Omdat het kan… - voortgang

voortgang

Hans Bos, National Technology Officer (NTO), Microsoft Nederland

Omdat het kan…

Gisteravond was er een ‘item’ bij De Wereld Draait Door, waarin werd gesproken over hoe laagdrempelig het nu zou zijn om de OV Chipkaart te misbruiken. Het stralend enthousiasme waarmee die methode werd getoond, en de antwoorden op de vragen van de presentator waren intrigerend.

De kanttekening die Matthijs van Nieuwkerk probeerde te plaatsen in het gesprek, “jullie hoeven dit toch niet te doen?”, veroorzaakte een min of meer glazige blik bij de woordvoerders. Niet doen leek geen enkele overweging te zijn geweest. De houding en antwoorden leken nog het meest op het bekende (sporters, recordbrekers etc) antwoord op de vraag “Waarom doe je dit”: “omdat het kan”. Dit in de context dat de sprekers zelf aangaven dat het illegaal is om te doen, maar deze “kruiswoordpuzzel voor gevorderden” is te leuk om onopgelost te laten.

Dat het technisch kan, konden we constateren. Accepteren we dat dit ook maatschappelijk kan?

Eén van de motivaties van de sprekers (zo niet de kern motivatie) was dat de overheid veel meer naar IT experts had moeten luisteren. Al bij de introductie zou men de overheid hebben gewezen op de zwakheden van het huidige technische systeem. En omdat de overheid niet luisterde, toont men de zwakheden nu in de praktijk aan. Daarbij gaven de sprekers gelijk de cirkel redenering van de eigen argumentatie aan door te stellen dat alle beveiliging uiteindelijk te kraken zou zijn.

In de “fysieke wereld” zou een dergelijk verloop van waarschuwen en vervolg actie, vrij snel kwalificaties in de richting van chantage en afpersing krijgen. Maar niet in de “digitale wereld”, daar krijgen we een breed platform en complimenten voor doorzettingsvermogen. In het sterk aan te bevelen boek “You Are Not a Gadget” van Jaron Lanier, beschrijft hij deze houding beeldend als “Therefore, we smartest technical people ought to invent ways to attack the innocents, and publicize our results, so that everyone is alerted to the dangers of our superior powers. After all, a clever evil person might come along.” Vervolgens geeft Lanier overigens aan dat deze ideologie (“ideology of violation”) soms ook tot positieve resultaten kan leiden.

Maar niet voordat hij ernstige kanttekeningen plaatst bij het verschil in reactie en houding tussen de digitale en fysieke wereld. Als voorbeeld noemt hij een lezing in 2008 waar onderzoekers aantoonden hoe mobiele telefoons gebruikt konden worden om pacemakers uit te schakelen. Dat verhaal kreeg een relatief positieve bijval, en de publieke en journalistieke reactie was anders dan wanneer de onderzoekers bijvoorbeeld zouden hebben aangetoond een manier te hebben gevonden om onmerkbaar voor de eigenaar ski’s aan te passen zodanig dat deze dodelijk zou verongelukken op de piste.

Ik denk dat we ontwikkelingen in de sfeer van “ideology of violation” vaker als zodanig moeten bespreken en van commentaar voorzien. Nu draait deze wereld mij net iets te gemakkelijk door, “omdat het kan”…

 

Posted: Jan 26 2011, 11:27 AM door Hans Bos | met 12 comment(s)

Commentaar:

Pieter de Bruin zei:

Diezelfde woordvoerders gebruikten in een eerdere DWDD uitzending een DoS-tooltje waarmee sites van Wikileaks-tegenstanders werden aangevallen. Toen werd ook opgemerkt dat het technisch kan en of we dit maatschappelijk accepteren. Intessante discussie.

# January 26, 2011 1:27 PM

Twitter Trackbacks for Omdat het kan??? - voortgang [microsoft.nl] on Topsy.com zei:

PingBack vanaf  Twitter Trackbacks for                 Omdat het kan??? - voortgang         [microsoft.nl]        on Topsy.com

# January 26, 2011 2:00 PM

Melle Gloerich zei:

Vaak is de enige manier om aandacht te krijgen voor een groot beveiligings en maatschappelijk probleem door het uit de theorie te halen en in het echt te laten zien hoe het misgaat.

De cirkelredenering die jij ziet is er volgens mij ook niet. Van meet af aan is gezegd dat het ontwerp, de chips en de gehele opzet op beveiligings en technologisch vlak achterhaald is. Alle beveiliging is te kraken (niets is definitief) maar de mate van beveiliging kun je wel uitdrukken in de verwachte tijd tot het op grote schaal lek is. In het geval van de OV-chip kaart werd dit uitgedrukt in maanden. Was er beter geluisterd naar IT- en beveiligingsspecialisten waren dit meerdere jaren geweest. Een periode die ook ruimte geeft voor sterke verbeteringen en langzame iteratieve upgrades. Als je slechts enkele maanden de tijd hebt is het dweilen met de kraan openen.

De OV-chipkaart is zo lek als een mandje, de betreffende instanties blijken privacy van hun klanten niet te waarderen en niet te luisteren naar het college bescherming persoonsgegevens te luisteren. Deze (en vele andere hacks omtrent de OV-chipkaart) gebeuren niet "omdat het kan" maar "omdat het wel moet om gehoord te worden"

Ik snap overigens niet hoe je kijkt naar de 'ideology of violation' zoals je die citeert. Ben je het er mee eens, tegen, of heb je een genuanceerdere mening? Je tekst doet vermoeden dat je tegen bent, maar het geciteerde stuk lijkt mij een erg positieve blik op die ideologie te geven.

# January 26, 2011 2:36 PM

Hans Bos zei:

@Melle: Dank voor je reactie. Daarmee geef je eigenlijk al een onderbouwing van de stelling dat we vaker en meer de ontwikkelingen in de breedte moeten bespreken. Het geciteerde stuk kun je inderdaad zowel positief als negatief uitleggen. Als je gelegenheid hebt, kan ik je aanbevelen het hele boek van Lanier te lezen.

"Omdat het wel moet om gehoord te worden" is meestal een argument voor verliezers. Dat formuleer ik nu erg bot, maar je kunt je vast wel indenken dat het een glijdende schaal wordt. Zoals Kevin Kelly in een boeiende VPRO tegenlicht documentaire adresseerde (daar inzake WikiLeaks), wie beslist dat? En het (cirkel/recursieve) dillema, wie beslist wie het beslist etc.

tegenlicht.vpro.nl/.../de-wereld-na-wikileaks.html

En als je beslist dat iets in de praktijk aangetoond moet worden om je argument kracht bij te zetten, dan gaat het volgens mij nóg een stap verder om het buiten de rechtstreekse dialoog te plaatsen en aan te sturen op een media platform, of het "in de praktijk aantonen" door derden op grote schaal te faciliteren.

Tot nu toe ben ik blij dat het in de praktijk aantonen van een risico, omdat er gepercipieerd onvoldoende aandacht is voor een theoretisch risico, nog niet gemeengoed is geworden. Je kunt je de meer en minder vermakelijke voorbeelden uit andere sectoren wel voorstellen. Persoonlijke kantekening daarbij is dat ik zelf al jaren mijn stelling dat 130 km/uur rijden op de snelweg wel degelijk veilig is, in de praktijk aantoon. Kostbaar dat wel, maar het gaat om een principe :-)

Groeten,

Hans Bos

# January 27, 2011 9:40 AM

Alexander Klöpping zei:

De vraag "waarom doe je dit?" werd volgens mij geïnterpreteerd als "waarom zou iemand de encryptie van die kaart hacken?" Dan is het antwoord denk ik "omdat het leuk is". Als de vraag is "waarom doen jullie dit op dit moment?", dan is het antwoord "om het bij jou te laten zien dat dat makkelijk kan, dat iedereen het kan, dat dit een zeef is".

Je spreekt van een cirkelredenering, dat is volgens mij onzin. Misschien was niet helemaal duidelijk wat we bedoelden. Namelijk, dat beveiliging nooit *niet* gebroken kan worden (alles kan kapot), maar dat je wel je best kunt doen om dat moment zo lang mogelijk uit te stellen. Als je een systeem invoert waarvan in het begin al duidelijk is dat het stuk is, ben je niet lekker bezig.

Ik geloof dat mensen die zo met beveiliging bezig zijn (het aantonen van het lek, niet het makkelijker maken om te frauderen), voor het grotere goed, zowel in de fysieke als digitale wereld lof verdienen.

# January 27, 2011 11:25 AM

Louise van der Kuijl zei:

Het heeft te maken met "eerst-zien-dan-geloven-mentaliteit". Men is pas geraakt door de essentie van het probleem als ze zelf zien wat er allemaal gebeurt als er niks aan gedaan wordt en ervan schrikken. Dat schrik-effect is nodig, dan gaat men eerder over op actie doordat ze denken: "Het kan zo NIET langer doorgaan!"

# January 27, 2011 12:14 PM

Open Trends nieuwsselectie 27 January 2011 ?? Open Trends zei:

PingBack vanaf  Open Trends nieuwsselectie 27 January 2011 ?? Open Trends

# January 27, 2011 5:39 PM

Hans Bos zei:

@Alexander: Dank voor je reactie. Ik ben het met je eens dat de remmende werking van een goede beveiliging een norm kan zijn voor de kwaliteit van de veiligheid. Misschien vergelijkbaar met het sterren systeem op hang- en sluitwerk van deuren en ramen. Waar ik me wel weer over zou verbazen is als we inbreken in huizen met 1 ster kwaliteit hang- en sluitwerk acceptabel zouden gaan vinden.

De cirkel zit er vooral in, dat op het kraken van een drie sterren beveiliging voor sommigen juist nog meer de "omdat het kan"-uitdaging gaat gelden. En dan is het nog stoerder om er iets over te gaan delen. Waar houdt het op?

Het argument "After all, a clever evil person might come along", is illustratief. Omdat er misschien een kwaadwillende misbruik zou kunnen maken van iets, ga ik hem (of haar) voor zijn. Wat maakt mij dat dan? De uitvinders van de auto veroorzaakten geen maatschappelijke beweging van mensen die moedwillig nieuwe manieren van ongelukken veroorzaken gingen ontdekken, maar juist een beweging van mensen die de auto veiliger gingen maken.

Inzake het ontdekken en aantonen van een lek ga ik met je mee dat het lovenswaardig is, als dat aantonen gepaard gaat met een ethische onthulling. In digitale omgeving is de dynamiek van snelheid en verspreiding zo groot dat daar extra voorzichtig gedaan moet worden met 'disclosure'.

En dat (die ethiek) is waar ik meer van zou willen weten en willen horen. Voordat we een Robin Hood beeld veroorzaken van iets of iemand. Kon dit echt niet eerst ten overstaan van 150 kamerleden, of 10 commissieleden worden aangetoond? Welk hoger/strategisch/maatschappelijk doel is nu echt gebaat bij publicatie in een populair PC magazine?

Waar ligt de grens?

Groeten,

Hans Bos

# January 28, 2011 8:26 PM

Hans Bos zei:

@Louise: Dank voor je reactie. Zeker als vader van 2 jonge kinderen herken ik je punt van "eerst-zien-dan-geloven" :-). Maar als ik ze ergens van moet overtuigen door het te laten zien (of ervaren), dan spreek ik mijn kinderen aan, en niet direct of via alle kinderen van de hele buurt...

Oftewel: In het voorbeeld van de OV Chip, vraag ik me bijvoorbeeld af of het nodig was om bij 16 miljoen Nederlanders het schrik-effect over te brengen?

Groeten,

Hans Bos

# January 28, 2011 8:32 PM

Hans Bos zei:

Voor het bredere beeld: Op een RTL Boulevard achtige manier verwerk ik ook het nieuws over de OV Chip van de afgelopen maanden. Veel mensen in dat proces doen gewoon hun werk goed, in sommige gevallen is dat misschien onderdeel van een probleem, in andere gevallen is dat wellicht lovenswaardig.

De OV Chip discussie is actueel, een discussie over ethische en maatschappelijke grenzen is structureel.

Groeten,

Hans Bos

# January 28, 2011 8:40 PM

Louise van der Kuijl zei:

Er is onderscheid tussen maatschappelijke problemen en problemen op kleinere schaal. De grens ligt naar mijn mening op het punt waar men van mening is dat de overheid een maatregel moet instellen. Het voorbeeld over het opvoeden van uw kinderen vind ik hierbij daarom niet van toepassing.

Daarbij is er volgens mij een verschil tussen beleid bij handhaving van fysieke veiligheid en digitale veiligheid. De schrik die je voelt als je op een gevaarlijk kruispunt een bijna-botsing hebt, voel je niet als blijkt dat er met de digitale beveiliging behoorlijk wat mis is.

In het geval van de OV chip-zaak gaat het dan wel niet direct om de veiligheid van de mens, maar indirect wel. Want zolang men (na wat computertrucjes) wordt gehinderd op de controle van vervoersbewijzen, zal de criminaliteit in het OV worden vergroot.

Het gaat ons allemaal aan, daarom vind ik het wel degelijk zo belangrijk dat van mij inderdaad het schrikeffect op de gehele Nederlandse bevolking mag worden overgebracht. En digitaal mag best verboden middelen gebruikt worden om dat schrikgevoel van een bijna-ongeluk te creëren. Dan weet je zeker dat de ernst van de zaak overkomt en dat er iets aan gedaan wordt.

# February 1, 2011 3:00 PM

Marco van Noort zei:

Beste Hans,

met interesse heb je blog en en comments gelezen. (Even  een zijsprong: naar mijn werk luister ik vaak naar BNR. Er zitten prachtige commercials bij. Bijvoorbeeld Ernst & Young. Pijn in de buik van het lachen !)

Pijn in de onderbuik hebben veel mensen, als het gaat over de digitale wereld. Bijna net als de politiek, het staat te ver weg van de mensen. Het gevoel hebben, dat men het niet eens is wat voor hen wordt bedacht. Ivoren Toren of Achter-Kamertjes-Politiek... MS denkt Amerikaans, doet Amerikaans en vindt dat de wereld beter af is met MS! - Talloze voorbeelden waarbij het niet goed is gegaan, Dat is mijn schrik (effect)! Doe es een hele andere kijk op wat men wil. Een nieuwe en frisse kijk is meer dan nodig. De Push-Strategie krijg je niet meer door de 'Strot' van de mensen. Marketing technisch is dit allang achterhaald.

Kortom: kijk naar je kinderen en probeer dit te vertalen naar de grote mensen wereld. De kunst is om dingen simpel te houden...

# April 4, 2011 7:35 PM
Wat denkt u?

(Verplicht) 

(Verplicht) 

(Optioneel)

(Verplicht) 

CaptchaCube Vraag:


Antwoord: