TypischTypetje | 29-11-12 | 17:49

Bij mij staat nu gewoon in de adresbalk bij het formuliertje. Gevalletje reeds gefixt dus?

Sioux | 29-11-12 | 17:36

Wedden dat hun wachtwoord van Google Analytics erg simpel is?

joooop | 29-11-12 | 17:35

Nog erger, ze gebruiken Google Analytics (ook onversleuteld) dus alles wordt ook bij Google opgeslagen en kan (zal) gecombineerd worden met verder surfgedrag.

joooop | 29-11-12 | 17:34

Zelfs Stasinet van 30 jaar geleden was beter beveiligd.

Ing. eslapen | 29-11-12 | 17:26

@TypischTypetje:
Dit een hack noemen is wat overdreven. Je luistert naar verkeer dat over het netwerk gaat en onderschept daar de gegevens die je wilt hebben, het is niet zo dat je ergens inbreekt... Precies daarom is SSL uitgevonden, zodat je niet meer kan "meeluisteren".

Liroy | 29-11-12 | 17:22

Krijg net sms van telecomboer: Beste klant, de overheid introduceert NL-Alert. Direct info bij een noodsituatie.Kijk op nl-alert.nl of uw mobiel al geschikt is. Telecomboer en de Rijksoverheid

Al SchietjemeLevend | 29-11-12 | 17:07

Ars Vivendi | 29-11-12 | 16:04 |
Wat me zorgen baart, is dat deze beveiliging zo kinderlijk simpel te omzeilen is, dat zelfs het online equivalent van een bontkraagje op een scooter hier zou kunnen inbreken.

Teiltjes Tekort | 29-11-12 | 17:07

Maakt geen bal uit.
De NAW van de aangever komt via justitie bij de advocaat van Mo&Co, die je dan thuis komen bedreigen.
Overigens, net goed voor die burgernet NSB-ers.

zovoklets | 29-11-12 | 17:06

Kaas de Vies | 29-11-12 | 16:06 Onbeveiligd. Dus ook die van sinterkaas.

zeg maar jansen | 29-11-12 | 16:55

Shit, nu verklapt geenstijl in een keer zomaar dat hacken fokking makkelijk is, en kan ons soort hackers niet meer weg komen met interessant en magisch lijkende truukjes.

TypischTypetje | 29-11-12 | 16:53

Nou ja, ik ben sowieso al niet bij Burgernet aangesloten. Het enige wat je bij mij in de regio te zien krijgt is gestolen fietsen.

En dan nog alleen als het streekvervoer weer eens op zich laat wachten.

zeg maar jansen | 29-11-12 | 16:51

Een analoge man laten beslissen over digitale zaken... nuff said

KapiteinZeiksnor | 29-11-12 | 16:50

Ach Opstelten schrijft nog met een kroontjespen. Wat willen we nou met deze overheid ?

Lichtstadfan | 29-11-12 | 16:45

Kijk eens bij de FAQ (www.burgernet.nl/Veelgesteldevragen.as... het opnemen van je persoonlijke gegevens in een strafdossier:
.
"De Officier van Justitie zal zeer zorgvuldig omgaan met de informatie van Burgernetdeelnemers. Uw gegevens komen in principe niet - en zeker niet automatisch - in het strafdossier terecht. In het uitzonderlijke geval kan de Officier echter besluiten om uw verklaring op te nemen in het dossier. Dit zou het geval kunnen zijn als u een waarneming heeft gedaan die van doorslaggevend belang is voor de bewijsvoering ('ik zie nu de mannen uit de genoemde zwarte Golf overstappen in een blauwe Seat met het kenteken...'). Als u hier bezwaar tegen hebt kan de Officier de rechter-commissaris verzoeken om u de status van anonieme getuige te geven. Uw persoonsgegevens komen dan niet in het strafdossier. U zult hiervoor de status van "bedreigde getuige" toegewezen moeten krijgen."
.
Haha, ik zie al die broertjes en hun neefjes al in mijn voortuin.

Toine Tussenbeen | 29-11-12 | 16:41

Gelukkig zijn de mensen die dit ook allemaal daadwerkelijk kunnen vaak 35-jarige Red Bull verslaafden met een voorliefde voor spellen waar je elkaar kapodt moet schieten.

Buffell | 29-11-12 | 16:39

@r04drunn3r | 29-11-12 | 16:20
Die nerd-taal maakt je des te lachwekkender.

Buffell | 29-11-12 | 16:38

https-Everywhere plugin voor Vuurvos....

yamahaha | 29-11-12 | 16:35

@Jordi | 29-11-12 | 16:23 | + 1 -

Laat dat nou net helegaar niet moeilijk zijn.

PythonJunkie | 29-11-12 | 16:31

-weggejorist en opgerot-

hj2 | 29-11-12 | 16:31

De overheid die zo lek als een mantje is... is dit nieuws?

CornholioNL | 29-11-12 | 16:30

@kapotte_stofzuiger | 29-11-12 | 16:23 |

Hier een kleine toelichting,

Hackers zorgen er voor dat jouw hele privé leven niet ergens in een MS .db (microsoft database)

op IIS servertje (internet server) staan

met een FTP server deamon (een soort van windows explorer voor het kopieren van bestanden maar dan over internet)

die anno login toe staat.(die een anonieme login waar vaak geen wachtwoord of algemeen bekend wachtwoord voor nodig is)

Idontgiveafunk | 29-11-12 | 16:29

Nee want dan kan ik de bank & CC gegevens van PureYak niet downloaden.

r04drunn3r | 29-11-12 | 16:26

@r04drunn3r | 29-11-12 | 16:20
En nu in het Nederlands, dat de andere reaguurders het ook begrijpen.

kapotte_stofzuiger | 29-11-12 | 16:23

Misschien wel even vermelden dat dit alleen mogelijk is als je het netwerkverkeer (van iemand anders) kunt onderscheppen.

-edit: doordat ze wifi gebruiken waar jij naast zit bijvoorbeeld?-

Jordi | 29-11-12 | 16:23

Maar welke debiel gaat nou zijn naam opgeven als hij ANONIEM misdaad meldt?

John McClane | 29-11-12 | 16:23

Je mag zeker ook niet te breed lopen op de digitale snelweg

Idontgiveafunk | 29-11-12 | 16:23

@merDe123

Jouw wijf, of is ze lelijk?
Informatie is macht.
Hackers zorgen er voor dat jouw hele prive leve niet ergens in een MS .db op IIS servertje staan met een FTP server deamon die anno login toe staat.

r04drunn3r | 29-11-12 | 16:20

De overheid geeft gewoon het goede voorbeeld. Encryptie is voor criminelen. Als je niets te verbergen hebt, hoef je ook niets te vrezen.

PureYak | 29-11-12 | 16:20

9 van de 10 overheidssites zouden niet eens Thuiswinkel Waarborg krijgen.

CoJoNes | 29-11-12 | 16:19

Als je nou 1/5 van het geld, dat je aan projectmanagers uitgeeft, aan paar van die hackers geeft, zorgen zij voor een veilige site.

petje pietamientje | 29-11-12 | 16:17

Ongetwijfeld heeft dit weer ettelijke miljoenen gekost. Slechter beveiligd dan de allerlulligste webshop. Een kippenhok met een hangslot op het deurtje maar dan op de interweps.

Godsammekraken | 29-11-12 | 16:16

Waarom kan de Nederlandse overheid niet op een normale manier met ICT omgaan? Kijk eens over de grens, daar hebben we toch die handige EU voor.

kapotte_stofzuiger | 29-11-12 | 16:13

Kaas de Vies | 29-11-12 | 16:06
Sterker nog: we kunnen allemaal gewoon lezen wat jij hier typt. Ik heb daar al eens over geklaagd.

niet voor de hond | 29-11-12 | 16:10

heeft die knakker tussen die pizzadozen niks beters te doen om 10 voor 3 's nachts ? zoek een wijf ofzo

merDe123 | 29-11-12 | 16:09

"komt even in je address bar het aanpassen van "http" naar "https" en voila je bent met SSL beveiligd."
Tjeetje, dan is het aanpassen technologisch gezien een peuleschil. Maar wel heel slordig idd., en verder dus wat Parel van het Zuiden zegt.

Als ze met dit soort sites al zo slordig zijn, tjonge, dan heb ik al helemaal geen fidusie in een dna-databank, afgezien nog van de mogelijke 'slechte intenties'.

La Bailaora | 29-11-12 | 16:07

Is geenstijl al over op https of gaan mijn wachtwoorden gewoon onbeveiligd zo het internet over?

Kaas de Vies | 29-11-12 | 16:06

En meld misdaad anoniem wordt gewoon afgeluisterd in 1 van de tig miljoen tap gesprekjes. Als 1 van mijn kinderen klikt krijgt hij straf en niet degene waarover geklikt wordt.

Zou de overheid ook moeten doen.

CoJoNes | 29-11-12 | 16:05

Zoals ik al stelde in het vorige topic, is de politiek helemaal niet van plan om wat aan misdaad te doen maar alleen om ons er aan te laten wennen. Tenzij iemand een misdrijf pleegt tegen diezelfde overheid of haar lobbyisten. Dan wordt er pas werk van gemaakt.

blinde kip | 29-11-12 | 16:05

En dan het gore lef hebben om DNA-databases te overwegen...

Parel van het Zuiden | 29-11-12 | 16:05

Wel fijn dat er geen-kwaad-in-de-zin-hebbende mensen zijn die dit soort tekortkomingen signaleren...

Ars Vivendi | 29-11-12 | 16:04

Overheid + ICT = Geheide clusterfuck. Aflevering hoeveel inmiddels?

Godsammekraken | 29-11-12 | 16:04

Overheid en ICT gaan net zo goed samen als islam en tolerantie.....

Prins Fontainebleau | 29-11-12 | 16:03

och je moet t opa opstelten toch niet al te moeilijk maken

pleistertje | 29-11-12 | 16:02

REAGEER OOK

bespaartips: Energie vergelijken | Autoverzekering vergelijken | Zorgverzekering vergelijken