Afgelopen 25 oktober was er een verslaggever van Arnhem Dichtbij aanwezig bij een Hacktiviteit van Hack42. Zij heeft een avondlang gefilmd op de Broekstraat en daar een mooi YouTube-filmpje van gemonteerd:
Ben je door dit filmpje nu weer nieuwsgierig geworden naar de nieuwe locatie? Kijk dan snel nog even naar dit filmpje:
Je kan uiteraard ook even langskomen bij KKN! Kijk dan wel even op de wiki of IRC wanneer wij er zijn.
Zojuist is onderstaande brandbrief in de ronde tafel van de commissie BiZa van de Tweede Kamer uitgereikt. De hackerspaces en organisaties van Nederland spreken zich hier expliciet uit over het gebrek aan besef van ICT-beveiliging bij de Nederlandse overheden. De brief is opgesteld en ondertekend door alle Nederlandse hackerspaces en drie organisaties die de Nederlandse hacker-community verenigen. De brandbrief is tevens verstuurd aan de landelijke media. Wij hackers zijn het simpelweg zat om keer op keer te moeten vernemen dat bij de implementatie van grote ICT overheidssystemen kinderlijke vergissingen worden gemaakt die de privacy van burgers aantasten en soms zelfs tot gevaar voor mensenlevens leiden.
Aan: de leden van de commissie Binnenlandse Zaken van de Tweede Kamer der Staten-Generaal
Betreft: brandbrief van nationale hackergemeenschap inzake ICT-beveiliging overheid
Den Haag, 15 september 2011
Zeer geachte leden van de vaste Tweede Kamercommissie BiZa,
De Nederlandse hackergemeenschap, vertegenwoordigd door de ondergetekende organisaties, maakt zich zorgen over de beveiliging van ICT-systemen van de Nederlandse overheid. Keer op keer zien wij hoe basale beveiligingsprincipes niet worden toegepast binnen bestaande en nieuwe ICT-systemen.
Recente voorbeelden zijn de kwestie rond Diginotar en de SSL-certificaten, de OV-chipkaart, het elektronisch patiëntendossier (EPD) en nog vele andere systemen en omgevingen. Wij hebben een omvangrijke lijst van voorbeelden van overheidssystemen die persoonsgegevens bevatten of persoonsgegevens vragen aan burgers waar de beveiliging niet op orde is.
Dit zijn geen ingewikkelde hacks, maar fouten die mensen zonder opleiding kunnen misbruiken. Daarvoor is standaard programmatuur op internet voorhanden. Het gaat om elementaire beveiligingsprincipes die structureel niet worden toegepast en een blind vertrouwen in techniek, gestoeld op onvoldoende begrip van de risico’s. Audits en certificeringen zijn papieren tijgers. Er wordt onvoldoende gekeken naar de systemen zelf en blind vertrouwd op verklaringen van bijvoorbeeld de ontwikkelaars.
Er wordt niet voldoende getoetst of de beloftes van ICT-bedrijven ingehuurd door de overheid realistisch zijn en worden nagekomen. Adequate bescherming van databanken met persoonsgegevens is onvoldoende gewaarborgd. Er wordt niet nagedacht over mogelijk misbruik van nieuwe systemen. Tegelijk worden aan de overheid gelieerde instanties zoals het College Bescherming Persoonsgegevens (CBP) en GOVCERT in onvoldoende mate betrokken bij ICT-trajecten.
De hackergemeenschap voelt zich geroepen deze zaken aan de kaak te stellen. Echter, er heerst op dit moment een klimaat waarin de boodschapper wordt gestraft en de betreffende departementen en bedrijven niet tot verantwoording worden geroepen. Wij zijn daarom terughoudend in het delen van informatie over deze beveiligingslekken.
Wij maken ons zorgen over het feit dat de beveiligingslekken dermate elementair zijn, dat het vrijwel zeker is dat mensen met kwade bedoelingen zich hiervan bewust zijn en deze fouten kunnen uitbuiten. Zoals de recente kwestie met de Iraanse overheid heeft laten zien. Wij roepen derhalve op om de kwestie Diginotar niet als incident te zien, maar als een symptoom van een gebrek aan controle op de veiligheid van ICT-systemen bij de overheid. Het is tijd dat de leden van de Tweede Kamer, zij die het volk vertegenwoordigen en geacht worden het volk te behoeden voor dit soort vergissingen, zich realiseren dat er sprake is van een structureel probleem.
De Nederlandse hackergemeenschap beschikt over de kennis en kunde met betrekking tot bovengenoemde zaken, en deelt deze graag met de volksvertegenwoordigers.
Hoogachtend,
Koen Martens
Namens de verenigde Nederlandse hackerspaces en organisaties:
Stichting Hack42 te Arnhem
Stichting ACKspace te Heerlen
Stichting TkkrLab te Enschede
Stichting Bitlair te Amersfoort
Stichting Revelation Space te ‘s-Gravenhage
Stichting Randomdata te Utrecht
Stichting Frack te Leeuwarden
Stichting Sk1llz te Almere
Stichting eth0
2600nl.net
Stichting HXX
In de media:
De NRC Next van vandaag (8 september 2011) kopt met “Digitaal knutselen”. De voorpagina toont een paginabrede foto van een Hack42 deelnemer die aan het werk is in een van de labs.
Pagina’s 4 en 5 belichten de Nederlandse hacker-cultuur en toont daarvan meerdere facetten. Bijvoorbeeld verschillende motivaties, wat hacken inhoudt en welke ethiek een rol speelt. Het artikel geeft antwoord op de vraag: “Wat doen Nederlandse hackers?”
De NRC Next is online te bekijken voor NRC Abonnees, te halen bij de lokale kiosk, boekenzaak of, voor Hack42 bezoekers, in de space.
Voorpagina NRC Next, kopt met Digitaal knutselen.
Cool! Hackaday.com heeft een stukje geplaatst over onze spacestateswitch. Kudo’s aan WitchDoc voor het idee de switch in te sturen naar hackaday.com.
De SpaceStateSwitch schakelt de space “aan” of “uit” en is gekoppeld aan de website, twitter en irc. Hiermee signaleren we onze deelnemers wanneer er anderen in de ruimte aanwezig zijn en het dus tijd is om te komen spelen.
De schakelaar koppelt de tx en rx van een ongebruikte netwerkpoort van een accesspoint. Hierop draait een script die de netwerkpoort 1x per minuut checkt. Indien de poort van status veranderd onderneemt het script actie door te twitteren. Meer technische achtergrondinformatie is te vinden op onze wiki.
De Zwarte Zwadderneel heeft op zijn blog het reisverslag geplaatst van de opening van Hack42.
“The Arnhem Hackerspace HACK42 just got its 200m2 SPACE. We just *had* to go and see for ourselves, and congratulate them.”