De hofnarren van het web

Onlangs bleek op een website van de
hofleverancier van ondersteunende diensten aan de
krijgsmacht een document te staan waarin
duizenden marinemedewerkers met naam en functie
werden genoemd.  Het Algemeen Dagblad liet weten
dat ze zonder problemen met de lijst en andere
internetbronnen a la Hyves en het kadaster
adressen wist te achterhalen, plus namen van
geliefden, en meer.  Moord en brand werd geroepen
en vragen door bezorgde politici.  Dan komt de
rituele dans van vraag en antwoord.  Na
beantwoording zie je niet zelden dat men weer
overgaat tot de orde van de dag.  En met wat
symptoombestrijding gaat men voort op de oude
voet.

We horen maar al te vaak dat vragen stellen
kostbaar is omdat het antwoorden zoveel tijd
vergt.  Gemiddeld zo'n 2000 Euro per antwoord.
Voor dat geld kun je niet met een kluitje in het
riet gestuurd worden.  De minister van defensie
komt echter met een ondermaats antwoord dat geen
knip voor de neus waard is.  Laten we het eens
onder de loep nemen.  Allereerst zie je in
antwoorden vaak insinuaties om de ernst van de
situatie af te zwakken.  Ook in dit geval: "Er
zijn geen adresgegevens of andere persoonlijke
gegevens vermeld."  Dit is feitelijk onjuist.  Er
staat namelijk ook een werknemers ID, plus
ingangsdatum en vrijvaldatum van het contract
in.  Daarmee kun je met social engineering een
heel eind komen!

Afgezien daarvan liet het Algemeen Dagblad al
zien dat je met naam, functie, plus andere
Internetbronnen de zaak zo kunt rondmaken.  Dus
het feit dat er geen adres is opgegeven zegt
hooguit dat Big Brother nog een andere publieke
bron moet raadplegen.

En dan het incident-gehalte in de antwoorden.
Ook hier: "Onlangs is abusievelijk, door een
menselijke fout, een bestand aangeleverd waarin
ook persoonsgegevens waren opgenomen."  Dit
suggereert force majeur maar dat er verder alles
aan gedaan zou zijn om dit soort blunders voor te
zijn.  Dat is onjuist.  Er was namelijk niets
gedaan om te voorkomen dat zoekmachines de hele
site indexeren.  Iets dat in een boek als 'Maken
van websites voor dummies' al wordt uitgelegd.
Een klein foutje escaleert dan meteen naar een
calamiteit, dus geen incident maar trend.

Verder was de gewraakte directory zeer
waarschijnlijk browsable.  Gevolg: op archive.org
zien we momenteel 2231 bestandsnamen uit die
directory.  Voorts staan op Google momenteel 506
links naar documenten uit diezelfde directory.
Bovendien staat de geheime informatie deels nog
in de cache van Google.  De eerste 7 pagina's
zijn gewoon te zien.  Dat zal wel weggaan, maar
nu nog even niet.  In Egypte en de Oekraine staat
het voorlopig nog op lokale servers die
achterlopen bij de rest.  Die servers kun je niet
altijd vanuit Nederland benaderen, dus de
minister is naief in zijn antwoord op dat punt:
"Op dit moment wordt onderzocht via welke
providers het bestand nog is te benaderen en
wordt hun verzocht dit te verwijderen."

Sinds de onthullingen heeft een hofnar daar de
folder dicht geprobeerd te zetten, met trucjes en
een zogenaamde robots.txt file, een herenakkoord
voor zoekmachines zeg maar.  Maar met de eerste
de beste site-slurper die zich niets aantrekt van
het Robots Exclusion Protocol haal je de
directory nog steeds leeg.  Resultaat:  3284
files, 7 subdirectories, en 721 MB aan
informatie.  De files hebben in totaal 17
extensies.  Het merendeel van de images-directory
bevat inderdaad plaatjes:  1812 jpgjes, 249
gifjes, 5 bmps.  Maar ook heel wat office spul:
554 Word files, 341 excel bestanden, 252 pfdjes,
7 powerpoints, en 34 html files.  Ook zijn er
nogal wat duplicaten.  Van de 3284 filenamen zijn
er 1647 uniek.  Dus we hebben 49.8% klonen en
duplicaten in de productieomgeving staan wat niet
echt klinkt alsof de web-hofnarren aan
professioneel versiebeheer doen.

Verder bevat de site honderden fouten in de
mark-up taal, en dat kan er toe leiden dat
zoekmachines door fouten in de website onbedoeld
toch allerlei directories gaan indexeren.  Puur
amateurisme.  Afgezien daarvan is een robots.txt
file een conventie waar openbare zoekmachines
zich aan houden, maar daarmee zet je een website
absoluut niet dicht.  De idee dat als je het niet
op Google kunt vinden dat het dan niet
opvraagbaar is is ronduit naief, gezien het feit
dat je alles nog steeds kunt ophalen.

Ook de genoemde reden dat de file online stond is
bespottelijk.  Omdat defensiepersoneel in het
buitenland wel internet maar geen intranet zou
hebben.  Kul.  Met een login-procedure is dat zo
aangepast.  En er zou een internetlink
beschikbaar gemaakt zijn.  Kletskoek.  De hele
directory stond waarschijnlijk open.  En de
hofnarren wisten niet wat op welke servers staat:
was het eind oktober weggehaald, bleek het elders
nog frivool te staan.  Maar nu is het "zo grondig
mogelijk verwijderd" aldus de opperhofnar.  En
dat antwoord zou 2000 Euro moeten kosten?

Collectief amateurisme rond constructie en beheer
van bedrijfskritische software en dito gegevens
zijn het recept om geheime informatie naar
kwaadwilligen te broadcasten.  Middelkoop:
Ongeschikt.

Nadat Chris Verhoef het ministerie van
Defensie van zijn bevindingen op de hoogte
heeft gesteld, is de desbetreffende site uit
de lucht gehaald - red.

X

Meer weten over de wondere wereld van ICT
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef

Prof. dr Chris Verhoef is hoogleraar informatica
aan de Vrije Universiteit in Amsterdam.  Hij
schrijft regelmatig een column in AG II.  Hij is
te bereiken via email:  x@cs.vu.nl.  Deze tekst is
copyright SDU.  Niets van deze uitgave mag zonder
schriftelijke toestemming van de uitgever worden
overgenomen of worden gepubliceerd.