Category Archives: Media

Mijlpaal ethisch hacken bij gemeente Eindhoven

Afgelopen zaterdag 15 februari was ik als ethisch hacker bij de gemeente Eindhoven op een bijzondere afspraak. Voor het eerst mocht een groep ethische hackers proberen in te breken bij de Gemeente. Zowel Eindhoven als (bijna) alle leveranciers hadden toestemming gegeven. Ik had m’n eerste hack een half uur voordat de dag begon. Eindhoven de Hack-ste! Lees verder…

Aandenken vanuit de gemeente: Shirt met Eindhoven de Hack-ste.

Aandenken vanuit de gemeente: Shirt met Eindhoven de Hack-ste.

Vrijheid blijheid

Een half jaar voorbereiding en alle leveranciers op locatie: deze opstelling maakte het mogelijk om direct lekken te melden op een verantwoorde manier. Dat zag je ook terug in de zeer permissieve twee spelregels:

  1. Het is niet toegestaan om gegevens te stelen.
  2. Het is niet toegestaan om systemen opzettelijk plat te leggen.

Voor de rest: carte blanche. Inbreken is expliciet wel de bedoeling.

Deze scope komt overeen met de ideeën van de gemiddelde ethisch hacker. Het is pragmatisch en biedt ruimte voor creativiteit. Bovendien is ethisch hacken, of ethisch inbreken, een afspiegeling van de realiteit waarin kwaadwillenden toegang willen krijgen tot systemen. In de praktijk gebruiken zowel de “goede” als de “slechte” dezelfde kennis en technieken.

 

Pilot

Tijdens deze dag gaat het naast het testen van systemen vooral om een pilot: een mix tussen ethische hackers, leveranciers en gemeente. Hoewel we in de raadzaal zaten, het hart van de gemeente, begonnen we onze aanvallen alsof we extern zaten op een herkenbaar adres.

Hacking is natuurlijk niet alleen IT. De hackers kregen de ruimte om fysiek de beveiliging te testen, te spelen met de conferentie infra (voor afluisterdoeleinden) en meer.

Uiteraard hebben we wel allemaal een verklaring moeten ondertekenen. Deze was opgesteld in leesbare taal en zette het Openbaar Ministerie buiten spel. Wanneer de lekken verholpen zijn mogen deze ook gepubliceerd worden. Superbe.

Eerste hack van de dag: studentikoos inbreken op een surface tafel en daar software op installeren.

Eerste hack van de dag: inbreken op een surface tafel en daar eigen software op installeren. Je ziet een trollface, ipconfig, on screen keyboard en nmap. Het a4-tje is een muismat. Foto: Sander de Graaf.

Risico

De term Ethisch Hacker heeft een lange weg gehad en is inmiddels een begrip.

Er is inmiddels vertrouwen in ethische hackers en sturing vanuit de overheid. Het hacken van gemeente Eindhoven was een volgende stap in het aantonen van het nut van ethisch hacken. Kunnen ethisch hackers omgaan met de vrijheden die ze vanzelfsprekend vinden?

Ik zag beren op de weg: stel dat er een niet-ethische hacker de boel komt verzieken? Kunnen we dit dan nogmaals doen? Faalt dan de gemeenschap van ethische hackers? Moeten ethische hackers buigen voor systeemondermijnende anarchistische stinkhippies of worden ze slachtoffer van angstvallige Vogonistische bureaucraten die bij niets beginnen te piepen?

Het was een opluchting om te zien dat iedereen zich aan de spelregels hield en zeer open stond voor het delen van kennis en bekijken / testen van de mogelijkheden. Dat heeft veel goeds gedaan met de relatie tussen de drie partijen. Bovenal worden gegevens bij de gemeente en leveranciers nog beter beschermd tegen aanvallers. Iedereen won!

 

Resultaat: 15 * 6 uur hacken

Na een dagje testen, scannen, proberen en prutsen zijn we 20 lekken verder. Ze variëren van laag tot gemiddeld risico. De externe omgeving van Eindhoven is van formaat en onder beheer met o.a. firewalls en certificaat-toegang.

Het is onmogelijk om deze hele omgeving in zo’n korte tijd te testen: geen tool of hersenpan die daar tegenop kan. Maar dat was ook niet het doel. Met een man of 15 zijn we 6 uur bezig geweest met het testen van de beveiliging op allerlei vlakken. Helaas mogen we daar niets over vertellen totdat de lekken zijn gedicht.

De media reageert kalmpjes op deze actie en zal dat waarschijnlijk blijven omdat er weinig schade en schande te halen valt. Dit is business as usual… en dat is goed.

Voor een uitzonderlijke hacker was een prijs gereserveerd. Het was een close call en uiteindelijk heeft hacker Jacco de reis naar hackersevenement 31C3 gewonnen door een veelheid aan securityprobleemen te vinden in diverse systemen. Gefeliciteerd!

Jacco wint reis naar 31C3. Foto: Brenno de Winter.

Jacco wint reis naar 31C3. Foto: Brenno de Winter.

Smaakt naar meer!

Wat mij betreft is een precedent gezet voor een bredere omarming van Responsible Disclosure. Of de rest dat ook zo vind zal blijken. De gemeente en leveranciers krijgen nu de kans om de lekken te dichten, wat erg goed nieuws is.

Leveranciers en gemeenten die gestructureerd beveiligingsmeldingen willen ontvangen van ethische hackers en alerte burgers kunnen daarvoor een Responsible Disclosure-beleid adopteren. Daarmee stel je de juiste regels en loop je voorop in de tendens om ethische hackers, alerte burgers en andere externen onderdeel te maken van het beveiligingsbeleid.

Ik hoop dat we deze dag kunnen herhalen, op de interne infrastructuur of de overheid. Dat er een jaartje tussen zit is geen probleem… kunnen we alvast de messen slijpen 😉

 

Media en bronnen

Bekijk het verslag van Studio 040:

Werkt de video niet? Klik hier om deze te bekijken op Youtube.

Bronnen Nieuwsmedia

Overige bronnen

Polaroids in HTML

To make the showcase on the Hack42 wiki look better, i came up with an idea: polaroids. Instead of showing default lists with pictures, you can also show them in a fashion people can relate to. In about an hour i worked out the idea. The list of pictures now looks like a spread of polaroids with words written on them.

With the intelligence in most browsers, it looks even better than expected. For the nerds: below the picture i’ll explain what i did. Also check the project page on the 42 wiki.

 

HTML, CSS, CSS Fonts

The pictures are normal pictures inside a <div>. The div has a padding of 10 pixels. Because of the description, the text under the picture adds to the polaroid effect.

The divs have a 1 pixel border, and use CSS3.0 (and browser specific) shadow and rotation.

The font is called GoodDog. It’s supposed to look like handwriting done with a permanent marker. The font face declaration uses external fonts that are located on the web server. The link is always black, even if you’ve visited the page. The CSS was injected into mediawiki, so it works in all skins.

Check out the information on the project page on the 42 wiki, source is on this page.

QTHEBEAT – Uit den ouden Doosch…

Begin 2000 kwam ik in Zutphen wonen. Een turbulente tijd, maar er was een constante; een radiostation dat 24/7 hiphop en r&b uitzond. Het was een station dat ik had gevonden tijdens het scannen naar goede zenders; 1224 AM. Een shit frequentie, maar wat heb ik daar vaak naar geluisterd. Gezien de beperkte informatie over Qthebeat heb ik  de info die ik kon vinden bij elkaar geschraapt, en geef ik mijn kijk op de opkomst en ondergang van dit station. Mocht je nog artwork, jingles of andere meuk hebben: laat het achter in de comments.

Urban

Ik was al fan van urban muziek. Elke maand downloadde ik de OOHLA hip-hop/rnb top 30. Zelfs na 10 jaar bestaat die lijst nog, met nog steeds de beste nummers. Veel hiervan zullen het hier nooit maken, maar zijn zeker de moeite waard. Ook was smoothbeats.com een van m’n favorieten. Dat bestaat ook nog steeds, en ze vieren hun 10 jarig bestaan. Toen kwam ineens, uit het niets, een experimentele zender op de AM voorbij: Qthebeat. Het was niet altijd in de lucht, waardoor het leek op een piratenzender. Ik luisterde ongeveer elke dag om te horen of er weer werd uitgezonden. Het zou augustus of september 1999 zijn geweest [1]. Als het er was, stond het aan. De kick van de laatste nummers, goede urban en gewoon de AM-shitty frequentie maakte het fantastisch.

Opbouw

Het station begon met 24/7 een urban playlist, met recente hits zoals The Beatnuts – no escaping this, Cam’ron – What means the world to you, en Eve – Who’s that girl (met DJ CLUE geschreeuw NEW SHIT, WHAAAAAAAAaaa, echo). Volgens mij maakte het voor Qthebeat niet uit waar ze de nummers vandaan haalden, als ze maar werden uitgezonden. Na een jaar kwam de Blockbuster; een toekomstige hit die om de 2 uur, aan het begin van het uur werd gedraaid. Dit was altijd iets om naar uit te kijken, elke week was er een nieuwe, waardoor je als eerste Shaggy – It Wasn’t Me,  Outkast – Miss Jackson of  Crazy Town – Butterfly hoorde. Dat was gewoon heerlijk. Er werd nog steeds niet gesproken, en de AM ontvangst was nog steeds shitty.

De AM, het geluid en de zender

Hoewel anders werd beloofd[4], was Qthebeat gedoemd om altijd op de AM te blijven. Behalve dat het bedrijf achter Qthebeat dubieus zou zijn [3], was er ook geen geld [1]. Er waren ook geen reclames. Het geluid was absoluut waardeloos, zeker als ik hard had staan kwam, afhankelijk van het weer, een harde piep door de opnames heen. Op sommige dagen was het niet eens goed te ontvangen, maar dat droeg bij aan de charme. Juist ruis en storingen maakte het leuk om naar te luisteren. Ik kon niet zonder Qthebeat, dus ik nam ook regelmatig wat op zodat ik het op m’n walkom terug kon luisteren. Cassettes. Recentelijk heb ik al mn 80 tapes afgeluisterd om te horen wat voor geniale muziek erop stond. Daar vond ik ook een stukje Qthebeat. Dat klonk ongeveer zo:

Bleh… Youtube opname doet er iets langer over… Er komen 3 filmpjes aan met Edith den Doosch.

Wat achtergrond info over de zender: Qthebeat werd uitgezonden vanaf het schip de “MV Communicator”. De studio stond in Hoofddorp (gebouwd door en fotos bij d&ms). Er zijn foto’s van het schip in de aanlegplaats in de pampushaven bij Almere. Het schip is inmiddels gesloopt, uiteraard na berichten dat het in perfecte staat verkeerd. Een trieste dag voor schipzenderfanaten. Op de website van een radiofanaat staat nog een Qthebeat Jingle. The best in urban music.

Presentatie en programma’s

Het laatste jaar was er presentatie. Eddy keur en zijn dode-baby grappen zat in de ochtend, Edith den Doosch en haar eeuwige pubertijd zat in de middag. Op zaterdag was er de Snoop Dogg radio show en kwam er regelmatig een mix voorbij. Hierin zat o.a. AZ – Problems (remix van debarge), wat nog steeds een van mn favorieten is. Owja, ook regelmatig een cutup van Missy Elliots – Get Your Freak On en Jay-Z + R Kelly – Guilty until proven Innocent. Ik weet nog wel dat we naar het strand in Busloo gingen, en ik per se de walkman van een vriend moest lenen. Daar zat een AM ontvanger op, dus kon je Qthebeat mixen luisteren op het strand. Fucking heerlijk.

De Snoop Dogg radio show was op zich ook wel lekker om te luisteren. Wat gelul over snoops nieuwe kleding, maar ook wat leuke platen zoals Bone Thugs N Harmony – Ecstacy en een remix van De la Souls Saturday. Owja, en Edith kondigde vrolijk Get Fucked Up van de Iconz af, dat was wel grappig. Maar duidelijk; de laatste 2 platen waren geen blijvertjes maar leuk die dagen. Eddy had het volgens mij niet echt op rapmuziek, maar de ochtendshow was best legendarisch.

Ik vraag me af of een van al deze mensen ooit een euro hebben gekregen van Qthebeat. Vast niet.

Documentaire

Op het hoogtepunt is een cameraploeg van de VPRO langsgeweest. Deze hebben een item geschoten waarin Qthebeat het onderwerp was.  Er werd gesproken over een amerikaanse partner die al 1000 stations in bezit had. Dit was ClearChannel Communications. De documentaire was te zien op 11 maart 2001 om 21.05 in het programma Zeven Dagen [11] [12].

Het archief zegt hierover het volgende:

Reportage van Robert Oey over de veiling van de commerciële radiofrequenties op de FM-zender. De overheid heeft anderhalf jaar geleden aangekondigd dat deze veiling er zou komen. Onder protest van de huidige commerciële omroepen lijkt men de veiling te willen opschorten. Kleine commerciële radiostations dreigen nu een claim in te dienen, waaronder radiozender Q the Beat uit de Randstad. Q the Beat wil zich
koste wat kost een plaats zien te verwerven op de FM-zender en ziet nu, door het uitstellen van de veiling, zijn plannen in het water vallen. Div. medewerkers van Q de Beat worden gevolgd tijdens overlegsituaties.
INTERVIEWS hierover met:
– Rob van der Vegt, dir. Q the Beat/Media Matters;
– Jack Meesters, radiostrateeg;
– Mark van Oosterhout, accountmanager Q the Beat;
– Leontien van der Meer (Q the Beat/Media Matters);
– Nicolet Don, advocaat Q the Beat.

Helaas is er niet heel erg veel te zien in de korte documentaire. Het eindigt met een shot van een basketbal veld met een ghettoblaster, maar het is ookal weer 10 jaar geleden. Mocht ik ooit bij het archief langsgaan, dan ga ik deze zeker opvragen.

Ondergang

Het station draaide, maar leverde niets op. Zelfs toen er genoeg diesel in de aggregaat gegooid werd om continue uit te zenden, kwam er nog niets uit. Clearchannel wilde er geen geld meer insteken en medio augustus 2002 was het gedaan[1]. Of er sprake is geweest van een herstart is onduidelijk, maar die kans lijkt me groot. Het zit in het bloed [2]. Colorful radio schijnt er ook iets mee van doen te hebben.

Echter stierf het station niet zomaar, er is geprobeerd om een frequentie te krijgen. Dit heeft voornamelijk te maken met het moederbedrijf Clearchannel, wat poot aan de grond wilde hebben in Nederland. Het liefst voor een paar dubbeltjes. Tijdens de herindeling werd er door Arrow en Qthebeat behoorlijk wat tamtam gemaakt [6]. Er was veel remoer over de herindeling, tot diep in de politiek [7] [9] [10]. Dat heeft uiteindelijk niets opgeleverd; Qthebeat verdween. Ik vroeg me af of er daadwerkelijk geld zou komen om het überhaupt rendabel te maken. Arrow heeft inmiddels ook de geest gegeven. Overigens vind ik het vreemd dat CCC Arrow niet heeft overgenomen; als ze zo graag een poot aan de grond wilden. Maargoed… wat weet ik nu weer van radio maken.

Domeinen qthebeat .com en .am zijn inmiddels dood. Het .nl domein naar is inmiddels weer vrij. Het internet archief heeft niets bewaard, helaas. Maar de website stelde ook niet veel voor. Een 24kbit stream en een Q logo. Jingles en andere huisstijlen lijken inmiddels de prullenbak in gegaan. Het station is voorbij en liet 1.3 miljoen aan schulden achter [5].

De namen achter het station, o.a. Rob van der Vegt[8], levert niets op met google. Overigens scheen die samen te werken met Leontien van der Meer, wat ik samen mooie achternamen vind. De bedrijfsnamen achter Qthebeat waren The Beat Goes On BV en Media Matters BV.

Oproep

Als iemand nog verhalen, opnamen, artwork of jingles heeft; zet ze in de comments of stuur ze op. Dat maakt het plaatje compleet. Ik ben vooral benieuwd naar de bron van de mixen op zaterdag. Groeten, Elger

Bronnen

  1. [1] = http://radiomonique963.punt.nl/?gr=772653
  2. [2] = http://radio.nl/portal/home/medianieuws/010.archief/2000/04/71233.html
  3. [3] = http://radio.nl/portal/home/medianieuws/010.archief/2000/08/71892.html
  4. [4] = http://www.radio.nl/portal/home/medianieuws/010.archief/2000/11/72592.html
  5. [5] = http://nl.wikipedia.org/wiki/Zerobase
  6. [6] = http://radio.nl/portal/home/medianieuws/001.zero_base/zerobase_nieuws/default.asp?intArticleID=79129
  7. [7] = http://www.icce.rug.nl/~soundscapes/VOLUME04/Mag_de_rechter.shtml
  8. [8] = http://www.radiovisie.eu/nl/nieuws.rvsp?art=00039825
  9. [9] = http://www.icce.rug.nl/~soundscapes/VOLUME03/Protesten_problemen.shtml
  10. [10] = http://www.radiovisie.eu/nl/nieuws.rvsp?art=00042802
  11. [11] = http://www.manuelfm.radiowereld.nl/portal/home/medianieuws/010.archief/2001/03/73412.html
  12. [12] = http://www.vpro.nl/programma/7dagen/afleveringen/3430477/