Dankjewel LulzSec!

LulzSec haalt afgelopen maand vrijwel dagelijks het nieuws vanwege zijn hackingpraktijken. De groep hackte servers en lekte gevoelige informatie van partijen als Sony, PBS, de FBI en stelde zelfs een telefoonnummer in gebruik om aan het publiek te vragen welke site het volgende doelwit moet worden. De ironie van de hacks is dat de groep ons eigenlijk een plezier doet, ook al zal dat niet hun intentie zijn.

Toen LulzSec de website van publieke omroep PBS hackte en een verzonnen Tupac-verhaal plaatste, was dat ergens wel nobel. PBS zond eerder een negatieve documentaire over Wikileaks uit, waardoor LulzSec zich genoodzaakt voelde wraak te nemen.

Rechtvaardigheidsgevoel

Ook bij de aanval op Sony leek er sprake van een soort Robin Hood-mentaliteit. Sony was inmiddels verwikkeld geraakt in een felle juridische strijd met de beruchte hacker George Hotz, die de PS3-console wist te kraken. Sony en Hotz troffen buiten de rechtszaal een schikking, maar dat was voor de hackgroep niet voldoende.

Ik steun of veroordeel de acties niet, ook niet van andere hackgroepen, maar deze eerste aanvallen van de groep hadden nog iets nobels. Daarnaast ging ik er vanuit dat de aanvallen complex waren en daardoor enige toewijding vereisten, om maar niet te spreken van een flinke tijdinvestering.

Beveiliging was altijd al ondermaats?

Niet om de vaardigheden van de LulzSec-leden aan te vallen, maar in retrospectief denk ik dat ik de netwerk- en serverbeveiliging van de doelwitten van LulzSec meer krediet heb gegeven dan ze verdienden. Het gemak waarmee LulzSec sites neerhaalt en data blootlegt, suggereert dat het een gemakkelijke opgave is en dat deze organisaties weinig defensieve maatregelen hebben genomen tegen aanvallen van hackers.

In dat opzicht, of de aanvallen nu een nobele hacktivistische daad zijn of simpele kinderachtige strijd tussen hackers over wie het verst kan plannen, verdient LulzSec een compliment. Waarom? Omdat deze aanvallen ons alerter maken op de beveiliging van onze netwerken en servers. Blijkbaar schiet deze bij veel organisaties tekort.

Ik heb navraag gedaan bij diverse securityexperts en de meesten weigeren – om het nog mild uit te drukken – LulzSec op enigerlei wijze uit te dagen, aangezien ze bang zijn dat hun servers de volgende op de lijst zijn. Hoe erg het ook voor Sony of Minecraft is om gehackt te worden, een beveiligingsleverancier die hoog van de toren blaast over hoe hij zijn netwerk en data beschermt, heeft nog veel meer uit te leggen als LulzSec hun netwerk infiltreert en klantdata laat uitlekken.

Het zou goed kunnen dat deze beveiligingsleveranciers en onderzoekers precies weten waar de zwakke punten zitten of dat ze op zijn minst weten dat er niet zoiets als perfecte beveiliging of waterdicht netwerk bestaat. Ze willen natuurlijk geen slapende honden wakker maken.

Een bron, die graag anoniem wenst te blijven, liet me weten dat – afgezien hoe goed of fout ze zijn – deze gebeurtenissen mensen, processen en technologie veranderen op een duurzame, structurele manier.

'Sony komt er ijzersterk uit'

De bron zei: “Sony zal uiteindelijk met het sterkste informatiebeveiligingsprogramma uit deze hacks kunnen komen. Je kunt het vergelijken met een meedogenloze trainer wiens barbaarse methoden je haat, maar die wel de drijvende kracht is achter jouw transformatie naar superatleet.”

LulzSec kraakt de netwerken en plein public en doet het erop lijken dat anderen dat net zo makkelijk zouden kunnen doen. Omdat we niet van andere aanvallen weten, betekent dit nog niet dat ze niet plaatsvinden of niet kunnen plaatsvinden. De LulzSec-aanvallen maken ons bewust van de serieuze hiaten in netwerk- en databeveiliging en zullen er uiteindelijk voor zorgen dat het internet verder evolueert en er sterker uitkomt. Dankjewel LulzSec!