Home | Onderwerpen | Zoek | Over ons | Doneer | Contact |
---|
Cyberwapens zijn de gevaarlijkste innovatie van deze eeuw [Eugene Kaspersky, New York Times, 3.6.12]. |
Cybercriminaliteit moet primair worden onderzocht vanuit een sociaalwetenschappelijk in plaats van een technologisch perspectief. Cybercriminologie onderzoekt de oorzaken, organisatie en werking van misdaden die in cyberspace plaats vinden en van de gevolgen daarvan in de lokale wereld.
|
Internet als crimineel walhalla |
---|
Slagschaduw van digitale revolutie
Bijna iedereen is het erover eens: cybercriminaliteit en het crimineel misbruik van het internet door al dan niet georganiseerde misdadigers moet bestreden worden. Misdadigers die zichzelf op illegale wijze proberen te verrijken, of die er andere praktijken op nahouden die niet door de beugel van de recht passen zoals kinderporno, discriminatie of andere uitingsdelicten maken bij de voorbereiding en uitvoering van hun daad bijna allemaal gebruik van het internet en mobiele communicatie, of begaan ze op dit domein zelf. Dit laatste noemen we cybercriminaliteit of cybercrime.
Internet is een integraal deel van ons dagelijks leven geworden. Het heeft veel zegeningen met zich meegebracht, maar ook de slagschaduw die elke grote technologische uitvinding op de voet lijkt te volgen: criminaliteit. Cyberspace is een aantrekkelijk jachtgebied voor criminelen. Er valt veel geld te halen en allerlei soorten informatie (persoonsgegevens, patenten, bedrijfsgeheimen, technologische kennis) die in geld kunnen worden omgezet.
Door de exponentiële groei van informatie- en communicatietechnologiën worden veel traditionele misdaden nu uitgevoerd met behulp van computers en netwerken (internet enabled crime. Daarnaast zijn er ook niewe vormen van criminaliteit ontstaan die misgebruik maken van de ongekende mogelijkheden van informatie- en communicatiesystemen (internet specific crime). Juist deze niet-traditionele of digitale vormen van cybercrime vereisen van onze politiële en justitiële rechthandhavers een aanzienlijke inspanning om deze cybercriminelen te identificeren, te arresteren en gerechtelijk te vervolgen.
Landen met een geavanceerde internet infrastructuur en internet-gebaseerde economie en betalingssysteem.
Grote variëteit aan vormen van cybercrime:
De schaal van cybercriminele activiteit stelt de handhavers van de rechtstaat voor grote problemen. De totale kosten van cybercrime voor de samenleving zijn aanzienlijk [>Kosten van Cybercrime]. Cybercrime is inmiddels nog winstgevender dan de totale handel in marijuana, cocaïne en heroïne samen.
Internet is een walhalla voor de cybercrimineel. De cracker waant zich almachtig, boven de wet verheven en onaantastbaar. Cyberspace is een vrijstaat, met open grenzen en onduidelijke spelregels. Omdat de verdachten zo moeilijk zijn te tracenren worden cybermisdaden zelden bestraft. Daarin lijkt maar langzaam verandering te komen. Opsporingsinstanties treden steeds effectiever en vaker op tegen criminele hackers. Maar er is nog veel onduidelijkheid over wat digitale rechercheurs mogen doen en welke bijzondere opsporingsmiddelen zij daarbij mogen gebruiken (pseudokoop, of infiltratie, deze actieve deelname aan een crimineel netwerk).
Wat is een cybercrime en welke soorten van online bedreven delicten zijn er? Hoe ontwikkelen die verschillende soorten van cybercrime zich in Nederland en de rest van de wereld? Waarom zijn cybercriminelen tot nu toe zo succesvol?
En wat kunnen wetshandhavers doen om het tij te keren? Hoe komen politie en justitie op het spoor van de daders van cyberdelicten? Hoe kun je achterhalen wie er verantwoordelijk is voor een specifieke cybercrime? Wat zijn de digitale sporen die cybercriminelen achterlaten? Met welke middelen kun je deze sporen analyseren? En tenslotte de preventie: wat zou er aan de infrastructuur van het internet en aan ons eigen gedrag moeten veranderen om cybercrime te voorkomen?
@@@ |
Internet stelt ons in staat om op afstand en mobiel met elkaar te communiceren en informatie uit te wisselen. Dank zij internet en mobiele communicatieapparatuur kunnen we elkaar op elk gewenst tijdstip en overal bereiken. Er is een nieuwe digitale leefomgeving ontstaan, een virtuele leefwereld die in al haar vezels en haarvaten verankerd is in de lokale, fysieke wereld.
Internet dringt diep door in ons alledaagse en persoonlijke en publieke leven. De meest uiteenlopende activiteiten worden tegenwoordig virtueel afgehandeld. We werken en studeren via internet. We gebruiken internet om met elkaar te communiceren en van informatie te voorzien. We kopen goederen en diensten op commerciële websites en via online bankieren regelen we ons betalingsverkeer. We amuseren ons op internet en spelen online spelletjes. We geven lucht aan onze emoties, publiceren onze meningen, verhalen en analyses en we leveren online kritiek op anderen. In webfora uiten we onze diepste gevoelens en delen virtueel lief en leed met elkaar. Internet is een medium van sociale nabijheid en van creativiteit.
In Nederland zijn de individuele burgers en de samenleving als geheel sterk afhankelijk geworden van de informationele en communicatieve mogelijkheden van het internet. Juist daarom zijn we op dit punt ook erg kwetsbaar geworden. We zijn afhankelijk geworden van systemen die we niet kunnen beschermen tegen kwaadaardige aanvallen.
We merken pas hoe afhankelijk we zijn van het internet als het niet meer werkt, of niet meer werkt zoals wij verwachten. Individuele burgers, ondernemingen en overheden lopen averij als de computersystemen en netwerken door kwaadwillenden wordt gemanipuleerd en ontregeld.
Internet heeft ons veel nieuwe mogelijkheden en comfort geboden. Maar het biedt juist ook veel schaduwzijden. Die duistere kant van het internet loopt van online bedreigingen en cyberbelaging, tot online pedofilie tot identiteitsdiefstal en schending van privacy, van cybercriminaliteit (fraude, diefstal, oplichting) tot cyberterrorisme, en eindigt met nationale staten die via het internet elkaars vitale infrastructuren ontregelen en zelfs fysiek vernietigen. We kunnen via internet worden bedreigd, bespioneerd, afgeperst, bestolen en beschadigd.
Internet is zowel medium als inzet van maatschappelijke en politieke strijd. Het is het virtuele toneel geworden waarop maatschappelijke conflicten worden uitgevochten. Activisten met de meest uiteenlopende doelstellingen en strijdmethoden gebruiken internet als platform om zich virtueel te organiseren: zij publiceren hun kritieken, programma’s en eisen; zij werven aanhangers en fondsen; zij mobiliseren hun achterban; zij protesteren bij hun conflicttegenstanders of blokkeren hun internetlocaties; en zij organiseren internationale solidariteit. Burgers in landen met dictatoriale regimes gebruiken internet om het staatsmonopolie op tv, radio en kranten te doorbreken. Zij associëren zich in de virtuele ruimte als «wolkbeweging» om daarna onverwachts in de publieke ruimte op straten en pleinen massaal in beweging te komen.
Internet wordt gebruikt door een uitgebreide schare cybercriminelen die zich onrechtmatig proberen te verrijken. Het zijn de kleine fraudeurs, gouwdieven en bedriegers die telkens weer nieuwe trucs bedenken om geld te stelen van particulieren en ondernemingen. Er zijn ook internationaal georganiseerde criminelen en misdaadsyndicaten die gigantische sommen geld stelen door goed georkestreerde cyberovervallen op banken en door zeer geraffineerde beursmanipulaties.
Cyberterroristen gebruiken om hun gewelddadige aanslagen op civiele doelen voor te bereiden en om mensen angst aan te jagen met beelden van hun vernietigende acties. Zij brengen via internet hun klachten en eisen voor een groot publiek, zij organiseren hun internationale virtuele netwerken en lokale cellen en zij coördineren hun acties online.
Daarnaast zijn er tal van paramilitaire groepen en netwerken van nationalistische hackers die min of meer los of juist op instigatie van hun nationale overheden grootschalige cyberaanvallen lanceren op buitenlandse websites, databanken, servers, computersystemen en netwerken. Zij maken meestal gebruik van de oude techniek van de DoS-blokkade (het overstromen van een website of server met automatisch gegenereerd verkeer: een soort digitale sit-in) en van de webonthoofding (het vervangen van de hoofdpagina van een site met een eigen boodschap). In de loop der tijd wordt ook door hen meer gebruik gemaakt van de verspreiding van geavanceerde kwaadaardige software.
Cyberaanvallen richten steeds meer schade aan. Zij belemmeren en ontregelen regelmatig vitale bedrijfssectoren, nutsvoorzieningen, financiële markten en staatsinstellingen. De niet-statelijke vormen van cyberagressie worden echter steeds meer overtroffen door nationale staten die hun militaire capaciteiten hebben uitgebreid met krachtige cyberwapens waarmee internationale conflicten worden uitgevochten. Militaire cyberwapens worden bedacht en ontworpen door zeer goed gekwalificeerde specialisten op het gebied van het inbreken (hacken) op en manipuleren van vijandige computersystemen.
Cyberoorlog, cyberspionage, cyberterrorisme, cybercriminaliteit, cyberactivisme en cybervandalisme worden vaak op één grote hoop gegooid. Hoewel er bij al deze verschijnselen gebruik wordt gemaakt van vergelijkbare en soms zelfs identieke instrumenten, verschillen zij aanzienlijk zowel in hun doelstelling en methodiek als in de aard van de actoren en hun institutionele inbedding. In de volgende tabel zijn deze verschillen schematisch geordend.
| ||
Doel | Methode | |
---|---|---|
|
Verdrijven van verveling, irriteren om aandacht. Geen maatschappelijk, politiek of financieel doel. | Het vandaliseren van willekeurige sites en servers voor de lol of uit nieuwsgierigheid: kijken of het kan. |
|
Articuleren van maatschappelijke belangen en van politieke doelstellingen; aanklagen van exploiterende, repressieve en discriminerende machthebbers. | Activistische propaganda: aandacht vragen voor maatschappelijke problemen middels het tijdelijk blokkeren van de toegang tot sites en servers (denial-of-service aanvallen als virtuele sit-in) en het onthoofden van sites (vervangen van homepage door eigen mededeling). Hacktivisten gebruiken meestal kortdurende denial-of-service aanvallen of publiceren gevoelige informatie van hun doelwitten als vorm van politiek protest. Meer radicale groepen zouden echter ook meer systematische effecten kunnen bewerkstellingen, zoals het ontregelen van financiële netwerken. Hun cyberacties kunnen zelfs per ongeluk gevolgen hebben die geïnterpreteerd worden als een door een staat gesteunde aanval. |
|
Illegale zelfverrijking: geldkopperij door diefstal, oplichting, afpersing en fraude. | Opportunistisch, niet ideologisch, niet strategisch: inbreken, pakken wat je kan en wegwezen (hit and run). Cybercriminelen kopen en verkopen op de zwarte markt instrumenten waarmee kan worden ingebroken op vitale infrastructuren en die gemakkelijk in handen kunnen vallen van agressieve staten, paramilitaire of terroristische organisaties. |
|
Vijanden van de juiste leer zoveel mogelijk schade berokkenen: angst zaaien. |
Ideologisch niet op geldelijk winst gericht. Spectaculaire cyberaanslagen op als vijandig gedefinieerde digitale doelwitten. Terroristische organisaties hebben steeds meer belangstelling voor de ontwikkeling van offensieve cybercapaciteiten. Hun slagkracht is beperkt door de beschikbare intellectuele en organisationele bronnen en, en door concurrerende prioriteiten. |
|
Verwerven van informatie over vijandige of potentieel vijandige strijdkrachten. Economische of bedrijfsspionage is gericht op het stelen intellectueel eigendom en bedrijfsgeheimen van concurrerende ondernemingen. | Clandestien penetreren in vijandige informatiesystemen om daar heimelijk informatiebestanden te vervreemden of communicaties af te luisteren. |
|
Vernietigen of beschadigen van vitale systemen van vijandige staten met offensieve cyberwapens. | Strategisch en niet opportunistisch: doelwitten bepalen, cyberwapens in stelling brengen, gericht aanvallen, monitoren van effecten. |
Aan deze opsomming zou nog «hacken» kunnen worden toegevoegd. De meeste ethische of white hat hackers inspecteren slechts de kwaliteit van de beveiligingssystemen van computersystemen en netwerken. Hun doel is het aantonen middels volledige of verantwoordelijke bekendmaking dat deze systemen en netwerken inadequaat beveiligd zijn en dat het mogelijk is om daarop in te breken. Hun werkwijze is misschien het best te beschrijven als binnendringen omdat het kan en lekken zoeken omdat er lekken zijn, zonder onnodige schade aan te richten. Hackers zijn de aanjagers in het ontwikkelingsproces van robuuste cyberveiligheid. |
Internet is geen echt veilige plek. Ons leven in cyberspace is extreem kwetsbaar voor criminele aanvallen. Informatie- en communicatievoorzieningen zijn de wegen en bruggen van het informatietijdperk en daarom ook het primaire werkterrein van criminelen die op illegale wijze snel rijk willen worden.
![]() |
---|
Voordelen van cybercriminelen
Gericht op financieel gewin: (a) grootschalige aanval op bankklanten met gebruik van malware stelen van fondsen/plundereen van rekeningen; (b) Fraude tegen bakend betalingssystemen.
Vier/vijf soorten
Cybercriminelen hoeven niet fysiek aanwezig te zijn op de plek van de misdaad, terwijl er veel te halen valt. In tegenstelling tot de conventionele misdaad, kan een cybercrimineel meerdere misdaden op hetzelfde moment plegen. Het is een high profit, low risk markt.
De digitale revolutie heeft de wijze van criminaliteit op minstens drie manieren veranderd: de middelen, het domein en de organisatie.
«Cyberspace» is het geheel van virtuele (door internet en mobiele communicatie gefaciliteerde en gemedieerde) interacties en transacties tussen mensen. Cyberspace is dus gedefinieerd door de sociale interacties en transacties die zich via digitale media voltrekken en niet zozeer door de technologische eigenaardigheden van het internet of mobiele telecom. |
De digitale informatie en communicatie zijn een basistechnologie geworden van moderne samenlevingen. Internet en mobiele communicatie dringen door in alle poriën van ons publieke en particulieren bestaan. Onze samenleving is sterk afhankelijk geworden van de stabiliteit van informationele en communicatieve infrastructuren. Bovendien ondersteunt het internet in toenemende mate besturingsprocessen van vitale infrastructuur, zoals het bankenverkeer, het elektriciteitsnetwerk en het water- en rioolbeheer. Het zijn allemaal systemen die van cruciaal belang zijn voor het dagelijkse maatschappelijke leven.
|
Computer/cyber ondersteunde misdaad = mensen die zich bezig houden met normale misdaad waarbij gebruik gemaakt wordt van computers om efficiënter en op grotere schaal te opereren. Klassieke delicten worden mede door gebruik van ict gepleegd. Voorbeelden daarvan zijn acquisitiefraude, fraude met betaalmiddelen, beleggingsfraude, productie en verspreiding van kinderporno, fraude op online handelsplaatsen, telecomfraude, voorschotfraude, skimming, bedrijfsspionage, afpersing en ladingdiefstal.
Cybercrime wanneer mensen daadwerkelijk inbreken in computersystemen en dan de interne informatie gebruiken om financieel of commerciele winst te behalen. Cybercrime is een delict waarbij informatie- en communicatietechnologie van wezenlijk belang is voor de uitvoering ervan []
Er is nog een derde manier waarop ict gebruikt wordt door criminelen: in hun strijd tegen politie en justitie maken zij gebruik van verschillende simkaarten, hotspots, VoIP-programmas, chatprogrammas, online opslagdiensten, cryptofoons, stemvervormers, stealthphones, gsm-afluisterzenders, gsm- en gps-jammers, peilbakens en sweepers. Het Tor-netwerk wordt gebruikt voor wapenhandel, mensenhandel, drugshandel en handel in gestolen creditcards, maar ook om liquidaties te regelen [Nationale Dreigingsbeeld 2012].
Het is een misdaad zonder geweld. Trekt ook andere soorten mensen aan.
Oorlog is het gebruik van militaire kracht om een andere natie aan te vallen en haar capaciteiten te beschadigen of te vernietigen en haar wil tot verzet te breken. Een cyberoorlog is een militair conflict tussen nationale staten dat in de virtuele ruimte wordt uitgevochten met de middelen van informatie- en communicatietechnologie. Een cyberoorlog bestaat uit militaire operaties die zich met zuiver digitale middelen richten op het manipuleren, ontregelen, degraderen of vernietigen van computersystemen en infrastucturele netwerken van een vijandige macht of mogendheid.
Cybercriminaliteit voltrekt zich in een andere wereld: de cyberwereld. Daarbij is de fysieke afstand tussen crimineel en slachtoffer van geen enkel belang. Het enige dat van plaats veranderd en razendsnel over alle grenzen heengaat zijn bits en bytes. Cybercrime vindt plaats in een virtuele wereld van onzichtbare knooppunten in elektronische netwerken.
Nieuwe actoren: De digitale technologie heeft individuen krachtiger gemaakt als nooit tevoren. Teenagers die alleen opereerden zijn erin geslaagd om controlesystemen van vliegvelden te ontregelen, grote online webshops plat te leggen en om de handel op de Nasdaq-beurs te manipuleren. En wat individuen kunnen, dat kunnen organisatie ook en meestal beter.
Een georganiseerde cyberbende kan goed gestructureerd opereren zoals de traditionele maffia. Maar het kan ook een kortdurend project zijn van een groep die een specifieke online misdaad begaat of een specifiek slachtoffer of groep als doelwit kiest. De meeste cybercrimes worden uitgevoerd door criminelen die opereren in los verbonden clandestiene netwerken en niet zozeer in formele organisaties. Een cybercrime kan ook door individuen worden begaan die alleen opereren maar die verbonden zijn aan een groter crimineel netwerk, zoals aan de ondergrondse Tor-site van het darknet. Hoewel criminele in losse netwerken opereren wonen de leden toch vaak relatief dicht bij elkaar zelfs wanneer hun aanvallen cross-nationaal zijn. Zij opereren vaak in kleine lokale netwerken, of in groepen de gecentreerd zijn rond familieleden en vrienden.
Hierdoor kunnen ook relatief kleine, in gedecentreerde netwerken georganiseerde vijanden van een natie met uitzicht op succes een cyberoorlog beginnen. De cyberoorlog heeft dus ook nieuwe acteurs: individuele hackers, niet-gouvernementele organisaties, terroristische organisaties, en andere niet-statelijke actoren.
Een aanval op een computernetwerk kan niet direct worden toegeschreven aan specifieke actoren. Omdat er gebruik gemaakt wordt van zombie-computers blijft niet alleen de identiteit van cybercriminelen, maar ook hun geografische lokatie onduidelijk.
Een toetsaanslag reist in ongeveer 300 milliseconde twee keer rond de wereld. Maar het forensisch onderzoek dat nodig is om een cybercrimineel te identificeren kan weken, maanden en zelfs jaren duren als het überhaupt al lukt om dit te doen. Het is extreem moeilijk om vast te stellen waar een cyberaanval precies vandaan komt en wie daarvoor verantwoordelijk is. En als je niet weet aan wie je een cybercriminele aanval kunt toeschrijven, is het onmogelijk om zon delict te bestraffen.
In cyberspace loopt de verdediging structureel achter op de criminele aanval: tegenmaatregelen komen altijd te laat en vaardige cybercriminelen vinden altijd weer nieuwe zwakke plekken.
Van afschrikking is sprake wanneer een potentiële wetsovertreder afziet van criminele actie omdat de kans groot is dat hij/zij hiervoor gestrafd zal worden. Dit is gebaseerd op de vooronderstelling dat cybercriminelen rationele keuzes maken en dat het verhogen van de kosten van illegaal gedrag hen ervan weerhoudt om een delict te plegen. In werkelijkheid plegen cybercriminelen vaak impulsief een misdaad (al dan niet onder invloed van drank, drugs of uitzichtloze hoge schulden) of gewoon omdat de gelegenheid tot zelfverrijking zich plotseling aandient. Zelfs als criminelen rationeel proberen te opereren dan wordt de rationaliteit van hun beslissingen beperkt door de gelimiteerde informatie waarover zij beschikken (hun kennis van de wetgeving en van opsporingsmethoden). Alleen de technologisch en juridisch slimste cybercriminelen zijn in staat om hun pakkans realistisch in te schatten. Bovendien blijkt uit vele studies dat het opvoeren van de hoogte van de straf geen effectieve afschrikkende werking heeft. Vooral niet omdat potentiële wetsovertreders vaak zeer beperkte kennis van het strafrecht hebben [Guitton 2012].
De jurisdictie is dus altijd specifiek geografisch afgebakend door het territorialiteitsbeginsel. Volgens internationaal recht zijn de jurisdictie van de wergevende en uitvoerende macht beperkt tot het grondgebeid van de staat waartoe zij behoren. Zij hebben dus geen rechtsmacht over het grondgebied van andere soevereine staten. Politie en veiligheidsdiensten van het ene land hebben geen bevoegdheden (en mogen dus geen zelfstandige handelingen verrichten) in het andere land. Dit impliceert alleen de dader van een strafbaar feit dat in Nederland gepleegd ook in Nederland vervolgd kan worden. Binnen de Europese Unie zijn verdragen gesloten die de politie beperkte jurisdictie geven op het grondgebied van andere lidstaten. Zo mag de politie op grond van het Verdrag van Schengen in geval van observaties en achtervolgingen deze activiteiten onder bepaalde voorwaarden voortzetten wanneer ze tijdens de uitvoering een grens met een andere lidstaat passeren.
De Schengenakkoorden stimuleerde intensievere politiële samenwerking en kende een geclausuleerd recht toe om personen tot buiten het nationale grondgebeid te observeren of te achtervolgen. De nationale polite mag achtervolgingen voortzetten in alle landen die open grenzen hebben (geen paspoortcontroles). De politie van Schengenlanden mag tien kilometer over de grens van een ander Schengenland rijden en hoogstens 45 minuten zonder toestemming wapens dragen in een ander Schengenland. Leidend beginsel is dat agenten zich richten naar de bevoegdheden van het land waarin men op dat moment opereert. Het Schengen Informatie Systeem (SIS) is een geavanceerde databank waarmee de verantwoordelijke autoriteiten van de Schengenlanden gegevens over bepaalde categorieën personen en goederen kunnen uitwisselen. Het SIS (op nationaal niveau Sirene) is een internationaal geautomatiseerd signaleringssysteem van personen en goederen. Het wisselt informatie uit over terrorisme, databankgegevens over DNA en vingerafdrukken. De databank bevat informatie over mensen die gezocht worden, mensen die grote delen van de Europese Unie niet in mogen, vermiste personen, gezochte getuigen en verdachten en gestolen voorwerpen. Het doel daarvan is het verbeteren van de samenwerking en coördinatie tussen de politiediensten en de justitiële autoriteiten om de binnenlandse veiligheid van de lidstaten te behouden en met name om de georganiseerde misdaad te bestrijden. In de praktijk lijkt het SIS vooral gebruikt te worden om de immigratie te beperken. Bovendien is de kwaliteit van de informatie slecht en daarom onbetrouwbaar. De Duitse Federale Datenschutzbeauftragter, een privacy waakhond, toonde in 2004 aan dat 20 procent van de onderzochte Duitse signaleringen gebaseerd is op een onjuiste rechtsbasis, ofwel niet terecht. In Frankrijk bleek tussen 2003 en 2005 40 tot 45 procent van de onderzochte signaleringen onjuist of onrechtmatig. In totaal zijn er ruim 17 miljoen signaleringen in het SIS opgenomen, waarvan 1 miljoen mensen [Europese politie en justitie samenwerking]. |
In cyberspace vindt een permanente wedloop plaats tussen criminelen en rechtshandhavers. Cybercriminelen zijn daarbij niet alleen feitelijk maar ook structureel in het voordeel. De bad guys worden steeds beter en zijn sneller dan ooit. De good guys hebben vaak al moeite om hierop alleen maar te reageren. Een louter passieve en reactieve verdediging van computersystemen en communicatienetwerken wordt steeds minder effectief.
De meest doorslaggevende strategische factor in de ontwikkeling van cybercrime is de toegang tot de kennis en vaardigheden die nodig zijn om doeltreffende cyberoperaties uit te voeren. Om niet achter te lopen in deze wedloop vindt een strijd om het intellect plaats. Politie, justitie en veiligheidsdiensten proberen talenten te rekruteren uit hackerskringen die weten hoe zij computersystemen kunnen kraken en manipuleren; zij organiseren speciale opleidingen om een toekomstige generatie van cyberrechercheurs te kwalificeren.
Het grootste gevaar in deze strijd om het intellect schuilt vaak in de eigen organisatie: ontevreden personeelsleden en rancuneuze ex-werknemers die zich laten rekruteren door criminele bendes.
Cybercriminele bendes plaatsen advertenties op de zwarte internetmarkt om talentvolle hackers te rekruteren. Een van de bazen van een cybercriminele syndicaat bood een Ferrari aan voor de hacker die de beste zwendel kon bedenken [Independent, 11.5.12].
![]() Misleiding |
---|
Cybercriminelen maken gebruik van de mogelijkheden om de perceptie in cyberspace te manipuleren. Gebeurtenissen kunnen via multimediale technieken volledig worden gemanipuleerd en snel over het internet worden verspreid. @@@ UITWERKEN
Een cyberdelict wordt gepleegd met louter of primair digitale middelen. Maar in haar gevolgen kan een cyberdelict voor de slachtoffers even schadelijke gevolgen hebben als een straatroof of een fysieke gijzeling.
Traditionele criminelen gebruikten wapens, breekijzers,en explosieven om een buit te veroveren. Deze instrumenten zijn dom in vergelijking met de menselijke en kunstmatige intelligentie die in criminele software is ingebouwd.
Kenmerken | Gevolgen |
---|---|
Kwetsbaarheid Kwetsbaarheid van digitale en materiële infrastructuren voor cyberdelicten is groot. |
In cyberspace bestaan geen veilige havens of verdedigbare grenzen. |
Lage toegangskosten kwaadaardige software en digitale breekijzers zijn voor iedereen vrij en tegen verwaarloosbare kosten toegankelijk. |
Verspreiding van inbraaksoftware is oncontroleerbaar. Hierdoor niet alleen zeer veel malware in omloop, maar ook veel criminele actoren in cyberspace. |
Strategische informatie over criminele dreigingen niet beschikbaar. | Cybercapaciteiten van cybercriminelen zijn moeilijk in te schatten. |
Anonimiteit & Lokaliteit Identiteit en lokaliteit van cybercriminelen is moeilijk te achterhalen. |
Attributie Niet weten wie de cybercrimineel is en waar deze zich bevind. Opsporingsoperaties zijn daarom problematisch. Pakkans voor cybercriminelen is laag. |
Veel slachtoffers Cybercriminelen richten zich meestal op meerdere doelwitten tegelijk. Gelijktijdig worden inbraken gepleegd op honderdduizenden, miljoenen of zelfs miljarden computers. Malware verspreid zich zeer snel. |
Cybercrime treft zeer grote aantallen slachtoffers die over de hele wereld zijn verspreid. |
Schade Beoordeling van aangerichte schade is moeilijk: veel slachtoffers merken niet dat zij bestolen zijn, of geven het delict niet aan uit persoonlijke schaamte of strategische overweging zoals reputatieverlies. |
Onvolledige en onbetrouwbare informatie over implicaties van cybercriminaliteit. Betrouwbare schattingen van individuele, organisationele en maatschappelijke kosten van cybercrime zijn lastig. |
Snelheid & Variatie Cybercriminele operaties voltrekken zich in een zeer kort tijdsbestek. Door vergaande automatisering van de cyberkraak en veel variatie in aanvalspatronen (flexibel, snelontwikkelend) |
Door criminele exploitatie van nog niet bekende kwetsbaarheden (zero-day lekken) en talloze variaties op bestaande malware is passieve verdediging (het d.m.v. firewalls en virusdetecties tegenhouden van reeds bekende malware) steeds minder effectief. |
Gedistribueerd Computersystemen en netwerken van actuele en potentiële slachtoffers worden door cybercriminelen verkend en gepenetreerd, geheime en gevoelige informatie wordt gestolen; zij worden geïnfecteerd met kwaadaardige software waarmee de controle wordt overgenomen. |
Veel computersystemen en netwerken staan al onder controle van cybercriminelen zonder dat de eigenaars en beheerders van die systemen en netwerken daar erg in hebben. Zombie-computers van een crimineel botnet werken zonder medeweten van hun eigenaars mee aan cybermisdaden (het zijn naïeve medeplichtingen). |
![]() |
---|
Net als in de lokale wereld vindt er in cyberspace een permanente wedloop plaats tussen criminelen en rechtshandhavers. De cybercriminelen zijn daarbij feitelijk maar ook structureel in het voordeel. Om criminaliteit op of via het internet te bestrijden moeten we de aanvalsmethoden van cybercriminelen begrijpen.
Risicos van ICT: onveiligheid & kwetsbaarheid
Computernetwerken hebben een uniek vermogen om in zeer uiteenlopende omstandigheden te overleven. Maar dat betekent allerminst dat zij ook daadwerkelijk veilig of onkwetsbaar zijn. Hoe robuust zijn onze computersystemen bij interne balansverstoringen en hoe kwetsbaar of weerbaar zijn zij tegenover vijandige aanvallen van buitenaf?
|
Software is robuust waneer er slechts zelden fouten optreden die slechts kleine onaangenaamheden met zich meebrengen en geen grotere schade of verliezen veroorzaken. Maar door de omvang van de huidige computerprogrammas is robuuste software (safeware) een zeldzaamheid.
Open Source Software is niet noodzakelijk beter of veiliger. Dit type niet-commerciële software, waarvan de ontwikkelingscode openbaar toegankelijk is, wordt door een veelvoud van programmeurs gezamenlijk ontwikkeld: given enough eyeballs, all bugs are shallow. Open source software bevat daarom veel minder programmeringsfouten (metingen laten zien dat het foutenpercentage 0,02% is). Maar ook deze systemen zijn nog altijd veel te complex en bieden daarom nog voldoende ingangen voor geraffineerde aanvallers. |
Bij commercieel geproduceerde software ligt de foutenmarge tussen de 1,5% en 5%. Met meer dan 80 miljoen regels betekent dit dat er gemiddeld zon 1,2 tot 1,4 miljoen fouten zitten in de besturingssoftware. Lang niet al deze fouten zijn veiligheidslekken die door hackers kunnen worden uitgebuit. Maar een geraffineerde aanvaller is desondanks in staat enige tienduizenden van deze fouten uit te buiten. Er zijn dus zeer veel invalswegen die gesloten moeten worden om de software echt veilig te maken. Maar dat is allesbehalve eenvoudig.
Statistisch onderzoek laat zien dat er gemiddeld 2 à 3 fouten worden gemaakt in elke 1.000 regels code. Bij software waarbij de uitval mensenlevens kan kosten, zoals bij militaire of ziekenhuissystemen, wordt een foutdichtheid van < 0,5 fouten per 1.000 regels code nagestreefd. Meestal wordt gestreefd naar een foutdichtheid van < 2, normaal is 2-6 en acceptabel (alleen in de sfeer van het web) is 6-10. Meer dan 10 fouten geldt als wanprestatie en kan voor een rechtbank tot compensatiebetaling leiden. Voor elke 7-10 regels nieuwe of gewijzigde code wordt 1 fout geïntroduceerd. Zelfs als 99% van die fouten wordt geëlimineerd voordat de software wordt gelanceerd, resulteert dit in 1 tot 1,5 fouten in elke 1.000 regels nieuwe en gewijzigde code. Meer dan 90% van de kwetsbaarheid van software wordt veroorzaakt door programmeringsfouten. De defecten die ontsnappen aan het testen, worden geëxploiteerd door hackers om cyberaanvallen te lanceren. Elke ervaren programmeur weet dat softwarefouten onvermijdelijk zijn. Zij zijn een natuurlijk onderdeel van het evolutionaire proces dat de meeste toepassingen doorlopen [Beckett/Putnam 2010]. De meeste veiligheidslekken zijn het gevolg van fouten die onbewust geïntroduceerd zijn tijdens het ontwerp en de ontwikkeling van software. Foutenreductie is een voorwaarde voor veilige software ontwikkeling [Noopur 2005]. De software die gebruikt werd voor de eerste maanlanding in 1969 bevatte ongeveer 7.500 regels code. De gemiddelde mobiele telefoon bevatte in 2005 al 2 miljoen regel software code. In 2008 was dit al gestegen tot 5 miljoen en voor de Android tot 11 miljoen. Volgens General Motors bevatten haar autos nu al zon 100 miljoen coderegels. |
Ten eerste weten we niet precies wat een veiligheidsrisico is. Er zijn diverse instrumenten waarmee fouten in de programmeringscode kunnen worden opgespoord (bug-tracker), maar er zijn nog geen betrouwbare geautomatiseerde procedures om software op fouten te testen. Slechts een aantal bekende standaardfouten kan automatisch worden opgespoord. Er zullen altijd achterdeurtjes zijn en een hacker zal altijd een weg naar binnen weten te vinden. Ten tweede worden er regelmatig nieuwe aanvalsvarianten gevonden waarvan het risico (d.w.z. de kans op het optreden van een succesvolle aanval en de schade als gevolg daarvan) niet was voorzien.
Er is nog een derde probleem: de behoefte aan nieuwe applicaties en functionaliteiten in de markt is wezenlijk groter dan de behoefte aan veiligheid. Er worden meer nieuwe programmas ontwikkeld dan er ooit getest kunnen worden. De paradox is: hoewel er meer geïnvesteerd wordt in IT-beveiliging, daalt de veiligheid elk jaar verder [Gaycken 2012:42]. Er worden elke dag veel meer onveilige producten, toepassingen, apps en (verbeteringen van) besturingssystemen op de markt geworpen dan er slechts in aanzet gecontroleerd kunnen worden. De software industrie wordt nog in sterke mate bepaald door de cultuur van: Deliver now, fix later [Seshagiri 2011].
Veiligheidsrisicos en beheersingsproblemen vloeien in belangrijke mate voort uit de toenemende complexiteit van de software [McGraw 2006]. Bij veel van de huidige softwaresystemen zijn er zoveel potentiële interacties tussen de componenten dat zij niet goed meer kunnen worden gepland, begrepen en beheerst. Complexe systemen zijn altijd modulair opgebouwd omdat er geen andere manier is om de complexiteit te hanteren dan deze op te splitsen in gemakkelijk te behandelen stukjes. Dit brengt echter ook beveiligingsrisicos met zich mee omdat de beveiliging vaak faalt waar twee modules interacteren.
Sommige systemen zijn zo complex dat zij het begrip van bijna alle experts te boven gaan. Zelfs de weinige experts die ze wel begrijpen, hebben onvolledige informatie over het potentiële gedrag van de software. Hoe groter de complexiteit van de software hoe moeilijker het is om deze te actualiseren (upgraden), te onderhouden en verder te ontwikkelen zonder dat ze instabiel wordt en zonder verlies van functionaliteit.
![]() |
---|
We bouwen dus systemen die ons vermogen tot intellectuele beheersing te boven gaan. De toegenomen interactieve complexiteit maakt het voor ontwerpers moeilijk rekening te houden met alle potentiële systeemtoestanden. Voor beheerders wordt het steeds lastiger om alle abnormale situaties en verstoringen veilig en effectief te behandelen [Leveson 2004].
Een hacker hoeft in zon complex programma slechts één losse draad te vinden om de veiligheid van het hele systeem te compromitteren. In de vele miljoenen coderegels hoeft er maar één teken gewijzigd te worden om de betekenis van een hele coderegel te veranderen, waardoor er op een andere plaats een deur wordt geopend die juist tot elke prijs gesloten zou moeten blijven [Gaycken 2012:48].
We werken met een technologie waarvan we tot in de kleinste uithoeken van de samenleving afhankelijk zijn, maar die fundamenteel onzeker en onbeheersbaar is. Naast dit louter technische probleem zijn er nog twee andere bronnen van onveiligheid: de productie en het gebruik van ICT.
De productie van hard- en software verloopt anders dan in een gewone wapenindustrie. De mensen die in de ontwikkelingsplatforms werken, worden niet gescreend. Een programmeur werkt nu eens hier dan weer daar, zonder dat iemand weet of deze programmeur heimelijk voor een concurrent, een geheime dienst of misdaadsyndicaat werkt. Ook de gebouwen waarin de software wordt ontwikkeld zijn meestal slecht beveiligd. Voor slimme aanvallers is het tamelijk eenvoudig om in de softwareproductie in te breken. Ze kunnen op elke plaats iemand binnensluizen die de meest uiteenlopende clandestiene acties kan uitvoeren. Een infiltrant kan veiligheidsgaten inbouwen waardoor men een directe en exclusieve toegang krijgt tot de werking van de software. Voor nationale staten is dat buitengewoon aantrekkelijk: spionage en manipulatie worden kinderspel. De kosten van een infiltrant zijn gering: 50 tot 100.000 dollar. Dat is een koopje als je voor deze som een achterdeur in een besturingssysteem dat over de hele wereld verspreid wordt kunt inbouwen.
![]() Bij de productie van software kunnen Trojaanse paarden worden geïnstalleerd die op een later tijdstip geactiveerd worden om cyberaanvallen te lanceren of te vergemakkelijken. |
---|
![]() |
---|
In een rapport van militaire commissie van de Amerikaanse Senaat, Inquiry into counterfeit electronic parts in the Department of Defense supply chain [21.5.2012], werd onthuld dat grote aantallen vervalste elektronische onderdelen hun weg hebben weten te vinden naar kritische defensiesystemen. Deze vervalste elektronische onderdelen waren overwegend (70%) van Chinese makelij.
Het internet en de toenemende complexiteit van elektronische circuits hebben het veel eenvoudiger gemaakt om «kill switches» en achterdeurtjes in te bouwen waarmee apparaten waarin kunnen worden ontregeld of uitschakeld. Een chip kan twee miljard transistors (elektronische schakelingen) bevatten. Dit biedt voldoende ruimte om een paar schakelingen in te bouwen die clandestien opereren. Chips kunnen zo worden ontworpen dat zij op een bepaalde datum zichzelf vernietigen. Een component die er onschuldig uit ziet of zelfs een heel klein beetje soldeer kan een verborgen antenne zijn. Wanneer een chip een radiosignaal ontvangt van een mobieltje, een vliegtuig of een satelliet kan het apparaat zichzelf opblazen, uitschakelen of anders gaan werken.
De «kill switches» en achterdeurtjes werken net als landmijnen. Ze worden door heimelijk verborgen in elektronische apparatuur totdat zij in een confrontatie worden geactiveerd. Deze landmijnen zijn bijzonder destructief omdat zij worden ingebouwd in geavanceerde wapensystemen en in de vitale infrastructuur van een land.
Een simpel maar effectief voorbeeld stamt uit de Eerste Golfoorlog in 1991. Het leger van Irak gebruikte in Noord-Amerika gefabriceerde kleurenkopieermachines om haar strijdplannen uit te werken. Dat hadden zij beter niet kunnen doen. In het elektronisch circuit van deze kopieermachines waren zenders verborgen die hun locatie verraadden. Hierdoor waren Amerikaanse gevechtsvliegtuigen in staat om meer precieze bombardementen en raketaanvallen lanceren. Turning assets into liabilities, wordt dat genoemd maak van een lust een last [The Economist, 7.4.11].
Er zijn diverse mogelijkheden om computersystemen te manipuleren. Vaak is het al voldoende om een USB-stick een keer kort in een computer te stoppen. De malware nestelt zich in de computer en besmet vervolgens het hele netwerk. De geïnfecteerde computers kunnen in een botnet worden geplaatst: een netwerk van duizenden of zelfs miljoenen computers die door een cybercrimineel worden gecontroleerd en die zeer uiteenlopende kwaadaardige praktijken kan faciliteren: het versturen van spam, het faciliteren van phishing-aanvallen en online fraude, het initiëren van denial-of-service-aanvallen en het anonimiseren van de crimineel. Door het installeren van keyloggers kunnen alle wachtwoorden en creditcardnummers worden achterhaald die op een computer worden ingevoerd.
De veiligheidsrisicos van de software waarmee gewerkt wordt zijn dus enorm. Die risicos zijn al ingebakken in het ontwerp en de programmering van de software technologie, en ze nemen alleen maar toe bij de productie en het gebruik van ICT. Hoe grotere en complexer een systeem is, des te eenvoudiger is het voor een cybercrimineel om een zwakte te identificeren en uit te buiten.
|
Een andere grote zwakte is het netwerkontwerp. Veel netwerken zijn te plat. In platte netwerken kan vanuit elk station van het netwerk alle andere stations worden bereikt zonder tussenkomst van bewaakte bruggen of interne brandgangen. Sterk geseggregeerde netwerken zijn minder flexibel en het beheer is minder kostbaar. Maar in platte netwerken kunnen cybercriminelen makkelijk rondsnuffelen op zoek naar systemen waarin waardevolle, vertrouwelijke of geheime informatie is opgeslagen.
SNMP-lek: komt u maar binnen
SNMP is een hulpmiddel om netwerken mee te beheren. Je kunt er op afstand de status van een apparaat, inclusief foutmeldingen en instellingen mee aflezen en wijzigen. Het SNMP protocol is gebaseerd op het Internet Protocol (IP). |
Gemakzuchtige van fabrikanten waaronder CISCOverkopen routers en modems waarop het SNMP-systeem standaard staat ingeschakeld. De meeste gebruikers hebben dat protocol niet nodig, maar schakelen het niet uit. Degenen die daar wel gebruik van maken, zouden het protocol moeten configureren om het te beveiligen, maar doen dat meestal niet. Daarom is het voor hackers zeer eenvoudig om in deze systemen in te breken.
Het beveiligingsbedrijf ITSX ontdekte het lek en scande ruim de helft van de 48 miljoen IP-adressen in Nederland. Bij 13.656 adressen waren alle instellingen en wachtwoorden uit te lezen. Bij 2.294 adressen konden de systemen volledig worden overgenomen of gecyboteerd. Daartoe behoorden ook enkele banken, supermarktketens, grote internetproviders en overheidsinstellingen.
Het rapport van het ITSX laat zien dat het slecht gesteld is met de beveiliging van infrastructuurcomponenten in Nederland.
Onder deze systemen bevinden zich gevoelige componenten als routers, firewalls en servers, voornamelijk van midden- en kleinbedrijf maar ook van enkele grote bedrijven en overheidsgerelateerde organisaties. In het scenario dat deze componenten door een kwaadaardige aanvaller tegelijk en op afstand worden uitgeschakeld of overgenomen, kan dit leiden tot significante schade, zowel voor de individuele organisatie als wellicht ook de maatschappij.
Daarnaast kan toegang tot deze componenten worden misbruikt voor complexere aanvallen zoals het afluisteren van internetverkeer. Het verkrijgen van ongeautoriseerde toegang tot SNMP (via het internet) vormt hiermee een reële bedreiging voor bedrijven en organisaties in Nederland [ITSX, 1.11.2012].
|
De discussie over de IP-scan wijst erop dat er nog steeds geen duidelijke criteria zijn om te beslissen wat een cyberdelict is en wat niet. Tot 1998 rekende het Amerikaanse Ministerie van Defensie elke poging om een telnet-verbinding (vergelijkbaar met kloppen op een gesloten deur) te leggen als een elektronische aanval [Niall McKay, in: Wired, 10.16.98. |
![]() |
---|
De beveiliging van computersystemen lijkt sterk op de bescherming van de bevolking tegen besmettelijke en dodelijke virussen. Het immuunsysteem van levende organismen vertoont veel eigenschappen van op internet aangesloten computersystemen. Om te overleven moeten zij in staat zijn om een onderscheid te maken fysieke of digitale codes die goed en die gevaarlijk zijn.
Er bestaat dus een extreem grote asymmetrie tussen verdediging en aanval: de aanval is verschrikkelijk makkelijk, de verdediging zo goed als onmogelijk. De grootste bedreiging is dat er zoveel bedreigingen zijn. Het lijkt wel of de pest is uitgebroken in cyberica. Bijna elk jaar verdubbelt het aantal virussen. In de databank van McAfee waren in 2012 al 100 miljoen unieke exemplaren malware opgeslagen [McAfee 2012]. Eind 2013 waren het er al 200 miljoen en in het tweede kwartaal van 2015 al meer dan 250 miljoen. De helft daarvan behoorde tot de dierentuin van de mobiele malware [McAfee, 2013; McAfee, 2014].
|
Er is imiddels meer malware dan legitieme software op de legale en illegale markten.
Er zijn zes basistypen van malware: virussen, wormen, Trojaanse paarden, ransomware, rootkits en botnets.
Bijna alle virussen zijn gehecht aan een uitvoerbaar bestand; de computer wordt pas besmet als dat geïnfecteerde bestand wordt geopend. Er zijn ook virussen die zichzelf automatisch installeren nadat iemand een geïnfecteerde website heeft bezocht.
Tegenwoordig zijn virussen tamelijk zeldzaam omdat cybercriminelen proberen meer controle te hebben over de verspreiding van hun malware. Bovendien worden nieuwe exemplaren snel opgenomen in anti-virusprogrammas.
![]() Metamorfische virussen zijn virussen die telkens een andere vorm aannemen bij elke nieuwe infectie [Aycock 2010]. |
Wormen kunnen zich volautomatisch verspreiden door een e-mail te genereren met een kopie van zichzelf als bijlage middels het mailprogramma van de besmette gebruiker. De ontvanger denkt dan een legitieme e-mail te krijgen omdat de afzender van de mail een bekend persoon is. Hij zal dan snel geneigd zijn de bijlage te openen, zodat zijn eigen computer ook geïnfecteerd wordt. |
Wormen kunnen meer specifiek worden getypeerd door het soort netwerk dat zij gebruiken om zichzelf te verspreiden:
Via deze functie krijgt een aanvaller toegang tot en controle over de geïnfecteerde computer. Een Trojaans paard opent dus een achterdeur op de computer en biedt daardoor op afstand stiekem toegang voor een aanvaller (Backdoor Trojan). Via Trojaanse paarden wordt de vertrouwelijkheid, integriteit of beschikbaarheid van de computer gecompromitteerd, of worden de bronnen van het apparaat gebruikt voor criminele doeleinden. Gecompromitteerde apparaten worden meestal misbruikt voor het versturen van spam of voor het uitvoeren van denial-of-service aanvallen op specifieke websites, datanetwerken of mobiele telefoonnetten. Een Trojaans Paard moet door de gebruiker zelf worden gekopieerd, maar ze kopiëren zichzelf niet naar andere computers.
De Trojanen waren ervan overtuigd dat de muur rondom de stad hen onoverwinnelijk maakte. Op zekere dag werden zij verrast met een ontzaglijk groot houten paard dat triomfantelijk voor de muren van de stad stond. De Trojanen dachten dat ze gezegend waren door de goden en haalden het paard de stad binnen, nietsvermoedend over de ware inhoud van dit gigantische houtwerk. De Grieken, waaronder de held van deze oorlog Achilles, hielden zich muisstil en wachtten tot diep in de nacht om het houten paard te verlaten om de stad binnen haar eigen muren aan te vallen. Met deze veldslag wonnen de Grieken na tien jaar alsnog de oorlog. Het Paard van Troje werd een metafoor voor het binnenhalen van een gewenste zaak waarin ongewenste lading is verborgen. Wie zon geschenk accepteert bewerkstelligt argeloos zijn eigen ondergang. Een bekend voorbeeld uit de Nederlandse geschiedenis is het Turfschip van Breda. |
Trojaanse paarden kunnen meer specifiek worden getypeerd door het soort acties die zij heimelijk uitvoeren:
Als het programma eenmaal is geïnstalleerd begint het de harde schijf van de computer van het slachtoffer te encrypteren of de toegang tot het systeem te blokkeren. Er verschijnt een pop-up bericht waarin losgeld wordt gevraagd om de bestanden de decrypteren of het systeem te herstellen.
|
In de bijzondere variant van policeware lijkt het bericht afkomstig te zijn van politiediensten of justitiële instellingen en wordt gezegd dat er kinderporno of ander illegaal materiaal op jouw computer is aangetroffen waarvoor je een boete moet betalen [voorbeeld]. Om de echtheid van deze mededeling te vergroten wordt daarbij in het blokkadescherm soms een foto van het slachtoffer getoond die gemaakt is met de eigen webcam.
Middels een rootkit is het mogelijk om lopende processen, systeemdata of bestanden te lezen, wijzigen of beïnvloeden. Cybercriminelen verwerven hierdoor een continue geprivilegieerde toegang tot de gekaapte computer (Administrator access). Een rootkit voorziet de cybercrimineel via een achterdeur van volledige toegang. Hij kan documenten stelen of vervalsen, toetsaanslagen registeren, andere software installeren en lanceren, de microfoon of camera aanzetten enz.
Omdat de rootkit zo diep in het besturingssysteem verankerd is, laat het zich bijna niet verwijderen zonder de functie van het besturingssysteem te beschadigen.
Een crimineel botnet is ontworpen om een gastcomputer (host) te infecteren en terug te koppelen naar een centrale server die fungeert als een (command & control centrale voor een netwerk van gecompromitteerde apparaten. De gekaapte computers kunnen op afstand worden bediend om criminele operaties uit te voeren, zoals het versturen van spam, het stelen van bedrijfs- of staatsgeheimen, het verzamelen van creditcardgegevens en wachtwoorden, het uitvoeren van verstikkingsaanvallen (DDoS) en het verspreiden van malware.
[Uitwerken - zie voorstellen van Opstelten-->Politieel hackrecht] |
Nederland speelt een belangrijke rol in het verspreiden van malware en aansturen van besmette computers die onderdeel zijn van een botnet. Van alle malware die er gemaakt wordt, komt 17% uit Nederland. In 2011 was dit nog maar 11%. Nederland staat op de derde plek in de Top 10 van landen die malware verspreiden (na de Verenigde Staten en Rusland) en op plaats vijf in de Top 10 van landen met Command & Control-servers [Websense, 2013] en op plaats 3 in de Top 3 bottnetlanden [McAfeee, 23.1.13]. In 2011 werd geschat dat tussen de 450.000 en 900.000 Nederlandse computers onderdeel van een botnet zijn. Dit betekent dat 5% tot 10% van alle Nederlandse breedbandabonnees besmet is. Volgens de onderzoekers van de TU Delft is het werkelijke aantal besmette machines waarschijnlijk veel groter dan hun schatting laat zien.
Nederland staat in 2013 op de tiende plaats van landen die voor de meeste cybercrime verantwoordelijk zijn. Met bijna evenveel cybercrime hubs als in Duitsland, Frankrijk en Italië samen [Global Security Map].
Van belletje trekken naar grootschalige blokkade-acties
Een Denial-of-Service aanval is een digitale vorm van belletje trekken waardoor een computersysteem niet meer in staat is om te functioneren. Het computersysteem wordt door hackers overladen met aanvragen die niet verwerkt kunnen worden waardoor het systeem onbeschikbaar wordt voor reguliere gebruikers.
Een Denial-of-Service aanval (DoS) maakt een website, internetdienst of server onbruikbaar voor reguliere gebruikers. Het verschil tussen een gewone DoS-aanval en een Distributed DoS-aanval (DDoS) is dat bij de laatste de aanval wordt uitgevoerd door meerdere computers tegelijkertijd. Dat kunnen computers zijn van meerdere personen die hun acties onderling coördineren (zoals cyberactivisten vaak doen), maar heel vaak wordt hiervoor gebruik gemaakt van een botnet van gekaapte computers.
Het is uitermate lastig om een DDoS-aanval te voorkomen (een preventieve aanpak zou de inzet van een enorme overcapaciteit vereisten). Systeembeheerders kunnen eigenlijk alleen maar defensief reageren door het verkeer te beperken op het moment dat servers worden overbelast [Computerworld, 10.4.13]. Een botnet kan alleen maar onschadelijk worden gemaakt als men toegang weet te krijgen tot de command & control servers die het botnet aansturen.
Op dit moment is het volume van het verkeer dat in DDoS-aanvallen wordt gebruikt ongeveer 400 gigabits per seconde. Maar dit volume neemt snel toe. Experts verwachten een toename tot 4 terrabits (1Tb = 1012 bits = 1000 Gb). De huidige beveiligingsoplossingen kunnen dit niet aan [Europol 2014: 86].
Telefoonboek van het internet
Om het effect van een DDoS-aanval te versterken richten cyberaanvallers hun pijlen steeds meer op het Domain Name System. Het Domain Name System is het systeem dat op het internet wordt gebruikt om namen van computers naar numerieke adressen (IP-adressen) te vertalen en omgekeerd. Het DNS zet het webadres dat je intypt in je browser (zoals www.uva.nl) om in wat daadwerkelijk door het internet gebruikt wordt: IP-adressen (zoals 145.18.10.172). Een IP adres is een adres waarmee een netwerkkaart (NIC = Network Interface Card of Controller) van een gastheer (host) op het internet eenduidig geadresseerd kan worden binnen het TCP/IP-protocol. Elke op het internet of netwerk aangesloten computer heeft een IP-nummer waarmee deze zichtbaar is voor alle andere computers op het internet. Ze zijn te vergelijken met telefoonnummers.
DNS is dus het telefoonboek voor het internet. Als iemand in staat zou zijn om de toegang tot het telefoonboek te blokkeren, dan zou het internet daadwerkelijk niet meer kunnen functioneren.
Het Domain Name System heeft een boomstructuur. Het begint met 13 servers op het topniveau en elk daarvan communiceert met het volgende lagere niveau, die het dan doorgeeft aan een nog lager niveau, enzovoort. Wanneer er op het topniveau iets wordt veranderd, wordt dit automatisch doorgegeven aan het hele netwerk. Daarom brengt de lokale kopie van het telefoonboek je altijd precies naar de juiste plaats.
Het hele internet kan worden platgelegd als iemand het functioneren van alle dertien DNS-topniveau servers zou kunnen verhinderen. Als deze servers niet meer kunnen communiceren met de lagere echalons van het systeem, dan kunnen ook de lagere takken van de boom niet meer functioneren.
De 13 topniveau servers van het DNS zijn gevestigd in verschillende landen, maken gebruik van verschillende technologieën en zijn zwaar beveiligd. De zwakte van het DNS is tweeledig. Ten eerste genereert een DNS-verzoek meer informatie dan het verzoek zelf. Ten tweede is het relatief eenvoudig om het adres waarvanuit het verzoek wordt verstuurd te falsifiëren.
Hackers kunnen gebruik maken van deze twee kwetsbaarheden. Zij kunnen een heel leger van zombiecomputers (bots) afsturen op het IP-adres van het doelwit. Middels een botnet worden enorme hoeveelheden verzoeken aan het DNS gericht die daarop antwoord door een nog veel grotere hoeveelheid data door te sturen naar het doelwit (een klein DNS query kan een veel langere reactie opleveren). Maar hierdoor wordt niet alleen het specifieke doelwit uitgeschakeld. Als er meerdere omvangrijke botnets worden gebruikt om meerdere doelwitten aan te vallen, dan overspoelt het DNS zelf het netwerk dat zij zou moeten dienen [Woodward 2009].
Deze infrastructurele kwetsbaarheid van het internet is al langer bekend is. Maar een groot deel van de DNS-servers is nog steeds niet op de juiste wijze geconfigureerd om een dergelijke DNS-amplificatie aanval te voorkomen.
Er zijn nieuwe technologieën ontwikkeld die de DNS veiliger kunnen maken. Het meest bekende is DNSSEC (Domain Name System Security Extension) dat ontworpen is om aanvallen zoals DNS-spoofing te voorkomen. Maar zolang deze nieuwe systemen niet op brede schaal worden gebruikt, zijn ze weinig hulpzaam. Uit een onderzoek uit 2012 bleek dat 40% van de federale instellingen in de VS nog geen gebruik maakten van DNSSEC, ook al is dat het officiële overheidsbeleid. Technet, 23.4.13].
Naar aanleiding van DDoS-aanvallen op Spamhaus concludeerde de ENISA, de organisatie voor netwerk- en informatiebeveiliging in Europa, dat de internetproviders falen om grootschalige DDoS-aanvallen via DNS amplificatie te voorkomen [ENISA, 12.4.13]. Er zijn minstens drie maatregelen die op korte termijn genomen zouden kunnen worden.
De bron van DNS-amplicifatie aanvallen is soms nauwelijks te vinden. Om de bron te achterhalen moeten de logs van de misbruikte DNS-server worden onderzocht. Als deze servers in het buitenland staan, is het lastig om de hand te leggen op die records. Omdat er bij deze aanvallen ook vaak botnets worden gebruikt wordt het spoor nog meer verhuld.
Klassieke en geraffineerde DDoS-aanvallen
De klassieke DDoS-aanval geeft een website of server zoveel onnodig werk te doen dat het reguliere netwerkverkeer niet meer tijdig kan worden afgehandeld.
De meest recente DDoS-aanvallen gaan veel verder dan simpele bandbreedte-aanvallen (traffic flood). Er zijn diverse DDoS-varianten: DNS-amplificatie aanval, SYN-flood aanval en de TCP ACK aanval. Bij al dit soort protocol-aanvallen worden netwerkpakketjes naar een systeem gestuurd, waarbij de verbinding niet tot stand komt. Het aantal halfopen verbindingen onttrekt steeds keer servicekracht aan het systeem. Het systeem wordt vertraagd, functies vallen uit, en tenslotte gaat het systeem zelf plat.
Er wordt een groot aantal verbindingsaanvragen met een fout IP-adres naar een server gestuurd. Bij iedere aanvraag reserveert de server een deel van het geheugen of een socket. Als de server een bericht terugstuurt met de mededeling dat hij klaar is voor de verbinding, wordt dit bericht naar het verkeerde IP-adres gestuurd. De server krijgt daarom geen bericht van ontvangst en blijft wachten op het antwoord. Alle gereserveerde bronnen blijven in gebruik. Als er grote aantallen van dit soort valse aanvragen na elkaar worden verzonden is de server niet meer bereikbaar voor bonafide aanvragen en kan zelfs helemaal plat gaan. |
Een tweede vorm van DDoS is application flooding. Daarbij wordt misbruik gemaakt van kwetsbaarheden van applicaties zoals een web- of mailserver. De cyberceiminelen versturen daarbij zeer grote hoeveelheden http get-verzoeken of zetten massale halve SMTP-aanvagen op touw. Op die manier nemen zij de beschikbare diensten in beslag en kunnen zij deze applicaties uitschakelen.
Voor al deze cybotagetechnieken is een ruim aanbod van kwaadaardige software beschikbaar [Kotler 2011]. Alles dat door software wordt gecontroleerd, kan door malware worden verstoord of vernietigd.
Smartphones en tablets die op Android, het besturingssysteem van Google, draaien zijn bijzonder kwetsbaar voor kwaadaardige software. De applicaties van Android worden niet van te voren gecontroleerd. Dubieuze apps worden door Google pas uit de applicatiewinkel verwijderd nadat er klachten binnenkomen. Het Android platform blijft het grootste doelwit voor zowel mobiele malware als spyware [McAfee, 2012]. Meer dan 98% van de mobiele malware die in 2013 werd ontdekt is gericht op het Android-platform.
Medio 2012 werden Android smartphones geïnfecteerd met de virussen «Loozfon» en «FinFisher». De spyware wordt geïnstalleerd zodra er op een specifieke link wordt geklikt. Slachtoffers worden op verschillende manieren benaderd. In een variant werd betaald thuiswerk aangeboden waarbij men alleen maar e-mails hoefde te versturen. Een link binnen deze advertentie leidde naar een website die was geprepareerd om Loozfon op het mobieltje te zetten. Zodra Loofzon was geïnstalleerd begon het alle contactgegevens die in het mobieltje zijn opgeslagen te stelen.
FinFisher (of FinSpy) is nog veel gevaarlijker. Na installatie kan de smartphone op afstand worden bestuurd en gevolgd, waar de gebruiker zich ook bevindt. Op 15 october 2012 waarschuwde de Amerikaanse FBI de Android-gebruikers voor deze spyware [IC3, 12.10.12].
Mobiele apparaten smartphones en tablets zijn notoir onveilig. Slechts vier procent van die apparaten is voorzien van beveiligingssoftware. Alle mobiele apparaten kunnen worden geïnfecteerd met schadelijke software [Wired, 25.10.12].
Trojaanse paarden zijn erg populair voor Android-apparaten omdat iedereen een app kan plaatsen op de Android-markt. Ze zijn erg effectief omdat zij geen technische kwetsbaarheden nodig hebben om zichzelf te installeren. Trojaanse paarden zitten verpakt in spelletjes en andere applicaties die we zelf op onze mobieltjes en tablets plaatsen. Mobiele malware verspreidt zich veel sneller dan traditionele malware omdat de doelwitten altijd aan een netwerk zijn verbonden. De meeste mobiele malware is ontworpen om geld te stelen van gebruikers. De sterke groei van het zakelijk gebruik van tablets en smartphone heeft voor nog meer mobiele malware en nieuwe veiligheidsrisicos voor bedrijven gezorgd.
In 2014 werd het spelletje Tic Tac Toe (Boter Kaas en Eieren) op de mobiele Adroid markt gelanceerd. Kasparsky Lab ontdekte dat de code voor het spelletje minder dan 30% van de bestandsomvang uitmaakt. De rest is functionaliteit voor het bespioneren van de gebruiker en het stelen van persoonsgegevens. Het ingebouwde Trojaanse paard verzamelt informatie over het apparaat en stuurt alle gegevens naar de commando-server van de crimineel [Securelist, 10.10.14]. Het gratis aangeboden open source raamwerk AFE (Android Framework for Exploitation) is een modulair programma dat cybercriminelen kunnen gebruiken om malware voor het Android-platform te maken die past bij hun doelstelling. Deze worden vervolgens anoniem op de onbetrouwbare Adroid markt geplaatst. AFE bevat alle modules die een cybercrimineel zich maar kan wensen: ontsluiten van logboek van gepleegde telefoontjes, contactinformatie, inhoud van mailbox, versturen van SMS-jes, overzicht van surfgedrag op internet, opnemen van telefoongesprekkken, opvangen van beelden gemaakt met camera van het apparaat, lanceren van root exploits, op afstand bellen van elk betaalnummer vanaf het gekaapte apparaat. De malware-bouwdoos bevat ook sjablonen aangeleverd om de mobiele malware te maskeren als legitieme applicaties, zoals File Explorer, Tic Tac Toe en applicaties met grappen [InfoWorld, 3.8.12; YouTube, 3.5.13; Gupta 2013; Tweakers, 6.8.12]. |
![]() |
---|
Computersystemen en netwerken zijn slechts tot op bepaalde hoogte bestand tegen kwaadaardige aanvallen van buitenaf. Hun weerbaarheid is afhankelijk van de beveiliging. De beveiliging moet ervoor zorgen dat computersystemen weerbaar worden tegen externe verstoringen door kwaadwillende individuen die op illegale wijze proberen in te breken.
Er kan op drie verschillende manieren in computers worden ingebroken.
Via deze drie ingangen kunnen kwaadwillende buitenstaanders clandestien toegang verwerven tot de informatiebronnen en communicatieprocessen. De weerbaarheid van computersystemen en netwerken is een samenstel van fysieke beveiliging, personele beveiliging, ict-beveiliging en informatie- & communicatiebeveiliging.
Er is een groot repertoire aan digitale aanvalstechnieken en methodieken. Computersystemen en netwerken moeten niet alleen worden beveiligd tegen relatief eenvoudige aanvallen, zoals e-mail bombardementen, webonthoofdingen en DDoS-aanvallen. Ze moeten ook worden beveiligd tegen meer complexe aanvallen met virussen, wormen en Trojaanse paarden, en tegen geavanceerde spyware waarmee communicatie wordt afgeluisted en informatie wordt gestolen. Bovendien moet in al deze gevallen worden bepaald of het gaat om vandalisme van amateurhackers, computerfraude van kleine criminelen, georganiseerde criminele bendes, terroristische organisaties, buitenlandse inlichtingendiensten of een aanval van militaire strijdkrachten.
Computersystemen en netwerken kunnen op twee manieren worden verdedigd: passief en actief. Bij een passieve verdediging worden speciale barrières opgeworpen die door een aanvaller niet kunnen worden overwonnen. Bij een actieve verdediging wordt elke zich ontwikkelende aanval direct afgeslagen en worden door vernietiging van de criminele aanvalsposities verdere aanvallen onmogelijk gemaakt.
Naast firewalls zijn er hele series van passieve verdedigingsmechanismen op de internetmarkt gebracht: wachtwoordbescherming (toegangscontrole), virusscanners, detectiesystemen, encryptie.
Het blijft een kat-en-muis spel: hardnekkige criminelen proberen zoeken en vinden telkens nieuwe methoden waarmee passieve beschermingsmaatregelen worden ontweken, overwonnen, ondergraven of doorbroken. Alle passieve verdedigingsmechanismen hebben tegenover cybercriminelen al meerdere keren grondig gefaald. Ze slagen er telkens weer in de beveiligingssystemen te verslaan.
Dit heeft meerdere redenen.
|
Het vervelendste is dat deze variatiemethode geautomatiseerd kan worden: een enkel virus wordt op verschillende plaatsen op grote schaal gevarieerd. Zo ontstaan er vele duizenden gemuteerde virussen die bij het binnendringen van de computer door geen enkele scan worden onderkend. Conventionele virusscanner onderscheppen slechts 70% van de bekende virussen. Toch is deze tamelijk eenvoudige methode al behoorlijk succesvol.
Veel crackers zijn zeer getalenteerd en moeilijk te blokkeren, terwijl de beveiliging van bedrijfs- en overheidsnetwerken ondermaats is. De meerderheid van de bedrijven hebben niet eens door dat hun systemen zijn gecompromitteerd. Zij beseffen pas wat er gebeurd is nadat buitenstaanders hen dat hebben verteld.
Uit al het onderzoek blijkt telkens weer dat cybercriminelen technologisch geavanceerder zijn dan degenen die proberen hen te stoppen. Ondanks alle investeringen in beveiligingstechnologieën vinden cybercriminelen telkens weer manieren om deze beveiligingen te omzeilen om gevoelige informatie te stelen die zij kunnen monetariseren [Washington Times, 28.2.14]. |
Een proactieve verdediging probeert een cyberdelict te blokkeren voordat dit slachtoffers eist. Onderdeel daarvan kan zijn het monitoren van chatrooms en webfora om individuen die seksueel misbruik willen maken van kinderen op te sporen [Penna/Clark/Mohay 2005]. |
Terwijl een firewall alleen maar pakketjes blokkeert of toelaat is een Intrustion Detection System (IDS) in staat een aanval waar te nemen. Een IDS fungeert dus eigenlijk als een alarmsysteem. Maar bij zeer grote hoeveelheden data moet altijd rekening worden gehouden met een normale basisruis omdat er anders te vaak vals alarm gegeven wordt [Anderson 2001:387-388; Mattord 2008:290–301]. Voor een cybercrimineel is dit meestal voldoende om zijn aanvallen door de sensoren te krijgen.
Bovendien wordt de malware niet in een keer naar binnen gesluisd, maar in onderdelen die dan op een specifieke plaats in elkaar worden gezet en vervolgens voor kwaadaardige acties kunnen worden ingezet. De sensoren van het beveiligingsysteem definiëren elke afzonderlijke component van de malware als onschadelijk/ongevaarlijk. Als alle onderdelen van de malware op de bestemde plek zijn aangekomen, kan het daar zichzelf samenstellen en beginnen met het criminele werk.
De meest geavanceerde criminele malware begint haar werk in een toestand van infinite sleep Vanuit deze slaaptoestand worden eerst een paar controles uitgevoerd voordat de malware zichzelf lanceert. Er wordt vooral gecontroleerd of de lokale harde schijf geen virtuele machine is die als honeypot is opgezet om malware te vangen. Als blijkt dat het valstrik is dan blijft de malware inactief. Soms is de code van de malware in staat om zichzelf te zodanig te modificeren dat het wel in staat is om de beveiligingsmechanismen te misleiden.
Een intrustie preventiesysteem (IPS) is in staat een aanval te detecteren en vervolgens actie te ondernemen, door bijvoorbeeld al het verkeer van de aanvaller te blokkeren en het overige verkeer door te laten. Een nadeel van IDS/IPS-systemen is dat er vaak te veel false positives zijn. Daarbij wordt ten onrechte alarm geslagen voor iets dat als een aanval of malware wordt aangezien. Dit kan bijvoorbeeld een e-mail zijn die is tegengehouden omdat het beveiligingssysteem het als een spam mail identificeert, terwijl het een legitieme e-mail was. Voor een effectieve proactieve verdediging is het dus van belang om de IDS/IPS-systemen goed te programmeren zodat het aantal valse alarms zo laag mogelijk te houden. Er zijn diverse manieren waarop een intrusie detectie- of preventiesysteem (IDS/IPS) kan worden misleid. De aanval zelf kan zodanig worden gemanipuleerd dat het verschillende informatie geeft aan het IDS/IPS-systeem van het aangevallen computernetwerk. Het is onmogelijk om alle intrusies en anomalieën te identificeren [Singh 2010].
De bescherming van computersystemen tegen kwaadaardige intrusies werkt op vergelijkbare manier. Beveiligingssoftware probeert alle vreemde en gevaarlijke elementen en processen te identificeren: elke niet geautoriseerde gebruiker, vreemde code in de vorm van een computervirus of worm, niet geanticipeerde code in de vorm van een Trojaans paard of gecorrumpeerde data. Vervolgens moeten deze oneigenlijke en gevaarlijke elementen en processen gericht worden bestreden. De analogie tussen computerbeveiliging en biologische processen werd al in 1984 onderkend, toen Leonard Adleman de term computervirus introduceerde.
|
Conventionele beveiligingsmethoden concentreren zich op bepaalde kritische toegangspunten: alleen de in- en uitgangen naar het internet worden beveiligd, maar niet het hele systeem. Creatieve en bronrijke criminelen zullen weliswaar ook het internet gebruiken als zij daardoor interessante doelstellingen kunnen bereiken, maar als dat niet het geval is zoeken zij naar andere wegen: een infiltrant (een persoon die van binnenuit werkt) of een achterdeurmen die in het computernetwerk van de organisatie is ingebouwd. Op die manier wordt dan op elegante wijze voorbijgegaan aan de firewall en alle andere beveiligingsmaatregelen.
Een preventieve oorlog is een daad van agressie (volgens artikel 2, sectie 4 van het Handvest van de Verenigde Naties breekt zij de vrede omdat ze de soevereiniteit van een staat aantast). Een preëmptieve aanval is een vorm van legitieme zelfverdediging. Volgens het internationale recht moet zon zelfverdediging voldoen aan een aantal strikte voorwaarden, zoals het beginsel van proportionaliteit (evenredigheid) en van distinctie (onderscheid tussen militaire en civiele doelwitten) [OConnel 2012]. |
Preëmptieve aanvallen zijn vaak niet effectief omdat ze de aanvalscapaciteiten van de tegenstander niet kunnen te treffen. Een competente cyberstrateeg zorgt ervoor dat zijn aanvalscapaciteiten geïsoleerd van het internet blijven totdat ze feitelijk hun aanval beginnen. Aanvallende cybercapaciteiten kunnen gemakkelijk worden verborgen, gedistribueerd worden opgeslagen en volledig buiten het bereik van de tegenstander worden gehouden. In het gunstigste geval kunnen ze worden gelokaliseerd door personele infiltratie (spionnen en mollen).
Een preëmptieve aanval is per definitie een vijandige handeling. Daarom zullen de bevoegde autoriteiten zon aanval alleen maar goedkeuren wanneer ze een redelijke garantie hebben dat de effecten van de aanval beperkt kunnen blijven tot het vijandige netwerk. Maar dit veronderstelt (i) dat de offensieve vijandige krachten en/of hun ondersteuningsstructuren gelokaliseerd kunnen worden en (ii) dat zij gedegradeerd of vernietigd kunnen worden voordat ze effectief gebruikt kunnen worden.
Het netwerk dat de bron van een aanval lijkt te zijn zou in werkelijkheid wel eens slechts een tussenschakel kunnen zijn die door de aanvaller wordt gebruikt om de ware oorsprong te verhullen. De aanvaller kan zijn cyberactie ondernemen vanuit een neutraal of zelfs vriendelijk netwerk dat hij al gecompromitteerd heeft. Competente hackers beschikken over een uitgebreid instrumentarium waarmee zij bewijzen van hun activiteiten (digitale sporen) kunnen wissen (zoals utclean.c en tlnthide.c).
|
Een tegenaanval in cyberspace bestaat uit vijf stadia: (i) een effectieve detectie van vijandige acties waarbij een onderscheid gemaakt wordt tussen gradaties van intrusies: van triviale sondes tot aan substantiële aanvallen; (ii) het identificeren van de bron van inkomende sondes, malware, exploits etc.: weten wie de vijand is en waar deze zich bevindt; (iii) het bepalen van vijandige intenties; (iv) het ontwerpen en in werking zetten van directe en indirecte tegenmaatregelen die proportioneel zijn aan de intensiteit van de aanval; en (v) de evaluatie van de effectiviteit van de tegenaanval.
De bron en kenmerken van een vijandige cyberaanval worden meestal pas duidelijk op het moment dat deze feitelijk wordt uitgevoerd. Net als bij preëmptieve aanvallen moet ook hier de bron van de aanval worden gelokaliseerd en gescand op kwetsbaarheden. Al deze taken moeten zijn voltooid voordat de aanvaller zijn aanval beëindigd heeft en zijn netwerk en cyberwapens van het internet heeft verwijderd.
Een tegenaanval vereist in de eerste plaats dat de originele aanval snel kan worden teruggevoerd tot de bron. We zullen nog zien hoe lastig dit is. Er zijn geen internationale overeenkomsten die het mogelijk maken om cyberaanvallers in andere landen op te sporen. Maar zelfs als de bron van een vijandige aanval betrouwbaar is gelokaliseerd, is de tijd die beschikbaar is voor een tegenaanval ongemeen kort. De aanvaller weet precies hoeveel tijd hij nodig heeft voor zijn aanval en verdwijnt daarna zo spoedig mogelijk van het cybertoneel.
Tegenaanvallen bieden geen voordelen op lange termijn. Ze elimineren de directe dreiging, maar lossen het onderliggende probleem van onveilige computernetwerken en gebrekkige beveiliging niet op. Zodra de kwetsbare systemen worden schoongeveegd van kwaadaardige software, kunnen zij direct daarna weer worden geïnfecteerd.
|
De criminelen denken succesvol te zijn, terwijl ze in feite worden geneutraliseerd. Cybercriminele aanvallen moeten dan wel snel en adequaat worden ontdekt om ze tijdig te kunnen omleiden naar nepnetwerken. Het is een soort digitaal judo waarbij gebruik gemaakt wordt van het momentum van de aanval om deze af te slaan [Holdawy 2001].
De eenvoudigste manier is om een exploiteerbare kwetsbaarheid (trap door) op te zetten die de crimineel naar het virtuele nepnetwerk leidt. Zon nepnetwerk wordt opgebouwd achter een niet-verdedigde poort of een user account waarvan het wachtwoord gekraakt kan worden met een wachtwoordkraker. Het nepnetwerk geeft valse informatie waardoor de crimineel gaat geloven dat hij succesvol is [Spitzner 2002; Pouget/Dacier/Debar 2003].
Er zijn diverse technieken waarmee criminelen kunnen worden misleid en waarmee hun automatische instrumenten onschadelijk worden gemaakt. Een verkenner (spider) kan bijvoorbeeld worden gevangen in een teerput door het maken van neplinks die nergens toe leiden. De server controleert welke informatie een crimineel ontvangt: die informatie hoeft niet waarheidsgetrouw of onschuldig te zijn. Met dergelijke tegenmaatregelen loopt de crimineel het risico al getraceerd te worden voordat er een aanval kan worden gelanceerd. Een honeypot is een loknetwerk of lokcomputer waarin bewust kwetsbaarheden zijn ingebouwd om inbraken in het systeem te observeren. Het doel van een honeypot is dus om aanvallen te detecteren en daarvan te leren om de beveiliging te verbeteren. De zwakke beveiliging zorgt ervoor dat de honeypot een aantrekkelijk doel wordt voor criminelen. Omdat het lokaas voorzien is van uitgebreide logging, kunnen IP-adressen, hacktechnieken en werkstijlen van de cybercriminelen worden achterhaald. Een netwerkbeheerder krijgt hierdoor first hand informatie over actuele bedreigingen van zijn netwerk [Spitzner 2002]. Een honeypot kan gebruikt worden om de gegevens van de cybercrimineel zelf te achterhalen (zoals IP-adres) en op te sporen. De gegevens die door een honeypot zijn verzameld kunnen als bewijs dienen. Een honeypot is de digitale variant van een lokauto die door de politie is geprepareerd en schijnbaar onbewaakt wordt neergezet op een plek waar autodieven vaak hun slag slaan. Als de lokauto wordt gestolen kunnen de observerende agenten van afstand de deuren en ramen vergrendelen en de motor uitschakelen. Zo worden autodieven op heterdaad betrapt.
Een aantal beheerders van botnets hebben een interface ontwikkeld die lijkt op de admin console van het botnet. Normaliter geeft deze admin console informatie over de frequentie van de aanvallen, het aantal infecties en kan er nieuw malware mee in het botnet worden geladen. Om digitale rechercheurs meer kans te geven om in de nepinterface te komen wordt deze bewust kwetsbaar gemaakt voor bijvoorbeeld een simpele SQL-injectie. Het inlogsysteem van het admin panel vraagt er bijna om gehackt te worden. Het accepteert standaard wachtwoorden en wachtwoorden die gemakkelijk geraden kunnen worden. Digitale rechercheurs die deze gefingeerde admin console onderzoeken om meer te weten te komen over het botnet en de beheerders, krijgen nepinformatie en worden zo zelf om de tuin geleid [Darkreading, 3.11.10; Webwereld, 8.11.10]. De verwachting is dat dergelijke anti-forensische praktijken door cybercriminelen steeds meer gebruikt zullen worden om hun opsporing te bemoeilijken en rivalen van zich af te schudden. Cybercriminelen stellen alles in het werk om hun botnets te beschermen. Zij gebruiken monitoring scripts die kunnen detecteren of zij door rechercheurs in de gaten worden gehouden. Wanneer dit het geval is wordt het hele botnet automatisch geïnstrueerd om ze met DDos-aanvallen te overspoelen. Hierdoor wordt de analyse van kwaadaardige botnets voorkomen en politiële opsporing geblokkeerd. |
Voor het identificeren van kinderpornografen en pedofielen wordt meestal gebruik gemaakt van twee soorten misleidingsmethodieken. De eerste is het opzetten van websites die kinderpornografisch materiaal lijken te bevatten, maar die zijn ontworpen om makers en verzamelaars van kinderporno te identificeren. De tweede methodiek is het surveilleren op chatrooms waarbij politieagenten zich uitgeven voor kinderen om personen te identificeren die proberen offline kinderen te ontmoeten.
Sommige pedofielen behoren tot de beste hackers ter wereld. Zij zijn in staat om de harddisk van iemand online te controleren om te achterhalen of iemand waarmee zij spreken werkelijke degeen is die hij zegt te zijn. Als een rechercheur zich online voordoet als een 9-jarig meisje, dan moet hij ervoor zorgen dat alles wat op de harddisk staat daarmee correspondeert (bijv. bepaalde soorten muziekbestanden, e-mails van en naar vrienden en vriendinnen over problemen op school en thuis).
Eventueel: automatisering noodzakelijk want undercover online kost zeer veel tijd. Dit bijv. in de vorm van automatische discours analyse: cognitieve modeltechnieken voor het detecteren van pedofiele verhalen; en beeldtechnieken om kinderporno op te sporen. Automatische beeldanalyse wordt lastig als er gebruik gemaakt wordt van steganografie (waarmee het bestaan van het beeld verborgen wordt in een willekeurig ander beeld) .
Wanneer men als verdediger zelf sterk bewapend is, moet een aanvaller rekening houden met aanzienlijke verliezen. Als het te verwachten tegenoffensief van een verdediger voldoende groot is, dan is het voor een aanvaller niet meer rendabel om aan te vallen. Een verdediger kan dus met offensieve tegenmaatregelen het gedrag van aanvallers sturen en zich op die manier actief tegen aanvallen beschermen.
Maar hoe doe je dat in het digitale domein? Afschrikken doe je met internationale rechtsafspraken en met forensisch onderzoek naar digitale sporen. Op die manier wordt de aanvaller identificeerbaar gemaakt en kan gerichte vergelding plaats vinden.
In cyberspace kunnen vaardige cybewcriminelen dus nooit met voldoende zekerheid worden geïdentificeerd. Afschrikking is alleen maar effectief wanneer een directe vergelding mogelijk is. Vergelding met een second strike veronderstelt echter dat men precies weet wie er verantwoordelijk is voor de first strike. Wanneer het onmogelijk is om de cybercrimineel te identificeren, ondergraaft dit de afschrikkende werking van een superieure aanvalscapaciteiten. Op dit attributieprobleem zullen we nog regelmatig terugkomen.
We hebben gezien wat de mogelijkheden en beperkingen zijn van zowel actieve als passieve beveiligingsmaatregelen en verdedigingsstrategieën. Elk afzonderlijk zijn deze maatregelen en strategieën niet effectief tegenover professionele en hooggeorganiseerde aanvallen van een militaire cybereenheid. Maar als actieve en passieve verdedigingsmaatregelen synergetisch samenwerken kunnen zij elkaar versterken.
![]() |
---|
Wat doen cybercriminelen?
Voor oplichters, fraudeurs, bedriegers en dieven is internet en mobiele communicatie een walhalla. Er zijn veel kwetsbare websites en nog veel meer onbeschermde mobieltjes waarop een enorme hoeveelheid onbeschermde gegevens te vinden is. Cybercriminelen proberen zichzelf met behulp van internet en mobiele communicatie te verrijken en verdedigen zich daarmee ook tegen justitiële en politiële vervolging.
In het digitale domein zijn er meerdere actoren die inbreken in computersystemen en -netwerken: individuele hobbyistische hackers, bedrijfsspionnen, syndicaten van criminele hackers (crackers), internationaal conspirerende terroristen en natie-staten. De leiders in het cybercriminele circuit zijn goed georganiseerde beroepscriminelen die over zeer omvangrijke hulpbronnen beschikken.
Kennis van hacking technieken en vaardigheden om deze toe te passen behoren tot de basiskwalificatie van elke cybermilitair. Daartoe behoren in ieder geval:
De sleutel voor de opbouw van zon criminele bende is niet het rekruteren van amateurhackers of digitale vandalen, maar het inhuren van professionele hackers.
Hackers die dergelijke fouten ontdekken, durven dat vaak niet te melden omdat zij de kans lopen zelf in de beklaagdenbank te belanden. De hackers wijzen erop dat er momenteel een klimaat heerst waarin de boodschapper wordt gestraft. Sommige instellingen beschouwen het testen van systeemveiligheid en de (ontbrekende) bescherming van persoonsgegevens als iets dat strafbaar is of zou moeten zijn. Maar steeds meer parlementsleden zijn er inmiddels van overtuigd dat hackers dezelfde bescherming verdienen als klokkenluiders (mensen die ongeautoriseerd geclassificeerde informatie lekken). |
Voor een succesvolle cybercrime moet men een nauwkeurig beeld (footprinting) hebben van de doelwitten die moeten worden bestolen. Daarom maken cybercriminelen gebruik van spyware om heimelijk informatie in te winnen over hun potentiële slachtoffers.
De doelen van cybercriminele operaties zijn meestal niet eenvoudig of enkelvoudig. Er wordt gewerkt met samengestelde doelen die niet met één stap of in één keer gerealiseerd kunnen worden. Cybercriminele operaties bestaan vaak uit een complexe hoeveelheid stappen die in een bepaalde volgorde en volgens een bepaald tijdsschema moeten worden gepland en georganiseerd.
Dit vereist een strategische manier van denken om zon cybercrime te realiseren. Leiders van cybercriminele bendes moeten in staat zijn om op behendige wijze minstens vijf activiteiten te combineren:
Dit zijn geen activiteiten die men aan technisch specialisten of programmeurs kan overlaten, omdat ze een strategisch-tactische of militaire wijze van denken vereisen, waarin strategie, tactiek en operationele actie systematisch met elkaar verbonden worden. Om ingewikkelde en uiteenlopende wapensystemen op de juiste wijze in te zetten en te combineren zijn goed geschoolde militairen nodig. Militairen die vertrouwd zijn met de praktijk van strategische, tactische en operationele valkuilen en dilemmas. Militairen die niet alleen rekening houden met alle eigenaardigheden van het cybermilitaire front, maar ook met de conflictueueze afstemming op politiek gedefinieerde opties, straf- en staatsrechtelijke condities en volkenrechtelijke beperkingen. Net als bij alle andere militaire strijddomeinen zijn de risicos op het cyberdomein zeer groot. Ook bij cybermilitaire operaties gaat het uiteindelijk altijd om mensenlevens. Bij confrontaties in cyberspace is het nog veel lastiger om bij de eigen operaties een duidelijk onderscheid te maken tussen militaire doelen en burgerdoelen, en tussen combattanten en non-combattanten.
Ten eerste is er meestal geen duidelijk identificeerbare actor die als mogelijke vijand kan worden aangemerkt. Cyberaanvallers kunnen buitenlandse overheidsinstellingen zijn (veiligheidsdiensten, strijdkrachten), maar ook verveelde teenagers die zich vermaken met joyriding op het internet, hackers die op eigen gezag testen hoe sterk de beveiliging van ICT-systemen is, criminelen die op zoek zijn naar buit, terroristen die met een spectaculaire cyberaanslag paniek willen zaaien, ondernemers die proberen bedrijfsgeheimen van hun concurrenten te stelen, of ontevreden insiders die hun gram willen halen bij de organisatie waar zij zojuist ontslagen zijn. Ten tweede is het moeilijk om betrouwbare informatie te krijgen over de vijandige intenties van de (mogelijke) aanvaller. Wat beoogt een aanvaller? Wordt er een heel land aangevallen of wordt alleen de robuustheid van computersystemen en netwerken getest? Wordt er aangevallen om economisch voordeel te behalen, of slechts om geld te roven? Is het een eenmalige actie, of is de aanval het begin van een omvangrijke cybercampagne? Ten derde is het lastig om vast te stellen of de mogelijke vijand beschikt over de capaciteiten om een grootsschalige cyberaanval te plegen op een hele natie. Over hoeveel manschappen, tanks en raketten een vijand beschikt, laat zich nog relatief eenvoudig tellen. Cyberwapens zijn veel lastiger te identificeren en te kwantificeren. We weten wel dat alle natiestaten beschikken over hoogwaardige informatie- en communicatietechnologieën en dat de instrumenten voor cyberaanvallen gemakkelijk verkregen en verborgen kunnen worden. De logica van cybercriminaliteit brengt dus veel meer onzekerheden met zich mee dan bij conventionele misdaad. Het maken van een goed risico-analyse is daarom ook veel lastiger. |
![]() |
---|
Plus ça change, plus cest la même chose. |
Niet hackers, maar nalatige werknemers zijn verantwoordelijk voor de meeste datalekken bij bedrijven. Dit was de conclusie van een onderzoek van het Ponemon Istitute (febr. 2013) onder meer dan 3.500 ict-ers in acht landen.
|
De geautomatiseerde digitale spionagetechnieken zijn steeds verfijnder, krachtiger en effectiever. Maar heel vaak kan vertrouwelijke of geheime informatie alleen worden verkregen door criminelen die de kunst van de misleiding verstaan. Zij moeten een speciale rol spelen, geloofwaardigheid opbouwen en gebruik maken van vertrouwensrelaties en van wederzijdse verplichtingen [Mitnick/Simon 2005:232; Erlanger 2011]. Ze moeten op een manipulatieve en misleidende manier gebruik maken van vertrouwen. Zij moeten de kunst van de misleiding (Kevin Mitnick) beheersen.
Social engineering is de kunst om mensen iets te laten doen wat jij wilt, zonder dat ze het zelf door hebben. Het doel is om vertrouwelijke of geheime informatie van mensen los te krijgen waardoor de cybercrimineel dichter bij zijn doelwit kan komen. Er wordt dus geen directe aanval op de techniek zelf (de computers, software en netwerken) uitgevoerd. Het is een indirecte methode waarbij via het één (de te misleiden persoon) iets anders bereikt (toegang tot een computersysteem of netwerk). De cybercriminelen gaan niet direct af op de kwetsbaarheden van de firewall, maar op de menselijke kwetsbaarheden van individuen.
![]() Het doel daarbij is altijd de heimelijke en/of illegale vergaring van informatie. Social engineering is een efficiënte methode van bedrijfsspionage zonder dat men daarvoor technische hulpmiddelen nodig heeft. De aanvaller oefent geen dwang uit op het slachtoffer en het slachtoffer heeft de illusie van volledige controle en vrijwilligheid. Een van de eenvoudigste trucs van een cybercrimineel is impersonatie: het zich voor iemand anders uitgeven dan wie men is. Met die gespeelde rol bouwt de crimineel vertrouwen op met het doelwit. Als het personage goed is geconstrueerd toegespitst op ambities, gevoeligheden, ijdelheden, zwakheden etc. van het doelwit dan is het meestal niet moeilijk om vertrouwen te winnen. Via virtuele sociale netwerken kunnen vertrouwensrelaties worden gecreëerd en gemanipuleerd. @@@ UITWERKEN |
Het is een eenvoudige en effectieve techniek. De aanvaller doet zich voor als systeembeheerder, een bekende collega, een gezaghebbende leidinggevende of een goede klant. Uit onderzoek blijkt dat zeer veel personeelsleden hun wachtwoord geven aan iemand die zich voordoet als een medewerker van de it-afdeling. Via de aangenomen vertrouwenwekkende rol van insider probeert de aanvaller informatie te verkrijgen van zijn slachtoffer die op een andere manier niet of met aanzienlijk meer inspanning of hogere kosten te krijgen is.
Bij slachtoffers wordt eerst vertrouwen gewonnen (geloofwaardigheid), nieuwsgierigheid geprikkeld, medelijden opgewekt. Zij worden geïntimideerd of bang gemaakt (angst inboezemen). Vervolgens wordt om een bepaalde handeling te verrichten of informatie af te staan die eigenlijk niet gegeven mag worden. Door een behendige en op de persoon toegespitste combinatie van verleiding, misleiding en intimidatie krijgt het slachtoffer het gevoel dat hij geen anders keuze heeft dan te doen wat er gevraagd wordt. Zelfs werknemers met een hoog beveiligingsbewustzijn worden slachtoffer van dergelijke aanvallen, ook al worden zij van te voren gewaarschuwd voor specifieke bedreigingen.
|
Potentiële slachtoffers worden met een lokmail verleid om op een authentiek ogende site vertrouwelijke gegevens zoals wachtwoorden, pincodes en creditcardnummers op te geven. Een vertrouwenwekkend, prikkelend of bangmakend lokmailtje moedigt gebruikers aan om iets te doen waardoor ongemerkt een remote access tool (RAT) op hun computer wordt geïnstalleerd. Daarmee kan de aanvaller de besmette computer controleren en voor eigen doeleinden gebruiken, zoals het versturen van spam of het stelen van geheime informatie.
In lokmails worden worden ontvangers aangemoedigd om op een hyperlink te klikken of een bijlage te openen. Bij de doelwitten wordt onbewust gedrag gestimuleerd waardoor zij doen wat de hacker wil. Dit gebeurt bijvoorbeeld met lokmails waarin staat: Wij danken u voor uw bestelling. Wij zullen hiervoor 300 euro van uw rekening afschrijven. Ga voor meer informatie naar onze website. Het idee dat er geld van je rekening wordt afgeschreven terwijl je weet dat je niets hebt besteld, stimuleert een emotionele reactie om direct op de hyperlink te klikken. Eind 2011 slipte een dergelijke mail door de firewall van het ministerie van Defensie [Broos/Vogelaar/Van Fennema 2012:230].
Bestuursrechtelijk kan dumpster diving of skipping door de (lokale) overheid verboden worden. In veel Nederlandse gemeenten is dit het geval (zie bijvoorbeeld de Afvalstoffenverordening van de gemeente Haarlemmermeer van 2006 art. 36.1). Tenzij men over een speciale vergunning (Morgenstervergunning) beschikt. Zon bepaling is opgenomen in de model-APV van de Vereniging van Nederlandse Gemeenten (VNG). |
![]() Cybercrimineel ligt als een leeuw te wachten bij de drinkplaats tot de volgende slachtoffers arriveren. |
---|
Bij een drinkplaats-aanval wordt een populaire website gecompromitteerd die door een groep potentiële slachtoffers uit zichzelf al wordt bezocht. Juist omdat deze website door de leden van de doelgroep wordt vertrouwd, is deze aanvalsstrategie zo efficiënt. Ze is zeer geschikt voor groepen die resistent zijn voor verschillende vormen van hengelen. Hengelen met lokmails wordt steeds meer vervangen door een drinkplaatsaanval [Net-Security, 26.9.12 en 24.1.13; Krebsonline, 12.9.12; Networkworld, 9.10.12; Security Affairs, 31.12.12; Malwageddon, 14.10.13].
Soms is bij drinkplaatsaanvallen de geïnstalleerde malware op de webpagina beschikbaar als een verzameling bytes die via XOR zijn verspleuteld. Wanneer de exploitatie succesvol is, dan wordt er naar een speciale marker in het geheugen gezocht. Zodra deze marker wordt gevonden, wordt de lijst met bytes ontsleuteld en blijft er een binair bestand over. Deze malware wordt vervolgens op het systeem uitgevoerd [Websense, 12.3.13; Security.nl, 13.3.13; ThreatPost, 11.11.13].
Titel XXV: Bedrog - Art. 326c: Listiglijk gebruik maken van telecommunicatiedienst
Hij die, met het oogmerk daarvoor niet volledig te betalen, door een technische ingreep of met behulp van valse signalen, gebruik maakt van een dienst die via telecommunicatie aan het publiek wordt aangeboden, wordt gestraft met gevangenisstraf van ten hoogste vier jaren of geldboete van de vijfde categorie [Wetboek van Strafrecht].
![]() Hengelen is het zoeken naar willekeurige slachtoffers. |
---|
Bij hengelpraktijken worden vaak bekende merken (Apple, PayPal, Amazon, e-Bay) geïmiteerd om de ontvangers van de lokmail te verleiden om een actie te ondernemen.
Om de Apple account gegevens te verifiëren moet er op een link worden geklikt. Als je op die link klikt wordt je doorgestuurd naar een internetadres waarvan de url niet begint met Apple.com. Op die manier proberen cybercriminelen persoonsgegevens waaronder creditcardgegevens van argeloze Apple-klanten te stelen.
Het slachtoffer ontvangt op de mobiele telefoon een SMS/MMS of een ingesproken bericht met de mededeling dat er iets met zijn/haar bankrekening aan de hand is. Om dit probleem te op te lossen wordt het slachtoffer gevraagd een telefoonnummer te bellen of in te loggen op een website. Vervolgens wordt gevraagd om wat informatie te geven om de identiteit te controleren: bankrekeningnummer, PIN, creditcard nummer etc. Gewapend met deze informatie kunnen de cybercriminelen de bankrekening van hun slachtoffers leeg halen of aankopen doen met hun creditcards. Soms wordt ook de mobiele telefoon van het slachtoffer besmet met kwaadaardige software die de criminelen volledige toegang tot de telefoon biedt. Door de toename van mobiel bankieren en online financiële transacties worden smishing en vishing steeds attractiever en lucratiever voor cybercriminelen. De cybercriminelen maken gebruik van een automatisch belsysteem om mensen in een bepaalde regio of postcodegebied berichten te sturen. Soms gebruiken zij gestolen telefoonnummers van klanten van banken of kredietinstellingen.
Bij geavanceerde hengelpraktijken wordt na opening van de bijlage of bezoek van de criminele website een proces in werking gezet dat door beveiligingssoftware nauwelijks geblokkeerd kan worden. De malware voert eerst een paar controles uit voordat het zichzelf lanceert. De malware begint in een status van infinite sleep. Op dit manier wordt gecontroleerd of de lokale schijf een virtuele machine is. Dit kan er op wijzen dat het in een zandbak, teerput of honeypot is beland. Als dit het geval is, zal de malware inactief blijven. Bovendien is de code in staat om zichzelf modificeren. De malware ontcijfert haar eigen code in real time en overschrijft instructies om statische analyse door beveiligingssoftware af te weren. Als al deze en andere controles zijn uitgevoerd, wordt de malware wakker en pakt zichzelf uit via meerdere lagen van encryptie en compressie. Zodra de kwaadaardige code begint te draaien infecteert het zichzelf diep in een van de besturingsbestanden. Vervolgens wordt er automatisch nog andere malware gedownload [McAfee 2014:10]. |
Speervissen (Spearphishing) is een doelgerichte, gepersonaliseerde vorm van hengelen. De aanval richt zich op een klein aantal zorgvuldig geselecteerde lucratieve doelwitten (high value targets). Het zijn doelwitten die worden uitgekozen (targets of choice) omdat ze over informatie of andere bronnen beschikken waarin de cybercriminelen zijn geïnteresseerd. Meestal zijn dit mensen die goed geïnformeerd zijn over de architectuur van het informatiesysteem. Door wat te grasduinen in LinkedIn en Facebook is vaak al snel te achterhalen wie er bij een bepaalde bedrijfsafdeling werkt waar de gewenste informatie zich bevindt [Webwereld, 5.8.12].
Voor criminelen is het veel gemakkelijker om informatie te vergaren over hun doelwitten: waar werken zij, wat zijn hun interesses en hobbies, wat zijn hun vrienden, welke mensen, organisaties of websites vertrouwen zij? Via digitale media en vooral de sociale digitale media, kan deze informatie zeer snel en zonder dat het doelwit het merkt, worden verzameld.
In 2014 testte McAfee het vermogen van zakelijke gebruikers om hengelpraktijken te herkennen. Daaruit bleek dat 80% van alle 16.000 proefpersonen faalde voor de test in tenminste een van de zeven lokmails. Bovendien bleek dat de afdelingen waarin de meest gevoelige bedrijfsgegevens circuleren accounting, financiën en Human Resources het slechts presteerden [McAffee 2014:13].
Speervissers gebruiken op maat gesneden lokmails om de ontvanger te verleiden om gevoelige informatie zoals wachtwoorden te ontfutselen of om te klikken op een bijlage of op een nep-url die hen naar websites brengt die door de aanvallers zijn ingericht (de drinkplaats waar de code-injectie plaats vindt). Slechts één verkeerde klik is nodig om een virus, worm of Trojaans paard te downloaden of andere malware waardoor achterdeurtjes worden geopend die door indringers worden gebruikt om verder in het doelnetwerk binnen te dringen en gevoelige informatie te stelen. Aanvallen van speervissers kunnen maanden duren zonder dat de doelwitten enig idee hebben wat er aan de hand is. Als de aanval uiteindelijk toch worden ontdekt, dan is het erg moeilijk om vast te stellen wat de omvang is van de schade.
Het is gebruikelijk dat zakenmensen die beurzen bezoeken relatiegeschenken krijgen aangeboden. Vaak zijn dat usb-sticks. Cyberspionnen maken van deze gewoonte gebruik om besmette usb-sticks uit te delen waarmee zij toegang te krijgen tot bedrijfsgeheimen. In een uitgelekt rapport van de Britse geheime dienst MI5 wordt geschetst hoe Chinese inlichtingendiensten door het uitdelen van usb-sticks of digitale cameras Trojaanse paarden verspreiden die hen toegang gaven tot de computer van de gebruiker [Sunday Times, 31.1.10; Trouw, 31.1.10]. |
Doelgerichte aanvallen zijn moeilijk om af te slaan en kunnen grote schade aanrichten. Het volume van de speervisaanval is klein omdat deze gericht is op specifieke personen of een relatief beperkte groep. Speervissers maken meestal over een langere periode gebruik van dezelfde malware om de beoogde informatie binnen te krijgen. Daarom zijn speervisaanvallen weliswaar duurder, maar ze zijn ook lucratiever.
Het hengelen naar waardevolle digitale bronnen heeft zich in de loop der jaren steeds verder ontwikkeld en geprofessionaliseerd. De evolutie van deze vorm van cybercriminaliteit staat nog in haar kinderschoenen. Er zijn inmiddels wel technologische middelen beschikbaar om speervissen te bestrijden [Contos 2011]. Maar zelfs de beste technologie faalt als ze niet wordt aangevuld door best practices van beveiliging.
|
De meest voor de hand liggende maatregelen voor beveiliging tegen speervissen en andere vormen van persoonsgerichte cybercriminaliteit liggen op het vlak van opleiding, beleid en reactieplan.
|
Via bijlagen van e-mails, besmette advertenties of een drive-by-download wordt eerst de computer van het slachtoffer geïnfecteerd met ransomware. De ransomware blokkeert vervolgens de toegang tot je eigen computer of encrypteert alle bestanden die daar op staan. Om de computer en haar bestanden te bevrijden moet het slachtoffer losgeld betalen. Volgens Symantec maakt ongeveer 3% van de slachtoffers geld over in de hoop dat zij de controle over hun computer terugkrijgen en hun bestanden ontsleuteld worden. De kans is echter veel groter dat cybercriminelen de prijs verhogen dan dat ze je de sleutel sturen.
Het afpersen van personen en instellingen middels ransomware was in 2012 de snelst groeiende methodiek van cybercriminaliteit. Vooral lagere overheden en het midden- en kleinbedrijf zijn een aantrekkelijk doelwitten voor cybercriminele afpersers.
De afpersers maken vaak gebruik van e-mails met CryptoLocker, een programma dat elk bestand op de computer encrypteert zodra de e-mail wordt geopend. Zelfs eventuele back-up bestanden worden versleuteld als je opslagapparaat voor deze bestanden met je computer verbonden was toen CryptoLocker toesloeg. Alle bestanden in een gedeelde netwerkschijf ondergaan hetzelfde lot. Het is een DOR-aanval: Denial of Resources.
Als de bestanden zijn geëncrypteerd krijgt het slachtoffer een popup te zien met het bericht:
Vervolgens wordt $300 geëist (of een vergelijkbaar bedrag in een andere valuta) voor de private key en wordt gewaarschuwd dat any attempt to remove or damage this software will lead to the immediate destruction of the private key by the server.
CryptoLocker maakt gebruik van asymmetrische encryptie die werkt met twee sleutels: de public key versleutelt de data met de private key kan deze worden ontcijferd. De malware zet de publieke sleutel op de computer van het slachtoffer, maar de private sleutel wordt opgeslagen op de commandoserver van de cybercriminelen.
Voor opsporingsdiensten is het lastig om greep te krijgen op de commando en controle server. Er valt nog wel te achterhalen vanaf welke server de publieke sleutel werd geladen. Maar deze C&C-server is meestal slechts een van de tussenschakels van een hele serie gekaapte computers die als proxyserver fungeren. Bovendien wordt de C&C-server zelf permanent verschoven naar een ander land.
De zwakte van het Trojaanse paard dat de dokter had gecreëerd was dat de bestandnamen met symmetric cryptografie waren versleuteld. Toen experts de kwaadaardige code konden analyseren kon de encryptie eenvoudig ongedaan worden gemaakt en werd ook duidelijk wie de ransomware had gemaakt. Omdat dr. Popp geestelijk ziek werd verklaard hoefde hij zijn misdaad niet voor de rechter te verantwoorden. Maar hij beloofde de winst van zijn criminele onderneming te doneren aan onderzoek naar AIDS. Bij asymmetrische encryptie is reverse-engineering praktisch onmogelijk. In 1996 lieten de twee onderzoekers Adam Young en Moti Yung voor het eerst zien hoe asymmetrische encryptie gebruikt kon worden in ransomware [Young/Yung 1996; TechRepublic, 11..1.10].
Het slachtoffer smst een keyword naar een verkort nummer (bijvoorbeeld 3669). Vervolgens ontvangt hij een SMS-bericht terug van de cybercrimineel. Voor het ontvangen van dat SMS-bericht betaalt hij een bepaald bedrag dat in rekening wordt gebracht via zijn telefoonrekening. Ideaal voor marketingcampagnes, prijsvragen en collectes voor goede doelen maar ook voor cybercriminelen. Door de opkomst van de smartphones werden premium SMS-berichten een gangbare manier van monetariseren van mobiele malware . De mobiele malware neemt de controle van de besmette smartphone over en het beveelt om een bericht te sturen naar een premium sms-nummer, waardoor de daders of hun geldezels betaald worden via de mobiele provider van het slachtoffer. Sinds de opkomst van virtueel geld zoals de bitcoin, eisen cyberdaders van hun slachtoffers dat zij in bitcoins betalen. Zij moeten bij een online wisselkantoor bitcoins inkopen en overdragen aan de criminelen die dus in dit geval direct geld ontvangen, maar toch anoniem blijven. |
Een minder bekend door Wikileaks aan het licht gebracht voorbeeld van datagijzeling is de afpersing van de Amerikaanse staat Virginia op 30 april 2009. Daar verschafte een hacker zich toegang tot een medische databank (VirginiaPrescription Monitoring Program) en stal daar bijna 8,3 miljoen patiëntendossiers en meer dan 35,5 miljoen voorschriften van medicijnen. De staat Virginia ontving een brief waarin losgeld werd gevraagd. Daarin zei de afperser dat hij in het bezit was van de medische gegevens:
De afperser dreigde dat hij de gegevens op aan de hoogste bieder de vrije markt zou verkopen als hij het losgeld niet zou krijgen. Het is niet helemaal duidelijk of de staat Virginia losgeld heeft betaald. Van de dader(s) ontbreekt nog elk spoor [Washington Post, 4.5.09; Fox News, 7.5.09; CBS, 15.6.10].
Dit voorval is niet uniek. In meerdere gevallen werd losgeld gevraagd om de gegevens vrij te geven, en in veel gevallen waren eigen werknemers of onderaannemers bij de gijzeling betrokken [PHIprivacy, 25.9.12]. De medische sector is er nog niet in geslaagd om adequate beveiligingsmaatregelen te nemen om inbraken op patiëntendossiers en andere vertrouwelijke medische informatie te voorkomen of tijdig te detecteren vooral niet als het inbraken van binnenuit betreft.
Politievirus Police ransomware
In 2011 werd een nieuwe variant van cyberafpersing gedetecteerd: «police ransomware». Het is kwaadaardige software die internetgebruikers bedriegt door betaling te vragen voor nepboetes. Wie daarmee besmet raakt krijg een pop-up scherm te zien dat van politie, justitie of een meestal niet bestaande Afdeling Cybercriminaliteit lijkt te komen [zie voorbeeld]. Vaak wordt daarbij een waarschuwing gegeven dat er kinderporno of ander illegaal materiaal op de pc is gevonden.
Om weer toegang te krijgen tot de vergrendelde bestanden op de geïnfecteerde computer moeten de slachtoffers een boete betalen. Uiteraard wordt ook na betaling van de boete de computer niet ontgrendeld tot dat de machine is gedesïnfecteerd [Europol, 7.5.12; Malware dont need Coffee, 18.2.13; Security.nl, 11.2.13; Security.nl, 18.2.13].
Idiotenbelasting
De crackersgroep Rex Mundi gespecialiseerde zich in het afpersen van personen en instellingen. Zij stelen gevoelige informatie en dreigen deze online te plaatsen als de slachtoffers niet bereid zijn om een «idiotenbelasting» te betalen.
Rex Mundi is geen gewone groep van criminele hackers. Zijn claimen ethische hackers te zijn die alleen maar doelwitten selecteren die het verdienen om bestolen te worden. De groep verwijt haar slachtoffers dat zij sjoemelen met de beveiliging van hun klantgegevens of dat zij zelf hun klanten bestelen. Dat neemt niet weg dat het winstoogmerk domineert: were in it for the money, which is also pretty awesome.
Rex Mundi perste diverse bedrijven af: AmeriCash Advance (klantgegevens van credietnemers), het Nederlandse uitzendbureau Accord, de Belgische kredietverstrekker Elantis, het Belgische uitzendbureau AGO-Interim (database bevat allerlei denigrerende teksten over sollicitanten), het Canadese uitzendbureau Drake International, de Franse kredietverstrekker Credipret en de financieringsinstelling Buy Way.
In juni 2014 maakte Rex Mundi zich meester van 650.000 klantgegevens van Dominos Pizza. Zij eisten een losgeld van €30.000 en dreigden bij niet-betaling de gegevens openbaar te maken. Om de claim kracht bi te zetten, plaatsten zij gegevens van zes klanten online. Met naam, adres, telefoonnummer, e-mailadres en wachtwoord. De afpersers beweerden dat ze de databank met klantgegevens kraakten om aan te tonen dat de websites van Dominos Pizza kwetsbaar zijn [Tweakers, 13.6.14].
In aansluiting bij de Europese richtlijn wordt in het wetsvoorstel van de Minister van Veiligheid en Justititie de celstraf voor normale computerdelicten verhoogd tot maximaal 2 jaar. Voor computerdelicten die in georganiseerd verband worden gepleegd of die ernstige schade veroorzaken of gericht zijn tegen vitale infrastructuren wordt de maximum celstraf verhoogd tot 5 jaar [Memorie van Toelichting, 7.2.14]. Volgens het geldende strafrecht vallen onder cybercrime in ieder geval:
Grensoverschrijdende online opsporingen of de plaatsing van spyware door opsporingsautoriteiten is nadrukkelijk niet geregeled. Voor bewijsvergaring door opsporingsinstantie op het grondgebied tussen EU lidstaten onderling is dus nog steeds rechtshulp of toestemming van een staat vereist.
Vindersloon-regeling voor het vinden van dergelijke gaten in beveiliging? |
![]() |
---|
@@@@. |
Crimineel inlichtingenwerk is tegenwoordig een vorm spionage op afstand. Dat is relatief eenvoudig en goedkoop uit te voeren, terwijl het risico van ontdekking klein is en de potentiële opbrengst bijzonder groot kan zijn.
![]() Cybercriminelen hebben grote digitale oren. |
---|
De slimste manier om in een beveiligd systeem in te breken is het compromitteren van elementen die het meeste vertrouwen genieten. Vroeger was dat de lievelingsconcubine van de koning, tegenwoordig is dat de exploitatie van beveiligingssoftware [Gaycken 2012:9].
De hoogste kunst is om in te breken in de bedrijven die de beveiligingssoftware voor digitale processen fabriceren. De meest aangewezen plek om dit te doen is bij bedrijven die certificaten uitgeven die dienen ter identificatie van websites en beveiliging van webverkeer. De protocollen die transacties en commmunicaties op internet beveiligen zijn SSL (Secure Sockets Layer) en TLS (Transport Layer Security).
SSL en TLS zijn technologieën voor het maken van een geëncrypteerde verbinding tussen een webserver en een internetbrowser. Zon verbinding moet ervoor zorgen dat alle data die tussen een webserver en browser worden verstuurd geheim blijven voor buitenstaanders en niet gestolen kunnen worden. SSL- of TLS-certificaten worden gebruikt voor het beveiligen van online transacties en voor de encryptie van creditcardgegevens of persoonlijke informatie. Deze certificaten zijn versleuteld met asymmetrische cryptografie; de communicatie tussen gebruiker en server wordt versleuteld met symmetrische cryptografie. |
De server wordt door middel van een certificaat geauthentiseerd zodat de gebruiker er zeker van kan zijn dat de gevonden server (bijvoorbeeld van een bank) ook daadwerkelijk de server is die hij zegt te zijn. SSL- en TLS-protocollen worden gebruikt om client/server-applicaties te beveiligen tegen afluisteren. Maar ook hier is de veiligheid van deze protocollen slechts zo sterk als haar zwakste schakel. De inbraken op de SSL-beveiliging toonden aan dat er heel wat zwakke schakels zijn waarvan er een aantal misbruikt kunnen worden voor criminele doeleinden.
De meest superieure vorm van cyberspionage is het inbreken bij producenten van vertrouwensmechanismen. Dat was precies wat er in 2011 in Nederland gebeurde: er werd ingebroken op DigiNotar, de belangrijkste leverancier van beveiligingscertificaten. Het toonde aan dat er intussen meer tactisch denkende aanvallers opereren in het digitale strijdperk.
DigiNotar was een commerciële certificaatautoriteit. Het DigiNotar SSL certificaat werd door de Nederlandse overheid gebruikt voor al hun veilige online transacties. DigiNotar verzorgde de PKIoverheid-certificaten voor grote delen van de Nederlandse overheid, waaronder die van DigiD. De certificaten werden niet alleen gebruikt voor alle online belastingteruggaven, maar ook voor de website van de AIVD.
|
Een van de directe gevolgen van deze inbraak was dat DigiNotar op 29 juli 2011 een certificaat voor het domein google.com uitgaf aan onbekende personen in Iran. Wekenlang probeerde DigiNotar deze valse uitgifte te verzwijgen. Zelfs na publicatie over de diefstal hield het bedrijf bij hoog en bij laag vol dat haar systemen niet gecompromitteerd waren. Maar uiteindelijk moest zij toegeven dat haar certificaten niet meer veilig waren. In het forensisch onderzoek van het beveiligingbedrijf Fox-IT werden de fouten in de procedures en systemen van DigiNotar aan het licht gebracht. Diginotar maakte gebruik van verouderde software, haar wachtwoorden waren gemakkelijk te kraken en er werd geen gebruik gemaakt van antivirusprogrammatuur.
Op 2 september zegde de Nederlandse overheid haar vertrouwen in DigiNotar volledig op [Cert.nl: Factsheet]. Tijdens een opmerkelijke persconferentie zaterdagmorgen om 1:15 uur kondigde minister Donner van Binnenlandse Zaken aan dat de Nederlandse regering alle vertrouwen in digitale certificaten van DigiNotar had verloren. Op 13 september trok de OPTA de registratie van DigiNotar als leverancier van gekwalificeerde elektronische handtekeningen (certificaten) in. Op 20 september 2011 werd DigiNotar failliet verklaard [Nu.nl:20.9.2011].
Door de hack bij DigiNotar kon de regering gemakkelijk achterhalen welke mensen met welke ideeën rondliepen en waar deze personen zich bevonden. Op die manier proberen de machthebbers in Iran de oppositie de kop in te drukken [Nu.nl:13.10.2011]. |
Toch bleef het ook in dit geval lastig te bepalen wie er voor de aanval op DigiNotar verantwoordelijk was en wat het eigenlijke doel van de hele operatie was. Sommige experts beschouwen de DigiNotar-hack daarom als een cyberoorlogsdaad (worse than Stuxnet).
Op de server van Diginotar werd een script aangetroffen dat bedoeld was om handtekeningen aan te maken voor aangevraagde certificaten. Het script bevat een Engelse tekst waarin de hacker zijn vingerafdruk had geplaatst: Janam Fadaye Rahbar. Dezelfde tekst was gevonden in de Comodo hack [Onderzoeksrapport van Fox-It]. |
Onder de naam Commandohacker plaatste de inbreker op 5 september 2011 een waarschuwing op Pastebin: I strike back again. In een nogal verward betoog legt hij uit dat de Nederlandse overheid moet boeten voor de acties van haar soldaten in Srebrenica, waar tijdens de Bosnische oorlog in 1995 achtduizend moslims werden gedood door Servische strijdkrachten. De hele investering van de Nederlandse overheid in DigiNotar zou door zijn acties voor niets geweest zijn: I thought if I issue certs from Dutch Gov. Certificate Authority, theyll lose a lot of money. Daarbij verwijst hij naar de beursnotering van Vasco, het moederbedrijf van DigiNotar.
In persinterviews presenteerde de hacker zichzelf als een 21-jarige Iraanse student. Op 23 maart 2011 verklaarde Comodo dat hij acht dagen daarvoor nepcertificaten had gestolen voor de log-on sites van Microsofts Hotmail, Googles Gmail, de internet telefoon en chatdienst van Skype en Yahoo Mail. Hij verduisterde ook een certificaat voor Mozillas Firefox add-on site.
|
De CEO van Comodo, Melih Abdulhayoglu, zei dat hij over bewijzen beschikte dat de aanval door een staat werd ondersteund en dat waarschijnlijk de Iraanse regering achter de aanval zat. Alleen de Iraanse regering was in staat om de DNS (domain name system) van het land zo in te richten dat het verkeer naar fake sites werd verstuurd die beveiligd waren door gestolen certificaten. Maar de Comodo hacker spreekt dit tegen. In zijn eerste bericht op Pastebin benadrukt hij zijn alleenrecht op de certificatendiefstal:
De hacker motiveert zijn actie als een vergelding voor de door Stuxnet-aanval die de VS en Israël pleegden op de kerncentrales in Iran.
Comodo wil in Iran niemand wil toelaten die de bevolking, haar nucleaire wetenschappers, zijn leider, zijn president kwaad doet. Zolang hij leeft zal er voor jullie geen privacy op internet bestaan en zullen jullie niet veilig zijn in de digitale wereld. Ill show you how someone in my age can rule the digital world. En met een knipoog: My orders will equal to CIA orders.
In zijn tweede bericht Another proof of Hack from Comodo Hacker [27.3.11] gaf hij een uitvoerig technisch bewijs van zijn inbraak. In een derde bericht Comodo Hacker: Mozilla Cert Released [28.3.11] werd voor some real dumbs nog een bewijs aan toegevoegd. In zijn vierde bericht Just Another proof from Comodo Hacker [28.3.11] en in het vijfde bericht Response to comments from ComodoHacker [29.3.11] reageert hij uitvoerig op alle commentaren.
In de laatste twee berichten vertelt Comodohacker dat hij de laatste zes jaar van zijn leven besteed heeft aan encryptie en cryptoanalyse: most of my daily work focuses on encryption algorithms, differential cryptanalysis, inventing new methods of attacks on encryption algorithms, creating new secure encryption algorithms (symmetric and asymmetric), creating secure hash algorithm. Hij nodigt iedereen uit om contact met hem op te nemen op: ichsun@ymail.com.
Bij cyberaanvallen is meestal niet duidelijk wie daarvoor verantwoordelijk is. Bij DigiNotar lijkt de eerste verantwoordelijkheid voor de diefstal van beveiligingscertificaten duidelijk. De Comodo Hacker alias Ich Sun eiste de verantwoordelijkheid op en kon dit door het tonen van de private key ook bewijzen. Dit sluit betrokkenheid van de Iraanse overheid bij deze cyberoperatie niet uit zij kan hiervan voor eigen repressieve doeleinden hebben geprofiteerd.
![]() Als je mekaar niet meer vertrouwen kan, waar blijf je dan... |
---|
|
Cybercriminelen kunnen de benodigde informatie maar gedeeltelijk via online spionage verwerven. In veel gevallen blijft het noodzakelijk om persoonlijk te infiltreren in de systemen van de doelwitten of om interne informanten (mollen) te rekruteren.
Van bedrijven en overheidsinstellingen wordt verwacht dat ze de kritische kwetsbaarheden van de eigen systemen en netwerken afdekken. De beheersing van de eigen risicos vindt op twee manieren plaats.
Niet alle kwetsbaarheden zijn exploiteerbaar. Er zijn ook kwetsbaarheden die wel geëxploiteerd kunnen worden maar geen veiligheidsrisico vormen omdat de aangetaste bron geen waarde heeft.
Een exploit omvat de injectie (mechanisme om shellcode op de gekraakte computer aan te brengen), de shellcode (programma/instructies die een aanvaller probeert uit te voeren op gekraakte computer) en de payload (code met commandos die op het doelsysteem moeten worden uitgevoerd) . De shellcode wordt gebruikt als de payload in de exploitatie van een kwetsbaarheid in de software. |
Net als alle andere instrumenten voor netwerkverkenning en computerbeveiliging worden deze pakketten zowel gebruikt door systeembeheerders die hun netwerk proberen te beveiligen als door cybercriminelen die in die netwerken proberen in te breken.
In het volgende schema zijn de belangrijkste verkennings- en testfuncties van automatische spionnen in kaart gebracht.
Verkenningsfuncties | |
---|---|
Host-discovery | Identificeren van de op een netwerk aanwezige hosts (via ping- of arp-scans). |
Port-scanning | Zoeken naar open TCP/IP-poorten op een of meerdere doelcomputers |
OS-detection | Bepalen welke besturingssystem de doelcomputer gebruiken |
Service-detection | Inventariseren van de diensten die het systeem aanbiedt. |
Version-detection | Inventariseren van welke versies er gebruikt worden van aangeboden diensten. |
Packet filter/Firewall detection | Identificatie type van type packet filter en firewall. |
Testfuncties | |
Vulnerability detection | Testen van doelsysteem en aangeboden diensten op aanwezige kwetsbaarheden. |
Penetratietest | Simuleren van externe en interne aanvallen. |
Exploit design | Ontwikkelen en testen van exploitatieprogramma’s die gebruik maken van kwetsbaarheden van computersystemen en netwerken om daarop in te breken. |
Bij de verkenningen worden tientallen systeemkenmerken in kaart gebracht. Meerdere computers kunnen tegelijkertijd op diverse kenmerken en kwetsbaarheden worden gecontroleerd.
Met behulp van eenvoudige scripts wordt een grote diversiteit van tests geautomatiseerd. Om maximale snelheid en flexibiliteit te garanderen kunnen deze scripts parallel worden uitgevoerd.
Alle diensten (TCP of UDP) die door een netwerk worden aangeboden, worden getest om te bepalen of en hoe daarop kan worden ingebroken, of er DDoS-aanvallen op uitgevoerd kunnen worden, en of er via deze diensten gevoelige informatie verkregen kan worden.
De meer geavanceerde softwarepakketten fungeren als platform voor het ontwikkelen, testen en gebruiken van inbraakmethodieken (exloits) die onzichtbaar zijn voor antivirussoftware en voor systemen van inbraakdetectie en -preventie.
Voorbeelden van dit soort pakketten zijn Shodan, Nessus, OpenVAS, Core Impact, SAINT, Wireshark, Metasploit en het commerciële Finfisher.
Het Telnet-protocol is slecht beveiligd: alle gegevens, meestal inclusief wachtwoorden, worden in leesbare vorm over het netwerk verstuurd. Daarom wordt Telnet steeds minder gebruikt. Steeds meer gebruikers stappen over op het versleutelde alternatief SSH (Secure Shell).
Tegenwoordig wordt Telnet vooral gebruikt voor het opzetten, testen en herzien van verbindingen die onder andere protocollen draaien.
![]() |
Shodan werkt eigenlijk heel eenvoudig: het zoekt het hele internet af naar poorten van webservers en indexeert alle HTTP headers die gevonden worden. Je kunt zoeken naar een kwetsbaarheid die je op een doelsysteem kunt exploiteren, maar je kunt ook een exploit kiezen en vervolgens een systeem zoeken dat daar kwetsbaar voor is. Zo wordt het kinderlijk eenvoudig om systemen te vinden die kwetsbaar zijn voor een SQL-injectie. Met Shodan kunnen hackers razendsnel en efficiënt systemen vinden waarop gemakkelijk kan worden ingebroken.
![]() John Matherly |
---|
![]() |
|
In 2009 nodigde Matherly zijn vrienden uit om Shodan uit te proberen. Zij ontdekten iets verbazingwekkends: talloze industriële controlecomputers waren verbonden aan het internet en in een aantal gevallen stonden zij ver open voor exploitatie door zelfs gematigd getalenteerde hackers.
In twee jaar tijd vond Shodan bijna honderd miljoen apparaten: legde hun precieze locatie vast en de software systemen die er op gebruikt worden. Per maand compileert Shodan de informatie van 10 miljoen nieuwe apparaten. In 2010 waarschuwde het Amerikaanse cybercrisisteam voor industriële controlesystemen (ICS-CERT) dat Shodan gebruikt werd om toegang te krijgen tot SCADA-systemen. Daarbij wordt gebruik gemaakt van kwetsbaarheden in de mechanismen voor authenticatie en autorisatie. Sommige identificatiesystemen maken nog steeds gebruik van de standaard gebruikersnamen en wachtwoorden zoals deze door de verkopers van SCADA-systemen worden aangeleverd.
Systeembeheerders gebruiken dit programma om de meest uiteenlopende netwerkproblemen op te lossen. Wireshark wordt ook gebruikt in cyberforensisch onderzoek naar virussen en spyware. In 2009 werd Wireshark bijvoorbeeld gebruikt om het spionagenetwerk GhostNet op te sporen [IWM 2009:15], waarmee ook een Nederlandse NAVO-basis werd afgeluisterd.
Metsploit werd in 2004 gelanceerd. In 2009 werd het programma overgenomen door Rapid7 en heeft nu ook een aantal commerciële varianten: Metasploit Pro, Metasploit Express en Metasploit Community. |
Aan dit bouwpakket voor hackers worden telkens nieuwe modules toegevoegd. Medio 2012 werd er bijvoorbeeld een module toegevoegd waarmee de veiligheid van beveiligingscameras getest kan worden. Veel cameras die voor video surveillance worden gebruikt zijn kwetsbaar en kunnen door kwaadwillenden op afstand worden overgenomen. Zij kunnen dan niet alleen live meekijken, maar ook de camera besturen en het opgeslagen archiefmateriaal bekijken [Security, 18.5.12]
Metasploit heeft ook diverse modules zoals modicon_command en modicon_stux_transfer waarmee kwetsbaarheden van procescontrolesystemen (PCS/SCADA-systemen) getest en geëxploiteerd kunnen worden [Scadahacker]. Bij de analyse van de werking van de bekende Stuxnet-worm zullen we zien welke gevolgen dergelijke exploitaties kunnen hebben.
![]() In dit promo-filmpje op YouTube is te zien hoe het systemen en apparaten overneemt. |
FinFisher is een uitgebreid pakket met offensieve technieken voor informatievergaring: afluisteren op afstand, infecteren en controleren van computers en smartphones en het meelezen met verzonden en ontvangen berichten (ook wanneer deze gecodeerd zijn). Er worden kwaadaardige hackingtechnieken gebruikt waarmee inlichtingendiensten informatie vergaren die ze erg moeilijk op legale wijze kunnen verkrijgen [OWNI, 32.10.12].
De FinUSB Suite bestaat uit een headquarter notebook en tien kleine USB-sticks die speciaal ontworpen zijn om gebruikersnamen en wachtwoorden te kapen en om de laatst geopende of gewijzigde bestanden te stelen. De spyware verzamelt in ongeveer 20 seconden de geschiedenis van bezochte sites, instant messages en de inhoud van de prullenmand. De USB-stick weet door eventueel beschermende wachtwoorden heen te breken en laat geen enkel spoor na. Kosten: 13.080 euro [Brochure; Video].
Met de FinIntrusion Kit kunnen de beveiligingsmechanismen van draadloze netwerken zoals Wifi worden doorbroken. Zelfs als het doelwit SSL gebruikt het protocol voor beveiligde communicatie op het internet dan kunnen heimelijk zowel het webmailverkeer als de sociale netwerken worden gemonitord. Kosten: 30.600 euro; [Brochure; Video; Specificaties; Handleiding; Produkt Training]. Wie op nationaal niveau wil spioneren gebruikt de FinFly ISP, waarmee de internetproviders zelf worden geïnfiltreerd [Brochure; Video].
De FinSpy PC is een professioneel Trojaans paard dat gebruikt wordt om doelwitten te observeren die regelmatig reizen, hun communicatie encrypteren, anoniem surfen en die vaak in buitenland verblijven. FinSpy PC werkt op alle grote besturingssystemen (Windows, Mac en Linux) en wordt door de veertig meest gebruikte virusscanners niet herkend. Alle communicatie (e-mail, Skype, VoIP, bestandstransfer, wifi) en alle internetactiviteiten kunnen in real time worden afgeluisterd en kan ook het eventuele tweede beeldscherm automatisch worden afgekeken. FinSpy biedt volledige toegang tot alles wat er op de harddisk van de computer staat, inclusief bestanden in de prullenbak en crypto containers. Desgewenst kunnen webcam en microfoon op het apparaat van het doelwit worden aangezet [Brochure; Video; Specificaties; Handleiding; Installatie & Training; Product Training; Antivirus Test]. FinSpy PC kost 202.200 euro.
|
De FinFly Web is een instrument om een webpagina te maken waardoor de computers van alle bezoekers met de spyware worden besmet. In de handleiding wordt uitgelegd hoe doelwitten naar zon webpagina kunnen worden gelokt en hoe ze kunnen worden verleid om een bestand te downloaden dat afkomstig lijkt te zijn van een bekend softwarebedrijf, zoals een plug-in van Flash of RealPlayer of een Java-applet. Daarbij wordt nadrukkelijk vermeld dat het programma zeer geschikt is om dissidenten te infecteren die websites bezoeken die de overheid onwelgevallig zijn [Brochure; Video]. Kosten: 36.600 euro.
Het is niet verbazingwekkend dat FinFisher zeer populair is in repressieve regimes. In het hoofdkwartier van de staatsveiligheidsdienst vonden Egyptische demonstranten op 6 maart 2011 een offerte om voor € 287.000 FinFisher te kopen [F-Secure, 8.3.11]. In april en mei 2012 bleek dat ook in Bahrein de spyware via lokmails naar activisten was verstuurd om hen af te luisteren [Citizenlab, 25.6.12; Bloomberg, 25.6.12; Security, 9.8.12]. De spionagesoftware van Gamma wordt gebruikt voor het opsporen en afluisteren van dissidenten en is in ieder geval ook in handen gekomen van de staatsveiligheidsdiensten van de Verenigde Arabische Emiraten, Quatar, Ethiopië, Mongolië en Turkmenistan [zie het overzicht van FinFisher klanten; zie ook de prijslijst van Gamma producten].
In februari 2013 diende Bahrain Watch samen met vier andere internationale mensenrechtengroepen een klacht in tegen Gamma bij de OECD (Organisation for Economic Co-operation and Development) voor het verbreken van haar richtlijnen over mensenrechten door het exporteren van haar software naar de overheid van Bahrein. Tegelijkertijd verzocht de mensenrechtengroep Privacy International de douaneafdeling van Groot-Britannië om Gamma te onderzoeken voor het potentieel illegale export van spyware naar Bahrein. Begin 2014 tikte het hooggerechtshof de overheid hard op de vingers voor het verbergen van details in deze kwestie [Privacy International, 12.5.214]. Gamma heeft altijd ontkend dat zij spyware aan de regering van Bahrein heeft verkocht. Maar er zijn te veel bewijzen van het tegendeel [BahrainWatch, 7.8.14]. |
Programmas voor beveiligingscontrole en penetratietesting kunnen nog zo geavanceerd zijn, uiteindelijk zijn het de mensen die computersystemen bedienen (humanware) die bepalen of die systemen effectief beveiligd worden of wanneer de kwetsbaarheden daarvan daadwerkelijk worden geëxploiteerd.
Herhaaldelijk is gebleken dat ook op eenvoudige wijze kan worden ingebroken op procescontrolesystemen (zoals SCADA) waarmee industriële machines en nutsvoorzieningen worden aangestuurd. Deze systemen werden gebouwd om veilig achter stenen muren hun werk te doen. Door hun verbindingen met het internet is deze stenen beveiliging echter waardeloos geworden. Bij inbraak wordt gebruik gemaakt van de kwetsbaarheid van de methode van identificatie en autorisatie. De standaard wachtwoorden kunnen meestal gemakkelijk worden gevonden in online documentatie of in online opslagplaatsen voor standaardwachtwoorden.
|
b. Voor de hand liggende wachtwoorden raden
Mensen gebruiken wachtwoorden die ze gemakkelijk kunnen onthouden. Maar juist daarom kunnen ze ook makkelijk worden geraden door wachtwoordkrakers. De meest voorkomende wachtwoorden zijn password en 123456 [Burnett 2011]. Verder wordt er vaak gebruik gemaakt van de eigennaam van de gebruiker en van namen van echtegenoten, familieleden, geboorteplaatsen, voetbalteams, automerken of huisdieren.
Uit onderzoek blijkt dat bijna de helft van de medewerkers de wachtwoorden kent van directe collegas. 91% van de mensen gebruikt een wachtwoord van de lijst met 1.000 meest populaire wachtwoorden. Bovendien gebruiken veel mensen hetzelfde wachtwoord voor verschillende informatiesystemen. Slimme crackers weten dat en maken daar vaak handig gebruik van.
In het jaarlijkse onderzoek ter gelegenheid van de InfoSecurity-beurs in Londen ondervragen de onderzoekers aan de vooravond hiervan kantoormedewerkers op een druk metrostation in de hoofdstad.
|
c. Kraken met woordenboeken
Cybercriminelen kunnen de identiteit van een slachtoffer achterhalen en hun gebruikersnamen en wachtwoorden proberen te raden. Hiervoor is speciale software beschikbaar die razendsnel alle combinaties van bekende gebruikersnamen en wachtwoorden uitprobeert. Deze wachtwoordkrakers maken gebruik van woordenboeken die vaak gebruikte wachtwoorden bevatten.
Versleutelde wachtwoorden kunnen door sitebeheerders en dus ook door inbrekers weer leesbaar worden gemaakt. Bij gehashte wachtwoorden kan dat niet direct. Om gehashte wachtwoorden te achterhalen wordt elk woord uit het woordenboek gehasht met behulp van het door het doelsysteem gebruikte cryptografische hash algoritme. Wanneer het resultaat daarvan overeenkomt met de hashcode van het gezochte wachtwoord, dan is het wachtwoord gekraakt [Hash Code Cracker].
d. Kraken met brute computerkracht
Andere populaire wachtwoordkrakers zijn Cain and Abel, John de Ripper, THC-Hydra, DaveGrohl en ElcomSoft. |
Stel dat een computer 3 miljoen wachtwoorden per seconde kan raden. Dan kan de geschatte maximumtijd om een wachtwoord te vinden worden berekend met de volgende formule:
seconden = karakterposities/3.000.000
De tijden die nodig zijn om wachtwoorden te raden met de methode van de brute rekenkracht zien er dan als volgt uit.
Samenstelling | Aantal tekens | Maximaal aantal posities |
Benodigde tijd |
---|---|---|---|
Kleine letters van alfabet + alle cijfers |
725,6 seconden = 12,1 minuten | ||
Alle karakters op toetsenbord | 68 uur = 2,8 dagen | ||
Alle karakters op toetsenbord | 25.594 dagen = 70 jaar |
De gemiddelde zoektijd naar een wachtwoord wordt meestal binnen de helft van de doorlopen zoekruimte gevonden. In de praktijk kan de berekende de zoektijd dus door twee worden gedeeld.
De zoektijd word nog korter als men meerdere computers gebruikt. Met deze techniek van parallellisatie wordt de rekentaak verdeeld over meerdere afzonderlijk opererende computers tegelijk. In plaats van één voor één de mogelijkheden te proberen doen meerdere computer dat tegelijkertijd. Het probleem wordt in stukken opgesplitst en aan meerdere computers toegewezen. Op die manier kan bij het kraken van een wachtwoord met 8 posities met een systeem van 100 processoren de tijd van 70 jaar worden teruggebracht naar 70/100 jaar = 8,4 maanden.
Als het rekenwerk tussen de computers goed wordt gecoördineerd om dubbelwerk te voorkomen, kan de zoektijd nog verder worden verlaagd. Deze techniek van distributed computing wordt onder andere gebruikt voor het Seti-project waarin gezocht wordt naar buitenaardse intelligentie en het Climateprediction.net dat onderzoek doet naar de opwarming van de aarde.
De Amerikaanse inlichtingendiensten NSA werkt aan de ontwikkeling van een supercomputer waarmee het bijna alle vormen van encryptie kan kraken [Washington Post 2.2.14]. Uit de door klokkenluider Edward Snowden gelekte documenten blijkt dat de bouw van een kwantumcomputer onderdeel is van een geheim onderzoeksproject met de naam Penetrating Hard Targets. De NSA heeft voor dit project bijna 80 miljoen dollar uitgetrokken. Gewone computers werken met bits, die enkel de waarde 0 of 1 kunnen hebben. Kwantumcomputers werken met kwantumbits (ook wel qubits), die gelijktijdig een 0 en een 1 kunnen zijn. De klassieke computer kan één berekeing per keer doen terwijl een kwantumcomputer in staat is om parallel te rekenen ze voert tegelijkertijd bewerkingen uit op alle oplossingsmogelijkheden. Een kwantumcomputer kan berekeningen die onnodig zijn voor het oplossen van een probleem vermijden en is daardoor in staat om veel sneller het juiste antwoord te vinden. |
e. Slim kraken met gefundeerde inschattingen
Mensen ontwerpen hun wachtwoorden volgens een bepaald patroon. Bijvoorbeeld een combinatie van een naam en een jaar. Anders dan een brute-kracht methode maakt de mask attack op slimme wijze gebruik van deze patronen om de zoektijd naar het wachtwoord te bekorten. Het is bijvoorbeeld gebruikelijk om een hoofdletter op de eerste posite te zetten. De mask-methodiek maakt gebruik van deze informatie om het aantal combinaties te beperken [Hashcat].
![]() |
|
WarVOX is eenvoudig te gebruiken en levert een schat aan beveiligingsinformatie voor organisaties die belang hebben bij veilige telefoonverbindingen én voor organisaties die belang hebben bij het afluisteren van die schijnbaar veilige mobiele communicatie.
In 2002 claimde een hacker dat 90 procent van de bedrijven via modemverbindingen kon worden aangevallen. Dat is tegenwoordig heel anders. In het breedbandtijdperk is het traditionele wardialing op zn retour. Tegenwoordig leidt slechts 4 procent van de telefoonnummers naar een modem. Toch blijft wardialing bij penetratietesters populair. Dat komt vooral omdat sommige infrastructurele voorzieningen nog steeds gebruik maken van onveilige modems als onderdeel van hun SCADA-netwerk.
![]() |
Digitaal afluisteren richt zich in het bijzonder op mobiele communicatie en op telefooncentrales van particuliere bedrijven en instellingen. Het voordeel van het gebruik van een eigen PBX (Private Branch eXchange) is dat een organisatie niet al zijn telefoons op het publieke telefonienetwerk (PSTN) hoeft aan te sluiten. Op het publieke telefoonnet is voor elk toestel een aparte lijn vereist en worden interne gesprekken eerst naar buiten gestuurd worden, om dan even later terug binnen te komen. Maar ook PBX-systemen hebben veiligheidslekken die een onderneming in gevaar kunnen brengen. PBS-systemen zijn vaak zwak beveiligd tegenover nieuwsgierige concurrenten, afluisterende staatsinstellingen of kwaadaardige aanvallen van buitenaf. Veel organisaties hebben een beleid met betrekking tot wachtwoorden of andere authenticatie certificaten voor de toegang tot computersystemen, maar schieten te kort bij PBX of voicemail systemen [Mitnick/Simon 2005:136].
Een bekende techniek om de interne relaties van een organisatie in kaart te brengen is om alle werknemers van een bedrijf mobiel te bellen en hun stem op te nemen. Vervolgens worden alle telefoonnummers van het bedrijf gebeld en wordt eveneens de stem van de gebelde vastgelegd. Door vergelijking van alle audiofragmenten kunnen alle werknemers automatisch worden geïdentificeerd. WarVOX is hiervoor een uitstekend instrument. |
Daar staat tegenover dat andere bijzondere opsporingsmiddelen, zoals infiltratie door undercoveragenten, of opnemen van vertrouwelijke informatie door middel van microfoons, juist minder vaak in Nederland worden ingezet [Odinot e.a 2012; WODC 2012]. Omdat criminelen weten dat ze worden afgeluisterd, levert dit echter zelden direct bewijs op voor misdaad [WODC, 2012]. |
Het afluisteren en manipuleren van mobiele communicatiesystemen (smartphone, tablet en laptop) neemt sterk toe. De transmissie van digitale informatie verloopt over slecht of zelfs helemaal niet beveiligde kanalen en de software is nauwlijks beveiligd. Voor cyberhackers zijn PCs nog steeds laaghangend fruit. Maar omdat het gebruik van mobiele platforms sterk toeneemt, ontwerpen virusmakers steeds meer malware die in staat is om je telefoon over te nemen, te exploiteren, af te luisteren.
BlackShades werd al sinds 2010 voor $40 tot $100 legaal verkocht aan duizenden mensen, die gezamenlijk voor een verkoop zorgde van meer dan $350.000. Het product werd verkocht via druk bezochtte hackersfora. Je hoeft geen geavanceerde hacker te zijn om met dit instrument ravages aan te richten. Met de grafische interface krijgen gebruikers een snel overzicht over alle computers die zij hadden geïnfecteerd, inclusief IP-adressen, naam en besturingssysteem van de computer, het land waar de computer staat en of de computer een webcamera had. Blackshades was a tool created and marketed principally for buyers who wouldn’t know how to hack their way out of a paper bag (...) Many of the customers of this product are teenagers who wouldn’t know a command line prompt from a hole in the ground [Brian Krebs, in: Krebs on Security, 14.5.14]. Op een zeer actief gebruikersforum konden klanten hulp krijgen bij het configueren en hanteren van het krachtige surveillance-instrument.
|
In Nederland viel de politie binnen op 34 adressen en werd beslag gelegd op 96 computers en laptops, 18 mobiele telefoons, 87 USB sticks en harde schijven en 55 andere gegevensdragers.
De wereldwijde actie werd gecoördineerd door Eurojust in Den Haag. Koen Hermans, de Nederlandse vertegenwoordiger in Eurojust benadrukte het belang van deze operatie: “Deze zaak toont maar weer eens aan dat niemand die gebruikmaakt van internet veilig is. Van deze operatie moet een afschrikkende werking uitgaan voor diegenen die deze software vervaardigen en gebruiken [Europol, 19.5.14; Washington Times, 19.5.14].
Vor is het Russische woord voor dief, maar wordt ook gebruikt als eretitel voor een lid van de Russische maffia. |
De diefstal werd in augustus 2014 ontdekt door het Amerikaanse beveiligingsbedrijf Hold Security [NYT, 5.8.14]. Maar de namen van de bedrijven waar de informatie is gestolen zijn niet bekendgemaakt. Evenmin wilde Hold Security zeggen wat voor gegevens de dieven precies hadden bemachtigd. Bedrijven kunnen aan Hold Security vragen of zij slachtoffer zijn van deze en andere hacks. Maar voor deze Breach Notification Service moeten wel minstens 120 dollar per jaar betalen. Voor particulieren is het abonnement de eerste zestig dagen gratis [Hold Security, 5.8.2014]. HERLEZEN EN CHECK
De beveiligsspecialisten namen de berichten van Hold Security met een korreltje zout. Zij vroegen zich af waarom Hold Security haar gegevens niet openbaar maakte. Was de grootste hack ter wereld in werkelijkheid geen grote marketingstunt van Hold Security? [Data Breach Today, 7.8.14]. Gebruikt Hold Security de gestolen gegeven om er op zijn beurt geld mee te verdienen?
@@@ Hold Security is een in Milwaukee gevestigd bedrijf van de Oekraïner Alex Holden. Het is een wat schimmig bedrijf. De foto van het managementteam blijkt gewoon een stockfoto, te koop bij een online fotowinkel onder de titel 'CEO met zijn team'. De foto staat bij tientallen bedrijfjes wereldwijd op de website.VK, 12.08.2014]. Maar foto nu verdwenen. |
De bende kon de data vervreemden door gebruik te maken van een al bekende kwetsbaarheid die nog steeds in veel websites zit.[UITWERKEN @@]
Het lijkt erop dat er maar weinig persoonlijke informatie is doorverkocht. De bende zou de e-mailadressen en inloggegevens vooral gebruiken om spam te verspreiden via e-mail en Twitter.
De bende bestaat uit niet meer dan een dozijn hackers (twintigers), afkomstig uit een kleine stad in het zuiden van het Aziatisch deel van Rusland. In 2011 begonnen zij met het versturen van spam en het installeren van kwaadaardige redirections op legitieme systemen, op basis van gekochte databases met persoonlijke gegevens. Initially, the gang acquired databases of stolen credentials from fellow hackers on the black market. Vanaf april 2014 werd de operatie opgeschaald en werd er gebruik gemaakt van botnets (een grote groep met virus-geïnfecteerde computers die door een crimineel systeem worden gecontroleerd). [Ze gebruikten botnet om honderduizenden websites te scannen op bekende kwetsbaarheden]. Meer dan 400.000 sites werden geïdentificeerd potentieel kwetsbaar te zijn voor een SQL-injectie" [Hold Security - "Over 400,000 sites were identified to be potentially vulnerable to SQL injection flaws alone"] In opdracht van de hackers testen de zombiecomputers of de door hun eigenaar bezochte websites kwetsbaar zijn. Met die informatie konden zij bepalen op welke sites kon worden ingebroken.
Vanwege zijn kennisintensieve en internationaal georiënteerde economie vormt Nederland een aantrekkelijk doelwit voor statelijke actoren. Omdat Nederland een knooppunt is in de internationale infrastructuur wordt digitale spionage niet alleen gebruikt tegen personen en instellingen in ons land, maar ook tegen personen en instanties in het buitenland.
De AIVD heeft bij diverse digitale aanvallen op Nederlandse doelen sterke aanwijzingen gevonden voor statelijke betrokkenheid en in sommige gevallen ook specifieke aanwijzingen over het land van herkomst. Voor 2012 werden in Nederland spionageaanvallen vastgesteld uit onder meer China, Rusland en Iran. Maar het aantal werkelijke digitale spionage-incidenten is vermoedelijke vele malen hoger.
GhostNet: van Daila Lama tot NAVO
In maart 2009 werd bekend dat een NAVO-basis in Nederland doelwit was geworden van een omvangrijk internetspionagenetwerk dat werd aangestuurd met computers die bijna allemaal te herleiden waren tot Chinees grondgebied [IWM 2009; Deibert 2013:21]. Via GhostNet werden 1.295 computers in 103 landen geïnfiltreerd. Tot de doelwitten behoorden ministeries, ambassades en het netwerk van de Dalai Lama. Het spionagenetwerk richtte zich vooral op Zuid- en Zuidoost-Azië, maar besmette ook een computer op het NAVO-hoofdkwartier in Brussel.
Na een onderzoek van tien maanden door de Information Warfare Monitor (IWM) werd het Trojaanse paard (Ghost RAT) ontdekt. IWM voerde dit onderzoek uit op verzoek van de het kantoor van de Dalai Lama. Het vermoeden was dat de computers van zijn Tibetaanse vluchtelingennetwerk was geïnfiltreerd. Na installatie van de malware konden de hackers de controle over de gecompromitteerde computers overnemen en geclassificeerde gegeven versturen en ontvangen. Het Trojaanse paard gaf de aanvallers ook de mogelijkheid om elke toetsaanslag van de geïnfecteerde computers vast te leggen en alle wachtwoorden en geëncrypteerde communicaties op te vangen. Bovendien konden zij vanaf afstand de audio en video functies van deze computers aanzetten [BBC News, 29.3.09; The Guardian, 30.3.09: The Times, 30.3.09; New York Times, 28.3.09; Nagaraja/Anderson 2009; NOS, 29.3.09; Wikipedia: GhostNet].
Later bleek dat degenen die voor het GhostNet spionagenetwerk zeer waarschijnlijk ook verantwoordelijk waren voor de hack van het beveiligingsbedrijf RSA [Security.nl, 3.3.12].
Tegenwoordig kan iedereen die dat wil van het internet spionagesoftware downloaden die dezelfde afluistermogelijkheden biedt als de Ghost RAT. Met vrij beschikbare en gemakkelijk te hanteren instrumenten als Ghost RAT zijn we het tijdperk van de doe-het-zelf cyberspionage binnen getreden [Deibert 2013:25].
Grote cyberaanval verzwegen
De Citadel-malware is gebaseerd op een exemplaar dat op 6 september 2012 via de website van De Telegraaf werd verspreid, waardoor de pcs van bezoekers van deze site werden aangevallen [NCSC, 7.9.12]. |
Het meest verontrustend was dat het Nationaal Security Centrum (NCSC) al sinds september 2012 precies wist welke organisaties slachtoffer waren van het aan Citadel verbonden Pobelka-botnet, maar slechts 40 á 50 daarvan had gewaarschuwd.
Toen verslaggever Jeroen Wollaars lucht kreeg van het spionageverhaal ontdekte hij al snel dat ook de NOS zelf slachtoffer was van de cybercriminelen. Veertien computers van de NOS waren besmet en de wachtwoorden van 35 medewerkers waren gelekt.
Een woordvoerder van het ministerie van Veiligheid en Justititie beweerde met grote stelligheid dat er geen computers van de rijksoverheid waren besmet. In werkelijkheid waren er 57 computers van acht verschillende ministeries waaronder die van Veiligheid & Justitie door het virus getroffen. Nadat dit bekend werd, probeerde Minister Opstelten van Veiligheid en Justitie de burgers gerust te stellen: Natuurlijk schrikken we daar van, maar we nemen ook de maatregelen die genomen moeten worden. Wij weten wat we dan moeten doen. Hij vond het zelfs plezierig dat het NCSC zo adequaat had opgetreden [Vrij Nederland, 8.3.13]. Maar dat was nu precies wat het NCSC niét had gedaan: adequaat optreden. Ook bij de NCSC zelf drong dit besef langzamerhand door. Een paar dagen later kondige het NCSC aan dat zij samen met de opsporings- en inlichtingenorganisaties (HCTU, AIVD en MIVD) een onderzoek zou instellen naar deze spionagecampagne.
Met de informatie die gestolen werd van bijna alle Nederlandse bedrijven zouden alle vitale infrastructuren op eenvoudige wijze kunnen worden gecyboteerd en zou het maatschappelijk verkeer bijna volledig kunnen worden stilgelegd.
In 2013 bleek dat TeamViewer al tien jaar lang misbruikt wordt om bedrijven, overheidsinstellingen en activisten te bespioneren [CrySyS,20.3.13]. Dit gebeurt met de malware toolkit TeamSpy. De cyberaanvallers kunnen via TeamViewer in real time meekijken wat er op de geïcteerde computer gebeurt. TeamViewer werd gebruikt om bestanden te stelen en om andere kwaadaardige software te installeren [Security.nl, 21.3.13]. |
In haar jaarverslag over 2012 constateerde de AIVD dat er steeds vaker cyberaanvallen worden uitgevoerd die een dreiging voor de nationale veiligheid vormen.
Door de technologische ontwikkelingen veranderen die dreigingen razendsnel en zijn daarom ook steeds lastiger voorspelbaar. Voorlopig manifesteert de dreiging zich vooral in cyberspionage door andere landen, zoals China, Rusland en Iran. Deze cyberaanvallen worden steeds complexer en ingenieuzer. De cyberspionnen zijn vooral geïnteresseerd in de Nederlandse kenniseconomie.
De conclusie van de AIVD is klip en klaar en goed onderbouwd: Het versterken van de digitale veiligheid in ons land is een van de grootste uitdagingen waar overheid en bedrijfsleven op dit moment voor staan. Cybersecurity, digitale veiligheid, is essentieel om de Nederlandse samenleving en economie draaiend te kunnen houden [Jaarverslag 2012].
Cyberspionage door inlichtingen- en veiligheidsdiensten is slechts het begin. Overheden raken steeds meer betrokken in cyberspionage. In opdracht van overheden wordt cyberspionage soms uitgevoerd door particuliere beveiligingsbedrijven. Offensief hacken wordt uitbesteed aan aannemers die met speervissen achterdeurtjes openbreken om bedrijven en instellingen te bespioneren.
Elektronische spionage verschilt in een opzicht nogal sterk van de spionage uit het pre-internet tijdperk. Spionage is niet meer het passief afluisteren van een conversatie of het monitoren van een communicatiekanaal. Cyberspionage betekent dat er actief wordt ingebroken op een computernetwerk van een tegenstander en het installeren van kwaadaardige software die ontworpen is om de controle over dat netwerk over te nemen. Cyberspionage is een vorm van cyberaanval. Het is een offensieve actie. Het schendt de soevereiniteit van een ander land [Schneier, 6.3.14]. In cyberspace is de scheidslijn tussen spionage en geheime militaire operaties zeer vaag [Mueller 2012:8]. Er zou in ieder geval een duidelijk grens getrokken moeten worden tussen cyberoperaties die alleen maar clandestien informatie opvangen zonder het functioneren van computers en netwerken te verstoren, en operaties die het gepenetreerde netwerk zodanig veranderen dat zij hun functionaliteit veranderen of blokkeren [Hathaway e.a. 2012; Lin 2012].
Begrippen | Cyberaanval | Cyberexploitatie |
---|---|---|
Benadering & intentie | Degraderen, ontregelen en vernietigen van aangevallen infrastructuur en systemen/netwerken | Kleinste interventie om gewenste informatie clandestien te verwerven |
Definitie | Opzettelijke acties en operaties gericht op het veranderen, ontregelen, misleiden, degraderen of vernietigen van computersystemen of netwerken van de tegenstander of van programmas en informatie die zich daarop bevinden of via deze systemen or netwerken worden getransporteerd | Opzettelijke acties en operaties gericht op het verkrijgen van informatie die anders vertrouwelijk zou worden gehouden en die zich bevindt op of getransporteerd wordt via computersystemen of netwerken van de tegenstander. |
Neven-effecten | Een cyberaanval probeert de computersystemen en netwerken van de tegenstander onbruikbaar of onbetrouwbaar te maken. Dit kan indirecte gevolgen hebben voor andere systemen die daaraan gekoppeld zijn of die daarvan afhankelijk zijn. | Cyberexploitaties zijn meestal clandestien en worden uitgevoerd met de kleinst mogelijke interventie die het toch nog mogelijk maakt om de gewenste informatie te verkrijgen. Cyberexploitaties zijn er niet op gericht om het normale functioneren van een computersysteem of netwerk te verstoren. De beste cyberexploitatie is er een die door een gebruiker nooit wordt opgemerkt. |
Cyberspionage wordt steeds subtieler en duurzamer. De Turla-hackers zijn hiervan een duidelijk voorbeeld. Zij infiltreerden jarenlang in de communicatie- en internetsystemen van ministeries, ambassades, handelsmissies, militaire producenten en farmaceutische bedrijven van een groot aantal landen [The Guardian, 7.8.14]. De technische vaardigheden van deze hackers zijn imposant. Zij maken gebruik van kwetsbaarheden in de software die nog niet bekend waren (zero-day vulnerabilities). Het zijn softwarelekken die alleen maar ontdekt kunnen worden wanneer zeer competente hackers er heel veel moeite voor doen om ze te ontdekken. De malware die de Turla-hackers gebruiken is bijzonder zeldzaam en complex en stelt hen in staat om netwerken te bespioneren zonder zelf ontdekt te worden. Of de aanvallers Russisch zijn of alleen maar gebruik maken van Russische identiteiten is nog onbekend [Reuters, 7.8.14].
![]() |
---|
Bedrijfsspionage gebeurt zowel om politiek-strategische redenen als om commerciële redenen. In het eerste geval worden bedrijven die in het ene land gevestigd zijn bespioneerd door overheidsinstellingen van andere landen. In het tweede geval bespioneren nationaal of internationaal concurrerende ondernemingen elkaar om bedrijfsgeheimen (offertes, recepten, patenten, productinnovaties of productiemethoden) van elkaar te stelen, om aanbestedingstrajecten te ondermijnen, en om onderhandelingen, fusies en overnames te manipuleren.
Het is moelijk om de schade die door bedrijfsspionage wordt veroorzaakt enigszins nauwkeurig te schatten. De meestal zeer voorzichtige AIVD suggereerde in haar jaarverslag 2013 dat de wereldwijde schade honderden miljarden euros bedraagt als gevolg van inkomstenderving, verlies aan concurrentiepositie en banen, en door de kosten voor beveiligings- en herstelmaatregelen. Zolang dit soort suggesties niet worden onderbouwd, blijft het gissen. De data die voor dergelijke schattingen worden gebruikt zijn gebrekkig, al is het alleen maar doordat er lang niet altijd melding wordt gemaakt van digitale inbraken [in → Lastige calculaties wordt dit nader uitgewerkt].
Bedrijfsspionage is de duistere onderbuik van de globale economie. Er wordt gebruik gemaakt van zeer geavanceerde technologie en van eeuwenoude technieken van misleiding en manipulatie. Zelfs al blijft het grotendeels een verborgen industrie, het particuliere spionagebedrijf is een integraal onderdeel geworden van de manier waarop ondernemingen hun zaken in de wereld doen [Javers 2010:xxi]. Volgens een studie van Campus Wien heeft meer dan een derde van de ondernemingen te maken hadden met bedrijfsspionage [Shea 2010]. In 29% van deze gevallen ging het om spionage van een binnenlandse concurrent [Gaycken 2012:110]. Volgens Dave Merkel van het beveiligingsbedrijf FireEye in zelfs 97 procent van de bedrijven geïnfilteerd door cybercriminelen.
Het door de NCSC gepubliceerde Cybersecuritybeeld [juni 2012] laat zien dat ook in Nederland het aantal incidenten met spionage bij overheid en bedrijven toeneemt. In een brief van minister Opstelten wordt in maart 2013 zelfs geconstateerd dat de ontwikkelingen op het gebied van cyberspace zo snel gaan en feitelijke informatie over omvang, daders en dadergroepen ontbreekt, dat cyberspionage de komende jaren een witte vlek zal zijn.
Soms zijn het ontevreden of gefrustreerde werknemers van de doelonderneming die de gevoelige informatie stelen en verkopen. Maar zeer vaak geven bedrijven ook hun eigen informatici opdracht om concurrent te bespioneren, of huren ze hierin gespecialiseerde detectivebureaus in. Soms wordt er gespioneerd door particuliere ondernemingen die uit andere markten komen en die door hun nationale inlichtingen- en veiligheidsdiensten worden ondersteund. In dit geval spelen politiek-strategische belangen een belangrijke rol en neemt bedrijfsspionage de vorm aan van een «koude cyberoorlog».
Dat was niet naar de zin van de Zeeuwse provider die zijn bullet proof servers aan iedereen verhuurt die er belang bij heeft anoniem te blijven. Zijn clièntele heeft er groot belang bij dat hun actieradius op het internet niet wordt beperkt door detectiesystemen die spam, fraude en malware buiten de deur houden. In maart 2013 sloeg Cyberbunker waarschijnlijk in samenwerking met klanten uit Rusland en China terug met felle en massieve DDoS-aanvallen op Spamhaus. Om de effectiviteit van de DDoS-aanval te versterken richtten de cyberaanvallers hun pijlen op het Domain Name System (DNS). Door deze DNS-amplificatie aanval werden vanuit servers over de hele wereld omvangrijke datapakketten naar het slachtoffer verstuurd (met een vuurkracht van 300 miljard bites per seconde). De aanvallen waren zo groot dat ze voor het gehele internet ontwrichtend waren. Miljoenen internetgebruikers merkten dat het internet langzamer werkte en dat sommige diensten (zoals de Amerikaanse tv-aanbieder Netflix) tijdelijk helemaal niet bereikbaar waren. Ook het Nederlandse Surfnet, dat onderdak biedt aan enkele servers van Spamhaus, werd getroffen. De aanvallen waren moeilijk te blokkeren, om dat die DNS-servers niet afgesloten kunnen worden zonder het internet te blokkeren [Cloudflare, 20.3.13; Ars Technica, 31.3.13; Automatiseringsgids, 27.3.13]. Kern van probleem is dat veel grote internetproviders hun netwerken niet zo hebben opgezet dat zij er zeker van zijn dat het verkeer dat hun netwerken verlaat daadwerkelijk van hun eigen gebruikers komt. Dit beveiligingslek is al langer bekend, maar het is pas recent geëxploiteerd op een wijze die de infrastructuur van het internet bedreigt.
Op haar website pocht Cyberbunker dat het al eerder doelwit van justitie is geweest. De Nederlandse autoriteiten en de politie hebben meerdere pogingen ondernomen om met geweld in de bunker te komen. Maar geen van deze pogingen waren succesvol. Cyberbunker is gevestigd in de oude NAVO-bunker in Kloetinge (Zeeland). De nucleaire bunker werd vanaf 1955 gebruikt voor lokale spionage en contraspionage. Achter de vijf meter dikke betonnen muren bevind zich een complex van vier etages. In 1996 werd de bunker verkocht en werd in 1998 omgebouwd tot een veilige data haven met de naam Cyberbunker. Volgens Arbord Networks, een bedrijf dat gespecialiseerd is in bescherming tegen DDoS-aanvallen is de aanval van Cyberbunker de grootste aanval die zij ooit gezien hebben. De grootste DDos-aanval die we eerder gezien hebben was in 2010, met 100 Gbps (Gigabites per seconde). De sprong van 100 naar 300 is natuurlijk behoorlijk massief [Dan Holden, BBC, 27.3.13]. Het Openbaar Ministerie (OM) startte een strafrechtelijk onderzoek naar de massale aanvallen die vanuit de Nederlandse Cyberbunker zouden worden uitgevoerd [ISPam, 27.3.13]. Het onderzoek wordt uitgevoerd door Team High Tech Crime (THTC) van de landelijke politie. In Engeland werden vijf nationale afdelingen van de cyberpolitie ingeschakeld om de aanvallen te onderzoeken [BBC, 27.3.13].
Na zijn arrestatie eiste de groep freecb3rob de vrijlating van Kamphuis. Zij dreigde de grootste aanval ooit in te zetten tegen Nederland als hij niet zou worden vrijgelaten [Pastebin, 26.4.13]. De groep verklaarde dat zij al getest hadden hoe zwak de huidige veiligheid in Nederland is. Zij pochen dat zij erin zijn geslaagd om binnen enkele minuten banken, luchthavens en zelfd DigiD plat te leggen. You have been warned. Een dag later publiceerde freecbrob een lijst met 10 primaire doelwitten die zij in Nederland wil aanvallen.
Er wordt vooral geïnvesteerd in het plaatsen van extra servercapaciteit en het versterken van de alertheid op nieuwe cyberaanvallen. Het vergroten van de capaciteit van de diensten is een eerste logische stap op DDoS-aanvallen minder effectief te maken. Bovendien worden er selectiemechanismen (filters) in de servers worden ingebouwd waardoor het verkeer vanuit een DDoS-aanval gescheiden kan worden van regulier verkeer. In noodgevallen zal bijvoorbeeld DigiD voor gebruikers in het buitenland tijdelijk worden afgesloten. Als ook dat onvoldoende is zal de dienst preventief uit de lucht worden gehaald. Om de veiligheid van vitale voorzieningen in de dienstverlening te waarborgen, moet er ook geïnvesteerd worden in de beveiliging van ICT en alternatieve kanalen en infrastructuren voor de dienstverlening. De verantwoordelijkheid voor het verbeteren van die infrastructuur ligt echter bij die particuliere dienstverleners zelf. De verantwoordelijkheid van het Ministerie wordt geconcretiseerd in het aanstellen van een officier die een schakel vormt tussen het Nationaal Cyber Security Centrum (NCSC) en de Nederlandse banken. Om de cyberveiligheid van Nederland te versterken werd het Nationaal Detectie en Response Netwerk versneld opgebouwd. Een van de prioriteiten is een effectieve aanpak van de botnet warmee DDoS-aanvallen worden uitgevoerd.
Het Project Nationale anti-DDoS Wasstraat (NaWas] is een privaat initiatief van een aantal providers die verenigd zijn in de Nationale Beheersorganisatie Internet Providers (NBIP) om een gezamenlijke voorziening in te richten om een overvloed aan verkeer te schonen. De anti-DDoS dienst werd op 28 maart 2014 geopend. NaWas biedt op aanvraag beveiliging tegen DDoS-aanvallen voor middelgrote en kleinere ISPs. Als een netwerk van een provider onder een DD0S-aanval ligt, wordt het verkeer omgeleid naar een centraal opgestelde hoeveelheid anti-DDoS apparatuur. De NaWas reinigt het verkeer van onzin en stuurt het schone verkeer over een apart VLAN van de NL-IX of AMS-IX naar de deelnemende provider terug.
|
Bedrijfsleiders van de meerderheid van de grote ondernemingen die een functie vervullen in de kritische infrastructuren denken dat zij worden aangevallen of bespioneerd door politiek gemotiveerde aanvallers [Symantic, CIP survey]. Bij bedrijfsspionage die door overheden wordt georganiseerd, spelen strategische belangen een cruciale rol en kunnen zeer omvangrijke aanvalsbronnen worden gemobiliseerd en ingezet. Het is het altijd lastig en meestal onmogelijk om te achterhalen wélke overheid verantwoordelijk is voor welke vorm van cyberspionage. Daarom is het in de regel onmogelijk om informatiediefstal toe te schrijven aan een bepaalde nationale staat.
Dat is het probleem met de beruchte cyberspionage uit China. Voor bedrijfsspionnen is het makkelijk om een server in een ander land te huren of om daarin ongemerkt in te breken om deze als tussenschakel (proxy) te gebruiken. Chinese computers zijn vaak slecht beveiligd omdat er vaak gewerkt wordt met gekraakte kopieën van reguliere software (zoals Windows) waarbij alle updatefuncties zijn uitgeschakeld omdat anders illegaal gebruik kan worden vastgesteld. Zonder deze updates vertoont de software allerlei beveiliginglekken die gemakkelijk benut kunnen worden. De Chinese overheid ontkent zoals gebruikelijk elke verantwoordelijkheid voor de cyberspionage op militaire en commerciële netwerken in de VS en in Europa. Haar stelling is dat een derde van alle cyberspionage uit de VS komt en niet uit China.
![]() Cyberspionnen stelen geheimen en identiteiten, zij zijn behendig en wissen hun digitale sporen. |
---|
De cyberwapenrace op het gebied van bedrijfsspionage is in de afgelopen jaren op stoom geraakt. In de hele wereld klinken de alarmbellen. In de hele wereld klinken alarmbellen. De grootste alarmbel werd geluid door Generaal Keith B. Alexander (hoofd van de NSA en van het U.S. Cyber Command). Hij typeert de diefstal van intellectueel eigendom in cyberspace als de grootste overdracht van rijkdom in de geschiedenis. Zijn schatting is dat alleen al de V.S. bedrijven en instellingen honderden miljarden dollars hebben verloren als gevolg van bedrijfsspionage [FP, 9.7.2012]. Cyberspionage is waarschijnlijk de meest rendabele operatie die men via internet kan uitvoeren.
Het aantal incidenten van bedrijfsspionage via internet is enorm. De meest geavanceerde voorbeelden van politiek-economisch gemotiveerde cyberspionage zijn Titan Rain, ShadyRat en Operation Aurora. Het zijn slechts drie voorbeelden van een Advanced Persistent Threat (APT).
De cyberspionnen gingen snel, efficiënt en doelgericht te werk. Ze slaagden erin om verborgen secties van harde schijven te bereiken, kopiëerden daarvan alle bestanden en verplaatsten deze zo snel mogelijk naar servers in Zuid-Korea, Hong Kong of Taiwan voordat ze naar China werden verstuurd. De aanvallen werden gelanceerd vanuit drie Chinese routers die fungeerden als het eerste verbindingspunt van een lokaal netwerk naar het internet.
De hackende spionnen verstonden de kunst van het ongezien ontsnappen. Zij veegden hun elektronische vingerafdrukken weg en lieten een bijna niet te vinden baken achter waarmee zij desgewenst weer in de computers konden inbreken. De hele aanval duurde tussen de 10 en 30 minuten. De meeste hackers die een overheidsnetwerk binnendringen worden opgewonden en maken fouten. Maar dat gebeurde niet bij deze gasten. Zij sloegen nooit een verkeerde toets aan [Time, 29.8.05].
|
Feit was dat onbevoegde buitenstanders in staat waren om zeer vitale informatie te vervreemden van organisaties, instellingen en bedrijven die meenden zeer goed beveiligd te zijn tegen inbraken op de eigen computersystemen en netwerken. Maar juist bij die zo schijnbaar goed beschermde systemen konden de hackers strategisch belangrijke informatie stelen, zoals de software die het Amerikaanse leger gebruikt voor vluchtplanning.
Spionagenetwerken opereren vaak op brede schaal, in meerdere bedrijfstakken en vaak ook in meerdere nationale staten. Zon brede inlichtingenoperatie op internet vergroot natuurlijk het risico dat de kwaadaardige spyware wordt gedetecteerd en op andere plekken onbruikbaar wordt. De meest recente spyware opereert veel kleinschaliger, specifieker en selecteert zorgvuldig uitgekozen doelwitten. Daardoor wordt ook de pakkans kleiner.
|
Via de e-mail werd het virus verzonden dat deze operatie uitvoerde. Medewerkers van de doelorganisatie kregen een lokmail van een schijnbare collega met een vertrouwd thema als onderwerp (Recruitment Plan). Zodra zij op dit bericht klikten, werd het aangehechte Excel bestand gedownload. De spyware die daarin verborgen was, stelde de hackers in staat om het geïnfecteerde computernetwerk te plunderen.
Als bij een cyberaanval daadwerkelijk gebruik gemaakt wordt van een gat in de beveiliging spreekt men van een zero-day exploit. Een «nuldagenaanval» start op of vóór de eerste dag waarop de ontwikkkelaar zich bewust is van het beveiligingslek. |
De schrik was groot toen RSA in maart 2011 in een open brief aan haar klanten aankondigde dat het beveiligingssysteem van het bedrijf te maken had met een extreem geavanceerde cyberaanval die ertoe geleid had dat er informatie was gestolen van RSA-systemen.
Gezien de investeringen en de tijd die de aanval heeft gekost, meent RSA dat de aanval van een land afkomstig moet zijn. De president van RSA, Thomas Heiser, verklaarde: Het was uitstekend gepland, met lange voorbereidingstijd en hoge kwaliteit. Ze wisten precies wat ze zochten en waar wat op het netwerk te vinden was. Volgens Heiser kwam de aanval van een land, maar is niet meer te achterhalen welk land dat was [Webwereld, 12.10.11].
We hebben gezien dat virtuele aanvallen via servers over de hele wereld kunnen worden georkestreerd en dat het daarom bijna onmogelijk is om een inbraak met zekerheid aan iemand toe te kunnen schrijven. Alle nationale overheden hebben inlichtingendiensten die gebruik maken van programmas om via het internet vitale instellingen van andere staten te bespioneren.
Bij cyberspionage weet niemand of een aanval is uitgevoerd op bevel van een vijandige staat, een rebellerende fractie in de eigen staat, een terroristische organisatie of een crimineel syndicaat. Soms voeren politieke en militaire autoriteiten de aanvallen zelf uit. Maar ze kunnen ook oogluikend toezien dat patriottische hackers hun aartsvijanden relatief ongestoord kunnen aanvallen, of ze kunnen dergelijke initiatieven steunen of zelf ensceneren. Al deze opties behoren tegenwoordig tot het standaardrepertoire van de cyberstrategen.
Ook in deze gevallen drongen de cyberspionnen de computernetwerken binnen via een e-mail dat schijnbaar afkomstig was van de systeembeheerder, een bekende collega of leidinggevende, maar die met een Trojaans paard geladen was. Het als bijlage toegevoegde PoisonIvy zet op de pc een achterdeur open en legt contact met een command & control server. Met deze techniek werd de rest van het netwerk in kaart gebracht om zo bedrijfsgevoelige informatie te stelen. De aanval werd uitgevoerd door een virtuele private server (VPS) in de V.S. die door iemand uit China was gehuurd. Ook hier wezen de meeste vingers in de richting van China, maar ontkende de regering in Peking krachtig elke vorm betrokkenheid bij deze bedrijfsspionage. De aanvallers hadden waarschijnlijk twee jaar lang toegang tot verschillende computers van het France nucleaire concern Areva. Areva is een van de grootste nucleaire ondernemingen ter wereld. Het exploiteert uraniummijnbouw, kerncentrales, opwerkfabrieken en verwerking van kernafval, maar is ook actief op het gebied van hernieuwbare energie. Bij vergelijkbare spionageacties in Japan werden defensiegeheimen van Mitsubishi gestolen: ontwerpen van het nieuwste wapentuig, militaire vliegtuigen, onderzeeërs en kerncentrales. Op tien verschillende locaties van Mitshubishi werden maar liefst 45 servers en 38 pcs gecompromitteerd. Voor deze grootschalige aanvallen werden minstens acht verschillende soorten malware gebruikt [E-week; BBC,20.9.11]. Ook netwerken van ministeries en het parlement, negen Japanse ambassades (waaronder die in Den Haag) werden gecompromitteerd [Webwereld, 26.10.11]. Ook hier wijzen de vingers naar China [AFP, 25 oktober 2011]. Niet alleen bedrijfsgeheimen, maar ook staatsgeheime informatie werd gestolen. Hoewel Mitshubishi beweerde dat er geen vertrouwelijke of gevoelige informatie was weggelekt stelde het Japanse ministerie van Defensie toch een diepgravend onderzoek in [Volkskrant, 20.9.11]. |
Het besef van het gevaar van cyberspionage begon pas goed door te dringen toen Google op 12 januari 2010 begon te praten over Operation Aurora. Aurora werd ontdekt door het cyberbeveiligingsbedrijf McAfee.
In eerste instantie leken de aanvallen op Google [2009-2010] alleen gericht op het opsporen en aftappen van mensenrechten activisten en politieke dissidenten in China. Hun Gmail-accounts werden gehackt en de daaruit resulterende informatie werd gebruikt om dissidenten aan te klagen en te veroordelen.
Bij nader inzien bleken de aanvallen op Google echter onderdeel te zijn van een goed georkestreerd en omvattend gecoördineerd spionageprogramma. De veiligheidslekken in e-mail bijlagen van Gmail werden geëxploiteerd om heimelijk toegang te krijgen tot netwerken van belangrijke financiële, militaire en technologische bedrijven en onderzoeksinstellingen in de Verenigde Staten [Washington Post, 14.01.10]. Daarbij behoorden interessante doelwitten als Adobe, Juniper Networks, Rackspace, Yahoo, Symantec, Northrop Grumman, Google, Morgan Stanley en Dow Chemical.
De aanvallers maakten gebruik van een oude en inmiddels bekende krijgslist. De doelwitten ontvingen een lokmail van die afkomstig leek te zijn van iemand die zij goed kenden en waarvan zij geen kwaadaardige virussen of wormen verwachten. Het slachtoffer opent de bijlage bij de e-mail die een kwaadaardig programma bevat dat zich in zijn computer nestelt. Vanaf afstand krijgt de aanvaller toegang tot de e-mail van het slachtoffer, kan vertrouwelijke documenten naar een specifiek adres versturen of de webcam of microfoon aanzetten om vast te leggen wat er in de kamer van de gebruiker gebeurt. Die gebruiker heeft geen flauw benul dat hij het doelwit is van een spionage activiteit, van een cyberexploitatie.
![]() |
---|
Na het vertrek van Google uit China legden sympathisanten bloemen neer en brandden kaarsjes op het Chinese hoofdkwartier van het bedrijf. Google verdiende in 2009 naar schatting 300 tot 400 miljoen dollar aan Chinese internetgebruikers. [foto: Vincent Thian] |
Ook in dit geval ontkenden de Chinese autoriteiten in alle toonaarden dat zij iets met deze cyberoperaties te maken hadden: Wij ondersteunen geen hackers en onze cyberoorlogsstrategie is zuiver defensief. De woordvoerder van het ministerie van Buitenlandse Zaken stapte in de slachtofferrol en benadrukte dat ook Chinese netwerken door hackers werden aangevallen [ChinaDaily, 3.6.11]. Het is weliswaar makkelijk om het IP-adres van de hackers te lokaliseren, maar het is veel lastiger om te bepalen waar de hackers daadwerkelijk vandaan komen. Met ongefundeerde verwijten dat Chinese hackers achter de cyberaanvallen zitten, worden volgens de Chinese overheid alleen maar obstakels opgeworpen voor het versterken van
Zie voor verdere analyse van Operation Aurora: Wikipedia: Operation Aurora en de video: Operation Aurora (Google vs. China) Explained. |
Cyberspionnen vinden telkens nieuwe aanvalsmethoden uit via verschillende platforms en technieken en zij zijn steeds beter in staat om hun interventies te verbergen. De geïnjecteerde malware misleid de detectiesystemen die de veiligheid van computersystemen moet bewaken. Als de aangevallen computers eenmaal zijn besmet, wordt er een achterdeur open gezet waardoor zij contact zoeken met een website op een command & control server. Daar krijgen de besmette machines gecodeerde opdrachten van de aanvallers. Door gebruik te maken van bepaalde communicatietechnieken zoals de micro-bloggingdienst Plurk of Twitter zorgt de malware ervoor dat het lijkt alsof de besmette machines een veel gebruikte en betrouwbare website bezoeken. In het netwerkverkeer ziet de kwaadaardige software er onschuldig uit: zij gedraagt zich netjes en lijkt alleen vriendelijke sites te bezoeken [Stewart 2012].
In een nieuwe variant van Zeusbot/SpyEye wordt helemaal geen gebruik meer gemaakt van een command-and-control server, waardoor de botnet nog moeilijker is te bestrijden. De Zeusbot/Spyeye variant maakt gebruik van de architectuur van een peer-to-peer netwerk (P2P). Het P2P-netwerk stelt de botnet in staat om actief te blijven en informatie te verzamelen zelfs als delen van het netwerk afgesloten zijn [Lelli 2012].
Alle belangrijke gegevens over een geplande overname van het Chinese bedrijf Huiyuan Juice Group werden gestolen. Dit zou de grootste overname ooit van een Chinees bedrijf zijn, ter waarde van $2,4 miljard. Drie dagen na de ontdekking van de hack werd de bedrijfsovername afgeblazen. Pas drie jaar later werd dit incident bekend. Het vermoeden is dat deze operatie door de Chinese overheid was uitgevoerd, maar daarvan is geen enkele bewijs [Bloomberg, 5.11.12]. Het feit dat Coca Cola besloot geen ruchtbaarheid te geven aan deze hack onderstreept nog eens de weerzin die ondernemingen hebben om hun beveiligingsfouten toe te geven. Ondanks het feit dat de Amerikaanse SEC (Securities and Exchange Commission) in haar richtlijnen aangeeft dat het in het belang van de bedrijven is om dit wel te doen. Veel andere incidenten van bedrijfsspionage worden ook verzwegen. De cyberinbraak op het Britse energiebedrijf BG Group Plc in 2011 werd nooit publiek gemaakt. Daar werd informatie gestolen over geografische kaarten en gegevens over gasboringen. Naar schatting heeft dit bedrijf een verlies geleden van $1,2 miljard, als gevolg van nadelen bij contractuele onderhandelingen. Hetzelfde gebeurde bij Chesapeake Energy, de op een na grootste gasproducent in de VS Bij de in Luxemburg gevestigde staalproducent ArcelorMittal werd ingebroken bij Sudhir Maheshwari, die verantwoordelijk is voor de fusies en overnames van de grootste staalbedrijven in de wereld. |
De dader ligt meestal op het virtuele kerkhof. Zelden wordt duidelijk wie er precies hebben aangevallen, uit welk land zij komen, of in welke mate daar overheden bij betrokken zijn. De enige vuistregel die hierbij gehanteerd kan worden is dat criminelen meestal werken met de kleinst mogelijke inspanningen; meer ingewikkelde, meerzijdige en tijd- en geldkostende aanvallen kunnen een indicatie zijn dat er een staat of overheidsinstelling bij de aanval betrokken is.
Een vergelijkbaar probleem doet zich voor bij de vraag wát er wordt gestolen. Bij bedrijfsspionage is het vaak lastig om vast te stellen welke informatie er precies is gestolen. De informatie wordt immers niet zomaar gestolen (er verdwijnen geen documenten), maar gekopieerd en/of gedownload. De informatie is op de plek van oorsprong niet verdwenen. Zelfs al heeft men een duidelijk idee naar welke gevoelige informatie de crackers op zoek waren, dan weet men na een geslaagde aanval niet precies welke onderdelen daarvan daadwerkelijk vervreemd zijn.
Zolang het onduidelijk of niet zeker is wie er achter een ontdekt geval van bedrijfsspionage schuil gaan en welke informatie is gestolen, blijft het speculeren over wat het doel van de aanval was. Waarom werd er zoveel energie besteed aan het binnendringen van het netwerk van die specifieke onderneming?
Meestal is het echter niet moeilijk om te raden waar cyberspionnen op uit zijn. Vaak zijn dat de bedrijfsgeheimen die een onderneming in staat stellen om succesvol op de wereldmarkt te opereren (gepatenteerde producten, fabricageprocedures, productontwerpen, recepten e.d.). Soms gaat het om specifiek conjuncturele informatie zoals offertes voor zeer grote orders. Heel vaak gaat het om het verwerven van illegale toegang tot de financiële bronnen van een onderneming. In de meest kritieke gevallen gaat het om bedrijfsgeheimen die een grote politiek-strategische waarde hebben, zoals bouwtekenen en constructieplannen voor onderzeeërs, jachtvliegtuigen, raketsystemen en kerncentrales. In de organisatie van bedrijfsspionage op deze gebieden spelen nationale overheden of afzonderlijke overheidsinstellingen bijna altijd een goed verborgen en altijd publiekelijk ontkende rol.
Cybercriminelen zijn vooral op zoek naar klantgegevens, intellectueel eigendom en bankgegevens. Kleine en middenbedrijven gebruiken vaak dezelfde computersystemen en bedrijfsnetwerken en dezelfde beveiligingssystemen. Als de zwakheden en achterdeurtjes eenmaal zijn gevonden kan een spionageaanval op veel andere plaatsen worden herhaald.
Duitse studies hebben laten zien dat meer dan 3/4 van alle cyberspionnen juist dergelijke kleine en middenondernemingen in het vizier hebben en dat de aanvallen ook met vermeende statelijke achtergrond worden opgezet [Gaycken 2012:114]. Zeer vaak worden spionagenetwerken ontdekt die in meerdere bedrijfssectoren en staten op gelijksoortige wijze opereren. Zoals we eerder gezien hebben vergroot dat weer het risico van ontdekking en daarmee de inefficiëntie van hetzelfde aanvalsscenario op andere plekken.
![]() We zijn in de wolken. |
---|
De wolkomgeving groeit mee of krimpt in al naar gelang de behoeften van de gebruiker en is dus volledig schaalbaar. Bovendien wordt alleen betaald voor feitelijk gebruik van de wolkdiensten (pay for use). Door centralisatie van virtuele infrastructuren kan een directe kostenbesparing van 15 tot 20% worden bereikt ten opzicht van traditionele oplossingen. De virtualisatie van de eigen infrastructuren biedt een beveiligde oplossing voor gedistribueerd telewerken. Het meest bekende type wolkmodel is de publieke wolk. In dit model biedt de wolkprovider voor bedrijven en particulieren alle applicaties, dataopslag en infrastructuur via het internet aan. De programmas en data zijn voor personeelsleden vanaf diverse locaties toegankelijk, ongeacht de hardware platforms die zij gebruiken. Alle informatie en alle software staan volledig op de servers van de externe dienstverlener. Voor alle afnemers wordt een generieke functionaliteit aangeboden. Het tweede type wolkmodel is de particuliere wolk. In dit model opereert de it-afdeling van een organisatie als de leverancier van diensten voor interne bedrijfsklanten. Alles wordt intern opgeslagen en beheerd, waarbij alleen de backups van data extern worden opgeslagen. Dit model is populair bij bedrijven die meer controle willen houden over hun infrastructuur en die meer vertrouwen hebben in hun interne it-afdelingen dan in een externe voorziening. De verantwoordelijkheid voor het onderhoud van de particuliere wolk ligt bij een professionele leverancier van ict-diensten. De fysieke locatie van de componenten van de ic-infrastructuur kan zowel een wolkleverancier zijn als de organisatie zelf. In het derde model, de hybride wolk, convergeren de publieke en de particuliere wolk, terwijl ze tegelijkertijd effectief gescheiden blijven. Daarbij wordt bijvoorbeeld een externe opslagwolk gebruikt voor het archiveren van bestanden die niet meer actief gebruikt worden, terwijl de actuele financiële informatie op een interne wolk wordt opgeslagen waardoor de veiligheid strakker en veiliger beheerd kan worden. |
Een goed beveiligde informatiewolk kan voor ondernemingen een relatief beveiligingsvoordeel opleveren. Grote aanbieders van wolkdiensten bieden vaak een hoogwaardige it-beveiliging die veel ondernemingen zich niet kunnen veroorloven. Vanuit de optiek van cyberspionage kleven er echter ook een paar zwakke punten aan het gewolk:
Wanneer een wolkleverancier geen gebruik maakt van standaardtechnologieën en -oplossingen dan is het moeilijk vast te stellen of deze wel voldoet aan de gestelde beveiligingseisen. Wolkleveranciers die andere technologieën, strategieën, methoden en oplossingen aanbieden, zijn daarom niet per definitie slechter. De eigenaar van systemen en processen kan zijn verantwoordelijkheden op het gebied van beveiliging delegeren aan de wolkleverancier. Maar uiteindelijk blijft de eigenaar zelf verantwoordelijk voor de beveiliging van zijn ondernemingsbronnen en moet hij/zij in staat zijn om vast te stellen of de gedelegeerde verantwoordelijkheid op adequate wijze is ingevuld [NCSC 2012:27].
Het uitbesteden van diensten die vertrouwelijke informatie betreffen brengt dus specifieke risicos met zich mee. Ondernemingen en instellingen die hun ict-infrastructuren virtualiseren, blijven verantwoordelijk voor de beveiliging van vertrouwelijkheid van gegevens over hun medewerkers en klanten/cliënten. Als vertrouwelijke gegevens uitlekken dan worden conform de Europese regelgeving de uitbestedende organisaties aansprakelijk gesteld voor eventuele schade. Maar als men gebruik maakt van online wolkdiensten heeft men zelf geen controle meer over de locatie en manier waarop de data wordt opgeslagen en is men afhankelijk van de aanbieder van wolkdiensten.
![]() Veel ondernemingen maken de fout om bij de kosten-baten calculatie alleen rekening te houden met de directe kosten van uitbesteding en de aanvullende kosten (en verlies van deskundigheid) op langere termijn buiten beschouwing te laten. |
Uitbesteding van it-beveiliging door het inhuren van een wolkvoorziening helpt om kleine criminelen buiten de deur te houden, maar is ook een aantrekkelijke uitnodiging voor gekwalificeerde en behendige aanvallers. Zij hoeven niet telkens in verschillende ondernemingen in te breken om een veelvoud van verschillende informaties te verwerven. De aanvaller hoeft slechts één keer in te breken. Professionele cyberspionnen worden hierdoor aangetrokken en hebben goede kansen om zeer waardevolle informatie te stelen. Wie al zijn kroonjuwelen en geheimen toevertrouwd aan een virtuele wolk, behaalt daarmee dus niet zonder meer een beveiligingsvoordeel.
In haar Jaarverslag 2012 formuleerde de AIVD dit risico als volgt. Het toenemend gebruik van online-diensten voor de creatie, uitwisseling of opslag van gegevens (in the cloud) vergroot het risico van digitale spionage door andere staten. In korte tijd kunnen zij op veel verschillende plekken binnen de digitale infrastructuur grote hoeveelheden data (laten) onderscheppen
Om de weerbaarheid van de Nederlandse samenleving in het digitale domein te vergroten publiceerde het Nationaal Cyber Security Centrum (NCSC) in januari 2012 haar Whitepaper Cloud Computing. In dit rapport worden niet alleen de mogelijkheden en voordelen van uitbesteding van it-werkzaamheden aan wolkvoorzieningen besproken, maar ook de condities en mogelijke risicos.
Als ik Coca Cola was, zou ik mijn recept niet opslaan in de cloud. Cloud-aanbieders hebben doorgaans de veiligheid goed op orde, maar er zijn potentiëel grote risico’s verbonden aan het extern opslaan van gegegevens. We zien vooral Oost-Europese en Aziatische misdaadorganisa-ties die het hebben gemunt op bedrijfsgegevens en bijvoorbeeld wachtwoorden. En het zou zelfs kunnen dat sommige overheden zich er schuldig aan maken [Troels Oerting, Directeur van het European Cybercrime Centra van Europol, in Elsevier, 1.3.13]. |
Cloudcomputing maakt de opsporing van misdadigers nog moeilijker. De volgens Europol meer dan 6.000 misdaadgroepen in Europa maken steeds meer gebruik van de meest geavanceerde technologische middelen. Net als hun slachtoffers slaan zij hun data verspreid op in de wolkvoorzieningen [Europol,mrt 2013; Security.nl, 20.3.13]. De technieken van digitale opsporingsdiensten lopen ook op dit punt ver achter.
Data die herleidbaar zijn tot individuen is de privacywetgeving van toepassing. Volgens de wet- en regelgeving in de Europese Unie mogen persoonsgegeven niet buiten Europa worden opgeslagen, tenzij het land waar die data heen gaan hetzelfde niveau van beveiliging heeft. De Europese commissie bepaalt of dit het geval is.
Het College Bescherming Persoonsgegevens (CBP) vindt de garanties die Amerikaanse clouddiensten (zoals Google, Dropbox en Microsoft) ten aanzien van de bescherming van Europese persoonsgegevens bieden nogal dun. Het Safe Harbor-certificaat is een vorm van zelfcertificering die niet garandeert dat de verwerking van de gegevens in de VS zelf voldoet aan Europese richtlijnen. De door de Nederlandse regering gewenste meldplicht voor datalekken in bij clouddiensten is alleen te realiseren als daarover heldere afspraken worden gemaakt met de cloudleverancier en eventuele sub-bewerkers die worden ingeschakeld om bijvoorbeeld opslag of beheer te verzorgen [CBP, Zienswijze over cloud computing; Binnenlandsbestuur, 12.9.12]. De Patriot Act is gericht op het bestrijden van terrorisme en kent de Amerikaanse overheid vergaande bevoegdheden toe op het gebied van forensisch onderzoek. Amerikaanse organisaties en bedrijven zijn verplicht om toegang te verlenen tot hun servers en netwerken. Ook bedrijfsonderdelen buiten het Amerikaanse grondgebied moeten medewerking verlenen aan dergelijk onderzoek. In de praktijk betekent dit dat Amerikaanse wolkleveranciers nooit kunnen garanderen dat gegevens van Europese bedrijven en instellingen niet door Amerikaanse overheidsdiensten gecontroleerd zullen worden. Op 26 mei 2011 tekende Barack Obama een verlenging voor vier jaar van drie belangrijke onderdelen van de oorspronkelijke Patriot Act. |
![]() |
---|
Van digidiefjes tot onregelaars van financiële markten
Het financiële stelsel van een samenleving is een van de meest kritische infrastructuren van een nationale staat en van de onderlinge verbanden tussen staten. Het geld dat burgers op hun bank hebben staan, mag niet gestolen worden. Zij hebben hun geld aan een bank toevertrouwd in de verwachting dat deze goed op hun centen zal passen. Bij alle transacties tussen particulieren verwacht de koper dat de verkoper levert wat is afgesproken, en de verkoper verwacht dat hij volgens afspraak wordt betaald. Koper en verkoper proberen hun transacties zodanig te regelen dat derden geen kans krijgen om van deze waardenruil te profiteren. Dit geldt voor transacties tussen een consumenten en ondernemingen, maar ook voor beurstransacties waarin waardepapieren worden verhandeld.
|
De financiële markten zijn het afgelopen decennium in hoog tempo geautomatiseerd. De meeste financiële transacties verlopen volledig geautomatiseerd via computers die via internet aan elkaar verbonden zijn. Financiële markten zijn daarom bij uitstek het terrein waarop criminelen hun slag proberen te slaan. Digidieven stelen geen portemonnees maar de toegangscodes waarmee we internetbankieren. Banken worden niet meer beroofd door gewapende mannen met bivakmutsen, maar door behendige cybercriminelen die vanaf hun toetsenbord in de computersystemen van banken weten door te dringen en daar grote sommen geld laten verdwijnen. Georganiseerde cybercriminelen penetreren in internationale beurzen. Dubieuze flitshandelaren manipuleren de prijzen van aandelen en derivaten en slagen er in om in fracties van milliseconden enorme kapitalen te laten verdampen.
De veiligheid en betrouwbaarheid van de gevirtualiseerde financiële transacties worden bedreigd door diverse actoren. Door kleine krabbelaars en zwendelaars die met lokmails wachtwoorden en andere toegangscodes tot particuliere bankrekeningen weten te ontfutselen aan goedgelovige of onoplettende internetgebruikers. Door internationaal opererende criminele syndicaten die via internet banken beroven en beurzen manipuleren. Maar ook door cyberterroristen en overheden die vijandige staten proberen te verzwakken door hun hele financiële stelsel te ontregelen. Ondanks alle inspanningen van beveiligingsbedrijven zijn onze financiële instellingen en markten nog veel te zwak gepantserd om zich tegen dergelijke aanvallen effectief te weren.
De methoden en technieken die deze actoren gebruiken zijn verschillend, maar hebben één ding gemeen: zij verhullen altijd hun eigen identiteit om de pakkans te verkleinen. Daarom is het in de praktijk zeer lastig om te bepalen of een bepaalde cyberoperatie wordt uitgevoerd door individuele crackers, criminele syndicaten, terroristische organisaties of door nationale overheden, of door een combinatie van deze elementen.
Individuele digidieven en georganiseerde cybercriminelen proberen alle sporen te wissen die kunnen leiden tot de identificatie van de daders. Bij politiek gemotiveerde cyberaanvallen op bank- en beurssystemen gebeurt hetzelfde.
Schade fraude betalingsverkeer in mln € | |||
2010 | 2011 | 2012 | |
---|---|---|---|
Internetbankieren | 9.8 | 35,1 | 34,8 |
Skimming | 19,7 | 38,9 | 29 |
Overig | 27,6 | 18 | 18 |
Totaal | 57,1 | 92,1 | 81,8 |
De schadebedragen zijn nog steeds imponerend. Maar het aantal transacties waarbij geld verdwijnt, is procentueel erg klein. Per jaar vinden ongeveer drie miljard transacties plaats via internetbankieren, waarbij ongeveer 3,2 biljoen euro wordt overgemaakt. Bij slechts 0,0001 procent van de transacties wordt fraude gepleegd. Volgens de Nederlandse Vereniging van Banken (NVB) is dit het bewijs dat het betalingsverkeer in Nederland veilig is. |
Ook het skimmen vertoonde in de tweede helft van 2012 een sterke daling (41%). Dit is vooral het gevolg van de invoering van de EMV-chip waarvan de magneetstrip niet meer te kopiëren is (het nieuwe pinnen). Door introductie van het geoblocking kan de pinpas buiten Europa niet worden gebruikt, tenzij de eigenaar van de pas dit expliciet toestaat [NVB,2.4.13].
Ook uit de cijfers van de NVB blijkt dat de focus van internetfraudeurs verschuift van het hengelen naar vertrouwelijke gegevens (phishing), naar de ontwikkeling van malware waarbij criminelen speciale software schrijven om computers te infiltreren. Voor cybercriminelen is er een ruim aanbod van kwaadaardige software waarmee bankrekeningen geplunderd kunnen worden. Voorbeelden van deze banking trojans zijn: Tatanga, Feodo, Carberp, Citadel (Dorifel), Mebroot, SpyEye en Zeus.
Zeus steelt informatie die in http-formulieren wordt ingevoerd, accountgegevens die zijn opgeslagen in de Windows Protected Storage, en certificaten van FTP en POP abonnementen. Het modificeert HTML-paginas van websites, zoekt naar bestanden en uploadt deze, wijzigt bestanden van lokale gastheren, en vernietigt cruciale registratiesleutels [Secureworks, 11.3.10].
Zeus is voorzien van een KOS-commando (Kill Operating System) waarmee essentiële computerbestanden worden vernietigd waardoor de computers onbruikbaar worden. De aanvallers verminken de PC met opzet zodat ze meer tijd krijgen om de bankrekeningen te plunderen. De rovers hebben die tijd nodig om met de gestolen inlogggevens de bankrekening te plunderen en het geld naar verschillende katvangers over te maken. Slachtoffers zijn niet meer in staat online hun bankrekening te blokkeren of malafide transacties terug te draaien.
![]() Werking van het Trojaanse paard Zeus [klik om te vergroten] |
---|
Zeus is eenvoudig te gebruiken, makkelijk verkrijgbaar en zeer effectief. Ze wordt daarom wel de koning van de botnets genoemd. Zeus is een intelligent geconstrueerd Trojaans paard dat er telkens weer in slaagt om beveiligingsmaatregelen en detectie te omzeilen.
Aanvankelijk infecteerde Zeus alleen Windows computers die FireFox en Internet Explorer gebruiken als webbrowser. Het criminele paard kan inmiddels ook andere besturingssystemen en browsers besmetten.
Sinds 2011 is er een Zeus-variant opereert in mobiele apparaten die draaien op Android besturingssysteem. «Zitmo» infecteert Android mobieltjes en onderschept de codes die gebruikt worden om financiële transacties te beveiligen. Zeus word geactiveerd zodra een gebruiker van een geïnfecteerde telefoon probeert toegang te krijgen tot een website van zijn bank. Om het inlogproces te voltooien vraagt Zeus aan de gebruiker om een beveiligingscomponent te downloaden op hun mobiele apparaat. Deze component geeft de cybercrimineel volledige controle over het mobiele apparaat. Op naam van de gebruiker wordt vervolgens een frauduleuze transactie uitgevoerd. Het bevestigingsbericht van deze transactie wordt van het apparaat verwijderd zodat de gebruiker het niet ziet.
Sinds de broncode van Zeus in 2011 werd gelekt, lijkt elke nieuwe criminele code om bankrekeningen te plunderen gebruik te maken van de basismodules en constructieprincipes van Zeus.
Door het succes van Zeus verschenen er talloze copycats die Zeus probeerden te imiteren. In concurrenten zoals SpyEye (Eyebots) is een «kill Zeus» optie ingebouwd waardoor Zeus-bots kunnen worden overgenomen. Dit leidde tot een botnetoorlog [eWeek, 17.2.11]. Criminele groepen vechten hun onderlinge strijd uit door het kapen van elkaars botnets.
Eind 2011 verscheen een geheel nieuw platform voor botnets op de markt dat gebaseerd was op de broncode van Zeus: Citadel. Voor ongeveer € 2.000 was het platform te koop, inclusief handleiding, licentie-overeenkomst, release notes en toegang tot een forum voor ontwikkelaars. Citadel is een open source platform waarbij gebruikers suggesties kunnen doen om functies toe te voegen of te perfectioneren. Met gewone meerderheid wordt gestemd over voorstellen voor nieuwe functies en modules [Threatpost, 8.2.12] Webwereld, 17.2.12; Security.n;l, 10.8.12; Webwereld, 15.08.12].
Cybercriminelen gebruiken zeer uiteenlopende methodes en technieken om bankgegevens te stelen. Bekende methodes zijn: man-in-the-browser, keyloggers en form grabbing.
Man-in-the-browser (MiTB of MIB) is een computeraanval waarbij een Trojaans paard een webbrowser infecteert om tijdens het internetbankieren webpaginas te veranderen of zelfstandig transacties uit te voeren. Gebruikers merken daar meestal niet van om zij zich op de echte website van de aanbieder bevinden, correct zijningelogd en de ongewenste transacties er voor hen uitzien als normale transacties. Maar de bank ontvangt andere instructies met een ander rekeningnummer als begunstigde. Trojaanse paarden die deze aanvalsvorm gebruiken, zijn onder meer Agent.DBJP, Bugat, Carberp, ChromeInject, Clampi, Gozi, Nuklus, OddJob en Citadel. Keyloggers registeren de toetsen die op een toetsenbord worden aangeslagen. Maar zij registeren niet de teksten die ineen formulier of die worden inteypt op een virtueel toetsenbord. Hetzelfde geldt voor gebruikersnamen en wachtwoorden die automatisch worden ingevuld. Form Grabbing is een aanvalsmethodiek waardoor authorisatie- en inloggegevens van een webformulier worden opgevist voordat zij via internet naar een veilige server worden overgedragen. De bankgegevens van de slachtoffers worden ook geregisteerd wanneer zij gebruik maken van een virtueel toetsenbord, auto-fill of van copy-and-paste. Om minder snel op te vallen is de malware inmiddels aangepast en is er voor een eenvoudigere aanpak gekozen. Wanneer gebruikers op hun online bankrekening inloggen, krijgen zij een valse webpagina te zien die erg lijkt op de officiële bankpagina. Als de gebruiker op deze neppagina zijn inloggegevens invult, worden die naar de cybercriminelen doorgestuurd. De gebruiker krijgt een foutmelding te zien dat internetbankieren tijdelijk onbereikbaar is [Security.nl, 11.2.13]. Met deze tactiek bereikt de gebruiker nooit de inlogpagina van de bank. Zo wordt voorkomen dat de verdedigingssystemen van de bank de malware detecteren en de fraude identificeren.
Een voorbeeld daarvan is Neverquest, een nieuwere versie van de Gozi Trojan die verantwoordelijk was voor het stelen van miljoenen euros van bankrekeningen van slachtoffers [ThreatPost, 4.9.14]. Neverquest wordt verspreid via de exploitatie-bouwdoos Neutrino. Het kwaadaardige paard is zo geprogrammeerd dat het zichzelf activeert als een slachtoffer een van de meer dan 100 banken en financiële instellingen bezoekt die in de malware zijn gedefinieerd. Bankgegevens en andere persoonsgegevens worden verzameld en naar de cybercriminelen verstuurd. Om namens het slachtoffer transacties uit te voeren maken de cybercriminelen een VNC-verbinding aan en slepen de rekeningen leeg. Het geld wordt overgemaakt naar rekeningen van de cybercrimineel zelf of zijn geldezel, of naar rekeningen van andere slachtoffers. Soms worden de inloggegevens veranderd waardoor het slachtoffer helemaal niet meer bij zijn eigen rekening kan komen. Net als Zeus is ook Neverquest op de zwarte markt te koop. Maar anders dan met Zeus zijn er voor de bediening van Neverquest geen gekwalificeerde controleurs nodig. Het criminele kind kan hier de malafide was doen [TechRepublic, 30.12.14]. |
De meest gangbare cyberaanvallen op banken zijn DDoS-aanvallen. Omvangrijke botnets worden gemobiliseerd om de toegang tot de inlogpaginas voor telebankieren te versperren. De hackers die zon aanval lanceren zijn net zo divers al hun motieven.
Het lamleggen van een banksysteem met een DDoS-aanval levert voor een cyberbende tijd op om rekeningen leeg te trekken. De DDoS-aanval fungeert als een afleidingsmanoevre die ervoor zorgt dat de cyberinval zo lang mogelijk onopgemerkt blijft. Bij een DDoS-aanval zijn IT-ers druk bezig de site of server in te lucht te houden of te krijgen en hebben dan mogelijk minder aandacht voor andere toegangspoorten in het netwerk [Webwereld, 22.10.12]. In de beveiligingsgemeenschap zijn nog geen goede scenarios ontwikkeld voor de verdediging tegen aanvallen die van meerdere kanten tegelijk komen. |
Bij cyberaanvallen op banken is het in eerste instantie altijd zeer lastig om vast te stellen met wat voor soort aanvallers men te maken heeft en wat hun precieze intenties zijn. Dat was ook het geval met de grootscheepse DDoS-aanval die vanaf 5 april 2013 werd uitgevoerd op de ING Bank en het betalingssysteem iDeal. De aanvallers belastten de servers van meerdere banken door herhaaldelijk proberen in te loggen met behulp van gekaapte computers van het aanvallende botnet. Het online betalingsverkeer werd een aantal dagen lang gestoord.
Zoals gebruikelijk werd de aanval niet rechtstreeks vanaf één bron gelanceerd, maar via een veelvoud van gemaskeerde IP-adressen. Om de bron of bronnen te lokaliseren moeten eerst de schakels tussen deze proxies in kaart worden gebracht.
Digitaal geld is ondertussen zo’n groot deel van ons leven uit gaan maken dat de veiligheid daarvan geborgd moet zijn [Kamerlid Arnold Merkies, in: SP.nl]. |
De identiteit en intenties van de aanvallers zijn nog niet bekend. Ook niet of de oplichters die misbruik maakten van de onzekerheid bij ING-klanten door daarop inspelende frauduleuze lokmails te versturen ook verantwoordelijk waren voor de DDoS-aanval. Niemand claimde de verantwoordelijkheid voor de DDoS-aanval [NSSC, 9.4.13].
De Nederlandse Vereniging van Banken (NVB) stelde voor om cyberaanvallen op banken te verheffen tot een zaak van nationale veiligheid. Maar als dat gebeurt heeft de Nederlandse overheid ook de plicht om regels te stellen aan het beveiligingsbeleid van particuliere banken. Dat zal de banken minder bevallen.
Het is een klassieke tactiek van de Italiaanse maffia: je stuurt eerst de harde, dreigende enforcers naar het doelwit, vervolgens stuur je de behulpzame redders in de nood om je daartegen te beschermen. Het uiteindelijk resultaat is dat het slachtoffer een hoge rekening betaald voor zijn protectie het slachtoffer wordt bestolen. Op het internet gaat dit subtieler, maar het resultaat is hetzelfde. Dit was de lokmail waarmee ING-rekeninghouders werden bestookt.
![]() Cybercriminelen misbruiken de recente aanval op sites van Nederlandse banken om phishingmails te versturen. Momenteel is er een nepbericht van ING in omloop waarin staat dat door internetfraude uw rekeninggegevens onvoldoende beveiligd zijn. U wordt gevraagd op een link te klikken om uw gegevens te beveiligen. Doe dat niet, maar verwijder het bericht.
|
Er zijn cyberaanvallen bekend waarbij 130 banken binnen één dag 10 miljoen dollar verloren. Als dit een traditionele bankroof was geweest, zou het wereldnieuws zijn geworden. In dit geval besloten de bankdirecties om geen ruchtbaarheid te geven aan deze cyberroofoverval uit angst dat dit hun zaken negatief zou beïnvloeden. Verlies van veiligheidsreputatie en klantvertrouwen is de nachtmerrie voor elke bankier.
De criminelen hadden ingebroken op een computernetwerk waar zij informatie stalen van meerdere rekeningen. De PIN-codes werden ontcijferd en met deze gegevens werden witte plastic pasjes gemaakt waarmee via geldautomaten rekeningen werden leeggeroofd. Om deze klus te klaren, kwamen tientallen criminelen tegelijk in actie in 49 steden in Europa, Noord-Amerika, Zuid-Amerika en Azië. Het illustreert de internationalisering van cybercriminaliteit. In totaal werd bij deze Operation High Roller $2,5 miljard gestolen [Business Insider, 28.6.12].
![]() Vladimir Levin |
---|
Na zijn arrestatie verspreidden anonieme hackers uit St. Petersburg het bericht dat Levin (die biochemie studeerde op de Tekhnologichesky Universiteit in diezelfde stad) niet over de technische vaardigheden beschikte om in de computersystemen van Citibank in te breken. Zij zouden er zelf wel in geslaagd om diep door te dringen in het netwerk van de bank en zouden de details over deze toegang voor 100 dollar aan Levin hebben verkocht.
Het IMF speelt een belangrijke rol in de economische herstelprogrammas voor Griekenland, Portugal, Spanje en Ierland. De databestanden van het IMF bevatten informatie die markten in een bepaalde richting kunnen duwen en verslagen van onderhandelingen met regeringsleiders over de voorwaarden van internationale financiële steun. Als die informatie in verkeerde handen komt is dat politieke dynamiet.
Volgens een voormalige Britse inlichtingenofficier, Nick Day, zat de Chinese regering achter deze aanval. Waar de Chinezen met name in geïnteresseerd zijn, is welke leningen het IMF aan andere landen gaat geven. De geopolitiek daarvan is dat er een aantal landen zijn die op enorme buitenlandse financiële reserves zitten Rusland, China, Japan en het Midden-Oosten en de rest van ons leent van die kredietverschaffers [Foxnews, 14.11.08; Webwereld, 6.11.08]. Wie vroegtijdig informatie over leningen in handen krijgt, kan andere landen vooral landen uit de derde wereld met mineralen en olie benaderen om bij hen een lening af te sluiten, in plaats van bij het IMF. |
De eerste roof van bijna 4 miljoen euro vond plaats op 21 december 2012. De hackers infiltreerden het systeem van een Indische creditcerdverwerkingsbedrijf dat handelt in Visa en MasterCard prepaidaccounts. Zij verhoogden de opnamelimieten op prepaid MasterCard debitrekeningen die worden uitgegeven door de Nationale Bank van Ras Al-Khaimah in de Verenigde Arabische Emiraten. Door het verwijderen van de opnamelimieten hadden de criminelen slechts een aantal rekeningnumers nodig om een financiële instelling enorme verliezen te bezorgen.
Bij de tweede roof op 19 februari werd ruim 30 miljoen euro uit geldautomaten getrokken. Daarvoor werden over in 23 landendoor een leger van katvangers 4.500 transacties uitgevoerd. Er werd onder meer gepind in Japan, Rusland, Roemenië, Egypte, Colombia, Sri Lanka en Canada. De criminelen hadden hiervoor ingebroken in het systeem van een Amerikaans creditcardverwerkingsbedrijf en hackten daar twaalf rekeningen. Ook dit keer wisten de criminelen de opnamelimiet van de kaarten te verwijderen en stond er een nog groter leger van katvangers klaar om met de gestolen kaartgegevens geld op te nemen [Security, 10.5.13].
![]() Twee van de Amerikaanse bankrovers poseren met rond de 40.000 dollar in cash. [Klik om te vergroten] |
---|
Bij de groep die in Duitsland pinden in de wereldwijde roof die in New York was opgezet, speelden Nederlanders een belanrijke rol. In Düsseldorf stonden twee Nederlanders terecht voor de miljoenenroof. Zij werden beschuldigd van computerfraude en het vervalsen van creditcards.De Haagse timmerman Eddy Z. (35) en zijn moeder Wilma Z. (56) werden in Düsseldorf gearresteerd met bijna 168.000 euro cash in de laadruimte van hun bestelbusje.
Op de mobiele telefoon van Eddy Z. troffen de rechercheurs Nederlandse smsjes aan van de pinteams in Frankfurt, Duisburg en Bremen. De criminelen elkaar op de hoogte via sms. Er werden berichtjes naar elkaar gestuurd zoals We zijn succesvol, Het werktt en Ik heb weer 2500 euro en rij nu naar huis. De timmerman en zijn moeder werden veroordeeld tot vier jaar en drie maanden cel [Die Welt, 15.11.13; Telegraaf, 4.2.14].
Later werden nog zeven andere verdachten uit Nederland geïdentificeerd en aangehouden.
![]() Bogachev werd beschouwd als de grootste bedreiging voor het Amerikaanse banksysteem. Nooit zette hij een stap in de VS. Zijn hele operatie voerde hij uit via aanslagen op zijn toetsenbord vanuit zijn huis aan de kust van de Zwarte Zee. |
---|
Gecentraliseerde commando & controle servers kunnen door beveiligingsexperts worden geïdentificeerd en geblokkeerd. GOZ is een gedecentraliseerde peer-to-peer (P2P) variant de Zeus familie van bankgegevens stelende malware die in september 2011 werd ontdekt. Om detectie te voorkomen wordt bovendien gebruik gemaakt van encryptie. GOZ is zeer veerkrachtig omdat het geen single point of failure kent. |
De slachtoffers van Bogachevs bende waren onder andere een Amerikaans-Indiaanse stam in Washington state, een verzekeringsmaatschappij, een lokale politieafdeling in Massachusetts, een pestcontrole bedrijf in North Carolina, een restaurant en een regionale bank in Florida.
De GOZ onderschept wachtwoorden en andere persoonlijke informatie die gebruikt wordt om geld over te maken. De malware verstuurt vervolgens geld van de bankrekening van het slachtoffer over naar buitenlandse bankrekeningen die door de cybercriminelen worden gecontroleerd.
Via het GOZ botnet werd ook de ransomware CryptoLocker verspreid die in april 2014 al meer dan 200.000 computers over te hele wereld had geïnfecteerd. Op deze manier haalde de bende $27 miljoen losgeld binnen.
aanklachten in Pittsburgh. 2 juni 2014 kwam hij voor.
In december 2010 werden al dertien verdachten in deze zaak aangehouden. Toen leek het te gaan om een fraudebedrag van 5,6 miljoen euro en werd gedacht dat alleen ABN Amro het slachtoffer was. Daarna bleek het bedrag te zijn opgelopen tot 45 miljoen euro en bleek ook de Rabobank gedupeerd.
De zes veroordeelde criminelen werden op 23 mei 2011 gearresteerd. Het zijn vijf mannen en een vrouw, die wonen in Bunschoten, Beneden Leeuwen, Utrecht, Amersfoort, Nijkerk en Altforst. De banken hebben zelf 42 miljoen euro teruggehaald en justitie legde voor een aantal miljoen beslag. Er werd ondermeer beslag gelegd op sportautos, twee vrachtwagens, twee scooters en een buitenjacuzzi. Ook werd voor een waarde van 900.000 euro beslag gelegd op meerdere huizen [Nieuwsuur, 24.5.11]. |
De hoofdverdachte, oud-politieman Ed M. (55) uit Bunschoten beweerde dat hij toevallig tegen een lek van de bank zou zijn aangelopen, maar de rechtbank veegde dat verhaal van tafel. De zes bankrovers werden veroordeeld voor oplichting, witwassen en deelname aan een criminele organisatie [OM, 18.8.14; NRC, 19.6.14; Telegraaf 18.8.14; AD, 18.8.14].
De hackers kregen toegang tot de websites van de bank door een zero-day softwarelek. Vervolgens ploegden zij zich door uitgebreide beveiligingslagen om de data te stelen. Gezien de subtiliteit van de aanval rees het vermoeden dat zij niet zonder overheidssteun kon worden uitgevoerd [Bloomberg, 28.8.14; Bloomberg, 3.9.14; NYT, 27.8.14; Guardian, 28.89.14].
Via lokmails hadden de cybercriminelen zich toegang verschaft tot de databanken die officiële informatie bevatten over emissiecertificaten van individuele ondernemingen. De lokmails leken verstuurd te zijn uit naam van de Deutsche Emissionshandelsstelle (DEHSt). Meerdere Europese en een aantal Japanse en Nieuw-Zeelandse ondernemingen ontvingen een bericht waarin zij werden uitgenodigd om door te klikken naar een webpagina om opnieuw hun gebruikersregistratiegegevens in te voeren. De reden die daarvoor werd gegeven was ironisch: het beschermen van het register tegen dreigende aanvallen van hackers.
Zo kregen de hackers de beschikking over informatie om emissierechten over te dragen naar rekeningen in vooral Denemarken en Groot-Brittannië. Van daaruit werden de rechten vervolgens snel doorverkocht [Financial Times Deutschland, 2.2.10]. Minstens negen van dergelijke manipulaties werden bekend. Een middelgroot industrieel bedrijf zou al rechten ter waarde van 1,5 miljoen euro hebben verloren [FTD, 2.2.10].
Het is de vraag of de daders lang konden profiteren van hun gestolen certificaten. De emissiecertificaten zijn genummerd en kunnen dus worden geïdentificeerd. Het internationale secretariaat van de UNFCCC kan grensoverschrijdende handel controleren en illegale transacties ongedaan maken. Maar de kans om op deze manier de buit van de cybercriminelen terug te krijgen is zeer klein. Om de schade te beperken, sloten talrijke Europese landen hun certificaatregister een paar dagen af, zodat er even geen transactieboekingen konden worden doorgevoerd.
Het doel van de EU is om de globale opwarming van de aarde te beperken tot 2 graden Celsius boven het pre-industriële niveaus. De EU wil de klimaatverandering beperken en voldoet aan haar verplichtingen onder het Kyoto Protocol. Elke lidstaat verleent haar CO2-uitstotende faciliteiten een bepaalde hoeveelheid emissierechten door middel van een Nationaal Allocatie Plan. Deze rechten kunnen net als andere waren op de markt worden verhandeld. In 2009 was de marktprijs van 1 EUA (1 ton CO2) ongeveer € 12,5. In de 27 lidstaten werden meer dan 2 miljard EUAs verdeeld aan 12.000 instellingen die CO2 uitstoten. De totale waarde van de CO2-markt van de EU wordt geschat op € 90 miljard per jaar. |
Dit was geen incident. Op 9 december 2009 maakte Europol het Europese samenwerkingsverband van de politiediensten bekend dat de fraude op de handelsmarkt voor emissies in anderhalf jaar tijd een belastingverlies van € 5 miljard had veroorzaakt, vooral in Engeland, Frankrijk, Spanje, Denemarken en Nederland. Ook ondernemingen, elektriciteitsleveranciers en handelaren leden schade. Om verdere verliezen te voorkomen veranderden Frankrijk, Nederland, het Verenigd Koninkrijk en later ook Spanje hun belastingregels met betrekking tot deze transacties. Nadat deze maatregelen waren genomen daalde het marktvolume van deze landen met 90 procent. De grootschalige georganiseerde criminaliteit tast de geloofwaardigheid van het CO2-handelssysteem aan en leidt tot substantieel verlies van belastinginkomsten voor regeringen [Europol, 9.12.09; The Telegraph, 10.12.09].
Criminelen maken gebruik van de techniek van Missing Trader Intra-Community Fraud (MTIC). Ze kopen CO2-certificaten elders in Europa op waar de BTW lager is. Daarna worden de certificaten doorverkocht naar landen als Nederland en Engeland waar de BTW hoger is [CO2-krediet carroussel]. De criminelen steken het verschil in hun zak. Deze tactiek wordt vaker toegepast in de handel van mobiele goederen over Europese grenzen, zoals mobiele telefoons, computers, sigaretten en edele metalen.
De criminelen verspreiden hun activiteiten over meerdere lidstaten tegelijkertijd en zijn daardoor in staat om de verschillende eigenaardigheden en zwaktes van de nationale belastingsystemen te exploiteren en de werkelijke verbindingen tussen deelnemers te verbergen. De criminelen die het scenario opzetten en die verantwoordelijk zijn voor de belastingfraude de ontbrekende handelaren opereren slechts korte tijd, voordat zij van het toneel verdwijnen. De fraudeschemas zijn gebaseerd op virtuele of reële carroussel transacties waarbij dezelfde goederen verschillende keren worden gekocht en verkocht [Europol Review 2009:32]. In vakkringen wordt dit btw-carrousselfraude genoemd.
De enige databank waarin MTIC-gerelateerde criminele informatie wordt opgeslagen is de Europol Analysis Work File on Missing Trader Intra-Community Fraud. Europol houdt de btw-fraude nauwkeurig in de gaten en probeert de daders op te sporen.
|
Cybercriminelen hebben hun activiteiten in snel tempo uitgebreid naar de milieu- en energiemarkten. De fraude met CO2-certificaten (ook wel CO2-kredietfraude genoemd) indiceerde slechts het omslagpunt. De btw-fraude fraude tast niet alleen de financiële belangen van de Europese gemeenschap aan, maar heeft ook gevolgen voor legale ondernemingen die niet op niveau kunnen concurreren in sectoren die door btw-fraude zijn gecorrumpeerd. Zij moeten opereren op een gemanipuleerd speelveld waarin clandestiene en criminele ondernemingen worden bevoordeeld
Tegen het einde van het eerste decennium van de 21ste eeuw werd cybercriminaliteit een prioriteit op de Europese agenda en dus voor Europol. Met haar High Tech Crime Centre ondersteunt Europol lidstaten in de algemene strijd tegen georganiseerde cybercriminaliteit. In 2009 werd het Europol Cyber Crime Platform (ECCP) opgericht. Dit platform fungeert als meldpunt waar lidstaten internetgerelateerde vormen van criminaliteit kunnen rapporteren: Internet Crime Reporting Online System (i-CROS). Het ECCP probeert cybercriminele groepen te identificeren, op te sporen en te ontmantelen. Via haar forensisch expertise platform (i-FOREX) wordt geïnformeerd over best practices en worden agenten getraind in het rechercheren van cybercriminele activiteiten en het opsporen van daders.
Alle typen van georganiseerde criminaliteit gebruikt het internet als communicatiemedium, informatiebron, marktplaats, rekruteringsveld en financiële dienst. Het demografisch profiel van de moderne cybercrimineel is: jong, zeer vaardige individuen die vaak van universiteiten worden gerekruteerd [Europol, OCTA 2011]. Zowel in de virtuele als in de lokale wereld worden de meeste criminele activiteiten geïnitieerd door individuen of kleine groepen. Phil Williams spreekt in dit verband over «disorganized crime». |
Nasdaq is een typische schermenbeurs: de handel verloopt volledig computergestuurd. Bij een zo belangrijk financieel systeem als de Nasdaq verwacht men dat de computersystemen uiterst nauwkeurig en op het hoogste niveau zijn beveiligd als een cyber Fort Knox. Onderzoek van de FBI wees echter uit dat de beveiligingspraktijken van Nasdaq OMX Group verbazingwekkend nonchalant waren waardoor de beurs een gemakkelijk doelwit werd voor hackers [Huffington Post, 18.11.11].
Directors Desk is een programma dat door Nasdaq zelf verkocht wordt aan bedrijfsdirecties. Zij kocht het programma in 2007 van een bedrijf in Washington. Het programma wordt gepresenteerd als uiterst veilig omdat het gebruik zou maken van zeer sterke technologie voor dataprotectie. Het programma is inmiddels ook gratis beschikbaar als IPad app. |
Voor dergelijke belangrijke financiële systemen is zon gebrek aan cyberhygiëne meer dan opmerkelijk. Nasdaq spendeert jaarlijks bijna een miljard dollar aan informatiebeveiliging. Wereldwijd werken er maar liefst 1.000 mensen aan de informatietechnologie van Nasdaq en 10 bedrijven adviseren haar over beveiligingskwesties, inclusief een belangrijke Amerikaanse defensieaannemer. Maar zij waren samen niet in staat om te achterhalen hoelang de kwaadaardige software al in het netwerk van Nasdaq werkzaam was voordat het werd ontdekt.
Nasdaq verklaarde dat haar handelsplatforms niet door de hackers waren gecompromitteerd en dat zij alleen het programma Directors Desk waren binnengekomen. Maar door dit programma te infecteren kregen de hackers toegang tot vertrouwelijke documenten en tot de communicatie tussen directieleden. Zij kregen ook toegang tot gegevens van beursgenoteerde bedrijven [Reuters, 20.10.11].
Het is een voorbeeld van een getrapte aanval (blended attack) waarbij hackers een doelwit infiltreren om toegang tot andere computersystemen te vergemakkelijken. Het is vergelijkbaar met de aanval op de RSA beveiligingsafdeling waarbij digitale beveiligingssleutels werden gestolen die later werden gebruikt om in te breken op de netwerken van militaire eenheden, inlichtingendiensten en wapenproducenten (zoals Lockheed Martin).
Het feit dat ook de NSA werd ingeschakeld om de cyberaanval op Nasdaq te onderzoeken, wijst erop dat de aanval ernstiger was dan Nasdaq wilde toegeven. Het vermoeden was dat er een nationale staat bij betrokken was of een buitengewoon capabele criminele organisatie. Nader onderzoek liet zien dat er zelfs sporen waren van meerdere uiteenlopende groepen die al jaren lang clandestien in de netwerken van Nasdaq opereerden [Bloomberg, 30.3.11; Wired, 30.3.11].
In januari 2011 concludeerde de NSA dat de ingebouwde digitale bom in staat was om de hele beurs weg te vagen en dat deze bom geplaatst zou zijn door Russische elitehackers. Maar in tegenstelling tot een bom of een raket kan kwaadaardige software worden hergebruikt. Daarna vond de NSA bewijzen dat de Russische malware gebruikt werd door een hooggekwalificeerde Chinese cyberspion die daarmee zijn identiteit probeerde te verbergen. Toen uiteindelijk ook de CIA zich in het onderzoek mengde werd de theorie van de inbraak nogmaals gewijzigd: het zou een zeer uitgebreide vorm van cybermisdaad zijn die vooral gericht was op het stelen van Nasdaqs meest kritische technologie [Bloomberg, 17.7.14].
De financiële dienstensector verliezen jaarlijks honderden miljoenen dollars aan hackers [Reuters, 20.10.11]. De cyberaanvallen op financiële instellingen worden steeds geraffineerder en destructiever. In Amerika spannen FBI en NSA (National Security Agency) zich in om de financiële netwerken tegen verdere cyberaanvallen te beschermen. Maar het is nog steeds een ongelijke strijd. Ondanks alle defensieve inspanningen vertonen de financiële netwerken nog steeds enorme kwetsbaarheden voor een groeiend aantal steeds destructiever cyberaanvallen.
De DDoS-aanval op de aandelenbeurzen werd opgeëist door hacktivisten (of een hacktivist) die zich de L0NGwave99 Group noemen [The Guardian, 14.2.12]. In een warrige verklaring werd gezegd dat hun operatie Digital Tornado gericht was tegen het gevaarlijke kapitalisme van de liberale democratie. De hackers wilden met hun actie de Occupy-beweging ondersteunen.
|
«High frequency traders» zijn handelshuizen die met behulp van computeralgoritmen geautomatiseerd en razendsnel in effecten en derivaten handelen. In Europa maken zij al 50% van de beurshandel uit. |
Om de beurs uit de spiraal naar beneden te trekken was een noodstop van 30 seconden nodig. Die tijd was nodig om alle algoritmes uit te zetten en met nieuwe informatie opnieuw op te starten. Of het hier een bewuste opdracht betrof of een fout in het systeem bleef onduidelijk. Maar op 6 mei verdampte er binnen een paar minuten 862 miljard dollar op de beurs van New York omdat de computerprogrammas op hol sloegen.
|
Door de sterke stijging van het aantal beurstransacties is het verschil tussen aan- en verkoopprijs van aandelen en derivaten aanzienlijk kleiner geworden. Flitshandelaren echter zijn niet geïnteresseerd in de waarde van aandelen of derivaten. Zij kopen en verkopen ze immers niet om er een aandelenpositie mee op te bouwen zoals de institutionele beleggers doen. De «belegging» in kredietproducten duurt slechts een paar seconden (en vaak zelfs veel korter). Er wordt alleen maar gehandeld in het minieme verschil tussen de aan- en verkoopprijs. Door dit extreem snel en vaak te doen kunnen gigantische winsten worden gemaakt.
De kunst is om daarvoor programmas te schrijven die de concurrentie te slim en vooral te snel af is. Dat zijn programmas die in fracties van milliseconden allerlei handelsstrategieën op de beurs kunnen doorrekenen. Met behulp van zeer geavanceerde wiskundige formules (algoritmes) maken deze softwarerobots op grond van alle actuele beursinformatie supersnelle beslissingen om aandelen en derivaten te kopen of te verkopen. Om optimaal gebruik te kunnen maken van minimale verschillen tussen bied- en laatkoers worden die computers zo dicht mogelijk bij de beurscomputers geplaatst die de transacties verwerken. Hoe langer de glasvezelkabel hoe meer nanoseconden de signalen onderweg zijn. Daarom worden de supercomputers van de flitshandelaren fysiek zo dicht mogelijk bij de beurscomputers geplaatst. Tijd is geld, In dit geval zijn zelfs fracties van milliseconden heel veel geld waard. Beursalgoritmes zijn in wiskundige formules vastgelegde handelspatronen. De algoritmes die op de computers van flitshandelaren draaien zijn wiskundig zeer complex. Ze zijn niet in real time zichtbaar en zijn moeilijk te ontrafelen.
Het risico van flitshandel is dat alle algoritmes op een bepaald moment hetzelfde gaan doen. De algoritmes reageren dan alleen nog maar op elkaar in plaats van op nieuwe relevante informatie over een aardbeving in China, een dreigend failliet van de Griekse overheid of een oorlog met Iran. Bij snel vallende koersen heeft de flitshandel een versterkend effect (het sneeuwbaleffect). Hierdoor kan een flitscrach ontstaan die razendsnel op een regelrechte systeemcrisis kan uitlopen. |
Flitshandelaren kunnen de handel op beurzen manipuleren. Door op het ene moemnt heel veel verkooporders te geven en die een microseconde later weer in te trekken kunnen de aandelenprijzen worden gemanipuleerd. Omdat zo snel gaat is de particuliere belegger per definitie de klos zij zijn altijd te laat. Institutionele beleggers zoals pensioenfondsen zijn geen partij voor de snelle algoritmen waarmee flitshandelaren de koersbewegingen naar hun hand zetten.
De onderlinge concurrentie tussen flitshandelaren verschuift steeds meer naar een technologische race wie er op de beurs het snelste kan reageren. Steeds meer inkomsten worden gegenereerd door het verkopen van transactiegegevens aan de algoritmehandelaren.
Bij de duurdere aandelen gebeurt precies het tegenovergestelde. Orders van particulieren worden eerst overtroefd door kleine aankooporders die milliseconden vóór de particuliere order worden geplaatst. Omdat zijn order niet wordt uitgevoerd besluit de particuliere belegger dat hij wel iets meer wil betalen. Hij verhoogt zijn aankooplimiet en krijgt nu ineens wel zijn aandelen. Door deze manipulatie van de koersvorming wordt de particuliere belegger uitgelokt om zijn verkoopprijs te verhogen en betaald uiteindelijk een te hoge prijs voor zijn aandeel. Flitshandelaren kunnen financiële markten manipuleren zonder dat de toezichthouder dit ziet. Marktmisbruik kent vele varianten en de beursbengels dit als een opwindend spelletje. Vlak voor het sluiten van de beurs een order inleggen om een reactie bij een ander algoritme op te roepen om dan binnen een fractie van een seconde de order weer in te trekken: kassa! |
Een verbod op het gebruik van computertechnologie is onzinnig en onuitvoerbaar. Het zou alle voordelen van de automatisering (efficiëntere markten en lagere transactiekosten) teniet doen. Hetzelfde geldt voor voorstellen om de frequentie waarmee prijzen worden vastgesteld te verlagen. Een algemeen speculatieverbod botst frontaal op de kapitalistische logica die de leidraad is voor het politiek handelen van regeringsleiders. En politici die nog wel in staat zijn om een onderscheid te maken tussen de kapitalistische en speculantenlogica zijn dun gezaaid.
Een verbod op het gebruik van computertechnologie is onzinnig en onuitvoerbaar. Het zou alle voordelen van de automatisering (efficiëntere markten en lagere transactiekosten) teniet doen. Hetzelfde geldt voor voorstellen om de frequentie waarmee prijzen worden vastgesteld te verlagen. Een algemeen speculatieverbod botst op de kapitalistische logica die de leidraad is voor het politiek handelen van regeringsleiders.
De populairste remedie is het beperken van de snelheid van de aandelenhandel door het instellen van een snelheidslimiet. Op 24 september 2012 presenteerde de Europese Commissie een aantal maatregelen om de flitshandel op de beurs aan banden te leggen. De belangrijkste maatregel is het beperken van de beurssnelheid tot een halve seconde (500 milliseconde). Ten opzichte van de huidige snelheid (0,05 milliseconde per transactie) zou dit een enorme vertraging betekenen. De transacties op de beurzen zouden door dit voorstel duizend keer trager verlopen dan nu het geval is.
Het gevolg van dit voorstel zou zijn dat orders minstens een halve seconde in het orderboek van de beurs moeten blijven staan voordat ze kunnen worden geannuleerd of gemodificeerd. Voor flitshandelaren als Optiver, IMC en Flow Traders is dit een eeuwigheid. Zij beschouwen dit als een ongehoorde interventie in hun manier van zaken doen. Als zij verplicht zouden worden om hun orders voor 500 milliseconden in te leggen zonder dat zij deze tussentijds mogen veranderen, dan lopen zij enorme risicos. Je legt in die tijd als het ware je portemonnee op tafel. Dat willen we niet, aldus een woordvoerder van de lobbyorganisatie FIA [Volkskrant, 17.10.12].
De flitshandelaren hebben hun eigen Europese lobbyclub opgericht. De European Principal Traders Association (EPTA) dochter van de Amerikaanse lobbyvereniging FIA verweert zich tegen het verwijt dat hun manier van handelen zorgt voor flitscrashes en andere systeemrisicos. Beursbengels houden niet van regelgeving. Het beperkt hun gokverslaving en roomt hun speculatie-winsten af [Quote, 19.8.11]. Zij voelen zich diep beledigd en verwerpen alle kritiek als ongefundeerde roddelpraat (aldus EPTA-baas Remco Lenteman, voorheen werkzaam bij Goldman Sach).
|
Flitshandelaren stellen alles in het werk om de snelheid van hun beursoperaties nog verder op te voeren. Zij investeren zwaar in de aanleg van nieuwe, nog snellere onderzeese glasvezelkabels die de beurzen van Tokyo, Londen en New York met elkaar verbinden. Hierdoor zal in 2014 de overdracht van een opdracht tussen de beurs van Tokyo en Londen 62 milliseconde korter duren dan de 230 milliseconden die daar nu nog voor nodig zijn. Medio 2011 kondige het in Londen gevestigde bedrijf Fixnetix aan dat zij de allersnelste handelsapplicatie had gemaakt: een microchip die een transactie in 740 miljardste seconde kan uitvoeren. Je kunt niet meer zeggen dat transacties zich in een oogwenk voltrekken: een oogwenk heeft honderden miljoenen nanoseconden nodig. Voor sommige flitshandelaren zijn zelfs nanoseconden nog te traag. Zij spreken al over picoseconden een triljoenste van een seconde [Wall Street Journal, 14.6.11; Gay/Yao/Ye 2012].
De toezichthouders op de beurzen hebben steeds minder zicht en dus grip op de geautomatiseerde markten van aandelen en derivaten. Ze lopen achter op het gebied van automatisering en moeten steeds meer it-ers aantrekken om een bij te blijven. Ze hebben goede automatische detectie- en analysesystemen nodig die uit alle data opvallende of verdachte orders en koersbewegingen te destilleren [Cooper/Van Vliet 2012]. Toezichthouders moeten niet alleen meer inzicht krijgen in de nieuwe ecologie van de gecomputeriseerde markten, maar ook hun internationale samenwerking te versterken. Het komt niet zelden voor dat flitshandelaren op de ene markt een crash veroorzaken om daarop in een andere markt te speculeren.
De AFM (Autoriteit Financiële Markten) is de waakhond van de Nederlandse financiële markten. Zij moet toezicht houden op het gedrag van alle partijen die op de financiële markten opereren: financiële dienstverleners, beurzen, bemiddelaars en accountants. De AFM moet erop toezien dat deze partijen correct handelen en hun partners van de juiste informatie voorzien. De vraag is echter of de AFM voldoende is uitgerust om de patronen van de flitshandel te herkennen en bij verdachte koersbewegingen snel genoeg kan ingrijpen.
De AFM houdt toezicht op alle orderdata van de AEX (Amsterdam Exchange Index). De AEX geeft het beeld van de koersontwikkeling van de 25 aandelen met de grootste marktkapitalisatie op de Amsterdamse effectenbeurs. Technisch gezien is de AFM wel in staat om alle microbewegingen op deze beurs te reconstrueren. Maar zij heeft geen continu beeld van de flitsorders die over de gedigitaliseerde beursvloer vliegen. Als er verdachte koersbewegingen worden geconstateerd, is zij ook niet in staat om de identiteit te achterhalen van de handelaren die de flitsorders hebben geplaatst. De AFM beschikt niet over dezelfde algoritmische technologie als degenen waarop zij toezicht moeten houden. Maar ook de AFM heeft geen behoefte aan het Europese voorstel een tijdslimiet in te voeren om de risicos die aan de flitshandel verbonden zijn te beteugelen. Sommige critici zeggen dat de AFM een waakhond van de beurs moet blijven en geen schoothondje van flitskapitalisten.
De Europese Unie wil de risicos van de flitshandel beperken door op de rem te gaan staan. Maar de ziel van het flitskapitaal is juist gelegen in de enorme snelheid waarmee zijn robots op de internationale effectenmarkten opereren. Fast trade en snelheidslimieten zijn onverenigbaar. Een andere manier om de ontregelende kracht van het flitskapitaal te beperken is het inbouwen van betere circuit breakers die de handel stilleggen als er problemen worden geconstateerd. Met zon noodrem kan de schade worden beperkt, maar niet voorkomen.
Een aantal grote flitshandelaren hadden zich al een paar minuten vóór de koersval van Google uit de markt teruggetrokken. Hierdoor ontstond een groter verschil tussen aan- en verkoopprijs. De computeralgoritmes reageerden daarop met een snel spervuur van ingetrokken kooporders [Bloomberg, 18.10.12]. Er werd pas aan de noodrem getrokken nadat het flitskapitaal haar schaapjes op het droge had. De algoritmische snelhandel trok aan het langste eind.
|
Voor particuliere beleggers is de effectenhandel inmiddels steeds ondoorzichtiger geworden. Maar zelfs voor de AFM is de effectenhandel inmiddels zo ingewikkeld dat het bijna onmogelijk is om daarop goed toezicht te houden. Dat komt niet alleen door de computergestuurde manipulaties van beurskoersen, maar ook omdat er op steeds meer plaatsen wordt gehandeld. Slechts de helft van de gebeurt op gewone beurzen zoals Euronext. Inmiddels gaat 40% van de handel naar alternatieve, volledig geautomatiseerde platforms zoals Bats, Chi-X, Turquoise en Tom. Door hun lagere transactiekosten bieden deze platforms uitgelezen winstkansen voor oncontroleerbare flitshandel. Zij bieden tegelijkertijd ideale omstandigheden voor criminele beursmanipulaties.
Criminele netwerken zijn multinationaal in bereik waardoor hun impact groter is dan ooit te voren. Criminele organisaties zijn de meest ondernemende en lenige elementen van de globale economie. Ze zijn bijzonder behendig is het exploiteren van zwakke instituties en fragiele staten. Zelfs in de meest geavanceerde economieën is hun invloed zeer vergaand. In een verklaring van het World Economic Forum werd dit pijnlijk adequaat onder woorden gebracht.
In 2011 waagde de UNODC (United Nations Office on Drugs and Crime) zich aan een eerste globale schatting van transnationaal georganiseerde criminaliteit. Zij schatte de clandestiene stromen die verbonden zijn aan misdaadsyndicaten op $ 125 miljard per jaar. Daarvan wordt 85% toegerekend aan de handel in illegale drugs.
Natuurlijk zijn dergelijke getallen niet meer dan schattingen. Maar zelfs in de meest conservatieve schattingen zijn de criminele inkomsten gigantisch groot. Bovendien zijn dit alleen nog maar de directe kosten. De indirecte kosten zijn aanzienlijk hoger. Dat zijn kosten in de vorm van instabiliteit, geweld en verwondingen, menselijke gezondheid, schoonmaken van milieu, en een gemanipuleerd speelveld dat clandestiene ondernemingen bevoordeelt.
Over miljoenen illegale transacties per dag wordt geen belasting geheven. Dat geldt voor illegale banktransacties tot aan het smokkelen van imitatie goederen (schoenen, tassen en medicijnen) en verhandelen van intellectueel eigendom. Overheden die zich inzetten om de sociale voorzieningen nog een beetje overeind te houden verliezen nog eens vele miljarden extra door belastingontduiking en het witwassen van zwart geld. Al deze niet-verkregen belastinginkomsten hebben directe gevolgen voor de belastingbetaler.
Effectenhandelaar Jérôme Kerviel had door ongeoorloofde speculaties op de futuremarkt zijn bank met grote verliezen opgezadeld. Aanvankelijk werkte hij op een controle-afdeling van de bank. Hij maakte misbruik van zijn kennis van de beveiligingssystemen van de bank om zijn sporen te verbergen via een serie fictieve transacties. Door interne controles te ontwijken kon hij zijn zware verliezen lange tijd verbergen. |
Bovendien maakt de economische crisis bonafide opererende ondernemers meer geneigd (of gedwongen) om compromissen te sluiten, waardoor criminele groepen nog verder in het economisch stelsel kunnen infiltreren.
De beurzen zijn een eldorado geworden voor individuele en georganiseerde cybercriminelen, maar ook voor cyberterroristen en nationale staten die vijandige staten proberen te verzwakken door hun financiële stelsel met cyberoperaties te ontregelen. De netwerken van de beurzen zijn in steeds sterkere mate afhankelijk geworden van informatietechnologie. Die informatietechnologie wordt door externe ondernemingen ontwikkeld, ondersteund en onderhouden. Maar het is nooit helemaal duidelijk welke achterliggende belangen deze it-bedrijven hebben en hoe daar de eigen beveiliging is geregeld.
De beveiligingsafdelingen van beurzen en banken worden geconfronteerd met een toenemend aantal hooggekwalificeerde en gerichte cyberaanvallen. De meeste experts zijn het erover eens dat zij daartegen slechts weinig kunnen inbrengen. Dit betekent dat de financiële markten nog lange tijd kwetsbaar zullen zijn voor cyberaanvallen. Sommige cyberaanvallers hebben voldoende expertise in huis om onopvallend in beurzen te penetreren en kunnen daar voor langere tijd ongedetecteerd hun werk doen. Daarbij kunnen met minimale inspanning en verwaarloosbare risicos fantastische winsten worden behaald.
De financiële sector is het meest populaire doelwit. Hier vindt 75 procent van de cyberaanvallen plaats. Om toegang te krijgen tot computersystemen maken de cybercriminelen vooral gebruik van lokmails (phishing). Cybermisdaad is al lang niet meer het terrein van amateurs: de aanvallen komen ook vanuit de georganiseerde misdaad. daarbij gaat het niet alleen om geld, maar ook om spionage en verstoring van belangrijke processen (en daarmee van ondernemingen en/of publieke diensten) [KPMG] De werkelijke omvang van cybercriminaliteit is uiteraard moeilijk te achterhalen omdat de detectieprocedures lang niet alles in kaart brengen. |
Voor gekwalificeerde en goed uitgeruste criminelen zijn de beurzen en banken een interessant werkgebied. Maar ook voor nationale staten zijn de financiële markten en instellingen een aantrekkelijk operatieveld. Zij beschikken over voldoende middelen, gekwalificeerde mensen en de lange adem die nodig is om beursmanipulaties op lange termijn geduldig en planmatig te realiseren.
Bij beursmanipulaties door nationale staten is monetair gewin meestal niet het belangrijkste doel. Door een cyberaanval op beurzen proberen zij de hele economie van een andere staat ernstige schade toe te brengen. Als men weet op welke gevoelige strategische punten een financieel stelsel moet aanvallen en als men op het juiste tijdstip de verkeerde signalen geeft, dan kunnen al wankelende staten en hun economische systemen in diepe afgronden worden gestort.
Voor moderne maatschappijen is de manipulatie van de beurzen misschien het grootste probleem van de nieuwe cyberveiligheidssituatie. De beurzen kunnen niet meer als betrouwbaar worden opgevat. Zij moeten als chronisch gecompromitteerd en ondergraven worden gezien [Gacken 2012:143]. Dan dringt zich de vraag op in hoeverre beurzen nog wel een geschikt instrument zijn voor de internationale handel.
Geld is tegenwoordig een digitaal opgeslagen getal dat gekoppeld is aan een digitaal opgeslagen rekeningnummer van een persoon of instelling. Als er geknoeid wordt met die digitale gegevens, of als zij worden vernietigd, dan zou praktisch de gehele (monetaire) rijkdom op aarde verdampen. Niemand zou meer in staat zijn om geld van zijn bank te halen of naar een andere rekening over te schrijven. |
![]() |
---|
Evolutie: specialisering en professionalisering
Cybercriminelen zijn louter uit op korte-termijn winst. Ze zijn de parasieten van commerciële systemen en netwerken. Ze proberen op illegale wijze voordeel te halen uit het cybertijdperk zonder hun slachtoffers te doden of te kwetsen. Ze slaan toe waar het geld is, grijpen wat ze kunnen en poetsen zo snel mogelijk de plaat.
De methodieken die cybercriminelen gebruiken zijn in snel tempo uitgebreid en verfijnd. Ondanks alle investeringen in betere computerbeveiliging slagen cybercriminelen er telkens weer in om in te breken in digitale circuits waarin geld een rol speelt. Zolang de kans op illegale winst groter lijkt dan het risico om gesnapt en bestraft te worden, zullen cybercriminelen steeds creatiever en professioneler worden. Ook cybercriminelen staan onder druk om te innoveren. Wie het meeste geld weet te stelen, heeft ook de middelen om nieuwe inbraak- en oplichtingstechnieken te ontwikkelen, om nieuwe kansen die zich voordoen te benutten, en om nieuwe slachtoffers te vinden.
Naarmate cybercriminaliteit volwassen wordt adopteren slimme criminelen conventionele benaderingen van bedrijfsvoering: van supermarktachtige prijsstelling tot uitbesteding aan specialisten die optreden als portfolio managers, codeurs, lanceerders, witwassers en beheerders van geïnfecteerde zombie-computers. Een aantal jaar geleden was cybercrime alleen weggelegd voor mensen met veel technische kennis. Tegenwoordig zijn er ook ict-leken die zich ermee bezighouden omdat de benodigde software makkelijk verkrijgbaar is en speciale deskundigheid door criminelen wordt ingehuurd. Beveiligingsspecialisten verbazen zich over de snelheid waarmee cybercrime zich ontwikkeld en blijft groeien.
Cybercriminaliteit heeft zich inmiddels ontwikkeld tot een geheel nieuwe bedrijfstak. Er zijn cybercriminele ketens ontstaan van gespecialiseerde bedrijven die samenwerken om grotere en meer lucratieve doelwitten aan te vallen. Op de zwarte markten verhandelen cybercriminelen onderling een heel arsenaal aan informationele producten en diensten waarmee winstgevende doelwitten bestolen kunnen worden. Er worden informationele producten verhandeld zoals creditcardnummers, gecompromitteerde bankrekeningen, adressen, telefoonnummers, sociale zekerheidsnummers enz. Er wordt kwaadaardige software aangeboden en botnets verhuurd om de meest uiteenlopende malware en spam te verspreiden. Er worden kogelvrije serverruimtes voor hosting van criminele sites verhuurd en hackers en wachtwoordkrakers bieden zich aan om tegen betaling het vuile werk opknappen [Interpol 2011; MacAffe, Cybercrime Exposed].
Het cybercriminele bedrijfsmodel is als volgt opgebouwd.
Een voorbeeld van zon marktplaats is WabiSabiLabi. Op het ondergrondse internet (darknet) dat niet geïndexeerd wordt door zoekmachines en waarvan het gebruik geanonimiseerd wordt, worden exploits te koop aangeboden.
De Blackhole Exploit Kit (BEK) was een succesvolle malware toepassing die werd gelanceerd op een ondergrond Russisch hackersforum. BEK was te huur en kon computers met alles besmetten wat maar kwaadaardig is: van valste antivirus en ransomware tot Zeus en de beruchte TDSS en ZeroAccess rootkit, die zowel Windows, OS X en Linux aanvallen. De innovatieve makers van BEK bieden gratis updates. TDSS is een onverwoestbare rootkit die zich diep in het besturingssysteem nestelt en ook de malware van concurrenten weet uit te schakelen. Exploit kits zijn de meest gebruikte methodes voor infectie van computers. De meest populaire bouwdozen zijn Pony, (Sweet) Orange, Magnitude en Nutrino. De producten van Java en Adobe zijn nog steeds de primaire doelwitten die geëxploiteerd worden 90% van de exploits werken via kwetsbaarheden in Java. |
Een botnet kan eenvoudig worden geconstrueerd door het kopen van een software ontwikkelingsprogramma dat op het internet beschikbaar is voor $1.500 tot $3.000. Daarmee kan vervolgens spam worden verstuurd, DDoS-aanvallen worden gelanceerd, clickfraude worden gepleegd, creditcard gegevens worden gestolen of gijzelingspremies worden geïncasseerd.
Steeds meer worden deze botnetdiensten echter ingehuurd bij gespecialiseerde criminelen die tegen vaste tarieven cyberaanvallen lanceren. De economie van de botnets ziet er ongeveer als volgt uit.
Aspect | Kosten per 10.000 cliënten |
---|---|
Cliënt acquisitie | $400 tot $1.000 |
DDoS-aanval (per uur) | $100 tot $200 |
DDos-afpersing | $10.000 per cliënt |
Spam emails | $0,50 tot $1,50 |
Klikfraude | $1,500 |
Adware | $3.000 tot $15.000 |
Sinds begin 2013 dalen de prijzen voor botnets aanzienlijk als gevolg van het grote aanbod. De startprijs voor een Amerikaans botnet is gedaald van 200 naar 120 dollar. Dit een teken dat de markt volwassen is geworden en niet meer is voorbehouden aan experts [Webroot].
De verschillende prijzen die voor bepaalde landen worden betaals is afhankelijk van de waarschijnlijkheid dat kwaadaardige softer door doelwitten in dat land gedownload en geopend wordt. Dit bepaald immer de kans dat cybercriminelen toegang krijgen tot hoogwaardige vertrouwelijke informatie (zoals creditcard nummers en wachtwoorden) en tot sites en netwerken van ondernemingen.
1.000 | 5.000 | 10.000 | |
---|---|---|---|
World MIX | 25 $ | 110 $ | 200 $ |
EU MIX | 50 $ | 225 $ | 400 $ |
DE, CA, GB | 80 $ | 350 $ | 600 $ |
USA | 120 $ | 550 $ | 1.000 $ |
Verhuurders van botnetdiensten voor malafide activiteiten hebben financiële motieven om hun botnets zo groot mogelijk voor te stellen. Om de omvang van hun botnet te demonstreren kunnen zij soms een paar minuten worden geprobeerd: try-before-you-buy.
Voor het gebruik van 150 proxies per maand betalen cybercriminelen $25. Voor 1.500 proxies wordt per maand iets meer dan $95 betaald. Ook de kosten van het anonimiseren van de internetactiviteiten van cybercriminelen worden steeds lager [Dancho Danchev, 20.3.13; Security.nl, 23.3.13]. Een voorbeeld van zon proxy verhuurder is het sinds 2004 onder verschillende namen opererende Foxy Proxy. Zie ook de lijst van The Proxy Bay.
|
Omdat er steeds meer servers en databases met gevoelige gegevens worden gehackt, dalen de prijzen voor gestolen inloggegevens of persoonsgegevens. In 2011 wat een bankrekening net zevenduizend dollar te koop voor $300. Twee jaar later krijgt men voor dat bedrag al de inloggegevens van een bankrekening waar driehonderduizend dollar op staat. Een compleet dossier met persoonlijke gegevens koste in 2011 nog $60, nu slechts $25 [Secureworks, 18.11.13; BBC 17.12.13].
In 2001 kwam een groep van 150 Russisch-sprekende crackers bijeen in een restaurant in Odesse of CarderPlanet op te richten. Het groeide uit tot een van de meest beruchte websites voor fraude met creditcard gegevens. Roman Vega (aka BOA) was de administrateur van CarderPlanet die opgezet was langs de lijnen van La Cosa Nostra, met een Godfather (Dimitry Golubov) en daaronder een aantal Don, waaronder Vega [bron]. Onder Vegas leiding werd CarderPlanet een van de drukste zwarte cybermarkten voor de verkoop van gestolen financiële informatie, hacking en witwaspraktijken. Vega werd in februari 2003 gearresteerd toen hij de relatief veilige haven van zijn geboorteland Oekraïne verliet om naar Cyprus te reizen. Op zijn laptop werden een half miljoen data van creditcards van 7.000 verschillende financiële instellingen aangetroffen. In 2013 werd Vega in de VS veroordeelt tot 18 jaar gevangenisstraf. Voor de verkoop van creditcard informatie ontwierp Vega een kwaliteitscontrole systeem dat ervoor moest zorgen dat de fraudeurs niet bestolen werden door hun medefraudeurs. Verkopers moeten aantonen dat hun creditcards origineel waren en niet eerder waren verkocht [ArsTechnica, 12.12.13; Gary Warner, 27.1.2014]. CarderPlanet werd een van de drukst bezochte online zwartemarkten met meer dan 6.000 leden. De site fungeerde als internationaal platform van en voor creditcard dieven. |
Schrijvers van malware hanteren licentiemodellen waardoor cybercriminelen hen direct betalen voor het gebruik van hun kwaadaardige software. Cybercriminelen kunnen hoogwaardige malware aanschaffen en hoeven deze niet meer zelf te ontwikkelen. De malwareschrijvers beschikken hierdoor over steeds grotere fondsen waarmee zij innovaties in de ontwikkeling van malware financieren.
Een voorbeeld van deze commerciële malware is Storm Worm. Commerciële malware producenten leveren online ondersteuning om hun cybercriminele klanten te helpen de instrumenten beter te gebruiken. Voor malware producenten zijn de risicos gering. Hun producten kunnen immers ook voor goede, legale doeleinden worden gebruikt. Zij worden altijd geleverd met de disclaimer dat de software «alleen voor onderzoek» gebruikt mag worden.
Zou je graag zelf een beetje willen spioneren? Wil je er zeker van zijn dat je partner je niet bedriegt? Schrijft je vriendin voortdurend smsjes aan iemand en zegt ze dat die gericht zijn aan haar vriendin? Dan is dit de juiste dienst voor u!. Die dienst bestaat uit een Trojaans paard dat het mogelijk maakt om alle inkomende en uitgaande sms-berichten te lezen. Kosten: 350 dollar. De mobiele SMS-spion is kinderlijk eenvoudig aan het werk te zetten. Je stuurt met Skype een SMS naar de telefoon van het slachtoffer. Dan komt er een MMS (de multimedial opvolger van SMS) aan. Wanneer de MMS wordt geopend installeert het programma zich automatisch op de telefoon. Vanaf dat moment wordt al het inkomende en uitgaande sms-verkeer van de telefoon van het slachtoffer verstuurd tegelijkertijd naar jouw telefoon verstuurd. Het slachtoffer merkt er niets van [Trend Micro 2012:14]. |
Deze keten van gespecialiseerde en geprofessionaliseerde diensten biedt voor cybercriminelen veel voordelen. De elementen van deze keten worden steeds verder verfijnd en beter op elkaar afgestemd. De cybercriminele keten wordt gedifferentieerd in een aantal subketens waardoor ook de pakkans wordt gespreid. Een schrijver van malware hoeft geen data meer te stelen of zelf fraude te plegen om een deel van de buit binnen te halen. Hij verkoopt zijn malware met winst zonder dat hij hoeft deel te nemen aan activiteiten met een hoog risico. Er is geen strikte hierarchie de online forums bieden een platform voor het uitwisselen van diensten voor de digitale onderwatereconomie. Voor politie en justitie wordt het moeilijker om zicht en greep te krijgen op alle actoren die bij cybercriminele operaties betrokken zijn.
Cybercriminelen ronselen internetgebruikers om gestolen geld te witwassen. Zij zoeken naar vertegenwoordigers die betalingen controleren en documenten versturen. In advertenties worden internetters verleid om op een gemakkelijke manier geld te verdienen. Katvangers of geldezels worden aangetrokken met lokmails zoals:
Iets goeds doen voor de mensheid er zelf nog geld mee verdienen ook. Dat is te mooi om waar te zijn. In werkelijkheid maken criminelen geld over naar de rekening van de katvanger dat ze van andere rekeningen hebben gestolen. De katvanger moet een deel van het bedrag opnemen en via betalingskantoren zoals Western Union overmaken. Een gedeelte mag de katvanger zelf houden.
![]() Om jongeren te waarschuwen voor criminele operaties startte de Nederlandse Vereniging van Bankiers de campagne Pasopjepas. Je bent een geldezel als je je pas en pincode uitleent. Daarmee kunnen criminelen je bankrekening gebruiken om gestolen geld weg te sluizen. Ze beloven je zogenaamd een beloning. Trap er niet in! Want je rekening wordt misbruikt en jij krijgt een strafblad. |
De geldezels zijn meestal het haasje hun pakkans is tamelijk groot. Zij draaien op voor de schade en kunnen strafrechtelijk worden vervolgd [NVB; Security.nl, 24.6.11; Security.nl, 6.4.12].
![]() |
---|
bbb
Een versleutelt bestand kan niet worden uitgevoerd totdat het ontsleuteld is. Als onderdeel van het encryptieproces wordt er een stub toegevoegd aan het versleutelde bestand. Een stub is een stukje code dat gebruikt wordt om een geëncrypteerde kwaadaardige code weer te decoderen. De stub keert het proces om dat gebruikt is om het orginele bestand te versleutelend, extraheert het en zet het om in een uitvoerbaar programma. Als de malware eenmaal gedecrypteerd is door de stub kan het gelanceerd worden en beginnen om schade te berokkenen.
Bij een statistische encryptie worden verschillende stubs gebruikt om elk geëncrypteerd bestand uniek te maken. Als er een stub ontdekt wordt door beveiligingssoftware dan moet deze worden gemodificeerd (cleaned').
Bij polimorfe encryptie wordt gebruik gemaakt van geavanceerde algotismes die random variabelen, data, sleutels, decoders etc. gebruiken. Een input bronbestand produceert nooit een output bestand dat identiek is aan de output van een ander bronbestand. Dit wordt bereikt door verschillende algoritmes te gebruiken.
Gemiddeld kosten encryptieprogrammas $10-15. Polimorfe crypters die meesta .EXE en .DLL bestanden encrypteren kosten meer. Encryptieprogramma die beruchte malware zoals ZeuS, Pinch en andere bots en Trojaanse paarden gebruiken worden ook online verkocht, voor zo'n $30-50. Er zijn ook een aantal bijzondere aanbiedingen zoals een dienst die een .PDF bestand en een .EXE bestand in een .PDF bestand zetten. Op een Russisch cybercrimineel forum werd het volgende bericht geplaatst:
Op de vrije internetmarkt is een zeer uitgebreid aanbod van krachtige encryptieprogrammas. Het aan banden leden van dit aanbod is geen realistische optie. Daarvoor zijn deze programmas en hun broncode te zeer over de hele wereld verspreid. Geen wet of maatregel kan verhinderen dat criminelen de hand kunnen leggen op encryptieprogrammas met militaire kracht.
Cybercriminelen versleutelen hun communicatie om te ontsnappen aan het wakend oog van rechthandhavers. De kwaliteit van de encryptie is tegenwoordig zo hoog dat onderschepte berichten slechts met grote en langdurige inspanning ontcijferd kunnen worden. Het versterken van kennis van cryptografische technieken en van vaardigheden om versleutelde berichten te identificeren en te ontsleutelen heeft daarom voor digitale recherchediensten een hoge prioriteit.
Deze activiteiten doet de cracker bij voorkeur niet op zijn eigen machine. Om op een veilige manier downloads van malware te genereren gebruiken cybercriminelen meestal dedicated servers of bulletproof providers om internetverkeer naar webpagina te sturen die geïnfecteerd zijn met een giftige exploitatiecode. Omdat de dedicated server wordt benaderd via VPN wordt de anonimiteit van de dader gewaarborgd.
Daarom is er op de zwarte cybermarkt veel vraag naar dedicated servers. Hosting providers die zichzelf als bulletproof aanprijzen stellen cybercriminelen in staat om elk soort materiaal op een site te plaatsen zonder angst om uit de lucht gehaald te worden [Threatpost, 24.9.14].
Beheerders van botnets en de crimeware bendes achter banking Trojans hebben veel succes behaald met het gebruik van bulletproof providers als hun belangrijkste operatiebasis. Maar inmiddels hebben cybercriminelen ontdekt dat sociale netwerken zoals Facebook en Twitter een nog vruchtbaarder en gemakkelijker grond is voor het controleren van hun malware. Zij gebruiken sociale netwerken als commando & controle mechanismen voor hun malware.
Wanneer er een nieuwe computer wordt geïnfecteerd met crimeware (zoals een Trojaans paard) dan wordt eerst het profiel benaderd en gecontroleerd op nieuwe commandos. Het specifieke commando begint met een reeks willekeurige tekens die dienen als authenticiteitsmechanisme waardoor het Trojaans paard weet dat het de juiste commandos heeft gevonden. De rest van de geëncrypteerde reeks zijn hard-coded instructies die het Trojaanse paard vertellen wat het vervolgens moet doen, zoals zoeken naar andere machines in het netwerk, zoeken naar bewaarde data of registreren van toetsaanslagen wanneer de gebruiker een specifieke online banksite bezoekt. Cybercriminelen maken vaak tientallen of honderden van deze profielen aan. Als er een zon profiel ontdekt wordt en uit de lucht wordt gehaald, dan gaat de malware automatisch door naar het volgende profiel.
Terwijl bezoekers naar de advertenties in een video kijken wordt heimelijk de Sweet Organge exploitkit geladen, die misbruik maakt van bekende lekken in Java, Internet Explorer en Adobe Flash Player die door deze bezoekers nog niet waren gedicht. Om opsporing te voorkomen wijzen de advertenties niet direct naar de exploitkit, maar wordt het verkeer via twee advertentiesites geleid. Vermoedelijk hebben de cybercriminelen achter deze aanval hun verkeer gekocht van legitieme advertentie providers. Om hun activiteiten een legitiem tintje te geven maakten ze gebruik van de aangepaste DNS-gegevens van een Poolse overheidssite. Op een of andere manier manipuleerden de cybercriminelen de DNS-gegevens zodat er subdomeinen aan werden toegevoegd die naar hun eigen servers wezen. De kwaadaardige advertenties waren bij verschillende populaire videos te zien. Zij stonden op videos met meer dan 11 miljoen views met name een muziekvideo die door een bekend platenlabel was geplaatst. Bij een succesvolle aanval werd een variant van het Kovter-ransomware geïnstalleerd. Bij deze afpersingsmethode wordt de computer van het slachtoffer vergrendeld met de mededeling dat de gebruiker een misdaad heeft begaan en een boete moet betalen om weer toegang te krijgen. Alleen al in de VS werden binnen 30 dagen al meer dan 113.000 slachtoffers gemaakt. [TrendMicro, 14.10.14]. |
Een proxyserver kan worden gekocht of gehuurd, maar kan ook worden gestolen. Cybercriminelen maken vaak gebruik van Trojaanse paarden die aan internet verbonden computers transformeren in proxyservers.
|
De meeste cybercriminelen weten echter ook dat dit geen volledige anonimiteit kan garanderen. Ondanks de beloftes van proxyserver hosters worden er in die servers toch logboeken bijgehouden.
|
Tegenwoordig wordt PPI vooral gebruikt om kwaadaardige software te verspreiden waarmee direct of indirect geld gestolen kan worden. De crimineel die zijn malware (meestal Trojaanse paarden), spyware, ransomware etc. wil verspreiden, betaalt de geaffilieerden een commissie voor elke keer dat zij erin slagen om een computer, laptop of smartphone te infecteren. De geaffilieerden versturen met malware vergiftige e-mails, sms- en mms-jes, fotos en videos, bestanden en spelletjes, programmas naar liefst zo veel mogelijk doelwitten.
In het criminele PPI-bedrijfsmodel werkt een PPI-site samen met duizenden geaffilieerde partners om kwaadaardige software te verspreiden. De geaffilieerden worden betaald op basis van het aantal malware infecties dat zij produceren. Om grote aantallen computersystemen te infecteren wordt gebruikt gemaakt van botnets. Via het controlesysteem van de bot krijgen gecompromitteerde computers de instructie om een softwarepakket van een geaffilieerde PPI-bron te installeren [SecureWorks, 29.9.09].
Een klassiek voorbeeld van een criminele PPI-site is Pay-Per-Install.org. Deze site fungeerde ook als forum en marktplaats waar cybercriminelen delibereren over welke PPI-programmas de hoogste winsten genereren.
![]() |
---|
Op haar hoogtepunt verstuurde de botnet 3,6 miljard virale e-mails per dag. Computers over de hele wereld werden met schadelijke software besmet via in Nederland en Frankrijk gehuurde servers. De servers werden gehuurd bij een klant van LeaseWeb, de grootste hostingprovider in Nederland [OM, 25.10.10]. |
Een andere manier om de malware te verspreiden was door het gebruik van drive-by downloads. De malware wordt verspreid door websites die bekende kwetsbaarheden in webbrowsers en hun plugins exploiteren. Bij gebruikers die zon besmette site bezoeken wordt automatisch de malware op hun computer geplaatst zonder dat ze er erg in hebben.
Bredolab had meer dan 30 miljoen zombie-computers in zijn macht, die vanuit servers in Nederland geïnfecteerd waren.
De hoofdinkomsten van het botnet was het verhuur van delen van het botnet aan derden, die de geïnfecteerde systemen voor eigen doeleinden konden gebruiken (scareware, malware, spam etc). De eigenaar van het botnet maakte $139.000 per maand [Kirk, 29,10.10].
Op 25 oktomer 2010 maakte het Openbaar Ministerie bekend dat zij erin geslaagd was om het Bredolab botnet neer te halen. In totaal werden er 147 servers afgesloten bij een hostingprovider in Haarlem. Een dag nadat Bredolab was opgerold, werd het vermeende brein van het virus aangehouden, een zevenentwintigjarige Armeniër [OM, 26.10.10].
Avanesov werd in Armenië gearresteerd op het Zvartnots vliegveld in Yerevan. Aanvankelijk ontkende hij elke betrokkenheid bij het botnet. Later gaf hij toe dat hij de Bredolab malware had gemaakt, maar hij ontkende dat hij criminele intenties had. In mei 2012 werd hij schuldig bevonden aan computer sabotage en veroordeeld tot vier jaar gevangenisstraf [TechWorld, 14.5.12; Huffington Post, 20.5.13]. Het was de eerste cybercrimineel die in Armenië veroordeeld werd. |
Na de ontmanteling kraakten het Team High Tech Crime (THTC) en gelegenheidspartner Fox-IT de infrastructuur van Bredolab, zodat het Openbaar Ministerie via dat netwerk waarschuwingsberichten kon versturen aan slachtoffers van het virus. Meer dan 100.000 computergebruikers werden gewaarschuwd dat hun computer deel uitmaakte van een botnet en kregen instructies hoe zij Bredolab van hun computer konden verwijderen.
De KLPD had al twee maanden voordat het tot actie overging weet van Bredolab. Toch werd de hostingprovider gevraagd de servers draaiende te houden, waardoor het besmetten van computers gewoon doorging. Volgens het OM was dat nodig om erachter te komen wie de verantwoordelijken waren. Critici vroegen zich af of het OM hier niet te ver was gegaan.
Hoewel de belangrijkste servers in het Bredolab botnet zijn platgelegd, is een deel van het netwerk nog levend en zijn een aantal commadoservers in Kazachstan en Rusland nog intact [The Register, 29.10.10].
Het doelwit van de bende waren vooral oudere bestuursleden van verenigingen en stichtingen in dorpen en kleine steden. Zij werden grootschalig telefonisch benaderd om hun bankgegevens te ontfutselen. Het geld werd doorgesluisd van rekeningen van geldezels/katvangers, die verspreid over het land met hun pinpas klaarstonden om geld op te nemen. In totaal verplaatste de bende 1,4 miljoen euro naar andere bankrekeningen binnen een tijdsbested van bijna een jaar. Doordat banken vaak argwaan hadden en ingrepen, bedroeg de daadwerkelijke buit 0,5 miljoen euro.
Virginia E. verrichtte het belwerk en waabij ze zich voordeed als bankmedewerktster. Haar partner Furgel R. regelde een netwerk van ronselaars die weer geldezels aanwierven. Een van deze ronselaars was Ricardo G. [Volkskrant, 21.10.13].
Op 21 oktober 2013 werd aan drie leden van de criminele organisatie door de rechtbank in Haarlem gevangenisstraffen opgelegd. De hoogste straffen waren voor Furgel R. (34) uit Diemen en zijn partner Virginia E. (34) uit Amsterdam. Zij werden veroordeeld tot 32 maanden cel, waarvan de helft voorwaardelijk. Ricardo G. (25) uit Den Helder moet 10 maanden zitten. Omdat de rechtbank op onderdelen van de aanklachten vrijspraak verleende, vielen de straffen lager uit dan de eisen (die opliepen tot 4 jaar).
De romantische fraudeurs kopiëren vaak een goed geschreven profiel van iemand anders om hun slachtoffers te lokken. Zij poseren als vrouwen die de kenmerken hebben die hun slachtoffers aantrekken, maar zijn niet allemaal super aantrekkelijk of jong.
Nadat er contact is gelegd met een slachtoffer wordt er via e-mail, chatrooms en sms-jes een vertrouwensband opgebouwd. Vervolgens wordt al snel om een gunst gevraagd. Zij heeft geld nodig omdat haar kind geopereerd moet worden, omdat er een boze ex afgekocht moet worden, omdat de begrafenis van een familielid betaald moet worden of omdat zij je wil ontmoeten maar de paspoorten en visas niet kan betalen.
Op 29 mei 2014 arresteerde de politie in Sydney een 39-jarige alleenstaande moeder voor een romantische zwendel van oudere mannendie haar meer dan $1,86 miljoen opleverde. Zij zocht de mannen op in datingsites. De nadat ze de mannen wanhopige verhalen vertelde vroeg zij hen om geld te storten op haar bankrekening. Ze vertelde hen bijvoorbeeld dat haar kind een operatie nodig had die zij niet kon betalen, of dat er een familielid in Egypte was overleden en dat zij geld nodig had voor de begrafenis. De vrouw leefde van een uitkering maar leidde een lux leven met sportautos, vakanties, dure handtassen en plastische chirurgie [SMH, 30.5.14].
Zie voor uitvoerige informatie over romantische en datingfraude: Romance Scams Now
Het nummer 419 verwijst naar het artikel van het Nigeriaanse strafrecht dat over fraude gaat.
Er zijn diverse vormen van voorschotfraude die er allemaal op gericht zijn om de slachtoffers geld afhandig te maken. Bekende voorbeelden zijn de Afrikaanse dictator die steun vraag om een grote som geld van zijn bankrekening te halen,
Kenmerkend voor de meeste oplichtingspogingen is:
Het treiteren van oplichters kan een gevaarlijke hobby zijn. Oplichters zijn criminelen. Het is bekend dat zij hun slachtoffers kidnappen, martelen en zelfs vermoorden. |
![]() |
---|
Het Center for Strategic and International Studies (CSIS) en het computerbeveiligingsbedrijf McAfee berekenden in 2014 dat criminele hackers de internationale economie jaarlijks zon 445 miljard dollar schade berokkent (met een minimum van $375 miljard en een maximum van $575 miljard).
De kosten van diefstal van intellectueel eigendom van de Amerikaanse bedrijven worden door Symantec geschat op $250 miljard per jaar.
Europa
Volgens de Bijzonder Comissie georganiseerde misdaad, corruptie en witwassen (CRIM) van het Europese Parlement veroorzaakt cybercriminaliteit in Europa 290 miljard euro per jaar [Der Spiegel, 13.10.13].
Nederland
|
De schade die de Nederlandse economie oploopt als gevolg van digitale diefstal is relatief hoog. Dat hebben we vooral te danken aan onze relatief hoge dichtheid in bekabeling, de geavanceerde digitale infrastructuur, de relatief grote hoeveelheid dataverkeer en het open karakter als handelsnatie.
Volgens Eurostat worden Nederlandse bedrijven vier keer vaker door cybercrime worden getroffen dan Britse (vergelijk ook het onderzoek van Detica in opdracht van het Britse ministerie van Binnenlandse zaken).
Van de totale schade komt 75% voor rekening van het bedrijfsleven; 15% komt op de rekening van de overheid en de burger draait op voor 10%. De drie grootste schadeposten die onder de noemer cybercrime vallen, zijn inbreuken op intellectueel eigendom (3,3 miljard euro), industriële spionage (2 miljard) en belasting- en uitkeringsfraude (1,5 miljard). Andere schadeposten bij het bedrijfsleven zijn afpersing en online diefstal van geld en van klantgegevens (tussen de half miljard en een miljard euro). Bij de consument gaat het om diefstal van persoonlijke gegevens en om phishing.
Onder de schade van cybercriminaliteit vallen ook de alternatieve kosten (opportunity costs) en de herstelkosten (recovery costs).
Upward bias van schattingen uitwerken
Het is een netwerk van sterk georganiseerde groepen die vaak verbonden zijn met traditionele criminele bendes, zoals drugkartels, mafias, terroristische cellen en natiestaten [RAND 2014]
In veel opzichten lijkt het op een traditionele markt: de deelnemers communiceren via diverse kanalen, plaatsen orders en ontvangen producten. Niet alleen opbrengsten van cyberinbraken verhandeld, maar ook hackinginstrumenten (malware) en diensten. Er worden diensten aangeboden die de meest ongekwalificeerde criminelen in staat stellen om tamelijk omvangrijke en geavanceerde aanvallen uit te oefenen.
De transactie in de zwarte cybermarkt worden vaak afgehandeld met digitale valuta zoals Bitcoin, Pecunix, AlertPay, PPcoin, Litecoin and Feathercoin. Veel criminele sites accepteren alleen digitaal cryptogeld vanwege hun anonimiteit en veiligheidskenmerken.
Tegelijkertijd wordt er op de zwarte cybermarkt malware verhandeld die gericht is op het stelen van bitcoin en andere digitale valuta. Aanvankelijk infecteerde criminelen de computers van hun slachtoffers en gebruikten ze voor het delven van bitcoins. Maar deze methode is nu veel minder effectief diefstal van bitcoins belooft cybercriminelen grote winsten en volledige anonimiteit. Bij aanvallen op bitcoinbeurzen is de kosten-tot-inkomsten verhouding nog veel gunstiger [SecureList, 25.9.14].
Omdat er steeds meer diensten zijn waar de bitcoins kunnen worden witgewassen (bitwassen) wordt het voor opsporingsdiensten veel moeilijker om gestolen fondsen te achterhalen.
Concurrentie
De markt waarop cybercriminelen operen is een high profit, low risk markt. Zon markt trekt snel nieuwe concurrenten aan die ook op zoek zijn naar een deel van de buit. De meeste misdaden die EC3 onderzoekt worden begaan door Russisch sprekende criminele netwerken. Het lijkt erop dat de Russen de dienst uitmaken. In fraudezaken spelen ook Roemeense en Bulgaarse bendes en rol. Maar ze krijgen snel concurrentie van criminele bendes uit andere continenten. De verwachting is dat criminelen uit Azië, Afrika en andere continenten ook in de markt stappen. Oost-Europeanen, vooral uit Russisch-sprekende landen, waren in 2013 verantwoordelijk voor 21% van de gevallen van cyberspionage. Op dat vlak worden ze al voorbijgestreefd door de Aziatische hackers. Die zijn goed voor 49% van de aanvallen.[Verizon 2014; Trouw, 8.8.14].
Specialisatie
Veel Vietnamese criminele bendes concentreren zich op hacks van e-commerce; de criminelen uit Rusland, Roemenië, Litouwen en Oekraïne focussen op financiële instellingen, terwijl Chinese cybercriminelen zich specialiseren in intellectueel eigendom en in online gaming platforms.
Meer en meer transacties verschuiven naar particuliere virtuele netwerken en het darknet. Daarbij wordt nog meer gebruik gemaakt van encryptie- en anonimiseringstechnieken die de toegang tot de meest geavanceerde delen van de zwarte markt tr beperken.
Het diepe web representeert 90% van het internet. Het bevat grote hoeveelheden informatie die niet door zoekmachines kunnen worden gecatalogiseerd. Als je het juiste adres van de darksites niet weet, zul je ze nooit vinden. Het is niet makkelijk om deze adressen te onthouden omdat de URLs bewust zeer ingewikkeld zijn gemaakt (bijvoorbeeld www.SdddEEDOHIIDdddgmomiunw.onion).
Het diepe web bestaat uit particuliere intranetten die met wachtwoorden zijn beschermd en uit documenten die in formaten zijn geschreven die niet kunnen worden geïndexeerd.
Het diepe web is onzichtbaar en is daarom een zeer aantrekkelijke locatie voor activieiten die het licht niet kunnen verdragen: kinderporno, handel in creditcard, wapens, drugs en mensen, huurmoordenaars, prostituees etc. Het diepe web is de grootste zwarte markt die er ooit heeft bestaan. Cybercriminelen komen samen op private webfora met beperkte toegang.
TOR is weliswaar de meest gebruikte, maar niet de enige ingang tot het darknet. Andere diensten zijn Freenet en het Invisible Internet Project (I2P). Deze diensten bieden vergelijkbare mogelijkheden voor anonimisering, hoewel zij andere protocollen hanteren. Freenet is een volledig gedecentraliseerd peer-to-peer system (P2P). I2P is een open source anoniem communicatienetwerk dat bovenop het gewone internet werkt (overlay network). Net als bij TOR wordt de communicatie via meerdere tussenliggende computers gestuurd en in telkens nieuwe lagen geëncrypteerd. |
Het Tor-netwerk stelt internetgebruikers in staat om hun IP-adres te verbergen. Het verkeer van Tor-gebruikers loopt over meerdere computers, die relays of nodes worden genoemd. Om het Tor-netwerk te laten draaien zijn er drie soorten relays: middle-relays, exit-relays en bridges. De eerste twee relays waarover het verkeer van een Tor-gebruiker loopt zijn middle-relays. Hun enige functie is om bijvoorbeeld het verzoek om een website op te vragen en aan een andere relay door te geven. Hoewel middle-relays zich kenbaar op het Tor-netwerk maken, wordt hun IP-adres niet getoond. Het is dan ook vrij veilig om een middle-relay op te zetten. De exit-relay is de laatste schakel in de keten waarover het verzoek loopt voordat het de uiteindelijke bestemming bereikt. Exit-relays maken zich aan het hele Tor-netwerk kenbaar. Hun IP-adres is het enige IP-adres dat de bestemming ziet, ook al is dit niet het IP-adres dat als eerste de website opvroeg. Beheerders van een Tor exit-relay kunnen door de politie worden opgepakt. Deze exit-nodes zijn echter essentieel voor het Tor-netwerk. Tenslotte zijn er nog de bridges, relays die niet als onderdeel van het Tor-netwerk zichtbaar zijn. Bridges fungeren vooral als middel om censuur in landen te omzeilen die bekende Tor-relays blokkeren, zoals China. Het draaien van een bridge is temakelijk veilig. Zonder al deze relays kan het Tor-netwerk niet functioneren. Bij iedere tussenstap is alleen de routinginformatie voor de voorafgaande en de volgende server in ongeëncrypteerde vorm aanwezig. Daarom is het onderweg nergens mogelijk om de oorsprong en de bestemming van het bericht te bepalen. Omdat voor elke tussenliggende gebruiker een bijkomende laag encryptie wordt toegevoegd, kent elke gebruiker slechts de versoon voor en na zichzelf. Voor de computer op de eindbestemming lijkt het alsof het bericht van de laatste onion-server komt. Bij de laatste server is alleen maar te bepalen wat de data zijn en niet waar ze vandaan komen. Omdat het Tor-programma willekeurige servers kiest waarlangs het de data verstuurt, is het heel moeilijk om een bepaalde computer af te luisteren.
|
Een voorbeeld daarvan is het in 2011 gelanceerde Silk Road, een geheim web voor de koop en verkoop van allerlei soorten drugs. Naar schatting gaat er in Silk Road jaarlijks $22 miljoen om. Politiediensten stelden alles in het werk om deze illegale handel te stil te leggen. Hier en daar werden er transacties onderschept, maar het is bijna onmogelijk om het netwerk te ontmantelen of de gebruikers daarvan te traceren.
In oktober 2013 slaagde de FBI erin om om Silk Road tijdelijk te sluiten. Maar in november 2013 was Silk Road 2.0 weer online.
![]() |
---|
In de virtuele werkelijkheid zijn er geen rokende wapens, geen voet- of vingerafdrukken die een indicatie geven over wie een misdaad heeft begaan, en hoe het delict is uitgevoerd. De opsporing van cybercriminelen verloopt primair door het achterhalen en vastleggen van digitale sporen.
Bewijzen tegen cybercriminelen kunnen dus op twee manieren worden verzameld.
Als er bij een cybermisdaad gebruik is gemaakt van een infecterende USB-stick dan kan deze op DNA-sporen of vingerafdrukken worden gecontroleerd. En als je weet welke computer gebruikt is, kun je daarmee hetzelfde doen. In beide gevallen is forensisch onderzoek echter zeer lastig.
Ten eerste moet het apparaat zelf worden geïdentificeerd. Als dat ooit gevonden wordt dan gebeurt dat pas veel later als de meeste sporen al verdampt zijn. Zelfs als de computer waarmee het delict is begaan gelokaliseerd wordt, dan is dat meestal niet de computer van de crimineel zelf, maar een door de crimineel gehackte computer.
Ten tweede hebben forensische onderzoekers niet zoveel tijd als de crimineel: cybercriminele operaties worden meestal weken of maanden voorbereid en worden vervolgens bliksemsnel uitgevoerd. De verdediging heeft voor het traceren van de sporen slechts een paar ogenblikken. De verbindingen tussen de aanvallende computer en een doelcomputer zijn meestal van erg korte duur. Na de aanval wordt de verbinding verbroken en de computer van het internet ontkoppeld.
Digitale sporen die op gegevensdragers zijn achtergelaten. Steeds belangrijker: gegevens uit een computer of mobiele telefoon (GSM).
![]() Digitale voetsporen |
---|
Locatiegegevens: We weten waar jij bent
Het is niet langer ondenkbaar dat in de virtuele wereld van cyberspace werkelijk iedereen permanent wordt gevolgd. In feite gebeurt dit al: iedereen die een mobiele telefoon bij zich heeft loopt met een een volgsysteem op zak dat telkens zijn locatie doorgeeft aan telecombedrijven. Die telecombedrijven zijn wettelijk verplicht om deze informatie af te staan als de overheid daarom vraagt.
In digitale mobiele netwerken worden locatiegegevens gebruikt om de transmissie van communicatie te faciliteren. Locatiegegevens zijn gegevens waarmee de geografische positie van de eindapparatuur van een gebruiker van een elektronische communicatiedienst wordt aangegeven. Zij geven niet alleen aan waar iemand zich op welk tijdstip bevind (breedte, lengte, hoogte), maar ook in welke richting en met welke snelheid iemand zich verplaatst.
Locatiegegevens zijn een bijzondere vorm van verkeersgegevens. Alle andere verkeersgegevens hebben betrekking op het communicatieve gedrag van gebruikers. Locatiegegevens hebben ook betrekking op feitelijk gedrag op momenten dat er niet wordt gecommuniceerd [Ekker 2002b: 46].
Verkeersgegevens: We weten wie jij bent
Er is al eerder op gewezen dat de metadata over ons communicatiegedrag vaak gevoeliger informatie bevatten dan wát er wordt gezegd en geschreven. Verkeersgegevens omvatten veel meer dan: wie belt/mailt/chat/smst etc. wanneer hoelang en hoe vaak met wie.
Van élke techniek en élke vorm van digitale communicatie kunnen álle soorten verkeersgegevens worden opgeslagen en verzameld. Het gebeurt bij alle apparaten die we dagelijks gebruiken: computer, laptop, tablet, mobiele telefoon en smart-tv. Alle digitale communicatievormen laten sporen na die als verkeersgegevens te traceren zijn. Dit geldt voor elke website die je bezoekt, voor elke muisklik op het internet, voor elk bestand dat wordt geup- of download, voor elke e-mail die verzonden of ontvangen is, voor elke bijdrage (posting) op alle webfora, voor elk woord of beeld dat je ooit via een sociaal medium hebt verspreid in je virtuele persoonlijke netwerk, voor elke persoon waarmee je ooit contact hebt gehad via een van je mobiele communicatieapparaten, en voor elke plaats die je ooit op deze globe hebt bezocht met je mobieltje op zak. Verkeersgegevens omvatten ook het ip-nummer waarvan je gebruik maakt, de protocollen en programmas je gebruikt, de merknaam, het type en het serienummer van het apparaat dat je gebruikt, het volume van de communicatie enz. enz.
Het aantal communicatietechnieken en de hoeveelheid gegevens die bij de verschillende communicatievormen worden gegenereerd, neemt steeds meer toe. Daarom is een blijft het lastig om een technische of juridische definitie te geven van verkeersgegevens [Ekker 2002b].
Identificatie: attributieprobleem
Wie is verantwoordelijk - lastige attributie (zie cyberoorlog).
Lokalisatie van cybercriminelen
Bij het achterhalen van digitale sporen in cyberspace wordt de programmering van het cyberdelict zelf onderzocht. Cyberdelicten vertonen vaak bijzondere methoden van programmering die kenmerkend zijn voor bepaalde (nationale of regionale) crackerculturen. Ook deze eigenschappen kunnen echter gemakkelijk worden vervalst en vertekend. Wie de verdenking van een aanval op China wil richten, kan van een Chinees hackersforum bepaalde stukjes van de kenmerkende code kopiëren en in het aanvalswapen inbouwen.
Wie profiteert?
Een cyberdelict wordt bijna altijd met een bepaald oogmerk of doelstelling gepleegd. Bij cybercriminelen is dat per definitie geldelijk gewin, illegale zelfverrijking. De eerste vraag die bij elke cybercrime gesteld moet worden is: wie profiteert ervan - Cui bono? [Cavelty/Rolofs 2012] Wat beoogt de crimineel met zijn cyberdelict te bereiken en wie profiteren daar nog meer van?
Professionele cybercriminelen kunnen een aanval zo ensceneren dat deze er uit ziet als een sabotageaanval van de Mossad op Iran of als een spionageaanval van de Chinese regering op de wapenindustrie van de V.S. Op die manier worden de werkelijke oogmerken en de identiteit van de aanvaller verhuld.
Verzamelen van sporen
Internettaps
Jaarlijks maakt de minister van Veiligheid en Justitie bekend hoeveel taps er door Nederlandse opsporingsdiensten worden ingezet ten behoeve van de opsporing van strafbare feiten. Sinds 2010 wordt daarbij ook het aantal IP- en e-mail taps bekend gemaakt. [[Maar niet over het aantal vorderingen bij sociale netwerken als Facebook en Twitter. Er worden totaalcijfers over het opvragen van gegevens verstrekt, maar dit wordt niet opgesplitst naar sociale mediatype. Het belang van opsporing en vervolging zou zich hiertegen verzetten, aldus staatssecretaris Teeven [bron]
Art. 126 WvS - internettap
In het opsporingsonderzoek wordt steeds meer gebruik gemaakt van de internettap.
TOR-netwerk
Het TOR-netwerk maakt het mogelijk om volledig anoniem te kunnen surfen op het internet. Via het TOR-netwerk zijn op eenvoudige wijze drugs, wapens en kinderporno te verkrijgen.
Fast flux
Fast Flux is een DNS techniek die gebruikt wordt door botnets om phishing en malware delivery sites te verbergen achter een telkens veranderend netwerk van gecompromitteerde hosts die als proxies opereren. Malware varianten die gebruik maken van deze techniek zijn «Storm Worm», «Warezov», «Alalanche» en «Wibimo»
Het basisidee is dat aan een enkele volledig gekwalificeerde domeinnaam (zoals www.politieacademie.nl), een groot aantal IP-adressen verbonden worden. Deze IP-adressen worden onderling in een hoog tempo uitgewisseld. Dit gebeurt door een combinatie van round robin een techniek die gebruikt wordt bij load balancing en een extreem korte time-to-live van een individueel DNS-record. Op die manier verwijst de hostname om de paar minuten naar een andere computer. Deze computers zijn in de regel geïnfecteerde computers van thuisgebruikers die middels een botnet met elkaar verbonden zijn. [Honeynet Project, 16.8.08; Tweakers.net, 19.7.07].
De detectie van een botnet kan nog moeilijker worden gemaakt wanneer er gebruik wordt gemaakt van sterke encryptie. In het Wibimo-botwerk werd elke boodschap minstens tien keer bewerkt met het encryptie-algoritme RC4. Hierdoor is de crypto-analyse van de code nog moeilijker [Darkreading, 18.2.11].
Het gebruik van deze technieken maakt het opsporen en uitschakelen van criminele websites een stuk moeilijker. Websites kunnen immers niet meer op basis van een IP-adres of via een enkele internetprovider uit de lucht worden gehaald.
|
Virtuele lokpubers - proactief patrouilleren op openbare online trekpleisters
In het Nederlandse parment is in de loop der jaren meerdere keren aan de vraag opgeworpen of het inzetten van lokpubers een zinvol opsporingsmiddel kan zijn. Elke keer was het antwoord nee. Het risico van uitlokking werd te groot geacht. Na inzet van dit middel zou het niet tot een strafbare vervolging komen omdat de verdachte niet daadwerkelijk een minderjarige had verleid.
Al in 2012 bepaalde het gerechtshof dat de inzet van agenten die zich op internet voordoen als minderjarigen geen geschikt middel is bij de opsporing van grooming. In 2013 werd dit door het gerechtshof Den Haag nog eens bevestigd.
In een aantal zaken (Cuijk en Amsterdam) waarin uiteindelijk verdachten zijn aangehouden, had de politie allang informatie en aangiftes waarmee in eerste instantie niets werd gedaan. Advokaten vragen zich af: Als de bestaande mogelijkheden al niet benut worden, waarom dan een nieuwe opsporingsmethode toevoegen? [Sidney Smeets, VK, 16.1.14].
|
Om het kindsekstoerisme via de webcam in kaart te brengen gingen de onderzoekers van Terre des Hommes undercover op chatrooms. Hiervoor werd een 10-jarig virtueel Filipijns meisje ontwikkeld dat luisterde naar de naam Sweetie. Het computermodel was nauwelijks van echt te onderscheiden. Sweetie praat en beweegt zonder dat je merkt dat het om een animatie gaat.
![]() Sweetie - het virtuele lokmeisje |
---|
Europol was niet vooraf op de hoogte gebracht van het onderzoek van Terre des Hommes. Zij waardeert de aandacht voor online kindermisbruik, maar maakt daarbij wel de kanttekening: Criminele onderzoeken, waarbij gebruik wordt gemaakt van indringende surveillance maatregelen, moeten de exclusieve verantwoordelijkheid blijven van wetshandhavingsinstanties [VK, 5,11.13].
Zodra zij zich in chatrooms ophield en duidelijk maakte dat ze 10 jaar was en van de Filippijnen kwam, vlogen de mannen op haar af en boden ze geld. Zij kreeg direct allerlei verzoeken en vaak zeer expliciet; bijvoorbeeld of ze haar kleine zusje erbij wilde halen. We konden op die manier wel tien gesprekken tegelijk voeren, maar hielden het telkens bij twee gesprekken tegelijk [woordvoerder Terre des Hommes, in: VK, 4.11.13]. |
De Sweetie-actie van Terre des Hommes toonde weliswaar het nut van de lokpuber aan. Maar in de Sweetie-zaak zijn nog maar weinig verdachten vervolgd [NOS, 5.2.14;]. Omdat de mannen het meisje zelf benaderden is er geen sprake van uitlokking. Maar omdat Sweetie niet uit de kleren ging en geen geldtransacties plaatsvonden, is het juridisch niet eenduidig of het hier om een strafbaar feit gaat. Het is hooguit sprake van een intentie om een kind virtueel te misbruiken. Maar zelf dat is zoals ook projectleider Hans Guijt constateert ontzettend moeilijk te bewijzen [Terre des Hommes, 15.12.13]. Virtuele seksuele contacten zijn alleen strafbaar wanneer het slachtoffer ook werkelijk minderjarig is. Het slachtoffer is in dit geval echter geen minderjarig kind maar een computermodel.
We willen regeringsleiders dwingen tot proactief opsporingsbeleid waardoor politieorganisaties actief kunnen patrouilleren op openbare internet hotspots waar kindermisbruik plaatsvindt. Op dit moment denken misbruikplegers dat de wet niet op hen van toepassing is. Op het internet kan veel, maar het is niet wetteloos [Hans Guijt, Terre des Hommes, 4.11.13]. Terre des Hommes roept met een wereldwijde petitie de internationale autoriteiten op om proactieve onderzoeksmiddelen in te zetten om zo een einde te maken aan webcam kindersekstoerisme [YouTube]. |
Online doorzoeking
In aanwezigheid van een officier van justitie en een rechter-commissaris mag de Nederlandse politie een huis doorzoeken. Maar een computer op afstand binnendringen is verboden. Daarmee zouden de opsporingsinstanties zich schuldig maken aan computervredebreuk, of terughacken. Maar op die manier kan wel kwaadaardige software onschadelijk worden gemaakt en achterhaald wie een specifiek delict heeft of hebben begaan.
Tot Lobith en niet verder?
Wanneer er een misdaad wordt gepleegd met behulp van een computer in het buitenland, dan heeft de Nederlandse politie geen jurisdictie om buiten de eigen landsgrenzen te opereren.
Landen schenden elkaar soevereiniteit in de bestrijding van cybercrime. Cybercops lappen internationale wetten aan laars [Jan-Jaap Oerleman, in: De Rechtspraak, 4.4.12 zie zijn proefschrift over cybercrime]. Deze constatering werd onderschreven door de eerder geciteerde cybercrime-offifier van justitie: de Nederlandse recherche kraakt soms buitenlandse computers en schendt daarmee de soevereiniteit van andere landen. Dat mag niet, maar het kan niet anders [De Rechtspraak, 4.4.12].
Bewijsvoering bij de strafrechter
[HERSCHRIJVEN - via Securityrecht
Het strafrecht heeft strenge regels over het gebruik van bewijs. De hoofdregel is dat het Openbaar Ministerie (OM) wettig en overtuigend bewijs moet leveren dat de verdachte het strafbare feit gepleegd moet hebben. Het bewijs mag niet met een illegale tap of door verboden dwang zijn verkregen en moet ‘overtuigend’ zijn. De rechtbank mag geen #145;gerede twijfel hebben over wat het bewijs nu eigenlijk bewijst.
Bij een cyberdelict bestaat het bewijs vrijwel altijd uit verklaringen of rapporten van deskundigen over wat er in opslagmedia, logbestanden en andere bestanden te vinden is. Zon deskundige kan computers, laptop, tablets of mobiele telefoons onderzoeken en op basis daarvan zijn conclusies trekken, waarmee de rechter zich kan laten overtuigen.
Rechter gaan af op wat hij in de logbestanden en andere bewijsstukken lezen. Maar die logbestanden en andere ICT-aanwijzingen zijn op zichzelf meestal niet duidelijk genoeg om ook als bewijs te dienen. Een van cybercrime verdachte kan beweren dat hij het niet heeft gedaan en dat een derde zijn computer heeft misbruikt. Dan worden getuige-deskundigen opgeroepen die moeten uitleggen wat voor digitale aanwijzingen er op de computersystemen van de verdachte gevonden zijn, en of daaruit redelijkerwijs blijkt dat er sprake was van een indringer van buitenaf.
Rechters hoeven zelf geen specialistisch verstand van ICT te hebben, maar moeten wel kunnen inschatten welke deskundige de meest logische verklaring aflegt, en bij tegenstrijdige verklaringen afwegen aan welke zij het meest geloof hechten.
Forensisch bewijs
Bij strafzaken wordt het bewijs meestal veiliggesteld en geanalyseerd door een forensisch deskundige. Het Nederlands Forensisch Instituut (NFI) levert diensten aan het OM en Justitie bij strafzaken. Ook diverse private partijen kunnen voor dit doel worden ingeschakeld.
Het NFI heeft ten behoeve van bewijslevering de Forensisch-Technische normen (‘FT-normen’) opgesteld. Deze normen beschrijven eisen, voorwaarden en aanbevelingen met betrekking tot het opsporen en veiligstellen van sporen die zijn achtergebleven na een misdrijf. De meeste FT-normen zijn juridisch niet bindend (maar wel sterk aanbevolen). Enkele normen zijn direct afgeleid van wetgeving en daarmee indirect wel bindend.
Voor digitaal forensisch onderzoek zijn er nog geen FT-normen, hoewel er wel een conceptnorm is voor onderzoek aan mobiele telefoons. Ook zijn er normen voor onderzoek naar gespreksopnamen.
De resultaten die door NFI of een recherchebureau worden gepresenteerd, worden meestal voor waar aangenomen. Tenzij de tegenpartij daar eigen onderzoek tegenover stelt, zal de rechter zelden vraagtekens zetten bij de kwaliteit van het bewijs.
![]() |
---|
Ook de Nederlandse overheid beseft dat de toenemende afhankelijkheid van informatie- en communicatietechnologieën veel risicos en dreigingen voor de sameleving met zich meebrengt. Het digitale domein wordt in toenemende mate gebruikt voor vandalisme, criminaliteit, terrorisme en oorlogsvoering. Het ontregelen van vitale informationele en communicatieve infrastructuren kan tot grote maatschappelijke ontwrichting leiden. Ook onze nationale defensie is in toenemende mate afhankelijk van betrouwbare, veilige en beschikbare ICT-netwerken. Om de inzetbaarheid van de krijgsmacht te waarborgen zal de digitale weerbaarheid van defensie versterkt moeten worden.
|
Het doel van de nationale strategie van cyberveiligheid is het versterken van de veiligheid van de digitale samenleving om daarmee het vertrouwen in het gebruik van ICT door burger, bedrijfsleven en overheid te verhogen. Door het beschermen van een open en vrije digitale samenleving wordt de economie gestimuleerd en welvaart en welzijn verhoogd. Een goede rechtsbescherming in het digitale domein wordt gegarandeerd en maatschappelijke ontwrichting wordt voorkomen dan wel er wordt adequaat opgetreden als het toch mis gaat.
Om dit doel van NCSC te bereiken is gekozen voor de volgende actielijnen die in een aantal specifieke acties worden geconcretiseerd.
GOVCERT richtte zich op versterking van de informatiebeveiliging binnen de Nederlandse overheid. Het team monitorde cyberdreigingen, gaf adviezen over ICT-kwetsbaarheden, waarschuwde bij cyberdreigingen en ondersteunde overheidsorganisaties bij de afhandeling van ICT-gerelateerde incidenten. |
Het NCSC kan haar doelstellingen en actielijnen alleen realiseren wanneer het kan beschikken over voldoende betrouwbare informatie over alle relevante cyberaanvallen. Daarom zouden eigenaren/beheerders van systemen die voor de samenleving van vitaal belang zijn, verplicht moeten worden om veiligheidsincidenten te melden in plaats van onder de pet te houden. Dit uitgangspunt is niet omstreden, maar wel de vraag wat sectoren van vitaal belang zijn waarvoor zon meldplicht (security breach notification) zou moeten gelden.
Het NCSC moet niet alleen goed geïnformeerd zijn, maar zou ook over voldoende middelen moeten beschikken om in te grijpen en te ondersteunen daar waar dat nodig is. Als een cyberaanval te groot is om zelf op te lossen moeten bedrijven en instellingen een alarmcentrale kunnen bellen die hen helpt om de digitale brand te blussen. Zon digitale brandweer moet – zoals ‘cryptoron’ van Fox-it zei – daadwerkelijk achter de toetsenborden gaan zitten van die organisatie, om de hacker zo snel mogelijk buiten te sluiten en ervoor te zorgen dat de continuïteit van de dienstverlening van die vitale organisatie niet in gevaar komt. De interventiemogelijkheden van het NCSC zijn nog beperkt en de vraag is hoe groot de slagkracht van de digitale brandweer zal moeten zijn.
![]() Minister Ivo Opstelten |
---|
Met deze speciale bevoegdheden wordt het team High Tech Crime van de Nationale Recherche in staat gesteld om met betere (hoewel geen gelijke) wapens de georganiseerde cybercriminaliteit effectief te bestrijden. Het overheid was zeer zwak toegerust om de technologische ontwikkelingen bij te houden en een dam op te werpen tegen cybercriminaliteit. De minister wil een wettelijk kader scheppen dat een einde maakt aan een situatie die al vaker werd omschreven als het wilde westen, waarin de politie en justitie maar wat doen, zonder dat daar duidelijke rechtsregels voor zijn. In het uiteindelijke wetsvoorstel gelden strikte voorwaarden voor het toepassen van de nieuwe bevoegdheid om terug te hacken, zoals een voorafgaande rechterlijke toetsing, certificering van de software die wordt gebruikt en de logging van gegevens [Ministerie van Veiligheid en Justitie, 1.5.13].
Aan deze voorstellen zijn echter ook risicos verbonden die niet verzwegen mogen worden en waarvoor wegen gezocht moeten worden om deze zo klein mogelijk te houden. Ik vat die risicos puntsgewijs samen.
In cyberspace is het territorialiteitsbeginsel vervaagt omdat het niet kan worden toegepast als de exacte locatie van de computersystemen van cybercriminelen onduidelijk is en belastende gegevens versnipperd worden opgeslagen op verschillend grondgebied (jurisdicties). Door het internationale karakter van computercriminaliteit is er behoefte aan versterking van de bevoegdheden tot grensoverschrijdende toegang tot gegevens. Ook zonder deze bevoegdheden verschaffen opsporingsdiensten van diverse landen zich in de praktijk wel degelijk toegang tot gegevens die zijn opgeslagen op computersystemen die zich op het grondgebied van andere staten bevinden [Ministerie van Veiligheid en Justitie, 1.5.13, p. 35].
Het inbreken in een computer is iets anders dan het verrichten van een huiszoeking of het afluisteren van een telefoon. Een huiszoeking is meestal eenmalig en is bij de verdachte direct bekend. Bij het aftappen van telefoons worden gesprekken afgeluisterd tussen een persoon die van een strafbaar feit verdacht wordt en telkens één onverdacht ander persoon. Als men inbreekt op een computer zijn daar alle communicaties (e-mail, VoIP, chatten, sociale media, wifi, VoIP) te vinden die een verdachte had of heeft met talloze onverdachte anderen. Computerbreuk heeft dus veel verdergaande gevolgen dan een huiszoeking of een telefoontap.
Onderzoek wijst echter uit dat deze plicht al op grote schaal wordt overtreden.[Beijer 2004]. Overtredingen van deze notificatieplicht worden niet opgenomen in het dossier of andere rapportages. Daarom zijn er geen gevolgen voor het niet naleven van dit artikel en kan van een echte waarborg dus niet worden gesproken. Bovendien kent de Wet BOB ook een wettelijke ontsnappingsmogelijkheid, die is gecreëerd voor het Openbaar Ministerie. Artikel 126dd Sv, sluit de notificatieplicht uit indien het verkregen bewijs door de telefoontap nog gebruikt kan worden in een ander onderzoek. De wetgever laat hierbij een ruime interpretatie van het artikel toe [Tempelman 2010]. |
De Electronic Frontier Foundation (EFF) gaf een verklaring uit waarin zij het hackplan van Opstelten een schandalig voorstel noemde. Dit voorstel laat de Nederlandse politie directe aanvallen tegen internationale clouddiensten uitvoeren. Het laat de Nederlandse politie exploits en malware tegen privacysystemen zoals het Tor-netwerk gebruiken, waardoor honderduizenden Tor-gebruikers in gevaar worden gebracht. Samengevat, het laat de Nederlandse politie cyberoorlog-methodes gebruiken om Nederlandse wetgeving voor iedereen te laten gelden, waar ze ook wonen.
De burgerrechtenbeweging vreest dat het voorstel van Opstelten een domino-effect zal krijgen. Hoe zou de wereld er uitzien als de politie van elk land zou mogen inbreken in computers in andere landen om haar eigen nationale wetgeving met bruut geweld op te leggen? We zouden een golf van aanvallen overal ter wereld zien wegens godslastering, haatzaaierij, belastingontduiking, het bevorderen van homoseksualiteit, het bekritiseren van staatshoofden zoals de koning van Thailand of Ataturk, of meningsverschillen over copyrightschending. Dat zou een bedreiging zijn voor de stabiliteit en bruikbaarheid van het hele internet.
De Nederlandse politie krijgt in het wetsvoorstel de bevoegdheid zelf met (gecertificeerde) spyware in cyberspace te opereren. Maar internetters verwachten van anti-virus software dat deze hen tegen alle malware beschermd. Fabricanten van anti-virus software die een gecalculeerde uitzondering maken voor bepaalde typen door de overheid gebruikte spyware zullen zich echter snel uit de markt prijzen. Zelfbewuste netburgers zullen op zoek gaan naar alternatieven waarmee zij zich tegen élke vorm van digitale spionage (en dus ook tegen policeware) kunnen beschermen.
Kinderporno wordt als argument misbruikt wordt om absurde bevoegdheden te introduceren. Net zoals tien jaar geleden ‘terrorisme’ te pas en te onpas gebruikt werd. (…) De minister zet de noodzakelijke samenwerking met de hackersgemeenschap onder druk zet door ethische hackers te achtervolgen. Het cybersecuritybeleid dreigt te mislukken; de minister beweegt zich als een olifant in de porseleinkast [NRC, 6.12.12]. |
Kortom: het voorstel van Opstelten is ondoordacht, gaat verontrustend ver en is mogelijk in strijd met de Europese mensenrechtenwetgeving. Een dergelijke wetgeving zou het internet niet veiliger maken. Integendeel, de voorgestelde wetgeving maakt zoals de EFF terecht concludeert het internet tot een nog gevaarlijker plek.
In antwoord op Kamervragen van D66 ging de minister nader in op het hacken van servers door de politie terwijl de terughackwet nog niet door de Kamer is behandeld. Momenteel heeft de politiek geen wettelijke bevoegdheid om te hacken. Maar volgens de minister is het hacken van de Blackshade-servers toch gedekt door de huidige wet. Hij verwijst daarbij naar artikel 125i van het Wetboek van Strafrecht waarin de bevoedheid wordt geregeld tot
Dit artikel slaat op het fysiek binnentreden en doorzoeken van een plaats en eventueel in beslagnemen van computerhardware. Hacken gebeurt echter op afstand en heimelijk.
Enerzijds erkent de minister in zijn beantwoording van Kamervragen over gebruik van spyware door de politie dat een heimelijke doorzoeking van gegevensdragers binnen de wettelijke kaders niet is toegestaan [Antwoorden Kamervragen, 6.10.14]. Anderzijds rekt hij een speciale opsporingsbevoegdheid zo ver op om nu nog illegale acties van politieautoriteiten te dekken. Voor juristen is deze spagaat zorgwekkend [Computerworld, 30.20.14].
Het Team High Tech Crime valt onder de dienst Landelijke Recherche binnen de Landelijke Eenheid(voorheen de KLPD).
Kreeg meer cybercops [in 2013 van 30 naar 60), maar kan volgens planning in 2014 nog steeds slechts twintig zaken behandelen. Maar niet meer mensen: maar intelligentie en een intelligent netwerk op zetten.
Minister Opstelten (veiligheid en Justitie) belooft een forse toename van het aantal cybercrime onderzoeken. In 2018 moeten dat er al 360 zijn. Voor 2015 wordt voorzien in 200 onderzoeken [Telegraaf, 16.9.14].
Er zijn nu permanent twee FBI-agenten bij de KLPD gestationeerd.
Nu 60 cybercops op werken nu 5.000 mensen bij KLPD - dus 1% van totaal.
Extra cybercops? Zoeken naar grenzen van de wet, een wet die gemaakt is toen er nog geen internet was.
Het iRN is een provider voor politie en andere overheidsdiensten die onderzoek willen doen op internet zonder hun visitekaartje achter te laten. Het netwerk schermt de identiteit af en zorgt ervoor dat onderzoekers snel aan relevante informatie komen door dwarsverbanden te leggen en gegegevens te bundelen. Het iRN slaat onderzoeksactiviteiten op forensisch verantwoorde wijze op zodat opsporingsinformatie toetsbaar is (de gebruikte bronnen worden op betrouwbare wijze vastgelegd en kunnen worden gebruikt als bewijsmateriaal in opsporingsonderzoeken of voor contra-expertise).
|
Sinds 2008 gebruikt de Nederlandse politie Trojans en spyware om de pcs van verdachten af te tappen [BNDeStem, 17.5.09; Webwereld, 19.5.08]. De producent van de omstreden Bundestrojaner van de Duitse politie, het Keulse bedrijf Digitask, verklapte dat de spyware ook aan Zwitersland, Oostenrijk en Nederland is verkocht [DW; Webwereld, 12.10.11].
De meest respectabele strafrechtsgeleerden veegden de vloer aan met de legaliteit van de gebruikte afluistermethode.:
In 2011 werd bekend dat de Unit Interceptie van het Nederlandse KLPD in een zeer beperkt aantal gevallen spyware injecteert op pcs van verdachten. In een brief aan de Tweede Kamer verklaarde minister van Veiligheid en Justitie Ivo Opstelten: De Unit Landelijke Interceptie van het Korps Landelijke Politiediensten (KLPD) beschikt over software die geïnstalleerd kan worden op de computer van een verdachte en waarmee ten behoeve van opsporingsdiensten toegang kan worden verkregen tot die computer en of gegevens daarvan kunnen worden overgenomen. Maar de minister verschafte geen informatie over welke specifieke software opsporingsdiensten beschikken. Dit zou een onaanvaardbaar risico voor de inzetbaarheid van die middelen vormen [Antwoorden op Kamervragen, 13.12.11; Webwereld, 13.12.11].
De slimme waakhond van de vrijheidsrechten van Nederlandse internetburgers, Bits of Freedom (BoF), ondernam juridische stappen om de politie (KLPD) te dwingen openheid te geven met beroep op de Wet Openbaarheid van Bestuur (WOB) over het gebruik van spyware door opsporingsdiensten [Webwereld, 8.10.12]. BoF wil weten wat de software is die door opsporingsdiensten heimelijk geïnstalleerd kan worden op een digitaal apparaat van een verdachte (zoals computers, tablets, mobiele telefoons, routers en printers) en waarmee, al dan niet op afstand, toegang verkregen kan worden tot dit apparaat, gegevens van dit apparaat kunnen worden overgenomen en dit apparaat op afstand bestuurd kan worden. Maar echte antwoorden werden door de minister niet gegeven.
Met de billen bloot?
Op 7 augustus 2014 verscheen plotseling een enorme hoeveelheid technische en klanteninformatie van Gamma International, de maker van FinFisher. Duitse burgerrechtenactivisten keerden het wapen om en bespioneerde het spionagebedrijf. Zeer vertrouwelijke informatie over de verschillende spionagemodules van FinFisher en over de clientele van Gamma werden openbaar gemaakt (omvang: 40GB).
Uit de door Wikileaks gelekte documenten blijkt dat in bijna alle landen gebruik gemaakt wordt van de FinFisher technologie. Ook de Nederlandse politie maakt al sinds 2012 gebruik te maken van het programma. In de gehackte klantenbestanden werd een versleutelingscode gevonden die toebehoort aan een lid van de Nationale Eenheid (voorheen: KLPD), de landelijke politie in Driebergen. De twee licenties lopen van 2012 tot 2015 en zijn geregistreerd met de username 20FEC907. De licenties voor FinSpy en FinSpy Mobile kosten beide €202.200. In totaal besteedde de Nederlandse politie €2,3 miljoen aan de spionage software van Gamma [Wikipedia: SpyFiles 4; VK, 8.8.14; Tech Worm, 16.9.14].
Kamerlid Sharon Gesthuizen (SP) stelde een aantal pertinente vragen over het gebruik van deze omstreden spionagesoftware. Zij wilde van de Minister van Veiligheid en Justitie weten of de Nederlandse politiek daadwerkelijk gebruik maakt van FinFisher. Het antwoord van Minister Opstelten liet zich raden. Enerzijds erkent hij dat de politie beschikt over software die fysiek geïnstalleerd kan worden op de computer van een verdachte, waarmee ten behoeve van opsporingsdiensten toegang kan worden verkregen tot die computer en waarmee gegevens daarvan kunnen worden overgenomen.. Anderzijds benadrukt hij dat dit middel alleen mag worden ingezet voor het opnemen van vertrouwelijke informatie en dat het wettelijk niet is toegestaan dit middel in te zetten voor heimelijke doorzoeking van gegevensdragers.
Over de aard van de gebruikte software wil de minister helemaals niets loslaten. Het verstrekken van informatie over welke specifieke software de opsporingsdiensten van de politie beschikken, testen en gebruiken brengt grote risico’s met zich mee voor de inzetbaarheid van die middelen. De verwerving van dergelijke middelen vindt bij de politie onder geheimhouding plaats. Ik kan hier derhalve geen nadere informatie over verstrekken.
Fraude in betalingsverkeer
Sinds 2012 zet zich de dalende trend in fraude in het betalingsverkeer is een populaire criminele bezigheid. Sinds 2012 vertoont de fraude in het betalingsverkeer een sterke daling. In het eerste half jaar van 2014 naar het met 34% af ten opzichte van de tweede helft van 2013 [NVB, 24.9.14].
Schade door fraude betalingsverkeerin |
Schade door fraude met internetbankeren |
Schade als gevolg van skimming |
|
in miljoen euro | |||
2012 | 81,1 | ||
2013 | 33,3 | ||
2014 (half jaar) | 9,5 | 2,1 | 0,64 |
De belangrijkste fraudecategorieën in het betalingsverkeer zijn fraude met internetbankieren en skimming van betaalpassen. Beide categorieën zijn in de eerste helft van 2014 sterk afgenomen met resp. 54 procent en 28 procent.
De schade als gevolg van skimming (kopiëren van magneetstrip van betaalpas) bedroeg in het piekjaar 2011 nog 38,9 miljoen euro. Daar is nog maar nauwelijks iets van over: 640.000 euro in de eerste helft van 2014. Door de invoering van het nieuwe pinnen met gebruik van de EMV-chip in plaats van de magneetstrip is skimming nog maar zeer beperkt mogelijk. Sinds begin 2012 is het in principe onmogelijk om in Europa geld op te nemen met geskimde kaarten. In de eerste helft van 2014 werden er slechts 1.000 kaarten geskimd.
De fraude met internetbankieren neemt af omdat banken steeds beter in staat zijn om (pogingen tot) fraude vroegtijdig te detecteren en te voorkomen. Het preventief blokkeren van buitenlandoverboekingen binnen internetbankieren heeft sterk bijgedragen aan de daling van de skimmingschade. Door geoblocking wordt de magneetstrip buiten Europa standaard uitgeschakeld. Sinds 2013 ontstaat vrijwel alleen nog schade door het in niet-EVM landen skimmen van Nederlandse passen, direct gevolgd door geldopnames.
De meeste schade bij internetbankieren werd veroorzaakt door phishing: 1,7 miljoen euro. Ten opzichte van de tweede helft van 2013 is dat een daling van 47%. Ook de schade als gevolg van malware nam fors af met 77% tot 280.000 euro. Samen met het NCSC proberen banken phishing sites uit de lucht tehalen.
|
Middenstanders als cybercrimineel doelwit
![]() |
---|
In september 2010 kondigde de Europese Commissie nieuwe maatregelen aan die ervoor moeten zorgen dat Europa zich kan verdedigen tegen aanvallen op zijn belangrijkste informatiesystemen. De nadruk lag daarbij op de aanpak van nieuwe vormen van computercriminaliteit [Europese Commissie, 30.9.11]. UITWERKEN
Op 11 januari 2013 werd in Den Haag het nieuwe Europees Centrum voor de bestrijding van cybercriminaliteit (EC3) operationeel. EU-commissaris voor Binnenlandse Zaken Cecilia Malmström: Het Europees Centrum voor de bestrijding van cybercriminaliteit is een belangrijke versterking van de capaciteit van de EU om cybercriminaliteit te bestrijden en een vrij, open en veilig internet te verdedigen. Cybercriminelen zijn slim en snel in het oppikken van nieuwe technologieën voor criminele doeleinden; het Europees Centrum voor de bestrijding van cybercriminaliteit zal ons helpen slimmer en sneller te worden in het helpen voorkomen en bestrijden van hun misdrijven [Europese Commissie, 9.1.13]. Europese politiekorpsen kunnen steunen op de enorme forensische capaciteit van EC3.
Het EC3 concentreert zich op illegale activiteiten die georganiseerde criminele benden via het internet uitvoeren, met speciale aandacht voor aanvallen op online bankieren en andere financiële activiteiten via het internet, exploitatie van kindermisbruik via het internet en misdrijven die gericht zijn tegen de kritieke infrastructuur en informatiesystemen in de EU.
Het EC3 stimuleert onderzoek naar cybercriminaliteit en de opbouw van opsporingscapaciteit bij rechtshandhavingsinstanties, rechters en openbare aanklagers. Het beoordeelt dreigingen, analyseert tendensen, stelt prognoses op en stuur vroegtijdige waarschuwingen uit. Het EC3 biedt EU-landen operationele ondersteuning en biedt analytische en forensische deskundigheid van hoog niveau.
Wat doen ze aan high volume, low impact misdaad?
Het team coördineert onderzoek naar grootschalige dreigingen, inclusief virussen die inloggegeven van banken stelen en grote criminelen met name degenen die crimeware verhandelen en persoonlijke data verkopen op ondergrondse webfora.
Daarnaast moet Eurojust bijdragen aan het oplossen van jurisdictiegeschillen in gevallen waarin verscheidene nationale autoriteiten bevoegd zijn in een specifieke zaak een opsporingsonderzoek of vervolging in te stellen. Het moet de uitvoering van internationale justitiële instrumenten, zoals het Europees Aanhoudingsbevel, vergemakkelijken door het instellen van gemeenschappelijke onderzoeksteams en het financieren van de operationele middelen van die teams.
Via Eurojust kunnen de nationale autoriteiten informatie uitwisselen, wederzijdse rechtshulp bieden en personen die verhoord moeten worden, uitleveren. Eurojust voldoet aan verzoeken om bijstand van bevoegde nationale autoriteiten van de lidstaten. Omgekeerd kan Eurojust de lidstaten verzoeken om naar bepaalde feiten een onderzoek of vervolging in te stellen.
Per EU-land is een openbare aanklager, rechter of politieambtenaar in het agentschap vertegenwoordigd.
De taak van Eurojust om de effectiviteit en efficiency te verbeteren van de nationale opsporings- en vervolgingsautoriteiten in de strijd tegen ernstige grensoverschrijdende en georganiseerde misdaad en om criminelen snel en doeltreffend voor het gerecht te brengen.
De Richtlijn over aanvallen op informatiesystemen van 12 augustus 2013 moest binnen twee jaar in de nationale wetgeving worden geïmplementeerd. De richtlijn betreft vooral het materieel strafrecht. Dat zijn wetten ten aanzien van het functioneren van informatiesystemen waarbij het gaat om vertrouwelijkheid van gegevens, de integriteit van informatiesystemen en de beschikbaarheid van gegevens, programmas en diensten. In de richtlijn wordt benadrukt dat geïnfecteerde computersystemen die samen een botnet vormen veel schade berokkenen binnen de lidstaten.
De Europese Commissie wil botnets bestrijden door de strafbare gedragingen te harmoniseren en minimale straffen voor te schrijven. Voor delicten zoals computervredebreuk (hacking), gegevensaantasting (malware) en DDoS-aanvallen wordt een maximale gevangenisstraf voorgeschreven van tenminste 2 jaar.
Artikel 9 van de Richtlijn schrijft een strafverzwaring van een maximale gevangenisstraf van ten minste vijf jaar voor bij computerdelicten die (i) in georganiseerd verband worden gepleegd, (ii) ernstige schade veroorzaken (met bijvoorbeeld een botnet) of (iii) gericht zijn tegen tegen vitale infrastructuren.
![]() |
---|
Leven met onzekerheden
Alle beschrijvingen en analyses van cybercriminaliteit zijn fundamenteel onnauwkeurig. Het ligt in de aard van iedere crimineel om niet alleen de sporen van zijn of haar misdaad te wissen, maar om daarover ook te zwijgen. Deze heimelijkheid is noodzakelijk om opsporing en strafvervolging te vermijden (verkleinen van de pakkans).
Technologiebedrijven praten niet graag openlijk over de kwetsbaarheden van de apparatuur en software die zij verkopen. Aanvallen op computersystemen en netwerken van ondernemingen worden meestal niet gerapporteerd uit angst dat hierdoor het vertrouwen aandeelhouders en consumenten kan afbreken [Webwereld, 2.3.13]. Beveilingsbedrijven doen er meestal het zwijgen toe als weer eens blijkt dat zij de digitale veiligheid van organisaties niet kunnen garanderen. De burgers die slachtoffer worden van een cybermisdaad doen vaak nog steeds geen aangifte bij de politie [Warner 2014].
Mensen die een misdaad in of via cyberspace voorbereiden of uitvoeren vertellen ons nooit precies met welke methode zij zichzelf illegaal verrijken en welke instrumenten zij daarvoor gebruiken. Elke cybercrime is omringd met een dikke mist van geheimhouding.
Daarom is het niet makkelijk om goede adviezen te geven aan burgers die zichzelf in cyberspace tegen criminelen willen beschermen en om effectieve methoden te ontwikkelen om cybercriminelen de pas af te snijden en hen strafrechtelijk te vervolgen.
We hebben gezien hoe fundamenteel kwetsbaar de huidige informatie- en communicatietechnologiën zijn. De omvang en complexiteit van de software waarmee we werken, zijn zo groot, dat er altijd kwetsbaarheden of veiligheidslekken zijn die door criminelen kunnen worden uitgebuit. Softwareproducenten zijn meer geïnteresseerd in de winsten die zij met nieuwe producten kunnen realiseren dan in de veiligheid van hun klanten. We hebben ook gezien dat in de keten van kwetsbaarheden de mensen zelf de zwakste schakel vormen. Werknemers zijn soms onzorgvuldig, goedgelovig en makkelijk manipuleerbaar. Vaak zijn zij ook het slachtoffer van een geraffineerde inbraak in een zeer persoonlijk digitaal apparaat.
Inbreken in de digitale apparaten van individuele burgers biedt niet allen toegang tot hun eigen bankrekening. Het biedt ook toegang tot de ict-systemen van het bedrijf of de instelling waar het doelwit werkt. Het infiltreren en manipuleren van smartphones en mobiele communicatiesystemen is bijna kinderlijk eenvoudig. In de bestrijding van de misdaad in of met behulp van cyberspace krijgt dit een steeds groter gewicht.
Zij maken gebruik van vergelijkbare en meestal identieke instrumenten en methodieken. Maar zij verschillen aanzienlijk in hun doelstelling, werkwijze, aard van de actoren en institutionele verankering.
In de volgende tabel zijn deze verschillen schematisch geordend.
| ||
Doel | Methode | |
---|---|---|
|
Verdrijven van verveling, irriteren om aandacht. Geen maatschappelijk, politiek of financieel doel. | Het vandaliseren van willekeurige sites en servers voor de lol of uit nieuwsgierigheid: kijken of het kan. |
|
Articuleren van maatschappelijke belangen en van politieke doelstellingen; aanklagen van exploiterende, repressieve en discriminerende machthebbers. | Activistische propaganda: aandacht vragen voor maatschappelijke problemen middels het tijdelijk blokkeren van de toegang tot sites en servers (denial-of-service aanvallen als virtuele sit-in) en het onthoofden van sites (vervangen van homepage door eigen mededeling). Hacktivisten gebruiken meestal kortdurende denial-of-service aanvallen of publiceren gevoelige informatie van hun doelwitten als vorm van politiek protest. Meer radicale groepen zouden echter ook meer systematische effecten kunnen bewerkstellingen, zoals het ontregelen van financiële netwerken. Hun cyberacties kunnen zelfs per ongeluk gevolgen hebben die geïnterpreteerd worden als een door een staat gesteunde aanval. |
|
Illegale zelfverrijking: geldkopperij door diefstal, oplichting, afpersing en fraude. | Opportunistisch, niet ideologisch, niet strategisch: inbreken, pakken wat je kan en wegwezen (hit and run). Cybercriminelen kopen en verkopen op de zwarte markt instrumenten waarmee kan worden ingebroken op vitale infrastructuren en die gemakkelijk in handen kunnen vallen van agressieve staten, paramilitaire of terroristische organisaties. |
|
Vijanden van de juiste leer zoveel mogelijk schade berokkenen: angst zaaien. |
Ideologisch (politiek, religieus, nationalistisch etc.) gemotiveerd niet op geldelijk winst gericht. Spectaculaire cyberaanslagen op als vijandig gedefinieerde doelwitten. Terroristische organisaties hebben steeds meer belangstelling voor de ontwikkeling van offensieve cybercapaciteiten. Hun slagkracht is beperkt door de beschikbare intellectuele en organisationele bronnen en, en door concurrerende prioriteiten. |
|
Verwerven van informatie over vijandige of potentieel vijandige strijdkrachten. Economische of bedrijfsspionage is gericht op het stelen intellectueel eigendom en bedrijfsgeheimen van concurrerende ondernemingen. | Clandestien penetreren in vijandige informatiesystemen om daar heimelijk informatiebestanden te vervreemden of communicaties af te luisteren. |
|
Vernietigen of beschadigen van vitale systemen van vijandige staten met offensieve cyberwapens. | Strategisch en niet opportunistisch: doelwitten bepalen, cyberwapens in stelling brengen, gericht aanvallen, monitoren van effecten. |
Aan deze opsomming zou nog «hacken» worden toegevoegd. De meeste ethische of white hat hackers inspecteren slechts de kwaliteit van de beveiligingssystemen van computersystemen en netwerken. Hun doel is het aantonen middels volledige of verantwoordelijke bekendmaking dat deze systemen en netwerken inadequaat beveiligd zijn en dat het mogelijk is om daarop in te breken. Hun werkwijze is misschien het best te beschrijven als binnendringen omdat het kan en lekken zoeken omdat er lekken zijn, zonder onnodige schade aan te richten. Hackers zijn de aanjagers in het ontwikkelingsproces van robuuste cyberveiligheid.
Cyberspace is het geheel van virtuele werelden die bestaan wanneer we via internet en mobiele communicatie informatie uitwisselen en met elkaar communiceren. Het evolueert steeds meer tot eeh internet der dingen. Productiemachines, financiële operaties, vervoerstechnieken en slimme apparaten worden in digitale netwerken met elkaar verbonden. De meest uiteenlopende apparaten en installaties worden door computers aangestuurd en gecontroleerd: scanners en printers; beveiligingscameras en liften; GPS en satellieten; autos en jachtvliegtuigen; banknetwerken en beurssystemen; treinen, elektriciteitscentrales, ultracentrifuges.
Met rasse schreden treden we binnen in het «internet van alles». Daarin dragen we steeds meer slimme apparaten met ons mee. Dat zijn de smart wearables zoals mobiele telefoons, Google Glass, slimme horloges en fitniss trackers. Het zijn sensoren die op elk moment al onze activiteiten vastleggen. Waar we zijn (GPS-coördinaten) en met wie we contact onderhouden, wat we met wie communiceren, welke transacties we plegen. Fitness sensoren registeren de stappen die ik neem, de afstand die ik afleg, de calorieën die ik gebruik en mijn hartslag.
Er komen steeds meer producten voor onze slimme huizen die ontworpen zijn voor communicatie op afstand en controle van apparaten in onze huizen. Elk van deze apparaten kan voor criminelen een ingang worden in onze systemen.
Op elk van deze lagen kan een criminele aanval worden gedaan. |
De exlosieve groei van het «internet der dingen» maakt onze samenleving gevoeliger voor ontwrichtende en vernietigende digitale aanvalswapens.
De lastigste opgave is om een beleid te voeren dat zowel onze veiligheid als onze vrijheden in cyberspace waarborgt. Kunnen we een acceptabel niveau van digitale veiligheid tot stand brengen waardoor de grootste risicos in het gevirtualiseerde en gemobiliseerde verkeer zo ver mogelijk worden geminimaliseerd? Kunnen we onze virtuele vrijheden kunnen behouden en versterken?
Daarbij zijn in ieder geval drie vrijheidsrechten in het geding:
Deze drie vrijheden kunnen ook als rechten worden geformuleerd en in een grondrecht worden gebundeld. Dat grondrecht zou als volgt kunnen luiden: internet en mobiele communicatie zijn universele diensten waartoe alle wereldburgers vrijelijk toegang toe dienen te hebben zolang zij diezelfde vrijheid van andere burgers niet aantasten. Internet is een netwerk dat grondwettelijk erkent en afgeschermd dient te worden. Het digitale grondrecht zou op dezelfde wijze geregeld moeten worden als in de analoge wereld. In de analoge wereld van formeel democratische rechsstaten ben je vrij om je te bewegen in elke openbare ruimte. Dat vrijheidsrecht zou ook moeten gelden in de virtuele openbare ruimte, in cyberspace.
![]() |
---|
New York: John Wiley & Sons.
Een groep die Web defacements en andere typen cybermisdaad in de gaten houdt.
Springer (2006).
In: Handbook of Information and Communication Security. pp. 747-769. Springer.
Technological Networks and the Spread of Computer Viruses.
In: Science, 304(5670): 527-529.
An Inside Look at Botnets
University of Wisconson, Madison.
Een serie van drie radioprogrammas over de duistere kanten van de virtuele wereld waarin wordt gestolen, gespioneerd en oorlog wordt gevoerd.
Hacking for Dummies.
Indianapolis: Wiley.
Predicting Software Quality
In Latham R. (ed) [2003] Bombs and Bandwidth: The Emerging Relationship Between Information Technology and
Security.
New York: The Free Press, 49-73.
In: Communications of the ACM, 49(2): 81-83.
Internet Fraud Case - Vladimir Levin
In: College of Agricultural Banking.
De Wet Bijzondere Opsporingsbevoegdheden: Eindevaluatie.
Den Haag: Boom 2004.
Before We Knew It - An Empirical Study of Zero-Day Attacks In The Real World
Content and popularity analysis of Tor hidden services
In: Cryptome, 30.8.2013
A Survey of Challenges in Attribution
In: Proceedings of a Workshop on Deterring CyberAttacks: Informing Strategies and Developing Options for U.S. Policy.
In: North Caroline Journal of Law and Technology 4:1-40.
Oxford University Press.
10.000 Top Passwords
Security: A New Framework for Analysis.
Boulder: Lynne Rienner Pub.
Trends & issues in crime and criminal Justice
Canberrra: Australian Institutes of Criminology.
Country Report: Belgium - European Network and Information Security Agency
Anonymity and traceability in cyberspace
Cambridge: University of Cambridge.
Attacks on Hash Functions and Applications
Universiteit Leiden.
In: Justitiële verkenningen, 30(8): 76-94
In: W.Ph. Stol en A.Ph. van Wijk
(red.), Inleiding criminaliteit
en opsporing.
Den Haag: Boom
Juridische uitgevers, 2008,
p. 65-77
Den Haag, Boom Juridische uitgevers
In: W.Ph. Stol, C. Tielenburg
e.a. (red.), Basisboek integrale
veiligheid, Den Haag: Boom Lemma uitgevers, p. 295-308
Towards integrated malware defence
In: VB2008, 1-3 October 2008 in Ottawa.
Security Risk Management Body of Knowledge. South Carlton.
Virii Generators: Understanding the Threat
Telefoontaps in Nederland: Wordt Nederland een Politiestaat?
In: Rechtenniews.nl, 14.09.10
Statement door de directeur van CIA voor Worldwide Threat 2001: National Security in a Changing World.
007 loert mee
In: Binnenlandsbestuur, 2.4.2010
Boom: Den Haag.
Cybercriminaliteit
Organized Crime and Cybercrime: Synergies, Trends, and Responses
In: Global Issues
Curious Yellow: The First Coordinated Worm Design
Een heldere kijk op Cloud Computing.
Renkum: Nobel.
Tbe Future of the Internet and How to Stop It.
New Haven: Yale University Press.
Home | Onderwerpen | Zoek | Over ons | Doneer | Contact |
---|
![]()
Eerst gepubliceerd: Oktober, 2014 |