Een enthousiaste collega stuurde me het verhaal door van een
hackerswedstrijd van de Australische firma Secure Systems. Dit gebeurt
regelmatig, zo'n hackerswedstrijd. In de regel krijgt dit soort berichten
behoorlijk wat aandacht in de pers. In de praktijk levert dit soort
wedstrijden zelden een winnaar op, in de zin dat het geadverteerde systeem
niet gekraakt wordt. De winnaar is het bedrijf dat de persaandacht heeft
gekregen.

Zaak is om te kijken wat de kleine lettertjes van de prijsvraag zijn. In de
regel betekenen de kleine lettertjes feitelijk dat je alleen het soort
aanval mag uitvoeren waar ze zich op voorbereid hebben. Van deze weet ik het
niet, maar feit blijft dat je gezien Australische wetgeving alleen de host
zelf mag aanvallen, en niet bijvoorbeeld een DNS of router waar een
dergelijk systeem van afhankelijk is. Of een ander systeem in hetzelfde
netwerk. Dan is een maand wel erg kort, omdat je alleen de voordeur mag
aanvallen.

Bij een dergelijke wedstrijd gaat het in de regel ook om een product dat je
niet in handen hebt en waar weinig tot geen documentatie van verkrijgbaar
is. De gaten in Windows NT kwamen eigenlijk pas na zo'n jaar of anderhalf
massaal aan het licht, terwijl iedereen het product en de documentatie had.
En dan moet het zonder deze voordelen in een maand?

De prijs van 10.000$ is natuurlijk wel aardig, maar zal een serieuze hacker
boven water komen om dit geld te incasseren? Een winnaar zal zeer
waarschijnlijk direct in de boekjes van Interpol, NSA en meer van dat soort
fraais belanden. Dat kost je waarschijnlijk meer geld dan die 10.000. Er
bestaat ook een gerede kans dat een hacker uit een buitenland komt dat niet
zo vriendelijk is naar mensen die openlijk toegeven dat ze hacker zijn.
Oftewel er zijn redenen te over dat het product niet gehacked zal worden.
Het erge is dat er dan veel mensen zijn die geloven dat het dan ook om een
veilig product gaat.

Een hackwedstrijd is vooral een marketingstunt. Wat niet wegneemt dat het
een goed product kan zijn, daar niet van. Het komt immers wel vaker voor dat
schreeuwerige marketing een echt product de nek omdraait.

Het idee dat verkiezingen met gebruik van Internet technologie veilig zijn,
wordt ook op deze manier gepromoot. I-voting Testsystemen in de VS zijn niet
gehacked, hoewel ze al enige tijd on line zijn. Dit wordt gebruikt als
verkoopverhaal dat de boel dus veilig is. Leuk geprobeerd, maar dat is net
zo'n redenering als een Ferrari met sleuteltjes in het contact op de
Heemraadssingel in Rotterdam neerzetten, en vaststellen dat de beveiliging
goed is als hij niet gestolen wordt. De activiteiten van Van Boxtel om een
Internetdemocratie te bouwen gaan vooralsnog wel veel te ver. Systemen
uiteindelijk zijn zo veilig als de zwakste schakel, en dat is vaak de
thuis-PC. De komende jaren wordt deze eerder nog onveiliger, gezien de
nieuwste generatie trojans en virii. Dat de televisie juichende berichten
brengt over vingerafdruk identificatie en digitale overheidsloketten in de
komende jaren is in mijn optiek dan ook pure bloatware.