De vier beginnersfouten van Alert Online

De overheidscampagne voor veilig internetgebruik is niet alleen van start gegaan met overtreding van de cookiewet. Ook auteursrecht en het eigen security-advies zijn geschonden.


De gloednieuwe bewustwordingscampagne Alert Online van de Nederlandse overheid maakt meteen meerdere fouten. De maandagochtend van start gegane campagne van het ministerie voor Veiligheid en Justitie moet burgers én bedrijven wijzen op de risico's online, hoe ze daar alert op moeten zijn en wat ze ter bescherming van zichzelf zoal kunnen doen.

Cookies plaatsen

Na het live gaan van de campagnesite kwam aan het licht dat de Nederlandse cookiewet is overtreden. De site plaatste namelijk cookies op de pc's van bezoekers. Aanvankelijke opmerkingen daarover op Twitter werden door het AlertOnline-account beantwoord met de tegenwerping dat bezoekers wel degelijk geďnformeerd worden over de plaatsing van cookies.

De bewuste wet schrijft echter voor dat websites expliciet permissie moeten krijgen van bezoekers. Ook als het slechts cookies zijn die dienen voor verkeersanalyse en niet voor commerciële tracking van individuele websurfers. Toen dit eenmaal duidelijk was, heeft Alert Online direct de aangeboden cookies direct uitgeschakeld.

Na de overtreding van de Nederlandse cookiewet zijn er echter meer beginnersfouten ontdekt. Door Webwereld en door diverse lezers. Zo is op de aftrap voor de campagne direct een security no-no begaan, uitgedeeld op papier aan elke bezoeker.

'Negeer waarschuwingen'

De onthulling van de overheidscampagne vond gisteren plaats in het auditorium van de Rabobank. Die bank is één van de grootste participanten vanuit het bedrijfsleven aan de campagne. Elke bezoeker van die bijeenkomst kreeg een uitgeprint instructievel voor WiFi-gasttoegang. Daarop prijkt het advies om eventueel opduikende waarschuwingsvensters te negeren. Een slotinstructie luidt te kiezen voor de optie 'continue with the website (not recommended) in the case of a notice of security certificates'.

Alert Online drukt Nederlanders juist op het hart dat ze niet zomaar alles online te vertrouwen. Tip nummer 1 is: "Het belangrijkste. Wees alert als je een e-mail, website of aanbieder niet vertrouwt of niet kent. Internetcriminelen proberen mensen vaak te verleiden tot schadelijke acties via prikkelende aanbiedingen en/of door het installeren van schadelijke software op websites."

Weggepoetst watermerk

Verder gebruikte de nieuwe campagnesite alertonline.nl op de eerste dag van zijn live bestaan een foto van fotograaf Dmitriy Shironosov. Die foto afkomstig van stockbureau Shutterstock is uitgesneden en het watermerk van die aanbieder is licht verborgen. Een Webwereld-lezer wijst op deze schending van auteursrechten.

De oorspronkelijke homepage met foto waarop het weggewerkte watermerk valt te bespeuren aan de schijnbare jpeg-vertekening daarin:



In de loop van maandagmiddag is de bewuste foto op de homepage gauw vervangen door een andere, soortgelijke qua beeld (een hand op een toetsenbord). Een blik op de broncode van de overheidssite leert dat de oorspronkelijk gebruikte foto 'tijdelijk.png' heet. Dat bestand staat maandagnamiddag nog altijd live op de site Alert Online.

Vanwege Twitter-feedfout

Deze fout is "een heel simpel verhaal", reageert woordvoerder Edmond Messcheart van de NCTV (Nationaal Coördinator Terrorismebestrijding en Veiligheid), de initiatiefnemer van de campagne. Hij vertelt Webwereld dat er een foutmelding was in de Twitter-feed die de campagnesite moest weergeven. In reactie daarop is gauw een foto op die locatie gezet, waarvan vervolgens "een weggepoetst watermerk" is ontdekt.

Die verkeerde foto is daarna gelijk vervangen door een andere, zonder watermerk. De woordvoerder benadrukt nog het belang van de campagne en de op de site aangeboden informatie. Die zijn volgens hem minstens zo belangrijk als de door Webwereld aangekaartte rechtenschending.

Verouderde software

Onder de goede beveiligingsadviezen die Alert Online aandraagt, bevindt zich ook de tip verouderde software niet te gebruiken. Onder de noemer 'Houd je computer up-to-date' legt de overheid uit dat internetcriminelen vaak op een computer binnenkomen via beveiligingslekken in verouderde software.

"Leveranciers van besturingssystemen en software brengen geregeld updates uit om deze beveiligingslekken te herstellen. Installeer deze updates dus altijd zo snel mogelijk. Of beter: schakel automatische updates in." Maar Alert Online zelf blijkt een oude versie van JavaScript-framework JQuery te gebruiken. Het gaat om versie 1.3.2 die stamt uit februari 2009.

Breder advies

Het aangereikte advies lijkt in eerste instantie slechts te slaan op Windows en Mac OS X, maar het beveiligingsrisico van verouderde software is natuurlijk breder. Alert Online is zich hier van bewust en wil burgers daar ook bewust van maken: "Zorg er ook voor dat alle software die je gebruikt up-to-date is. Veel programma's bieden eveneens de mogelijkheid om automatisch te controleren op updates."

Blind installeren van updates valt volgens beheerders niet aan te raden voor complexere systemen, zoals ook websites. In versies van JQuery sinds begin 2009 zijn echter ook securityproblemen aangepakt, zoals cross-site scripting (xss). De huidige versie van het JavaScript-framework is 1.8.2, die op 20 september dit jaar is uitgekomen.