[linux] Re: aangifte doen? (was: Re: Re: Ik ben gekraakt.)

[Remko Bolt]

Cecil Westerhof wrote:
> Je zou i.i.g. haar rechten op de PC kunnen beperken.

Het probleem was niet dat ze te veel rechten had, het probleem was dat
_ik_ haar geen fatsoenlijke sleutel had gegeven. Het probleem lag niet
bij haar, maar bij die kraker (en bij mij). Waarom zou ik haar dan
beperken in haar bewegingsvrijheid?

> Niet op zijn Windows werken (ik verbied alleen waarvan ik weet dat 
> het problemen geeft), maar op zijn *nix werken (ik verbied alles wat 
> niet nodig is).

Nee, het heeft niks te maken met M$ vs *nix maar met vertrouwen vs
achterdocht. De denkfout zit em hierin, ze is mijn dochter, geen
anonieme werknemer.

Vannacht met een paar wijntjes op heb ik een nogal utopische visie op
beveiliging gegeven. Daarvan ben ik mijn ten zeerste bewust. Toch voelde
ik me vanochtend vereerd toen ik vergeleken werd met rms (dank je wel
Joost).

Zoals Hans terecht opmerkte zit je op het internet tegelijkertijd in een
klein dorp waar mensen mekaar kennen en een oogje in het zeil houden,
maar tegelijkertijd ook in een grote stad, waar junks het hebben
afgezien op je autoradio. Fatsoenlijk hang en sluitwerk is dus
onontbeerlijk. Ik heb de indruk gegeven dat ik dat niet nodig zou vinden
maar ik bedoelde eigenlijk dat ik zou willen dat het niet nodig zou
zijn. En dat vinden we allemaal, toch?

Het feit dat ik gekraakt ben is het resultaat van een stommiteit mijner
zeids. Ik heb dat al eerder aangegeven en ik zeg het hier nu nogmaals
heel duidelijk. Maar ik heb ook nooit de illusie gehad dat mijn doos
veilig was. Ik wil zelf servers draaien om ervan te leren, inclusief cgi
en php. Ik wil zelf compileren en python scriptjes schrijven. Een
veilige doos heeft deze functionaliteit niet. Functionaliteit en
veiligheid staan op gespannen voet.

Ik vind het wel heel vervelend dat ik Paypal overlast heb bezorgd.
Alhoewel ik denk dat een professioneel bedrijf dat een financiële dienst
verleent gebruik zou moeten maken van GPG in combinatie met goede
voorlichting om te voorkomen dat klanten hun password weggeven. Daarom
werken echte banken ook met extra codes buiten het internet om.

Dus op de vraag of ik denk dat ik het risico verkeerd heb ingeschat zeg
ik nee. Mijn computer bestuurt geen kerncentrale, bevat geen gevoelige
klant gegevens en in mijn e-mail staan geen werkende passwords. In dat
geval was ik niet zo lichtzinnig geweest.

Het idee dat je een computer bewijs zou moeten behalen voordat je
on-line mag vind ik echt absurd (Sorry Hans, maar als je "De
microcomputer onder de wapenwet" on-line zet zal ik het lezen en mijn
mening misschien bijstellen.) Wel vind ik dat internet uit de
anonimiteit zou moeten. Als je een aansluiting wilt, moeten je huisadres
en persoonsgegevens gekoppeld worden aan je ip adres, zodat iedereen kan
zien waar eventuele ellende vandaan komt. Het is wel makkelijk dat
Tiscali mijn gegevens niet vrij geeft maar het betekend ook dat ik niet
met de billen bloot hoef om verantwoording af te leggen. Maar ook dit
heeft een keerzeide. Het zou betekenen dat mensen die onder een
totalitair regime leven niet kunnen genieten van de vrijheid van het
internet. En de meeste beveiligings lekken zijn nog altijd het gevolg
van closed source.

Zo, en nu ga ik es effe die beveiligings howto lezen (met de deur op
slot :-)

Groeten,
Remko