Op beveiligingsgebied was 2008 een zeer bewogen jaar, waarbij vooral het vertrouwen in het internet op de proef werd gesteld. Ook werd er flink geknaagd aan het vertrouwen in overheid en bedrijfsleven als het gaat om de privacy van burgers en consumenten. In het onderstaande overzicht blikken we in vogelvlucht terug op de meest kenmerkende momenten van het afgelopen jaar, dat vooral door een aantal beveiligingsonderzoekers bepaald werd.

Januari, februari, maart, april, mei, juni, juli, augustus, september, oktober, november en december.

Het nieuwe jaar begon vorig jaar goed, want al snel werd duidelijk dat de Media Markt, en tal van andere elektronicawinkels, besmette MP3-spelers verkochten. De hack van de OV-chipkaart domineerde echter de eerste maand het nieuws. Tijdens het 24ste Chaos Computer Congres demonstreerden Duitse hackers hoe ze de Mifare RFID-chip hadden gekraakt. Hackers kwamen ook in de media met een onderzoek waardoor miljoenen routers te hacken waren. Het ging om een combinatie van Flash en UPnP, die aanvallers toegang tot het apparaat gaf. Over apparaten gesproken, de nieuwe Boeing 787 "Dreamliner" had te maken met een ernstig beveiligingslek dat passagiers het besturingssysteem van het vliegtuig liet overnemen. En hackers waren bij meerdere overnames betrokken, de CIA meldde dat aanvallers de stroom in verschillende steden hadden uitgeschakeld. Iets dichter bij huis was de beslissing van de Rabobank om besmette klanten niet meer te laten internetbankieren. Besmettingen die steeds hardnekkiger werden. Begin januari werd een rootkit ontdekt die het Master Boot Record (MBR) van harde schijven overschreef, waardoor het zelfs na het formatteren van de harde schijf weer terug kwam.

In februari kreeg het vertrouwen in de overheid meerdere klappen te verduren. Zo wilde het kabinet een database met de vingerafdrukken van alle Nederlanders ouder dan zes jaar aanleggen, en die openstellen voor politie en justitie. Verder controleerde de Belastingdienst Hyves en LinkedIn profielen en waarschuwde het CBP voor het rekeningrijden. Het was trouwens niet alleen de Nederlandse overheid die het op vingers had voorzien, ook de Europese Commissie wilde een database met de vingerafdrukken van passagiers aanleggen.

In geheel ander nieuws zorgden de Deense spotprenten over de profeet Mohammed ervoor dat Islamitische hackers duizenden sites kraakten. Ook de CAPTCHA van Hotmail werd gekraakt, maar dat was het werk van spammers. Later zouden ook Google en Yahoo! volgen. Het onderzoek van de maand kwam op naam van onderzoekers van de universiteit van Princeton. Die wisten via een busje perslucht het geheugen te "bevriezen", waardoor men opgeslagen wachtwoorden nog kon uitlezen, ook al stond de computer zelf uit. Hierdoor was de encryptie van BitLocker, TrueCrypt en FileVault te omzeilen.

Een nieuwe maand, een nieuw onderzoek. Het kraken van een MacBook Air in twee minuten was echter onderdeel van een wedstrijd. Vista was ook niet waterdicht, hoewel het lek in dit geval niet in het besturingssysteem zat. Alleen Ubuntu wist de hackerwedstrijd te overleven. Dat was trouwens niet te zeggen van pacemakerdragers. Hackers zouden de apparaten op afstand kunnen uitschakelen. Ook de Windows Firewire hack, waarmee de wachtwoordbeveiliging van het systeem is te omzeilen, kreeg de nodige aandacht. Daarnaast liet de politie van zich spreken. Zo adviseerde het inbraak-slachtoffers om Marktplaats.nl in de gaten te houden en waarschuwde het voor Oost-Europese Wifi-dieven.

April stond in het teken van Windows Service Packs. Zo verscheen het langverwachte Service Pack 3 voor Windows XP en de Nederlandstalige versie van Vista SP1. Minder blij waren de meeste burgers met het nieuws dat de Marechaussee laptops van reizigers leegzuigt en dat de WEP/WPA sleutel van SpeedTouch routers eenvoudig te kraken waren.

Tijdens een massale aanval op 500.000 websites werd voor het eerst het probleem van SQL-injectie duidelijk. De gehackte sites werden van allerlei exploits voorzien, een tactiek die nog vaker in 2008 zou worden toegepast. Wat ook geldt voor de Chinese hackeraanval op CNN. Uit onvrede over Westerse berichtgeving besloten Chinese hackers een massale DoS-aanval uit te voeren. De schade viel uiteindelijk mee. Als laatste deed GroenLinks nog een duit in het zakje. De partij wilde, bij monde van toenmalig fractielid Wijnand Duyvendak, een verbod van de OV-chipkaart. Eerder had de politicus het kabinet al voor een stelletje digibeten uitgemaakt.

Een zeer ernstige fout, volgens sommigen zelfs blunder, in Debian's OpenSSL-pakket zorgde voor een verhoogde alarmfase op het internet. Door een aanpassing van de code twee jaar eerder, was het mogelijk om SSH, SSL OpenVPN, DNSSEC sleutels te raden. Gebeurtenissen in eigen land domineerde echter het nieuws. Zo bleek de politie Trojaanse paarden te gebruiken om de computers van verdachten te hacken, begon de politie met het registreren van kentekens en werden Hyvers in kaart gebracht. Verder werd bekend dat justitie 1700 telefoongesprekken per dag afluistert en vonden CDA en VVD een bewaarplicht van 18 maanden redelijk. In het kader van dubieuze "onderzoeksjournalistiek" haalde Computer Idee de media door een rogue accesspoint op Schiphol neer te zetten.

In juni ontstond grote commotie over kinderlokkers die via Trojaanse paarden de webcams van kinderen overnemen en dan allerlei oneerbare voorstellen doen. Uiteindelijk bleek het om één zaak te gaan, maar de schrik bij de Nederlandse bevolking was er niet minder om. Volgens een groep onderzoekers was de privacy in het geding door slimme meters, die het leefpatroon inzichtelijk maken. Leven en techniek raakte steeds meer met elkaar verweven, zo startte de Albert Heijn een proef met biometrisch betalen. Er was ook nog goed nieuws te melden, de Nationale Recherche arresteerde een Limburgse hacker die bij verschillende gameontwikkelaars had ingebroken.

De normaal zo rustige zomermaand juli werd opgeschrikt door een beveiligingslek van ongekende omvang. Beveiligingsonderzoeker Dan Kaminsky had een kwetsbaarheid in het Domain Name System (DNS) ontdekt. Aanvallers konden DNS informatie vergiftigen en zo slachtoffers naar kwaadaardige websites door sturen. Ondanks het gezamenlijk uitbrengen van de update, duurde het vrij lang voordat serverbeheerders die uitrolde. Ook schrikken was het plan van het CDA om meer DNA gegevens van burgers op te slaan als die zich in de buurt van een misdrijf bevinden. Bankverzekeraar Fortis kwam in juli negatief in het nieuws omdat het gevoelige gegevens van zeer vermogende, particuliere klanten onbeveiligd op het internet had gezet. Postbankklanten kregen op hun beurt in korte tijd drie phishingaanvallen te verduren. Juli had een bijzondere afsluiting, want er zou weer een Nederlandse hackerconferentie gaan plaatsvinden, dit keer onder de naam Hacking at Random.

Augustus was de maand van een aantal nieuwe woorden. Zo introduceerde Microsoft de "pornoknop" in Internet Explorer 8 en werden internetgebruikers voor klembord-kapers en malware gewaarschuwd. De Nationale Recherche deed weer van zich spreken met de aanhouding van een 19-jarige botnetbeheerder uit Sneek. Ook werd er deze maand weer het nodige gehackt. Zo demonstreerden terroristen het gevaar van een onbeveiligd draadloos netwerk, scande de maker van Nmap het hele internet en werden de officiële Red Hat en Fedora servers gekraakt.

Een nieuw probleem met de internet infrastructuur haalde de grote media. Dit keer konden hackers via een kwetsbaarheid in het Border Gateway Protocol (BGP) al het onversleutelde verkeer afluisteren. Later werd bekend dat het probleem al zeker 20 jaar oud was. Nog geen twintig jaar, maar wel oud was de vormgeving van Security.nl. Die werd na bijna vijf jaar vervangen.

Met Amerikaanse presidentsverkiezingen in aantocht kreeg de hack van het privé e-mailaccount van vice-presidentskandidaat Sarah Palin de nodige aandacht. Toch was september de maand van Google, de zoekgigant lanceerde een eigen browser genaamd Chrome. Voor de derde maand op rij werden internetgebruikers voor lekken van ongekende omvang gewaarschuwd, de eerste was Clickjacking, maar de aankondiging van een lek in het TCP/IP protocol sloeg in als een bom. Wederom liep een stel cybercriminelen tegen de lamp, de Nationale Recherche arresteerde vijf hackers. Toch was er niet alleen goed nieuws voor justitie. Het Korps landelijke politiediensten (KLPD) bleek helemaal niet bevoegd om websites met kinderporno te laten blokkeren, terwijl dat wel gebeurde. Verder beschouwde de Russische virusbestrijder Kaspersky Lab een scriptje van Geenstijl.nl als een Trojaans paard en bleken ook in Nederland talloze mensen met een nep-virusscanner besmet te zijn.

Voor de vierde keer sinds 2006 was het alle hens aan dek op het internet, Microsoft bracht buiten haar vaste patchdinsdag een zeer belangrijke update voor Windows uit. Het misbruik van het "worm-lek" bleek later mee te vallen. Wat ook meeviel was de actie van een Russisch bedrijf dat beweerde WPA2 honderd keer sneller te kunnen kraken. Het toevoegen van één extra karakter maakte de 600 euro kostende software van de Russen weer overbodig. Verder bleek dat Albert Heijn informatie van de bonuskaart met justitie deelt, zette T-Mobile de gegevens van 30 miljoen klanten online en ging Australië op de Chinese tour met een verplicht internetfilter. Eind oktober werd bekend dat elke Nederlander automatisch een elektronisch patiëntendossier zou krijgen, tenzij men bezwaar maakte. Niet dat veel landgenoten zich over hun privacy zorgen maken, de "Volksopstand voor privacy" trok slechts een paar honderd mensen.

Het EPD kwam steeds meer in de media, zo maakten huisartsen zich ernstig zorgen over de privacy ervan. Niet onterecht, in Amerika wisten hackers de dossiers van 50 miljoen Amerikanen te stelen. Hackers sloegen ook toe in het Witte Huis, Chinese aanvallers zouden meerdere keren het netwerk hebben gekraakt. In het geval van Nederlandse WiFi-routers viel er volgens de Consumentenbond weinig te kraken, tweederde van de routers die ISPs verstrekken zouden niet of onvoldoende beveiligd zijn.

Microsoft verbaasde vriend en vijand met de aankondiging van de gratis virusscanner Morro. Geen overbodige luxe, zo verbood het Amerikaanse leger wegens een worm-uitbraak het gebruik van USB-sticks. Halverwege de maand daalde de hoeveelheid spam dankzij het afsluiten van spambron McColo naar een historisch dieptepunt. Verder trok Zembla de stoute schoenen aan door creditcardfraude te plegen, kwam XS4ALL met een privacyfilm en hoefde een Amerikaanse lerares wegens porno pop-ups toch niet veertig jaar de cel in.

Het venijn zat dit jaar definitief in de staart. Onderzoek wees uit dat 98% van alle Windows computers belangrijke updates mist. Niet dat je in dit geval iets tegen een zero-day lek kunt doen. Miljoenen Internet Explorer gebruikers werden slachtoffer van een lek in de browser waar nog geen update voor was. Microsoft moest weer buiten haar patchcylus om, die in december al gigantisch was, met een noodverband aan de slag. MS08-078 was een van de ergste lekken waar Windows gebruikers de afgelopen jaren mee te maken kregen.

De Revu vond het wel een verstandig om 14.000 mensen met een Trojaans paard te besmetten om zo het privé e-mailaccount van Defensie staatssecretaris Jack de Vries te kraken. Ook niet verstandig was het advies van de politie om aan de mondstukken van pinautomaten te sjorren. Toch moet je wat, aangezien pinpasfraudeurs op massale schaal zowel bij het MKB als NS-stations toesloegen. Het vuurwerk kwam dit jaar een dag te vroeg. Onderzoekers demonstreerden tijdens de CCC hackerconferentie hoe ze op MD5-gebaseerde SSL-certificaten konden vervalsen. Een waardig einde van een bewogen jaar.