Hacking deel 2: Geschiedenis van Encryptie

Door supertheiz op vrijdag 09 mei 2014 15:52 - Reacties (8)
Categorie: Talent, Views: 3.128

Hierbij deel 2 van mijn serie blogs over Hacking. Excuses voor de lange periode tussen deel 1 en deel 2.
Ik had oefeningen beloofd. Door een te kort aan tijd de afgelopen periode heb ik dit niet kunnen opzetten. Ik hoop dit later alsnog in een ander blog te kunnen verwerken.

Enigma



Tijdens de tweede wereldoorlog, had Duitsland de beschikking over een encryptie apparaat: De SchlŁsselmaschine E, echter vooral bekend als “Enigma”.

http://upload.wikimedia.org/wikipedia/commons/thumb/4/44/EnigmaMachine.jpg/500px-EnigmaMachine.jpg


Deze machine kwam reeds in de jaren 20 van de vorige eeuw op de markt, en is ‘bedacht’ door een Nederlander: Hugo Alexander Koch. Ik zet bedacht tussen aanhalingstekens: Er was een apparaat dat reeds door de nederlandse marine werd gebruikt, wat waarschijnlijk het voorbeeld is geweest voor Hugo. Daarnaast werden er ongeveer gelijktijdig in meerdere landen door verschillende personen vergelijkbare patenten aangevraagd.
Ik zal niet helemaal in detail gaan mbt deze enigma, maar direct naar de conclusies springen. Voor de details kan je het beste de wikipedia pagina bekijken (http://nl.wikipedia.org/wiki/Enigma_%28codeermachine%29) of ook een aanrader is de serie 2e wereldoorlog in kleur.

In Polen had de Poolse geheime dienst al in 1929 de Enigma gekraakt. Dit was echter de commerciele versie die afweek van de militaire versie. De Militaire versie werd door een Poolse wiskundige herleid via berekenen en trail and error. Dit leidde tot een methode die Bombe werd genoemd.In 1939 hadden de Duitsers een aantal verbeteringen doorgevoerd aan Enigma, waardoor de Bombe methode niet meer was toe te passen, daarnaast stonden de Duitsers aan de grens. In een vergadering werd een kopie van de militaire enigma overhandigd aan de Fransen en de Britten.

http://upload.wikimedia.org/wikipedia/commons/thumb/e/e0/Germans_at_Polish_Border_%281939-09-01%29.jpg/500px-Germans_at_Polish_Border_%281939-09-01%29.jpg

De Britten hadden, onder leiding van Alan Turing, een afdeling opgezet voor het breken van de codes in een landhuis in de buurt van London: Bletchley Park. De informatie van deze afdeling werd ULTRA genoemd.

http://upload.wikimedia.org/wikipedia/commons/thumb/f/f8/Bletchley_Park_IMG_3625.JPG/500px-Bletchley_Park_IMG_3625.JPG

Door het werk van de Polen, hadden de Britten een vliegende start. Eerst werd daar het ontcijferwerk handmatig uitgevoerd. Later werd door de Britten ook een Bombe methode uitgevonden. Deze bombe methode werkte door mogelijkheden te vergelijken met de gecodeerde tekst, waardoor uiteindelijk over het algemeen binnen 24 uur een ontcijferde tekst werd gevonden. Door het gebruik van veelgebruikte standaard teksten ("An dem Oberbefehlshaber", "Nichts zu melden", weerberichten, etc.) kon efficient worden gezocht naar de codering die vervolgens ook op de rest en ook vaak op andere berichten konden worden gebruikt.
In de loop van de oorlog werd de ontcijfering zo goed en snel, dat berichten vaak binnen minuten waren gedecodeerd.
Door het werk van ULTRA en het geloof van de Duitsers in de onfeilbaarheid van hun machine, dachten de Duitsers tot aan het einde van de oorlog dat de berichten niet konden worden gelezen door de geallieerden.
Erg belangrijk hierin was de ‘marketing’ van de fabrikant. Met de (latere) 4e rotor, zou het totaal aantal mogelijkheden voor verschillende codes het aantal 26! Zijn (403 291 461 126 605 635 584 000 000).
Door dit bizar grote aantal mogelijke sleutels, werd het systeem tot aan het einde van de oorlog onkraakbaar geacht en werden eventuele gevonden afgeluisterde berichten geintepreteerd als spionage. De Britten kwamen er echter achter dat een deel van de mogelijkheden minder geavanceerd waren dan voorgesteld, het uiteindelijke aantal mogelijkheden was ‘slechts’ ongeveer 2 miljoen. Een fractie van de theorie dus.
Daarnaast dus het werk via ULTRA: Hierin werd slechts een klein deel van de verkregen informatie gedeeld met de bevelhebbers aan het front, die overigens niets wisten van Bletchley Park. De gedeelde informatie werd daarnaast ook nog heel regelmatig iets aangepast, zodat het bericht niet 1:1 werd doorgezet en de informatie oogde als door spionage verkregen.

http://upload.wikimedia.org/wikipedia/commons/4/4b/Colossus.jpg

Samengevat de belangrijkste elementen:


De Duitsers hadden een (onterecht) oneindig vertrouwen in de versleutelingstechniek.
Ondanks dat vrijwel alle gecodeerde berichten werden meegelezen door de geallieerden, werd er door de Duitsers nog niet vermoed dat de codering was gekraakt.
Door ULTRA werd de indruk gewekt dat informatie via andere bronnen was verkregen.
Via repeterende delen tekst kan relatief eenvoudig een complexe codering worden gekraakt.

Al deze elementen uit de samenvatting zie je nog tot aan vandaag regelmatig terug, ook binnen de IT beveiliging en binnen de hacking wereld.

Na de tweede wereldoorlog



Na de tweede wereldoorlog werd encryptie gezien als een ‘gevaarlijk’ export product. De US en de Britten hadden, door hun successen in de 2e wereldoorlog, de indruk dat ze mijlenver voorliepen op andere landen. Om die reden wilden ze niet dat de encryptiemethoden in handen vielen van andere landen, maar tegelijk wilden ze wel de encrypties van andere landen kraken waar mogelijk. Het besluit te voorkomen dat export zou kunnen plaatsvinden is op deze manier bezien logisch, maar het leidde op een later tijdstip wel tot problemen:
In 1992 werd encryptietechnologie in de USA op dezelfde lijst geplaatst als ander oorlogsmaterieel, het werd omschreven als “Auxiliary Military Technology”.

In 1995 kwam een mijlpaal in de IT wereld voorbij: rond dit tijdstip startte voor het grote publiek het gebruik van Internet, E-mail (de dot-com boom). Daarnaast kwam Windows 95 op de markt, werd Yahoo opgericht, werd de eerste versie van Java, PHP, Ruby en Javascript geÔntroduceerd. Ebay werd opgericht. Larry Page en Sergey Brinn begonnen met de eerste stappen van Google en de eerste animatiefilm die met de computer is gemaakt kwam in de bioscoop (Toy Story).

http://upload.wikimedia.org/wikipedia/en/1/13/Toy_Story.jpg

In 1995 kwam Netscape ook met de eerste versie van SSL. Maar dit zorgde voor een probleem: Deze SSL versie was128 bits en de wet voorzag in een maximale export van encryptie met 40 bits. Er kwamen om deze reden twee versies van Netscape: Een US versie met 128 bits en een wereld versie met maximaal 40 bits versleuteling (128 bits, waarvan 88 bits vrij beschikbaar waren). Gezien de restricties en hierdoor de voorzichtigheid van Netscape, was het zelfs voor inwoners van de VS lastig om de veilige versie te downloaden, over het algemeen gebruikte iedereen op de wereld hierdoor de onveilige versie. Lotus liep met Notes kort na Netscape tegen hetzelfde probleem.

http://upload.wikimedia.org/wikipedia/en/9/90/Netscape-logo.png

Buiten de VS hadden lokale bedrijven eigen encryptiemethoden ontwikkeld, welke geen problemen hadden met wetgeving. De VS liep hierdoor steeds meer een achterstand op met de rest van de wereld. Vanaf 1996 werd onder Clinton de regelgeving wat soepeler om uiteindelijk in 2000 vastgelegd te worden in nieuwe wetgeving. Vanaf 2000 is het dus wettelijk correct vastgelegd dat encryptie mag worden geŽxporteerd vanuit de VS.

http://upload.wikimedia.org/wikipedia/commons/thumb/d/d3/Bill_Clinton.jpg/500px-Bill_Clinton.jpg

http://www.gpo.gov/fdsys/pkg/FR-1996-11-19/pdf/96-29692.pdf

Binnenkort volgt een blog met het vervolg over encryptie.

Hacking deel 1: Globaal

Door supertheiz op dinsdag 25 februari 2014 23:04 - Reacties (17)
Categorie: -, Views: 4.933

Ik heb in een eerder blog beloofd om wat verder in te gaan op hacken.

Dit is deel 1.
Vandaag wil ik:
1: Globaal uitleg geven over de soorten hackers en hun motivatie.
2: Globaal uitleg geven over de doelwitten, de infrastructuur en de manier van beveiliging.

Even beginnen met 2 disclaimers:
1: Spelregels
Als je wilt spelen met beveiliging, dan kies je een doel wat daarvoor geschikt is. Een willekeurig onbeveiligd doel, is dat niet. We hebben te maken met wetgeving, met ethiek en met eventuele schade die kan worden veroorzaakt. Pak dus je eigen netwerk, of een netwerk/computer waar je eerst akkoord hebt van de eigenaar om dit als doelwit te gebruiken.
2: Over mezelf:
Ik ben al heel wat jaren actief in de IT, maar ik ben geen security expert, hacker, systeem beheerder of programmeur. Wat ik te vertellen heb is autodidactisch en wellicht soms onjuist. Aan de andere kant is het wellicht, juist omdat ik de kaders niet heb geleerd, juist interessant.

MBT de spelregels:
Ik denk erover om een server te plaatsen, waarin ik een vlag verstop. Deze server mag dan worden 'gehackt' in een poging om de vlag te veroveren.
Wat in deze capture the flag situatie wellicht nog leuker is, is om 2 teams te maken. 1 team probeert de vlag te verbergen, het andere team probeert de vlag te stelen.
Maar het plaatsen en optuigen van zo'n server zal een paar weken tijd kosten. Laat maar weten of dit een leuk idee is.

Soorten hackers.

Hackers worden over het algemeen ingedeeld in 2 groepen: White hat en black hat.
Dit komt uit de tijd van de oude zwart wit cowboy films. De goeden hadden een witte cowboyhoed, de slechten een zwarte hoed.

http://www.movieactors.com/photos-wayne/johnwayne90.jpeg

Naast zwarte en witte hoeden, zijn er ook hackers met een grijze hoed. Deze zitten tussen de witte en de zwarte hoeden in.
Over het algemeen zijn de grijze hoeden wannabee zwarte hoeden. Ze willen wel, maar kunnen het (nog) niet. Grijze hoeden kunnen redelijk wat schade aanrichten, maar over het algemeen redelijk oppervlakkig.
Maar grijze hoeden zijn ook de witte hoeden die net over het randje gaan. Aantonen dat er een gat ergens in de beveiliging zit, en het niet kunnen nalaten om er wat grappigs mee te doen.
Bijvoorbeeld: http://www.wtf.nl/grenzel...-eigen-schoolnetwerk.html

Zowel witte hoeden als grijze hoeden zijn nuttig:
Witte hoeden wijzen mensen en bedrijven erop dat deze potentieel gevaar lopen. Vaak zijn dit kundige experts, voor een groot deel ook mensen met een goed salaris waardoor de financiŽle drijfveer minder is.
Ik denk dat de tijd momenteel deels voorbij is, dat de white hat hackers inbreken op systemen en dit aankaarten bij de eigenaar of beheerder. Inbreken is strafbaar, dus ook al doe je dit vanuit ethiek, het is strafbaar.

Het nut van grijze hoeden is wat lastiger uit te leggen:
Grijze hoeden zijn vaak de makers van diverse soorten virussen, trojan horses, en dat soort ellende.Het zijn mensen die een gat vinden in Windows, in iOS en in Android. Ze willen er zo snel mogelijk mee aan de haal (vaak voor de eer) en bouwen dan een exploit, bijvoorbeeld een virus.
Aangezien de echte financiŽle prikkel ontbreekt, de kennis hiervoor ook deels en het gat zo snel mogelijk moet worden benut om de eer te kunnen behalen, is het virus wat gemaakt wordt over het algemeen niet zo heel schadelijk. Het Virus wordt vervolgens opgemerkt door de maker van het OS en/of een antivirus bedrijf en het gat wordt gedicht met een patch.
Al met al was de bedoeling van deze meneer met de grijze hoed dus niet geweldig: Virussen zijn lastig en kosten geld. Maar uiteindelijk wordt er weinig schade aangericht en is het gat gedicht.
Hiermee wordt dus wel voorkomen dat de hacker met de zwarte hoed ermee aan de haal kan gaan.

http://codemink.com/site/wp-content/uploads/2013/05/Three-Hats.jpg

Naties:
De NSA is in het nieuws geweest, dit is een voorbeeld van een natie die hackt.
Alle landen doen dit, ook Nederland.
Dankzij Snowden is er iets van de methodieken publiek geworden. Ik denk dat het de moeite waard is om tzt een apart blog hiervoor te gebruiken.

http://upload.wikimedia.org/wikipedia/commons/6/60/Edward_Snowden-2.jpg

Doelwitten

Bedrijven en personen hebben twee grote overeenkomsten als het gaat om het digitale leven: Ze denken niets digitaals van waarde te hebben, en ze wanen zich digitaal veilig.
Naar mijn idee zijn dit de twee grootste risico's; er is geen virusscanner of firewall goed genoeg om dit, als startpunt, te beveiligen.

Een bank weet wat er fysiek aan waarde aanwezig is in een gebouw. Ze weten wat de aantrekkingskracht is op criminelen en ze acteren hierop. Het bankgebouw is robuust, er zijn meerdere niveaus van beveiliging en de uiteindelijke buit ligt in een zware kluis.

De meeste bedrijven en instanties weten alleen wat er qua fysieke waarde aanwezig is: Hoeveel staat er op de bank, wat is het vastgoed waard en wat is er qua fysieke voorraad aanwezig.
Kennis, data en vrijwel alles wat digitaal van waarde is, ontbreekt op de balans en in de 'politiek'.
Voorbeelden:
https://www.lumc.nl/rep/0...710221/13053000091949.pdf
Jaarrekening van Leids Universitair medisch centrum. Van een universitair ziekenhuis zou je toch mogen verwachten dat kennisopbouw enige waarde zou moeten hebben? Als je al iets op de balans vind, dan zijn het kosten.
En hiermee onderstreep ik gelijk mijn punt: Een balans heeft twee kanten die in evenwicht moeten zijn. Als data geen waarde heeft op de balans, dan zijn het kosten.
Maar stel dat kennis wordt gestolen? Of patiŽntgegevens? Pas dan blijkt hoeveel waarde data kan hebben.....

Zo is het ook privť:
We hebben niets te verbergen. We hebben geen data van waarde.
Maar de bedrijven voor herstel van data na een crash van een harde schijf hebben het druk. 100 euro voor een poging wat verloren data terug te krijgen is zo uitgegeven. Hmmm, had het blijkbaar toch wel wat waarde....
En vroeger gaf je ook niet zomaar je vakantiefoto's met daarop je kinderen aan iemand die je niet kent. Waarom zou je dat nu wel doen?

Bovenstaande is de essentie van de hackgevoeligheid van Bedrijven, stichtingen en personen.
We weten niet wat we moeten beschermen, dus waarom actie ondernemen?

Infrastructuur

We staan waarschijnlijk nog aan het begin van de internet of things. Alles en iedereen raakt steeds meer en meer verbonden met internet. Logische en zelfs onlogische zaken worden voorzien van sensors. Zo lang het werkt, maakt niemand zich druk over veiligheid, maar alles moet wel communiceren met elkaar.
Vaak is er sprake van meerdere schakels:
Bron van data.
Verzending 1
Router
Verzending 2
Router
Verzending 3
Router
Verzending 4
Router
Verzending 5
Router
Firewall/proxy van ontvanger
Router
Ontvanger.

Bijvoorbeeld:
Bron van data: Nike+ sensor in je schoen .
Stappen worden verstuurd naar iPhone
iPhone (router 1) stuurt data door.
Gegevens worden verstuurd van telefoon naar vaste netwerk.
Router 2: Mobiel naar glasvezel
Gegevens worden verstuurd naar internet backbone van operator
Router 3: Gegevens uitwisseling met internet backbone. Hier wordt de ontvanger opgezocht via DNS.
Gegevens worden verstuurd naar server
Router 4: Internet aanbieder ontvanger
Gegevens worden doorgestuurd naar prive netwerk ontvanger.
Router 5: Proxy/Firewall van ontvanger.
Gegevens worden doorgestuurd naar server.
Ontvangst.

http://vehq.net/wp-content/uploads/2012/06/nike+_1.jpg

Bij bovenstaande is elke stap een potentieel risico:
De data kan versleuteld worden verstuurd, maar dit kan alleen als er geen tussentijdse bewerking nodig is. Het versleutelen en ontsleutelen van data kost tijd (al is het fractioneel). Een router die niet de bron of de ontvanger is, heeft niet voldoende tijd om te ontsleutelen. Als er tussentijds actie nodig is, kan dit eigenlijk alleen ontsleuteld worden verstuurd.
Zelfs al wordt het versleuteld verstuurd, dan nog is 99/100 de ontvanger onbekend voor de verzender. Als in het bovenstaande voorbeeld Nike of Apple het doel is van de data, betekent dit niet dat ze ook de ontvanger zijn. Heel vaak is dit uitbesteed aan een marketing bedrijf, een IT partner of een ander soort dienstverlener.
Er is geen zicht op de beveiliging van het vervoer van de data naar de ontvanger. Er is geen zicht op de aard van de ontvanger. Er is geen zicht op de manier van communicatie tussen de ontvanger en de eventuele eindontvanger.

Bovenstaande is alleen al een factor van risico's waar rekening mee moet worden gehouden. Maar daarnaast is er ook nog de opzet van de techniek.
Een (openbaar) WIFI netwerk is bijvoorbeeld heel erg vaak onveilig. Er zijn talloze gratis tools beschikbaar waarmee toegang kan worden verkregen tot een aanzienlijk deel van de WIFI netwerken.
Het is kostbaar om deze netwerken te onderhouden, en daarom gebeurt dit vaak niet, of te weinig. Een hotel investeert geld in een WIFI netwerk. Maar onderhoud valt in de groep kosten. Met WIFI kan je klanten binnenkrijgen, onderhoud levert geen extra klanten op.

Daarnaast zijn er een aantal eenvoudige ontwerpzaken waar je rekening mee moet houden:
Een webserver draait HTTP op poort 80 en HTTPS op poort 443. Een eventuele java applicatie draait op poort 8080. Op zich niets vreemds, maar belangrijks is dat het overstappen van poort naar poort gevaarlijk kan zijn; Binnen een netwerk is al het verkeer tussen 2 poorten heel makkelijk 'af te luisteren'. Daarnaast is het redelijk makkelijk om gericht te hacken: Als poort 8080 beschikbaar is, dan draait daar waarschijnlijk Tomcat, JBOSS of J2EE.

Manier van beveiligen

Globaal zijn onderstaande technieken het meest gebruikt:
1: Chineese muur.
2: Versleuten van communicatie.

https://www.creditwritedowns.com/wp-content/uploads/2010/06/great-wall.jpg

Chineese muur
Ik noem de huidige manier van beveiligen, die 9 van de 10 keer in gebruik is, een chineese muur.
Op grote schaal:
Je hebt een IT landschap, dat intern amper beveiligd is. Toegang van buitenaf probeer je tegen te houden door een grote muur van VPN's, Proxy's en reverse proxy's, firewalls en andere zaken te gebruiken. Als je deze beveiliging kan doorbreken, dan kan je hierna redelijk snel overal bij.
Op kleinere schaal:
Waarschijnlijk draait er bij jou thuis een Wifi netwerk. Deze wordt door jouw router (geleverd door je internet provider) waarschijnlijk afgeschermd tegen indringers. Er draait wellicht een NAS, welke zonder wachtwoord vanaf het interne netwerk te bereiken is. Als je de router doorbreekt, of toegang tot het WIFI netwerk kan krijgen, dan kan je ook de foto's , documenten en backups vinden.
Op nog kleinere schaal:
Jouw telefoon. De poorten (voor oa SSH) zijn dicht gezet en er is een groot hek om het OS heen gezet. Ben je eenmaal binnen dan zijn er verder geen barriŤres meer.
http://www.iphoneclub.nl/...phones-met-ssh-jailbreak/

http://perrysheroes.free.fr/IMG/jpg/PG2012_SeS_G3_10.jpg

Veel bedrijven hanteren categorieŽn van potentiŽle aanvallers. Aangezien je niet alles kan tegen houden, wordt hierin vastgelegd tot op welke hoogte je het systeem wil beveiligen.
Een voorbeeld is:
Niveau 1: De hacker op zijn zolderkamer.
Niveau 2: Professionele organisaties
Niveau 3: Naties

Hierbij leg je dan vast dat je Niveau 1 geheel buiten je netwerk wil houden.
Niveau 2 wil je proberen te stoppen, maar deze mogen zeker geen toegang krijgen tot kritische systemen.
Niveau 3: Deze wil je proberen te stoppen, maar dit gaat je waarschijnlijk niet (geheel) lukken.

Bij al deze niveaus is het belangrijk dat het wel te monitoren moet zijn. Je moet kunnen zien dat er iemand is binnen geweest, en je wilt dit ook kunnen onderzoeken.
Om terug te komen op het eerder genoemde WIFI:
Thuis gebruik je waarschijnlijk een router met 1 wachtwoord. Als ik dit wachtwoord bemachtig, dan kan je hooguit zien welk intern IP nummer ik toegewezen heb gekregen.
Bij de meeste bedrijven moet je een gebruikersnaam en wachtwoord hebben. Ook gasten, deze krijgen een tijdelijk account. Als je hiermee het netwerk op gaat, dan zijn al je handelingen te traceren. Ofwel: Al kan je het niet stoppen, je kan het dan tenminste zien.

Het belangrijkste om te beseffen als het gaat om beveiligen:
Als je onderzoekt, kan je bevestigen dat er gaten zijn in je beveiliging. Het is echter onmogelijk om te bevestigen dat er geen gaten meer zijn in je beveiliging.
Zorg daarom dat je actief beheer uitvoert, en onderzoekt wie toegang heeft geprobeerd te krijgen.

Dat was het voor nu.
Volgende keer zal ik minder kletsen. Ik ben een opdracht aan het voorbereiden....
Het volgende blog kan hierdoor heel even op zich laten wachten. Onderwerp: Encryptie!

We moeten meer risico's durven en kunnen nemen!

Door supertheiz op maandag 24 februari 2014 22:00 - Reacties (26)
Categorie: -, Views: 3.440

Ik ben van geboortejaar 1978 en werk in de IT.
Ik heb geluk gehad:
Vroeger was ik op basisschool de enige die wist hoe een commodore 64 werkte. De leraren wisten het ook niet. Ik mocht dus bij alles wat er moest gebeuren met een computer komen 'helpen' (doen wat moest gebeuren).
Als je een spelletje wilde spelen, dan ging je naar de bibliotheek. Daar hadden ze een boek met BASIC code. Die kon je overtypen en na 5 avonden typen had je dan een spelletje. 1x gehad dat er na een avond typen een stroomstoring was, voordat je je 'spel' had opgeslagen (op een casette bandje...) Vloeken!

http://www.geekvintage.com/images/commodore-64-system.jpg

Later kwamen de 086 AT computers. Vaak kon je aan een spel komen, maar dat was dan helaas beveiligd. Maar geen nood: Ik had 12 floppies met daarop Borland C++. Hiermee was ik over het algemeen in staat de beveiligingscodes te vinden zodat je ze kon printen en invoeren. Tadaa: Spel werkt.
Samen met een vriend hadden we een abonnement op de Hacktic. Fantastisch! We hebben een aantal zondagavonden besteed met het opnieuw inspreken van antwoordapparaten. Er was een bedrijf, waar onze lallende dronkemansgrappen minstens een maand als welkomsboodschap voor het bedrijf hebben gefungeerd.
Via telnet inbreken bij bedrijven en instanties: Het kon allemaal. Ongemerkt, en heel leerzaam.

Lang ben ik in de waan geweest, dat er een tijd zou komen waarin we ingehaald zouden worden door de nieuwe generatie. Door de jeugd. Heel lang, gehoopt, gewenst, gewacht.
Maar: Dit gebeurt maar niet.

En ik snap nu waarom:
http://www.wtf.nl/grenzel...-eigen-schoolnetwerk.html
http://infosecuritymagazi...-gestuurd-na-cyberaanval/

Je zit op een IT school. Ik zou zeggen dat er dan tenminste van je verwacht mag worden dat je een poging doet om je leermateriaal (zoals het WIFI netwerk van school) te gebruiken om te leren. Natuurlijk ben je jong, en doe je het wat onbezonnen (linken naar homo site, hihi!), dat is wellicht minder handig. Maar nee: Alle gevallen die ik heb kunnen vinden leiden tot het van school sturen van de leerlingen. Of zelfs arrestatie!

Vroeger, toen ik op school zat, deden computers het een groot deel van de tijd niet. Die moest je maken als je gebruik wilde maken van dat ding. Dos was, ondanks zijn eenvoud, echt niet zo stabiel. De eerste Linux versies waren echt niet geschikt voor dagelijks gebruik. Alleen Apple had het redelijk onder de knie, al was zelfs dat ook lang niet zo stabiel als nu.

De hardware was nog niet alles. De software was veelal gemaakt voor specialisten. Een grafische interface moest nog worden bedacht. Voor het maken van een WordPerfect document moest je eerst een boek lezen van 500 pagina's zodat je een beetje begreep wat je moest doen.
Alles was te hacken: Poorten konden gewoonweg nog niet dicht, een BBS was het internet van die tijd, en dat was zo open als het maar kon zijn.

Dos 6.0 was het volgens mij: Daar hadden ze een tool in verwerkt, waarmee je van je 40MB harde schijf via een soort ZIP comprimatie een 60MB harde schijf kon maken. Traag en ellendig: Crashende harde schijven, data corruptie, ellende, ellende, ellende.
Maar wel: Ellende, destijds. Nu heb ik er heel veel profijt van. Een sessie via SSH, of via de terminal: Prima, dat was vroeger niet anders. Een bug die je weg lijkt te blokkeren: Die kan je oplossen. Een blue screen of death, die gelukkig sinds Windows 8 weer af en toe terug is: Joehoe! Dan kan je eindelijk weer eens verplicht moeten traceren waardoor die werd veroorzaakt!

Het boezemt me echter wel angst aan.
Hoe kan je van een leerling verwachten een IT systeem waterdicht te maken, als je hem van school stuurt als hij het WIFI netwerk hackt? Deze verplichte schoolverlaters waren waarschijnlijk de enigen die in staat zouden zijn over een paar jaar een leger aan chinese hackers tegen te houden.
Hoe kan je van een leerling verwachten een computer systeem op te lossen, als hij alleen gebruik mag maken van waterdichte systemen die zijn afgesloten van alles wat leuk is voor een IT Nerd?
Windows 7 werkt vrijwel altijd. Linux installeren kan mijn schoonmoeder en OSX: Feilloos.


Maar het belangrijkste:
We leren ons talent af om risico's te nemen.
Een bedrijf starten is ook risico's nemen. Een mooi nieuw stuk software bouwen, is ook een risico nemen. Een netwerk hacken om aan te tonen dat het niet goed is ingericht, is ook een risico nemen.

We ontnemen ons land talent.

Ik heb het geluk gehad om wel te mogen hacken, cracken, bugfixen, spelen met BASIC, Linux 0.5 Beta, etc.
Maar ik ben bang dat ik tot mijn 67e deze ervaring zal moeten blijven gebruiken, bij gebrek aan talent dat uit de schoolbanken komt. Talent met genoeg ballen om het verschil te kunnen maken. Talent dat van Nederland over een paar jaar een succesvolle kenniseconomie kan maken, ook op IT gebied.

Ik wil dit veranderen. Ik stel voor dat ik vanaf nu probeer 1 of 2 keer in de maand een weblog te posten waarin ik laat zien:
Whitehat hacking, hoe, waarom en wanneer.

Iemand zin om dit met mij op te pakken?

E-books en DRM onzin.

Door supertheiz op maandag 14 januari 2013 16:03 - Reacties (17)
Categorie: -, Views: 2.370

Vroeger, en dat is nog niet zo heel lang geleden, vroeger had je nog niet heel erg veel opties als je op zoek was naar informatie.
Je had 3 opties.
1: De televisie aanzetten. En dan hopen dat datgene wat op dat moment werd uitgezonden voldeed aan jouw informatie behoefte. Als je de behoefte had aan nieuws, wist je dat rond 20:00 een goede tijd was om dit te doen. Als je behoefte had aan informatie over bedrijfskunde was dat lastiger.
2: De boekenwinkel.
3: De Bibliotheek. Laten we eens naar wikipedia kijken:

Een openbare bibliotheek wil verschillende soorten fysieke en digitale informatie- en cultuurdragers (boeken, tijdschriften, compact discs, cd-roms, dia’s, videocassettes, dvd’s, Internet enz.) ťn de inhoud die ze bevatten ter beschikking stellen en toegankelijk maken voor alle inwoners uit haar werkgebied, ongeacht leeftijd, ras, sekse, godsdienst, levensbeschouwing, beroep, maatschappelijke positie enz.
Een openbare bibliotheek is (cf. het UNESCO-manifest inzake openbare bibliotheken) een voorziening die burgers in staat stelt de hun toekomende positie in een gedemocratiseerde samenleving volwaardig in te nemen.

Een bibliotheek is een duur instituut. Er loopt personeel in een redelijk grote ruimte vol boeken. De boeken worden uitgeleend. Ofwel ze worden vervoerd, meegenomen naar het strand, bad of zwembad of opengevouwen zodat ze op het kopieer apparaat passen. Allemaal zaken waar een boek niet beter van wordt. Dan heb je met een bibliotheek ook nog het probleem dat er maar een beperkt aantal boeken op voorraad kan staan. Als het boek waar jij naar op zoek bent niet aanwezig is, heeft de bibliotheek daar een dienst voor. Je boek wordt dan in een andere plaats in een busje gestopt en door een chauffeur naar jouw bibliotheek gereden. Je krijgt dan een mailtje of telefoontje dat het boek binnen is zodat je het alsnog kan lezen. En dat allemaal voor ongeveer 0,80 euro.

Tegenwoordig hebben we e-books. Dit zou fantastisch nieuws moeten zijn voor gemeenten: Eindelijk kan die verschrikkelijk dure bibliotheek op een goedkopere manier een veel betere service leveren. Niet meer een groot gebouw met personeel die met boeken sleept. Niet meer een keuze hoeven te maken welke boeken op voorraad gehouden moeten worden vanwege de beperkte ruimte. Fantastisch.

Maar, dat is wat te vroeg geroepen. Want een gemeente mag dan overheid zijn. En de overheid mag dan wel willen bezuinigen. Maar dit is te logisch natuurlijk. Het is veel logischer om een woningmarkt die op apegapen lag de doodsteek te geven. Het is ook veel logischer om een zorgstelsel dat al bijzonder duur was, via een eigen risico nog duurder te maken.

WETGEVING
Als bibliotheek willen we graag e-books uitlenen op een zo makkelijk mogelijke manier. Het e-book valt echter niet onder de wetgeving die het uitlenen van boeken regelt. Voor ieder e-book is een aparte overeenkomst met de uitgever nodig. Als een e-book van de uitgever al mag worden uitgeleend dan is dat, net als bij een papieren boek, maar ťťn keer tegelijk en tegen voor de bibliotheek ongunstige voorwaarden.

De uitgevers hebben duidelijk geen zin om mee te werken:
http://www.nu.nl/internet...-oneigenlijk-gebruik.html

Dan heb je in Nederland ook nog eens de vaste boekenprijs oid. Als ik een Nederlands boek pak, uit de top 10:
http://www.bruna.nl/is-bi..._secondid%3D9789071359644
http://www.bol.com/nl/p/geen-genade/9200000009952612/

Dan is het e-book 15,99 net zoals het papieren boek.

Ik zie Spotify als digitale muziekbibliotheek. Zo lang je lid bent van deze bibliotheek mag je de muziek uit de bibliotheek luisteren.

Waarom krijgt Spotify dit voor een qua rechten bijzonder moeilijke markt, wel voor elkaar? Vroeger had je een muziekbibliotheek in de grote steden, niet in de wat kleinere plaatsen. Daar had je wel een gewone bibliotheek. Ik ben zelfs in een gehucht met 20 inwoners wel eens een bibliotheekbus tegen gekomen.

Ergens gaat er iets fout bij de ontwikkeling van onze westerse maatschappij.
In het oude Egypte waren bibliotheken. Ook AssyriŽrs en BabyloniŽrs hadden bibliotheken.
Maar wij, Hollanders anno 2013, krijgen het niet voor elkaar om de volgende stap te maken. We blijven liever met bibliotheekbussen rondrijden.

http://sheerenbroek.info/afbeeldingen/image/bibliotheekbus.jpg

en gebouwen subidieren:

http://upload.wikimedia.org/wikipedia/commons/3/3d/BibliotheekOBA_2.jpg

Laten we vooral niet overstappen naar de digitale opvolger.